安全桌面虛擬化信息系統(tǒng)開(kāi)發(fā)應(yīng)用

宋焱宏

摘要：信息安全是人們用網(wǎng)安全的基礎(chǔ)保障，信息技術(shù)在不斷進(jìn)步的同時(shí)，用網(wǎng)安全問(wèn)題成為人們首要關(guān)注的重點(diǎn)問(wèn)題。桌面虛擬化就是將多個(gè)桌面操作系統(tǒng)集中在少量服務(wù)器中，然對(duì)機(jī)器進(jìn)行集中管理，用戶可以通過(guò)一些終端設(shè)備對(duì)虛擬桌面進(jìn)行訪問(wèn)。本文重點(diǎn)針對(duì)安全桌面虛擬化技術(shù)為切入點(diǎn)，設(shè)計(jì)一款基于虛擬化技術(shù)的安全桌面信息系統(tǒng)，引入安全機(jī)制，用多種虛擬機(jī)安全技術(shù)構(gòu)建安全桌面虛擬化信息系統(tǒng)，并對(duì)其應(yīng)用場(chǎng)景進(jìn)行討論。

關(guān)鍵詞：安全桌面；虛擬化；信息系統(tǒng)；云計(jì)算

中圖分類號(hào)： TP311 文獻(xiàn)標(biāo)識(shí)碼：A

文章編號(hào)：1009-3044（2019）10-0259-03

開(kāi)放科學(xué)（資源服務(wù)）標(biāo)識(shí)碼（OSID）：

云計(jì)算技術(shù)自出現(xiàn)在人們的視野中就引起了廣泛的追捧，云計(jì)算技術(shù)是現(xiàn)代社會(huì)發(fā)展中的又一項(xiàng)重大變革，信息浪潮逐漸滲透在我們的日常工作和生活中。云計(jì)算具有一定的虛擬化效果，具有高可靠性的特點(diǎn)，改變了人們的工作方式和生活節(jié)奏。云計(jì)算作為信息技術(shù)領(lǐng)域的重要象征，與傳統(tǒng)的軟件架構(gòu)相比，具有一定的動(dòng)態(tài)可伸縮性，能夠按需對(duì)共享的資源進(jìn)行訪問(wèn)，與計(jì)算不管是在運(yùn)營(yíng)成本還是性能優(yōu)化方面都有極大的優(yōu)勢(shì)，可以將各類信息資源集中在一起，具有一定的使用價(jià)值。而本文中所重點(diǎn)研究的桌面虛擬化就是一種非常典型的云計(jì)算應(yīng)用方式，社會(huì)的發(fā)展使得企業(yè)對(duì)于桌面的應(yīng)用需求逐漸增加，大量的數(shù)據(jù)給企業(yè)所帶來(lái)的不僅僅是數(shù)據(jù)冗余，更多的還是安全管理問(wèn)題，企業(yè)需要花費(fèi)較大的精力與財(cái)力去解決桌面安全管理問(wèn)題。隨著各方面壓力的增加，傳統(tǒng)的計(jì)算機(jī)桌面控制能力已經(jīng)無(wú)法適應(yīng)現(xiàn)代社會(huì)的發(fā)展，急需一種可以解決這種問(wèn)題的系統(tǒng)?；诖耍罱ㄒ豢罡咝У淖烂嫣幚砑軜?gòu)，改善現(xiàn)有計(jì)算機(jī)桌面使用模式，降低計(jì)算機(jī)基礎(chǔ)設(shè)施的投入成本，提高桌面使用的靈活性是目前的重點(diǎn)問(wèn)題。

桌面虛擬化系統(tǒng)與傳統(tǒng)的桌面系統(tǒng)相比，允許客戶通過(guò)瘦客戶機(jī)、個(gè)人電腦或者手機(jī)等設(shè)備進(jìn)行連接，對(duì)所有的虛擬桌面進(jìn)行跨平臺(tái)訪問(wèn)。本文對(duì)安全桌面虛擬技術(shù)進(jìn)行了介紹，對(duì)安全桌面虛擬化系統(tǒng)的設(shè)計(jì)需求進(jìn)行了研究，對(duì)安全桌面虛擬化系統(tǒng)的架構(gòu)進(jìn)行了設(shè)計(jì)，提出了使用安全桌面虛擬系統(tǒng)的實(shí)現(xiàn)目標(biāo)和應(yīng)用效果，為我國(guó)云計(jì)算平臺(tái)建設(shè)提供技術(shù)支撐。

