桌面地理信息系统

桌面地理信息系统（精选十篇）

桌面地理信息系统 篇1

1 医院信息系统发展概况

60年代初美国、日本、欧洲各国开始建立医院信息系统。到70年代已建成许多规模较大的医院信息系统。例如, 瑞典首都斯德哥尔摩建立了市区所有医院的中央信息系统MIDAS, 可处理75000住院和门诊病人的医疗信息。医院信息系统的发展趋势是将各类医疗器械直接联机并将附近各医院乃至地区和国家的医院信息系统联成网络。其中最关键的问题是使不同系统中的病历登记、检测、诊断指标等都要标准化。医院信息系统的高级阶段将普遍采用医疗专家系统, 建立医疗质量监督和控制系统, 进一步提高医疗水平和保健水平。

2 医院信息系统桌面管理的必要性

在现代医疗信息化建设中, 随着医院自身不断的发展, 电子病历、HIS、LIS、PACS等各项医疗程序应用, 信息化的要求越来越高, 医护人员对计算机需求大增, 管理部门需要花费大量的人力物力来维护企业的计算机运行环境。同时, 由于计算机设备的更新和变化, 财务部门对企业的计算机设备的管理和统计经常处于一种无序及手工统计的状态, 当设备更新频繁时, 原本的设备管理记录往往由于管理的滞后和对实际情况的掌握程度不够无法及时更新, 从而造成设备管理的混乱;安全漏洞与日俱增, 网络蠕虫余毒未清, 新的病毒又充斥网络, 原有的手工安装和分发升级文件包和补丁需要更多的人力资源, 还会造成时间的迟滞, 影响业务的运行效率。因此对终端进行有效的管理是保证医院信息系统正常运行的关键。[2]

3 医院信息系统桌面管理存在的问题

3.1 共享问题

医院网络共享就是以医院计算机为载体, 借助网络这个面向公众的社会性组织, 进行信息交流和资源共享。因为网络共享, 只要一台电脑安装了游戏和小说, 那么整个医院信息系统的电脑很快就会获得, 如果游戏和小说中包含有病毒存在, 这样也会引起病毒的传播。

3.2 USB接口问题

U盘的广泛使用方便了文件资料的保存和转移。而由此带来的问题是利用U盘擅自安装各种软件、游戏等, 这样很容易会导致电脑病毒感染, 严重影响了电脑运行速度。

3.3 硬件管理问题

个别人员为了玩游戏等需要, 私自对电脑硬件进行更换, 从而改变了医院电脑的配置。[3]因为医院信息系统得信息交换量大, 所以对相应的硬件要求有较快的CPU和较多的内存。而个别工作人员利用机会, 用低质的CPU换取医院电脑高质的CPU, 或在不影响医院电脑运行的情况下, 将医院电脑的内存拆除一根, 导致医院财产的损失。

3.4 分发软件问题

因为电脑漏洞和应用系统升级的需要, 电脑系统的各种补丁和应用系统的更新都需要及时的安装, 以防止电脑遭到入侵, 从而保证电脑安全快速运行。目前很难保证及时提供各种补丁和应用系统的更新, 即使已经建立了服务器, 将需要安装的软件放到服务器上, 但也很难保证终端计算机能及时安装。

3.5 IP问题

IP是能使连接到网上的所有计算机网络实现相互通信的一套规则, 规定了计算机在因特网上进行通信时应当遵守的规则。IP协议中还有一个非常重要的内容, 那就是给因特网上的每台计算机和其它设备都规定了一个唯一的地址, 叫做“IP地址”。由于有这种唯一的地址, 才保证了用户在连网的计算机上操作时, 能够高效而且方便地从千千万万台计算机中选出自己所需的对象来。很多医务人员出于各种原因, 擅自修改计算机的IP地址。这样会导致IP地址冲突, 导致网络不通, 影响医院信息管理运行。

3.6 蠕虫病毒问题

医院终端客户机多, 而计算机管理中心很难有精力去维护每一台客户端的操作系统。[4]局域网中的病毒, 最难处理的莫过于网络蠕虫病毒。蠕虫病毒与传统的病毒不同, 它是以计算机为载体, 以网络为攻击对象, 伪造源地址DDoS攻击、ARP欺骗、等等, 这是蠕虫病毒最常见的攻击方法。蠕虫的工作流程可以分为漏洞扫描、攻击、传染、现场处理四个阶段。蠕虫程序扫描到有漏洞的计算机系统后, 将蠕虫主体迁移到目标主机。然后, 当蠕虫程序进入系统后, 对目标主机进行现场处理。现场处理部分的工作包括:隐藏、信息搜集等。而且该病毒具有一定的潜伏性和触发性, 还能透过不断的自我复制, 攻击网络端口, 利用软件漏洞传播, 消耗计算机大量的资源, 其过程完全不用人工干预, 能使到局域网网络业务瘫痪。

4 加强信息系统桌面管理

为了加强医疗效率, 改善流程, 节约病患的时间, 管理大量计算机终端就成为信息人员日常工作的一部份。针对以上几点问题, 我们需要一个有系统规划的方法管理去实现这一系列的工作。

4.1 控制网络共享

通过信息系统桌面管理对网络共享进行有效地控制, 除对如网络共享打印机等合法的共享允许外, 限制客户端设置共享, 防止游戏和小说通过共享传播, 也间接地控制病毒的传播。

4.2 控制USB移动存储

对USB接口进行区别性控制, 如对鼠标和打印机的USB接口应该给予允许, 而对于U盘和移动硬盘等USB移动存储接口应该禁止使用。而且对禁止的应该要做到即使脱离网络, USB移动存储设备也不能使用。

4.3 对计算机硬件配置的监控

为了私自对电脑硬件进行更换进行监控, 桌面管理应该记录每台终端电脑的硬件配置信息, 如果某一台电脑的硬件配置被擅自更改, 桌面管理应该做出报警, 并记录日志。

4.4 对软件安装进行管理

软件管理大多数的病毒都是针对计算机上的软件漏洞和网络端口, 所以平时需要规范好软件的安装。通过相关桌面管理软件监控和授权允许安装和运行的软件, 对用户桌面的远程操作、消息传送等功能、操作系统分发, 提高维护支持工作的效率。同时设置好用户的权限, 不允许私下安装非法使用的软件。对于内部客户机, 一定要及时进行系统的安全补丁更新, 修补系统和软件上的漏洞, 减少受到病毒攻击和感染的机会。为了解决大量客户机的更新问题, 可以建立WSUS服务器 (windows自动更新服务) 完成补丁自动更新功能, 解决离线状态下自定义软件的补丁分发。通过桌面管理软件, 可以选择需要的更新程序, 设定更新的周期, 避免影响正常业务。

4.5 IP地址管理

网络中断是为网络事故中最常见的问题之一, 而此问题的产生多与IP地址有关。只要有一台终端电脑的地址设置不正确, 网络的传输就会受到影响, 甚至整个网络都会瘫痪。使用TCP/IP协议时每台主机必须具有独立的IP地址, 有了IP地址的主机才能与网络上的其它主机进行通讯。对于每台终端电脑指定IP地址, 根据用户的类别统一命名计算机, 并给定IP地址。这样一看机器名, 就知道是哪个部门哪台机器, 便于管理。同时可将IP地址与MAC地址绑定。建立IP地址和MAC地址的信息档案, 自始至终地对每个用户的IP地址、MAC地址、上联端口、物理位置和用户身份等信息记录在网络管理员的数据库中。这样知道了非法用户的MAC地址后, 就可以从管理员数据库中进行查寻, 如果对MAC地址记录全面, 便可以立即找到具体的终端电脑的信息

4.6 安全控制

4.6.1 网络杀毒

建立网络杀毒病毒服务器。针对局域网内USB存储管理不善, 致使病毒侵入网络影响工作的情况, 采用统一升级管理病毒库, 监控客户机的杀毒情况, 定时启动后台杀毒, 不影响正常工作。能统计攻击源, 针对攻击的计算机进行限流, 断网等隔离操作。同时进行资源占用率、病毒处理能力测试, 病毒日志与报警管理。

4.6.2 端口管理

端口是计算机和外部网络相连的逻辑接口, 也是计算机的第一道屏障, 所以端口配置正确与否直接影响到计算机的安全。一般来说, 仅打开需要使用的端口会比较安全, 不过关闭端口意味着减少功能, 所以需要管理人员在安全和功能上面做一些平衡。入侵者通常会用扫描器对目标主机的端口进行扫描, 以确定哪些端口是开放的, 从开放的端口, 入侵者可以知道目标主机大致提供了哪些服务, 进而猜测可能存在的漏洞, 因此对端口的扫描可以帮助我们更好的了解目标主机, 而对于管理员, 扫描本机的开放端口也是做好安全防范的第一步。

