駱書劍 胡春潮 顏 儀 王凌宇

（廣東電網(wǎng)公司電力科學研究院，廣東省智能電網(wǎng)新技術(shù)企業(yè)重點實驗室，廣州 510080）

近幾年以來，隨著信息化在電力行業(yè)的推進，信息化成果對電力業(yè)務(wù)的發(fā)展產(chǎn)生了巨大的推動作用，越來越多的業(yè)務(wù)系統(tǒng)投入應(yīng)用，同時用戶終端接入網(wǎng)絡(luò)的需求也越來越大。目前，廣東電網(wǎng)公司桌面終端以全功能PC為主，為實現(xiàn)終端安全管控，需要對終端統(tǒng)一進行安全配置，接入網(wǎng)絡(luò)前需要終端運維人員提前安裝操作系統(tǒng)、安全軟件、桌面管理軟件、辦公軟件和各種應(yīng)用客戶端軟件。終端接入網(wǎng)絡(luò)后，終端維護的工作量相對較大，系統(tǒng)及數(shù)據(jù)的安全性難以得到保證。

為了解決辦公終端維護工作量大、安全性難以保障的問題，迫切需要尋求一種新的解決方案，這種方案首先應(yīng)該滿足電網(wǎng)對于數(shù)據(jù)安全性的要求，具有極高的安全性，其次需要能夠滿足廣東電網(wǎng)公司用戶辦公應(yīng)用需求，最后需要能夠顯著降低終端維護工作的強度，提供維護工作效率[1]。隨著虛擬化技術(shù)的發(fā)展與逐步成熟，桌面虛擬化技術(shù)提出了一種新的解決思路，本文對桌面虛擬化技術(shù)進行了介紹，以思杰桌面虛擬化解決方案為例進行安全性分析并探討了一個完整的桌面虛擬化建設(shè)實施方案。該方案根據(jù)用戶規(guī)模提出了硬件平臺選擇原則，保障了整體系統(tǒng)性能。同時，根據(jù)安全需求提出了一系列安全管控措施，進一步增強了桌面虛擬化應(yīng)用的安全性。

1 桌面虛擬化介紹

桌面虛擬化是指將計算機的桌面進行虛擬化，以達到桌面使用的安全性和靈活性，可以通過多種設(shè)備，在不同地點便捷地訪問用戶個人桌面系統(tǒng)。它構(gòu)建了一個與硬件無關(guān)的用戶桌面計算環(huán)境，通過對虛擬桌面進行集中的運行維護、管理控制，實現(xiàn)具有高安全性、高可用性和低管理維護成本的桌面終端系統(tǒng)[2-3]。

完整的桌面虛擬化技術(shù)發(fā)展包括三個階段：首先要實現(xiàn)客戶端操作系統(tǒng)的虛擬化，即實現(xiàn)操作系統(tǒng)和硬件的隔離，同時允許虛擬操作系統(tǒng)同移動存儲設(shè)備進行轉(zhuǎn)移；二是要實現(xiàn)虛擬桌面的網(wǎng)絡(luò)化、集中化應(yīng)用。集中化管理的虛擬桌面操作系統(tǒng)存儲在網(wǎng)絡(luò)上，用戶可以在任何時間和任何地點通過網(wǎng)絡(luò)及任何物理機器訪問具有體色的用戶個人桌面；三是要實現(xiàn)桌面虛擬化的簡化與可用化，實現(xiàn)更為簡化、安全和高效的管理，使得用戶的虛擬計算環(huán)境規(guī)范有序。

經(jīng)過大量的研究，桌面虛擬化的實施具有如下優(yōu)勢[4]。

1）數(shù)據(jù)集中保護帶來的安全性

對于企業(yè)來講，安全性始終是數(shù)據(jù)管理的首要要求。在常規(guī)的使用 PC終端的工作場景下，為了保障數(shù)據(jù)安全，需要采取措施保障PC的物理安全。與之對應(yīng)，在桌面虛擬化的應(yīng)用環(huán)境下，用戶終端僅發(fā)揮登錄和操作顯示的功能，所有的數(shù)據(jù)（包括敏感數(shù)據(jù)）均在服務(wù)器端進行操作和保存，降低了對終端數(shù)據(jù)保護的安全壓力，杜絕了終端設(shè)備安全可能帶來的數(shù)據(jù)失竊風險。

