安全桌面虛擬化信息系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)*

雷 璟

(中國電子科學(xué)研究院，北京 100041)

1 引言

“云計(jì)算”自從2007年被提出后，逐漸引起人們的關(guān)注和熱捧，繼個人計(jì)算機(jī)、互聯(lián)網(wǎng)變革之后，作為第三次IT浪潮的代表正在向我們走來。云計(jì)算具有超大規(guī)模、虛擬化、高可靠性、通用性和資源復(fù)用率高等特點(diǎn)［1］，它將帶來人類生活、生產(chǎn)方式和商業(yè)模式的根本性改變，成為當(dāng)前全社會關(guān)注的熱點(diǎn)。

云計(jì)算是信息技術(shù)領(lǐng)域的重大進(jìn)步。與傳統(tǒng)軟件架構(gòu)相比，由于能夠提供自助、動態(tài)可伸縮、可計(jì)量方式對共享資源實(shí)現(xiàn)按需訪問，云計(jì)算在建設(shè)和運(yùn)營成本、資源利用率、性能等方面具有顯著優(yōu)勢。云計(jì)算將計(jì)算資源、存儲資源、網(wǎng)絡(luò)資源等各類資源集中起來可以帶來資源整合統(tǒng)一管理、資源全局動態(tài)調(diào)度、應(yīng)用請求智能分發(fā)和數(shù)據(jù)集中管理的使用價值。

桌面虛擬化是典型的云計(jì)算應(yīng)用。隨著企業(yè)的發(fā)展，企業(yè)對于桌面支持的需求大量增加，由各種管理問題帶來的桌面安全隱患不斷增多，這需要企業(yè)的IT部門投入巨大的精力加以解決［2］。另外，隨著成本控制、可管理性、安全性以及業(yè)務(wù)連續(xù)性等方面壓力的增加，傳統(tǒng)PC桌面逐漸變得缺乏控制力，因此如何找到一種更好的桌面管理解決方案，搭建更高效的桌面基礎(chǔ)架構(gòu)，將桌面從傳統(tǒng)的PC桌面模式中解脫出來，改善IT服務(wù)，降低IT基礎(chǔ)設(shè)施的總體擁有成本，提高靈活性，成為當(dāng)務(wù)之急。桌面虛擬化系統(tǒng)相對于傳統(tǒng)桌面管理發(fā)生了非常重要的改變，它允許云終端通過瘦客戶機(jī)或其他任何設(shè)備連接網(wǎng)絡(luò)去訪問跨平臺應(yīng)用和所有虛擬桌面［3］。

根據(jù)2013年云計(jì)算安全聯(lián)盟(CSA)發(fā)布的云計(jì)算安全分析報告，報告中總結(jié)了9種威脅云計(jì)算安全的“罪魁禍?zhǔn)住薄Ｆ渲?，?shù)據(jù)泄漏、數(shù)據(jù)丟失和數(shù)據(jù)劫持三類威脅排名靠前，而桌面虛擬化同樣也會面臨這9種安全威脅。當(dāng)前，國內(nèi)外在云計(jì)算的相關(guān)領(lǐng)域方面還存在許多不足，尤其是在桌面虛擬化安全方面僅僅是某個單項(xiàng)產(chǎn)品解決某個特定問題，還沒有形成一套包括用戶的終端層面、邊界層面、管理的運(yùn)行環(huán)境層面的整體安全解決方案。

本文分析了安全桌面虛擬化信息系統(tǒng)的設(shè)計(jì)要求，對安全桌面虛擬化的主要技術(shù)進(jìn)行了分析研究，提出了安全桌面虛擬化信息系統(tǒng)的實(shí)現(xiàn)和應(yīng)用場景，為我國安全云計(jì)算平臺建設(shè)中的終端安全提供技術(shù)支撐，最終為國家關(guān)鍵和重要信息系統(tǒng)提供具有自主可控和高安全特色的桌面云計(jì)算平臺產(chǎn)品。

2 安全桌面虛擬化信息系統(tǒng)設(shè)計(jì)要求

2.1 先進(jìn)性要求

安全桌面虛擬化信息系統(tǒng)的設(shè)計(jì)實(shí)現(xiàn)需滿足以下先進(jìn)性要求:

(1)支持大規(guī)模應(yīng)用網(wǎng)絡(luò)的組網(wǎng)，提供集中、高效、快捷的管理方式;

(2)服務(wù)器端基于“服務(wù)器虛擬化”技術(shù)設(shè)計(jì)實(shí)現(xiàn)，通過一臺或多臺物理服務(wù)器構(gòu)建成一個虛擬化環(huán)境，在這個虛擬化環(huán)境中虛擬出多個虛擬系統(tǒng)，每個虛擬系統(tǒng)對外提供一種或多種服務(wù)，各個系統(tǒng)之間相互獨(dú)立［4］。服務(wù)器端采用基于KVM等虛擬化技術(shù)以提供對服務(wù)器物理資源的最大化利用和基礎(chǔ)安全機(jī)制，用虛擬機(jī)代替現(xiàn)行系統(tǒng)中的PC機(jī)作為系統(tǒng)中工作人員的實(shí)際操作對象;

