论文部分内容阅读
摘 要:为实现气象内网与互联网相互隔离,保障信息安全与良好的上网体验,各单位在其电子政务建设的过程中,在满足政务内网与政务外网之间物理方式隔离的同时,实现政务外网与互联网之间逻辑方式隔离。aDesk单终端双网隔离解决方案借助自身优势将桌面系统、应用程序及用户所产生的文档数据,都运行或保存在云桌面服务器上,形成安全快捷的网络管理与远程桌面应用模式。
关键词:气象;双网隔离;aDesk;云桌面
随着气象信息技术的发展,网络传输与数据应用共享等方面也产生了诸多问题。为解决各单位业务人员在数据传输应用和网络安全管理等方面遇到的问题,各地气象或其他行业信息管理者都进行了较为广泛和深入的而研究。为满足政府行业客户对电子政务的安全性需求,同时保障用户多网使用的便捷性和易用性,通过在政府行业多年的积累,以及在应用虚拟化多年的技术积累,推出aDesk桌面云单终端双网隔离解决方案。
1 桌面虚拟化
虚拟化是将计算机的各种实体资源,如服务器、网络、内存及存储等经过抽象、转换加工后呈现出来重新实现资源管理的一种技术。桌面虚拟化是指用户通过瘦客户机和网络远程访问云端的虚拟主机,所有运算和存储都不在本地,与早期的无盘工作站类似。从根本上讲,两者都是虚拟机,且底层架构相同。虚拟桌面可以批量发布,而服务器一般单个创建。从应用上讲,虚拟桌面的服务对象是终端用户,而虚拟服务器的服务对象是上层应用。
2 设计与部署
2.1 需求分析
网络隔离的模式在很大程度上解决了网络攻击问题,但同时却带来了信息交流的障碍。在此网络架构下,大连市气象局根据自身需求和特点,将日常上网用户分为机关核心用户、机关普通用户和一般业务用户。其中机关核心用户采取一人双机配置,即在双网布线模式下以内网、外网使用不同的PC来对信息加以隔离;机关普通用户采用在一台PC上安装隔离卡和独立硬盘,并通过切换系统实现内、外网的访问或信息共享;一般业务用户则根据业务需要,无需进行内、外网隔离,但需要通过部署审计管理设备和路由策略对其上网行为进行限制。此种条件下,采用成本低、性能高、安全性好的PC显得很有意义,桌面虚拟化技术对该问题给出了较好的解决方案。为了满足手机、笔记本等移动互联设备上网或办公需要,避免重新敷设网线,可采用WLAN技术,在各办公楼宇安装AP节点,通过AC访问控制,建立无线远距离覆盖、安全、稳定的网络系统。
2.2 架构设计
内外网同时访问架构。在大连至辽宁省局或县局的内网环境中,通过划分VLAN经联通专线及路由器建立了互通互访,实现了数据的传输。当内网用户访问外网地址时,经内网核心交换机和网络审计系统、防火墙等安全防护设备连接至互联网区域,并通过配置ACL策略确保上网用户的信息安全。
在双网独立运行的模式下,其终端设备可以选择利旧PC在主板上安装隔离卡及硬盘的方式实现内外网的实时切换。此时的内外网模式具有独立的存储和系统,但是二者共用内存和其他硬件,是相对安全的物理隔离方法。部分用户PC配置较差,可选择虚拟桌面实现内外网访问和隔离。采用深信服aDesk虚拟桌面技术,瘦客户机通过网络切换器(机械开关)访问远端服务器上的虚拟机,再分别接入内外网。该模式下用户在同一时刻只能选择其中一个网络内网或外网使用。
内网桌面和外网桌面处于两个相互物理隔离的网络中,两者通过网络切换器与瘦终端aDesk相连接。网络切换器是简单的机械拨片开关,在任意时刻,只能接通一路网络。瘦终端aDesk、内网桌面和外网桌面三者通过普通双绞线连接于网络切换器,内外网络的切换,通过网络切换器内部的拨片开关控制,在任意时刻,只有一路网络能与瘦终端aDesk联通,保障内网网的物理隔离。