2）桌面集中管理帶來的可控性

用戶所使用的虛擬桌面和虛擬工作空間是根據(jù)服務(wù)器中設(shè)置的操作系統(tǒng)、應(yīng)用程序和用戶配置文件的拷貝動態(tài)創(chuàng)建的。所有用戶使用的虛擬桌面中的軟件均由網(wǎng)絡(luò)管理中心統(tǒng)一創(chuàng)建的，能夠保證終端用戶所使用的軟件都是安全可控的。同時網(wǎng)絡(luò)管理人員擁有終端配置的權(quán)利和責任，減少用戶自行配置的機率，減少IT環(huán)境中的不確定性因素。

3）桌面虛擬化帶來的終端運維便捷性

桌面虛擬化依賴于服務(wù)器虛擬化，在數(shù)據(jù)中心的服務(wù)器上生成大量的獨立的虛擬化，并通過專有的虛擬桌面協(xié)議發(fā)送給終端設(shè)備，顯著降低了終端設(shè)備部署的工作量，增加了部署的便捷性。同時在日常運維工作中，網(wǎng)絡(luò)管理人員可直接在數(shù)據(jù)中心的服務(wù)器上對虛擬桌面進行維護，僅在終端出現(xiàn)硬件故障時才需對用戶終端進行現(xiàn)場維護，有效提高了終端運維的效率。

2 桌面虛擬化安全性分析

2.1 桌面虛擬化安全體系

目前，主流的桌面虛擬化解決方案有思杰公司的Xendesktop產(chǎn)品、VMware公司的Horizon View產(chǎn)品以及微軟公司的MED-v產(chǎn)品。其中思杰在應(yīng)用虛擬化市場處于領(lǐng)先，其Xendesktop桌面虛擬化產(chǎn)品在桌面遠程訪問的效率和外設(shè)的廣泛支持上具有一定的優(yōu)勢。本文以Xendesktop產(chǎn)品對桌面虛擬化進行的研究與討論。

Citrix采用獨立計算體系結(jié)構(gòu)ICA（Independent Computing Architecture），由一套服務(wù)器軟件、網(wǎng)絡(luò)協(xié)議組件和客戶端軟件組成。在服務(wù)器端，ICA協(xié)議將應(yīng)用邏輯從用戶界面中分離出來,保證應(yīng)用軟件在服務(wù)器端100%運行和計算。在用戶端，通過標準的協(xié)議將用戶界面以及鍵盤、鼠標動作和屏幕的更新信息傳遞到Citrix服務(wù)器上。 其具體運行流程如圖1所示。

圖1 用戶使用虛擬桌面的流程

1）用戶登錄Web瀏覽器通過位于Web服務(wù)器的Web Interface進行身份驗證。

2）Web服務(wù)器讀取用戶的憑據(jù)，然后將信息轉(zhuǎn)發(fā)給服務(wù)器場中的服務(wù)器上的Citrix XML Service。指定服務(wù)器將充當Web服務(wù)器和場中其他服務(wù)器之間的代理。

3）指定服務(wù)器上的Citrix XML Service從服務(wù)器檢索用戶可以訪問的資源列表。這些資源組成了用戶的資源集。

4）然后，Citrix XML Service將用戶的資源集信息返回至該服務(wù)器上運行的Web Interface。

5）用戶單擊HTML頁上代表資源的圖標。

6）聯(lián)系Citrix XML Service，在場中找到最空閑的服務(wù)器。Citrix XML Service確定最空閑的服務(wù)器，并將該服務(wù)器的地址返回至Web Interface。