4.6.3 进程控制

进程是一个具有独立功能的程序关于某个数据集合的一次运行活动。它可以申请和拥有系统资源, 是一个动态的概念, 是一个活动的实体。它不只是程序的代码, 还包括当前的活动, 通过程序计数器的值和处理寄存器的内容来表示。危害较大的可执行病毒同样以“进程”形式出现在系统内部 (一些病毒可能并不被进程列表显示, 如“宏病毒”) , 那么及时查看并准确杀掉非法进程对于手工杀毒有起着关键性的作用。[5]如病毒采用了进程插入技术, 将病毒运行所需的dll文件插入正常的系统进程中, 表面上看无任何可疑情况, 实质上系统进程已经被病毒控制了。

4.6.4 对重要信息加密, 必要时进行备份

由于医院的特殊社会服务职能, 所以对医院信息管理的安全性要求比较高, 为了防止重要信息的丢失及黑客的非法进入, 应该对重要信息加密, 必要时进行备份。[6]

5 结束语

以上所列出的只是管理基础中的一部份, 实施桌面管理, 能使信息部门节省大量的人力物力, 其实平时在安装终端的时候, 良好的计算机名、标识、统一的软件版本、做好分发记录, 也有助于管理员以后的维护。

在信息化建设急速发展中, 高科技事物上的应用使医院这个特殊的行业, 对于信息化管理的安全性, 稳定性显得尤其重要。部署桌面管理软件后。网管人员可以通过远程定位, 快速定位故障源头, 及时排查各类问题故障, 降低了劳动强度, 提高了工作效率。使用病毒防御系统, 减少了病毒感染和扩散, 保障信息网络系统的正常运行。

加强网络安全, 优化终端管理, 提高安全意识, 结合多方面措施, 保障信息安全, 减少事故的发生, 结合理论和实际应用, 从整体上去保障医院的信息安全。

参考文献

[1]魏牧.浅谈医院信息系统的安全管理[J].科技资讯, 2009 (8) :16.

[2]曹芸静, 张真真, 陈峰.医院信息系统中桌面管理的必要性[J].中国现代药物应用, 2009 (1) :205-206.

[3]马莹, 钟初雷.桌面安全管理系统在医院的应用体会[J].医学信息, 2007 (10) :28-30.

[4]袁蓉燕.医院计算机网络的安全管理[J].现代中西医结合杂志, 2005 (2) :139-140.

[5]赵春晓, 王献忠.医院信息系统 (HIS) 的客户端管理[J].医学信息, 2008 (11) :89-90.

桌面地理信息系统 篇2

1、首先先返回到win8传统桌面的位置然后就双击左键打开桌面“这台电脑”图标，这时候就可以进入到资源管理器窗口，

接着就单击上面的查看选项，在下面的窗口里面选择“更改文件夹和搜索选项”选项。

系统远程桌面控制技巧 篇3

允许建立多个远程连接

当内网用户从客户端系统启用远程桌面连接程序，企图远程登录进入Windows Server 2008系统的时候，该系统在缺省状态下只允许一个用户账号登录，那就是Administrator用户账号，并且一个用户登录成功后，原先登录的用户就会被强行踢掉了，如此一来在某个时刻，我们只能与Windows Server 2008系统建立一个远程桌面连接，而不能象Windows Server 2003系统那样允许多位用户同时与之建立远程桌面连接。事实上，我们可以经过下面的设置操作，让Windows Server 2008系统也能允许多位用户建立多个远程连接：

首先依次单击Windows Server 2008系统桌面上的“开始”、“控制面板”选项，在弹出的系统控制面板窗口中，逐一双击“管理工具”、“终端服务”、“终端服务配置”；

其次在终端服务配置窗口左侧子窗格中，用鼠标右键单击“授权诊断”节点下面的RDp-tcp选项，从弹出的快捷莱单中执行“属性”命令，弹出RDp-tcp选项设置对话框，单击其中的“网络适配器”标签，在对应标签页面中修改最大连接数就可以了；

当然，在缺省状态下要是我们不添加终端服务功能，那么最大连接数只能允许2个连接。要想让Windows Server 2008系统允许建立更多的远程连接，我们还需要修改终端服务器授权模式；在进行这项操作时，用鼠标右键单击“终端服务器授权模式”选项，从弹出的右键菜单中点选“属性”命令，打开对应选项的属性对话框，点选“常规”标签，在对应标签页面中将“限制每个用户只能使用一个会话”选项前面的勾号取消掉，同时单击“确定”按钮保存好设置操作，这样一来就能实现建立多个远程桌面连接的目的了。要是发现上述设置没有生效，那不妨尝试一下重启系统操作。

在建立了多个远程桌面连接之后，有一些恶意用户可能会随意终止他人的远程会话连接，影响他人的正常远程操作。为了防止这种现象的发生，我们再依次单击“开始”、“运行”选项，在弹出的系统运行框中执行“gpedit，InSC”命令，弹出Windows Server 2008系统的组策略控制台窗口，任该窗口的左侧位置处依次展开“计算机配置”、“管理模板”、“Windows组件”、“终端服务”、“终端服务器”、“连接”节点选项，用鼠标双击目标节点下面的“配置：拒绝将已经登录到控制台会话的管理员注销”组策略，在其后弹出的设置对话框中，选中“已启用”选项，再单击“确定”按钮使设置生效。

及时注销远程连接资源

虽然经过上述设置，Windows Server 2008系统已经能够允许多位用户同时与之建立远程桌面连接了，但是太多的远程桌面连接会消耗对应系统的宝贵资源，影响该系统的运行稳定性。为此，不少用户通过远程桌面连接功能远程管理好目标主机系统后，常常会直接关闭远程桌面连接窗口，以便希望能够节省Windows Server 2008系统资源；殊不知，这种操作仅仅是让远程桌面连接暂时断开，它仍然会占用远程连接数量、

消耗系统资源。要想让远程桌面连接真正从windoWSServer 2008系统中断开，我们需要按照如下操作，来注销掉特定用户的远程桌面连接：

首先在Windows Server2008系统桌面中逐一点选“开始”、“运行”选项，从弹出的系统运行框中执行“cmd”命令，弹出DOS命令行工作窗口；

其次在该窗口的命令行提示符下执行字符串命令“quser”，弹出如图2所示的结果信息，在这里所有远程连接的用户名、连接标识、会话名等信息全部被列写出来，将需要切断远程连接的对应用户标识记录下来；比方说，如果想切断test用户创建的远程桌面连接时，那么我们应该先找到对应test用户的标识信息，假设该标识编号为5，之后在DOS命令行中输入字符串命令“logoff 5”，单击回车键后，Windows Server 2008系统就会自动强制test用户从对应系统中注销，这个时候test用户占用的远程桌面连接就被释放出来了。

仅让特定用户远程连接

在默认状态下，WindowsServer 2008系统只允许客户端系统以administrator账号与之建立远程桌面连接，不过administrator用户账号很容易被他人非法使用。为了让远程桌面连接更安全，我们可以取消administrator账号默认的远程桌面连接权限，同时将远程桌面连接权限授予自己信任的用户，下面就是具体的实现步骤：

首先在Windows Server2008系统桌面上依次点选“开始”、“程序”、“附件”、“命令提示符”命令，弹出MS-DOSXl作窗口，在命令行提示符下输入字符串命令“net useradministrator／active：no”，单击回车键后，WindowsServer 2008系统就不会允许administrator用户以任何形式登录访问自己了；

其次返回Windows Server2008系统“开始”莱单，从中依次点选“程序”、“管理工具”、“服务器管理器”命令，展开服务器管理器窗口，点中“配置远程桌面”链接，打开远程桌面设置对话框，单击“选择用户”按钮，进入所示的设置界面，在这里将所有已经存在的用户账号一一删除掉；

下面单击“添加”按钮，打开用户账号添加对话框，从中找到自己认为值得信任的特定用户账号，同时单击“确定”按钮执行设置保存操作，这样一来被添加的特定用户就能通过远程桌面连接程序来远程控制WindowsServer 2008系统了。

网络验证保护连接安全

类似Windows XP这样低版本的计算机系统，在上网冲浪的过程中很容易遭受网络病毒或木马的攻击，被攻击的客户端系统如果与Windows Server 2008系统建立了远程桌面连接，那么该系统也就容易被感染到网络病

