◆蘭荊濤 潘 衛(wèi)

桌面虛擬化在內部網(wǎng)絡安全訪問上的應用研究

◆蘭荊濤 潘 衛(wèi)

（核工業(yè)西南物理研究院計算機網(wǎng)絡中心 四川 610225）

為了使處于互聯(lián)網(wǎng)環(huán)境下的辦公網(wǎng)絡用戶方便訪問內部網(wǎng)絡中的核心業(yè)務系統(tǒng)，且又能夠保障內部網(wǎng)絡的安全，本文通過分析桌面虛擬化方案的優(yōu)勢，研究系列安全技術手段，提出既方便又安全的訪問方式。在滿足自身業(yè)務訪問需要的同時，也為其他有相似需求的單位設計方案提供借鑒。

桌面虛擬化；內部網(wǎng)絡；安全訪問

0 引言

為了保障某些核心業(yè)務系統(tǒng)的穩(wěn)定運行和數(shù)據(jù)安全，不少單位建設有用于專門處理內部敏感信息的內部網(wǎng)絡，其在人員管理、身份認證、訪問控制、安全審計、設備與介質管理、計算機病毒與惡意代碼防護、備份與恢復、網(wǎng)絡安全管理等方面都有嚴格的要求。通常內部網(wǎng)絡與互聯(lián)網(wǎng)物理隔離，初期只供部分部門使用，隨著其中業(yè)務系統(tǒng)的增多、使用人員范圍的擴大，勢必需要對其進行擴容。但是，如果采用傳統(tǒng)的終端計算機部署模式，新加入的人員在保留原有辦公網(wǎng)絡計算機的情況下，還需要新配置一臺內部網(wǎng)絡專用的終端計算機，不僅使得一人操作多臺計算機，辦公桌面繁雜，影響工作效率[1]，而且存儲有敏感數(shù)據(jù)的終端數(shù)量不斷增多，會造成文件泄漏的風險增大、數(shù)據(jù)安全性變差，這對后期內部網(wǎng)絡的運維和管理帶來很大難度。

因此，在做好安全防護的前提下，利用桌面虛擬化這一技術手段，配合使用VPN將內部網(wǎng)絡與基于互聯(lián)網(wǎng)的辦公網(wǎng)絡互連，并進一步開通移動終端接入功能，存在很強的使用需求。本文將探討桌面虛擬化方案的優(yōu)勢和安全保障方面的手段。

1 桌面虛擬化的優(yōu)勢

在桌面虛擬化中，可以通過桌面虛擬架構，將桌面運行在服務器上，集中進行安全管控。采用一對一方式向用戶提供虛擬桌面終端，將一臺虛擬桌面終端固定的分配給某一個特定用戶，該用戶即為此虛擬桌面終端的唯一使用者。一方面，保護了用戶終端中數(shù)據(jù)信息的安全，提高終端安全防護能力；另一方面，可以對用戶操作行為等進行日志記錄，便于事后分析和審計。相比于傳統(tǒng)的終端計算機部署方式，采用桌面虛擬化部署方式有下面5個優(yōu)勢：

( 1 ) 內部網(wǎng)絡數(shù)據(jù)信息不落地

終端用戶在虛擬桌面上處理的信息都存儲在內部網(wǎng)絡數(shù)據(jù)中心中，客戶的辦公計算機不存儲任何與內部網(wǎng)絡有關的業(yè)務數(shù)據(jù)信息[2]。敏感數(shù)據(jù)的生成、傳輸、存儲、輸出和銷毀全過程管控都在內部網(wǎng)絡的范圍內，可以有效防止因個人原因造成的數(shù)據(jù)泄露。

( 2 ) 桌面配置靈活

管理員在配置虛擬化桌面的時候，可以根據(jù)部門組成及其業(yè)務類別，給用戶部署不同的軟硬件環(huán)境，配置有區(qū)別的數(shù)據(jù)訪問權限。

( 3 ) 滿足移動終端接入需求

由于用戶是通過VPN方式從辦公網(wǎng)絡訪問虛擬桌面的，因而移動終端和辦公網(wǎng)絡中的固定終端相對內部網(wǎng)絡而言都是一樣的，制定的都是相同的接入安全策略，這使得移動終端的接入成為可能。

( 4 ) 可擴展性優(yōu)異

接入內部網(wǎng)絡的用戶數(shù)量增長是一個逐步的過程，初期只需要配置滿足一定數(shù)量虛擬桌面運行的服務器及存儲資源即可。后期隨著用戶數(shù)量的增加，只需對后端的服務器存儲資源進行擴展，無須再對前端進行改動。

