当前位置:首页 > 物联网 > 《物联网技术》杂志
[导读]摘 要:文中从云南工商学院实训机房的安全需求出发,提出了桌面云的安全设计方法。首先分析了当前实训机房的安全问题,按照桌面云的虚拟基础架构,提出了通过部署桌面虚拟化服务器和瘦终端取代传统PC搭建实训机房的方法,实现对学校教学以及考试资源的统一安全高效管理。根据学校具体情况,论文重点论述了桌面云的安全设计,从多个角度详细分析了安全设计的分层防御,纵深防御的思想,涵盖了网络、系统以及用户的安全,提供了采用桌面云技术实现的高校实训机房的安全保障。

引 言

桌面云把个人电脑的桌面环境通过云计算模式从物理机器上剥离出来,使其成为一种可以对外提供桌面服务的应用, 同时个人电脑的桌面环境所需的计算、存储等资源集中在后台服务器上,这样就可取代客户端的本地计算以及存储资源,且后台服务器的计算、资源存储也是共享、灵活的,可以让不同个人电脑的桌面环境资源实现按需分配,从而达到提升计算机资源利用率,降低学校整体实训机房拥有成本的目的。

桌面云最核心的技术是桌面虚拟化(VirtualDesktop Infrastructure,VDI),即虚拟桌面基础架构。它不仅仅是给学校每个客户端都配置一台运行拥有 Windows或Linux操作系统的传统 PC,而是在学校的数据中心部署桌面虚拟化服务器来运行个人操作系统,无论是基于Linux还是Windows平台, 通过指定的传输协议把学生在终端输入设备上(例如键盘、鼠标等)的操作传输给服务器,并且在服务器端接收指令后将运行结果回传给瘦终端设备。

1 云南工商学院实训机房面临的安全问题

云南工商学院实训机房一直使用功能相对全面的传统PC。而且在大多数情况下,传统 PC 的性价比很高。但与此同时, 在实际应用维护过程中,传统 PC 也暴露出其安全方面存在的诸多弊端。

1.1 难以防止设备的非法接入

实训机房传统 PC上的 USB 口、串口、并口如果没有做特殊设置,都可以外接设备,使用传统的方法很难禁止非法设备的接入,使得病毒或木马趁机入侵实训机房的传统 PC, 并迅速在校园网内部扩散,甚至导致校园网瘫痪。

1.2 学生数据安全难以保证

云南工商学院实训机房的传统 PC 平时除了供学生上机实训练习外,期末还可以提供在线考试功能,但若出现死机或硬件故障时将导致学生无法正常考试。这些考试数据如何能在传统 PC 出现故障时恢复数据是亟待解决的一个重要问题。

1.3 学生上网的会话与流量难以控制

实训机房在非正常上课时段还为学生提供自主上网、查询资料等服务。但有的学生常常利用 BT、迅雷等 P2P 软件下载电影而非学习资源,这些软件在下载任务的同时也在上传数据,而且是多任务、多线程,会对学校的网络资源造成极大的浪费。此外,被木马或病毒感染的计算机会和外网产生大量的连接会话,消耗校园网出口带宽和并发连接会话资源,造成校园网络出口拥堵。

1.4 学生的上网行为无法追踪

由于实训机房学生的流动性,使用机房时很难进行身份验证,难以实现基于云桌面的计算基础架构,而且如果学生使用实训机房的计算机在网上发表违法言论也很难进行跟踪和定位。

针对上述问题,云南工商学院将使用桌面云技术取代传统 PC 机房。将采用在服务器系统上安装桌面映像或瘦客户端运行服务器上的桌面映像,实现基于云桌面计算基础架构的高校实训机房,全面提升系统安全性。

2 基于桌面云的安全设计

为保障教师教学课件及学生考试数据中心的数据安全, 云桌面采用了一套完整的安全架构,自下而上避免出现安全真空,并强化了虚拟化隔离技术和网络隔离技术。主要采用了分层和纵深防御的方法。分层防御(Layered Defense)指采用多种方法,在网络中的多个不同区域执行不同的安全性策略,以避免发生网络中的单点安全故障 ;纵深防御(Defense inDepth)指使用多重防御策略,降低管理风险,其优势在于, 当一层防御被攻破时,另一层防御将会自动生效,以防止进一步的破坏。

根据纵深防御和分层的思想,桌面云数据中心安全框架的网络层次自下而上可分为物理、主机 / 虚拟化、网络、业务和数据、管理维护等几个层面。

2.1 桌面云终端安全设计

使用桌面云的瘦终端取代传统 PC,瘦终端系统采用固化的Linux 嵌入OS,且无本地存储。在接入桌面云时中心服务器对瘦终端进行合法性身份认证,把瘦终端/ 瘦终端组绑定到用户/ 用户组,开启USB 读写禁用,也可以采用 802.1X 认证防止非法终端接入等方式保证终端安全。

2.2 桌面云接入与认证管理安全设计

采用安全用户身份认证可以使用的技术包括用户名/ 密码认证、USB KEY 认证、动态口令认证、动态短信认证、指纹认证、指纹+ 密码认证,这些技术可以确保接入用户的合法性。

2.3 桌面云协议安全设计

安全协议采用华为自主研发的HDP桌面协议,可用于多通道,且兼容性好。瘦终端的 USB存储可控制禁用、只读、读写功能。客户端和服务端进行通讯时,数据认证采用 Https 加密传输;学生瘦终端通过 HDP协议连接虚拟桌面时,桌面访问采用传输加密(HDPoverSSL)技术,保证了数据的安全; 教师使用Web管理系统时,均通过 Https方式实现,传送通道统一采用SSL技术实现加密。

