基于涉密信息系統(tǒng)的VDI桌面虛擬化適用性研究

呂小兵

LV Xiao-bing

（中航飛機(jī)西安飛機(jī)分公司，西安 710089）

0 引言

為貫徹落實國家信息化“十二五”規(guī)劃，西飛與金航數(shù)碼根據(jù)軍工行業(yè)內(nèi)的現(xiàn)狀和需求，確定了“基于涉密信息系統(tǒng)的桌面虛擬化適用性”研究課題，通過對涉密信息系統(tǒng)的桌面虛擬化的研究，為軍工系統(tǒng)制定信息化發(fā)展戰(zhàn)略提供參考。

1 桌面虛擬化技術(shù)簡介

虛擬化技術(shù)包括服務(wù)器虛擬化、桌面虛擬化和應(yīng)用虛擬化等幾個方面。桌面虛擬化技術(shù)[1]實際上是在虛擬化技術(shù)的基礎(chǔ)上，通過各種通訊的手段，將桌面推送到遠(yuǎn)程接入端來實現(xiàn)的，單地說，桌面虛擬化技術(shù)就是由后臺虛擬化集群加上遠(yuǎn)程接入終端組成，主要技術(shù)如圖1所示。

圖1 主要桌面虛擬化技術(shù)

桌面虛擬化在技術(shù)上分為VDI、VOI、IDV[2]三種模式，其中VDI是國外廠商比較成熟的商業(yè)方案，世界500強(qiáng)公司絕大部分均采用這種模式部署桌面虛擬化，優(yōu)勢在于計算資源及數(shù)據(jù)全部在數(shù)據(jù)中心內(nèi)部，加強(qiáng)了數(shù)據(jù)的保護(hù)。缺陷在于桌面在處理具有3D的圖形效果時，無法滿足用戶的需求，而采用專用的VDI圖站方式，帶來較好體驗的同時成本也極具上升，在維護(hù)上面也不比傳統(tǒng)PC省時省力。IDV是VOI模式的一種改良，其原理是將桌面分布式發(fā)布到本地終端，終端通過hpyervisor層做驅(qū)動與操作系統(tǒng)分離，完全調(diào)用本地計算資源，數(shù)據(jù)依然保留在數(shù)據(jù)中心內(nèi)，該概念最早在2013中由國內(nèi)知名廠商提出，其具有適用于國內(nèi)信息安全領(lǐng)域環(huán)境的特點，最大的特色就是基本不改變現(xiàn)有安全體系架構(gòu)，IDV是虛擬化技術(shù)的拓展，也是新的技術(shù)形態(tài)，商用案例較少，因此本研究課題不做過多贅述。

2 VDI桌面虛擬化技術(shù)國內(nèi)外發(fā)展現(xiàn)狀

在桌面虛擬化領(lǐng)域，當(dāng)前國外主要有VMware、思杰和微軟三大廠商。國內(nèi)主要有京華科訊，升騰，方物等。但就目前而言，雖然國內(nèi)外廠商在基礎(chǔ)架構(gòu)、桌面分發(fā)、傳輸協(xié)議、鏡像管理、虛擬應(yīng)用等桌面虛擬化技術(shù)領(lǐng)域已有成熟的商用解決方案，但在涉密環(huán)境中的集成信息安全的桌面虛擬化解決方案一直處于空白狀態(tài)，如何應(yīng)用才能將新的技術(shù)與舊有防護(hù)要求互融才是難點，國外廠商雖然技術(shù)實力較強(qiáng)，但由于其自身戰(zhàn)略原因，針對國內(nèi)的虛擬化定制需要較長的時間和較高的成本；而國內(nèi)廠商雖然主要針對國人的使用習(xí)慣及特殊需求進(jìn)行研發(fā)，但在產(chǎn)品的成熟度上仍有待提高，在高負(fù)載大規(guī)模部署上的可靠性仍有待考證。

3 涉密信息系統(tǒng)中VDI桌面虛擬化壁壘

在涉密信息系統(tǒng)中，如何將新有的桌面虛擬化技術(shù)與分保標(biāo)準(zhǔn)[3,4]找到相互的契合點成為桌面虛擬化在軍工行業(yè)內(nèi)推進(jìn)的重要里程碑，能否將現(xiàn)有的安全體系架構(gòu)移植到桌面虛擬化部署環(huán)境成為其關(guān)鍵技術(shù)。在涉密信息系統(tǒng)的桌面虛擬化中，主要有以下六個方面將作為桌面虛擬化在軍工行業(yè)內(nèi)落地的阻力。

