李金彤

（國家廣播電視總局七二三臺，河北石家莊，050000）

1 虛擬化技術概述

1.1 虛擬化概念

虛擬化技術就是指通過利用虛擬化技術，將一臺計算機模擬出多臺計算機功能，每一臺計算機都有自己獨立的操作系統(tǒng)、CPU以及儲存空間，所模擬出的計算機系統(tǒng)獨立運行并不會受到影響，與獨立實體計算機功能相同。虛擬化技術來源于市場需求，隨著計算機的普及，各行各業(yè)都離不開現(xiàn)代化辦公模式，而計算機數(shù)量的增加，為企業(yè)IT維護帶來了巨大挑戰(zhàn)。作為企業(yè)的數(shù)據(jù)中心以及網(wǎng)絡中心，在網(wǎng)絡需求增加的同時，服務器的數(shù)量也隨之增多，為了確保網(wǎng)絡的正常運行，一臺服務器需要安裝兩個應用服務，這也就導致網(wǎng)絡中心運營壓力加大，服務器數(shù)量增多，維護人員的工作量也就隨之上升，并且工作要求更為嚴格。網(wǎng)絡中心本就需要全天候運行，自身產(chǎn)生的能源消耗較大，企業(yè)所付出的成本也隨之增多。

1.2 桌面虛擬化

1.2.1 桌面虛擬化架構組成

桌面虛擬化是云計算技術中的重要組成部分，桌面虛擬化架構就是利用服務器進行集中處理，在服務器虛擬化技術的應用下，客戶機能夠在網(wǎng)絡中心的服務器中實現(xiàn)同一運算與集中，客戶機可以保留數(shù)據(jù)處理的簡單功能，在鍵盤與鼠標的同步應用下完成操作，但并不需要參與到計算機運算中。這就說明計算機的運算功能與輸入輸出的顯示功能實現(xiàn)解耦合，而后分離。在服務器終端，服務器承載著不同終端的桌面，每一終端客戶機并不局限于日常使用的計算機中，也可以是智能手機、PC電腦、平板電腦等智能終端，此類智能終端只是具備輸基本入與輸出功能，雖然不具備處理復雜數(shù)據(jù)的功能，但桌面虛擬化技術的應用能夠使得網(wǎng)絡服務器中心的功能與運算能力明顯提升，具備終端機的基礎性能，使得計算機操作范圍明顯擴大。

1.2.2 虛擬桌面服務器端

虛擬桌面服務器端一般放置于計算機網(wǎng)絡中心，主要使用性能強勁的高端服務器設備。服務器虛擬化技術的應用使得服務器系統(tǒng)存放在不同終端機的虛擬機，每一虛擬機能夠?qū)鄳挠脩糇烂?，具備存儲、硬盤等資源。

1.2.3 終端用戶桌面端

終端用戶桌面端一般采用瘦客戶機，包括顯示器、鍵盤與鼠標等設備，同時也能夠利用智能手機、平板電腦等移動智能電子設備運行。

1.2.4 連接管理中間件組件

在虛擬桌面服務器端與終端用戶桌面端之間，存在連接管理中間間組件，起到橋梁的作用，進而實現(xiàn)用戶連接與調(diào)度功能。在桌面虛擬架構中，能夠?qū)崿F(xiàn)對桌面客戶端的管理調(diào)度，進而實現(xiàn)桌面虛擬化，其中中間組件包括Broker，能夠?qū)Y源進行認證管理協(xié)調(diào)，進而使得虛擬桌面功能得以全面啟動。

1.3 桌面顯示協(xié)議

桌面顯示協(xié)議能夠?qū)⒎掌鞫颂摂M機所形成的虛擬桌面帶到客戶端，這一功能直接影響著用戶對虛擬桌面使用的感受，優(yōu)秀的顯示協(xié)議能夠使得中端用戶操作感受良好，仿佛在操作終端桌面，同時也關乎著桌面虛擬化的實際效果。當前桌面顯示協(xié)議主要包括SPICE、ICA、PCoIP、RDP等等。其中ICA為數(shù)據(jù)壓縮功能，對傳輸帶寬的要求較低。圖像顯示直接影響用戶的實際體驗效果，PCoIP能夠通過分層遞進的方式顯示出圖片，也就是先傳輸較為模糊的圖像，而后逐步清晰，SPICE的圖像傳輸體驗也較為優(yōu)異。

1.4 桌面虛擬化的應用

桌面虛擬化與傳統(tǒng)PC端相比，能耗更低，更利于對其進行管理，在前期投入的成本較少，數(shù)據(jù)的安全性能更高，受到企業(yè)、酒店與學校等多個單位的歡迎。在企業(yè)辦公中最常見的系統(tǒng)為OA、ERP以及CRM，一般使用瀏覽器登錄的方式，常用的Office辦公軟件，對硬件的要求并不高，可以使用瘦客戶機。桌面虛擬化能夠?qū)崿F(xiàn)以點帶面的方式，利用終端機來代替臺式機，尤其是對于企業(yè)集中管理的公共機房而言，操作起來更加便捷。桌面虛擬化能夠使得節(jié)能效率達到80%，終端并不需要對其進行維護，使得IT工作人員的效率明顯提升。而在酒店管理系統(tǒng)中，在應用桌面虛擬化技術時，主要是滿足網(wǎng)頁瀏覽、視頻對話、視頻播放等功能需求，通過對終端數(shù)據(jù)的統(tǒng)一管理，能夠?qū)崿F(xiàn)系統(tǒng)安全性能的有效提高，IT工作人員能夠遠程維護相關設備，節(jié)約工作時間。

2 桌面虛擬化的優(yōu)勢

2.1 內(nèi)部網(wǎng)絡數(shù)據(jù)信息不落地

終端用戶在處理虛擬桌面上的相關信息時，數(shù)據(jù)會處在網(wǎng)絡中心中，用戶所應用的辦公計算機并不會存儲與內(nèi)網(wǎng)數(shù)據(jù)相關的信息內(nèi)容。而敏感數(shù)據(jù)在生成、傳輸與消費過程中都在內(nèi)網(wǎng)的控制范圍內(nèi)，能夠有效防控因個人原因?qū)е聰?shù)據(jù)信息泄露情況的發(fā)生。

2.2 桌面配置更靈活

管理人員在配置虛擬化桌面時，可以根據(jù)不同部門的需求，業(yè)務的類型，為不同用戶部署不同的桌面硬件環(huán)境，并為其匹配相應的數(shù)據(jù)訪問權限。

2.3 滿足移動接入端需求

用戶在訪問虛擬桌面時，一般會通過VPN的方式連接辦公網(wǎng)絡，使得移動終端與固定終端應用辦公網(wǎng)絡與內(nèi)網(wǎng)相同，所制定的大多為安全管理策略，使得移動終端能夠?qū)崿F(xiàn)接入內(nèi)網(wǎng)。

2.4 可拓展性優(yōu)異

內(nèi)網(wǎng)用戶數(shù)量持續(xù)增長，屬于漸進過程，在初期階段只需要配置滿足虛擬桌面運行的服務器及硬件存儲功能即可。隨著后期用戶數(shù)量的不斷上漲，可以拓展后端服務器的存儲資源，無需對前端虛擬桌面加以改動。

2.5 降低運維工作量

虛擬桌面的系統(tǒng)與軟件都是經(jīng)過統(tǒng)一部署，而在后期調(diào)整升級以及安裝固定時，都可在后臺進行統(tǒng)一操作，這時數(shù)據(jù)中心就可以實現(xiàn)管理維護工作的全面落實，避免在傳統(tǒng)管理模式中，需要大量維護工作在終端進行，使得管理人員的工作量明顯減少，工作效率有效提升。即使在運行過程中出現(xiàn)故障，也可以通過備份功能對數(shù)據(jù)進行快速恢復[5]。

3 桌面虛擬化在內(nèi)網(wǎng)安全訪問上的保障

3.1 用戶接入控制

在辦公網(wǎng)絡邊界處，一般會部署VPN設備，通過使用L2TPVPN技術，使得身份認證方式更加完整，確保接入用戶的合法性。用戶在登錄VPN系統(tǒng)后所使用USB Key可重復使用內(nèi)網(wǎng)終端登錄系統(tǒng)的寫入數(shù)字證書，能夠有效避免雙USB Key帶來的各項困擾。

3.2 攻擊防御和防控病毒

IPS入侵防御系統(tǒng)一般在VPN網(wǎng)關后端部署，實現(xiàn)對接入用戶攻擊與病毒的防御，同時也能夠支持緩沖溢出攻擊、木馬、網(wǎng)頁篡改、網(wǎng)絡釣魚、SQL注入、間諜軟件、流量異常等多個攻擊的防御[6]。而對于虛擬用戶終端而言，可以將其納入到內(nèi)網(wǎng)殺毒系統(tǒng)進行統(tǒng)一管理，在升級病毒服務系統(tǒng)的同時，也能夠從服務器終端下發(fā)相應管理策略。

3.3 區(qū)域安全隔離

在控制不同區(qū)域用戶訪問權限時，一般會使用高性能防火墻，針對不同的用戶需求設計相應的訪問權限，禁止用戶訪問后臺系統(tǒng)。

3.4 安全審計

一般情況下，主機監(jiān)控以及審計系統(tǒng)在內(nèi)網(wǎng)中的部署較為常見，同時也會在虛擬終端上安裝客戶端，并進行打印審計、光盤審計，以及存儲介質(zhì)管理、補丁更新管理，在用戶操作業(yè)務系統(tǒng)時，一般會進行后臺審計，使其行為能夠被記錄。