( 5 ) 降低運維工作量

由于虛擬桌面上的系統(tǒng)和軟件都是統(tǒng)一部署的，后期的升級、改動、調整和補丁安裝等操作都可以在后臺統(tǒng)一進行，在數(shù)據(jù)中心就可以完成所有的管理維護工作[3]，避免傳統(tǒng)方式中大量維護工作在用戶端進行，大大降低管理員的運維工作量。即使發(fā)生故障，也可以通過鏡像或者備份進行快速恢復。

2 桌面虛擬化的安全保障

使用桌面虛擬化方式部署，使得終端用戶身處辦公網(wǎng)絡就能訪問內部網(wǎng)絡業(yè)務資源，最大限度保留了原有辦公習慣。但是，方便了終端用戶的同時，保障內部網(wǎng)絡安全的工作不能松懈，增加必要的安全管理手段及對應的網(wǎng)絡安全設備是不可或缺的，充分發(fā)揮內部網(wǎng)絡中已有安全設備的作用也是有益的。在辦公網(wǎng)絡和內部網(wǎng)絡之間增加的網(wǎng)絡結構如圖1所示。

圖1 新增網(wǎng)絡結構圖

新增加的網(wǎng)絡結構中，服務器虛擬化使用的物理服務器作為計算資源池，用于承載虛擬用戶終端；桌面虛擬化使用的服務器用于承載桌面虛擬化服務業(yè)務；集中存儲搭建的資源池主要用于存儲桌面虛擬化所生成的虛擬用戶終端的相關數(shù)據(jù)文件。這三個部分作為桌面虛擬化技術的基礎設施，其作用原理這里不再贅述，下面主要從4個方面探討安全保障措施。

( 1 ) 用戶接入控制

在與辦公網(wǎng)絡的邊界處部署VPN網(wǎng)關設備，采用L2TP VPN技術，采取賬號密碼<可配合圖形驗證碼>+數(shù)字證書認證方式（USB KEY）或賬號密碼<可配合圖形驗證碼>+輔助認證<硬件碼認證或短信認證>+數(shù)字證書（USB KEY）的強身份認證方式，充分保證接入用戶的合法有效性。用戶登錄VPN使用的USB Key可重復利用內部網(wǎng)絡已有終端安全登錄系統(tǒng)的USB Key寫入相應數(shù)字證書，避免雙USB Key帶來使用不便。

( 2 ) 攻擊防御和防病毒

在VPN網(wǎng)關后端部署入侵防御系統(tǒng)IPS實現(xiàn)對接入用戶的攻擊防御和病毒過濾，支持對緩沖溢出攻擊、蠕蟲、木馬、病毒、SQL注入、網(wǎng)頁篡改、惡意代碼、網(wǎng)絡釣魚、間諜軟件、DoS/DDoS、流量異常等攻擊的防御。對于虛擬用戶終端，則將其納入內部網(wǎng)絡中的網(wǎng)絡殺毒系統(tǒng)統(tǒng)一管理，病毒庫升級由服務器端自動下發(fā)策略執(zhí)行。

( 3 ) 區(qū)域安全隔離

采用一臺高性能防火墻實現(xiàn)對各個區(qū)域用戶訪問權限的控制，針對不同部門的用戶制定不同的訪問權限策略，禁止其對后臺系統(tǒng)的訪問。

( 4 ) 安全審計

依靠內部網(wǎng)絡中部署的主機監(jiān)控和審計系統(tǒng)，在虛擬用戶終端上安裝相應客戶端，實現(xiàn)打印審計、光盤刻錄審計、移動存儲介質管理、主機補丁更新管理等功能，對用戶在業(yè)務系統(tǒng)的操作均做后臺審計，保證其行為都能被審計。

3 結束語

由于從事主要業(yè)務的專業(yè)特性，某些科研單位與國內外相關機構會有大量的技術合作項目，日常研究工作對互聯(lián)網(wǎng)有很強的依賴性。帶有敏感信息但不涉及國家秘密的內部網(wǎng)絡在做好安全保障的前提下，對其的訪問控制措施不應過分成為科研人員相對便捷使用其中業(yè)務的一道障礙。充分利用桌面虛擬化的技術優(yōu)勢，輔以相應的安全保障措施，使得人們對內部網(wǎng)絡的訪問在便捷性和安全性之間達到一個平衡點，為內部網(wǎng)絡中業(yè)務的豐富和發(fā)展提供有力支撐。

[1]李昕.不動產登記數(shù)據(jù)整合中桌面虛擬化應用安全技術研究[J].信息技術與信息化，2018(7)：195-197.

[2]張莉.桌面虛擬化在企業(yè)數(shù)據(jù)保密管理中的應用[J].電子技術與軟件工程，2014(11)：215.

[3]馬錫坤.桌面虛擬化技術及其解決方案探討[J].中國醫(yī)療設備，2013，28(07)：86-87.

國家磁約束核聚變能發(fā)展研究專項：HL-2M先進偏濾器的物理設計（2015GB105001）。