桌面虛擬化在內(nèi)部網(wǎng)絡(luò)安全訪問(wèn)上的應(yīng)用研究

◆蘭荊濤 潘 衛(wèi)

桌面虛擬化在內(nèi)部網(wǎng)絡(luò)安全訪問(wèn)上的應(yīng)用研究

◆蘭荊濤 潘 衛(wèi)

（核工業(yè)西南物理研究院計(jì)算機(jī)網(wǎng)絡(luò)中心 四川 610225）

為了使處于互聯(lián)網(wǎng)環(huán)境下的辦公網(wǎng)絡(luò)用戶(hù)方便訪問(wèn)內(nèi)部網(wǎng)絡(luò)中的核心業(yè)務(wù)系統(tǒng)，且又能夠保障內(nèi)部網(wǎng)絡(luò)的安全，本文通過(guò)分析桌面虛擬化方案的優(yōu)勢(shì)，研究系列安全技術(shù)手段，提出既方便又安全的訪問(wèn)方式。在滿(mǎn)足自身業(yè)務(wù)訪問(wèn)需要的同時(shí)，也為其他有相似需求的單位設(shè)計(jì)方案提供借鑒。

桌面虛擬化；內(nèi)部網(wǎng)絡(luò)；安全訪問(wèn)

0 引言

為了保障某些核心業(yè)務(wù)系統(tǒng)的穩(wěn)定運(yùn)行和數(shù)據(jù)安全，不少單位建設(shè)有用于專(zhuān)門(mén)處理內(nèi)部敏感信息的內(nèi)部網(wǎng)絡(luò)，其在人員管理、身份認(rèn)證、訪問(wèn)控制、安全審計(jì)、設(shè)備與介質(zhì)管理、計(jì)算機(jī)病毒與惡意代碼防護(hù)、備份與恢復(fù)、網(wǎng)絡(luò)安全管理等方面都有嚴(yán)格的要求。通常內(nèi)部網(wǎng)絡(luò)與互聯(lián)網(wǎng)物理隔離，初期只供部分部門(mén)使用，隨著其中業(yè)務(wù)系統(tǒng)的增多、使用人員范圍的擴(kuò)大，勢(shì)必需要對(duì)其進(jìn)行擴(kuò)容。但是，如果采用傳統(tǒng)的終端計(jì)算機(jī)部署模式，新加入的人員在保留原有辦公網(wǎng)絡(luò)計(jì)算機(jī)的情況下，還需要新配置一臺(tái)內(nèi)部網(wǎng)絡(luò)專(zhuān)用的終端計(jì)算機(jī)，不僅使得一人操作多臺(tái)計(jì)算機(jī)，辦公桌面繁雜，影響工作效率[1]，而且存儲(chǔ)有敏感數(shù)據(jù)的終端數(shù)量不斷增多，會(huì)造成文件泄漏的風(fēng)險(xiǎn)增大、數(shù)據(jù)安全性變差，這對(duì)后期內(nèi)部網(wǎng)絡(luò)的運(yùn)維和管理帶來(lái)很大難度。

因此，在做好安全防護(hù)的前提下，利用桌面虛擬化這一技術(shù)手段，配合使用VPN將內(nèi)部網(wǎng)絡(luò)與基于互聯(lián)網(wǎng)的辦公網(wǎng)絡(luò)互連，并進(jìn)一步開(kāi)通移動(dòng)終端接入功能，存在很強(qiáng)的使用需求。本文將探討桌面虛擬化方案的優(yōu)勢(shì)和安全保障方面的手段。

1 桌面虛擬化的優(yōu)勢(shì)

在桌面虛擬化中，可以通過(guò)桌面虛擬架構(gòu)，將桌面運(yùn)行在服務(wù)器上，集中進(jìn)行安全管控。采用一對(duì)一方式向用戶(hù)提供虛擬桌面終端，將一臺(tái)虛擬桌面終端固定的分配給某一個(gè)特定用戶(hù)，該用戶(hù)即為此虛擬桌面終端的唯一使用者。一方面，保護(hù)了用戶(hù)終端中數(shù)據(jù)信息的安全，提高終端安全防護(hù)能力；另一方面，可以對(duì)用戶(hù)操作行為等進(jìn)行日志記錄，便于事后分析和審計(jì)。相比于傳統(tǒng)的終端計(jì)算機(jī)部署方式，采用桌面虛擬化部署方式有下面5個(gè)優(yōu)勢(shì)：