7）Web Interface與Citrix客戶端進行通信。

8）Citrix客戶端根據(jù)Web Interface所提供的連接信息啟動與 Citrix服務(wù)器的會話，獲取虛擬桌面資源。

2.2 桌面虛擬化安全性分析

桌面虛擬化原理是將數(shù)據(jù)集中管理，用戶在通過身份驗證后可以對其進行操作訪問，但是不在本地終端存儲數(shù)據(jù)[5]。一套完整的安全計劃必須在資源交付過程的各個環(huán)節(jié)為數(shù)據(jù)提供保護，思杰桌面虛擬化在身份驗證、資源分配與資源交付三個環(huán)節(jié)均采用安全技術(shù)有效保障了整個系統(tǒng)的安全性。

1）身份驗證階段

如2.1節(jié)所述，Web Interface是用戶身份驗證階段重要的中間組件，為確保 Web 服務(wù)器與瀏覽器Web Interface組件之間的通信安全，可以采取多種安全措施。目前最先采用的是實施安全Web服務(wù)器和瀏覽器，依靠 SSL/TLS（Secure Socket Layer/Transport Layer Security，安全套接字層/傳輸層安全協(xié)議）技術(shù)確保Web通信的安全。

當用戶通過瀏覽器進行虛擬桌面登錄時，瀏覽器首先會根據(jù)受信任的證書頒發(fā)機構(gòu)的列表，檢查該服務(wù)器的證書來對其進行身份驗證。通過身份驗證后，瀏覽器將對用戶頁面請求進行加密，并相應(yīng)對Web服務(wù)器返回的文檔進行解密。SSL/TLS身份驗證與加密會創(chuàng)建一個安全連接，用戶可以通過此連接傳遞登錄屏幕上發(fā)布的憑據(jù)，在身份驗證的通信過程中，從Web服務(wù)器發(fā)送的數(shù)據(jù)（包括憑據(jù)、會話 Cookie和HTML資源集頁面）都是安全的，同時TLS或SSL消息完整性檢查可以確保數(shù)據(jù)在傳輸時不會被非法篡改。

2）資源分配階段

在用戶身份驗證完畢后，Web Interface服務(wù)器將向 Citrix服務(wù)器請求分配可用資源，可通過實施以下安全措施來保障在Web Interface服務(wù)器和服務(wù)器場之間發(fā)送的XML通信的安全：①Web Interface服務(wù)器和服務(wù)器場之間安裝安全中介組件 SSL Relay。SSL Relay可為TCP/IP連接提供服務(wù)器身份驗證、數(shù)據(jù)加密和消息完整性；②在不支持 SSL Relay的部署中，在XenDesktop的服務(wù)器上直接安裝Web Interface組件；③使用HTTPS協(xié)議等加密方式發(fā)送Web Interface數(shù)據(jù)。

3）資源交付階段

在完成資源分配后，客戶端將直接與 Citrix服務(wù)器進行ICA通信，默認情況下，所有ICA通信的加密級別均設(shè)置為Basic ICA等級。Basic ICA等級下，對客戶端與服務(wù)器之間的通信進行基礎(chǔ)級別的模糊處理，未進行行業(yè)標準加密與數(shù)據(jù)完整性檢查。在具體應(yīng)用中，為保障客戶端與服務(wù)器通信的安全性，將會通過Secure ICA或添加SSL/TLS加密兩種方式來進行安全加密。

Secure ICA增加ICA協(xié)議加密級別來防止以明文形式發(fā)送會話數(shù)據(jù)，支持128位加密，但不執(zhí)行身份驗證。相比之下，SSL/TLS除支持128位加密外，還支持對服務(wù)器的身份進行驗證，確保會話數(shù)據(jù)具有保密性、完整性并通過身份驗證，保護用戶免受內(nèi)部的和外部的威脅。

