云桌面在企業網絡中的應用研究

◆宋莉

（蘭州文理學院 甘肅 730010）

1 概述

隨著計算機網絡技術不斷發展，集團型企業計算機辦公內網建設近年來已逐步從注重基礎設施建設走向注重運用質量效益的發展新階段，配套政策法規日趨完善，新興技術應用迭代更新，特別是辦公內網在各分支企業內的日常辦公、教育學習、業務組織等場景中發揮了至關重要的作用。然而，隨著不斷擴大的網絡規模，接入終端的數量激增，表現出系統資源利用率不高和存在信息安全隱患等一系列問題，傳統的用戶端應用模式已無法滿足資源按需分配、信息快速獲取和終端輕量化保障的現實需要。同時，受集團發展過程中不斷進行的調整或重組影響，終端入網授權困難、管控手段缺失等問題突出。雖然近年來各分支子單位采取了一些管理手段，如主機監控、集中管理、接入控制等，但總體上缺乏體系設計。利用系統工程思維和方法解決傳統“煙囪式”、“孤島式”信息系統建設是有效改善上述問題的手段[1]，其中，利用云桌面技術并部署相關云桌面系統，開展集團型企業計算機辦公內網升級改造，正是利用系統性設計原則開展的研究活動。

云桌面技術是采用云計算的終端桌面虛擬化技術，利用傳統計算機設備提供本地網絡接入和末端處理顯示能力，通過遠程調用云端分配的計算和存儲資源，為用戶提供桌面辦公環境的應用模式，有效地將用戶交互、系統操作和數據存儲進行了松耦合。依托現有計算機網絡，向用戶提供遠程的數據訪問支持，通過云端的集中控制，實現簡化運維管理、降低維護成本、保障信息安全的能力。

采用云桌面技術的系統稱為云桌面系統，云桌面系統適用于基礎設施完備并具備一定建設規模的計算機網絡環境[2]。集團性企業在建設規模和產業投入上具備先天優勢，相關二、三級單位接入帶寬普遍達到1000M以上，應用于日常辦公、教育學習和資源共享等方面的日常應用，具備建設應用云桌面的技術條件。本文重點討論云桌面在集團型企業計算機辦公內網中的部署應用。

2 云桌面系統應用場景分析

在集團型企業計算機辦公內網中部署應用云桌面系統，是在傳統基于B/S、C/S結構的辦公系統基礎上的云端智能化轉型應用。在基礎接入層面，主要包括以各級各類用戶為主體的接入終端，是云桌面系統的最終末端用戶，其軟硬件基礎依托既有環境，在轉移云端過程中目標要實現最小代價升級和改造；在網絡層面，提供基礎互聯能力的企業內網和互聯網是承載云桌面系統的基礎網絡支撐，與此同時在網絡層面的安全策略會疊加到云桌面系統的安全能力之中，在設計和部署云桌面系統時需兼顧考慮相關影響；在應用接口層面，云桌面系統應提供便捷統一的用戶訪問接口，可采用B/S、C/S相結合的服務形式，在OA辦公、電子郵件、公共信息、后臺管理等場景下采用B/S接入模式，在即時通信、策略申請與推送等場景下采用C/S模式（如代理）接入模式，最終以一站式服務模式降低用戶學習成本，提高整個系統安全性能；在資源服務層面，云桌面系統應在服務能力上覆蓋傳統辦公系統，同時結合云端技術優勢，在安全策略分發、用戶統一管理、資源統一配置等方面提供更加便捷的管理能力；在數據處理與存儲層面，云桌面系統部署需采用成熟可靠的相關云計算技術，如虛擬化、分布式文件系統、分布式數據庫、資源管理技術以及信息安全技術等，同時各類技術下的兼容性問題也是云系統部署需重點考慮的內容。