双网隔离方案的云桌面切换具体实现流程如下:(1)判断当前网络是否发生切换;(2)若网络未发生切换,则继续使用当前云桌面;(3)若网络发生切换,则注销当前云桌面;(4)擦除瘦终端aDesk当前内存数据,并结束云桌面程序;(5)重新启动云桌面程序,连接切换后的新網络;(6)接入新网络的云桌面。
3 典型应用
在进行桌面虚拟化双网隔离之前,局机关业务人员使用PC通过内网网络连接至核心交换机,可同时访问气象内网和互联网。内外网混用的模式下,机关人员业务系统及数据信息暴露在互联网中,存在较大的安全隐患。在此模式下,内网PC及服务器产生了系统漏洞无法修复、病毒无法在线查杀等问题,形成了信息困惑。为了解决信息孤岛的问题,信息中心购买了360系统漏洞修复工具,安装在内网服务器中(该服务器可上外网)。内网PC用户通过WEB方式登录服务器端,下载安装客户端后即可定期完成系统漏洞修复或木马查杀等功能。
4 小结与展望
气象是技术密集型行业,其预报产品和统计数据关系国计民生。大连市气象局的业务模式和网络架构是地市级气象部门的缩影。本次经过充分分析讨论与规划部署的双网隔离方案综合采用了行业内最新的双网布线、隔离卡、虚拟桌面等技术优势,实现了安全、高速、优质的隔离效果。大连市气象局双网隔离方案产生的良好效应和问题挑战,也同样会存在于其他地市级气象部门。大连市气象局在网络建设方面的一些经验对其他地市级气象部门具有一定的借鉴意义。
参考文献:
[1]刘国宏,余东昌,刘旭林,刘亚楠.虚拟化技术在气象业务中的应用[J].计算技术与自动化,2013,4 (12):111122.
[2]薛志文.基于信息安全管理的网络隔离技术研究[J].石家庄学院学报,2014,11(6):5458.
[3]钱峥,赵科科,许皓皓.虚拟化技术在气象的应用[J].浙江气象,2013,2(2):2024.
[4]张凯,杨再明,宋慧宁.桌面虚拟化在多媒体教室管理中的应用[J].实验技术与管理,2017,(6):131134.
[5]李冬梅.运用双网隔离技术打造内外网新模式[J].安全视窗,2011,6(5):5051.
作者简介:王洪祥(1985),男,工学硕士,工程师,主要从事气象业务网络支撑与管理工作。
关键词:气象;双网隔离;aDesk;云桌面
随着气象信息技术的发展,网络传输与数据应用共享等方面也产生了诸多问题。为解决各单位业务人员在数据传输应用和网络安全管理等方面遇到的问题,各地气象或其他行业信息管理者都进行了较为广泛和深入的而研究。为满足政府行业客户对电子政务的安全性需求,同时保障用户多网使用的便捷性和易用性,通过在政府行业多年的积累,以及在应用虚拟化多年的技术积累,推出aDesk桌面云单终端双网隔离解决方案。
1 桌面虚拟化
虚拟化是将计算机的各种实体资源,如服务器、网络、内存及存储等经过抽象、转换加工后呈现出来重新实现资源管理的一种技术。桌面虚拟化是指用户通过瘦客户机和网络远程访问云端的虚拟主机,所有运算和存储都不在本地,与早期的无盘工作站类似。从根本上讲,两者都是虚拟机,且底层架构相同。虚拟桌面可以批量发布,而服务器一般单个创建。从应用上讲,虚拟桌面的服务对象是终端用户,而虚拟服务器的服务对象是上层应用。
2 设计与部署
2.1 需求分析
网络隔离的模式在很大程度上解决了网络攻击问题,但同时却带来了信息交流的障碍。在此网络架构下,大连市气象局根据自身需求和特点,将日常上网用户分为机关核心用户、机关普通用户和一般业务用户。其中机关核心用户采取一人双机配置,即在双网布线模式下以内网、外网使用不同的PC来对信息加以隔离;机关普通用户采用在一台PC上安装隔离卡和独立硬盘,并通过切换系统实现内、外网的访问或信息共享;一般业务用户则根据业务需要,无需进行内、外网隔离,但需要通过部署审计管理设备和路由策略对其上网行为进行限制。此种条件下,采用成本低、性能高、安全性好的PC显得很有意义,桌面虚拟化技术对该问题给出了较好的解决方案。为了满足手机、笔记本等移动互联设备上网或办公需要,避免重新敷设网线,可采用WLAN技术,在各办公楼宇安装AP节点,通过AC访问控制,建立无线远距离覆盖、安全、稳定的网络系统。