2.3 桌面虛擬化建設(shè)的信息安全需求分析

隨著國家對信息安全的關(guān)注，各信息系統(tǒng)的建設(shè)中對于信息安全的要求也愈加重視，對桌面虛擬化建設(shè)的安全性提出了較高的要求。桌面虛擬化建設(shè)需要關(guān)注的信息安全要點主要有以下幾點。

1）身份認證

用戶進行身份鑒別認證是防止非法入侵最基本的一種保護措施。應(yīng)用系統(tǒng)應(yīng)提供專用的登錄控制模塊對用戶身份的合法性進行核實，保證只有通過身份驗證的合法用戶才能在系統(tǒng)內(nèi)進行操作。

同時身份認證應(yīng)該提供用戶標識唯一檢查功能，保證應(yīng)用系統(tǒng)中不存在重復(fù)用戶身份標識，為實現(xiàn)對每一個用戶的行為進行審計做基礎(chǔ)。

2）安全審計

如何有效監(jiān)控用戶訪問行為和敏感信息傳播，準確掌握信息系統(tǒng)的安全狀態(tài)，及時發(fā)現(xiàn)違反安全策略的事件并實時告警、記錄，同時進行安全事件定位分析，事后追查取證，滿足合規(guī)性審計要求，這些都是企業(yè)迫切需要解決的問題[6]。信息安全審計是企業(yè)內(nèi)控、信息系統(tǒng)治理、安全風險控制等的不可或缺的關(guān)鍵手段。安全審計功能應(yīng)覆蓋到每個用戶，對系統(tǒng)的所有用戶的重要操作（如用戶登錄和重要業(yè)務(wù)操作等）進行審計，并對系統(tǒng)異常等事件進行審計。

3）惡意代碼防范

無論是信息系統(tǒng)還是網(wǎng)絡(luò)設(shè)備，都面臨這木馬、蠕蟲等病毒軟件的破壞。桌面虛擬化應(yīng)用于企業(yè)環(huán)境，必須做好惡意代碼防范措施，預(yù)防企業(yè)信息的泄漏。

3 桌面虛擬化建設(shè)方案實施

從桌面虛擬化建設(shè)的應(yīng)用需求與安全性需求出發(fā)，在Xendesktop解決方案的現(xiàn)有安全基礎(chǔ)上進一步提升安全性，本文提出了一套桌面虛擬化建設(shè)方案，對用戶登錄虛擬桌面進行重點管控。

3.1 硬件平臺配置

硬件服務(wù)器上需要運行多個虛擬機，系統(tǒng)負擔較重，需要從CPU、內(nèi)存及存儲三個方面考慮硬件平臺的配置，本文以50個虛擬桌面的規(guī)模為例進行建設(shè)方案的探討。

1）CPU與內(nèi)存選擇

在桌面虛擬化的平臺中，不僅是管理服務(wù)器需要占用硬件平臺的CPU資源，所有虛擬桌面上的操作及程序運行都由硬件平臺的CPU來執(zhí)行，因此在CPU及內(nèi)存容量的選擇上必須經(jīng)過嚴格計算，同時留有冗余空間。此外為進一步提升整個系統(tǒng)的運行效率，應(yīng)選取具備輔助虛擬化功能的CPU。綜合以上考慮，目前常用的選擇為Intel公司Xeon處理器，內(nèi)存容量根據(jù)虛擬桌面?zhèn)€數(shù)進行對應(yīng)計算。按照目前正常辦公需求，每個虛擬桌面分配 4G內(nèi)存、雙核CPU即可滿足正常辦公應(yīng)用?？紤]到性能冗余需求，因此50個虛擬桌面的規(guī)模，服務(wù)器具體配置選定為256GB DDR3-1333內(nèi)存，4路10核Intel Xeon處理器。

2）磁盤子系統(tǒng)