3.1 物理隔離問題

現(xiàn)有的涉密信息系統(tǒng)，按照數(shù)據(jù)的敏感性進(jìn)行密級標(biāo)示，不同密級的數(shù)據(jù)存放在相對應(yīng)密級標(biāo)示的終端硬盤中，完全物理隔離，而桌面虛擬化數(shù)據(jù)集中存放在共享存儲，在傳統(tǒng)概念上，“共享”技術(shù)有違分保要求，在桌面虛擬化中如何做到硬件資源共享但數(shù)據(jù)文件隔離成為關(guān)鍵技術(shù)。

3.2 產(chǎn)品選擇問題

軍工認(rèn)證委在對安全產(chǎn)品有明確的要求，安全軟件必須擁有涉密信息系統(tǒng)檢測證書。桌面虛擬化軟件雖然在宏觀上來并不涉及到安全方面，但實際在技術(shù)細(xì)節(jié)上，已經(jīng)觸碰到了現(xiàn)有的安全體系，舊有的安全軟件在虛擬化環(huán)境中會出現(xiàn)適用性問題，需要桌面虛擬化與安全廠商協(xié)同開發(fā)調(diào)試才可保證可用性，但目前國內(nèi)外還未能有一家虛擬化產(chǎn)品通過國家保密局的涉密信息系統(tǒng)檢測。

3.3 安全域邊界防護(hù)問題

在分保中要求，流轉(zhuǎn)涉密數(shù)據(jù)的設(shè)備要按涉密數(shù)據(jù)的最高密級定密，但VDI（計算資源集中在數(shù)據(jù)中心內(nèi)）類型的虛擬桌面給終端推送的僅為圖像，終端設(shè)備及所在的網(wǎng)絡(luò)上并不處理敏感數(shù)據(jù)，接入層設(shè)備是否要按照顯示圖像的最高密級定密尚未有說明，因此，是否一定要按原有的安全邊界劃分有待探討。

3.4 密級標(biāo)識問題

在安全邊界防護(hù)中談到，終端設(shè)備及中間流轉(zhuǎn)數(shù)據(jù)的交換機(jī)不處理涉密數(shù)據(jù)，如果全部按照老辦法標(biāo)密，會給管理員帶來更大的工作量，虛擬化快捷、方便的特性將大大折扣，因此在密級標(biāo)示方面也有爭議。

3.5 訪問控制問題

在訪問控制層面，由于實施VDI虛擬化后安全邊界問題可能會發(fā)生改變，部分在原先在訪問控制中被禁用的端口可能正是VDI桌面?zhèn)鬏攨f(xié)議所依賴服務(wù)的端口，因此，在準(zhǔn)入控制，身份識別方面的控制策略會發(fā)生變更。

3.6 人員運維管理問題

在傳統(tǒng)運維人員，網(wǎng)絡(luò)、桌面、存儲、服務(wù)器四塊業(yè)務(wù)通常分部門來完成，當(dāng)出現(xiàn)故障容易判斷故障點，而VDI桌面實際上是將以上四部分的技術(shù)整合，如何將四塊技術(shù)部門聯(lián)動排查故障在VDI桌面中顯得格外重要。除此之外，業(yè)務(wù)入、退網(wǎng)申請、故障申報的流程也會隨著VDI桌面的實施發(fā)生變化。

4 涉密信息系統(tǒng)中桌面虛擬化應(yīng)用模式

4.1 通信流程

流程說明：

1）終端層：將帶有證書的Key插入到虛擬桌面終端，如PC利舊、瘦客戶端[5]等。

2）控制層：虛擬桌面終端將進(jìn)行準(zhǔn)入控制證書的有效性進(jìn)行驗證，以確保終端層面的準(zhǔn)入控制的合規(guī)性。當(dāng)終端設(shè)備通過有效性驗證，數(shù)據(jù)流將通過負(fù)載均衡設(shè)備自動輪詢到虛擬桌面接入的控制區(qū)域。

3）虛擬桌面層：在接入控制區(qū)域，我們將通過端口映射對KEY的證書進(jìn)行驗證，從而確保用戶的信息。當(dāng)用戶的信息得到確認(rèn)后，虛擬桌面服務(wù)器組將通過用戶所確認(rèn)的身份信息分配給客戶獨有的安裝好軟件的虛擬桌面，同時，在虛擬桌面掛載文件服務(wù)器用戶專屬的網(wǎng)絡(luò)映射磁盤。

4）后臺層：通過集群的存儲、交換機(jī)和服務(wù)器組成桌面虛擬化的后臺層，為虛擬桌面層面提供了強(qiáng)有力的底層保障。

圖2 數(shù)碼桌面虛擬化流程圖

4.2 桌面虛擬化的架構(gòu)模式

桌面虛擬化技術(shù)[6]是未來IT管理的發(fā)展趨勢，其技術(shù)創(chuàng)新、管理創(chuàng)新和管理思路的改變將對現(xiàn)有所里的管理模式、技術(shù)架構(gòu)以及相關(guān)的信息安全規(guī)定產(chǎn)生強(qiáng)烈的沖擊和變革。