毒或遭受木马的攻击。为了保护远程桌面连接的安全性，我们可以启用Windows Server 2008系统的网络级身份验证功能，该功能会自动拒绝低版本客户端系统与之建立远程桌面连接，只有Windows Vista以上版本的系统才有资格利用远程桌面连接远程控制Windows Server 2008系统。要启用网络级身份验证功能保护远程桌面连接安全时，我们可以对

Windows Server 2008系统进行如下设置操作：

首先用鼠标右键单击Windows Server 2008系统桌面上的“计算机”图标，从弹出的右键菜单中单击“属性”命令，进入对应系统的属性窗口，点选该窗口左侧的“远程设置”链接，展开远程设置页面，在这里我们发现Windows Server 2008系统提出了三个功能选项，来保护远程桌面连接的安全性；

其次选中“只允许运行带网络身份验证的远程桌面的计算机连接(更安全)”选项，再单击“确定”按钮，那么我们就能成功启用Windows Server 2008系统的网络级身份验证功能了，如此一来日后只有安装了WindowsVista以上版本的客户端系统才有资格与Windows Server 2008系统建立远程桌面连接。当然，在可信任的内网工作环境中，为了方便进行远程控制操作，我们有时也会临时选用“允许运行任意版本远程桌面的计算机连接(较不安全)”功能选项，以便可以在任何一台客户端系统中进行远程控制操作。

调整策略谨防登录破解

大家知道，WindowsServer 2008系统默认只允许Administrator账号可以与之建立远程桌面连接；也正因为此，不少恶意用户常常会利用这个特权用户帐号尝试登录破解，一旦成功破解的话，那么恶意用户就能通过远程桌面连接对Windows Server 2008系统进行各种危险操作了，很明显保留缺省的Administrator帐号比较危险。事实上，我们可以通过调整Windows Server 2008系统相关组策略的方法，禁止任何用户非法利用Administrator 帐号，下面就是具体的调整步骤：

首先在Windows Server2008系统桌面上依次单击“开始”、“运行”选项，在弹出的系统运行对话框中执行“Secpol.msc”命令，展开本地安全组策略控制台窗口；

其次用鼠标双击“安全设置”／“本地策略”

医院信息系统中桌面管理的必要性 篇4

关键词：医院信息系统,桌面管理,安全

医院信息系统的应用, 极大的提高了工作效率, 优化业务流程, 改善了管理质量, 节约患者的等候时间, 是现代化医院的重要标志[1]。随着各项程序的应用, 医院的网络越来越壮大, 医务人员对计算机的依赖性也越来越强。计算机一旦出现问题, 对临床科室的影响很大。然而随着终端计算机的增多, 出现的问题也越来越多样化, 是日常工作中影响医院工作的一个主要方面。因此对终端进行有效的管理, 是保证日常工作顺利进行的一个必要手段。

1 医院计算机管理主要存在的问题

1.1 USB移动存储设备的广泛使用

为了方便使用, 很多工作人员都配备了USB移动存储设备, 私自的将各种安装软件、flash小游戏、网络小说等安装到计算机中, 随之带来的就是各种各样的病毒, 成为了医院网络感染病毒的一个主要途径。并且计算机的运行速度也越来越慢, 严重影响使用。

1.2 网络共享的泛滥

一个科室只要有一台计算机安装了小游戏或者网络小说, 那么很快这个科室的所有计算机都会通过共享文件的方式获得这些东西, 进而导致在全院的流行。与此同时病毒也被广泛的传播。

1.3 对于IP地址的私自修改

很多医务人员熟知修改IP地址的方法, 出于各种各样的原因, 私自修改本科室计算机的IP地址。时常造成IP地址冲突, 导致另外受冲突的计算机无法正常使用。更严重的情况是修改成和服务器一样的地址, 严重影响医院应用程序的使用, 导致网络的半瘫痪状态。然而苦于无法及时准确找到该计算机的具体使用科室, 所以对负责医院信息系统的工作人员是一个极大的挑战。

1.4 对于小问题的远程解决

很多问题例如打印机不打印, 如果必须要到现场解决那么既浪费时间又浪费人力。

1.5 私自接入计算机

笔记本电脑的使用越来越广泛, 拥有笔记本电脑的人群也越来越大, 很多医务人员将自己的笔记本连接到医院的网络中严重威胁到医院网络的安全性。

1.6 分发软件存在的难度

目前微软系统的各种补丁、医院应用系统的更新都需要及时的安装。但是即使医院建立了FTP服务器或者文件服务器将需要安装的软件放到服务器上, 也很难保证所有需要安装软件的计算机都能装上。其中一个主要原因就是对计算机的未监管性。

1.7 私自更换计算机硬件

有的科室私自更换内存, 安装光驱, 从而改变医院计算机的配置。

1.8 杀毒软件的安装

医院网络中计算机数量越多, 那么越不敢保证每台计算机都安装了笔者统一购买的杀毒软件, 如果遗漏, 将成为病毒突破的一个入口, 影响网络的安全性。

1.9 对进程的相关管理

很多小游戏的运行, 木马程序的运行等导致计算机的速度很慢。

1.10 安装开发程序与黑客软件非法获取数据库密码

有关数据显示, 90%的攻击来自局域网内部个别的计算机水平高超的工作人员通过黑客软件非法获取数据库访问密码, 并且安装软件开发工具非法访问医院核心数据库, 对医院信息系统造成非常大的隐患, 一旦居心叵测, 蓄意破坏, 将给医院信息系统以毁灭性的打击, 造成无可挽回的损失[1]。

2 桌面管理软件应实现的功能

2.1 对于USB存储设备的管理

由于很多设备都是USB口, 例如鼠标、打印机的接口, 所以就需要桌面管理软件能区别对待。将属于USB移动存储设备的接口封掉, 禁止USB移动存储设备的使用。而且要做到即使脱离网络, USB移动存储设备照样不能使用。但是对于非用不可的机器, 主控端的策略应该能灵活改变。

2.2 网络共享的有效控制

桌面管理软件应该有效的控制网络共享, 使客户端不能设置共享。但是对于合法的共享允许运行, 例如网络共享打印机。从而保证网络小说及网络游戏不被广泛传播。

2.3 对于IP地址的管理

将计算机的IP地址及MAC进行绑定, 如果发现更改, 则无法进入医院网络, 从而杜绝医务人员擅自更改IP地址的行为。

2.4 远程控制、远程重启、登录前的远程控制

由于医护人员对计算机应用技术掌握的水平不同, 及对应用程序的熟悉程度不一样, 有时候会导致各式各样的小问题。对于此类问题, 如果到现场解决比较浪费人力, 这就需要能够在远程端进行控制协助, 既能快速的解决问题又能节省人力。当然远程控制的响应速度也是笔者必须要考虑的问题。

2.5 对于非法接入的控制

如果发现有非法接入的机器, 控制端应该主动报警, 并禁止该计算机接入医院网络。

2.6 对于要求必须安装的软件的有效管理

对于医院信息管理中心要求客户端必须安装的软件应该做到有效控制。对于必须安装的补丁、程序等应该由主控端按照策略推送到客户端, 进行强制安装。对于没有安装指定软件的计算机, 控制端应该做出提示, 根据不同情况做出不同对待。

2.7 对于更改计算机硬件配置的监管

桌面计算机管理软件应该能记录客户端计算机的MAC、主板、CPU等硬件信息。如果某台计算机的硬件被私自更改, 控制端应该做出报警, 并记录日志。从而对私自更改硬件配置的行为做出有效的监管

2.8 对于杀毒软件的强制安装

网内的计算机如果没有安装指定的杀毒软件应该禁止其入网。

2.9 对于非法进程的控制

将一些允许运行的进程列入到允许运行列表中, 相应的对一些非法的进程, 例如小游戏的进程、已知的木马进程、病毒的进程列入到禁止运行列表中。有效防止小游戏、木马程序的泛滥, 保证医院信息系统的正常运行。

2.10 计算机资产管理及流量控制、端口控制

桌面管理软件还应该能有效的对计算机的端口进行监管。通过建立相应策略来防止相关的木马型病毒通过相应的端口进行攻击行为, 例如“冲击波”等。而且管理人员也可以通过对流量的监测分析来判定传播源及被攻击的端口, 以便及时做出补救措施。

2.11

分组策略的应用、各类权限的设置

3 其他方面

计算机使用管理制度是客户端正常使用的基本保障, 笔者可以通过技术手段来加强管理制度的实行, 但是没有好的管理制度, 一切的技术手段都不能很好的实行。只有制度与技术相辅相成相互配套, 笔者的管理才能正真落实到实处, 才能有效的保证各项应用系统的使用。

参考文献

Linux桌面系统分区方案 篇5

只是体验一下Linux的分个根目录就一个分区就可以了,其他分区如swap都不要了也可以.推荐第一次用linux的人这么做,因为简单.