(3)云終端基于“桌面虛擬化”技術(shù)設(shè)計(jì)實(shí)現(xiàn)，云終端必須支持通過遠(yuǎn)程桌面協(xié)議連接服務(wù)器端的虛擬主機(jī)，并以與傳統(tǒng)PC機(jī)相同的操作方式操作虛擬主機(jī)完成正常的業(yè)務(wù)流程操作。

2.2 安全性要求

安全桌面虛擬化信息系統(tǒng)的設(shè)計(jì)能夠從底層架構(gòu)上提供以下基礎(chǔ)安全機(jī)制:

(1)桌面虛擬化管理平臺需要具有三權(quán)分立的管理員權(quán)限劃分;

(2)云終端產(chǎn)生的數(shù)據(jù)必須集中保存在服務(wù)端，云終端不得保存任何本地文件;

(3)封閉敏感數(shù)據(jù)從云終端泄漏的途徑，防止數(shù)據(jù)以任何方式從工作人員的云終端桌面泄漏出去;

(4)桌面虛擬化管理平臺的軟、硬件通過自主研發(fā)實(shí)現(xiàn)，避免系統(tǒng)在軟、硬件上存在先天的安全漏洞和隱患。

2.3 運(yùn)維保障要求

安全桌面虛擬化信息系統(tǒng)的設(shè)計(jì)需滿足以下運(yùn)維保障要求:

(1)按照“閉環(huán)”模式設(shè)計(jì)，對運(yùn)行需要的各項(xiàng)基礎(chǔ)資源能夠循環(huán)使用，并具備一定的容錯功能;

(2)針對常見的故障提供對應(yīng)的“故障排除”功能并易于操作;

(3)桌面虛擬化管理平臺需要提供日常運(yùn)維的監(jiān)控表;

(4)提供整套系統(tǒng)的備份與恢復(fù)方案，在系統(tǒng)遇到重大故障時啟動備用系統(tǒng)應(yīng)急。

2.4 可擴(kuò)展性要求

在安全桌面虛擬化信息系統(tǒng)設(shè)計(jì)時需要考慮桌面虛擬化系統(tǒng)在計(jì)算資源、存儲資源及網(wǎng)絡(luò)帶寬等層面的擴(kuò)展性，同時保證信息系統(tǒng)業(yè)務(wù)的連續(xù)性。

3 安全桌面虛擬化技術(shù)

目前，國內(nèi)在安全桌面虛擬化技術(shù)方面僅限于不同云計(jì)算廠商提供的產(chǎn)品，尚未形成統(tǒng)一的云計(jì)算產(chǎn)品和技術(shù)標(biāo)準(zhǔn)，用來促進(jìn)不同廠商之間的互聯(lián)互通性，也沒有一個廠商能夠解決桌面虛擬化技術(shù)面臨的所有安全問題，其市場還處于發(fā)展的初級階段。安全桌面虛擬化技術(shù)的發(fā)展基礎(chǔ)為虛擬化安全主體，虛擬化安全主體主要涉及安全虛擬化、虛擬化層安全、虛擬機(jī)安全。因此，安全桌面虛擬化的核心技術(shù)主要包括安全虛擬化技術(shù)、虛擬化層安全技術(shù)以及虛擬機(jī)安全技術(shù)，以下將重點(diǎn)說明這三項(xiàng)關(guān)鍵技術(shù)的解決思路和方法。

3.1 安全虛擬化技術(shù)

虛擬化技術(shù)可以使我們設(shè)計(jì)出更具彈性和擴(kuò)展性、更加靈活、也更加安全的架構(gòu)［5］。安全虛擬化技術(shù)以密碼技術(shù)為基礎(chǔ)，采用“白名單”安全機(jī)制防范各種已知和未知攻擊。白名單主動防御技術(shù)是進(jìn)行動態(tài)行為判斷的一種技術(shù)，通過文件指紋的校驗(yàn)和比對的方法從根源上節(jié)制了惡意軟件的運(yùn)行和傳播［6］，以基于用戶身份的數(shù)據(jù)復(fù)制和傳送安全控制機(jī)制保證內(nèi)部敏感數(shù)據(jù)的安全，即使是內(nèi)部合法人員也不能非法復(fù)制和盜取各種業(yè)務(wù)敏感信息;系統(tǒng)集中安全管控機(jī)制大大減少了系統(tǒng)安全運(yùn)維復(fù)雜度，克服了軟硬件配置差異帶來的系統(tǒng)兼容性問題，最終提高安全管控運(yùn)維的效率。

