谈虚拟化云终端应用实施解决方案的需求与设计

[摘 要]采用桌面虚拟化技术和管理平台，将桌面操作系统/应用/数据等，传统由终端个人电脑处理的事务迁移到数据中心，重点研究解决以下几个难题：数据高安全性，确保数据万无一失；性能优势，发挥强大的数据运算能力；低维护成本，管理端维护快捷，终端免维护。本篇论文结合国家电网公司员工处理业务系统（协同办公、营销系统、PMS、ERP、及辅助生产、营销系统）等工作，企业重要商业秘密、企业敏感信息、重要信息、公司生产、营销、财务、稽查数据全部是在个人计算机终端上完成，用户可以通过使用移动硬盘等设备任意拷贝数据，造成敏感、重要（商业）信息泄密事件的发生。另外，公司计算机终端 外地有U盘，易受病毒感染，造成重要数据被破坏，也可能给企业带来不可估量的损失。其次，违规外联、高危险漏洞、弱口令、单机版数据库安全性及入侵、木马与病毒等都存在企业（重要信息）及数据篡改、窃取、破坏等危险。针对以上问题，本文提出了虚拟化云终端应用实施解决方案的需求与设计。

[关键词]云终端 技术 应用 方案 设计

中图分类号：TP 文献标识码：A 文章编号：1009-914X（2017）10-0095-02

0 引言

2016年，国家电网公司了最新版《信息化企业标准评价体系》，提出了以“三融三化”为核心建设信息化企业，到2020年国网公司所属各单位均要通过信息化企业评价的新要求。建设信息化企业，一要与电网紧密结合，一体化推进、标准化实施，实现信息化对公司各单位、各项业务、各层人员的全覆盖，对智能电网发、输、变、配、用、调六个环节的全贯通，电力流、业务流、信息流三流合一。二要实现信息化与公司战略、业务运营、企业文化和创新发展深度融合，实现信通技术与电网运行、经营管理和客户服务深度融合，用数据和信息提升电网安全、运营效益、服务水平和新业务拓展。要求进一步提升信息安全防护能力、强化系统安全、业务安全、工控安全、数据安全，特别要加强“互联网+”等新业务安全防范，落实电力监控系统安全防护管理要求，完善各级调度、变电站、配电自动化、用电信息采集、新能源并网等安全防护措施，确保电力工控系统安全。

公司员工处理业务系统（协同办公、营销系统、PMS、ERP、及辅助生产、营销系统）等工作，企业重要商业秘密、企业敏感信息、重要信息、公司生产、营销、财务、稽查数据全部是在个人计算机终端上完成，用户可以通过使用移动U盘等设备任意拷贝数据，容易造成敏感、重要（商业）信息泄密事件的发生。另外，公司计算机终端 外地有硬盘，易受病毒感染，造成重要数据被破坏，也可能给企业带来不可估量的损失。其次，违规外联、高危险漏洞、弱口令、单机版数据库安全性及入侵、木马与病毒等都存在企业（重要信息）及数据篡改、窃取、破坏等危险。

1 现阶段办公网现状

目前办公网终端均为分散管理，每台终端都要单独进行维护、管理及安全加固，这对网络管理员来讲是个极大的挑战。另外，虽然采取了一些安全防护技术，但是从实际效果看并不十分理想如何从根本上解决信息网终端的管理和安全问题变得格外紧迫。

1.1 数据安全存在隐患

目前传统办公用户的数据均存放在个人计算机终端上，业务数据难以得到集中的安全管控、备份和恢复，系统补丁无法进行集中有效的安装，安全策略无法确保100%实施。给公司的运维管理带来不便，并且形成数据安全隐患。且目前分店较多，数据分散。如何保证办公用户的数据安全是公司目前迫切需要解决的问题。

1.2 运维难题，运维成本高

公司计算机终端设备的维护方面，经过一段时间的使用后，计算机终端硬件故障和软件故障逐渐增多，系统维护工作量大，在计算机维护人员相对紧张的情况下，目前公司缺乏计算机终端终端统一维护管理技术措施，管理员将随着公司计算机终端增加而带来更大挑战，每天超负荷忙碌在用户桌面公司计算机终端 设备的购买、安装、维护工作中，疲于奔命但却因用户桌面应用交付成本高、交付周期长、应用效果差而得不到用户的认可。当运维人员的精力都集中到终端桌面的维护上，他们就没有足够的时间和人力关注后台业务系统的运维和优化，而这一点恰恰是信息化发展的关键。

1.3 应用灵活性低

随着业务系统与企业日常活动结合紧密程度的不断提高，在当今瞬息万变的工作活动中，公司常需新增新的应用、升级现有应用等，针对这些需求，传统公司计算机终端 应用已经逐渐显漏出灵活性不足所带来的问题。

1.4外设难以管控

公司计算机终端进行办公，对外接设备如串口、并口、USB接口无法进行有效的管控，尤其是移动存储类设备的管控，常常带来数据外泄、带入病毒等问题。

1.5 降低硬件采购成本，提高投资回报率

传统模式需要不断在网络和硬件上投Y，不停地更新换代，同时需要维持庞大的技术支持维护队伍对整个系统，特别是桌面终端进行维护，对公司来讲是一项低回报的投资。

2.把操作系统、应用和数据从底层的PC硬件中分离，然后移动到数据中心，集中管理物理资源、桌面资源、应用资源、终端资源及用户，实现统一部署，统一管理，实现了终端与信息分离，本地终端无任何存储数据，桌面数据在后台数据中心（集中的计算、存储和网络），按需向最终用户交付满足用户需求的的桌面应用而传输到终端显示的仅是屏幕、键盘、鼠标信息。

