CN113220398B - 一种智能的多架构融合型安全桌面云系统 - Google Patents
一种智能的多架构融合型安全桌面云系统 Download PDFInfo
- Publication number
- CN113220398B CN113220398B CN202110530847.0A CN202110530847A CN113220398B CN 113220398 B CN113220398 B CN 113220398B CN 202110530847 A CN202110530847 A CN 202110530847A CN 113220398 B CN113220398 B CN 113220398B
- Authority
- CN
- China
- Prior art keywords
- desktop
- cloud
- management
- terminal
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/451—Execution arrangements for user interfaces
- G06F9/452—Remote windowing, e.g. X-Window System, desktop virtualisation
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
- G06F2009/45595—Network integration; Enabling network access in virtual machine instances
Landscapes
- Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Human Computer Interaction (AREA)
- Storage Device Security (AREA)
Abstract
一种智能的多架构融合型安全桌面云系统,基于自主可控、安全可靠的鲲鹏、龙/兆芯、飞腾、麒麟芯片处理器和国产化操作系统多架构融合型自主可控云计算平台和集中管控离在线职业教育、办公信息系统。其特征在于,包括量子安全桌面云终端单元或桌面云终端单元、云资源池单元、云管理平台单元和安全认证审计机制单元。本发明的有益效果:系统融合统一VDI、IDV、VOI镜像,及引入RDS模式,解决不同行业领域中各类用户场景的异同硬件配置启动合适的云桌面,减少客户的资源浪费。同时,根据用户的硬件配置,自动分配合适的云桌面,用户不用在思考改使用哪种的云桌面,为用户省时省力,节约资源。并提高了云桌面连接的稳定性,能有效提升用户体验。
Description
技术领域
本发明创造涉及桌面云系统服务平台领域,具体涉及一种智能的多架构融合型安全桌面云系统。
背景技术
传统意义上的云桌面指的是将用户的桌面系统(windows或linux)安装在服务器上的虚拟机当中,利用虚拟化技术带来的灵活性,实现用户的桌面系统统一管理,动态发放与运行,灵活分配与回收的效果。传统云桌面的典型技术是VDI(Virtual DesktopInfrastructure)虚拟桌面架构,即集中部署,集中运行,瘦终端远程连接的模式。
随着硬件虚拟化能力在PC平台上的逐渐成熟,英特尔公司又提出了一种革新性的框架IDV(Intelligent Desktop Virtualization)智能桌面虚拟化,与VDI模式所有桌面计算资源高度集中在数据中心、界面发送至终端设备不同,IDV采取更多的是分布式运算来满足运营技术需求,同时集中和简化管理和部署功能。IDV的计算资源都在本地,可以提供更好的视频体验,更好支持3D运算、外设兼容性等能力,以及网络中断可继续运行等优点。
由于VDI技术集中部署,集中运行,远程连接的特征,带来了包括前期成本、存储相关的技术挑战、不确定的TCO以及很多情况下对网络的依赖,使得脱机使用变得十分困难。同时,VDI对各种可用外围设备存有某些限制,消耗大量带宽资源的外围设备也暴露出低带宽下出现的问题。
IDV虽然解决了VDI模式下的网络依赖、高带宽、离线不可用等问题,但也带来对PC硬件虚拟化能力的要求,必须在Intel Broadwell及以后的CPU上才可以相对流畅的使用。
综上所述,无论是早期的VDI模式以及后来提出的IDV模式,都有缺点,不能完美的解决用户场景需求,其次对用户使用的设计有架构以及运算能力的要求导致企业或者单位的资产浪费。
发明内容
针对上述问题,本发明的目的在于提供一种智能的多架构融合型安全桌面云系统,用以解决现有技术中桌面云系统在面对某些不支持硬件虚拟化的PC终端上,无法进行灵活加载的问题。实现桌面管理统一化、数据存储集中化、运维服务简单化,为企业、院校、军政单位提供按需扩展、按需融合、按需选用的全场景专业级企业、院校、军政单位桌面云系统。
本发明创造的目的通过以下技术方案实现:
一种智能的多架构融合型安全桌面云系统,基于国产鲲鹏芯片,基于自主可控、安全可靠的鲲鹏、龙/兆芯、飞腾、麒麟芯片处理器和国产化操作系统多架构融合型自主可控云计算平台和集中管控离在线职业教育、办公信息系统,包括云终端单元、云资源池单元、云管理平台单元和安全认证审计机制单元;
其中:
所述云终端单元即用户终端,采用基于国产鲲鹏、龙/兆芯、飞腾、麒麟芯片一体化硬件设计,无可移动部件,且网络采用冗余端口与盘网双待、5G通讯、量子安全底层加固机制;
所述云资源池单元包括基于国产物理运行环境模块、虚拟化管理模块、存储管理模块、容灾备份模块,采用国产鲲鹏芯片物理服务器、存储设备和网络设备构建的超融合架构硬件资源池,用于创建虚拟硬件资源和虚拟服务器,并根据所述虚拟硬件资源在所述虚拟服务器上创建虚拟桌面;为云管理层模块提供物理运行环境及资源分配调度,其中所述超融合架构既可在云端通过统一管理平台模块对融合VDI、IDV、VOI和RDS四种模式云桌面进行集中管理和统一的分布式存储,同时也可为用户提供私有云服务,所述云管理平台单元用于对所述虚拟桌面进行集中管理并提供访问虚拟桌面的交互界面;