此外，安全虛擬化技術(shù)支持對移動設(shè)備的多因子身份認(rèn)證、安全加密通信，并且不在移動設(shè)備上保存任何與業(yè)務(wù)相關(guān)的數(shù)據(jù)，即使移動設(shè)備丟失，也不會導(dǎo)致失泄密事件的發(fā)生。

安全虛擬化技術(shù)可以實(shí)現(xiàn)非法人員“進(jìn)不來”、“看不到”、“拿不走”、“跑不掉”，幫助系統(tǒng)管理人員能夠?qū)ο到y(tǒng)“管得住”、“管得少”、“管得好”，不會影響辦公業(yè)務(wù)人員的正常辦公。

3.2 虛擬化層安全技術(shù)

從虛擬化的實(shí)現(xiàn)原理來看，所有的虛擬化系統(tǒng)都是基于虛擬化層實(shí)現(xiàn)的［4］，我們采用優(yōu)化的虛擬化層來運(yùn)行虛擬機(jī)，控制物理服務(wù)器所使用的硬件，并調(diào)度虛擬機(jī)之間的硬件資源分配。優(yōu)化設(shè)計(jì)的虛擬化層可提供內(nèi)存強(qiáng)化安全、內(nèi)存模塊完整性和無代理防病毒的保護(hù)。

(1)內(nèi)存強(qiáng)化安全

將內(nèi)核、用戶模式應(yīng)用程序及可執(zhí)行組件位于無法預(yù)測的隨機(jī)內(nèi)存地址中，將該功能與CPU的數(shù)據(jù)內(nèi)存保護(hù)特性結(jié)合使用，可提供保護(hù)，使惡意代碼很難通過內(nèi)存漏洞來攻擊主機(jī)系統(tǒng)。

(2)內(nèi)存模塊完整性

通過動態(tài)完整性度量等方法來確保由虛擬化層加載的模塊、驅(qū)動程序及應(yīng)用程序的完整性和真實(shí)性。模塊簽名允許虛擬化層識別驅(qū)動程序或應(yīng)用程序的提供商以及它是否在虛擬化架構(gòu)的白名單中。

(3)無代理防病毒

從有代理模式發(fā)展到無代理模式，開拓了一種虛擬化環(huán)境安全模式的新思路，是一種技術(shù)進(jìn)步［7］。實(shí)現(xiàn)虛擬化系統(tǒng)后，在一臺物理主機(jī)上同時安裝多個虛擬機(jī)，每一個虛擬機(jī)上都需要安裝防病毒軟件，這樣對物理服務(wù)器的資源占用率會很大?？刹捎媒o代理防病毒模塊的方式，統(tǒng)一通過底層hypervisor層進(jìn)行工作，既達(dá)到減少物理主機(jī)負(fù)載，提高整機(jī)性能的目標(biāo)，又實(shí)現(xiàn)對虛擬化層整體的安全防護(hù)。

3.3 虛擬機(jī)安全技術(shù)

虛擬機(jī)是運(yùn)行應(yīng)用程序和云終端操作系統(tǒng)的容器。虛擬機(jī)安全設(shè)計(jì)技術(shù)要實(shí)現(xiàn)資源層和網(wǎng)絡(luò)層兩個層面的隔離。

(1)資源層面隔離

要求所有虛擬機(jī)在資源層面互相隔離，多個虛擬機(jī)可以在共享硬件的同時安全地運(yùn)行，既確保能夠訪問硬件，又保證運(yùn)行不受干擾。如果某個虛擬機(jī)上的云終端操作系統(tǒng)運(yùn)行時發(fā)生故障，則虛擬機(jī)隔離技術(shù)將確保同一臺物理主機(jī)上的其他虛擬機(jī)可以繼續(xù)運(yùn)行。某臺云終端操作系統(tǒng)發(fā)生故障不會影響用戶訪問其他虛擬機(jī)的能力、正常運(yùn)行的虛擬機(jī)訪問其所需資源的能力以及其他虛擬機(jī)的性能。

(2)網(wǎng)絡(luò)層面隔離

在網(wǎng)絡(luò)環(huán)境中，虛擬機(jī)隔離可以根據(jù)場景要求實(shí)現(xiàn)主機(jī)內(nèi)隔離、完全隔離和受控隔離3種方式。其中，主機(jī)內(nèi)隔離是指虛擬機(jī)不與其他虛擬機(jī)共享虛擬交換機(jī)，該虛擬機(jī)與主機(jī)中的虛擬網(wǎng)絡(luò)完全隔離;完全隔離是指虛擬機(jī)未配置物理網(wǎng)絡(luò)適配器，與網(wǎng)絡(luò)完全隔離;受控隔離是指虛擬機(jī)采用與物理主機(jī)相同的保護(hù)措施，如虛擬云防火墻和虛擬云殺毒軟件，該虛擬機(jī)屬于受控隔離。

4 安全桌面虛擬化信息系統(tǒng)實(shí)現(xiàn)

