虚拟化电子教室方案

方案背景

教育网的发展以CERNET2为核心网络技术,并支持开发包括网格计算、点到点视频语音综合通信、组播视频会议、大规模虚拟现实环境、远程教育等重大应用项目;同时教育城域网作为中小学“校校通”工程支持主体,解决了教育资源共享、投资重复以及技术人员严重短缺等问题,为中小学信息化建设提供了共享平台。

随着网络技术在教育行业的迅猛发展和网络应用的广泛普及,各种新的网络应用也层出不穷,如:网络多媒体教学、VOIP应用、视频点播,视频监控数据等,也得到了快速的发展。学生使用网络的热情也空前高涨,个人计算机的普及率在高校中逐年递增。网络规模的急剧膨胀,网络用户的快速增长,关键性应用的普及和深入,使得校园网从早先教育、科研的试验网的角色已经转变成教育、科研和服务并重的带有运营性质的网络,校园网在学校的信息化建设中已经在扮演了至关重要的角色。

教育局(教委)和高校园区等网络如何寻找出最优化的方案和应用模式已经成为影响教育信息化能否顺利推进的“焦点”问题之一。

 

方案需求

教育网络作为数字化教学的最重要载体,当前存在着以下急待解决的问题:

因操作不当频繁对系统及软件造成的损害

教育网网络庞大,学生们对计算机的了解程度不同,在接受新知识的同时总是希望更多的尝试和实际操作,于是在使用过程中常常会出现很多误操作的问题;例如,刚刚接触文件新建和删除的时候,可能会频繁的新建和删除文件,这样做的直接结果便是会出现大量的无用文件或者系统文件被删除而导致系统瘫痪。频繁的重新安装大量的操作系统无疑是项庞大的工程,虽然目前很多学校采取还原卡或者还原软件来解决类似问题,但这种办法还远远不能降低机房管理人员的工作量以及维护成本。采用还原卡投入很大,而且还原软件目前还存在一些BUG,比如,有的会出现桌面图标变花,有的会失去作用等。

 

系统安全维护及软件更新复杂

在庞大的校园网内系统的安全管理变的异常困难,类如操作系统的补丁更新、防病毒软件的安装和升级等,虽然操作系统补丁或者防病毒软件都可以实现自动升级但在实际环境中往往很难实现,通常需要网络管理人员亲自动手安装和更新。同时,这种分散的安全管理很难避免某些终端没有及时更新,而导致网络环境中出现安全短板,从而使整个网络处于危险状态。

另外,在规模庞大的网络中统一安装和更新软件也同样困难,传统的终端管理软件进行软件统一分发的时候对网络影响极大且成功率不可保证,如何解决以上问题成为越来越紧迫的问题。

 

大量的P2P等非关键应用,无情的吞噬着校园网络有限的带宽资源

大学生们的思维活跃,敢于尝试新鲜事物,这本是好事,但同时也给各个学校的网络管理人员带来了巨大的不便。到目前为止,校园网几乎可以说是P2P应用最多的场所之一,其应用P2P种类之繁杂,P2P应用更新速度之迅猛,使得每个网络管理人员头痛不已。这些大量的P2P严重地侵占着校园的网络资源,如下图所示。

 

2012101511221958545

正如上图所示,在没有对校园P2P流量进行策略管理的时间段内(19:59—20:21),P2P等非关键应用的流量达到近800M,而整个网络的带宽是1G,可以看出这些非关键性应用,对网络资源的肆意占用已到了相当严重的地步。更为严重的是,在很多时候,P2P流量几乎占用了该校园网全部的出口带宽,造成许多学生和教师无法上网,严重的影响了教职员工、学生的正常工作和学习。

还有一些诸如:网络游戏、MP3下载、即时聊天等应用,也同样不断的侵占着有限的网络资源。存在大量的网络不安全因素,如ARP攻击、登录不良网站等

现今的校园经常会受各种网络黑客的侵害,导致网络不能够正常的运行,如某大学网络中心做过的统计,该校主要的几个应用服务器平均一个星期会经受到数千次甚至上万次的非法访问尝试;另外,如何避免学生登陆不良网站,防范网络非法攻击(如ARP攻击)等等,这些都是各个高校不可回避的紧迫问题。

 