所述安全认证审计机制单元用于提供安全认证策略使用户安全的访问虚拟桌面,桌面云系统可根据终端的硬件、软件系统平台和适配环境按需选择桌面交付模式,且对本地计算性能强劲的PC机或云终端可采用VOI模式或IDV模式启动桌面云系统,针对需要在新硬件架构上运行旧版操作系统,可采用IDV模式,针对需要在远程或共享使用操作系统,可采用RDS模式,支持操作系统与硬件设备的分离,实现跨硬件平台的操作系统部署,可解决终端硬件对操作系统支持的局限性,对于采用ARM 架构的低耗节能型设备则可采用VDI 模式启动虚拟桌面,并实现移动办公,所述安全认证审计机制单元包括策略管理模块,所述策略管理模块包括接口识别控制模块、网络防护管控模块、应用管控模块、流量控制模块、行为管控模块、桌面控制模块、日志安全审计模块、数据安全模块、权限管理模块、资源管理模块、量子安全模块、自助管理模块和运维管理模块,用于控制USB外设的启用或禁用,以及控制启用或禁用的USB外设类型,用于将信息和数据集中在云端,可以防止任意修改机器的IP、机器名、MAC信息,根据系统策略设置自动恢复默认的配置信息,并针对重点云终端IP采用特殊保护,保证重点云终端IP优先权,避免地址冲突,有效提升信息安全。
优选地,用于控制终端上安装的应用软件类型,普通用户未经过许可而自行安装的软件在操作系统重启后将自动还原,并可针对不同场景下的终端设置不同的软件控制策略,支持启用、关闭策略,灵活设置策略生效时间段以及进程白名单,实现灵活严格的进程控制,根据用户实际使用需要,配置客户机的更新速度,设置下载优先,自动限速以及手动限速三种方式,并针对内部网络的“上传”和“下载”以及外部网络的“上传”和“下载”进行流量的控制。
优选地,用于即屏幕截图策略和安全水印保护策略,根据需求灵活设置策略是否启用、启用时间段、保存路径,启动后台截屏和拍照监控后,能够定时截取客户端屏幕内容,并上传到服务器,同时内置屏幕水印特性,即使屏幕被拍照,也会留下唯一标识的水印,可以通过这些水印痕迹追溯数据泄露者。
优选地,用于启用或强制断开或禁用虚拟桌面,包括用户名密码验证模块和会话控制,用于验证用户名与登录密码是否匹配,实时监测虚拟桌面的连接信息并在用于非法连接时通过所述桌面控制模块强制断开虚拟桌面,用于记录云终端用户的网络访问历史,包括访问用户、访问时间、访问网址信息;并可查看当前网络环境中内网ARP攻击信息和对进程监控。
优选地,包括同步病毒库、防ARP欺骗、远程虚拟化管理、多级还原点和盘网双待功能,即当终端电脑出现硬盘故障或者无硬盘时,终端可自动通过网络启动;当网络中断时,终端可正常运行无需重启可正常工作,在出现故障时,可根据创建的还原点指定恢复到某一个还原点,终端会同步还原到该还原点的系统状态,可避免误操作,还原数据,快速恢复桌面到指定状态,面向用户不同需求进行管理与审查,从安全审计级别上目前划分为三个级别,包括管理员、操作员与审计员。
优选地,面向不同用户可通过网络随时随地访问自己的专属桌面资源和个性化安全磁盘,应用各种移动终端设备实现移动办公,并可自动收集计算机的硬件资产信息,包括:网卡、内存、硬件、主板,采用单个光子传输密码信息,经由量子信道在合法的用户之间完成密钥的分配,实现密钥的安全分配、密钥管理功能,并对上层应用提供密钥读取接口。
优选地,包括用户记录模块、数据归化修正单元、云处理模块、分布存储模块、显示单元、惯性规则库和桌面编辑模块,包括远程管理单元、镜像管理模块、群组管理模块、计划任务单元、补丁管理单元 、和软件群发模块,其桌面云系统可提供前后端混合计算模式,并支持操作系统在系统运行后完全缓存到本地,无需实时连接服务器,即使服务器出现宕机或网络出现异常,用户仍可使用桌面资源,根据客户端/服务端的硬件参数,生成虚拟化镜像,具体包括:
当所述的处理器为鲲鹏芯片、无硬件虚拟化功能以及网卡不通时,生成VOI模式对应的镜像;
当所述的处理器型号为鲲鹏芯片、无硬件虚拟化功能以及网卡连通时,生成VDI模式和/或RDS模式对应的镜像;
当所述的处理器型号为鲲鹏芯片、支持国产虚拟化技术以及网卡不通时,生成IDV模式对应的镜像;
当所述的处理器型号为鲲鹏芯片、支持国产虚拟化技术、网卡连通以及带宽小于10MBps时,生成IDV模式对应的镜像;
当所述的处理器型号为鲲鹏芯片、支持国产虚拟化技术、网卡连通以及带宽大于于10MBps时,生成IDV模式对应的镜像和/或VDI模式和/或RDS模式对应的镜像。
本发明创造的有益效果如下:
1、易使用,体验好:无论以太网、无线、窄带或是广域网等复杂网络环境,PC机/瘦客户机、移动设备等都能适用云桌面,虚拟化交付不再受限于网络与终端环境。用户通过云终端接入桌面云系统能够获得与PC一样的使用体验,支持个性化软件安装与使用,用户数据隐私保护,系统管理员无法查看用户数据。
2、自主研发,安全可靠:“棱镜门”事件提醒我们,为了避免国外厂家窃取信息,最好的防范措施就是更多的采用本土品牌的产品,具有自主知识产权的产品是解决信息安全的根本手段。云桌面解决方案从统一管理平台、虚拟化软件、安全防护、远程协议以及用户侧云终端设备,都是自主研发产品,更加安全可靠。
3、寿命长,成本低:云终端(瘦终端)采用一体化硬件设计,无可移动部件,其寿命是普通PC的3-4倍。超长的使用寿命,大大延长了终端升级换代的周期,不仅节省了成本,其低功耗的芯片,更是节能环保。
4、高可用性强:多维度的HA机制,构建高可用的桌面架构。云端采用超融合架构,消除单点故障,存储采用多副本的分布式存储机制,保障数据不丢失,网络采用冗余端口,确保业务与存储网的相互不受影响,终端采用盘网双待机制,避免网络延迟中断或硬盘故障而影响用户的正常使用。
5、安全性高:采用无代理安全防护系统以及桌面安全防护机制,对云端系统以及终端桌面系统实时进行安全防护,有效拦截诸如病毒、木马、勒索软件等攻击行为,提供统一的安全防护。同时还可以通过对终端外设管控,保障系统安全(防人为引入病毒等风险),通过限制数据被复制,保障用户数据安全不泄密。