虛擬機的硬盤對于硬件服務(wù)器是以文件方式而存在，虛擬機的讀寫最終會轉(zhuǎn)換為服務(wù)器的 I/O動作，如果服務(wù)器的磁盤子系統(tǒng)吞吐能力無法滿足要求，將會成為整個虛擬化平臺的瓶頸。因此必須選擇并發(fā)讀寫性能較好的硬盤，并且組成磁盤陣列提升磁盤子系統(tǒng)的讀寫速度與數(shù)據(jù)存儲的安全可靠性。正常辦公環(huán)境下，每個虛擬桌面至少需要分配50GB磁盤空間，同時考慮到硬件服務(wù)器系統(tǒng)本身的存儲需求，50個虛擬桌面規(guī)模的存儲選擇6TB空間，采用10塊600GB 15000轉(zhuǎn)SAS硬盤，組成Raid。

3.2 桌面虛擬化平臺基礎(chǔ)構(gòu)架

根據(jù)思杰桌面虛擬化解決方案的原理，其平臺基礎(chǔ)架構(gòu)示意圖如圖2所示。

硬件服務(wù)器為實體物理機，在物理服務(wù)器采用服務(wù)器虛擬化平臺來管理各種虛擬服務(wù)器。虛擬服務(wù)器主要分為三組，桌面交付架構(gòu)包括兩個 DDC（Desktop Delivery Controller，虛擬桌面控制器）虛擬機，實現(xiàn)對用戶的身份驗證傳遞、桌面資源分配等功能，即將用戶驗證信息轉(zhuǎn)發(fā)至域控制器進行身份驗證，同時根據(jù)驗證信息分配資源池中的虛擬桌面至相應(yīng)用戶；基礎(chǔ)架構(gòu)包括了域控制器、數(shù)據(jù)庫服務(wù)器等基礎(chǔ)應(yīng)用虛擬機，域控制器完成對域環(huán)境下用戶身份驗證與管理，數(shù)據(jù)庫服務(wù)器主要用于系統(tǒng)運行過程中產(chǎn)生的數(shù)據(jù)的存儲；資源池包括可供用戶使用的 100個虛擬機，該虛擬機上運行Windows 7操作系統(tǒng)，根據(jù)用戶辦公需求安裝OA、Office等應(yīng)用程序，可根據(jù)用戶使用保存不同用戶的配置文件。

圖2 平臺基礎(chǔ)架構(gòu)示意圖

前端終端機可根據(jù)企業(yè)應(yīng)用情況采購專用瘦客戶端或者將舊臺式機進行改裝使用。終端機僅作為桌面虛擬化的登錄入口，一般可利用客戶端或者瀏覽器的方式連接到虛擬桌面資源池，所有的操作與計算均在硬件服務(wù)器上進行，終端機上將不會保存關(guān)鍵數(shù)據(jù)。

3.3 安全管控措施建設(shè)

桌面虛擬化應(yīng)用場景下，用戶需要通過終端登錄獲取虛擬桌面，在對終端及用戶的管理上將涉及到兩個桌面，即登錄終端的本地桌面和虛擬桌面，必須對兩個桌面進行嚴格區(qū)分，全面管控。本文從身份驗證、域控管理、病毒防護、安全審計等幾個方面提出適用于桌面虛擬化環(huán)境下的安全管控措施。

1）身份驗證

每個登錄虛擬桌面的終端都采用智能卡身份驗證方式。智能卡的身份驗證及驗證用戶持有的硬件憑證，有能夠驗證用戶所掌握的密碼（智能卡 PIN碼）。用戶將智能卡插入智能卡讀卡器中，智能卡中的證書會注冊到登錄終端上的本地證書中，接著接受AD域服務(wù)器對該用戶的身份驗證，完成終端登錄。該智能卡不僅需要完成登錄終端的身份驗證，同樣需要完成虛擬桌面的身份驗證，桌面虛擬化的服務(wù)器同樣能夠根據(jù)該證書完成用戶身份驗證，并按照需求分配虛擬桌面給該認證用戶。