文件系统比较保守的用Ext3格式,不过推荐用ReiserFS系统.

基本方案:“/”+“/home”+“/swap”

系统根分区“/”,推荐分10G,刚安装好的系统通常会占用掉2G左右的空间,然后剩下的空间你可以用来安装应用程序和其他一些系统额外开销,如软件包缓存等,一般10G就够了.安装大量大型软件的,可以分20G.

然 后就是“/home”,home是用来放置用户配置和文档的地方,你下载的mp3等文件都可以放在home里边.如果系统重装了,/home是可以继续使 用的,可以不被格式化,数据都会保持下来.所以按照个人情况,home应该要15G以上.如果是多用户使用的,那就要再大n倍了.

最后一个分区是“/swap”,是用做虚拟内存的,Linux系统很少会去使用虚拟内存,除非物理内存太小了,总不够用.swap 的大小通常是物理内存的2倍,但一般不推荐大于1G,如果你有128M内存就分300M,256内存就分500,512M内存分800M,1G内存就分 600M就好了.最保险的是分1G,然后你使用时注意观察一段时间,看看你到底用了多少,然后以后就根据你的情况分配.

然后就是高级分区方案了,需要你有一定的Linux系统使用经验,推荐把/var和/usr独立出来.当然,一般用户并没有这样的需要.

最后推荐使用双系统,如用Windows和Linux的,分一个大大的NTFS格式分区放置重要文档,备份等,而且Win和Lin下对NTFS分区读写都很方便.

分区方案总结如下:

#位置 #大小 #格式

系统根目录/ 10G以上 Ext3或ReiserFS

用户目录/home 15G以上 Ext3或ReiserFS

虚拟内存/swap 300M以上1G以下 swap

多系统备份目录NTFS分区推荐分30G以上

★ Windows7 64位系统网卡驱动安装问题解决办法

★ Windows7系统隐藏文件技巧

★ 供货安装方案

★ 带你进入Windows7系统的安全模式

★ APACHE安装笔记Unix系统

★ 系统建设方案

★ 监控系统方案

★ oa系统方案

★ 金属结构安装施工方案

桌面系统缚住多核手脚 篇6

Intel Core2 Quad系列产品被很多人认为是目前最强大的四核桌面处理器。

在英特尔、AMD等厂商的推波助澜下，我们成功地跨入了多核时代。

一些激进的桌面用户，迫不及待地升级到最新的多核系统。然而，他们却很快发现，多核系统对于桌面应用的改善非常有限。付出昂贵的代价，换来不尽如人意的结果，用户不禁要问：对于桌面系统而言，多核真的有必要吗？

操作系统是关键

其实，问题首先出在操作系统上。如果操作系统对于多核的支持不够好，那么即便有更多的处理器核心也无济于事。

以微软最新的操作系统Windows Vista为例，从目前来看，Vista并没有对双核以及多核处理器进行专门的优化。这也不能怪微软，毕竟在多年前开始Vista的开发时，英特尔和AMD的多核处理器还没影呢！不过，没有进行专门的优化，并不代表Vista就不支持多核，其实甚至连Windows系列的早期产品Windows XP、Windows 98等操作系统也支持多核，只有目前仅存于人们记忆中的DOS不支持多核。换而言之，只要操作系统支持多任务操作，那么多核就能发挥作用，尽管这种作用可能会因为没有经过优化而在当前显得微不足道。

很多人会感到奇怪，他们认为，从结构上来说，多核的芯片和以前的SMP（Symmetrical Multi-Processing，对称多处理器，通常用于工作站和服务器）差不多，只不过多核是将多个CPU集成到一块芯片上而已。那么，既然以前的操作系统都能够对SMP做出完美的支持，为什么还要有经过优化的多核操作系统呢？

实际上，多核与SMP还是有很大不同的。虽然二者都具备易于使用、内置缓存、共享内存的特性，但是在SMP下，开发人员面对的是单一的抽象化硬件平台，由SMP操作系统来决定具体由哪一个内核来运行相应的任务。而多核环境显著增加了系统的复杂度，尽管很多人都认为多核就是指在同一个芯片中放入多个内核，但是在实际开发工作中所遇到的多处理问题并不仅仅局限于在单一芯片中的多个内核。另外，在操作系统层面，当一个任务到来时，会剥离成为多个并行的线程（线程数量视CPU核心数量而定），又因为线程之间需要交流以及操作系统的监管，其效率损失要比硬件层面大得多。

这里再说句题外话，对于操作系统来说，大家耳熟能详的各种补丁包不仅能改善系统的安全性能等，也可能在短期间内为多核提供强有力的支持。譬如，微软在7月23日就发布了一个支持多核心显卡的补丁，原因是在Windows Vista下，一些诸如GeForce 7950 GX2这样的双核心显卡的第2个GPU(图形处理器单元）可能无法获得正确的指令，导致其仅能发挥一半的火力。多核处理器虽然与多核显卡有极大的不同，但是二者的实现原理是基本相同的，因此我们也不能排除微软在某个时刻为多核桌面系统提供相应的Windows补丁包的可能性。

软件支持成软肋

有了完美支持多核的桌面操作系统，并不意味着桌面多核就已经水到渠成，软件的支持也必须跟上。

目前，多数桌面软件并没有充分考虑到多核的运行情况，导致线程的平均分配时间以及线程之间的沟通时间都会大大增加，尤其是当线程需要反复访问内存的时候，就会造成软件运行效率的低下。另外，一些桌面软件的测试也明白无误地告诉我们，如果没有针对多核进行软件开发，不仅多核提供的强大计算能力得不到利用，甚至还有可能出现“多核不如单核CPU好用”的现象。

在目前的可视化开发环境下，开发软件似乎很简单：只需在IDE（集成开发环境）中新建一个工具，再建几个Form，然后拖上去一些控件，就可完成一个看似非常强大的程序。这些程序可能具有非常复杂的功能，而且可以在单核CPU上运行得非常好。然而一旦将之在多核系统上运行，其表现往往令人失望。

原因何在呢？传统的程序都是由一个Main函数开始执行程序，然后按顺序执行相应的代码，即所谓的串行，因此同一程序在同一时间只能运行在一个CPU核心上，哪怕该系统上有很多CPU核心，也只能有一个核心发挥作用。

目前几乎所有的桌面软件都是串行的，采用Visual Basic等语言编写，如何为这类开发商提供更好的并发编程模型和开发环境，以帮助他们开发有效的桌面并行应用程序，将是多核在未来几年里面临的一大挑战。当然，这些问题也存在于企业级软件开发过程中，不过由于本文谈及的是桌面系统，因此不再赘言。

为了改善这种局面，据悉英特尔已经与一些软件开发商、操作系统厂商和高校制订了合作伙伴计划，并加快了在相关工具方面的研发力度，推出了一系列的产品，包括编译器、VTun性能分析器、多线程工具等。另外，Intel在全球还有1万多名软件工程师帮助用户完成相关软件的并行化工作。

应用缺乏是短板

目前看来，桌面系统的应用一般不外乎是文档处理、表格制作、网页浏览、即时通信、游戏娱乐等领域，往复杂里说，还可能包括一些非专业的视频、音频等多媒体处理应用。

对于当前的主流桌面系统来说，应对以上的应用完全不成问题，譬如微软最新的Office 2007办公系统、IE 7.0浏览器、MSN 8.1等软件，甚至可以在早几年的桌面系统上流畅运行，完全无需昂贵的多核处理器。只有在音、视频处理方面，多核才能发挥出一些优势，不过如果相应的音、视频处理软件没有针对多核进行优化的话，多核系统的效果也会大打折扣。

业内曾经认为，多核在可视化领域具有远大前途，渲染速度可以加倍，矩阵运算容量可以大大增加，然而现在的OpenGL（这是一种3D程序接口，在图形工作站和游戏中应用颇多）很难拆分数据封装，这也让多核难有用武之地。更糟糕的是，目前的绝大多数游戏都采用了微软的DirectX，而不是曾经辉煌一时的OpenGL。要让DirectX在多核下表现优异，仍要微软在操作系统或补丁包中加以支持。

游戏是桌面系统（尤其是家庭和个人用户）的一大应用，然而目前能够支持多核（哪怕是双核）的游戏可谓凤毛麟角、少之又少。由于多核下的游戏开发将在很大程度上颠覆原有的思路、理念乃至流程，因此现在仍少有大型游戏公司宣称向多核开发转移，这也意味着短期间内我们不会看到重量级的游戏产品支持多核。