安全桌面虛擬化信息系統(tǒng)的實(shí)現(xiàn)首先需要構(gòu)建相互隔離的桌面虛擬機(jī)并均運(yùn)行在數(shù)據(jù)中心，然后采用桌面顯示協(xié)議將操作系統(tǒng)桌面視圖高效地傳送到用戶端設(shè)備上，用戶使用低功耗的云終端設(shè)備登錄并使用屬于自己的虛擬桌面。桌面虛擬化管理平臺提供了豐富的管理功能，管理員可實(shí)時查看桌面虛擬化管理平臺的運(yùn)行狀況，根據(jù)需求動態(tài)調(diào)整后臺服務(wù)器資源的分配，還可以對用戶虛擬桌面進(jìn)行維護(hù)，查詢和統(tǒng)計(jì)用戶虛擬桌面的使用情況。

4.1 安全云計(jì)算平臺總體架構(gòu)設(shè)計(jì)

安全云計(jì)算平臺總體架構(gòu)設(shè)計(jì)的最底層為資源層，包括實(shí)際的計(jì)算設(shè)備、網(wǎng)絡(luò)設(shè)備和存儲設(shè)備;在此基礎(chǔ)之上，采用安全虛擬化技術(shù)將硬件資源進(jìn)行抽象，通過安全虛擬機(jī)技術(shù)將硬件資源提供給IaaS層進(jìn)行管理;IaaS層作為資源調(diào)度的中間層，一方面通過對管理員的權(quán)限控制，達(dá)到對資源的安全統(tǒng)一使用，另一方面向更上層的PaaS、SaaS提供資源使用接口;PaaS層在采用充分隔離以及一系列安全加固后，提供給用戶API級的資源服務(wù);安全虛擬桌面基礎(chǔ)設(shè)施使用虛擬化層的資源;安全云管理平臺實(shí)現(xiàn)對整個安全云系統(tǒng)統(tǒng)一、全方位的管理;以上幾個部分共同形成安全云計(jì)算平臺的總體架構(gòu)。安全云計(jì)算平臺的總體架構(gòu)設(shè)計(jì)如圖1所示。

圖1 安全云計(jì)算平臺總體架構(gòu)設(shè)計(jì)圖Fig.1 The overall framework design of security cloud computing platform

安全桌面虛擬化信息系統(tǒng)由安全云計(jì)算平臺總體架構(gòu)中的安全虛擬桌面基礎(chǔ)設(shè)施和安全虛擬機(jī)構(gòu)成。其中，安全虛擬桌面基礎(chǔ)設(shè)施是指將桌面操作系統(tǒng)托管在一臺運(yùn)行在托管式的、集中化的或遠(yuǎn)程的服務(wù)器上的虛擬機(jī)內(nèi)，用戶可以在任何時候、任何地點(diǎn)采用任何設(shè)備對個人桌面進(jìn)行訪問［8］。

4.2 安全桌面虛擬化信息系統(tǒng)架構(gòu)設(shè)計(jì)

數(shù)據(jù)中心是云計(jì)算中重要的、能夠在數(shù)量和規(guī)模上快速擴(kuò)展的基礎(chǔ)設(shè)施的組成部分［9］。安全桌面虛擬化信息系統(tǒng)將傳統(tǒng)模式下用戶端的操作系統(tǒng)、應(yīng)用程序和用戶數(shù)據(jù)轉(zhuǎn)移到數(shù)據(jù)中心進(jìn)行運(yùn)行和保存，用戶利用各種云終端(含普通臺式機(jī)、筆記本電腦、智能手機(jī)等)，經(jīng)安全虛擬桌面網(wǎng)關(guān)鑒權(quán)認(rèn)證后通過安全桌面?zhèn)鬏攨f(xié)議訪問數(shù)據(jù)中心的應(yīng)用服務(wù)器，本地終端不保留關(guān)鍵數(shù)據(jù)，實(shí)現(xiàn)用戶桌面環(huán)境的集中存儲、監(jiān)控與管理。

安全桌面虛擬化信息系統(tǒng)的主要架構(gòu)分為桌面虛擬化管理平臺、安全虛擬桌面網(wǎng)關(guān)和云終端，如圖2所示。

圖2 安全桌面虛擬系統(tǒng)架構(gòu)圖Fig.2 The system framework of security desktop virtual system

(1)桌面虛擬化管理平臺:負(fù)責(zé)將計(jì)算資源和存儲資源整合起來，統(tǒng)一分配資源，通過實(shí)時動態(tài)地管理虛擬機(jī)，分配給遠(yuǎn)程用戶使用。同時，管理平臺負(fù)責(zé)監(jiān)控整個系統(tǒng)的運(yùn)行狀態(tài)、網(wǎng)絡(luò)配置，并可以對資源進(jìn)行動態(tài)調(diào)度。