2.4 桌面云系统安全设计

使用虚拟化平台从数据完整性验证、身份认证、数据访问控制隔离、数据加密多个方面保证学生数据的安全。系统资源释放回收时,所有剩余数据将被清零。

Web 服务的安全保障加固包括系统自动将客户请求转换成 Https,以防止跨站点脚本攻击,阻止SQL 注入式攻击及跨站请求伪造,同时隐藏敏感信息、上传和下载文件也受到限制,且登录页面图片验证码的支持、帐号密码设置至少八位, 其中包括大小写和特殊字符。

操作系统加固也必不可少,首先关闭不必要的服务,其次控制文件和目录的访问权限,采用数据库加固、安装安全补丁、防病毒等手段保障管理组件虚拟机的系统安全。具体的加固措施为关闭不必要的通信端口、关闭不需开启的服务进程,且用户对系统的访问权限、不同的账号访问权限也必须有所限制,开启服务器的安全日志审计功能,以避免黑客通过漏洞攻击系统。

2.5 桌面云管理安全设计

学生一旦接入桌面云,在桌面云的接入网关、认证系统和虚拟机上都有详细的日志记录,便于追查责任事故。从帐号、密码、管理员和用户权限、日志等日常管理方面加强安全措施。教师采用Https 加密保证管理访问安全,通过分权分域管理方法,对不同教师的权限进行制约,且所有教师的操作都有日志记录,供事后审计。

2.6 桌面云用户虚拟机安全设计

在学生虚拟机上部署安装防病毒软件,防止学生的虚拟桌面遭受病毒或木马攻击。虚拟机要求配置固定IP,便于审计。当虚拟机运行时,可采用 TSM 安全系统提供网络访问控制、USB 读写加密与管控、学生行为监控、补丁管理、软件分发等功能,确保学生虚拟机的运行安全。

3 结 语

伴随云计算的发展,桌面云也进入了全国各大高校的实训机房,与传统 PC 机房相比,其优势明显,特别在安全方面有着实现简单,使用灵活,维护方便的特点,但桌面云也不能取代所有实训机房,例如网络实训机房需要运行模拟器及虚拟机等教学软件,虚拟化服务器在这方面的硬件性能不够强大, 无法正常运行以上教学软件,不能满足常规教学需求,所以云南工商学院的实训机房采用传统 PC 机实训机房与桌面云实训机房相结合的方式,以满足学生的各类需求。

本站声明: 本文章由作者或相关机构授权发布,目的在于传递更多信息,并不代表本站赞同其观点,本站亦不保证或承诺内容真实性等。需要转载请联系该专栏作者,如若文章内容侵犯您的权益,请及时联系本站删除。
换一批
延伸阅读

9月2日消息,不造车的华为或将催生出更大的独角兽公司,随着阿维塔和赛力斯的入局,华为引望愈发显得引人瞩目。

关键字: 阿维塔 塞力斯 华为

加利福尼亚州圣克拉拉县2024年8月30日 /美通社/ -- 数字化转型技术解决方案公司Trianz今天宣布,该公司与Amazon Web Services (AWS)签订了...

关键字: AWS AN BSP 数字化

伦敦2024年8月29日 /美通社/ -- 英国汽车技术公司SODA.Auto推出其旗舰产品SODA V,这是全球首款涵盖汽车工程师从创意到认证的所有需求的工具,可用于创建软件定义汽车。 SODA V工具的开发耗时1.5...

关键字: 汽车 人工智能 智能驱动 BSP

北京2024年8月28日 /美通社/ -- 越来越多用户希望企业业务能7×24不间断运行,同时企业却面临越来越多业务中断的风险,如企业系统复杂性的增加,频繁的功能更新和发布等。如何确保业务连续性,提升韧性,成...

关键字: 亚马逊 解密 控制平面 BSP

8月30日消息,据媒体报道,腾讯和网易近期正在缩减他们对日本游戏市场的投资。

关键字: 腾讯 编码器 CPU

8月28日消息,今天上午,2024中国国际大数据产业博览会开幕式在贵阳举行,华为董事、质量流程IT总裁陶景文发表了演讲。

关键字: 华为 12nm EDA 半导体

8月28日消息,在2024中国国际大数据产业博览会上,华为常务董事、华为云CEO张平安发表演讲称,数字世界的话语权最终是由生态的繁荣决定的。

关键字: 华为 12nm 手机 卫星通信

要点: 有效应对环境变化,经营业绩稳中有升 落实提质增效举措,毛利润率延续升势 战略布局成效显著,战新业务引领增长 以科技创新为引领,提升企业核心竞争力 坚持高质量发展策略,塑强核心竞争优势...

关键字: 通信 BSP 电信运营商 数字经济

北京2024年8月27日 /美通社/ -- 8月21日,由中央广播电视总台与中国电影电视技术学会联合牵头组建的NVI技术创新联盟在BIRTV2024超高清全产业链发展研讨会上宣布正式成立。 活动现场 NVI技术创新联...

关键字: VI 传输协议 音频 BSP

北京2024年8月27日 /美通社/ -- 在8月23日举办的2024年长三角生态绿色一体化发展示范区联合招商会上,软通动力信息技术(集团)股份有限公司(以下简称"软通动力")与长三角投资(上海)有限...

关键字: BSP 信息技术
关闭
关闭