3 云桌面系統體系結構

云桌面系統由用戶接入端和云服務中心兩部分組成，兩者間通過集團內網實現互聯互通，系統體系結構如圖1所示：

圖1 基于集團型企業計算機辦公內網的云桌面系統體系結構圖

（1）用戶接入端

用戶接入端僅具備基本的操作系統和網絡連接環境，即“輕前臺”。根據需要申請配置高、低不同的運行資源。用戶終端連接入網后，用戶通過統一登錄接口輸入用戶名密碼或利用UKey認證方式實現系統登錄，登錄后的桌面環境、存儲、計算等資源服務均由云服務中心負責提供。

（2）云服務中心

云服務中心由資源層、數據層和管理層3部分組成，即“強后臺”。①資源層，主要包含身份認證、策略配置和應用資源等模塊，身份認證模塊實現登錄用戶入網審核、識別和分組功能；策略配置模塊為已授權用戶匹配相應權限范圍、服務內容和安全策略，并推送至用戶接入端執行；應用資源模塊組織調用各類應用系統滿足用戶入網后各類服務請求，如：網上辦公、電子郵件、即時通信等。②數據層，主要負責存儲各類用戶數據、服務數據和管理數據，為資源層提供后臺數據支持，通過分布式網絡存儲和備份技術實現對海量數據的存儲調用和冗余備份。③管理層，主要面向后臺管理人員提供配置管理云服務中心能力，包括用戶注冊管理、策略資源配置、設備運維管理等內容。

4 云桌面系統主要能力特點

云桌面系統應用于集團型企業計算機辦公內網的技術特點和優勢，突出表現在以下幾點：

（1）提高資源利用率。當前多數分支子單位存在大量配發時間較長、性能偏弱、運行速度慢、升級維護困難的終端，難以應對并行任務多、資源占用高的實際應用需求，閑置或處于備份狀態未開機的現象普遍存在，很大程度上造成高性能終端需求旺盛與終端資源利用不高的矛盾。云桌面系統中，終端側的輕量級部署，降低了對終端配置的要求，計算存儲資源、應用服務部署在云端，終端通過網絡遠程訪問云端服務，根據業務需要和權限范圍訂制服務內容，在經過認證審核后，云端服務器向終端動態分配計算、任務、存儲等資源，從而減少服務資源的整體投入和終端設備的運行能耗。

（2）降低維護成本。在實際情況中，用于連接集團辦公內網的終端往往位置分散，對于地域分布廣、辦公區距離遠的單位來說，運維管理工作更是費時費力，派遣技術人員前出保障時效性差。云桌面系統采用僅配置了基本操作系統和網絡環境的“輕量化”終端遠程訪問云端網絡資源，這種“輕前臺，強后臺”的模式降低了用戶終端的硬件要求和維護成本，基本的故障處理和升級維護可交由用戶自主解決。通過系統內部集成的即時通信功能，還可為用戶提供遠程協助服務，增強維護保障時效。

（3）提高可用性和靈活性。集團型企業計算機辦公內網承載了大量業務軟件和信息系統，多數系統對終端操作系統版本有很強的依賴性，基于早期環境開發的軟件應用對新購置的終端往往不能向上兼容，需花費人力物力進行改造，影響使用效能。云桌面支持靈活的分組策略配置，能夠針對特定類型的軟件應用向終端推送兼容的操作系統，并能進一步細化各個終端的資源配置，實時掌握資源負載，動態調整資源分布，在保證終端運行穩定的同時提高了管理的靈活性[3]。

（4）增強安全防護能力。連接集團型企業計算機辦公內網終端按要求應部署防病毒、補丁升級、主機監控或入侵檢測等安全防護手段，但本地安全策略還需要用戶自行配置，難以做到全面防護，“木桶效應”明顯。2017年底，國內某央企局域網內蔓延的勒索病毒就是由于個別終端USB接口策略控制不嚴格，造成染毒U盤將病毒從外部“擺渡”進入內網的典型案例。云桌面的安全防護策略由云端統一制定，并向在網終端進行推送，策略包含系統升級、病毒查殺、漏洞封堵和行為控制等內容，無需用戶干預，既保證了內網安全策略一致，又避免了用戶操作的不確定性，降低了安全風險[4]。云桌面還支持安全態勢的實時監控和安全事件的動態告警，與身份認證系統聯動，使整個網絡的安全防護能力得到進一步提升。