另外，一些业内人士认为，多核桌面的春天要寄希望于家庭服务器（这是微软最近一段时间力捧的一种产品，微软已经表示将在年内推出Windows家庭服务器正式版）。他们认为，只有电脑转变成为数字家庭的数据存储和运算中心，多核的意义才会凸显。不过，这也只是一种美好的期望，毕竟类似家庭服务器这样的应用距离我们仍非常遥远，更况且家庭服务器恐怕也不应再归类于“桌面”了吧？

观点:多核优点不容回避

虽然说了一大堆多核的“坏话”，但是我必须承认，多核的优点很多，而且我也很看好多核

在服务器和工作站上的前景。

与单核相比，多核的优点在于单芯片多处理器结构的控制逻辑复杂性要明显低很多；其次，由于单芯片多处理器结构的控制逻辑相对简单，包含极少的全局信号，因此线延迟对其影响比较小，在同等工艺条件下，单芯片多处理器可以获得更高的工作频率；再次，由于多个处理器集成在一块芯片上，并且采用共享Cache或者内存的方式，因此多线程的通信延迟会明显降低；另外，在IT业界广泛崇尚绿色环保的今天，多核通过动态调节电压/频率、负载优化分布等，加之生产工艺的极大改进，能更有效地降低处理器的功耗。

桌面地理信息系统 篇7

1生产信息化系统介绍

山西空管分局生产信息化系统将H3C7503核心交换机作为系统的核心节点, 连接了生产信息系统、桌面终端管理系统、档案系统、电子值班系统、杀毒系统、准入系统等6个服务器;通过H3C3600、H3C3100、H3C5100等网络交换机和PCM设备连接了分布在6个不同地理位置、包括各个部门的近110台办公电脑; 通过MSR3020路由器接入华北空管局生产信息网, 实现与上级部门的信息传递和共享。生产信息化系统的网络结构如图1所示。

为了保证网络安全, 生产信息化网络中采用了专门的网络通道技术、物理隔离技术、安全网段划分、安全防护设施 (例如防火墙、入侵检测、漏洞扫描) 等手段, 而这些手段的应用就依赖于桌面终端管理系统。通过桌面终端管理系统, 可以实时、便捷地监控所有接入的电脑, 及时发现终端设备的系统漏洞, 控制移动存储设备接入内网, 防范内网设备违规进入外网, 同时还可以统一管理终端设备, 在保障网络安全的同时, 提高维护人员的工作效率。

2桌面终端管理系统的安装和使用

2.1桌面终端管理系统介绍

桌面终端标准化管理系统是一个实时的安全监控系统, 被广泛应用于局域网、广域网的构架, 跨网段、跨地域的内网远程客户端管理及非法移动设备接入检测、网内计算机违规联网监视、网络安全隔离度监控等领域, 提供了防火墙、IDS、防病毒系统、专业网管软件所不能提供的防护功能。

桌面终端标准化管理系统由Win Pcap程序、SQL Server管理信息库、Web中央管理配置平台、区域管理器、客户端注册程序、补丁下载服务器、管理器主机保护模块、报警中心模块8个部分组成, 由安装在各计算机设备上的客户端软件和安装在管理服务器上的控制端软件两部分进行功能处理, 并通过前台浏览器访问后台管理信息数据库进行系统管理。桌面终端标准化管理系统的工作流程如图2所示。

2.2客户端的安装和注册

山西空管分局的每台办公电脑在接入生产信息化系统之前, 都要先通过业务部门的入网审核, 分配IP地址, 然后进行病毒查杀。安装完成应用软件后, 登录http://10.5.32.6/vrveis桌面终端管理系统界面, 点击“工具下载”安装用户注册器。桌面终端管理系统界面如图3所示, 客户端下载界面如图4所示。

注册器安装完成后, 对办公电脑进行注册认证。桌面终端管理系统自动将注册信息和系统自动采集获得的设备信息导入SQL数据库保存, 同时将桌面终端管理系统中的客户端参数策略发送给客户端驻留程序保存执行。

在注册成功以后, 注册程序自动收集和上报的信息包括使用人、部门名称、联系电话、IP地址、MAC地址、设备型号和主板信息等。

这里要说明的是桌面管理系统的首次安装需由系统维护人员完成, 只有注册之后的电脑才会处于桌面系统的管理和监控之下。 一旦某个客户端的信息被改变, 桌面系统就会发送报警数据。

2.3策略管理

策略管理就是, 制订整体安全策略后督促全网执行, 禁止移动存储设备随意接入内网。以往, 为了防止病毒侵入网络系统和信息泄露, 山西空管分局在制度上严禁生产信息化办公电脑随意接入存储设备, 例如移动硬盘、U盘等, 并用封条封闭电脑USB口。尽管这样, 仍然无法禁止用户私自开启封条接入存储设备复制数据, 导致极大的安全隐患。而桌面终端管理系统的策略管理可以从技术上解决这一问题。

山西空管分局制定的策略包括关闭USB口策略、开放USB口策略和临时开放USB口策略。用户注册后自动启用关闭USB口策略; 对经过审核、可使用移动存储设备的用户下发开放USB口策略;对于工作需要临时接入移动存储设备的用户, 在业务主管部门审核同意后启用临时开放USB口策略, 同时提供专用移动存储设备进行操作。 这样从制度和技术两个层面实现了终端用户的网络信息安全管理。

2.4阻断违规接入管理

阻断违规接入管理可以控制由外来设备接入内网而造成的安全威胁, 如图5所示。在接入控制设置中勾选“没有注册则阻断联网”便可阻断未注册设备连接生产信息化系统, 同时在设置中还可以启用IP和MAC地址的绑定进行检查, 保证每个IP地址用户的唯一性。

之前在没有接入桌面终端管理系统时, 任何一台电脑都有可能接入到网络中, 仅依靠制度上的监管存在很大的漏洞, 维护人员需要定期现场检查办公电脑的使用情况。另外, 还可能存在多个电脑通过一个IP进入网络中, 给网络管理带来了很大的难度, 而阻断违规接入管理可以很好地解决类似问题。

2.5数据查询

山西空管分局的约110台办公电脑分布在办公楼、航管楼、 塔台、后服、车队等各个地方。在以往的网络信息安全检查中, 要耗费大量的人力和时间逐个检查每台电脑, 并记录检查结果。 不仅如此, 还可能因人为原因而造成漏检, 导致采集数据不准确。

桌面终端管理系统通过注册自动采集设备信息, 为维护人员提供数据查询功能。查询内容包括计算机所属区域、部门、 使用人、设备IP、MAC、注册、重新注册、信任、保护、阻断、 开机、杀毒软件、杀毒厂商等。同时, 桌面终端管理系统还为维护人员提供了统计数据功能, 例如本地注册情况统计, 可查询拥有的客户端总数、注册情况、注册率、在线设备、安装杀毒软件的数量;本地设备资源统计, 可查询客户端所安装的操作系统类型、各个操作系统所安装的设备台数及其所占比例等。

维护人员需要注意的是, 如果注册后需要更换电脑或重装系统时, 必须卸载桌面系统的客户端, 完成更换和系统安装后重新注册;否则会造成同一IP查询出现更新前和更新后的两条信息, 造成信息混乱。如果查询出现重复信息, 首先要确定原因, 然后根据注册时间人工删除不正确的信息, 保证信息的唯一性和正确性。

维护人员还可以将查询的数据转换成Word文档作为设备资料保存, 为之后的工作提供便利。

2.6报警管理

桌面终端管理系统可实时监控客户端, 一旦发现注册信息和策略有异常, 就会自动生成报警数据提示维护人员。报警内容包括阻断、IP与MAC绑定变化、违规外联、设备变化、流量异常、探头卸载侵入、病毒、违规上网等。

报警数据显示界面如图6所示。维护人员通过每天定时查看报警数据, 就可以及时发现网络中存在的问题, 尤其是非法外联、 流量异常和病毒侵入等, 为运行维护中的故障处理提供了技术支持, 能够帮助维护人员快速锁定有问题的客户端, 从而尽快处理。

2.7终端管理

桌面终端管理系统能够对网络中的客户终端信息进行点对点式的控制、管理, 只需要在终端管理界面中输入终端的IP地址, 就可以远程访问该IP地址的终端, 对该终端进行操作。终端管理界面如图7所示。

