桌面虛擬化技術在高校中的設計與安全優(yōu)化

章丞

摘要：教學機房建設一直是校園信息化建設的關鍵點。當前，桌面虛擬化技術不斷在這一領域滲透，解決了過去機房管理中的一些痛點。本文圍繞設計原則、技術線路、總體框架及安全優(yōu)化等方面對桌面虛擬化技術在高校中的應用進行了詳細設計，為高校實施桌面虛擬化項目提供了參考。

關鍵詞：桌面虛擬化技術;校園信息化

中圖分類號：TP311? ? ? 文獻標識碼：A

文章編號：1009-3044（2021）33-0134-03

開放科學（資源服務）標識碼（OSID）：

1 引言

教學機房建設作為校園信息化建設重要的一環(huán)，日益成為整個高校教學信息化改革的重要支撐，關系到各項教改項目是否能夠順利落地。在一些高校，由于建設期較早，教學機房一直使用傳統(tǒng)PC并且采用人工管理方式。在實際使用過程中，PC的維護存在各種弊端和諸多不便，加之傳統(tǒng)的人工管理機房的方式也存在種種問題，從而影響了信息化建設的進度與質量[1]。

2 高校機房管理的弊病

高校機房管理面臨著運維壓力大、安全威脅復雜、硬件性能無法滿足等諸多問題：

2.1 壓力風險逐漸提高

在高校中，大部分的專業(yè)課都排在機房，利用各種教學軟件鍛煉學生的實操能力。每門專業(yè)課都有專屬使用的應用軟件，同一軟件甚至需要安裝多種版本。導致該機房的PC需安裝的軟件種類、版本繁多，對機房的日常運維造成了挑戰(zhàn)。同時教學機房的數(shù)量有限，經常存在教學機房每周五天全負荷使用的狀態(tài)。一旦某個機房的PC出現(xiàn)故障，會影響后續(xù)課程的授課，甚至造成教學事故[2]。

2.2 安全威脅日益復雜

在傳統(tǒng)機房運維環(huán)境中，常采用PC加硬件還原卡的方式對軟硬件環(huán)境進行管理。當需要新增教學軟件時，通過PC同傳軟件對該機房的所有PC進行增量更新。當無須進行更新操作時，硬件還原卡會在每次PC重啟后，還原至最初的狀態(tài)。這種運維方式存在局限性，其軟件增量更新功能對軟硬件環(huán)境有特定的要求。另外，出于教學的需要，PC往往會預留一個分區(qū)用于存儲學生的學習數(shù)據(jù)，不會對該分區(qū)進行還原。而一旦發(fā)生病毒感染，未還原的分區(qū)成為病毒的中轉站，造成了嚴重的數(shù)據(jù)安全問題。

2.3 硬件性能無法滿足

隨著信息技術的不斷發(fā)展，以計算機類專業(yè)為例，教學過程中使用的各類仿真軟件、開發(fā)軟件版本更新頻繁，每個新版本都對計算機的CPU、內存以及硬盤性能都有更高的要求。而教學機房PC，出于資產采購需求，要求其使用周期需達到五年以上，在前期能夠滿足教學的需要。但在中后期，其性能已經跟不上軟件環(huán)境的變化了。而更新?lián)Q代所需要的采購和部署成本又非常高。

3 桌面虛擬化設計與優(yōu)化

3.1 桌面虛擬化技術帶來的改變

桌面虛擬化技術能夠很好地解決當前高校機房運維存在的問題。桌面云平臺服務是構建在底層虛擬化基礎架構之上的。在與具體硬件解耦合的背景下，桌面云系統(tǒng)能為用戶交付專屬虛擬桌面，而與具體的承載硬件及終端軟硬件無關，變更的速度非?？斐杀镜?。應用不再與具體的操作系統(tǒng)和硬件相關，多個版本的相同軟件可以共存且軟件管理的方式更為簡單。數(shù)據(jù)安全防護是整個桌面云的共同行為，有效降低整體硬件資源利用率。通過操作系統(tǒng)刷新與重構功能，能夠高效快捷地將最新的操作系統(tǒng)補丁同步到所有的虛擬桌面，從而規(guī)避了安全風險。由于桌面云平臺服務采用了統(tǒng)一的管理平臺，有利于運維監(jiān)控、風險評估及問題排查。

3.2 設計原則

1）綠色環(huán)保原則

實施桌面云項目后，必將帶來硬件大集中、數(shù)據(jù)大集中，軟硬件資源的集中以及虛擬化技術所帶來的新功能可能導致能耗的急劇攀升，因此在設計之初就必須從節(jié)能角度出發(fā)，采購低能耗的服務器及其他硬件產品，在機房合理設計冷熱風道，利用虛擬化技術提高服務器硬件資源的利用率，通過精心優(yōu)化配置達到最佳能耗比。