6、易安装部署:采用软件和硬件在生产环节预集成、预安装技术,保障在客户现场较短时间内实施部署后就可以使用上云桌面。
7、易运维管理:在同一管理平台上可对多种桌面模式(VDI、IDV、VOI)进行集中管理与高效维护,无需特定的补丁与应用的分发软件,就可以统一进行安装和升级,维护桌面的费用大大降低。
8、低TCO:基于标准X86服务器构建的超融合架构,既可以在云端通过同一管理平台对多种桌面模式(VDI、IDV、VOI)进行集中管理,还可以为多种桌面模式提供统一的分布式存储,同时也可以为用户提供私有云服务;终端采用了低功耗芯片,功耗低;对IT维护人员要求低,无须专业的运维人员。
9、动态扩展:
1)当计算、存储资源不足时,可动态增加集群内服务器,扩展云资源池;
2)当虚拟机资源不足时,可动态调配CPU、内存、磁盘等资源;
3) 当终端用户数需要扩展时,可直接通过统一平台授权扩展。
附图说明
利用附图对发明创造作进一步说明,但附图中的实施例不构成对本发明创造的任何限制,对于本领域的普通技术人员,在不付出创造性劳动的前提下,还可以根据以下附图获得其它的附图。
图1是本发明结构示意图。
具体实施方式
结合以下实施例对本发明作进一步描述。
参见图1,本实施例的一种智能的多架构融合型安全桌面云系统,基于国产鲲鹏芯片,其包括云终端层模块、云资源层模块和云管理层模块;
一是所述云终端层模块即用户终端,采用基于国产鲲鹏芯片一体化硬件设计,无可移动部件,且网络采用冗余端口与盘网双待机制,包括云终端主机、胖终端、新旧PC主机、移动终端、触摸一体机和云/胖一体机,用于接入windows及国产麒麟、深度、红旗、UOS、OS等虚拟桌面系统,所述桌面云系统可根据终端的硬件、软件系统平台和适配环境按需选择桌面交付模式,且对本地计算性能强劲的PC机或云终端可采用VOI(虚拟系统架构)模式或IDV(智能桌面虚拟)模式启动桌面云系统;针对需要在新硬件架构上运行旧版操作系统,可采用IDV(智能桌面虚拟化)模式;针对需要多人共享使用操作系统,可采用RDS(远程共享桌面)模式,支持操作系统与硬件设备的分离,实现跨硬件平台的操作系统部署,可解决终端硬件对操作系统支持的局限性;对于采用ARM 架构的低耗节能型设备则可采用VDI(虚拟桌面架构) 模式启动虚拟桌面,并实现移动办公。
二是所述云资源层模块包括基于国产基础运行环境模块、云计算运行环境模块、基础设施服务模块;采用国产鲲鹏芯片物理服务器(集群)、存储设备和网络设备构建的超融合架构硬件资源池,为云管理层模块提供物理运行环境及资源分配调度。其中所述超融合架构既可在云端通过统一管理平台模块对融合RDS(远程共享桌面)、VDI(虚拟桌面架构)、IDV(智能桌面虚拟化)和VOI(虚拟系统架构)四种模式云桌面进行集中管理和统一的分布式存储,同时也可为用户提供私有云服务。
三是所述云管理层模块融合RDS(远程共享桌面)、VDI(虚拟桌面架构)、IDV(智能桌面虚拟化)和VOI(虚拟系统架构)四种模式云桌面和基于国产鲲鹏芯片全生态融合云桌面统一管理平台,通过统一管理平台模块,对桌面云系统进行包括但不限于资源集群管理、桌面管理、桌面行为管控、用户管理、镜像管理、场景管理、策略管理等。
桌面云系统可根据终端的硬件、软件系统平台和适配环境按需选择桌面交付模式,且对本地计算性能强劲的PC机或云终端可采用VOI(虚拟系统架构) 模式或IDV(智能桌面虚拟化)模式启动虚拟系统,针对需要在新硬件架构上运行旧版操作系统,可采用IDV(智能桌面虚拟化)模式,支持操作系统与硬件设备的分离,实现跨硬件平台的操作系统部署,可解决终端硬件对操作系统支持的局限性;对于采用ARM 架构的低耗节能型设备则可采用VDI(虚拟桌面架构) 模式启动虚拟桌面,并实现移动办公,针对需要多人共享使用操作系统,可采用RDS(远程共享桌面)模式,用户可以对所有桌面操作系统进行统一安全加固,达到C级操作系统安全水平。云桌面在每次重启后将自动重新加载系统镜像或虚拟机时,此前任何写入操作都将被自动还原,避免了病毒、恶意文件驻留以及误操作以起的系统损毁。
其桌面云系统可提供前后端混合计算模式,并支持操作系统在系统运行后完全缓存到本地,无需实时连接服务器,即使服务器出现宕机或网络出现异常,用户仍可使用桌面资源。
VDI(虚拟桌面架构)模式下,当服务器宕机或网络故障,用户可切换成本地桌面继续使用,在VOI(虚拟系统架构)模式下,当服务器宕机或网络故障,系统可自动切换成本地缓存模式继续使用,在IDV(智能桌面虚拟化)模式下,当服务器宕机或网络故障,不影响用户桌面使用,在RDS(远程共享桌面)模式下,基于服务器和网络运行,为多个用户提供共享云桌面。
物理硬件模块具有智能硬件驱动分离技术,可支持单一镜像启动不同硬件特别是显卡的各种电脑型号,能兼容所有的外设,支持现有的PC终端,且从硬件底层起全面接管操作系统,任何的合规性要求均可直接在数据中心的单一镜像中实现,无需逐一配置PC,真正形成了终端桌面的统一化合规基线,任何时刻都能够迅速满足等保、分保等各类国家规范的标准。同时,它能够完全兼容终端审计、桌面安全系统、杀毒软件等众多传统安全程序的混合部署,并减少这类软件的维护工作量。
集中管理按需扩展和按需融合和按需选用VDI(虚拟桌面架构)、IDV(智能桌面虚拟化)和VOI(虚拟系统架构)三种模式中的任意一种,VDI(虚拟桌面架构)模式称为Vmware技术架构,且Vmware技术架构为本地显示,VDI(虚拟桌面架构)模式包括各种显示设备。
IDV(智能桌面虚拟化)模式称为Intel技术架构,且称为本地计算平台,IDV(智能桌面虚拟化)模式中本地计算平台包括应用软件、操作系统、虚拟化层和硬件层,IDV(智能桌面虚拟化)模式包括各种虚拟机,虚拟桌面系统启用屏幕水印,并在用户虚拟机上显示用户名及IP地址信息,用户在使用桌面的时候,截屏/拍照都会附带水印,从而防止用户对内网资料截屏/拍照等,保障资料安全性,降低资料泄密风险。
VOI(虚拟系统架构)模式称为IBM信息技术架构,且VOI(虚拟系统架构)称为本地计算平台,VOI(虚拟系统架构)模式中本地计算平台包括应用软件、操作系统和硬件层。
