桌面云方案
校园桌面云解决方案
神州数码网络有限公司
2013年8月
第1页/共17页
一、项目背景 ..................................................................................................................................................... 3
二、现状和需求分析 ......................................................................................................................................... 4
2.1 现状概述 ................................................................................................................................................. 4
2.2 主要问题 ................................................................................................................................................. 4
2.3 需求总结 ................................................................................................................................................. 5
三、总体设计 ..................................................................................................................................................... 6
3.1 设计原则 ................................................................................................................................................. 6
3.2 方案目标 ................................................................................................................................................. 7
四、解决方案 ..................................................................................................................................................... 7
4.1 系统架构 ................................................................................................................................................. 8
4.2 部署拓扑 ................................................................................................................................................. 8
4.3 方案价值 ................................................................................................................................................. 9
五、功能介绍 ................................................................................................................................................... 11
5.1 桌面安全管理 ....................................................................................................................................... 11
5.2 桌面安全管理 ....................................................................................................................................... 13
5.3 用户行为管理 ....................................................................................................................................... 13
六、核心技术和竞争分析 ............................................................................................................................... 14
6.1 核心技术 ............................................................................................................................................... 14
6.2 竞争分析 ............................................................................................................................................... 16
第2页/共17页
一、项目背景
随着桌面云技术的不断发展,校园云建设已成为院校信息化建设的一个重要方向。计算机作为校园云最重要的云端部分,遍布在包括教育科研实验室、电子教学机房、图书馆电子预览室、多媒体教室、行政办公室等各个教学业务环境。计算机不仅承担各种课程的教学实验、学生自主学习、自由上机实践等任务,还作为各种无纸化考试的重要场所等,必须确保计算机系统的正常运行,保障教学与实训的畅通无阻,更好的服务于教学和科研。因此各种计算机应用场景能否科学管理、自动化管理就显得尤为重要。
校园的计算机桌面管理烦琐复杂,工作量大,涉及硬件管理、软件管理、上机管理等,是一项完整的系统工程。而计算机软件系统是计算机终端管理的重点和难点,不仅要有较强的责任心,更需要采用先进的技术管理手段和管理理念,探索和建设以云计算为核心技术的新一代桌面云平台是校园桌面管理的发展趋势。
作为教育行业全面领先的云计算解决方案提供商,神州数码拥有领先的技术、产品和服务,能以成熟的软件平台、丰富的互联网服务经验及多样化的商业运营模式提供全面的桌面云解决方案,真正做到让云触手可及。
第3页/共17页
二、现状和需求分析
2.1 现状概述
职业院校通常拥有10间以上电子教学机房、1个图书馆电子阅览室、近百个实验室、多媒体教室和行政办公室。通常情况电子教学机房采用千兆网络连接部署,多媒体教室、电子阅览室和行政办公室等信息环境均为千兆核心,百兆或千兆接入的网络结构。院校归属的学生用计算机与学生人数比例大约1:9,院校归属的教师用计算机与教师人数比例大约1:1。院校在校园桌面管理上一部分处于费时费力状态,一部分处于放任自流状态。
2.2主要问题
目前院校在校园桌面管理上主要遇到以下几个问题:
1) 因操作不当频繁对系统及软件造成的损害
