基于可信虛擬化技術的安全政務網絡研究

劉劍

摘 要：本文分析了政務網絡存在的安全問題，在此基礎上，提出基于可信虛擬化技術的解決方案，采用密碼技術建立政務網絡軟件“白名單”，防止木馬等病毒軟件；對訪問政務網絡中人員和設備的多因子安全認證，并基于用戶身份對其數據復制行為進行安全控制，保護政務信息不被非法外泄，從而構建安全政務網絡。

關鍵詞：政務網絡；政務網絡安全；可信技術；可信虛擬化技術

中圖分類號：TB47 文獻標識碼：A

文章編碼：1672-7053（2017）07-0132-03

Abstract：This paper analyzes the security problems of e-government network. On the basis of this， we propose the solution for the government network based on trusted virtualization technology. Use "white list" based on encryption technology to prevent the Trojan virus software. Use multi factor security authentication for personnel and equipment to access government network. Based on the user's identity， the security of data replication is controlled to protect government information from illegal leakage to build a secure government network.

Key Words：government network； government network security； trusted technology； trusted virtualization technology

1 背景

政務網絡系統(tǒng)包括公文流轉、電子郵件、檔案管理等辦公業(yè)務以及其它專業(yè)業(yè)務應用。通過這些辦公和業(yè)務應用平臺實現社會服務和管理職能，因此保護政務網絡數據安全、保證政務網絡運行穩(wěn)定對正常工作和業(yè)務運轉十分重要。

政務網絡系統(tǒng)面臨著以下信息安全問題：

1）計算機病毒、木馬等惡意軟件破壞。惡意軟件不僅影響政務網絡系統(tǒng)的正常穩(wěn)定運行，而且還可能導致政務敏感信息的失泄密事件，影響政府形象；

2）數據安全問題。政務網絡系統(tǒng)中會包含敏感數據，內部人員、第三方合作方、計算機木馬等會接觸敏感信息；可能導致失泄密事件；

3）信息安全管控落實不到位。由于種種原因一般單位很難真正對系統(tǒng)做到及時運行安全維護保障，系統(tǒng)運行存在嚴重安全隱患。

傳統(tǒng)的信息安全解決方案和產品不能很好地有效解決上述問題。曾經采購部署的殺毒軟件、入侵檢測、終端安全控制、數據防泄漏系統(tǒng)和防火墻信息安全產品，不能對未知病毒和攻擊進行有效檢測和防范，不能實現高效的集中安全管控運維，不能防范授權人員對數據的非法復制和盜??；另外，由于過去信息安全方案還存在自身安全產品多、安裝數量多、應用兼容性差、對系統(tǒng)性能影響大以及安全易用性等問題，實際效果并不盡人意。

2 政務網絡安全需求

在對政務網絡系統(tǒng)進行新的信息安全風險評估之后，對其信息安全目標也進行了重新審視和認識，要求政務網絡在滿足政策合乎要求的基礎上，真正實現安全有效性、經濟性和易用易管性的有機統(tǒng)一。

首先，政務網絡安全不僅要能夠檢測和防范已知的病毒和攻擊，還應當有能力防范各種未知的病毒攻擊；不僅要方便正常的業(yè)務辦公，而且還要有效防范有合法授權的內部人員和外部合作方非法復制和盜取內部敏感數據；不僅要能支持系統(tǒng)的可管可控，還要能實現對系統(tǒng)高效實時化的集中管控。

其次，政務網絡安全方案要在安全有效的基礎上，降低系統(tǒng)安全成本，減少安全機制對系統(tǒng)的性能影響。政務網絡安全方案要考慮系統(tǒng)安全結構的簡化，盡量減少安全設備和安全軟件安裝的數量，從而降低安全建設和運維成本，降低安全機制對政務系統(tǒng)的性能影響。

再次，政務網絡安全方案要考慮到安全產品和安全機制的易用易管性。政務網絡安全方案要盡量不改變原有的應用程序、不改變用戶的操作習慣和應用管理流程，保證用戶的良好體驗。

另外，移動辦公和移動業(yè)務成為發(fā)展趨勢。為提高業(yè)務的時效性，在指定政務網絡安全方案需求時，強調要考慮對移動辦公和移動業(yè)務的安全支持。要求其政務網絡安全方案必須解決移動設備的安全認證問題、通信安全問題以及移動設備遺失帶來的數據泄露問題。