所述RDS(远程共享桌面)模式称为Microsoft底层技术架构,且Microsoft底层技术架构为本地显示,所述RDS(远程共享桌面)模式包括各种显示设备。
所述融合RDS(远程共享桌面)、VDI(虚拟桌面架构)、IDV(智能桌面虚拟化)和VOI(虚拟系统架构)四种模式云桌面支持统一的镜像管理,其包含创建模板、制作模板、更新模板、策略设置和批量部署,且能根据不同部门业务需求,创建好桌面系统及办公软件环境的镜像,统一下发给对应的部门终端,无需逐台进行安装维护,如有软件安装、升级等需求,直接更新镜像模板,且云终端层模块会自动更新,无需人为干涉操作,极大简化管理,降低运维工作量。
物理硬件模块能够兼容不同批次的硬件终端,支持差异硬件兼容管理的功能,能够智能识别到各种硬件驱动,且仅需要一个操作系统镜像模板就可支持所有不同的终端硬件和外设,管理员只需要对一个镜像文件进行维护管理,管理工作更简单轻松。
统一管理模块上设有自定义用户策略,其中对外部存储设备制定数据保护策略,当用户在使用云桌面时连接U盘,可读取U盘里的文件,但云桌面上的文件不能复制到U盘上,实现企业、院校、军政单位的办公数据安全保护,防止人为泄密。
虚拟桌面云系统采用云计算超融合系统架构,深度融合了RDS(远程共享桌面)、VDI(虚拟桌面架构)、IDV(智能桌面虚拟化)、VOI(虚拟系统架构)三种架构于一体,实现桌面管理统一化、数据存储集中化、运维服务简单化,为用户提供按需扩展、按需融合、按需选用的全场景专业级云桌面,且独创的盘网双待专利技术具有以下特点:
1)网络中断——离线运行
充分利用前端客户机的本地计算资源,流畅运行在10M网络中,即使网络完全中断也可以单机正常工作,不会出现卡机跳帧,且断网后镜像与断网前完全一致。
2)硬盘损坏——云端运行
客户端重启后切换到网络启动模式,虚拟桌面通过网络加载,用户在线使用。
桌面云系统的设置,使得网络、服务器、业务和存储更加的优化。且对于网络优化了网络节点HA并使得业务网和存储网分离,构建了高可用的桌面架构,对于服务器优化了物理节点和虚拟机动态迁移,对于存储采用了分布式多副本存储机制使得数据不丢失,且具备全系统数据自动恢复能力,对于业务方向采用独创的盘网双待技术,对于网络延迟中断、硬盘故障实现了正常的运行,并保证了负载均衡。
为更好的实现本发明的桌面云系统,发明人对统一管理模块也做了相应的具体设置,具体要求和优点如下:
补丁管理;
桌面补丁更新管理是日常维护工作之一,云桌面管理平台无需和微软WSUS类的补丁管理系统联动,只需要在任何一台工作机上完成操作系统补丁的更新,就能够完成网络中所有终端的安全补丁升级,保证机器及时打上最新的安全补丁,防止安全漏洞被利用,保障用户桌面使用的安全性。
网关控制;
网关控制可以实现对终端访问外网的强制管理,可以限制终端用户访问外网时候的网关和DNS指向,可以限制终端用户访问外网的线路类型。
个性化安全磁盘;
云桌面支持个性化安全磁盘,能够提供多种安全磁盘存储方式,个性化安全磁盘可以由管理员分配或用户申请建立,用户可以在本地局域网存储服务器上的个人空间内自由存取个人资料。整个传输和存储过程都采用了高强度加密,确保只有用户本人才可以打开。个性化安全磁盘可以在局域网内完全替代移动存储设备,这不仅可大大提高局域网安全,也可为终端用户提供更良好和便捷的使用体验。
病毒库同步;
支持包括赛门铁克、趋势、瑞星、江民、金山、卡巴斯基、McAfee、NOD32等所有防病毒软件厂商的网络版以及个人版防毒产品。
网络配置强制和接入控制;
可以防止任意修改机器的IP、机器名、MAC等信息,根据系统策略设置自动恢复默认的配置信息;可以针对重点工作机IP采用特殊保护,保证重点工作机IP优先权,避免地址冲突,提高终端管理效率。同时,通过该系统可以有效防止非授权用户的非法接入。
多级还原点;
桌面云系统支持多级还原点,每次做了镜像操作,在管理后台会产生一个还原点,并指定恢复到某一个还原点,终端会同步还原到该还原点的系统状态,可避免误操作,支持数据回滚,快速恢复到指定桌面状态,管理更省心。同时可提供节点镜像拓扑,可直观查看镜像差异情况;
公共与专属的云桌面;
云桌面提供公共办公桌面与个人专属云桌面,满足不同场景下的需求。
针对环境一致的办公场景,并且公共使用的办公场景,如电脑培训室、会议室、公共值班室等,操作系统和应用需要保持一致,并且使用是临时性的,针对这些办公场景可创建统一的桌面模板,提供了公共浮动桌面池,用户使用公用虚拟机无需登录,系统会自动分配未使用的虚拟机给临时用户,公用虚拟机每次重新分配或者关机再启动会自动恢复到当前设置的还原点状态,保障其他人使用的是干净的新桌面,已经关机的虚拟机,管理员可以回收再分配给其他临时用户使用,满足公用用户桌面需求。
针对办公用户,提供个人专属云桌面,每个人分配一个账号,每个人通过自己的账号登陆到自己的虚拟办公桌面,桌面一旦分配后就属于个人所有,桌面数据会一直保存。
策略管理;
云桌面包含了丰富的策略管理功能,如设备控制、账户迁移、屏幕截图、上网信息、进程控制、ARP防护、水印分发、数据保护等策略。
设备控制策略;
对常见的外设端口类型(USB、串口、并口、软驱、光驱)进行监控,在安全控制方面,系统能够对Windows的“自动播放”进行控制,防止Autorun病毒木马传播与扩散。可禁用U盘、移动硬盘等外接设备拷贝泄漏企业、院校、军政单位机密数据。并可针对不同场景下的终端设置不同的外设控制策略,支持启用、关闭策略,灵活设置策略生效时间段,实现灵活严格的外设控制。
账户迁移策略;
云桌面支持域环境,可配置迁移终端的账户信息或者域环境中通过部署域控管理员账户来完成终端客户机自动入域的功能,通过该功能,终端客户机在重启还原的情况下可以创建多个账户,也可直接登录个人域账户而无需管理员入域操作。
屏幕截图策略;
为了保障用户办公的质量、监控办公情况,云桌面支持屏幕截图策略,可根据需求灵活设置策略是否启用、启用时间段、保存路径等,启动后台截屏监控后,能够定时截取客户端屏幕内容,并上传到服务器。
上网信息策略;