(2)安全虛擬桌面網(wǎng)關(guān):部署在虛擬的云桌面服務(wù)器和云終端(如用戶PC機(jī)或瘦客戶機(jī))之間，負(fù)責(zé)系統(tǒng)的認(rèn)證和權(quán)限管理、資源創(chuàng)建和分配管理、基于用戶身份的信息流控制、鏡像克隆管理、虛擬桌面白名單安全管理、各種終端的安全接入管理，為用戶生產(chǎn)和辦公信息系統(tǒng)提供有效和低成本的安全防護(hù)。

(3)云終端:負(fù)責(zé)連接和顯示虛擬機(jī)的遠(yuǎn)程桌面，在硬件方面采用精簡的計(jì)算機(jī)架構(gòu)，硬件本身不需要很強(qiáng)的計(jì)算功能。

在安全桌面虛擬化系統(tǒng)中，數(shù)據(jù)安全主要通過以下方式進(jìn)行防護(hù):

(1)用戶數(shù)據(jù)集中存放在統(tǒng)一存儲設(shè)備中進(jìn)行統(tǒng)一管理，云終端本地?zé)o硬盤，真正實(shí)現(xiàn)終端不留密;

(2)數(shù)據(jù)集中存放在統(tǒng)一存儲設(shè)備中，虛擬機(jī)對數(shù)據(jù)盤的訪問經(jīng)過加密處理，防止管理員、非法用戶非授權(quán)查看用戶數(shù)據(jù);

(3)用戶在通過身份認(rèn)證之后才可以訪問數(shù)據(jù)盤，保證用戶數(shù)據(jù)之間相互隔離;

(4)部署數(shù)據(jù)加密設(shè)備，對所有用戶的數(shù)據(jù)進(jìn)行加密存儲;

(5)通過桌面虛擬化管理平臺和主機(jī)監(jiān)控與審計(jì)類產(chǎn)品對虛擬機(jī)的行為進(jìn)行監(jiān)控審計(jì)。

4.3 桌面虛擬化管理平臺設(shè)計(jì)

使用安全桌面虛擬化技術(shù)構(gòu)建的信息系統(tǒng)應(yīng)以硬件虛擬化、安全隔離、集中管理和彈性資源調(diào)度等技術(shù)，將原本靜態(tài)分布的IT基礎(chǔ)設(shè)施抽象為可管理、易于調(diào)度、按需分配的資源，提供按需靈活使用各類IT資源服務(wù)。

使用安全桌面虛擬化技術(shù)的信息系統(tǒng)劃分了多個集群，各個集群的資源池由桌面虛擬化管理平臺統(tǒng)一管控。桌面虛擬化管理平臺邏輯架構(gòu)如圖3所示。

圖3 桌面虛擬化管理平臺邏輯架構(gòu)圖Fig.3 The logic framework of desktop virtualization management platform

虛擬化管理平臺可實(shí)現(xiàn)虛擬機(jī)管理功能，如創(chuàng)建、刪除、重啟等虛擬機(jī)操作，以及映像管理、監(jiān)控告警等功能，從而實(shí)現(xiàn)輕量級的虛擬化管理［10］。桌面虛擬化管理平臺還可以實(shí)現(xiàn)統(tǒng)一的計(jì)算資源管理、存儲資源管理和網(wǎng)絡(luò)資源管理。

(1)計(jì)算資源管理

計(jì)算資源指服務(wù)器上CPU、內(nèi)存等，使用桌面虛擬化理平臺可以對整個信息系統(tǒng)進(jìn)行資源整合統(tǒng)一管理、資源全局動態(tài)調(diào)度管理和資源彈性伸縮管理。

(2)存儲資源管理

桌面虛擬化管理平臺的存儲資源池支持多種存儲網(wǎng)絡(luò)類型，實(shí)現(xiàn)存儲資源的橫向動態(tài)擴(kuò)展，滿足不同類型業(yè)務(wù)的應(yīng)用需求。存儲資源管理能夠屏蔽不同品牌、不同類型設(shè)備物理資源的復(fù)雜性，實(shí)現(xiàn)邏輯資源與物理資源管理分離。

(3)網(wǎng)絡(luò)資源管理

使用安全桌面虛擬化技術(shù)的信息系統(tǒng)網(wǎng)絡(luò)設(shè)計(jì)涉及到計(jì)算中心網(wǎng)絡(luò)設(shè)計(jì)，可以支持多種網(wǎng)絡(luò)模式。

4.4 安全虛擬桌面網(wǎng)關(guān)實(shí)現(xiàn)

安全虛擬桌面網(wǎng)關(guān)是一個獨(dú)立的硬件設(shè)備，結(jié)構(gòu)部署在基于虛擬化技術(shù)的應(yīng)用系統(tǒng)與外部環(huán)境之間，主要實(shí)現(xiàn)以下幾種功能。