3 可信虛擬化技術

可信虛擬化技術基于政務網絡的特點，以密碼技術為基礎，采用“白名單”安全機制防范各種已知和未知攻擊；以基于用戶身份的數據復制和傳送安全控制機制保證內部敏感數據的安全，即使是內部合法人員和授權的外部合作方都不能非法復制和盜取各種辦公和業(yè)務敏感信息；以基于虛擬存儲技術的系統(tǒng)集中安全管控機制大幅減少系統(tǒng)安全運維設備數量和復雜度、克服軟硬件配置差異帶來的系統(tǒng)兼容性問題，最終提高安全管控運維的效率。

此外，可信虛擬化技術還能夠在不增加開發(fā)工作量的前提下，支持移動辦公和移動業(yè)務的開展和快速部署?？尚盘摂M化技術支持對移動設備的多因子身份認證、安全加密通信，并且不在移動設備上保存任何與辦公和業(yè)務相關的數據，即使移動設備丟失，也不會導致失泄密事件的發(fā)生。

可信虛擬化技術可以支持政務網絡系統(tǒng)實現非法人員“進不來”、“看不到”、“拿不走”、“跑不掉”；幫助系統(tǒng)安全管理人員能夠對系統(tǒng)“管的住”、“管的少”、“管的好”；對應用和辦公業(yè)務人員“沒感覺”、“影響小”。

4 以可信虛擬化技術構建安全政務網絡方案

原有的政務網絡系統(tǒng)是一個典型的終端服務器結構，用戶終端分布在工作人員的工位或專用區(qū)域中，應用服務器集中在在服務器機房中。如圖1所示：

如前所述，現有政務網絡系統(tǒng)存在包括病毒木馬和數據安全在內的諸多安全問題，采用以可信虛擬化技術構建安全政務網絡的方案可以從根本上解決這些問題。

可信虛擬化方案的核心思想是以虛擬桌面技術為基礎，通過虛擬桌面信息流安全控制機制和基于密碼技術的虛擬桌面的可執(zhí)行代碼保護機制，防范各種已知和未知病毒木馬保護內部數據安全。其具體實現方式如圖2所示：

圖2中，在機房中部署了四臺虛擬桌面服務器，每臺虛擬桌面服務器上支持運行五十個左右的虛擬桌面，這些虛擬桌面在功能上取代了傳統(tǒng)的PC業(yè)務應用終端，無論是C/S應用還是B/S應用，其業(yè)務客戶端軟件或應用瀏覽器客戶端軟件都實際運行在虛擬桌面上；工作人員通過工位上的PC或安全瘦客戶機（我們稱之為操作終端）中的IE等瀏覽器工具連接到虛擬桌面，進而訪問相應應用。虛擬桌面系統(tǒng)的好處是它可以將用戶操作終端與應用終端在物理上加以分離，實際的辦公等應用軟件和應用數據都在虛擬桌面上運行和處理，操作終端只是起到虛擬桌面的顯示器和鍵盤鼠標輸入作用，從而為數據安全提供了保護基礎。

為了加強對用戶業(yè)務操作的集中管理控制、控制工作人員在虛擬桌面和操作終端之間的數據交換和文件復制行為，在虛擬桌面和用戶工位上的操作終端之間部署了專用的虛擬桌面安全網關。為提高系統(tǒng)安全機制的可靠性，圖2方案根據需要部署了兩臺虛擬桌面安全網關，實現雙機安全熱備功能。

4.1 病毒木馬的有效防范

圖2方案以政務網絡軟件選用列表為基礎，采用密碼技術建立政務網絡軟件“白名單”。在虛擬桌面上只允許“白名單”中的程序和代碼運行，因而能夠有效防范各種已知和未知病毒；同時，“白名單”機制對系統(tǒng)CPU資源的占用也非常?。ㄒ话闱闆r下不到1%），也不會有大量的磁盤操作，因此非常適用于虛擬化技術。由于上述“白名單”保護機制只部署在辦公等生產型業(yè)務系統(tǒng)的虛擬桌面中，對工作人員工位中的操作終端沒有影響，因此它完全不影響一般用戶的實際操作體驗，從而有效地幫助了信息安全方案的快速部署和應用推廣。

4.2 數據安全保護

圖2方案還通過虛擬桌面安全網關實現對訪問政務網絡中人員和設備的多因子安全認證，并基于用戶身份對其數據復制行為進行安全控制，防止政務信息非法外泄。

對人員和設備身份進行認證，根據其權限和工作要求分配和選擇適當的虛擬桌面和存儲資源，并對其虛擬桌面工作環(huán)境進行安全部署，保證其辦公和其它業(yè)務的正常開展；