4.2.1 用戶操作系統(tǒng)的集中管理模式

在現(xiàn)有管理模式下，計算機(jī)終端分散在所內(nèi)各辦公地點。每臺終端的操作系統(tǒng)存在具體差異，管理員很難對每一個操作系統(tǒng)運行狀態(tài)做出很好的判斷。桌面虛擬化將用戶操作系統(tǒng)進(jìn)行信息集中管理，使管理員可對信息系統(tǒng)中各個節(jié)點狀態(tài)作出較為準(zhǔn)確的判斷，有利于管理的規(guī)范化。

4.2.2 信息存儲的集中模式

在現(xiàn)有管理模式下，信息分散存儲于單位內(nèi)部各個終端，相當(dāng)于信息系統(tǒng)內(nèi)有多少個連網(wǎng)計算機(jī)就有多少個不安全隱患點。桌面虛擬化建設(shè)將信息系統(tǒng)內(nèi)存儲全部集中，并通過在唯一的鏈路層加設(shè)嚴(yán)格的技術(shù)防護(hù)措施，可靠的保護(hù)了信息的安全。

4.2.3 三層架構(gòu)的實現(xiàn)

在現(xiàn)有管理模式下，很多較早的應(yīng)用系統(tǒng)還在使用兩層架構(gòu)的應(yīng)用模式（客戶端直接與后臺數(shù)據(jù)庫連接），且軟件系統(tǒng)無法改造。這實際上對信息系統(tǒng)安全防護(hù)造成了很嚴(yán)重的風(fēng)險。

桌面虛擬化和應(yīng)用虛擬化可將二層架構(gòu)應(yīng)用系統(tǒng)間接變更為三層架構(gòu)（客戶端與服務(wù)相連，不與后臺數(shù)據(jù)庫直接通信），為應(yīng)用層面的信息安全提供有力的保護(hù)。

4.2.4 網(wǎng)絡(luò)安全性的提升

通過桌面虛擬化和應(yīng)用虛擬化實現(xiàn)的三層訪問架構(gòu)[7]，可將用戶終端與服務(wù)器的網(wǎng)絡(luò)連接進(jìn)行嚴(yán)格限制，增強(qiáng)網(wǎng)絡(luò)安全性能。在現(xiàn)有管理模式下，用戶終端往往與所有服務(wù)器都可進(jìn)行不受限制的網(wǎng)絡(luò)訪問，這將為網(wǎng)絡(luò)安全造成較大的隱患。從技術(shù)上，每臺用戶終端都可對存在漏洞的任意服務(wù)器發(fā)起網(wǎng)絡(luò)攻擊，而這也是一些單位網(wǎng)絡(luò)病毒無法根除的原因之一。而通過三層訪問架構(gòu)的改變，在網(wǎng)絡(luò)層通過ACL訪問控制策略可以限制用戶終端僅對具體某個服務(wù)器的某個端口訪問，對其他服務(wù)器不能進(jìn)行主動連接訪問，將服務(wù)器封閉在相對安全的區(qū)域內(nèi)，從而提高了網(wǎng)絡(luò)安全防護(hù)水平。

4.2.5 用戶身份驗證

在現(xiàn)有管理模式下，用戶開機(jī)需要輸入BIOS開機(jī)口令，啟動系統(tǒng)后再通過USBKEY認(rèn)證登錄系統(tǒng)處理信息。從技術(shù)層面看這種方式極不可靠，僅是當(dāng)前管理模式下的無奈之取。首先BIOS口令可以通過放電進(jìn)行破解，其次通過WINPE啟動可以繞過所有終端安全措施直接獲取硬盤內(nèi)的信息。另外用戶在一次開機(jī)過程中需要使用多個口令且都有復(fù)雜性要求，這也對用戶造成了不必要的麻煩。桌面虛擬化和信息集中存儲的使用，使得BIOS開機(jī)口令的作用變得可有可無。用戶系統(tǒng)層的身份驗證完成依靠USBKEY加PIN碼這種雙因子強(qiáng)身份驗證的模式。而用戶使用信息則還需要通過數(shù)字證書身份認(rèn)證這種當(dāng)前主流的身份驗證，使用的信息安全性得到了較大的提高。

4.2.6 終端性質(zhì)的改變

在現(xiàn)有管理模式下，終端內(nèi)存儲的大量的信息，一旦丟失將在安全方面造成嚴(yán)重的后果。而對于設(shè)備性質(zhì)的判別主要為是否存儲、處理信息，而信息的存儲則是最關(guān)鍵的，無論是主動存儲還是被動存儲。桌面虛擬化和信息集中存儲的使用，在物理方面使用戶終端內(nèi)沒有信息存儲功能，使用用戶終端僅僅為連接、處理信息的設(shè)備，從而減輕了終端失控所造成的風(fēng)險。

