基于云桌面的多媒體培訓教室的安全性保障

劉朋熙++杜炳++汪慧

摘 要 基于云桌面的智能多媒體教室采用最新的云技術，將運行在PC上的桌面、應用和數據統一遷移到數據中心的服務器，這樣不僅可以有效解決桌面部署和管理的難題，而且還可為用戶提供工作所需的桌面靈活性和可訪問性，實現隨時隨地的訪問。

【關鍵詞】云桌面 安全性 多媒體教室

1 引言

隨著個性化學習、教育教學改革等新教學需求的提出，教育信息化面臨著新一輪的挑戰，與此同時信息技術的飛速發展也為教育信息化提供了新的建設機遇。教學中計算機教室、多媒體電教室的應用是信息化教育的主場景，計算機桌面管理和IT環境的運維安全性，對企業至關重要。

2 基于云桌面的多媒體教室安全性

基于云桌面的多媒體教室部署運維效率高，可大幅減少桌面運維工作量，降低整體投資并保障桌面數據的安全性。

2.1 部署架構

基于云桌面的多媒體教室建設方案主要包括三個重要部分：服務器端、網絡交換和瘦終端。

服務器端內部集成有虛擬化軟件，提供存儲虛擬化、服務器虛擬化和桌面虛擬化。瘦終端，提供給操作者可實際操作的硬件，集成有普通PC常用接口如USB、串口和音頻等。

整個系統部署架構如圖1。

2.2 安全性設計

虛擬桌面從防范非法用戶和惡意系統管理員的角度進行全方位的安全防范，保證接入虛擬桌面的用戶和數據高度安全性，針對各分層采用安全措施具體如下：

2.2.1 終端安全

采用精簡加固基于Android OS，瘦客戶機無本地存儲，數據總是存放在最安全的地方。用戶接入虛擬桌面資源時通過合法性認證、USB靈活可控策略、應用策略化控制、還原模式等方式保證終端安全。

（1）集成本地認證、短信認證、動態令牌、數字證書、第三方認證等身份認證機制，而且多種身份認證方式可以自由組合，以確保接入用戶的身份唯一性；

（2）基于靈活策略設置USB端口使用權限，比如是否允許使用USB設備（包括打印機、掃描儀等）；

（3）基于策略的訪問控制：可以根據用戶、網絡、服務、設備、系統等，通過關聯的策略為他們分配合適的訪問權限；

（4）桌面注銷時還原至原始狀態，該模式下，除了指定的一些目錄外，用戶所做的操作都會在重啟后被還原。

2.2.2 傳輸安全

通過VLAN隔離，并內置企業級防火墻模塊進行狀態化ACL訪問控制，管理員登錄時采用HTTPS加密傳輸、用戶訪問虛擬桌面采用傳輸加密等手段，保證業務運行和維護安全。

（1）終端到虛擬桌面之間僅傳輸圖像變化和指令信息，不直接傳輸實際數據，也即是說，“瘦終端+云桌面”讓數據不落地，保障傳輸安全性；

（2）可對傳輸加密通道進行基于IP、服務的訪問控制策略，減少異常流量的傳輸，且支持同一傳輸通道不同會話的隔離控制，包括存儲會話、虛擬打印會話、總線映射會話等等，從而提升傳輸通道的靈活度；

（3）通過對終端到虛擬桌面進行全程流量加密，杜絕中間人攻擊行為，目前支持AES、DES、3DES、MD5、SHA、DH、RSA等算法，并且支持擴展國密辦SCB2（SM1）等其他加密算法，確保通信的安全性；

（4）在桌面云接入平臺上內置了企業級防火墻模塊，通過靈活的ACL訪問控制策略和DDoS設置，為整個平臺提供狀態包過濾和基本安全保護。

2.2.3 平臺安全

虛擬化基礎架構（VMS）的安全性關系到整個虛擬桌面訪問的穩定性和數據安全性，本方案首先通過高可用性設計滿足業務穩定性需求，然后再通過虛擬機隔離、數據盤加密控制、管理員權限細化等安全機制保證用戶數據的安全。

（1）在獨享桌面的情況下，每用戶獨占一個虛擬機，通過VMS底層機制實現CPU調度、內存、網絡訪問、磁盤IO、存儲空間的隔離，用戶虛擬機的故障和安全問題不會影響到其他用戶，保證虛擬機之間的隔離安全；

（2）每用戶都會分配個人數據盤來存放文檔，當用戶遷移至虛擬桌面的使用模式后，所有數據都集中存儲于數據中心。因此，通過為個人數據盤進行加密存儲，讓其他用戶包括管理員都無法訪問，可以保證用戶個人穩私安全；

（3）不同管理員角色，授予合適的管轄權限范圍，并保存操作日志。支持分級管理權限，包括上級管理員有權操作下級管理員的配置行為，相反則無權；支持上級管理員將虛擬桌面資源授權給下級管理員。

3 總結與展望

針對一些數據安全性要求較高的企業多媒體教室，本文給出了基于云桌面的安全性解決方案，通過終端安全、傳輸安全、平臺安全三大層次的端到端、多方位安全機制，可以完善保障用戶接入安全、數據安全、管理安全、虛擬化安全、基礎設施安全等多個建設環節，輕松應對虛擬桌面在建設過程中所面臨的安全威脅及挑戰。

在提高系統安全性的前提下，后期應繼續考慮融入高清視頻處理和本地解碼技術，保障客戶最佳的視頻觀看體驗。

參考文獻

[1]樊昌秀.多媒體教室的桌面虛擬化探索[J].長沙大學學報，2012（05）.

[2]林飛躍，林先津.云桌面在教學管理中的應用[J].實驗室研究與探索，2013（10）.

[3]林先津.桌面虛擬化技術在分布式設備管理中的研究與應用[J].試驗技術與管理，2013（04）.

[4]葉新東.未來課堂軟件環境的設計與實現[J].現代教育技術，2013（10）.

作者單位

1.國網安徽省電力公司 安徽省合肥市 230061

2.國網蕪湖供電公司 安徽省蕪湖市 241000