基于工作人員身份，對其在虛擬桌面和操作終端之間的數據和文件復制行為進行控制，比如某些崗位可將虛擬桌面中的數據和文件復制到操作終端上，而其它崗位只能從操作終端向內部的虛擬桌面中復制數據和文件，或者兩種操作都不被允許；

對用戶登錄和其它系統(tǒng)管理行為進行審計。

基于虛擬桌面系統(tǒng)和虛擬桌面安全網關的安全防護功能，無需再花費精力對工作人員工位上的PC等操作終端進行網絡或USB等端口的控制和管理，就可以有效保證政務網絡敏感信息被非法復制或外泄。

此外，虛擬桌面安全網關還通過對虛擬桌面的以下安全管理措施保護數據安全：

1）終端無痕化管理。當用戶退出政務辦公或其它業(yè)務應用后，系統(tǒng)自動將虛擬桌面進行安全清理，保證不保留前一用戶的任何使用痕跡，包括各種臨時數據等。

2）本地設備不留密。用戶通過PC或移動設備等本地設備訪問虛擬桌面，處理辦公和應用業(yè)務，但是這些辦公和業(yè)務數據并不會保存在本地設備上，防止政務敏感信息被非法復制、盜取。

4.3 集中安全管控

圖2方案以安全虛擬存儲技術為基礎，對虛擬桌面進行高效的集中安全管控。如圖2所示，所有虛擬桌面的系統(tǒng)鏡像都集中存放在鏡像服務器中，并根據應用類型和崗位性質制作母本，實現鏡像的快速克隆和部署。通過這種鏡像集中管控技術機制，軟件升級和補丁安裝時間大大縮短，基本能在一小時內完成；鏡像集中管控技術還有效避免了傳統(tǒng)系統(tǒng)升級可能帶來的兼容問題。典型情況下，以可信虛擬存儲技術為基礎的虛擬桌面集中安全管控方案可以使信息系統(tǒng)運維工作量達到百分之九十以上的減幅，有效緩解政務網絡系統(tǒng)運維管理人員編制少、運維工作量大的難題。

圖2方案支持系統(tǒng)管理、安全管理和系統(tǒng)審計管理等不同管理角色和管理權限的分離，最大程度地保證管理安全性和安全合規(guī)性。

4.4 安全移動辦公和移動業(yè)務支持

在圖2方案設計過程中，也充分考慮到了未來移動辦公和移動業(yè)務的發(fā)展趨勢和安全需求。隨著各種手持設備和智能手機的應用普及，為提高辦公和業(yè)務的時效性，政府單位對移動辦公和移動業(yè)務也有著迫切的需求，但是設備認證、通信安全以及移動設備遺失帶來的數據安全等問題是制約政府應用新型移動業(yè)務的關鍵因素。在可信虛擬化方案中，這些移動設備和智能手機也可以作為操作終端，連接到虛擬桌面系統(tǒng)中；但是如同工作人員工位上的PC操作終端一樣，由于應用數據并不實際在這些移動設備上保存和處理，因此不存在由于移動設備丟失帶來的數據安全問題；在方案中，虛擬桌面安全網關支持對移動設備的多因子安全認證和加密通信保護機制。

4.5 多因子身份認證

圖2方案支持對人員和設備的多因子身份認證，兼容用戶已有應用。虛擬桌面安全網關內置用戶名/口令字、數字證書、指紋等身份認證功能，并支持第三方統(tǒng)一的身份認證機制，用戶可以選用認證方式。原有系統(tǒng)已經建設了OTP動態(tài)口令系統(tǒng)，方案二中虛擬桌面安全網關采用了原有的動態(tài)口令機制，以兼容原有安全結構，同時也降低了用戶安全管理的難度。

4.6 云安全隔離支持

圖2方案通過動態(tài)虛擬網絡安全機制支持云安全隔離能力。該機制可以自動適應云計算環(huán)境下應用規(guī)模的彈性變化，并在無人工干預的情況下，自動生成相適應的應用安全邊界，防范應用系統(tǒng)被非法訪問或入侵，保護應用整體安全；