1 安全桌面虛擬技術(shù)

1.1 虛擬化技術(shù)

將虛擬化技術(shù)應(yīng)用在安全桌面的設(shè)計(jì)中，可以增加系統(tǒng)的靈活性與安全性。虛擬化技術(shù)采用“白名單”安全機(jī)制的方式，能夠抵御各種來(lái)自外界未知的病毒攻擊。通過(guò)白名單安全機(jī)制中的主動(dòng)防御技術(shù)，能夠?qū)ν饨绲男袨檫M(jìn)行判斷，通過(guò)校驗(yàn)或者比對(duì)的方式遏制惡意軟件的運(yùn)行。通過(guò)對(duì)用戶身份進(jìn)行數(shù)據(jù)復(fù)制的方式[1]，保證內(nèi)部數(shù)據(jù)的安全。在信息系統(tǒng)中運(yùn)行安全管控機(jī)制，可以大大減少系統(tǒng)運(yùn)行的復(fù)雜性，解決軟硬件所存在的兼容性問(wèn)題，以提高管控的效率。同時(shí)安全虛擬化技術(shù)還支持多種移動(dòng)終端設(shè)備的身份認(rèn)證，不會(huì)再移動(dòng)終端中保存任何與業(yè)務(wù)相關(guān)的內(nèi)容，極大地避免了數(shù)據(jù)泄露事件的發(fā)生。

1.2 安全技術(shù)

虛擬化系統(tǒng)所有的功能都是基于虛擬化層進(jìn)行實(shí)現(xiàn)的，我們需要通過(guò)虛擬化層實(shí)現(xiàn)虛擬機(jī)的運(yùn)行，并對(duì)所有物理服務(wù)器的硬件進(jìn)行控制，以更好地對(duì)虛擬機(jī)之間的硬件資源進(jìn)行有效的分配。優(yōu)化設(shè)計(jì)后的虛擬化層安全技術(shù)可以起到一定的防病毒功能，虛擬化層安全技術(shù)的功能如圖1所示[2]。

將用戶的模式應(yīng)用在無(wú)法預(yù)測(cè)的地址中，能夠與CPU實(shí)現(xiàn)內(nèi)存保護(hù)，避免惡意代碼都攻擊主機(jī)。通過(guò)動(dòng)態(tài)完整性測(cè)量的方式保證虛擬信息平臺(tái)的模塊功能，并將這些模塊載入到白名單安全機(jī)制中，通過(guò)一種特定的代理形式開(kāi)拓一種新的安全運(yùn)行環(huán)境，是技術(shù)上的一大突破。通過(guò)虛擬化系統(tǒng)實(shí)現(xiàn)多臺(tái)虛擬機(jī)共同運(yùn)行，并在每一臺(tái)虛擬機(jī)中安裝一個(gè)防病毒軟件，但是這種方式會(huì)占用大量的內(nèi)存空間，統(tǒng)一無(wú)代理防病毒的方式，可以大大地減少主機(jī)的負(fù)載空間，提高系統(tǒng)整體的運(yùn)行功能。資源層面隔離與網(wǎng)絡(luò)層面隔離作為虛擬機(jī)安全技術(shù)中的重要技術(shù)之一，將所有的虛擬機(jī)進(jìn)行隔離，以保證硬件之間能夠安全穩(wěn)定的運(yùn)行，互相之間不受到任何的干擾，可以極大地保護(hù)數(shù)據(jù)信息的安全性[3]。