维护人员不仅可以远程检查终端的进程、服务、软件、端口、 系统漏洞、安全日志、共享资源、策略等项目, 还可以远程点对点地实时发送消息, 提供全盘杀毒或制订某一目录的杀毒程序, 修改客户端计算机的名称、IP和DNS等网络配置, 断开和恢复客户端联网, 卸载客户端探头, 重启或关闭客户端计算机。在维护过程中, 通过远程访问, 就可以为终端用户提供与现场一样的服务。需要注意的是, 维护人员首先要与用户沟通, 达成一致意见后才可维护, 避免造成资料丢失等问题, 影响用户的工作。

3结束语

桌面地理信息系统 篇8

随着信息化建设的逐步深入, 网络结构日趋复杂, 信息系统趋于多元化, 信息安全面临许多问题, 如内外网安全、主机安全、应用系统安全、物理环境安全、桌面终端安全成为信息化建设的重中之重。桌面终端任意接入, 安全策略得不到统一和有效控制, 对资产信息采集统计与远程监控手段不足, 用户行为难以控制, 存在引发信息安全事件的风险, 终端维护成本较高等问题制约和影响着信息化健康持续发展。科学、合理的构建和完善信息安全防护体系成为解决信息安全的有效途径。

如何将信息安全隐患降到最低, 如何抵御病毒、黑客的入侵, 如何安心使用网络这都是在信息行业中醒目的问题。

桌面安全管理系统是一个完全集成的模块化桌面管理解决方案, 可以管理企业所有Windows平台设备。涵盖了策略管理中心、设备管理、远程协助、移动存储介质管理等模块, 对信息网络安全起到了重要的作用。

设备和资产管理

随着公司企业的发展, IT产业也在不断扩展, 终端设备增加了不少。作为IT管理员, 要将不同配置, 位置分散的PC机等相关设备进行统一管理, 把设备台帐做好做细是件比较费时的事情。

在桌面管理系统里, 每新增一台终端设备, 不管是PC机还是其他办公设备等, 只要设有IP地址, 分配了部门, 在终端上注册了桌面管理系统, 都能在桌面安全管理系统内监测到。并且终端机的详细参数配置、进程、安装软件等都能一目了然, 这对设备资产管理有很大的帮助。

远程协助和成本控制管理

桌面管理系统内的远程协助, 可以帮助网络管理员远程运维电脑终端, 这样不仅降低了故障响应时间也提升信息运维人员的工作效率, 还可通过系统内的点对点控制, 远程取得计算机的安装程序, 应用进程, 系统版本等关键资料和使用状况。

远程控制使工程师在任何内网接入的工作场所就能对任何出现的故障做出迅速的反应并处理问题。这方面大大节约了工作人员的时间, 降低了运维成本。

桌面管理系统补丁管理

桌面终端管理系统重要的补丁下发功能可为公司内网终端自动下发并安装最新的系统补丁, 使系统保持最安全的运行方式, 可以根据各种计划任务, 或者根据批处理策略统一下发下载补丁。当系统监测到有终端未安装补丁时, 可对缺少的补丁进行重新下发。并能够对补丁下载及安装的情况进行查询, 避免因病毒侵袭及应用系统漏洞而导致损失。

违规外联准入管理

针对违规外联进行全面整改, 不仅出台了公司违规外联事件整改方案, 而且在管理上加强力度。一是做到定期病毒及安全使用公告, 禁止手机联入内网充电;二是定期开展信息安全知识教育培训, 将违规外联原理、违规外联的严重性、可能发生违规外联情况公示;三是全网粘贴内网计算机标签标识, 杜绝违规外联误操作。四是违规外联坚决执行公司的规定, 惩治力度决不放松。

防非法外联系统在终端连接内网前, 通过安装准入系统认证客户端对计算机进行健康状况检查, 是否安装防病毒软件, 是否安装桌面管理系统, 对不满足安全要求的终端禁止分配内网合法IP地址, 当用户完成入网的要求后, 准入系统会自动识别系统状态并分配合法的内网IP地址, 完整用户终端的准入流程, 并通过桌面管理系统下发防违规外联IP策略, 进一步控制非法外联的发生。

移动存储介质管理

移动存储的随意接入网络或者丢失出现信息数据泄密的都对信息安全造成很大威胁。桌面管理系统内的移动存储管理可大大提高移动存储的安全性。通过桌面终端管理系统能够安全的进行移动存储的管理, 防止信息泄密事件的发生, 杜绝因移动存储介质泄密对内网安全的威胁。

双数据区交互使用:专用U盘支持交换区和保密区。交换区在分配相同桌面标签的计算机上支持口令登录使用;保密区在分配相同桌面标签的计算机上受限制使用, 在不同标签的计算机上无法使用, 插入即会报警。

综合以上几个模块的功能, 作为管理员能充分体会桌面管理系统在信息网络安全中的起到的强大作用。

参考文献

[1]徐沛沛.统一桌面管理系统建设分析与研究电力信息化2012 (10)

[2]张鸿久, 王少杰.利用桌面管理系统提升信息安全水平河南电力, 2010 (1)

桌面虚拟化信息安全的探究 篇9

桌面虚拟化基于虚拟化应用平台交付和虚化框架平台的集成, 依赖于服务器虚拟化。桌面虚拟化的信息安全问题, 是虚拟化新技术与信息安全的交集。桌面虚拟化安全是值得探讨的一个话题, 其目标是打造为企业重要信息提供可靠支撑的信息化保障体系, 为企业带来更高的实际利益。

1 桌面终端安全分析

1.1 桌面虚拟化背景分析

桌面虚拟化是指将计算机的桌面进行虚拟化, 使用户可以通过安全网络在任何设备, 任何地点, 任何时间远程访问属于其个人的桌面, 并获得与传统PC机一致的用户体验。桌面虚拟化不是由本地操作系统产生的, 而是由后台数据中心生成, 并完成交付的工作, 其拥有集中管理、可扩展的管理、简化的部署等特性。

目前, VDI (Virtual Desktop Infrastructure) 是桌面虚拟化的主流架构与部署方式, 当前主流的虚拟桌面技术厂商, 都已经确定了各自主打的桌面显示协议, 如Microsoft的RDP、Citrix的ICA/HDX、Red Hat的SPICE、VMware的PCo IP等。桌面虚拟化通过统一的远程访问协议来进行桌面访问, 这样的好处是显而易见的, IT人员只需要做好其中一条防线的保护。

1.2 桌面虚拟化安全问题

云计算是桌面虚拟化的重要支撑, 是一个IT基础架构的研究热点, 虚拟桌面重新回收分散的桌面分布, 集中到数据中心统一部署和管理, 这大大方便了桌面维护工程师的工作。桌面虚拟化技术的应用大大提高了桌面的可用性, 而性能也可以通过使用新的、更强大的服务器不断提高。桌面虚拟化在内网安全方面的提升很明显, 例如防止数据丢失, 数据备份, 系统的简化等。

但由于信息化的不断发展, 桌面虚拟化应用随之普及, 也带来了一些新的安全问题。例如Blue pill攻击, 它通过良好的处理内核模式存储转换, 使用VMRUN以及相关的SVM指令, 对第三方软件进行欺骗操作, 取得系统的进入许可, 如使用虚拟主机进行跳板攻击, 将大大威胁数据中心的整体安全。另外, 资源滥用也不容忽视, 个别用户的资源滥用, 可导致其他桌面用户体验受影响。

桌面虚拟化因用户群体关系, 基本上基于Windows系统, 但Windows安全性的一些问题不容忽视。为解决这些问题, 管理员会使用传统的杀毒软件及防火墙进行部署, 但对于桌面虚拟化环境, 这并没有提高效率, 还可能出现严重的问题。例如, 杀毒软件的不合理设置, 可能导致杀毒风暴的出现, 这将耗尽数据中心所有资源, 导致数据中心宕机。

因此, 对于数据中心的运维而言, 迫切需要一套新的运维方式和技术手段去保障系统的稳定和安全。

2 桌面虚拟化安全的保障

2.1 桌面虚拟化安全基础架构

虚拟化网路基础还是建立在传统的网络上, 只是对其进行相应的简化, 网络安全也是基于原有网络理念进行, 例如入侵检测、安全审计、防病毒等。

当前主流的虚拟化产品采用的是Hypervisor模型为架构的产品, 主要产品有VMWare ESXI、KVM等产品, 国内采用的主要架构还是后期经过演进后的KVM。它们的优点包括:因为VMM既有物理硬件支配权力, 也有虚拟化功能, 效率会更高;但是在安全方面, 虚拟机的安全取决于VMM安全。它们的缺陷同样是很明显的:因为VMM完全主宰了物理硬件支配权力, 所以需要一个物理资源的管理程序, 包括设备驱动程序, 由于设备驱动程序的开发工作量非常大, 对于VMM来说, 这是一个很大的挑战。

