单位网络与信息安全建设在近年来取得了较大进展，特别是业务专网的分离、网络安全设备单点故障的解决、等级测评整改的实施等，为单位各类信息系统的稳定安全高效运行提供了强有力的网络与信息安全保障。随着信息化建设步伐越来越快，网络与信息安全的要求也越来越高，更是信息化建设永恒的话题。

本文依据2016年初单位网络与信息安全建设的现状，提出一些亟待解决的问题。如各单位办公电脑未实施内外网物理隔离，主要体现在大部分单位通过一台电脑拔插网线同时接入内网与外网、各分部电脑采用隔离卡双系统形式进行逻辑隔离、内外网切换使用简易机械切换器等。本文主要从技术角度出发，就如何使单位网络与信息安全建设跟上信息化建设的步伐，分析单位内外网物理隔离建设总体现状、存在问题、解决方法及意义等方面对云桌面建设进行思考。

项目建设前的现状及存在的问题

在2015年相关部门对笔者单位网络与信息安全进行检查，检查所需整改的主要问题是内外网未全部物理隔离；并且根据等级保护相关规定，笔者单位网络系统信息安全等级需达到三级。基于这两点，实施内外网物理隔离目标是为了单位网络与信息安全达到上级部门文件要求。

1.传统PC模式面临着挑战

图1 传统的PC机应用的不足

一是复杂的桌面管理。对广泛分布的 PC硬件，用户日益要求能在任何地方访问其桌面环境，因此集中式PC管理极难实现。同时PC桌面标准化也是一个难题。

二是软硬件故障导致数据丢失、重建系统费时及能耗较大等问题，普通的PC机在应用时需要在每台电脑上安装业务软件、程序客户端，且所有数据均保存到各个PC上，很难实现对PC的集中维护与管理，无法对数据进行集中存储与备份，导致数据容易丢失。传统的PC机应用上存在不足如图1所示。

2.安全意识有待提升

随着新技术和新应用的兴起，互联网安全形势正在发生前所未有的变化。而与此对应的却是单位全体干部职工相对薄弱的安全意识。因此在提升单位安全设备的同时，更依赖于干部职工安全意识的提升。部分干部职工对账号密码设置方式、自觉安装防病毒软件、为操作系统打补丁等一些基本的互联网安全仍不够重视，存在随意下载安装激活不熟悉的应用程序、使用非主流的应用程序、对硬盘和U盘等存储设备很少病毒查杀、随意打开不明邮件附件、轻信免费无线连接等现象。

3.专业认证人员缺乏

由于工作人员网络与信息安全意识与应用技术水平参差不齐，使网络与安全产品的选型、推广及应用产生了一定难度。这需要单位采取有效途径加大网络与信息安全全员培训力度，鼓励专业技术人员参加网络与信息安全专业化认证考试，培养一批既懂网络、又懂信息安全的高级信息技术人才，提高信息安全实际应对能力。

4.网络布局受政策影响大

单位对应的上级部门对IT设施都有严格的规章制度，按照文件要求，单位要对网络结构和安全设备的安全策略进行调整，牵一发而动全身，即使是小小的调整，也要对整个的配置进行修改。

5.终端内外网未实现物理隔离

终端物理隔离是单位防止各类黑客攻击，保护信息系统数据安全而采取的重要措施，通过终端物理隔离可以杜绝内外网络信息交换。目前笔者单位部分电脑使用隔离卡形式来实现终端内外网物理隔离，但在使用过程中，内外网切换时间长，影响工作效率。

采用云桌面实施物理隔离

针对以上问题，可以从以下四大方面来解决物理隔离面临的相关问题。

1.加强方案梳理，为云桌面实施提供理论基础

大量采购笔记本电脑与目前社会环境不融合，台式机复杂的管理与运维，增加技术人员运维工作量，台式机操作系统崩溃后重建系统费时，而且台式机数据容易丢失、能耗大。

因此采用云桌面有很多优势：一是云桌面架构技术已经成熟，逐渐在各个行业中兴起；二是建设成本低、稳定性、可用性和安全性高；三是易用性、可管理性、扩展性强；四是运行速度快，相当于都在用服务器上网；五是使用云桌面可减少PC运维工作量，便于统一管理维护，可解决技术人员不足的问题。

终端内外隔离可以便于网络安全管理，避免终端外网使用过程中感染的病毒在内网络广泛传播。运用虚拟桌面形式来部署外网更有利于节约成本、日常维护与信息安全。通过小型KVM转换器就可实现内网计算机、虚拟桌面共用一套显示器、键盘和鼠标，节约成本开销。虚拟桌面大部分维护工作都在服务器端完成，可以极大地减少计算机维护人员维护工作量。虚拟桌面没有病毒感染的可能性，具备完美的防病毒特性，即使感染病毒也可直接删除虚拟机重新分配虚拟桌面，避免病毒传播。

2.理清硬件集成，为云桌面实施提供硬件基础

桌面云系统采用国内云桌面一体化解决方案，当前使用了6台DELL R730物理服务器，每台服务器配置了2颗Intel Xeon E5-2650v3处理器和256GB内存，通过服务器虚拟化软件融合作为计算资源池；存储资源池采用了基于存储阵列的双活存储解决方案，部署了2套高端多控存储设备，每台存储设备配置了12块1.2TB容量10000转企业级6Gb SAS硬盘和2块200GB容量SSD硬盘，部署了对称双活后分配给虚拟化平台可用存储容量约为11TB左右，桌面云后端基础架构系统拓扑如图2所示。

3.完善实施步骤，为云桌面实施理清思路

云桌面在2016年3月24日进行招标采购，5月4日到6日进行设备开箱、设备的安装、存储系统初始化、存储系统双活部署以及虚拟化集群部署，5月7日到29日进行桌面虚拟机发布、瘦终端安装、IP-MAC统计、绑定等工作，在5月底完成整个云桌面的安装及部署。实施步骤如图3所示。

4.强化问题解决，为云桌面实施排除障碍

图2 桌面云后端基础架构系统拓扑

图3 云桌面的安装及部署实施步骤

图4 办公环境使用模式

在瘦客户端安装实施的过程中，也碰到了很多应用上的细节性问题，如原来定时开机关机，在定时关机的时候没有提示，直接进行关机，如晚上10点定时关机，有的同事可能还在加班，按原先定时关机的方法是直接就把机器关掉了，这样就会导致使用人员感觉电脑被强制关机了，缺乏使用体验感，我们提出定时关机前有30秒提示，如需使用的就点击取消关机。定时开机关机也解决了云桌面启动风暴问题，比如上班时候统一开机，会导致启动风暴，通过定时分批启动虚拟机解决了该问题。还有显示器分辨率在KVM内外网切换及键盘数字键在KVM内外网切换时会变化等问题在后续的使用过程中都加以解决，增加了云桌面使用的体验感。而且内外网通过KVM切换只需4到5秒时间，比原先使用一台电脑上内外网通过网络切换器进行切换的速度还快。使用KVM切换器替代网络切换器，共用键盘、鼠标、显示器，减少投入，具体单位干部职工办公环境使用模式如图4所示。

单位内外网物理隔离建设是一个关系本单位各业务建设安全运行与稳定运行、信息化建设持续推进的重要问题。其重要性正随着数字化、信息化步伐的加快而变的越来越重要。网络与信息安全工作做好了，相应的网络系统硬件运行就更可靠，软件运行更稳定，系统中数据就更安全，硬件、软件与数据也不会受到偶然的或者恶意的原因而遭到破坏、更改、泄露。在单位信息化建设过程中，内外网物理隔离建设任重而道远。