( 1 ) 內(nèi)部網(wǎng)絡(luò)數(shù)據(jù)信息不落地

終端用戶(hù)在虛擬桌面上處理的信息都存儲(chǔ)在內(nèi)部網(wǎng)絡(luò)數(shù)據(jù)中心中，客戶(hù)的辦公計(jì)算機(jī)不存儲(chǔ)任何與內(nèi)部網(wǎng)絡(luò)有關(guān)的業(yè)務(wù)數(shù)據(jù)信息[2]。敏感數(shù)據(jù)的生成、傳輸、存儲(chǔ)、輸出和銷(xiāo)毀全過(guò)程管控都在內(nèi)部網(wǎng)絡(luò)的范圍內(nèi)，可以有效防止因個(gè)人原因造成的數(shù)據(jù)泄露。

( 2 ) 桌面配置靈活

管理員在配置虛擬化桌面的時(shí)候，可以根據(jù)部門(mén)組成及其業(yè)務(wù)類(lèi)別，給用戶(hù)部署不同的軟硬件環(huán)境，配置有區(qū)別的數(shù)據(jù)訪問(wèn)權(quán)限。

( 3 ) 滿(mǎn)足移動(dòng)終端接入需求

由于用戶(hù)是通過(guò)VPN方式從辦公網(wǎng)絡(luò)訪問(wèn)虛擬桌面的，因而移動(dòng)終端和辦公網(wǎng)絡(luò)中的固定終端相對(duì)內(nèi)部網(wǎng)絡(luò)而言都是一樣的，制定的都是相同的接入安全策略，這使得移動(dòng)終端的接入成為可能。

( 4 ) 可擴(kuò)展性?xún)?yōu)異

接入內(nèi)部網(wǎng)絡(luò)的用戶(hù)數(shù)量增長(zhǎng)是一個(gè)逐步的過(guò)程，初期只需要配置滿(mǎn)足一定數(shù)量虛擬桌面運(yùn)行的服務(wù)器及存儲(chǔ)資源即可。后期隨著用戶(hù)數(shù)量的增加，只需對(duì)后端的服務(wù)器存儲(chǔ)資源進(jìn)行擴(kuò)展，無(wú)須再對(duì)前端進(jìn)行改動(dòng)。

( 5 ) 降低運(yùn)維工作量

由于虛擬桌面上的系統(tǒng)和軟件都是統(tǒng)一部署的，后期的升級(jí)、改動(dòng)、調(diào)整和補(bǔ)丁安裝等操作都可以在后臺(tái)統(tǒng)一進(jìn)行，在數(shù)據(jù)中心就可以完成所有的管理維護(hù)工作[3]，避免傳統(tǒng)方式中大量維護(hù)工作在用戶(hù)端進(jìn)行，大大降低管理員的運(yùn)維工作量。即使發(fā)生故障，也可以通過(guò)鏡像或者備份進(jìn)行快速恢復(fù)。

2 桌面虛擬化的安全保障

使用桌面虛擬化方式部署，使得終端用戶(hù)身處辦公網(wǎng)絡(luò)就能訪問(wèn)內(nèi)部網(wǎng)絡(luò)業(yè)務(wù)資源，最大限度保留了原有辦公習(xí)慣。但是，方便了終端用戶(hù)的同時(shí)，保障內(nèi)部網(wǎng)絡(luò)安全的工作不能松懈，增加必要的安全管理手段及對(duì)應(yīng)的網(wǎng)絡(luò)安全設(shè)備是不可或缺的，充分發(fā)揮內(nèi)部網(wǎng)絡(luò)中已有安全設(shè)備的作用也是有益的。在辦公網(wǎng)絡(luò)和內(nèi)部網(wǎng)絡(luò)之間增加的網(wǎng)絡(luò)結(jié)構(gòu)如圖1所示。

圖1 新增網(wǎng)絡(luò)結(jié)構(gòu)圖

新增加的網(wǎng)絡(luò)結(jié)構(gòu)中，服務(wù)器虛擬化使用的物理服務(wù)器作為計(jì)算資源池，用于承載虛擬用戶(hù)終端；桌面虛擬化使用的服務(wù)器用于承載桌面虛擬化服務(wù)業(yè)務(wù)；集中存儲(chǔ)搭建的資源池主要用于存儲(chǔ)桌面虛擬化所生成的虛擬用戶(hù)終端的相關(guān)數(shù)據(jù)文件。這三個(gè)部分作為桌面虛擬化技術(shù)的基礎(chǔ)設(shè)施，其作用原理這里不再贅述，下面主要從4個(gè)方面探討安全保障措施。