可灵活设置上网信息监控策略,例如监控时间段、间隔时间、保存模式等,支持以用户名、终端名、账号名等分类记录用户上网历史信息,包括HTTP上网URL连接信息以及IM聊天时间情况等,完全遵循国家监管部门的要求,保留90天的记录。
进程控制策略;
全面控制终端上安装的应用软件类型,可防止员工违规安装可对外上传的应用造成数据泄漏,同时也可禁止与工作无关的应用如炒股、游戏等应用,普通用户未经过许可而自行安装的软件在操作系统重启后将自动还原。并可针对不同场景下的终端设置不同的软件控制策略,支持启用、关闭策略,灵活设置策略生效时间段以及进程白名单,实现灵活严格的进程控制。
ARP防护策略;
云桌面部署后,对工作机可以实现驱动级保护,当发生ARP病毒的攻击时,不会被虚假ARP攻击包欺骗,系统在底层直接限制了网卡发出的数据包类型,可以完全杜绝本机中毒后发出虚拟ARP包。同时,驱动限制还能够实现对工作机数据包流量的控制,即使工作机中了类似冲击波等网络病毒,也无法对整个网络造成危害,全面抑制了网络病毒的爆发。
应用软件策略;
云桌面可控制终端上安装的应用软件类型,可防止员工违规安装可对外上传的应用造成数据泄漏,同时也可禁止与工作无关的应用如炒股、游戏等应用,普通用户未经过许可而自行安装的软件在操作系统重启后将自动还原。并可针对不同场景下的终端设置不同的软件控制策略,支持启用、关闭策略,灵活设置策略生效时间段以及进程白名单,实现灵活严格的进程控制。
行为监控策略;
为了保障用户办公的质量、监控办公情况,下一代云桌面支持屏幕截图策略,可根据需求灵活设置策略是否启用、启用时间段、保存路径等,启动后台截屏监控后,能够定时截取客户端屏幕内容,并上传到服务器。
硬盘保护策略;
硬盘保护是针对客户机的硬盘生效的策略,主要功能是保护客户机硬盘上的数据,任何对硬盘数据的添加、删除以及修改都将被保护而无法正常生效。可针对不同分区设置不同的保护策略。
镜像模式策略;
可针对不同客户机使用环境以及实际需要,来配置是否将镜像或者缓存数据缓存到本地。有三种模式可供选择,不缓存、文件缓存模式以及完全缓存模式,保障网络复杂、服务器断网或本地硬盘故障情况均可正常使用桌面资源。
VBS策略;
支持在B/S管理界面设置VBS策略,用来配置客户机启动的相关参数,例如是否开启调试模式、卸载PXE、网络模式、MBR引导、通讯超时时间设置等,以适应不同的使用场景和实际使用环境,降低管理配置难度。
为更好的实现本发明的桌面云系统,发明人对系统服务也做了其他的相应设置,具体要求和优点如下:
全局设置;
支持自动负载均衡、热备、快照验证,启用模式选择、终端编号规则、主从服、上下级服务器配置、缓存剩余空间警戒值等全局配置。
网卡PNP;
支持在服务端里面集成很多种不同的网卡驱动,当客户机系统上传完后,不同的网卡的客户机不需要像传统方式去做网卡PNP即可网络启动客户机终端系统。
计划任务;
平台提供各项灵活的计划任务制定,可基于群组以及镜像组对所属的终端进行统一的,规律性的执行远程唤醒、关机、重启、禁用、启用、切换镜像组、重启不还原以及清除不还原数据的操作。并且可根据实际需要,选择任务类型、群组(镜像组)、任务执行频率(一次、每天、每周、每月)、任务开始结束时间以及是否重复执行任务,任务配置完成后,系统就会根据任务的执行时间以及对应的群组(镜像组)来进行相应的操作,无需人工维护操作。
权限管理;
桌面云系统为了严格控制用户权限,面向用户不同需求进行管理与审查,从安全审计级别上目前划分为三个级别,包括管理员、操作员与审计员,管理员权限为最高,系统默认存在且只有一个,操作员权限为中级,可在管理员授权范围内对管理端进行操作,但不能查看日志,审计员权限为初级,只能查看管理端操作日志,不能进行任何界面操作,可根据用户的不同管理职责划定管理角色。
将用户归类角色后,还可以根据不同用户的负责管理区域或业务,将其管理功能进一步自定义分配管理,实现相互隔离的分级管理,从而增强平台管理的安全性和灵活性。
资产管理;
自动收集计算机的硬件资产信息,包括:网卡、内存、硬件、主板等;可以自动发现以上各类硬件资产的变化情况,及时掌握每个终端用户硬件资产最新状态,避免资产流失,方便企业、院校、军政单位资产的统一管理。
资源监控;
云桌面可在同一管理界面下对RDS(远程共享桌面)、VDI(虚拟桌面架构)、VOI(虚拟系统架构)、IDV(智能桌面虚拟化)所有资源进行监控,包含服务器CPU、内存、存储容量等使用情况,以及终端数量、在线终端数量、网络流入流出量、磁盘流入流出等数据监控,同时服务器连接存在异常会提示告警信息。
策略监控;
可对配置的ARP防护、上网信息监控、屏幕截图、进程监控等策略查看到监控信息,例如查看用户60天内的上网历史记录,可以查看当前网络环境中内网ARP攻击信息,若在当前内网环境受到ARP攻击,系统会在设置时间间隔内对用户进行提示,可以通过右下角弹出的提示框进行查看;用户违规安装使用不在许可范围内的软件,可看到客户机上进程监控拦截程序信息。
为更好的实现本发明的桌面云系统,发明人对多服管理也做了其他的相应设置,具体要求和优点如下:
服务器信息;
支持记录服务器的相关管理信息,例如用户名、IP地址、联系人、联系方式、地址、坐标等信息,方便维护管理。
多级列表;
云桌面支持多区域统一管理,支持服务器集群,例如在总部部署管理服务器,镜像制作、更新完毕后可以及时推送到下属分区服务器,终端自动下载更新,采用P2P技术,终端更新速度快,并且可后台更新,不影响当前终端业务使用,保障业务的连续性。采用统一镜像管理,让后期管理维护更简单便捷。在多级列表下,可查看一级服务器的下级集群服务器信息,包含用户名称、IP地址、服务器、终端在线数量、联系人、联系方式、地址、坐标等信息,并可点击登录管理。平台具备良好的前瞻性,满足未来业务的扩展。
主服/从服管理;
可对主服、从服各自下属的终端分开管理,可查看所有终端的运行信息,并且可根据负载情况自由切换启动服务器,操作便捷,同时具备完善的终端管理功能,例如以图表形式展现缓存容量信息、设置动态迁移、重启还原策略、启动模式等。