学生们对计算机的了解程度不同,在接受新知识的同时总是希望更多的尝试和实际操作,于是在使用过程中常常会出现很多误操作的问题。例如,刚刚接触文件新建和删除的时候,可能会频繁的新建和删除文件,这样做的直接结果便是会出现大量的无用文件或者系统文件被删除而导致系统瘫痪。频繁的重新安装操作系统无疑是项耗费时间和人力的工作。虽然目前采取还原卡或者还原软件来解决类似问题,但这种办法仍旧远远不能降低机房管理人员的工作量以及维护成本。采用还原卡投入很大,而且还原软件目前还存在一些BUG,比如,有的会出现桌面图标变花,有的会失去作用等。
2) 系统安全维护及软件更新复杂
校园网络中桌面终端众多,终端系统的安全管理变的异常困难。如操作系统的补丁更新、防病毒软件的安装和升级等,虽然操作系统补丁或者防病毒软件都可以实现自动升级但在实际第4页/共17页
环境中往往很难实现,通常需要网络管理人员或计算机的固定用户亲自动手安装和更新。同时,这种分散的安全管理很难避免某些终端没有及时更新,而导致网络环境中出现安全短板,从而使整个网络处于危险状态。另外,在规模庞大的网络中统一安装和更新软件也同样困难,传统的终端管理软件进行软件统一分发的时候对网络影响极大且成功率不可保证,如何解决以上问题成为越来越紧迫的问题。
3) 教学环境搭建繁琐复杂
学校电子教室、实验室、多媒体教室可能需承担不同年级、科目、专业的教学任务,不同的教学需要不同的教学环境,这给电子教室老师及授课老师提出了严峻的挑战,重复不断的进行教学环境的迅速还原和搭建,是一项几乎难以完成的工作。
4) 数据文件无法存储
在电子教室公共的教学网络平台中,授课教师的课件需要随课时安排随时调整和使用,目前只能依靠移动存储设备在各个教室的教师机中进行拷贝使用。学生自己的学习资料和文件也无法实现独立存储,使得整个教学环境中文件资料的保存和使用非常困难。
2.3 需求总结
通过对职业院校网络和应用问题的实际分析,我们认为在职业院校校园内部部署神州数码网络桌面云平台,再加上低功耗的瘦客户机,能完全解决目前校园桌面终端存在的问题。神州数码网络桌面云平台以桌面云技术为基础实现动态的应用交付,将服务和应用集中于服务器端,不需要改变原有网络结构,只需部署和配置服务器,客户端便可通过网络得到自己的虚拟桌面,并运行工作业务所需要的各种应用程序。完全避免了传统IT架构下,终端管理软件部署和运维复杂的问题。它不仅可以集中部署、统一管理、而且支持个性化设置。从安全角度讲,集中
第5页/共17页
的管理也避免了传统分散、庞大的终端管理体系中,因少数终端脱离管理而使整个网络的安全出现短板的情况。
神州数码网络桌面云平台既可以通过统一、集中的方式完成对电子教学机房、图书馆电子阅览室、实验室等电脑集中化程度高的桌面管理,也可以通过个性化配置和策略分发满足教学科研和行政办公环境的多样化业务环境的需求。
三、总体设计
3.1设计原则
为保证方案的能够最终达到职业院校校园桌面云建设的相关要求,在设计方案时遵循如下的设计原则:
• 方案先进原则:校园网教学办公环境的桌面云系统平台要求功能完善、技术先进、安全可靠、服务领先;
• 系统安全原则:校园桌面云系统自身安全包括物理安全、系统安全、数据安全和运行安全等;
• 可扩展原则:统一规划,兼顾长远,既要满足现有的需求,又要兼顾系统的可扩展性,保证分布实施的延续性。系统在结构、规模、应用能力等各个方面都必须具备很强的扩展能力;
• 可靠性原则。执行ISO9002质量认证体系要求,确保安全保密设备的高可靠性和稳定性;
• 经济性原则。桌面云系统平台的建设、运行维护以及将来的扩展建设,必须符合经济性原则;
• 易操作原则。桌面云系统平台的使用、维护、管理、发行等方面要易操作;
• 高效原则。桌面云系统平台的处理能力要求能满足现阶段的实际需求,保证系统的高第6页/共17页
效运行,并能根据系统的发展进行不断提升;
• 功能完整原则。桌面云系统平台的功能完整,应用安全扩展系统功能完整;
• 灵活性原则。桌面云系统平台的系统扩展、应用安全建设方面都必须满足灵活性要求。 • 规范性原则。桌面云系统平台必须满足国家各种相关规定和标准。
3.2 方案目标
本项目的总体目标是在不影响院校原有网络结构和正常教学业务的前提下,从虚拟安全、桌面管理、行为控制等多个角度构建一套完整的校园桌面云平台,实现对电子教学机房、图书馆电子阅览室、实验室、多媒体教室、科研教育和行政办公室桌面的全面安全加固、简捷的管理及提供良好的应用体验,最终达到相关教育部门的要求。主要达到以下目标:
• 保护电子教学机房、多媒体教室等电子教学业务平台的业务连续性;
• 实现灵活快速的教学课程系统的快速分发和按需分配;
• 实现院校内部各个应用场景桌面终端的安全、便捷管理;
• 提升学生和老师在电子教学环境的应用体验和满意度;
• 大幅度减少职业院校桌面终端的维护工作量;
• 杜绝在电子教学机房、电子阅览室等环境中的病毒和木马;
• 实现教学课件数据随时进行快速地存储和传输。
四、解决方案
桌面云平台建设项目我们使用神州数码网络桌面云平台。神州数码网络桌面云平台是基于国际领先的桌面云技术,以计算机系统管理为中心出发点,从虚拟防护、合规高效、行为控制等多个角度构建一套完整的终端系统管理体系,防御各种终端异常事件,通过技术手段全面贯彻落实各单位的终端管理策略。
第7页/共17页
4.1系统架构
神州数码网络桌面云平台分为客户端和策略管理中心两个部分,整体系统架构如下:
神州数码网络桌面云平台所采用的技术一种是可以帮助IT部门搭建更高效的桌面基础架构。目前,许多职业院校都开始采用桌面云技术的集中化管理方式,将IT 从传统的分布式桌面管理模式中解脱出来,院校信息管理部门无需逐一维护终端硬件设备,操作系统、应用和数据管理以集中化的方式实现,这使得桌面管理更合规、软件迁移更简单、备份可靠性更高、数据信息更安全。
4.2部署拓扑
神州数码网络桌面云平台是一个软硬件集成的系统,部署无需改变现有的网络架构,而且非常简单方便,只需要将服务器连接到用户网络,建立用户的操作系统镜像文件,然后将所有客户机的开机启动顺序改为从网络启动即可。
基于神州数码网络桌面云平台非常适合职业院校校园内各种环境下应用,如图书馆、电子教室、多媒体教室、实验室、老师办公室等都具有其突出的应用优势。网络拓扑示意图如下所
第8页/共17页
示:
4.3方案价值
1)确保教学终端安全稳定
神州数码网络桌面云平台将操作系统和所有服务都集中在服务器上,终端本地对系统及应用进行缓存。系统可以完全杜绝个人对终端系统及应用程序的破坏;终端重启后,病毒、木马及学生在终端安装的程序或修改的资料便可立即被清除,系统瞬间恢复到管理者预设的纯净状态。使得病毒及学生在终端任何的操作、删改都不会对教学终端系统造成破坏,这对于多人共用终端的校园网提供了根本的安全保障。另外,为满足教育行业多种应用需求,也可根据实际需要设置何时进行系统还原,以满足各种实际教学需求。
独有的盘网双待技术,使得终端在各种硬件环境下依然可具有良好的可用性;无论是硬第9页/共17页
盘损坏或者网络中断都可继续使用电脑正常工作。
2)高效运维,教学环境随需交付
神州数码网络桌面云平台只需对服务器进行维护;应用安装、安全加固、补丁升级只需一次即可实现全网安装和升级,也可按照班级、部门等单位灵活管理。
在校园网中,所有学生教学及教师办公终端的系统交付、应用安装、系统加固等工作将可实现一次完成且成功率百分之百。终端可在服务端预配置多种教学及办公环境,每次授课前可集中、便捷的交付相应的教学环境,使教学环境的搭建变得极其简单。每次教学结束后可实现教学终端环境的彻底清理,为下次授课提供完全纯净的教学环境。
3)稳定可靠,保障教学质量
神州数码网络桌面云平台基于终端本地的架构让终端数据处理更多的依靠终端本地硬件,这样终端可充分发挥终端CPU、内存、显卡等硬件资源,使得终端具有与PC相同的处理能力及兼容性,各种教学软件机办公软件如Ansys、Mathematica、Adobe Photoshop、AutoCAD等以及蓝光高清视频等均可流畅使用,也可兼容各种计算机外设。可保证学校各类教学、办公应用并具有良好的可扩展性,可充分保护学校在信息化建设中的投资。
4)成本可控,充分利旧
校园网原有网络环境及终端无需更换;不同型号、不同配置、不同性能终端均可继续使用,可实现完全的利旧,充分提高资产利用率。
集中、统一管理的模式使得终端管理工作大大简化,可大大减少校园网终端运维工作量及精简运维工作人员。
5)优秀的用户体验
神州数码网络桌面云平台不会改变终端用户的使用习惯,用户无需接受任何形式的培训第10页/共17页
即可平滑过渡到虚拟化平台。这使得学生在教学过程中不会因虚拟化平台的应用而影响到终端的使用和教学的正常进行。
6)数据安全,加密存储
数字化校园需要搭建良好数据存取、备份及共享平台。神州数码网络桌面云平台个人磁盘功能,使得学生和教师可在校园网内灵活存取学生资料、教师课件等个人数据,完全抛弃移动存储设备。数据加密存储在服务器或者磁盘阵列中,确保安全可靠。
4.4典型配置
按照新建2间云教室,每间100台电脑,共200点。其中利用现有100台计算机和新采购100个云终端。
五、功能介绍
5.1桌面安全管理
1)远程虚拟化管理
神州数码网络桌面云平台能够控制工作主机在启动时从虚拟磁盘进行引导,由系统服务
第11页/共17页
器上直接读取操作系统镜像文件,同时可以针对不同的工作部门、工种类型、工作需要指定专用的安全操作系统。工作主机对系统的所有操作都处于虚拟环境下,任何的误操作或者病毒感染、驱动冲突、软件不兼容等问题在重启后即可快速全部恢复到正常状态。
2)病毒库同步
神州数码网络桌面云平台支持包括赛门铁克、趋势、瑞星、江民、金山、卡巴斯基、McAfee、NOD32等所有防病毒软件厂商的网络版及个人版防毒产品。
3)防ARP欺骗
“神州数码网络桌面云平台部署后,对工作机可以实现驱动级保护,当发生ARP病毒的攻击时,不会被虚假ARP攻击包欺骗,系统在底层直接限制了网卡发出的数据包类型,可以完全杜绝本机中毒后发出虚拟ARP包。同时,驱动限制还能够实现对工作机数据包流量的控制,即使工作机中了类似冲击波等网络病毒,也无法对整个网络造成危害。全面抑制了网络病毒的爆发。
4)流量控制
神州数码网络桌面云平台具备桌面流量控制功能,可针对内部网络的“上传”和“下载”以及外部网络的“上传”和“下载”进行流量的控制,细致、深入的控制每台终端的流量。
5)个性化安全磁盘
神州数码网络桌面云平台支持个性化安全磁盘,能够提供多种安全磁盘存储方式,用户可以自由的将个人资料存放在本地局域网存储服务器上。整个传输和存储过程都采用了高强度加密,确保只有用户本人才可以打开。同时,在部署虚拟终端管理系统时,用户无需更换原来的工作主机,可以直接在原有的网络结构和主机硬件配置下进行快速部署。
第12页/共17页
5.2 桌面安全管理
1)桌面资产管理
神州数码网络桌面云平台能够自动收集计算机的硬件资产信息,包括:网卡、内存、硬件、主板等;可以自动发现以上各类硬件资产的变化情况,生成告警信息,及时掌握每个终端用户硬件资产最新状态,避免资产流失,方便政府信息资产的统一管理。
2)补丁管理
神州数码网络桌面云平台无需和微软WSUS类的第三方补丁管理系统联动,只需要在任何一台工作机上完成操作系统补丁的更新,就能够完成网络中所有终端的安全补丁升级,保证机器及时打上最新的安全补丁,防止安全漏洞被利用。
3)软件群发
各单位经常需要安装或者更新一些行业软件或者通用软件,实施时间较长,并经常出现软件冲突的情况,很难达到快速部署、统一管理。神州数码网络桌面云平台能够实现真正意义上的快速安装。管理员只需要选择任意一台工作主机,以超级管理员权限进行软件安装并保存到操作系统镜像文件中,其他的所有工作主机重启后就自动拥有了该软件,无需自行安装,不会出现软件冲突、无法安装的情况。
5.3 用户行为管理
1)外设访问控制
神州数码网络桌面云平台可以针对常见的外设端口类型(USB、串口、并口、软驱、光驱)进行监控,在安全控制方面,系统能够对Windows的“自动播放”进行控制,防止Autorun病毒木马传播与扩散。
2)应用软件控制
第13页/共17页
神州数码网络桌面云平台全面控制工作机终端上安装的应用软件类型,普通用户未经过许可而自行安装的软件在操作系统重启后将自动还原。
3)上网监控
神州数码网络桌面云平台支持记录员工的上网历史,包括HTTP上网URL连接信息以及IM聊天时间情况等,完全遵循国家监管部门的要求,保留60天的记录。
4)行为监控
神州数码网络桌面云平台支持启动后台截屏监控,能够定时截取客户端屏幕内容,并上传到服务器。
5)网络配置强制
神州数码网络桌面云平台可以防止任意修改机器的IP、机器名、MAC等信息,根据系统策略设置自动恢复默认的配置信息;可以针对重点工作机IP采用特殊保护,保证重点工作机IP优先权,避免地址冲突,提高终端管理效率。
六、核心技术和竞争分析
6.1核心技术
1)盘网双待,保证教学业务连续
神州数码网络桌面云平台支持盘网双待,无论是电脑硬盘损坏还是网络中断,都可以保证电脑正常运行,不会影响上课教学,大大提升了教学质量和业务连续性。
2)支持教学环境按需分配,灵活快捷
神州数码网络桌面云平台提供集中管理教学所需要的桌面操作系统、应用和数据,按照不同的教学要求分配给不同的学生电脑。管理员只需要在办公室就可以轻松安装和管理各种教学软件,满足不同老师课程的需求,提高了老师和学生上课的满意度。
第14页/共17页
3)防作弊和攻击模块,规范校园电脑使用行为
神州数码网络桌面云平台提供如arp攻击防护、流量控制、屏幕截屏、外设控制、资产管理等众多管理模块。可以防止学生通过电脑攻击校园网络、防止学生上课进行与教学无关的操作、防止电子化考试中的学生作弊等行为,保证教学、办公井然有序的进行。
4)支持不同硬件,统一管理新旧机房。
神州数码网络桌面云平台采用系统与驱动智能隔离技术,可以在同一镜像中直接管理学校各种品牌电脑,保护原有电脑的投资,实现了新旧机房统一管理,避免多种管理模式带来的问题。
5)支持不同应用场景跨网段的集中管理
由于多媒体教室、老师办公室、电子阅览室等不同应用场景之间通常划有VLAN,神州数码网络桌面云平台可以轻松支持不同网络之间电脑的集中管理,无需改变原有网络结构和业务应用,同时又提升了院校信息化的安全水平和管理能力,增加了教学工作效率。
6)支持高清视频教学,保证教学质量
神州数码网络桌面云平台支持直接调用本地的硬件显示资源,即使是上万台终端同时开机运行photoshop、高清影像、视频教学等图像密集型应用都可以非常流畅,绝无卡顿和跳帧现象,充分满足了未来多媒体电子教学的发展需求。
7)个人磁盘,让数据随身而行
神州数码网络桌面云平台提供了个人磁盘功能,学生和老师可以在办公室、宿舍和教室之间通过个人磁盘功能,随意存储学生资料、教师课件等个人数据。数据加密存储在服务器或者磁盘阵列中,确保安全可靠。
8)云计算最佳实践,让校园更智慧
第15页/共17页
云计算和虚拟化都是国家鼓励和发展的新兴技术,通过搭建校园网的桌面云环境,可以让学校教学业务更加灵活多样,满足学生和老师日益增长的智能教学需求,提升了学校的教学管理水平和业务效率。
6.2 竞争分析
目前在计算机管理方面,职业院校也采取了一些其它的技术手段,包括了还原卡、网络同传等产品,主要使用在电子教学机房、图书馆电子阅览室等电脑桌面集中的环境里。这些产品都曾经发挥过管理桌面电脑的作用,但随着智慧校园的发展要求以及教学新业务的变化,他们的缺陷就越来越明显。
1)与还原卡类的产品对比
基于还原卡技术的桌面管理产品有基于网卡的,也有基于硬盘IDE接口的,但基础原理基本一样。依赖电脑本地硬件,一旦出现电脑硬盘故障,电脑就无法开机工作。还原卡是一个硬件产品,容易出现硬件单点故障,损坏后更新维护麻烦。同时还原卡不合适部署多个操作系统,所有的软件通常都部署在一个镜像中,影响终端机器性能。同一批还原卡只支持相同型号、相同版本、相同的计算机配置的硬盘管理,不能实现多个不同计算机型号的连网管理,由于教学需要,发生教学应用更新时,对不同网络、不同型号计算机只能挨个机房跑进行更新,工作量很大。由于还原卡对操作系统进行了保护,造成计算机性能下降,还原卡进入保护状态下,不能保留病毒定义码或补丁升级,要想实现病毒库及教学应用更新或升级需要全部对传,且无法跨网对传,使得工作量很大。还原卡通常需要保留本地硬盘上的一个分区作为重启不还原,便于学生存放个人资料。这个分区很容易导致学生在上面存放病毒,导致病毒在校园网中交叉感染。还原卡处于系统底层,对校园网终端电脑可能出现的arp病毒攻击、学生考试作弊、网络资源滥用等行为无能为力,很难满足校园信息化发展的新需求。还原卡不支持瘦客户机,只
第16页/共17页
能在PC电脑上进行安装部署。
2)与网络同传类的产品对比分析
基于网络同传的桌面管理产品以网络广播、磁盘快照等技术为主,大多数都是原来的还原卡厂家,以前称为电子教室管理平台或者网络还原卡,近年来多自称为虚拟桌面。基于网络同传技术,无法支持盘网双待,一旦硬盘损坏或者网络中断,所进入的网络系统和硬盘上的系统不同步。对多硬件不支持,每增加一种新的硬件(显卡、主板、CPU等)都需要多设置一个快照。一旦需要升级补丁,就要按照快照数量升级多次,非常麻烦。基于快照多次叠加技术,随着快照的增加,速度变慢,特别是一旦快照树底层某一快照出问题,很可能导致整个系统完全崩溃,后果不堪设想。不支持底层流量控制和ARP防护,一旦出现病毒或者网络堵塞,都将影响到教学业务的开展。当教学环境的终端桌面无硬盘时,工作效率低下,负载均衡无法正常工作,服务器宕机时客户机需要重新启动。产品采用还原卡的保护机制,容易被机器狗等病毒穿透,风险大。同时没有灵活的个人磁盘配合数据备份存储。
第17页/共17页