2 安全桌面虛擬化信息系統(tǒng)的開(kāi)發(fā)應(yīng)用

安全桌面虛擬化信息系統(tǒng)進(jìn)行架構(gòu)設(shè)計(jì)之前，要先構(gòu)建能夠相互隔離的桌面虛擬機(jī)，讓虛擬機(jī)能夠?qū)?shù)據(jù)中心進(jìn)行有效運(yùn)行，布置完成之后，使用桌面顯示協(xié)議傳送桌面視圖到用戶的使用設(shè)備中，讓用戶可以通過(guò)云端登錄，找到屬于自己的虛擬桌面。在桌面虛擬化信息平臺(tái)中，功能完善，管理員可以通過(guò)該平臺(tái)對(duì)設(shè)備的運(yùn)行情況進(jìn)行調(diào)整，根據(jù)設(shè)計(jì)需求對(duì)資源進(jìn)行分配，對(duì)用戶使用虛擬桌面的情況進(jìn)行查詢。

2.1 總架構(gòu)設(shè)計(jì)

在設(shè)計(jì)安全桌面虛擬化信息系統(tǒng)架構(gòu)之前，要對(duì)安全云計(jì)算平臺(tái)進(jìn)行設(shè)計(jì)，安全云計(jì)算 平臺(tái)的結(jié)構(gòu)最底層是資源聚集的地方，有最基礎(chǔ)的計(jì)算設(shè)備和存儲(chǔ)設(shè)備，在最底層的基礎(chǔ)之上，利用安全虛擬化技術(shù)對(duì)硬件資源進(jìn)行設(shè)計(jì)。IaaS是中間層[4]，安全虛擬機(jī)技術(shù)需要將對(duì)應(yīng)的硬件資源提供給IaaS，可以實(shí)現(xiàn)對(duì)管理員的權(quán)限控制。PssS與SaaS是接口層，采可以對(duì)一些數(shù)據(jù)進(jìn)行隔離，起到一定的安全性，同時(shí)還可以為用戶提供一些必要的資源。安全虛擬桌面的基礎(chǔ)設(shè)施中，可以對(duì)整個(gè)安全云進(jìn)行統(tǒng)一的規(guī)劃與管理，從而構(gòu)成安全云計(jì)算平臺(tái)的總體框架，如圖2所示。

安全云計(jì)算平臺(tái)框架與虛擬機(jī)共同構(gòu)成了安全桌面虛擬化信息系統(tǒng)。安全云計(jì)算平臺(tái)框架中的安全虛擬桌面基礎(chǔ)設(shè)施可以實(shí)現(xiàn)讓信息托管以遠(yuǎn)程操作，用戶可以在任何時(shí)間使用任何設(shè)備對(duì)桌面進(jìn)行訪問(wèn)。

2.2 信息系統(tǒng)架構(gòu)設(shè)計(jì)

在云計(jì)算中，最重要的一部分就是數(shù)據(jù)中心，是基礎(chǔ)設(shè)施構(gòu)成的重要組成部分，安全桌面虛擬化信息系統(tǒng)將所有的運(yùn)行數(shù)據(jù)保存至數(shù)據(jù)中心，用戶可以使用自己的移動(dòng)終端設(shè)備進(jìn)行訪問(wèn)，安全虛擬桌面的網(wǎng)關(guān)認(rèn)證通過(guò)后，可以對(duì)數(shù)據(jù)中心的服務(wù)器進(jìn)行訪問(wèn)，實(shí)現(xiàn)數(shù)據(jù)的集中管理與監(jiān)控。安全桌面虛擬化信息技術(shù)的主要架構(gòu)如圖3所示[5]。

（1）桌面虛擬化平臺(tái)

桌面虛擬化平臺(tái)的主要功能就是對(duì)所有的資源進(jìn)行整合，實(shí)現(xiàn)虛擬機(jī)的動(dòng)態(tài)管理，并將這些資源合理分配給遠(yuǎn)程的用戶。同時(shí)，還可以對(duì)整個(gè)系統(tǒng)的運(yùn)行狀態(tài)進(jìn)行管理[6]。

（2）安全虛擬桌面網(wǎng)關(guān)

安全虛擬桌面網(wǎng)關(guān)在計(jì)算機(jī)與瘦客戶機(jī)的中間，主要的功能就是對(duì)系統(tǒng)的認(rèn)證以及權(quán)限進(jìn)行管理，可以創(chuàng)新資源，對(duì)用戶的信息進(jìn)行篩選，對(duì)虛擬桌面進(jìn)行管理，以實(shí)現(xiàn)辦公安全。