5 對于云桌面應用的幾點思考

隨著企業信息化建設和數字化轉型的不斷深入，集團型企業計算機辦公內網部署應用廣泛，在網運行設備和系統類型數量繁多，資源配置情況復雜。選用云桌面系統體系化、規?；渴饡r需要充分考慮當前網絡運行情況，結合現網應用需求，采取合理過渡方案，降低對用戶造成的影響。

（1）做好統籌規劃合理組織實施

按照“統一標準、遴選試點、逐步擴展”的思路部署采用云桌面系統，認真分析研判近期和遠期企業辦公內網建設發展的實際情況，統籌考慮單位日常應用和終端部署規模、數量、方式和效果，制定標準規范和切實可行的建設方案，明確協議接口、認證機制，制定資源調配、服務類型、運行管理策略，先期遴選網絡基礎設施完備、資源容量較為充裕的分支企業組織試點建設。經過試用期后，完善相應規則、策略、流程和手段，隨后逐步拓展至更大范圍使用。

（2）優化認證機制提高兼容能力

身份認證是云桌面系統區分用戶權限、定制并推送策略的重要環節。以當前的用戶鑒權應用為例，通過在各級分支企業數據中心部署授權系統，同時在終端安裝身份認證軟件的方式進行入網認證，即用戶首先需要在本機數據中心中完成身份認證，才能正常入網訪問服務，存在管理點位分散、審批流程復雜、注冊變更困難、帶寬瓶頸制約等問題?；谏鲜銮闆r，云桌面系統身份認證機制應采取兩步走的思路：即從當前“先認證再入網”到下一步“先入網再認證”的步驟。用戶先以傳統方式通過授權系統認證后接入網絡，隨后訪問云桌面系統；云桌面系統認證完畢后，用戶開機即可接入企業內網，再輸入賬戶密碼或利用Ukey完成身份認證訪問云桌面環境。

（3）前瞻謀劃向下一代網絡過渡

目前，基于IPv4協議體系建設的集團企業辦公內網，在地址空間上暫時不存在地址枯竭的問題，但隨著更多應用系統、可穿戴設備、傳感器等入網需求的不斷增加，以及對終端接入網絡靈活性要求的不斷提升，內部網絡向IPv6體系過渡同樣是必然趨勢。IPv6協議支持地址快速分配，結合一體化身份認證與信道加密機制的聯動，云桌面的訪問能夠實現隨遇接入，用戶通過便捷式終端快速接入網絡，實現云環境下的網絡辦公和資源獲取。

（4）強化保障能力素質

通常用戶終端出現故障，企業內信息保障人員往往難以快速定位問題，遠程協助困難，處理時間長、效率低。云桌面技術旨在簡化用戶端環境，用戶在使用系統中發現問題，信息保障人員可通過后臺主動修正，遠程在線處理；發現存在安全隱患，信息保障人員遠程啟動應急策略，實施安全防護操作，防止安全事件發生。云桌面系統的應用，給前臺用戶使用和后臺運維保障兩個層面帶來輕便高效的新體驗。

我們也意識到，云服務環境在簡化用戶保障工作的同時，相比傳統數據中心更加需要完善配套的管理制度、運維規范和操作要求，以及具備同等技術素質的專業服務團隊。因此，新技術、新環境和新應用對各個層面的運維管理人員提出了更高的能力素質要求，我們只有充分儲備積累相關技術與知識，盡快完善配套設施建設，才能更好地利用新技術解決難題，達到提效增益的目的。