( 1 ) 用戶(hù)接入控制

在與辦公網(wǎng)絡(luò)的邊界處部署VPN網(wǎng)關(guān)設(shè)備，采用L2TP VPN技術(shù)，采取賬號(hào)密碼<可配合圖形驗(yàn)證碼>+數(shù)字證書(shū)認(rèn)證方式（USB KEY）或賬號(hào)密碼<可配合圖形驗(yàn)證碼>+輔助認(rèn)證<硬件碼認(rèn)證或短信認(rèn)證>+數(shù)字證書(shū)（USB KEY）的強(qiáng)身份認(rèn)證方式，充分保證接入用戶(hù)的合法有效性。用戶(hù)登錄VPN使用的USB Key可重復(fù)利用內(nèi)部網(wǎng)絡(luò)已有終端安全登錄系統(tǒng)的USB Key寫(xiě)入相應(yīng)數(shù)字證書(shū)，避免雙USB Key帶來(lái)使用不便。

( 2 ) 攻擊防御和防病毒

在VPN網(wǎng)關(guān)后端部署入侵防御系統(tǒng)IPS實(shí)現(xiàn)對(duì)接入用戶(hù)的攻擊防御和病毒過(guò)濾，支持對(duì)緩沖溢出攻擊、蠕蟲(chóng)、木馬、病毒、SQL注入、網(wǎng)頁(yè)篡改、惡意代碼、網(wǎng)絡(luò)釣魚(yú)、間諜軟件、DoS/DDoS、流量異常等攻擊的防御。對(duì)于虛擬用戶(hù)終端，則將其納入內(nèi)部網(wǎng)絡(luò)中的網(wǎng)絡(luò)殺毒系統(tǒng)統(tǒng)一管理，病毒庫(kù)升級(jí)由服務(wù)器端自動(dòng)下發(fā)策略執(zhí)行。

( 3 ) 區(qū)域安全隔離

采用一臺(tái)高性能防火墻實(shí)現(xiàn)對(duì)各個(gè)區(qū)域用戶(hù)訪問(wèn)權(quán)限的控制，針對(duì)不同部門(mén)的用戶(hù)制定不同的訪問(wèn)權(quán)限策略，禁止其對(duì)后臺(tái)系統(tǒng)的訪問(wèn)。

( 4 ) 安全審計(jì)

依靠?jī)?nèi)部網(wǎng)絡(luò)中部署的主機(jī)監(jiān)控和審計(jì)系統(tǒng)，在虛擬用戶(hù)終端上安裝相應(yīng)客戶(hù)端，實(shí)現(xiàn)打印審計(jì)、光盤(pán)刻錄審計(jì)、移動(dòng)存儲(chǔ)介質(zhì)管理、主機(jī)補(bǔ)丁更新管理等功能，對(duì)用戶(hù)在業(yè)務(wù)系統(tǒng)的操作均做后臺(tái)審計(jì)，保證其行為都能被審計(jì)。

3 結(jié)束語(yǔ)

由于從事主要業(yè)務(wù)的專(zhuān)業(yè)特性，某些科研單位與國(guó)內(nèi)外相關(guān)機(jī)構(gòu)會(huì)有大量的技術(shù)合作項(xiàng)目，日常研究工作對(duì)互聯(lián)網(wǎng)有很強(qiáng)的依賴(lài)性。帶有敏感信息但不涉及國(guó)家秘密的內(nèi)部網(wǎng)絡(luò)在做好安全保障的前提下，對(duì)其的訪問(wèn)控制措施不應(yīng)過(guò)分成為科研人員相對(duì)便捷使用其中業(yè)務(wù)的一道障礙。充分利用桌面虛擬化的技術(shù)優(yōu)勢(shì)，輔以相應(yīng)的安全保障措施，使得人們對(duì)內(nèi)部網(wǎng)絡(luò)的訪問(wèn)在便捷性和安全性之間達(dá)到一個(gè)平衡點(diǎn)，為內(nèi)部網(wǎng)絡(luò)中業(yè)務(wù)的豐富和發(fā)展提供有力支撐。

[1]李昕.不動(dòng)產(chǎn)登記數(shù)據(jù)整合中桌面虛擬化應(yīng)用安全技術(shù)研究[J].信息技術(shù)與信息化，2018(7)：195-197.

[2]張莉.桌面虛擬化在企業(yè)數(shù)據(jù)保密管理中的應(yīng)用[J].電子技術(shù)與軟件工程，2014(11)：215.

[3]馬錫坤.桌面虛擬化技術(shù)及其解決方案探討[J].中國(guó)醫(yī)療設(shè)備，2013，28(07)：86-87.

國(guó)家磁約束核聚變能發(fā)展研究專(zhuān)項(xiàng)：HL-2M先進(jìn)偏濾器的物理設(shè)計(jì)（2015GB105001）。