（3）云終端

云終端主要的功能就是負(fù)責(zé)遠(yuǎn)程桌面的運(yùn)行，精簡(jiǎn)后的計(jì)算機(jī)架構(gòu)不需要較好的計(jì)算功能。在安全桌面虛擬化的系統(tǒng)運(yùn)行中，需要對(duì)數(shù)據(jù)安全進(jìn)行一些防護(hù)措施：將用戶所需的數(shù)據(jù)集中管理；將數(shù)據(jù)統(tǒng)一放在一個(gè)存儲(chǔ)設(shè)備中，并進(jìn)行加密處理；開(kāi)啟身份認(rèn)證；對(duì)存儲(chǔ)數(shù)據(jù)的設(shè)備進(jìn)行加密；對(duì)虛擬機(jī)的行為進(jìn)行監(jiān)控[7]。

2.3 邏輯架構(gòu)設(shè)計(jì)

安全桌面虛擬化信息系統(tǒng)的構(gòu)建，要具備完善的功能。在技術(shù)方面需要加強(qiáng)管理，比如安全隔離技術(shù)、資源調(diào)度技術(shù)等，通過(guò)特定的技術(shù)可以將一些靜態(tài)分布的資源變成可分配的資源，以便對(duì)資源進(jìn)行靈活使用?？梢詫踩烂嫣摂M化信息系統(tǒng)進(jìn)行集群分配，由桌面虛擬化平臺(tái)對(duì)各個(gè)集群進(jìn)行統(tǒng)一管理，其邏輯結(jié)構(gòu)如圖4所示。

虛擬化管理平臺(tái)可以實(shí)現(xiàn)一些虛擬機(jī)操作功能，比如映像管理、警告功能等，該平臺(tái)還可以對(duì)所有的信息資源進(jìn)行統(tǒng)一管理。（1）計(jì)算資源管理：使用桌面虛擬信息系統(tǒng)平臺(tái)對(duì)CPU進(jìn)行統(tǒng)一管理；（2）存儲(chǔ)資源管理：支持多種網(wǎng)絡(luò)類型[8]，能夠滿足各類業(yè)務(wù)的需求，還具有屏蔽與分離的功能；（3）網(wǎng)絡(luò)資源管理：對(duì)多種網(wǎng)絡(luò)模式都能兼容。

2.4 安全管理設(shè)計(jì)