(1)基于密碼技術(shù)的病毒木馬防范

基于密碼技術(shù)，借鑒可信計(jì)算中信任鏈傳遞的機(jī)制來對桌面虛擬化中的可執(zhí)行代碼進(jìn)行保護(hù)。實(shí)現(xiàn)應(yīng)用系統(tǒng)內(nèi)部可執(zhí)行程序的“白名單”安全保護(hù)機(jī)制，保證應(yīng)用終端和應(yīng)用服務(wù)器的運(yùn)行完整性。可執(zhí)行代碼“白名單”是一個安全可執(zhí)行代碼的Hash值的清單，它是系統(tǒng)預(yù)先根據(jù)桌面虛擬化系統(tǒng)中的任務(wù)要求制定和生成的，它為每個虛擬機(jī)都保存一份列表，該列表涵蓋了該桌面虛擬化系統(tǒng)中所有被允許執(zhí)行的代碼文件。這種“白名單”安全保護(hù)機(jī)制能夠?qū)σ阎臀粗膼阂獯a進(jìn)行有效防范。“白名單”安全機(jī)制克服了傳統(tǒng)防病毒系統(tǒng)的防毒效果差、防毒性能低的問題。

(2)安全邊界保護(hù)和數(shù)據(jù)流安全控制

安全虛擬桌面網(wǎng)關(guān)作為應(yīng)用系統(tǒng)與外部環(huán)境之間的安全邊界，依據(jù)相關(guān)網(wǎng)絡(luò)協(xié)議對進(jìn)出應(yīng)用系統(tǒng)的信息流進(jìn)行分析，依據(jù)管理員制定的規(guī)則和策略進(jìn)行安全控制。在桌面虛擬化環(huán)境中，所有的應(yīng)用數(shù)據(jù)均存儲在“云”端，管理人員可以對應(yīng)用系統(tǒng)與外部環(huán)境之間的通信進(jìn)行安全隔離，并基于用戶身份對其在應(yīng)用系統(tǒng)內(nèi)外環(huán)境之間的數(shù)據(jù)交換或信息流進(jìn)行單向和雙向控制，在保證應(yīng)用系統(tǒng)安全性的同時降低系統(tǒng)安全建設(shè)成本，提高系統(tǒng)可靠性和運(yùn)行性能。

(3)集中安全管理

安全虛擬桌面網(wǎng)關(guān)通過網(wǎng)絡(luò)存儲安全鏡像克隆管理機(jī)制，實(shí)現(xiàn)對系統(tǒng)鏡像的集中安全管理，支持軟件快速部署和補(bǔ)丁升級，克服傳統(tǒng)基于網(wǎng)絡(luò)發(fā)布方式的系統(tǒng)升級維護(hù)帶來的系統(tǒng)兼容性問題，并大幅度降低系統(tǒng)運(yùn)維工作量，提高系統(tǒng)安全運(yùn)維的效率和效果。

(4)安全通信和認(rèn)證機(jī)制

安全虛擬桌面網(wǎng)關(guān)支持安全通信和基于數(shù)字證書的多因子認(rèn)證技術(shù)，并支持各種移動設(shè)備的安全接入。用戶可以在任何時候、任何地點(diǎn)均可以通過傳統(tǒng)PC機(jī)、安全瘦客戶機(jī)、iPAD或Android平板電腦、智能手機(jī)等移動手持終端等設(shè)備安全地訪問內(nèi)網(wǎng)應(yīng)用系統(tǒng)，并且不會導(dǎo)致應(yīng)用系統(tǒng)數(shù)據(jù)外泄等安全問題。

4.5 系統(tǒng)典型應(yīng)用場景

某單位信息系統(tǒng)內(nèi)網(wǎng)對未知的病毒、木馬難以有效防范;對內(nèi)部人員的數(shù)據(jù)非法復(fù)制和盜取行為難以控制，數(shù)據(jù)安全得不到保證;系統(tǒng)運(yùn)維人員除了需要管理和維護(hù)各應(yīng)用服務(wù)器外，還需要對用戶終端進(jìn)行安全維護(hù)和管理，工作量巨大，安全管理效果不盡人意。

對該單位安全桌面虛擬化解決方案的核心思想是以安全桌面虛擬化技術(shù)為基礎(chǔ)，通過虛擬桌面信息流安全控制機(jī)制和基于密碼技術(shù)的虛擬桌面的可執(zhí)行代碼保護(hù)機(jī)制，防范各種已知和未知的病毒木馬，保護(hù)內(nèi)部數(shù)據(jù)安全，其具體實(shí)現(xiàn)方式如圖4所示。

圖4 虛擬桌面安全防護(hù)結(jié)構(gòu)示意圖Fig.4 The sketch map of virtual desktop security protection structure