2.2 架构设计
内外网同时访问架构。在大连至辽宁省局或县局的内网环境中,通过划分VLAN经联通专线及路由器建立了互通互访,实现了数据的传输。当内网用户访问外网地址时,经内网核心交换机和网络审计系统、防火墙等安全防护设备连接至互联网区域,并通过配置ACL策略确保上网用户的信息安全。
在双网独立运行的模式下,其终端设备可以选择利旧PC在主板上安装隔离卡及硬盘的方式实现内外网的实时切换。此时的内外网模式具有独立的存储和系统,但是二者共用内存和其他硬件,是相对安全的物理隔离方法。部分用户PC配置较差,可选择虚拟桌面实现内外网访问和隔离。采用深信服aDesk虚拟桌面技术,瘦客户机通过网络切换器(机械开关)访问远端服务器上的虚拟机,再分别接入内外网。该模式下用户在同一时刻只能选择其中一个网络内网或外网使用。
内网桌面和外网桌面处于两个相互物理隔离的网络中,两者通过网络切换器与瘦终端aDesk相连接。网络切换器是简单的机械拨片开关,在任意时刻,只能接通一路网络。瘦终端aDesk、内网桌面和外网桌面三者通过普通双绞线连接于网络切换器,内外网络的切换,通过网络切换器内部的拨片开关控制,在任意时刻,只有一路网络能与瘦终端aDesk联通,保障内网网的物理隔离。
双网隔离方案的云桌面切换具体实现流程如下:(1)判断当前网络是否发生切换;(2)若网络未发生切换,则继续使用当前云桌面;(3)若网络发生切换,则注销当前云桌面;(4)擦除瘦终端aDesk当前内存数据,并结束云桌面程序;(5)重新启动云桌面程序,连接切换后的新網络;(6)接入新网络的云桌面。
3 典型应用
在进行桌面虚拟化双网隔离之前,局机关业务人员使用PC通过内网网络连接至核心交换机,可同时访问气象内网和互联网。内外网混用的模式下,机关人员业务系统及数据信息暴露在互联网中,存在较大的安全隐患。在此模式下,内网PC及服务器产生了系统漏洞无法修复、病毒无法在线查杀等问题,形成了信息困惑。为了解决信息孤岛的问题,信息中心购买了360系统漏洞修复工具,安装在内网服务器中(该服务器可上外网)。内网PC用户通过WEB方式登录服务器端,下载安装客户端后即可定期完成系统漏洞修复或木马查杀等功能。
4 小结与展望
气象是技术密集型行业,其预报产品和统计数据关系国计民生。大连市气象局的业务模式和网络架构是地市级气象部门的缩影。本次经过充分分析讨论与规划部署的双网隔离方案综合采用了行业内最新的双网布线、隔离卡、虚拟桌面等技术优势,实现了安全、高速、优质的隔离效果。大连市气象局双网隔离方案产生的良好效应和问题挑战,也同样会存在于其他地市级气象部门。大连市气象局在网络建设方面的一些经验对其他地市级气象部门具有一定的借鉴意义。
参考文献:
[1]刘国宏,余东昌,刘旭林,刘亚楠.虚拟化技术在气象业务中的应用[J].计算技术与自动化,2013,4 (12):111122.
[2]薛志文.基于信息安全管理的网络隔离技术研究[J].石家庄学院学报,2014,11(6):5458.
[3]钱峥,赵科科,许皓皓.虚拟化技术在气象的应用[J].浙江气象,2013,2(2):2024.
[4]张凯,杨再明,宋慧宁.桌面虚拟化在多媒体教室管理中的应用[J].实验技术与管理,2017,(6):131134.
[5]李冬梅.运用双网隔离技术打造内外网新模式[J].安全视窗,2011,6(5):5051.
作者简介:王洪祥(1985),男,工学硕士,工程师,主要从事气象业务网络支撑与管理工作。