2.2 桌面虚拟化防病毒安全

在桌面虚拟化环境中, 传统的杀毒模式显然是不合时宜的, 因此, 需要更好的方式以解决系统安全方面的问题。

虚拟化杀毒, 需采用无客户端的集中查杀架构, 以避免病毒防护的相关问题。对比在每一台机器上安装部署一套传统企业版本的杀毒软件, 显然在Hypervisor中插入一个虚拟自省的插件是更好的办法。对桌面集中管理、统一查杀、防病毒, 由一个独立的专门的安全虚拟机负责, 它的主要任务是负责分配政策和查杀病毒, 而每个物理主机上只有一个病毒查杀引擎, 负责所有虚拟主机的病毒查杀, 这样既节省了物理硬件资源的成本消耗, 也避免了病毒风暴的爆发。对于新的虚拟机镜像, 防病毒插件也能够对其进行保护, 避免安装源受到感染, 见图1。

2.3 桌面虚拟化入侵检测

相对于传统的入侵检测, 在虚拟化的桌面环境中已经有了新的定义。

Hypervisor管控硬件层, 通过以软件方式嵌入到Hypervisor, 见图2。由此可即时监测到各台虚拟机之间的网络流量, 通过制定的安全策略进行访问控制, 同时, 流量监测引擎可将流量从Hypervisor层直接转发到第三方设备或系统进行集中分析, 达到现在的IDS、IPS、流量抓包回溯系统的效果, 由于虚拟化的基于物理的接管层, 甚至更优于现在基于X86架构的防火墙。

2.4 桌面虚拟化数据安全

采用桌面虚拟化技术后, 桌面的管理可通过镜像源文件进行管理, 无论是操作系统的安全加固还是应用程序的安装部署, 只需要调用应用镜像文件, 我们可以100%的同步到每个桌面终端, 可以由管理员从楼层的安装维护到办公室的远程一键部署转化。

一方面, 可以通过合理定制镜像, 避免了信息管理人员的违规操作, 保证了企业应用系统的安全。由于数据保存在数据中心中, 有效避免了单台PC硬盘损坏, 设备丢失等意外造成的数据安全问题。

桌面虚拟化解决方案也可以分为不同的部门, 为企业战略管理设置不同的图像文件和应用程序, 并为每一个员工提供个性化桌面应用环境。在一般成型企业中, 同一部门的员工通常比较类似, 所以可以使用模板创建出用户特点相同类型的标准, 通过Composer技术, 为相同类型的用户部署相同的虚拟桌面, 见图3。

Composer使用链接克隆技术, 它允许快速从父虚拟机映像创建桌面映像, 虚拟机的快速部署, 每当在父虚拟机映像的更新的实现, 虚拟桌面可以在几分钟内部署任何数量的虚拟桌面, 大大简化了部署和维修工作。在本过程的用户层面来看, 不影响用户个人设置, 工作数据和应用软件等, 这样用户可以高效率地使用工作用途的虚拟化桌面。

通过Composer技术, 使多个用户共享相同的“桌面池复制图像”, 并为每个用户分配独立的非系统盘, 通过该技术可以大大降低存储成本。日常管理和维护也只有对父虚拟机的维护, 因此可以减少维护管理工作量, 并有效地解决了数据与应用的分离, 以保持数据的完整性, 降低事故造成的影响。

2.5 桌面虚拟化审计安全

审计作为信息安全中重要的一环, 在传统的终端采用C/S架构, 对桌面内容的操作能够进行审计, 归根结底还是基于系统创建后台进程, 对终端行为发送到服务器端进行审计, 但是在虚拟化时代, 审计方式有了新的变化。

当前的桌面虚拟化产品, 一般只会记录事件日志或用户登录等信息, 并存储在数据库中, 以报告或报表的形式供IT人员查看。但企业管理员, 甚至是企业老板, 如果想知道员工办公操作行为, 如果这些信息关乎到商业机密的信息操作, 却无法审计 (因为这些都不是记录) , 那么如何满足有效审计的要求呢?当前一些厂商的桌面都无法对虚拟桌面的桌面进行审计, 只有通过在虚拟服务器平台安装相关工具去实现。如:observeit、record TS工具可以审计包括PCo IP、RDP、SSH协议的用户操作, 用户在虚拟桌面, PC机上做的任何操作都可以被记录, 但这种记录还是会对资源进行消耗, 虚拟化的效果就不明显了。因此, 在Hypervisor中进行相关的审计是最有效的。

2.5.1 操作审计

相对于传统的桌面虚拟化, 通过Hypervisor嵌入审计软件, 进行桌面交互协议翻译、桌面交互协议回放, 见图4。

对于客户机而言, 它具有免除安装, 无客户端, 资源占用小, 以日志记录格式存在协议记录, 审计数据小, 可检索等优点。它是通过一个安全的虚拟客户机传送到审计中心, 通过加密协议传输, 一方面保证了传输的保密性, 另一方面保证了审计的准确性。

2.5.2 输出审计

在桌面虚拟化的安全审计响应, 可以对客户机的行为进行审批控制, 先审批, 后输出, 集中控制和管理, 并记录到审计中心, 这样有利于对工作人员的内审内控的监管, 有效防止诸如财务部、采购部等敏感部门泄密的可能性。通过审计记录与桌面账户关联, IP/mac地址与用户绑定, 实现内网用户实名制审计, 有效避免了内网用户错审漏审, 是有效的审计手段。

2.5.3 管理审计

所谓安全管理, 信息科的管理人员也处于重要一环, VMM管理员的身份鉴别、访问控制、管理行为集中, 对未授权的操作进行过滤或拦截。管理人员通过接入终端, 对内网进行管控, 由于是基于Hypervisor层面, 对高技术人才的防范更加有效, 一方面能够使管理人员避嫌, 另一方面能够规避管理人员造成的风险, 还能够对管理人员进行安全绩效考核, 提高管理人员的安全素质。

3 结语

目前的桌面虚拟化, 并不只是纯粹将原有的硬件性能进行整合的基础上增加了新的功能, 更在安全上, 动态的资源调配效率上有了很大的提升。虚拟化技术最有价值的是, 它可以对硬件底层, 操作系统之间的关系进行协调, 真正解决桌面可用性低的问题。至少, 虚拟桌面管理技术提出了一种新思想的桌面管理的实现思路, 它改变了原有企业信息化管理审计难的问题, 对新的安全形势中的内审内控具有里程碑的意义。

加上信息安全的技术和管理上面的规范, 使得桌面可控可观的范围增大, 加上交换机虚拟化、服务器虚拟化、安全设备虚拟化的融合应用, 最终一方面降低了技术人员的维护门槛, 另一方面为用户提供了一个可以呈现的安全桌面, 真正为企业、单位带来可用、安全、高效的信息化体系。

对于桌面虚拟化安全更深一层的探讨, 将会在新的终端虚拟化技术, 应用虚拟化中得以体现, 所供即所用, 它能够为用户提供更低的操作风险, 更小的资源消耗, 是终端层面虚拟化未来发展的一个趋势。

摘要：在数据化高速增长的今天, 桌面虚拟化一直深受企业和单位的欢迎, 因为其客户机部署快速, 效能明显, 有效解决了硬件性能升级的费用以及桌面管理投入高的问题。但是, 桌面虚拟化的信息安全成为了当前所面临的新问题, 基于此, 通过桌面虚拟化架构、防病毒、入侵检测、数据安全和审计等方面探究桌面虚拟化的安全。

关键词：桌面虚拟化,虚拟化架构,信息安全

参考文献

[1]杜梓平.虚拟化桌面——桌面数据安全建设新思路[J].《计算机光盘软件与应用》, 2013 (20) .

[2]郑兴艳.安全虚拟桌面系统的设计与实现.《北京交通大学》, 2012年.