圖4中，在機(jī)房中的業(yè)務(wù)區(qū)部署了4臺應(yīng)用服務(wù)器，云端部署了3臺虛擬桌面服務(wù)器，每臺虛擬桌面服務(wù)器上支持運(yùn)行幾十個虛擬桌面，每個虛擬桌面之間通過虛擬云防火墻進(jìn)行安全隔離，辦公人員通過安全云終端連接到虛擬桌面，進(jìn)而訪問相應(yīng)的后臺應(yīng)用。安全桌面虛擬化信息系統(tǒng)的好處是它可以將用戶操作終端與應(yīng)用終端在物理上加以分離，實(shí)際的辦公等應(yīng)用軟件和應(yīng)用數(shù)據(jù)都在虛擬桌面上運(yùn)行和處理，操作終端只是起到虛擬桌面的顯示器和鍵盤鼠標(biāo)輸入作用，從而為數(shù)據(jù)安全提供了保護(hù)基礎(chǔ)。

同時，為了加強(qiáng)對用戶業(yè)務(wù)操作的集中管理，控制用戶在虛擬桌面和操作終端之間的數(shù)據(jù)交換和文件復(fù)制行為，在虛擬桌面服務(wù)器和用戶辦公區(qū)的操作終端之間部署安全虛擬桌面網(wǎng)關(guān)。此外，為了提高系統(tǒng)安全機(jī)制的可靠性，根據(jù)需要部署2臺安全虛擬桌面網(wǎng)關(guān)，實(shí)現(xiàn)雙機(jī)安全熱備功能。

針對安全桌面虛擬化系統(tǒng)實(shí)現(xiàn)方案，可以參考國際通用的云計(jì)算產(chǎn)品安全測試方法以及云計(jì)算安全性測試技術(shù)、基于桌面虛擬化平臺的系統(tǒng)級安全評估技術(shù)來對檢測及評估桌面虛擬化平臺的設(shè)計(jì)和實(shí)現(xiàn)是否符合國家對云計(jì)算產(chǎn)品標(biāo)準(zhǔn)中相關(guān)安全性的要求。

4.6 設(shè)計(jì)特色總結(jié)

基于安全桌面虛擬化技術(shù)的信息系統(tǒng)在設(shè)計(jì)與實(shí)現(xiàn)過程中采取分層防護(hù)的思路，通過桌面虛擬化管理平臺實(shí)現(xiàn)了從終端層、邊界層、運(yùn)行環(huán)境層在內(nèi)的安全設(shè)計(jì)與實(shí)現(xiàn)，具體如下:

(1)終端層安全:利用安全虛擬化技術(shù)實(shí)現(xiàn)終端的多因子身份認(rèn)證、安全加密通信，并且不在終端上保存任何與業(yè)務(wù)相關(guān)的數(shù)據(jù)，實(shí)現(xiàn)終端不留密，防止失泄密事件的發(fā)生;

(2)邊界層安全:通過虛擬機(jī)安全技術(shù)并結(jié)合身份認(rèn)證系統(tǒng)、虛擬化邊界防護(hù)、虛擬化網(wǎng)絡(luò)的邏輯隔離機(jī)制共同防護(hù)，來保證云終端接入運(yùn)行環(huán)境的安全;

(3)運(yùn)行環(huán)境層安全:通過虛擬化層安全技術(shù)對虛擬機(jī)的鏡像及內(nèi)存模塊完整性進(jìn)行保護(hù)，避免虛擬機(jī)操作系統(tǒng)以及內(nèi)部的數(shù)據(jù)遭到篡改和非法訪問。

5 結(jié)束語

隨著政府機(jī)構(gòu)、企業(yè)、各行業(yè)等單位對信息技術(shù)應(yīng)用的不斷深入，信息系統(tǒng)已成為辦公、科研和處理日常業(yè)務(wù)的主要手段，在網(wǎng)絡(luò)空間安全日趨激烈復(fù)雜的今天，安全保密工作的任務(wù)也越來越艱巨。相對于傳統(tǒng)技術(shù)，桌面虛擬化技術(shù)具備高效、靈活、集中管控等一系列先天優(yōu)勢，因此越來越多的單位對建設(shè)基于安全桌面虛擬化技術(shù)的信息系統(tǒng)有迫切需求。