2）病毒防護

不同的虛擬桌面發(fā)布方式下，可以采用不同的病毒防護措施，本文提出隨機池的桌面虛擬化環(huán)境下近期和中長期病毒防護措施。在實施桌面虛擬化的初期階段，從兩方面進行病毒防護，首先終端開啟磁盤寫保護，在登錄終端上不存儲任何數(shù)據(jù)，終端重啟后將恢復(fù)默認設(shè)置；其次，考慮到病毒防護軟件的授權(quán)成本，在虛擬桌面上可直接使用企業(yè)授權(quán)版病毒防護軟件，一般企業(yè)均已事先采購企業(yè)版病毒防護軟件，重復(fù)利用能夠避免增加桌面虛擬化項目實施的費用成本。這種措施采用了傳統(tǒng)的病毒防護方法，將虛擬桌面看作普通終端桌面進行安全防護，在桌面虛擬化建設(shè)的初期階段可以作為臨時解決方案。在中長期階段，將第一種方案逐步過渡到桌面虛擬化專用防病毒解決方案，虛擬桌面的本質(zhì)是運行在硬件服務(wù)器上的一個虛擬機，結(jié)合虛擬桌面的本質(zhì)，通過部署針對桌面虛擬化的病毒防護軟件，將防病毒代理服務(wù)器以虛擬機形式安裝在硬件服務(wù)器上，通過掃描服務(wù)器的內(nèi)存保證無病毒入侵。

3）安全審計

對虛擬桌面的審計最簡單的方法是利用操作系統(tǒng)自帶的日志記錄功能，或者使用具有安全審計功能的第三方工具或系統(tǒng)。由于到本文采用隨機桌面的模式，用戶退出虛擬桌面后，虛擬桌面將重置，因此利用虛擬桌面的操作系統(tǒng)自帶日志進行安全審計的方案可行性較差。本文推薦使用桌面管理系統(tǒng)對虛擬桌面進行集中管理，由系統(tǒng)管理員統(tǒng)一在虛擬桌面模版中安裝桌面管理系統(tǒng)，當發(fā)布的虛擬桌面分配給每個用戶后，桌面管理系統(tǒng)在虛擬桌面后臺對該登錄用戶的所有行為進行審計，根據(jù)審計要求，包括實現(xiàn)網(wǎng)絡(luò)訪問審計、移動存儲使用審計、文檔打印審計、網(wǎng)絡(luò)共享文件輸出審計、用戶權(quán)限審計、共享文件審計、文件保護審計等。

4 結(jié)論

本文主要分析了桌面虛擬化建設(shè)中所面對的信息安全問題，并提出了一套關(guān)注終端安全管控措施的桌面虛擬化建設(shè)方案。該方案具有一定的工程實用性，可以很好的解決桌面虛擬化應(yīng)用中終端安全的部分隱患，目前已經(jīng)在廣東電網(wǎng)公司實際環(huán)境中得用應(yīng)用驗證。

[1] 閆龍川, 劉志永. 桌面虛擬化技術(shù)研究與應(yīng)用[J].電力信息化, 2010, 8(7): 55-58.

[2] 孫宇, 陳煜欣. 桌面虛擬化及其安全技術(shù)研究[J].信息安全與通信保密, 2012(6): 87-92.

[3] 陳萱華,李學亞. 桌面虛擬化技術(shù)在公安院校網(wǎng)絡(luò)安全接入中的應(yīng)用[J]. 計算機與現(xiàn)代化, 2013(5).

[4] 何禹. 虛擬化技術(shù)在校園網(wǎng)數(shù)據(jù)中心的應(yīng)用[J]. 電子科技大學學報, 2007, 36(6): 1461-1464.

[5] 黃華. 桌面虛擬化技術(shù)的現(xiàn)狀及未來發(fā)展研究[J].福建電腦, 2009, 25(9): 38-39.

[6] 謝峰. 數(shù)字化校園—桌面虛擬化系統(tǒng)的設(shè)計與實現(xiàn)[D]. 華南理工大學, 2012.