桌面云系统,采用无代理安全防护系统以及桌面安全防护机制,对云端系统以及终端桌面系统实时进行全覆盖,有效拦截诸如病毒、木马、勒索软件等攻击行为,提供统一的安全防护。同时还可以通过对终端外设管控,保障系统安全(防人为引入病毒等风险),通过限制数据被复制,保障用户数据安全不泄密。
最后应当说明的是,以上实施例仅用以说明本发明的技术方案,而非对本发明保护范围的限制,尽管参照较佳实施例对本发明作了详细地说明,本领域的普通技术人员应当理解,可以对本发明的技术方案进行修改或者同替换,而不脱离本发明技术方案的实质和范围。
Claims (7)
1.一种智能的多架构融合型安全桌面云系统,基于鲲鹏、龙/兆芯、飞腾、麒麟芯片处理器和国产化操作系统多架构融合型自主可控云计算平台和集中管控离在线职业教育、办公信息系统,其特征在于,包括云终端单元、云资源池单元、云管理平台单元和安全认证审计机制单元;
其中:
所述云终端单元即用户终端,采用基于国产鲲鹏、龙/兆芯、飞腾、麒麟芯片一体化硬件设计,无可移动部件,且网络采用冗余端口与盘网双待、5G通讯、量子安全底层加固的机制;
所述云资源池单元包括基于国产物理运行环境模块、虚拟化管理模块、存储管理模块、容灾备份模块,采用国产鲲鹏芯片物理服务器、存储设备和网络设备构建的超融合架构硬件资源池,用于创建虚拟硬件资源和虚拟服务器,并根据所述虚拟硬件资源在所述虚拟服务器上创建虚拟桌面;为云管理层模块提供物理运行环境及资源分配调度,其中所述超融合架构既可在云端通过统一管理平台模块对融合VDI、IDV、VOI和RDS四种模式云桌面进行集中管理和统一的分布式存储,同时也可为用户提供私有云服务,所述云管理平台单元用于对所述虚拟桌面进行集中管理并提供访问虚拟桌面的交互界面;
所述安全认证审计机制单元用于提供安全认证策略使用户安全的访问虚拟桌面,桌面云系统根据终端的硬件、软件系统平台和适配环境按需选择桌面交付模式,且对本地计算性能强劲的PC机或云终端采用VOI模式或IDV模式启动桌面云系统,针对需要在新硬件架构上运行旧版操作系统,采用IDV模式,针对需要在远程或共享使用操作系统,采用RDS模式,支持操作系统与硬件设备的分离,实现跨硬件平台的操作系统部署,解决终端硬件对操作系统支持的局限性,对于采用ARM架构的低耗节能型设备则采用VDI模式启动虚拟桌面,并实现移动办公,所述安全认证审计机制单元包括策略管理模块,所述策略管理模块包括接口识别控制模块、网络防护管控模块、应用管控模块、流量控制模块、行为管控模块、桌面控制模块、日志安全审计模块、数据安全模块、权限管理模块、资源管理模块、量子安全模块、自助管理模块和运维管理模块,用于控制USB外设的启用或禁用,以及控制启用或禁用的USB外设类型,用于将信息和数据集中在云端,防止任意修改机器的IP、机器名、MAC信息,根据系统策略设置自动恢复默认的配置信息,并针对重点云终端IP采用特殊保护,保证重点云终端IP优先权,避免地址冲突。
2.根据权利要求1所述的智能的多架构融合型安全桌面云系统,其特征在于:用于控制终端上安装的应用软件类型,普通用户未经过许可而自行安装的软件在操作系统重启后将自动还原,并可针对不同场景下的终端设置不同的软件控制策略,支持启用、关闭策略,灵活设置策略生效时间段以及进程白名单,实现灵活严格的进程控制,根据用户实际使用需要,配置客户机的更新速度,设置下载优先,自动限速以及手动限速三种方式,并针对内部网络的“上传”和“下载”以及外部网络的“上传”和“下载”进行流量的控制。
3.根据权利要求1所述的智能的多架构融合型安全桌面云系统,其特征在于:用于屏幕截图策略和安全水印保护策略,根据需求灵活设置策略是否启用、启用时间段、保存路径,启动后台截屏和拍照监控后,能够定时截取客户端屏幕内容,并上传到服务器,同时内置屏幕水印特性,即使屏幕被拍照,也会留下唯一标识的水印,可以通过这些水印痕迹追溯数据泄露者。
4.根据权利要求1所述的智能的多架构融合型安全桌面云系统,其特征在于:用于启用或强制断开或禁用虚拟桌面,包括用户名密码验证模块和会话控制,用于验证用户名与登录密码是否匹配,实时监测虚拟桌面的连接信息用于非法连接时,通过所述桌面控制模块强制断开虚拟桌面,用于记录云终端用户的网络访问历史,包括访问用户、访问时间、访问网址信息;并可查看当前网络环境中内网ARP攻击信息和对进程监控。
5.根据权利要求1所述的智能的多架构融合型安全桌面云系统,其特征在于:包括同步病毒库、防ARP欺骗、远程虚拟化管理、多级还原点和盘网双待功能,即当终端电脑出现硬盘故障或者无硬盘时,终端可自动通过网络启动;当网络中断时,终端可正常运行无需重启可正常工作,在出现故障时,可根据创建的还原点指定恢复到某一个还原点,终端会同步还原到该还原点的系统状态,可避免误操作,还原数据,快速恢复桌面到指定状态,面向用户不同需求进行管理与审查,从安全审计级别上目前划分为三个级别,包括管理员、操作员与审计员。
6.根据权利要求1所述的智能的多架构融合型安全桌面云系统,其特征在于:面向不同用户可通过网络随时随地访问自己的专属桌面资源和个性化安全磁盘,应用各种移动终端设备实现移动办公,并可自动收集计算机的硬件资产信息,包括:网卡、内存、硬件、主板,采用单个光子传输密码信息,经由量子信道在合法的用户之间完成密钥的分配,实现密钥的安全分配、密钥管理功能,并对上层应用提供密钥读取接口。
7.根据权利要求1所述的智能的多架构融合型安全桌面云系统,其特征在于:包括用户记录模块、数据归化修正单元、云处理模块、分布存储模块、显示单元、惯性规则库和桌面编辑模块,包括远程管理单元、镜像管理模块、群组管理模块、计划任务单元、补丁管理单元、和软件群发模块,其桌面云系统可提供前后端混合计算模式,并支持操作系统在系统运行后完全缓存到本地,无需实时连接服务器,即使服务器出现宕机或网络出现异常,用户仍可使用桌面资源,根据客户端/服务端的硬件参数,生成虚拟化镜像,具体包括:
当所述的处理器为鲲鹏芯片、无硬件虚拟化功能以及网卡不通时,生成VOI模式对应的镜像;
当所述的处理器型号为鲲鹏芯片、无硬件虚拟化功能以及网卡连通时,生成VDI模式和/或RDS模式对应的镜像;