国产桌面操作系统应用初探 篇10

一、国产桌面操作系统发展现状

(一) 桌面操作系统现状概述

操作系统是连接硬件和软件的枢纽, 向上承载数据库、应用系统等其它软件平台, 向下则支配着芯片、存储等底层硬件资源, 它是信息系统的基础也是核心, 是实践“自主可控”战略的关键一环。我们所接触的计算机操作系统一般分为服务器操作系统和桌面操作系统两类, 两者呈现截然不同的发展态势。服务器操作系统“百花齐放”, 主要以Windows Server系列和Unix/Linux系列为主。其中符合“安全可控”要求的产品近年来发展迅猛、逐渐成熟, 如国产中标麒麟和开源Cent OS等, 在各行业已有大量应用。桌面操作系统则是微软Windows系列产品“一枝独秀”, 牢牢占据着90%以上的市场份额, 而其受众面也决定了它的影响力, 某种程度上甚至决定了信息产业的发展方向。因此在该领域先行探索自主可控国产化的替代路径尤为关键。

目前公开发布的国产桌面操作系统全部基于Linux内核改造开发, 其中较具代表性的是优麒麟操作系统和深度操作系统。优麒麟是由中国CCN联合实验室主导的“国家队”的产品, 它以Ubuntu系统为基础, 采用平台国际化与应用本地化融合的理念进行定制开发, 目前较为稳定的版本是长期技术支持服务专业版14.04.2 (LTS) 。深度操作系统是武汉深之度有限公司开发, 同样基于Ubuntu系统设计, 是开源社区型产品。它是秉承“免除新手痛苦、节约老手时间”的口号, 致力于提供稳定、简约、高效的操作系统, 可以说是社会创新力量的智慧结晶, 也是业界公认的优秀Linux中文发行版。目前最新发布的是2014.03版。

(二) 国产桌面操作系统基本特性

优麒麟和深度系统在用户体验方面具有较多相似之处。

1. 简捷的安装过程。

两者系统安装界面比较友好, 可以使用“傻瓜式”快速安装, 磁盘占用空间较小 (约10G左右) , 安装速度也较快 (20分钟以内, 视计算机硬件配置) ;具有良好的硬件支持, 自带丰富的驱动程序, 与主流大多数硬件兼容。

2. 友好的图形化界面。

两者系统均提供了与Windows接近的图形界面, 美观实用;桌面集成了启动器, 可快速查找和执行应用程序;深度桌面还提供热区设置, 用于快速进入控制中心、显示桌面及切换应用程序等操作。

3. 较为多样的软件资源。

两者均以应用商店的方式提供应用的搜索与安装, 同时均在系统中预装了涵盖系统管理、网络浏览、文字处理、影音娱乐、存储刻录等多个方面的应用程序。此外, 深度系统还提供如360安全卫士、美图秀秀、同花顺行情等多款首次在国产桌面操作系统上出现的应用软件。

通过进一步比较, 深度系统展现出更多值得关注和借鉴的优秀特性。一是深度系统界面更加友好。应用启动器的浏览和操作方式更加接近于Windows系统, 实用直观;控制中心高度集约化, 系统信息与相关设置尽收眼底, 特别是默认程序与快捷键等可设置的思路非常方便用户进行个性化设置;总体操作体验上更易于用户过度。二是深度系统性能更优更稳定, 相较于优麒麟系统更为流畅。安装软件、执行程序未出现长时间的卡顿现象。自带硬件驱动兼容性可能更好, 个别测试终端上优麒麟会出现花屏而深度未发现同类问题。三是深度系统软件资源更丰富, 尤其是通过技术开发实现了部分Windows程序通过Cross Over模式直接迁移运行, 如QQ、美图秀秀等, 实现了部分Android应用通过Chrome浏览器控件直接迁移运行, 如新浪微博、同花顺等, 这种创新模式大大拓展了系统推广应用空间。四是深度系统预装了360系列安全产品———360安全卫士与360杀毒, 系统防病毒的安全防范能力明显提高。五是深度系统实现了Linux版本浏览器下12306火车票务网站根证书的安装与支持, 方便了用户安全购票, 也为解决同类网站证书问题提供了借鉴之道。据此分析可知, 现阶段深度操作系统较优麒麟更胜一筹, 更具应用推广价值和潜力。

二、国产桌面操作系统应用测试

(一) 总体应用体验

与主流的Windows系列产品相比, 优麒麟和深度等国产桌面操作系统在业务应用和操作体验上仍有不足, 存在一定差距。

业务应用方面, 由于Linux架构与Windows架构存在本质区别, 各类定制开发的C/S业务系统, 如工商管理模拟实验、ERP会计模拟实验、微机接口模拟实验等多媒体教学软件, 均无法在国产桌面操作系统下安装运行。即使是B/S业务系统, 也在网页控件和Ukey驱动支持两个方面集中暴露出问题:两者均无法支持为IE浏览器定制开发的网页控件, 如电大在线教学系统中的三分屏播放控件;两者均未提供各类网上交易、支付所需的数字证书UKey的Linux版驱动程序。

操作体验方面, 两者均源自Linux架构, 虽然图形化界面已较为美观易用, 但磁盘管理、软件安装、安全设置等操作方式与Windows系统有一定差异, 应用软件总体数量也不及Windows系统丰富, 整体生态环境存在近20年的差距。这些差异和差距显然将成为国产桌面操作系统推广应用过程中需要直面的困难。

(二) 两类应用系统测试结果

以福建广播电视大学B/S架构教育类和办公类应用系统为例, 优麒麟和深度系统的兼容性测试结果详见表1。

注:“A”表示正常、“B”表示部分正常、“C”表示完全不正常

分析可知, 部分系统无法应用的主要问题是网页控件, 这将成为国产桌面操作系统应用推广时面对的直接障碍。

三、国产桌面操作系统应用推广建议

(一) 互联网计算机应用前景

互联网计算机大致可分为两类:一是信息查询类, 以网页浏览、信息搜索、文字处理、邮件收发和即时通讯为主;二是特殊应用类, 主要处理教学、人事、财务等业务。其中信息查询类终端应用场景相对简单, 重点是对定制化网页控件和UKey的需求极少, 无论是优麒麟还是深度系统, 均能基本满足用户需求, 国产化替代阻力较小。另一方面, 信息查询类终端数量较多、受众面广、日常使用较为频繁, 一旦推广部署, 既有利于加深用户对国产系统的认知与体验, 也有利于在实践中推动国产系统不断完善。因此, 以互联网信息查询类终端为突破口, 应用推广国产桌面操作系统的可行性较高。

(二) 推广应用可行性建议

根据国产桌面操作系统自身特性和测试情况, 建议采用“示范推进、宣传培训、继续探索”的“三步走”策略渐进式实施推广应用。

1. 示范引领与稳步推进。

首先在技术部门安装试用, 先让技术人员了解系统、掌握系统, 尽快形成示范引领的标杆。在此基础上选择其它部门稳步扩大应用范围。示范与推进过程中要引导用户正确认识国产系统的不足与潜力, 注重收集反馈意见, 保持互动交流, 积极探索应用转型方式。

2. 宣传培训不可或缺。

宣传培训是打破习惯壁垒的重要手段。一方面要积极开展应用培训, 不断提高用户对“自主可控”的认知和主动参与意识, 努力改变Windows系统根深蒂固的使用习惯。另一方面应建立国产桌面操作系统人才库, 组织技术人员积极参与技术改进和推广应用, 为将来更广泛的推进国产化替代积累经验。

3. 业务应用改造继续探索。

国产桌面操作系统的应用实践不应仅止步于互联网信息查询类终端的示范与推进, 仍应大力探索各类业务系统的应用路径, 尤以“双向推进”技术改造为宜。即一方面加强产学研用合作, 与国产系统厂商共同研究提出网页控件、Ukey驱动等解决方案;另一方面主动改造业务系统, 减少对特定网页控件的依赖, 努力采用通用浏览器标准代码规范来提升业务系统兼容性, 加快国产系统全面应用的环境建设。

四、小结

综上所述, 国产桌面操作系统自身仍存在不足, 无法兼容所有应用系统, 目前全面推广应用的条件尚未成熟。但国产桌面操作系统已具备日常应用所需的绝大部分基础软件, 同时对于无需网页控件的业务应用支持良好, 现阶段可以选择部分互联网计算机尤其是信息查询类终端先试先行, 并通过改进完善和引导教育逐步扩大应用范围。

摘要：目前我国的网络安全形势非常严峻, 在“自主可控”的国家安全战略引导下, 众多国产桌面操作系统如雨后春笋般出现, 力图打破微软的垄断。本文选取较具代表性的两款国产桌面操作系统, 通过基本特性和业务应用两方面的测试与分析对其应用前景和推广可行性进行了初探。

关键词：国产桌面操作系统,优麒麟操作系统,深度操作系统

参考文献

[1]Net Market Share.Desktop Top Operating System Share Trend[R].http://www.netmarketshare.com, 2015.4

[2]右舍.国产操作系统再寻突破模式创新是关键[J].通信世界, 2014. (24)

[3]张更新.浅谈国产操作系统的推广[J].网友世界云教育, 2014. (17)

[4]王亚军, 刘金刚.Windows程序运行于Linux系统的技术[J].计算机应用, 2009.29 (8)