虚拟桌面后台基础架构由产品RVS 和RvsManger 组成，为桌面虚拟化提供后台的虚拟机及其管理支持。而虚拟桌面交付平台的功能则由产品RCD 提供。

用户通过瘦客户机、PC、Windows Client等，通过网络访问RCD虚拟桌面交付系统，再由RCD到AD通过用户身份验证后便可根据角色权限来访问位于数据中心的虚拟桌面应用。在用户使用虚拟桌面的过程中，用户可以根据公司安全访问策略权限的允许，在终端上使用打印机、U盘等外设。整个过程中，用户与虚拟桌面的通信和数据都受到安全策略保护，同时桌面虚拟化系统解决方案还提供日志管理功能帮助公司记录所有发生的事件，提供给公司作为公司系统维护以及安全防范、事后追溯的依据。

3.总体架构

桌面虚拟化将采用基于桌面虚拟机化的解决方案，其架构如图1：

4.虚拟化云终端的基本原理

通过对用户和桌面应用的统一管理和调度，为用户提供远高质量的桌面应用体验，为管理员提供高效率的IT 运维管理和快速的IT 服务响应能力。产品由用户的管理及身份认证、桌面应用资源池管理和分配、用户桌面应用个性化配置管理、终端外设接入管理、安全审计、日志管理部分组成。

在办公网络环境中，管理员通过在后台基础架构软件将服务器平台虚拟化，并在上面通过创建好桌面虚拟机模板，然后通过RCD根据业务需要创建一个或多个桌面资源池，每个桌面资源池都可以通^RCD桌面镜像管理技术迅速部署多个虚拟桌面。管理员通过采用微软活动目录域用户身份管理模式，实现公司用户身份统一认证、统一管理。

用户通过客户机、PC、Windows Client等，通过网络访问RCD虚拟桌面交付系统，再由RCD到AD通过用户身份验证后便可根据角色权限来访问位于数据中心的虚拟桌面应用。在用户使用虚拟桌面的过程中，用户可以根据公司安全访问策略权限的允许，在终端上使用打印机、U盘等外设。

5.桌面虚拟化方案设计目标

5.1 桌面和应用全部运行在数据中心，保证设计数据等信息的安全性；

5.2 桌面集中托管于数据中心，在数据中心进行集中的部署、维护和管理；

5.3 可以迅速地部署操作系统；

5.4 将应用的升级、变更、维护等工作交由后台统一管理和运行，在系统上而不是在用户终端上进行集中、配置和更新，终端用户无需任何变动即可获得最新应用和服务，减少终端所需的运维支持力度；

5.5 提供接近于本地应用的最终客户体验、并且最大限度保持原有的用户使用习惯；

5.6 构架设计遵循开放、灵活的原则，以不同类型用户的需求，如普通办公用户、公共网络教室、呼叫中心和移动办公用户等；

5.7 桌面虚拟化方案可以适应主流的服务器、客户端的硬件配置，对现有的服务器、PC等设备，可充分利用，便于日常维护；

6.网络与安全规划

客户端与虚拟化基础服务器上的虚拟机间利用原有的局域网环境、公司业务发展及管理需求，以数据的机密性、可用性、完整性为基本原则。

6.1 虚拟化系统的安全规划

6.1.1 对Windows操作系统加固

6.1.1.1 设置系统注册表重要键值。

6.1.1.2 设置系统运行服务。

6.1.1.3 设置系统审核规则。

6.1.1.4 管理系统帐号。

6.1.1.5 及时更新系统安全补丁。

6.1.2 对数据库加固

6.1.2.1 数据库使用当前最新的主流版本，并打上当前最新安全补丁。

6.1.2.2 数据库不使用默认帐号和口令，且口令设置复杂度满足安全需求。

6.1.2.3 数据库服务监听端口使用非默认端口。

6.1.2.4 使用单独的操作系统帐号来运行数据库。

6.1.2.5 严格控制数据库中敏感文件的访问权限。

6.1.2.6 清晰划分数据库帐户权限，所有数据库帐号只能具备执行任务的最小权限。

6.1.2.7 对具有监听器功能的数据库设置监听器密码。

6.1.2.8 数据库提供安全日志审计功能，开启审计功能选项。

7.结束语

以桌面虚拟化技术为底层核心，在数据中心的服务器上按需生成大量生产、营销、物资、财务、营销稽查所需的桌面系统应用环境，这些虚拟桌面具备和传统公司计算机终端或工作站一样的计算处理能力。实现桌面云系统被企业数据中心集中管理，终端不存储任何研发办公数据，充分满足了企业数据安全集中管理需求。提升了用户工作效率及数扰安全性，降低了企业桌面运营管理成本。即时可完成成千上万台桌面终端的系统补丁、病毒库更新100%有效升级，全面提升安全防护能力；自带流量控制、外设控制、磁盘加密、ARP防护等众多模块、支持负载均衡和冗余热备，业务永不中断。系统部署的网络环境最差可以低至1Mb，甚至网络故障或者中断，终端仍然可以继续单机工作，避免网络中断影响工作效率。

参考文献

[1] 基于虚拟化技术的云终端应用.《移动通信》2016年第10期.

[2] XenDesktop.[EB/OL].htt：//.cn/products/xendesktop/index.asp.

[3] 存储对桌面云的影响分析.《中国高新技术企业》2015年第8期.

[4] 桌面云终端系统在电力行业中的典型应用.《电力信息通信技术》，2014年第12期.