2）技術先進性原則

在設計之初，對行業(yè)的主流廠商和技術進行調研，掌握當前的主流解決方案。并與兄弟院校進行橫向交流，探討在教育行業(yè)中主流解決方案的適用性。結合實際情況，在主流解決方案的基礎上，采用先進思想和技術精心設計，所采用的產品和技術成熟穩(wěn)定，具有強大的生命力。

3）配置標準化原則

在方案設計、設備選型、系統(tǒng)配置、機房建設等方面上應遵循相關的國際標準、國家標準、行業(yè)規(guī)范，并按照具體的要求進行設計及施工。

4）可擴展性原則

信息技術發(fā)展日新月異，系統(tǒng)結構必須具有較好的靈活性，以適應將來技術升級所帶的迭代擴展需求同時滿足不斷增長的業(yè)務需求。

5）安全性原則

由于桌面云環(huán)境帶來的大數(shù)據(jù)集中而產生的信息安全風險，必須考慮信息安全要素，采取必要手段保護用戶安全、網(wǎng)絡安全及虛擬機安全。

3.3 技術線路

桌面虛擬化的部署首先需實現(xiàn)基礎架構即服務功能，通過將計算資源、網(wǎng)絡資源、存儲資源進行虛擬池化后，使得這些資源具備了動態(tài)分配的能力，從而為在其上構建桌面虛擬化服務提供了支持。在底層資源池化的基礎上，構建虛擬桌面服務、虛擬應用服務及用戶層、網(wǎng)絡層、服務層安全服務，實現(xiàn)了隨時隨地的虛擬桌面訪問，應用快速管理及共存，強化了虛擬桌面的信息安全。在實現(xiàn)了桌面云基礎功能后，對桌面云的高可用性等性能方面進行了優(yōu)化，確保服務永續(xù)，同時讓桌面云的訪問更加方便快捷，讓系統(tǒng)的整體性能更符合綠色環(huán)保的要求[3]。

3.4 總體框架設計

由服務器虛擬化、網(wǎng)絡虛擬化、存儲虛擬化組成的基礎架構即服務，將計算資源、內存資源、存儲資源、網(wǎng)絡資源整合成一個虛擬的資源池，各項業(yè)務可以根據(jù)自身的需求動態(tài)地分配資源，從而提供一種智能彈性架構及快速部署的能力。

系統(tǒng)邏輯架構將采用以服務器硬件、存儲硬件及服務器虛擬化軟件組成的虛擬化基礎架構作為最底層的支撐平臺，在其上構建虛擬化基礎架構管理層與虛擬桌面會話層。虛擬化基礎架構管理層統(tǒng)一管理虛擬服務池與虛擬桌面池。虛擬桌面會話層使用虛擬桌面池的服務，并通過網(wǎng)絡接入層提供對外服務。教師及學生可通過客戶端隨時隨地訪問桌面云[4]。

3.5 數(shù)據(jù)安全優(yōu)化設計

隨著桌面云的部署，數(shù)據(jù)安全的威脅已經從傳統(tǒng)層面滲透到了虛擬層面。由于虛擬化帶來的硬件、服務和數(shù)據(jù)的大集中，假如發(fā)生安全問題，那么爆發(fā)的規(guī)模和危害性將更加巨大。因此必須在結合現(xiàn)狀和桌面虛擬化的特性，在傳統(tǒng)層面和虛擬層面分別進行安全加固，保障用戶數(shù)據(jù)安全。

3.5.1 用戶層數(shù)據(jù)安全設計

用戶層由桌面云用戶、網(wǎng)絡管理員、桌面云管理員所組成。用戶層數(shù)據(jù)安全設計如下：

1） 桌面云用戶在域環(huán)境中設置為普通用戶角色，受到域環(huán)境統(tǒng)一管理用戶名和密碼，在桌面云環(huán)境中只能訪問屬于自己的虛擬桌面。

2） 網(wǎng)絡管理員、桌面云管理員在域環(huán)境中設置為高級用戶角色，受到域環(huán)境統(tǒng)一管理用戶名和密碼，能夠訪問桌面云管理平臺。

3.5.2 網(wǎng)絡層數(shù)據(jù)安全設計

網(wǎng)絡層包括連接互聯(lián)網(wǎng)的防火墻、路由器、核心交換機、旁路的IDS入侵檢測系統(tǒng)，與服務器區(qū)串行的IPS入侵防御系統(tǒng)等。主要防御從外部網(wǎng)絡進入內部網(wǎng)絡的安全威脅[5]。