安全管理設(shè)計(jì)中，安全虛擬桌面網(wǎng)關(guān)在整個(gè)系統(tǒng)設(shè)計(jì)中是一個(gè)非常重要的硬件設(shè)備，在應(yīng)用系統(tǒng)與外部環(huán)境之間運(yùn)行，可以實(shí)現(xiàn)的功能有：（1）病毒防范：使用密碼技術(shù)可以對(duì)計(jì)算機(jī)中的只執(zhí)行代碼進(jìn)行保護(hù)，以實(shí)現(xiàn)系統(tǒng)內(nèi)部的安全保護(hù)機(jī)制，以保證應(yīng)用服務(wù)器的完整功能。同時(shí)，還可以通過(guò)執(zhí)行“白名單”安全機(jī)制的方式列舉一個(gè)能夠執(zhí)行的代碼清單，這個(gè)代碼清單是根據(jù)系統(tǒng)進(jìn)行預(yù)先預(yù)設(shè)的，并且使根據(jù)桌面虛擬化系統(tǒng)的任務(wù)要求制作的。可以為每一個(gè)虛擬機(jī)保存一份可執(zhí)行的代碼文件，使這種安全保護(hù)機(jī)制可以對(duì)一些惡意的代碼進(jìn)行預(yù)防，從而起到一定的防御功能。（2）安全控制：安全虛擬桌面網(wǎng)關(guān)實(shí)際上就是一種安全邊界服務(wù)，是連接應(yīng)用系統(tǒng)與外部環(huán)境的邊界服務(wù)，需要根據(jù)一些特定的網(wǎng)絡(luò)協(xié)議對(duì)應(yīng)用系統(tǒng)中存在的信息進(jìn)行研究，以制定出相應(yīng)的安全控制規(guī)范[9]。在桌面虛擬化的環(huán)境中，可以將所有的數(shù)據(jù)都存儲(chǔ)到云端，管理員可以實(shí)現(xiàn)信息隔離，對(duì)用戶的身份進(jìn)行驗(yàn)證，讓應(yīng)用系統(tǒng)與系統(tǒng)的外部環(huán)境能夠?qū)崿F(xiàn)互相控制，以保證系統(tǒng)的安全，同時(shí)還可以降低成本，具有較強(qiáng)的可靠性。（3）集中安全管理：利用鏡像克隆機(jī)制對(duì)安全虛擬桌面網(wǎng)關(guān)進(jìn)行管理，能夠?qū)崿F(xiàn)集中管理的功能，同時(shí)還可以實(shí)現(xiàn)補(bǔ)丁升級(jí)，彌補(bǔ)傳統(tǒng)網(wǎng)絡(luò)系統(tǒng)中存在的系統(tǒng)不兼容問(wèn)題，降低工作量需求，以提高系統(tǒng)的運(yùn)行效率。（4）認(rèn)證機(jī)制：安全虛擬桌面網(wǎng)關(guān)對(duì)多種認(rèn)證技術(shù)都支持，讓移動(dòng)終端設(shè)備能夠安全接入，用戶可以在任何時(shí)間對(duì)應(yīng)用系統(tǒng)進(jìn)行訪問(wèn)，并且不會(huì)導(dǎo)致數(shù)據(jù)信息的泄露。

2.5 應(yīng)用場(chǎng)景設(shè)計(jì)

某公司對(duì)一些未知的病毒無(wú)法進(jìn)行有效的預(yù)防，對(duì)內(nèi)部人員的信息使用安全無(wú)法進(jìn)行有效控制，讓公司的內(nèi)部數(shù)據(jù)安全無(wú)法得到有效的保證，網(wǎng)絡(luò)管理人員對(duì)服務(wù)器每日進(jìn)行維護(hù)，對(duì)用戶終端進(jìn)行安全管理，但是這些都無(wú)法得到有效的緩解，并且還對(duì)工作人員造成了巨大的工作量。

針對(duì)該單位的實(shí)際運(yùn)行情況，使用安全桌面虛擬化技術(shù)進(jìn)行解決，以虛擬化技術(shù)為核心思想，通過(guò)虛擬桌面安全管理保護(hù)機(jī)制對(duì)各種未知的病毒進(jìn)行防范，以保護(hù)企業(yè)內(nèi)部數(shù)據(jù)信息運(yùn)行的安全，具體的實(shí)現(xiàn)方式如圖5所示。

在機(jī)房中設(shè)置多臺(tái)應(yīng)用服務(wù)器和虛擬桌面服務(wù)器[10]，每一臺(tái)服務(wù)器上都支持多個(gè)虛擬桌面的運(yùn)行，通過(guò)防火墻技術(shù)對(duì)其進(jìn)行隔離，企業(yè)內(nèi)部人員需要通過(guò)安全云端連接到虛擬桌面中，以實(shí)現(xiàn)對(duì)數(shù)據(jù)信息的訪問(wèn)，安全桌面虛擬化信息系統(tǒng)可以將實(shí)際操作的用戶終端與具體的應(yīng)用終端進(jìn)行隔離，讓辦公軟件在虛擬桌面上運(yùn)行，操作終端只起到輸入的功能，為數(shù)據(jù)安全提供了基礎(chǔ)保障。為了實(shí)現(xiàn)集中管理的功能，需要對(duì)用戶的行為進(jìn)行控制，在虛擬桌面的服務(wù)器端設(shè)置虛擬網(wǎng)關(guān)，可以提高系統(tǒng)運(yùn)行的可靠性與安全性。