4.2.7 用戶與終端的關(guān)系

在現(xiàn)有管理模式下，用戶與終端計算機(jī)主要為一對一綁定的模式。這就出現(xiàn)對于多用戶共用一臺計算機(jī)所造成的風(fēng)險。在認(rèn)證要求中，為保護(hù)信息的知悉范圍，強(qiáng)調(diào)多用戶共用一臺計算機(jī)要分區(qū)分權(quán)限。但從技術(shù)上將系統(tǒng)分區(qū)是無法分割的，仍存在著信息知悉范圍擴(kuò)大的風(fēng)險。且一旦出現(xiàn)安全事件難以準(zhǔn)確定位責(zé)任人。

4.2.8 用戶異地移動辦公

基于桌面虛擬化對用戶與終端帶來的關(guān)系變化，使得用戶異地辦公成為可能性。

4.2.9 硬件設(shè)備維護(hù)

基于桌面虛擬化對用戶異地移動辦公帶來的變革，同時還引發(fā)設(shè)備維護(hù)方面的變革。在現(xiàn)有管理模式下，如果終端硬件設(shè)備損壞，管理員可能需要較長時間進(jìn)行維修，在這期間用戶無法使用終端計算機(jī)，從而可能影響科研生產(chǎn)的工作效率，特別是在出現(xiàn)緊急任務(wù)的情況下。實現(xiàn)桌面虛擬化用戶異地移動辦公后，用戶僅需要使用本人USBKEY到其他終端上辦公即可，硬件維修時間不會影響到用戶的實際工作。

4.2.10 系統(tǒng)遠(yuǎn)程維護(hù)的可行性

在現(xiàn)有管理模式下，禁止對計算機(jī)遠(yuǎn)程維護(hù)。這項規(guī)定是為了信息的知悉范圍，避免管理員在遠(yuǎn)程維護(hù)中非法獲取用戶信息，也是在現(xiàn)有管理模式下的無奈之舉。但這項要求與未來趨勢存在矛盾，未來的IT管理應(yīng)是以免維護(hù)或遠(yuǎn)程維護(hù)為方向的。桌面虛擬化和信息集中存儲的使用，使得免維護(hù)和遠(yuǎn)程維護(hù)在不違反信息安全思想的情況下成為可能。在免維護(hù)方面，部分終端采用固化操作系統(tǒng)模式實現(xiàn)操作系統(tǒng)的穩(wěn)定可靠。在遠(yuǎn)程維護(hù)方面，由于用戶所有信息都與操作系統(tǒng)分離，集中存儲在存儲中心，且必須通過用戶USBKEY數(shù)字證書才能訪問，因此管理員遠(yuǎn)程維護(hù)的僅是用戶操作系統(tǒng)桌面，從技術(shù)層面無法獲取其他工作數(shù)據(jù)或方檔。在這里需要特別說明的是，在桌面虛擬化技術(shù)架構(gòu)上，管理員一旦通過遠(yuǎn)程連接用戶桌面，則用戶終端連接則立即中斷，同時用戶USBKEY從用戶桌面操作系統(tǒng)鏡像中斷開、用戶與集中存儲的連接斷開，桌面操作系統(tǒng)因失去USBKEY內(nèi)的數(shù)字證書而無法連接到存儲中心。

5 結(jié)束語

顯然，桌面虛擬化有效地降低了涉密企業(yè)的桌面管理成本，提升了數(shù)據(jù)安全和業(yè)務(wù)持續(xù)性。但由于涉密網(wǎng)的特殊性，在現(xiàn)階段部署桌面虛擬化免不了會有一些問題。但如果根據(jù)企業(yè)自身的業(yè)務(wù)特點進(jìn)行全面考量，以我為主，合理選擇，完全可以找到并應(yīng)用一個合適的解決方案。

[1]周昌.基于虛擬化技術(shù)的智能手機(jī)軟件平臺[D].浙江大學(xué),2007.

[2]鄭興艷.安全虛擬桌面系統(tǒng)的設(shè)計與實現(xiàn)[D].北京交通大學(xué),2012.

[3]BMB17.涉密信息系統(tǒng)分級保護(hù)技術(shù)要求[Z].

[4]BMB20.涉密信息系統(tǒng)分級保護(hù)管理規(guī)范[Z].

[5]梁飛蝶,李錦濤.瘦客戶計算機(jī)應(yīng)用協(xié)議中遠(yuǎn)程顯示機(jī)制的比較[J].計算機(jī)用,工程與應(yīng)2004,21.

[6]李皎.服務(wù)器虛擬化技術(shù)在企業(yè)數(shù)據(jù)中心的應(yīng)用[J].福建電腦,2010,7.

[7]程伍端.計算機(jī)虛擬化技術(shù)的分析與應(yīng)用[J].計算機(jī)與數(shù)字工程,2008,11.