網(wǎng)絡層數(shù)據(jù)安全設計如下：

1） 防火墻具備包過濾及狀態(tài)檢測功能。禁止來自外部的非授權流量。對外只提供特定的幾個服務端口，以提高安全性。

2） 核心交換機作為網(wǎng)關設備，通過訪問控制列表嚴格限制客戶端IP地址段對桌面云的訪問以及桌面云對外部網(wǎng)絡包括內部網(wǎng)絡的訪問。

3） 在核心交換機上將所有來自桌面云系統(tǒng)的流量都鏡像給IDS入侵檢測系統(tǒng)，收集整個網(wǎng)絡的信息，監(jiān)視全部通信并查找可能的惡意攻擊。

4） 具備ByPass功能的IPS串行在核心交換機與物理服務器之間，對所有流經的流量進行深度檢測，阻止惡意攻擊。

3.5.3 服務層數(shù)據(jù)安全設計

服務層主要由承載虛擬桌面的虛擬機和提供桌面云服務的虛擬機所組成。虛擬機之間的流量都在整個服務層之內，如果借助于外部硬件設備對這部分流量進行安全防護，勢必造成服務層與網(wǎng)絡層之間的性能瓶頸。因此虛擬機之間的信息安全由服務層內部提供是最為有效的方式。因此服務層主要防御來自虛擬機內部及虛擬機之間的數(shù)據(jù)安全威脅。

服務層數(shù)據(jù)安全如下：

（1）對虛擬機進行防病毒檢測

桌面虛擬化環(huán)境下的防病毒通過某種手段實現(xiàn)桌面的安全防護，避免計算機病毒對系統(tǒng)及文件的破壞。當前，在桌面虛擬化環(huán)境下的防病毒解決方案主要包括有代理和無代理兩種方式。從總體上來說，無代理方案需要重啟物理主機，但普通虛擬機是無法感知也無須安裝任何防病毒軟件的。而有代理方案則需要在每一臺虛擬機上安裝防病毒代理客戶端，且同樣需要有專門的防病毒虛擬機。在病毒檢測率、誤報率、性能測試、CPU利用率等方面，有代理方式的綜合素質比無代理方式更高。橫向對比如表1所示：

通過橫向對比，本著具備安全防護能力的同時又不影響數(shù)據(jù)中心提供服務性能這一原則，有代理解決方案由于需要在每臺虛擬機安裝防病毒代理，其運行痕跡從心理上將給用戶帶來安全信心保障，從而對桌面云的使用樹立信心，因此在桌面云防病毒設計中，采用有代理解決方案。將來隨著無代理解決方案的進一步發(fā)展，其透明性、易用性、標準性、高性能將能為教學科研提供更加方便快捷的防病毒體驗，可成為未來升級的方向。

（2）關閉無需的系統(tǒng)服務

桌面云服務都承載在Windows Server操作系統(tǒng)上。虛擬桌面也都采用Windows操作系統(tǒng)。而Windows系統(tǒng)受到的信息安全威脅是最多的，因此為了防止攻擊，增強操作系統(tǒng)的安全性，優(yōu)化性能，在服務層所有操作系統(tǒng)上都需關閉無需的系統(tǒng)服務。

（3）利用重構技術實現(xiàn)虛擬桌面操作系統(tǒng)更新

在傳統(tǒng)機房中，要給每一臺PC更新操作系統(tǒng)補丁是非常困難的。而在桌面云環(huán)境中，通過更新模板主機操作系統(tǒng)的補丁，再利用重構技術刷新所有的虛擬桌面，可以在很短的時間內，實現(xiàn)所有虛擬桌面更新到最新的補丁，從而保障數(shù)據(jù)安全。

4 結語

高校教學機房建設一直以來是信息化建設的重點與難點。特別是隨著傳統(tǒng)機房管理的瓶頸不斷凸顯，桌面虛擬化技術向這一領域不斷滲透的背景下，通過設計好項目實施路徑圖，規(guī)避資源集中后帶來的信息安全問題，將有效提高高校機房建設運維的效率，從而為教學實施與改革創(chuàng)造更好的基礎條件。

參考文獻：

[1] 劉永.虛擬化桌面在高校計算機實驗教學中心的設計及應用[J].網(wǎng)絡安全技術與應用，2020（9）：95-96.

[2] 劉艾俠，符永衛(wèi)，王波.桌面虛擬技術在高校實驗機房的應用分析[J].電腦知識與技術，2018，14（7）：225，233.

[3] 周志成.基于虛擬化技術的桌面云在高校中的應用研究[J].信息與電腦（理論版），2020，32（20）：4-6.

[4] 梁志榮.虛擬技術在多媒體教室管理中的應用[J].福建電腦，2021，37（4）：82-86.

[5] 李輝強，姜正濤，林珊珊.虛擬化安全技術分析[J].保密科學技術，2020（10）：4-8.

【通聯(lián)編輯：李雅琪】