基于安全桌面虛擬化技術(shù)下的信息系統(tǒng)設(shè)計(jì)，主要采用了一種分層思路實(shí)現(xiàn)系統(tǒng)的完整設(shè)計(jì)。（1）終端層：使用安全虛擬化技術(shù)可以加強(qiáng)安全級(jí)別保護(hù)的功能，不會(huì)再終端保存任何重要的數(shù)據(jù)信息，起到一定的安全性。（2）邊界層：通過(guò)虛擬機(jī)安全技術(shù)可以實(shí)現(xiàn)一定的隔離機(jī)制，保證云端數(shù)據(jù)環(huán)境的運(yùn)行安全。（3）環(huán)境層：通過(guò)虛擬化安全技術(shù)對(duì)內(nèi)部信息進(jìn)行保護(hù)，避免內(nèi)部數(shù)據(jù)遭到攻擊。

3 結(jié)束語(yǔ)

各個(gè)領(lǐng)域?qū)π畔⒓夹g(shù)的需求不斷擴(kuò)大，是人們?nèi)粘＾k公的主要手段，信息安全的運(yùn)行是主要問(wèn)題，對(duì)于信息安全的保密任務(wù)需要不斷加強(qiáng)。桌面虛擬化技術(shù)與傳統(tǒng)的技術(shù)相比，更加易于管理，被很多單位應(yīng)用在日常的辦公系統(tǒng)中。本文設(shè)計(jì)的基于安全虛擬技術(shù)的信息系統(tǒng)，能夠?qū)ζ髽I(yè)的運(yùn)行工作起到一定的幫助，安全桌面虛擬信息系統(tǒng)布置在用戶的操作環(huán)境中，不會(huì)改變用戶的操作習(xí)慣，還能夠滿足用戶的各種需求，安全桌面虛擬化信息系統(tǒng)能夠提高信息的安全級(jí)別，對(duì)數(shù)據(jù)進(jìn)行集中管理，以減少系統(tǒng)運(yùn)行的維護(hù)成本，對(duì)系統(tǒng)的內(nèi)部結(jié)構(gòu)進(jìn)行簡(jiǎn)化，提高系統(tǒng)運(yùn)行的可靠性。該系統(tǒng)需要重點(diǎn)關(guān)注的就是提高安全保密技術(shù)的運(yùn)行能力，對(duì)云計(jì)算平臺(tái)的研究起到一定的支撐作用，還可以促進(jìn)云計(jì)算安全技術(shù)的管理水平，保護(hù)企業(yè)的核心利益。

參考文獻(xiàn)：

[1] 雷璟.安全桌面虛擬化信息系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)[J].電訊技術(shù)，2014，54（5）：637-643.

[2] 武越，劉向東.涉密環(huán)境桌面虛擬化多級(jí)安全系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)[J].信息網(wǎng)絡(luò)安全，2014（9）：101-104.

[3] 安全虛擬桌面系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[D].北京交通大學(xué)，2012.

[4] 朱勇.桌面虛擬化技術(shù)在數(shù)據(jù)安全管理中的應(yīng)用[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2016（3）：56-57.

[5] 韓曉山.運(yùn)用Citrix實(shí)現(xiàn)桌面虛擬化管理[J].中國(guó)科技信息，2012（22）：72-72.

[6] 邱子良.桌面虛擬化在供電系統(tǒng)營(yíng)業(yè)廳的應(yīng)用[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2016（5）：102-103.

[7] 陳杰.桌面虛擬化技術(shù)在媒體資產(chǎn)管理系統(tǒng)的應(yīng)用[J].廣播與電視技術(shù)，2012，39（2）：83-84.

[8] 劉繼平.桌面虛擬化技術(shù)的安全性分析及對(duì)策[J].信息系統(tǒng)工程，2017（4）：95-95.

[9] 唐琳，孫葉，唐姝彥.桌面虛擬化信息安全的分析探究[J].信息系統(tǒng)工程，2016（1）：141-141.

[10] 孫軍軍，楊雯雯，徐金蘭，等.桌面云在油氣勘探信息系統(tǒng)中的應(yīng)用研究[J].信息網(wǎng)絡(luò)安全， 2014（6）：84-87.

【通聯(lián)編輯：朱寶貴】