当所述的处理器型号为鲲鹏芯片、支持国产虚拟化技术以及网卡不通时,生成IDV模式对应的镜像;
当所述的处理器型号为鲲鹏芯片、支持国产虚拟化技术、网卡连通以及带宽小于10MBps时,生成IDV模式对应的镜像;
当所述的处理器型号为鲲鹏芯片、支持国产虚拟化技术、网卡连通以及带宽大于10MBps时,生成IDV模式对应的镜像和/或VDI模式和/或RDS模式对应的镜像。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110530847.0A CN113220398B (zh) | 2021-05-15 | 2021-05-15 | 一种智能的多架构融合型安全桌面云系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110530847.0A CN113220398B (zh) | 2021-05-15 | 2021-05-15 | 一种智能的多架构融合型安全桌面云系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN113220398A CN113220398A (zh) | 2021-08-06 |
CN113220398B true CN113220398B (zh) | 2022-12-27 |
Family
ID=77092188
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202110530847.0A Active CN113220398B (zh) | 2021-05-15 | 2021-05-15 | 一种智能的多架构融合型安全桌面云系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN113220398B (zh) |
Families Citing this family (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113596062A (zh) * | 2021-09-01 | 2021-11-02 | 江西雕视信息技术股份有限公司 | 一种基于量子安全的智能桌面云终端 |
CN113794710A (zh) * | 2021-09-10 | 2021-12-14 | 联想(北京)有限公司 | 一种运行模式的切换方法及系统 |
CN114461157B (zh) * | 2021-12-23 | 2023-11-03 | 天翼云科技有限公司 | 一种idv客户端多屏分治方法及系统 |
CN114268652A (zh) * | 2021-12-26 | 2022-04-01 | 枣庄帐管家财税管理有限公司 | 一种基于arm构架实现多税务UKey同时在线的税控托管系统及装置 |
CN114465765B (zh) * | 2021-12-27 | 2024-03-29 | 北方联合电力有限责任公司新能源分公司 | 一种云桌面系统的客户端安全管理系统及方法 |
CN114500564A (zh) * | 2021-12-27 | 2022-05-13 | 华能澜沧江水电股份有限公司 | 一种云桌面系统的客户端硬件适配方法 |
CN114967876A (zh) * | 2022-06-20 | 2022-08-30 | 广州禹龙信息科技有限公司 | 一种边缘云一体机 |
CN114900428A (zh) * | 2022-06-20 | 2022-08-12 | 广州禹龙信息科技有限公司 | 一种一站式it信息化系统 |
CN115509559B (zh) * | 2022-09-30 | 2023-09-01 | 广州朗桥维视通信技术有限公司 | 一种零接触部署系统及方法 |
CN116775223B (zh) * | 2023-08-18 | 2023-11-10 | 西安雷风电子科技有限公司 | 一种idv和vdi虚拟桌面融合使用的方法 |
Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110851224A (zh) * | 2019-11-11 | 2020-02-28 | 西安雷风电子科技有限公司 | 一种基于容器的idv云桌面的智能切换系统及方法 |
Family Cites Families (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR102102168B1 (ko) * | 2013-10-21 | 2020-04-21 | 한국전자통신연구원 | 가상 데스크탑 서비스 장치 및 방법 |
CN105760210A (zh) * | 2014-12-19 | 2016-07-13 | 中兴通讯股份有限公司 | 一种voi系统和vdi系统的融合使用方法及系统 |
US11449322B2 (en) * | 2015-05-08 | 2022-09-20 | Desktop 365, Inc. | Method and system for managing the end to end lifecycle of a cloud-hosted desktop virtualization environment |
CN107026875A (zh) * | 2015-06-25 | 2017-08-08 | 中兴通讯股份有限公司 | 多个虚拟桌面架构的融合方法及装置 |
US10200252B1 (en) * | 2015-09-18 | 2019-02-05 | Quest Software Inc. | Systems and methods for integrated modeling of monitored virtual desktop infrastructure systems |
CN107885564A (zh) * | 2017-10-31 | 2018-04-06 | 南京斯坦德云科技股份有限公司 | 一种超融合云桌面系统 |
