关于桌面云在云南工商学院实训机房的安全设计

1、关于桌面云在云南工商学院实训机房的平安设计0 引 言桌面云把个人电脑的桌面环境通过云计算形式从物理机器上剥离出来，使其成为一种可以对外提供桌面效劳的应用，同时个人电脑的桌面环境所需的计算、存储等资源集中在后台效劳器上，这样就可取代客户端的本地计算以及存储资源，且后台效劳器的计算、资源存储也是共享、灵敏的，可以让不同个人电脑的桌面环境资源实现按需分配，从而到达提升计算机资源利用率，降低学校整体实训机房拥有本钱的目的。桌面云最核心的技术是桌面虚拟化(Virtual DesktopInfrastructure，VDI)，即虚拟桌面根底架构。它不仅仅是给学校每个客户端都配置一台运行拥有Windows

2、或Linux 操作系统的传统PC，而是在学校的数据中心部署桌面虚拟化效劳器来运行个人操作系统，无论是基于Linux 还是Windows 平台，通过指定的传输协议把学生在终端输入设备上(例如键盘、鼠标等)的操作传输给效劳器，并且在效劳器端接收指令后将运行结果回传给瘦终端设备。1 云南工商学院实训机房面临的平安问题云南工商学院实训机房一直使用功能相对全面的传统PC。而且在大多数情况下，传统PC 的性价比很高。但与此同时，在实际应用维护过程中，传统PC 也暴露出其平安方面存在的诸多弊端。1.1 难以防止设备的非法接入实训机房传统PC上的 USB 口、串口、并口假设没有做特殊设置，都可以外接设备，使用

3、传统的方法很难制止非法设备的接入，使得病毒或木马趁机入侵实训机房的传统PC，并迅速在校园网内部扩散，甚至导致校园网瘫痪。1.2 学生数据平安难以保证云南工商学院实训机房的传统PC 平时除了供学生上机实训练习外，期末还可以提供在线考试功能，但假设出现死机或硬件故障时将导致学生无法正常考试。这些考试数据如何能在传统PC 出现故障时恢复数据是亟待解决的一个重要问题。1.3 学生上网的会话与流量难以控制实训机房在非正常上课时段还为学生提供自主上网、查询资料等效劳。但有的学生常常利用BT、迅雷等P2P 软件下载电影而非学习资源，这些软件在下载任务的同时也在上传数据，而且是多任务、多线程，会对学校的网络资

4、源造成极大的浪费。此外，被木马或病毒感染的计算时机和外网产生大量的连接会话，消耗校园网出口带宽和并发连接会话资源，造成校园网络出口拥堵。1.4 学生的上网行为无法追踪由于实训机房学生的流动性，使用机房时很难进展身份验证，难以实现基于云桌面的计算根底架构，而且假设学生使用实训机房的计算机在网上发表违法言论也很难进展跟踪和定位。针对上述问题，云南工商学院将使用桌面云技术取代传统PC 机房。将采用在效劳器系统上安装桌面映像或瘦客户端运行效劳器上的桌面映像，实现基于云桌面计算根底架构的高校实训机房，全面提升系统平安性。2 基于桌面云的平安设计为保障教师教学课件及学生考试数据中心的数据平安，云桌面采用了

5、一套完好的平安架构，自下而上防止出现平安真空，并强化了虚拟化隔离技术和网络隔离技术。主要采用了分层和纵深防御的方法。分层防御(Layered Defense)指采用多种方法，在网络中的多个不同区域执行不同的平安性策略，以防止发生网络中的单点平安故障;纵深防御(Defensein Depth)指使用多重防御策略，降低管理风险，其优势在于，当一层防御被攻破时，另一层防御将会自动生效，以防止进一步的破坏。根据纵深防御和分层的思想，桌面云数据中心平安框架的网络层次自下而上可分为物理、主机/ 虚拟化、网络、业务和数据、管理维护等几个层面。2.1 桌面云终端平安设计使用桌面云的瘦终端取代传统PC，瘦终端系

6、统采用固化的Linux 嵌入OS，且无本地存储。在接入桌面云时中心效劳器对瘦终端进展合法性身份认证，把瘦终端/ 瘦终端组绑定到用户/ 用户组，开启USB 读写禁用，也可以采用802.1X 认证防止非法终端接入等方式保证终端平安。2.2 桌面云接入与认证管理平安设计采用平安用户身份认证可以使用的技术包括用户名/ 密码认证、USB KEY认证、动态口令认证、动态短信认证、指纹认证、指纹+ 密码认证，这些技术可以确保接入用户的合法性。2.3 桌面云协议平安设计平安协议采用华为自主研发的HDP 桌面协议，可用于多通道，且兼容性好。瘦终端的USB 存储可控制禁用、只读、读写功能。客户端和效劳端进展通讯时

7、，数据认证采用 s加密传输;学生瘦终端通过HDP 协议连接虚拟桌面时，桌面访问采用传输加密(HDPover SSL)技术，保证了数据的平安;教师使用Web 管理系统时，均通过 s 方式实现，传送通道统一采用SSL 技术实现加密。2.4 桌面云系统平安设计使用虚拟化平台从数据完好性验证、身份认证、数据访问控制隔离、数据加密多个方面保证学生数据的平安。系统资源释放回收时，所有剩余数据将被清零。Web 效劳的平安保障加固包括系统自动将客户恳求转换成 s，以防止跨站点脚本攻击，阻止SQL 注入式攻击及跨站恳求伪造，同时隐藏敏感信息、上传和下载文件也受到限制，且登录页面图片验证码的支持、帐号密码设置至少

8、八位，其中包括大小写和特殊字符。操作系统加固也必不可少，首先关闭不必要的效劳，其次控制文件和目录的访问权限，采用数据库加固、安装平安补丁、防病毒等手段保障管理组件虚拟机的系统平安。详细的加固措施为关闭不必要的通信端口、关闭不需开启的效劳进程，且用户对系统的访问权限、不同的账号访问权限也必须有所限制，开启效劳器的平安日志审计功能，以防止黑客通过破绽攻击系统。2.5 桌面云管理平安设计学生一旦接入桌面云，在桌面云的接入网关、认证系统和虚拟机上都有详细的日志记录，便于追查责任事故。从帐号、密码、管理员和用户权限、日志等日常管理方面加强平安措施。教师采用 s 加密保证管理访问平安，通过分权分域管理方法

9、，对不同教师的权限进展制约，且所有教师的操作都有日志记录，供事后审计。2.6 桌面云用户虚拟机平安设计在学生虚拟机上部署安装防病毒软件，防止学生的虚拟桌面遭受病毒或木马攻击。虚拟机要求配置固定IP，便于审计。当虚拟机运行时，可采用TSM 平安系统提供网络访问控制、USB 读写加密与管控、学生行为监控、补丁管理、软件分发等功能，确保学生虚拟机的运行平安。3 结 语伴随云计算的开展，桌面云也进入了全国各大高校的实训机房，与传统PC 机房相比，其优势明显，特别在平安方面有着实现简单，使用灵敏，维护方便的特点，但桌面云也不能取代所有实训机房，例如网络实训机房需要运行模拟器及虚拟机等教学软件，虚拟化效劳