传统终端管理技术解决上述问题的局限性

防病毒软件

  • 防病毒软件已经经过了几十年的发展,从管理角度来看,依然还是无法解决软件自身被随意卸载、病毒库没有及时更新、无法有效遏制蠕虫病毒传播。

内网安全管理软件

  • 内网安全管理系统无法阻止用户自行安装软件导致出现的网络滥用行为,也无法防止各种最新病毒木马的侵入。同时,对于操作系统本身出现的驱动冲突更是无能为力。

还原卡

  • 还原卡安装新软件很麻烦,需要逐一安装;
  • 还原卡和还原软件存在安全隐患,机器狗等病毒可以穿透;
  • 还原卡无法解决PC终端中用于学生保存教案资料,不被还原的硬盘分区可能感染病毒后大量传播的问题。

桌面管理技术

  • 桌面管理系统侧重于对信息资产的管理,无法解决病毒、木马等问题,在终端应用的控制方面基于规则库进行,很难满足客户个性化的需求。

NC、瘦客户机技术

  • 瘦客户机使用专业嵌入式处理器、小型本地闪存的基于PC工业标准设计的小型行业专用商用PC。但瘦客户机性能低下,通常采用精简版本的操作系统,和人们日常使用的计算机大不相同,无法实现人性化的应用,只能适用于部分中小学教室、证券炒股终端这类对应用要求极低的场合。

WSMS

  • 是微软公司用于解决终端计算机自动升级问题的软件,然而在实际使用过程中,终端计算机使用者总是由于操作不当等多种原因无法保持操作系统始终处于最新补丁状态。在计算机数量众多的单位,信息技术人员也无法及时发现。

现有的终端管理技术都只解决了终端问题的一部分,导致许多单位花费大量资金购买了各种终端管理软件和设备进行部署。但由于各软件之间无法很好的兼容整合,终端管理问题始终是信息化建设中最大的风险因素。

 

方案概述

为保证方案的能够最终达到教育行业规定的相关要求,在设计方案时遵循如下的设计原则:

  • 方案先进原则:教育网信息化办公环境的虚拟终端管理系统要求功能完善、技术先进、安全可靠、服务领先;
  • 系统安全原则:管理系统自身安全包括物理安全、系统安全、数据安全和运行安全等;
  • 可扩展原则:统一规划,兼顾长远,既要满足现有的需求,又要兼顾系统的可扩展性,保证分布实施的延续性。系统在结构、规模、应用能力等各个方面都必须具备很强的扩展能力;
  • 可靠性原则:执行ISO9002质量认证体系要求,确保安全保密设备的高可靠性和稳定性;
  • 经济性原则:虚拟终端管理系统的建设、运行维护以及将来的扩展建设,必须符合经济性原则;
  • 易操作原则:虚拟终端管理系统的使用、维护、管理、发行等方面要易操作;
  • 高效原则:虚拟终端管理系统的处理能力要求能满足现阶段的实际需求,保证系统的高效运行,并能根据系统的发展进行不断提升;
  • 功能完整原则:虚拟终端管理系统的功能完整,应用安全扩展系统功能完整;
  • 灵活性原则:虚拟终端管理系统的系统扩展、应用安全建设方面都必须满足灵活性要求。

教育网信息化环境要求最大可能的保护其网络和系统资源与数据可以得到充分的信任,获得良好的管理。

本方案的总体目标是在不影响教育网信息化办公环境网络正常工作的前提下,从虚拟安全、桌面管理、行为控制等多个角度构建一套完整的终端系统管理体系,实现对网络和系统的全面安全加固,最终达到相关教育部门的要求。主要达到以下目标:

  • 保护网络系统的可用性
  • 保护网络系统服务的连续性
  • 防范入侵者的恶意攻击与破坏
  • 防范病毒的侵害
  • 实现网络的安全、便捷管理。

 

方案部署

针对教育网对终端管理及安全提出的功能和性能要求,武汉深之度科技有限公司为了有效的满足教育网环境的要求,提出以“深度”虚拟终端产品作为基础建设安全管理系统的构想,从系统、网络及管理三个方面为教育网提供终端管理解决方案。

“深度”虚拟终端管理系统架构

  “深度”虚拟终端管理系统分为客户端和策略管理中心两个部分,其中策略管理中心为服务器端;通过建立用户定制的操作系统镜像文件及提供虚拟防护、桌面管理及行为控制等的策略管理,为客户端提供多方面的系统及策略服务。客户端通过PXE网络启动的方式通过网络加载服务及信息。

 

部署方式

“深度”虚拟终端管理系统安装部署非常简单方便,只需要在服务器上安装好服务器端程序,建立用户定制的操作系统镜像文件,然后将所有客户机的开机启动顺序改为从网络启动即可管理,不需要逐一安装客户端代理软件。该方案的网络拓扑示意图如下所示:

QR code