US10884768B2 (en) * | 2019-01-25 | 2021-01-05 | Vmware, Inc. | Solution which can improve VDI user experience automatically |
CN110908753B (zh) * | 2019-11-06 | 2022-10-21 | 西安雷风电子科技有限公司 | 一种智能融合的云桌面服务器、客户端及系统 |
CN111641671A (zh) * | 2020-04-09 | 2020-09-08 | 方杰 | 一种资源矩阵式弹性计算桌面云系统 |
-
2021
- 2021-05-15 CN CN202110530847.0A patent/CN113220398B/zh active Active
Patent Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110851224A (zh) * | 2019-11-11 | 2020-02-28 | 西安雷风电子科技有限公司 | 一种基于容器的idv云桌面的智能切换系统及方法 |
Also Published As
Publication number | Publication date |
---|---|
CN113220398A (zh) | 2021-08-06 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN113220398B (zh) | 一种智能的多架构融合型安全桌面云系统 | |
JP7391862B2 (ja) | 自動的に配備される情報技術(it)システム及び方法 | |
US9747125B2 (en) | Associating virtual machines on a server computer with particular users on an exclusive basis | |
Scarfone | Guide to security for full virtualization technologies | |
US20220174096A1 (en) | Automatically Deployed Information Technology (IT) System and Method with Enhanced Security | |
JP2019197561A (ja) | ローリングセキュリティプラットフォーム | |
KR20100087336A (ko) | 판독전용 영역과 판독/기록 영역, 분리형 매체 구성부품, 시스템 관리 인터페이스, 네트워크 인터페이스를 가진 컴퓨터 기억장치 | |
US8893114B1 (en) | Systems and methods for executing a software package from within random access memory | |
CN114244651A (zh) | 一种基于云桌面的远程办公实现系统及方法 | |
US20180159718A1 (en) | Computer and method of operation of its network | |
CA3117314A1 (en) | Secure invocation of network security entities | |
Ver | Dynamic load balancing based on live migration of virtual machines: Security threats and effects | |
Pan et al. | The design and implementation of secure cloud desktop system | |
KR102233705B1 (ko) | 모바일 가상화 방법 및 장치 | |
US11507408B1 (en) | Locked virtual machines for high availability workloads | |
Tong et al. | Analysis of a secure virtual desktop infrastructure system | |
US11601425B1 (en) | Maintaining dual-party authentication requirements for data retention compliance within a distributed server environment | |
DE102022126171A1 (de) | Durchsetzung der einhaltung von referenz- betriebszuständen für cloud-computing-basierte compute-appliances | |
Ajay et al. | Why, how cloud computing how not and cloud security issues | |
Guimaraes | Confidentiality, integrity and high availability with open source IT green | |
CN117909004A (zh) | 一种多架构融合桌面云系统 | |
Panek | Windows Server® | |
Rossberg et al. | An Overview of the Windows Server Family | |
New et al. | Microsoft MCSA Certification 70-697 Exam |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |