桌面虛擬化研究及應用

郭樂

【摘要】隨著信息時代的到來，桌面虛擬化已經成為了現代化信息產業中非常重要的一部分，本文首先對桌面虛擬化的相關內容進行了介紹，隨后針對桌面虛擬化的研究和應用的有關內容進行了分析，并提出了在相關領域的應用，供相應的計算機和互聯網行業的人員參考。

【關鍵詞】桌面；虛擬化；研究；應用

一、前言

隨著社會的發展，信息化的普及，信息化的建設實現了從無到有，從實體應用到虛擬應用的轉化。虛擬化不僅僅為企業單位節省了購置新設備的開銷，更為信息中心集中化管理，合理分配資源提供了堅實的基礎。桌面虛擬化基于虛擬化應用平臺交付和虛化框架平臺的集成，依賴于服務器虛擬化。桌面虛擬化的信息安全問題，是虛擬化新技術與信息安全的交集。桌面虛擬化安全是值得探討的一個話題，其目標是打造為企業重要信息提供可靠支撐的信息化保障體系，為企業帶來更高的實際利益。

二、桌面終端安全分析

1、桌面虛擬化背景分析

桌面虛擬化是指將計算機的桌面進行虛擬化，使用戶可以通過安全網絡在任何設備，任何地點，任何時間遠程訪問屬于其個人的桌面，并獲得與傳統 PC 機一致的用戶體驗。桌面虛擬化不是由本地操作系統產生的，而是由后臺數據中心生成，并完成交付的工作，其擁有

集中管理、可擴展的管理、簡化的部署等特性。

目前， VDI（ Virtual Desktop Infrastructure） 是 桌面虛擬化的主流架構與部署方式，當前主流的虛擬桌面技術廠商，都已經確定了各自主打的桌面顯示協議，如 Microsoft 的 RDP、 Citrix 的 ICA/HDX、 Red Hat 的SPICE、 VMware 的 PCoIP 等。桌面虛擬化通過統一的遠程訪問協議來進行桌面訪問，這樣的好處是顯而易見的， IT 人員只需要做好其中一條防線的保護。

2、桌面虛擬化安全問題

云計算是桌面虛擬化的重要支撐，是一個 IT 基礎架構的研究熱點，虛擬桌面重新回收分散的桌面分布，集中到數據中心統一部署和管理，這大大方便了桌面維護工程師的工作。桌面虛擬化技術的應用大大提高了桌面的可用性，而性能也可以通過使用新的、更強大的服務器不斷提高。桌面虛擬化在內網安全方面的提升很明顯，例如防止數據丟失，數據備份，系統的簡化等。但由于信息化的不斷發展，桌面虛擬化應用隨之普及，也帶來了一些新的安全問題。例如 Blue pill 攻擊，它通過良好的處理內核模式存儲轉換，使用 VMRUN 以及相關的 SVM 指令，對第三方軟件進行欺騙操作，取得系統的進入許可，如使用虛擬主機進行跳板攻擊，將大大威脅數據中心的整體安全。另外，資源濫用也不容忽視，個別用戶的資源濫用，可導致其他桌面用戶體驗受影響。桌面虛擬化因用戶群體關系，基本上基于 Windows系統，但 Windows 安全性的一些問題不容忽視。為解決這些問題，管理員會使用傳統的殺毒軟件及防火墻進行部署，但對于桌面虛擬化環境，這并沒有提高效率，還可能出現嚴重的問題。例如，殺毒軟件的不合理設置，可能導致殺毒風暴的出現，這將耗盡數據中心所有資源，導致數據中心宕機。

因此，對于數據中心的運維而言，迫切需要一套新的運維方式和技術手段去保障系統的穩定和安全。

三、桌面虛擬化優勢

任何新技術都有其特有的優勢，桌面虛擬化也不例外，以下我們對桌面虛擬化的優勢進行分析。

1、高可用性

桌面虛擬化可以客戶機為粒度進行封裝，可以方便地實現快照（ snapshot）、 克 隆（ clone）、 遷 移（ migration）、 掛 起（ suspend）和 恢 復（ re-sume）。從而大大提供系統高可用性和可維護性。利用以上的功能封裝，有助于減少數據備份和恢復過程的代價。在虛擬化環境中通過快照、 克隆、 遷移等方式進行虛擬機的快速恢復，比傳統的操作系統安裝、 環境配置、 重新配置應用、 再恢復數據等繁瑣的步驟簡單高效。從而減少宕機時間，減少業務中斷帶來的風險，增加業務連續性、 提高服務水平和信譽度。

2、提高資源使用率

針對桌面應用，大多為清負載應用，且熱點較少。利用桌面虛擬化，可使多臺客戶機在虛擬化平臺的統一調度下，共享硬件資源，并交替忙閑運行，可以極大提高硬件資源的使用效率，同時降低對硬件的整體投資，還能整體降低系統運營費用（空間、 電力和散熱等）。

3、隔離

客戶機是運行在虛擬化平臺之上的一個獨立實例，因此一個客戶機的故障不會影響到另外一個客戶機的運行。而物理主機和客戶機之間、客戶機之問無法直接通信。盡管多個操作系統運行一臺物理機器上，共享使用外設和網絡，但他們之間通信更類似于網絡中松散耦合的節點。

4、抽象

由于虛擬化平臺的存在，客戶機并不感知硬件的差別，可以自由的在不同的硬件上方面的遷移，屏蔽了硬件的多樣性和復雜性，便于系統的開發，同時能夠方便服務的提供和部署。

四、桌面虛擬化后期研發和應用

1、加強用戶身份認證與訪問控制

為保障用戶接入的安全，虛擬化桌面系統需具備更加嚴格的終端身份認證機制，需支持豐富的認證、 鑒權模式。同時，桌面虛擬化系統支持用戶通過瘦終端、 物理 PC 等，采用外接智能卡方式，實現用戶遠程接入的身份認證。

需要在虛擬機的內部和外部建立完善的權限和訪問控制機制，提供細化的訪問控制粒度，以適應虛擬資源類型、 用戶角色和訪問控制協議。同時進一步保證每個虛擬機的權限和資源訪問能力，建立基于虛擬機的程序控制列表，使得每臺虛擬化桌面可以訪問不同的應用程序，可以獲得不同的虛擬化桌面。

2、實現傳輸通道的安全保護

傳輸通道的安全保護主要從設備間通信、遠程介入以及遷移安全這幾個方面進行。首先虛擬化桌面和服務端的通訊可以通過 SSL 協議進行傳輸加密，確保整體傳輸過程中的安全性；其次為遠程接入設備提供安全連接點，為防火墻保護以外的設備遠程接入；針對遷移可以通過硬件建立虛擬桌面的加密傳輸通道，保證系統在遷移的過程中不會被復制。

3、提高數據集中存儲的安全性

桌面虛擬化技術中對集中存儲的保護是最重要的部分，一旦集中存儲遭到破壞，整個虛擬架構就會受到嚴重的影響。在虛擬桌面的環境中，一般采用專業的加密設備進行加密存儲的方式，并且為了滿足合規范的要求，加密算法應當可以由用戶指定。

虛擬化桌面系統盤支持差分模式和獨立運行模式，差分模式允許用戶在共享系統盤的基礎上，保留自己的私有數據，包括應用和系統數據；獨立運行模式不允許用戶修改系統盤，所有的修改在虛擬桌面重啟后均會丟失。任何人員（包括管理員）無法訪問他人虛擬桌面鏡像文件中的用戶數據信息。

五、結束語

綜上所述，本文針對桌面虛擬化的研究的有關內容進行了分析，在此基礎上分析了目前桌面虛擬化的研究熱點，關于信息安全的有關問題進行了分析，最后提出了相應安全策略方案，供相關的信息技術人員參考。

參考文獻

[1] 徐浩， 蘭雨晴. 基于SPICE協議的桌面虛擬化技術研究與改進方案[J]. 計算機工程與科學， 2013， 第12期：20-25.

[2] 李春榆. 淺析基于VMare ACE的桌面虛擬化在企業中的應用[J]. 電腦知識與技術， 2014， 06期.

[3] 馬文杰. 桌面虛擬化技術在高校數字化校園中的研究與應用[J]. 凱里學院學報， 2014， 第6期：95-97.

[4] 黃健， 阮燦華， 舒兆港. 探索桌面虛擬化在全國計算機等級考試中的應用[J]. 實驗技術與管理， 2014， 第3期：118-121.