此外，圖2方案還支持云計算環(huán)境下不同客戶、不同應用和不同用戶之間的數據安全隔離，防范未經許可的數據共享和交換。

4.7安全審計

圖2方案不僅可以主動對用戶應用和數據進行安全保護，還可以根據安全策略配置在不同層面對用戶的訪問行為進行安全審計。

圖2方案的安全審計功能包括：（1）用戶登錄和訪問系統(tǒng)的時間、地點、操作行為、結果等內容；（2）系統(tǒng)管理員和安全管理員的管理操作內容及其時間、地點、結果等；（3）系統(tǒng)當前資源使用狀態(tài)，如虛擬機和虛擬存儲總量、當前使用量、故障比例等。

4.8 其它安全功能

圖2中的應用防火墻主要功能包括支持基于用戶身份的資源訪問行控制和審計等，從而對辦公等應用提供更進一步的安全訪問控制。應用防火墻通過將業(yè)務邏輯和安全邏輯分離，實現對用戶既有應用的兼容性，在保證安全訪問控制的同時，不要求用戶修改應用程序、改變操作流程和操作習慣。

應用防火墻還可以幫助用戶高效率、低成本地滿足合規(guī)性要求。比如應用防火墻可以支持多因子身份認證、安全標記和強制訪問控制等商用產品難以實現的安全指標性功能，使用戶能夠通過簡單的安全結構和整改方式滿足國家信息安全等級保護三級或三級以上信息系統(tǒng)安全要求。

5 方案配置說明

圖2方案的設備配置情況如表1所示：

在其可信虛擬化方案中的主要安全策略包括：

除了授權管理人員外，一般工作人員都不能在其操作終端和應用終端之間拷貝任何數據和文件；管理崗位可以從其操作終端上把互聯(lián)網上或其它外部文件數據拷貝到內部信息系統(tǒng)中；部分崗位領導或授權人員可以從內部系統(tǒng)向操作終端拷貝文件；

在內部辦公等應用系統(tǒng)中激活“白名單”防病毒木馬機制，保證辦公等各種應用的可靠運行和穩(wěn)定性；

采用鏡像母本克隆機制。在系統(tǒng)需要升級或改變配置時，只需要對母本進行操作，從而大大減少系統(tǒng)運維工作量，提高系統(tǒng)運維效率；

為一般工作人員配置普通桌面類型應用終端，并激活“桌面無痕安全機制”，在防止不同人員信息交叉使用的前提下，提高系統(tǒng)資源利用率；

為管理崗位配置VIP桌面類型應用終端，并支持其在單位外部通過各類操作終端訪問其個人應用客戶端桌面，保證其工作連續(xù)性和便利性。

6 結論

采用基于可信虛擬化技術的安全政務網絡方案后，政務辦公和業(yè)務應用系統(tǒng)不再擔心各種病毒和木馬的入侵破壞，也不再擔心內部數據失泄密事件的發(fā)生；不僅如此，政務網絡系統(tǒng)管理和運維人員工作比起以前更為輕松，工作效率更高；同時，由于新安全方案無需改變應用程序、操作流程和應用習慣，因此普通用戶基本感受不到傳統(tǒng)信息安全機制和安全措施可能帶來的不方便，極大地保證了用戶的安全應用體驗。

參考文獻

[1]于千婷. 對政府在網絡信息安全工作方面的幾點建議[J]. 工程技術：全文版， 2016（10）： 00271-00271.

[2]鐘靜. 政府機關計算機網絡安全防御措施探討[J]. 中國新通信， 2016，18（10）：66-66.

[3]呂風明. "互聯(lián)網+"時代：政府網站網絡安全的新挑戰(zhàn)[J]. 電腦與電信， 2016（Z1）：69-70.

[4] Wu B， Liu P， Xu X. An evolutionary analysis of low-carbon strategies based on the government-enterprise game in the complex network context[J]. Journal of Cleaner Production， 2017， 141：168-179.

[5] Wincent J， Anokhin S， Ortqvist D. Supporting innovation in government-sponsored networks： The role of network board composition[J]. International Small Business Journal， 2013， 31（8）：997-1020.

[6] Murphy B M. Interdoc： The first international non-government computer network[J]. 2005，10（5）：1486.

[7] Jing L I. View of the government network according to the application of electronic technology to taxation[J]. Liaoning Taxation College Journal， 2002.

[8] Hufen H， Bruijn H D. Energy performance contracts as a tool for property management by local government[J]. Journal of Cleaner Production， 2015， 112.