本文針對安全桌面虛擬化信息系統(tǒng)設(shè)計(jì)要求，通過對安全虛擬化技術(shù)、虛擬化層安全技術(shù)和虛擬機(jī)安全技術(shù)的研究，提出了安全桌面虛擬化信息系統(tǒng)設(shè)計(jì)和實(shí)現(xiàn)方案，已經(jīng)應(yīng)用于某些政府、企業(yè)內(nèi)網(wǎng)的桌面虛擬化試點(diǎn)建設(shè)工作，探索今后云計(jì)算環(huán)境下的安全保密風(fēng)險及應(yīng)對措施。未來目標(biāo)用戶包括國家黨政機(jī)關(guān)、各行業(yè)企事業(yè)單位、軍隊(duì)等對下一代安全云計(jì)算環(huán)境有需求和對安全要求較高的用戶。安全桌面虛擬化信息系統(tǒng)可以無縫部署在用戶既有的應(yīng)用環(huán)境中，不要求用戶改變應(yīng)用程序和操作習(xí)慣，滿足各種用戶應(yīng)用需求。安全桌面虛擬化信息系統(tǒng)的解決方案能夠顯著提高系統(tǒng)安全水平，加強(qiáng)系統(tǒng)的集中安全管控能力，減少系統(tǒng)建設(shè)和運(yùn)維成本，簡化系統(tǒng)安全結(jié)構(gòu)，減少安全產(chǎn)品數(shù)量，保證系統(tǒng)性能和運(yùn)行可靠性。下一步的工作重點(diǎn)是加快安全桌面虛擬化的安全保密技術(shù)攻關(guān)和產(chǎn)品研發(fā)，有力支撐自主高安全云計(jì)算平臺的研究與開發(fā)，進(jìn)而提高云計(jì)算安全核心技術(shù)水平，促進(jìn)自主可控云計(jì)算安全產(chǎn)品的研制。云計(jì)算作為網(wǎng)絡(luò)空間發(fā)展中的新興網(wǎng)絡(luò)技術(shù)，它的安全將支撐網(wǎng)絡(luò)空間技術(shù)驗(yàn)證和自主安全研發(fā)，最終將保障國家的網(wǎng)絡(luò)空間安全，保衛(wèi)國家的核心利益［11］。

［1］張建.云計(jì)算發(fā)展與虛擬化面臨的安全挑戰(zhàn)［J］.信息安全與技術(shù)，2013(5):7－9.ZHANG Jian.Safety Challenge of Cloud Computing's Development and Virtualization［J］.Information Security and Technology，2013(5):7 －9.(in Chinese)

［2］朱玉珩，李微巍.企業(yè)桌面云計(jì)算應(yīng)用淺析［J］.中國管理信息化，2012，15(15):75 －76.ZHU Yu － heng，LI Wei－ wei.Enterprise Desktop Cloud Computing Application Superficial Analysis［J］.China Management Informationization，2012，15(15):75 － 76.(in Chinese)

［3］Zhou Yi－ min，Guo Hui－ hui.A Research of USB Device Redirection Mechanism over IP network in Desktop Cloud System［C］//Proceedings of 2012 National Conference on Information Technology and Computer Science.Lanzhou:IEEE，2012:197 －200.

［4］刁宇亮.虛擬化安全建設(shè)研究［J］.計(jì)算機(jī)安全，2012(1):65－68.DIAO Yu － liang.Virtualization Security Construction Research［J］.Computer Security，2012(1):65 － 68.(in Chinese)

［5］杜金秀，莊主，鄒銘.云計(jì)算平臺中的虛擬化技術(shù)與安全機(jī)制［J］.信息安全與技術(shù)，2013(3):41－43.DU Jin － xiu，ZHUANG Zhu，ZOU Ming.Virtualization and Security Mechanisms in Cloud Computing［J］.Information Security and Technology，2013(3):41 －43.(in Chinese)

［6］汪鋒，周大水.白名單主動防御系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)［J］.計(jì)算機(jī)工程與設(shè)計(jì)，2011，32(7):2241 －2244.WANG Feng，ZHOU Da － shui.Design and implementation of active defense system based on white list［J］.Computer Engineering and Design，2011，32(7):2241 －2244.(in Chinese)

［7］于鋒.無代理安全防護(hù)模式——虛擬化安全的必然趨勢［J］.信息安全與技術(shù)，2012(12):58－61.YU Feng.Through Higher Vocational Professional Skills Competitions to Analyze the Advantages of Enterprises High － quality Teaching Resources［J］.Information Security and Technology，2012(12):58 －61.(in Chinese)

［8］孫宇，陳煜欣.桌面虛擬化及其安全技術(shù)研究［J］.信息安全與通信保密，2012(6):87－92.SUN Yu，CHEN Yu － xin.Research on Desktop Virtualization and Its Security［J］.Information Security and Communications Privacy，2012(6):87 －92.(in Chinese)

［9］Tian Yuan，Lin Chuang，Chen Zhen，et al.Performance E-valuation and Dynamic Optimization of Speed Scaling on Web Servers in Cloud Computing［J］.Tsinghua Science and Technology，2013，18(3):298 －307.

［10］茅秋吟，張春芳.輕量級POWER虛擬化管理平臺Power-Director［J］.微型機(jī)與應(yīng)用，2013，32(6):11 －14.MAO Qiu － yin，ZHANG Chun － fang.Lightweight POWER virtualization management platform Power Director［J］.Microcomputer ＆ Its Applications，2013，32(6):11－14.(in Chinese)

［11］雷璟.網(wǎng)絡(luò)空間攻防對抗技術(shù)及其系統(tǒng)實(shí)現(xiàn)方案［J］.電訊技術(shù)，2013，53(11):1494 －1499.LEI Jing.Cyberspace Attack and Defense confrontation Technology and System Realization Scheme［J］.Telecommunication Engineering，2013，53(11):1494 －1499.(in Chinese)