桌面虛擬化在信息安全管理中的應(yīng)用

邵凌

（海軍91550部隊(duì)遼寧 大連 116023）

桌面虛擬化在信息安全管理中的應(yīng)用

邵凌

（海軍91550部隊(duì)遼寧 大連 116023）

近年來，虛擬化技術(shù)成為計(jì)算機(jī)系統(tǒng)結(jié)構(gòu)的發(fā)展趨勢，并為信息安全管理提供了一種解決思路。介紹了桌面虛擬化技術(shù)的特點(diǎn)優(yōu)勢，分析了當(dāng)前用于桌面管理的2種虛擬化技術(shù)架構(gòu)VDI和IDV，結(jié)合具體實(shí)際，提出了利用IDV構(gòu)建電子信息集中管控系統(tǒng)加強(qiáng)電子信息安全管理。

桌面虛擬化集中管控信息安全

1 引言

隨著信息化程度的不斷提高和自動化辦公的不斷普及，涉密文件由傳統(tǒng)的紙質(zhì)文件越來越多的向電子化文檔轉(zhuǎn)換，而這些涉密文件零散的存儲在各計(jì)算機(jī)中，存在很大的安全隱患。桌面虛擬化技術(shù)是當(dāng)前成熟和應(yīng)用普遍的技術(shù)，將分散的終端資源（含操作系統(tǒng)、應(yīng)用策略、應(yīng)用軟件和用戶數(shù)據(jù)）集中到數(shù)據(jù)中心，進(jìn)行有效組織、安全存儲和按需分配。利用桌面虛擬化技術(shù)不僅能實(shí)現(xiàn)電子信息的集中存儲和管理,同時(shí)能有效提升安全管理強(qiáng)度,降低安全管理難度,能在電子信息安全管理中發(fā)揮重要作用[1]。

2 虛擬化技術(shù)

虛擬與真實(shí)相對，虛擬化則是把計(jì)算機(jī)系統(tǒng)或組件運(yùn)行在虛擬環(huán)境中而非原來的真實(shí)環(huán)境中。例如PC機(jī)，其體系結(jié)構(gòu)可分為硬件資源（CPU、內(nèi)存、主板、顯示器、硬盤和外設(shè)等）、軟件操作系統(tǒng)（W indow s、Linux和M ac等）、應(yīng)用系統(tǒng)（O ffice、W eb瀏覽器、AutoCAD和反病毒軟件等）、用戶配置文件、用戶等5個(gè)層次。這5個(gè)層次結(jié)構(gòu)中任意上下相連的2“層”之間在編程邏輯上都是緊密相關(guān)的，即“緊耦合”，而“松耦合”意味著對于某個(gè)“層”來說，在其下層結(jié)構(gòu)不變的情況下，該層可以隨意改動。“緊耦合”狀態(tài)下硬件資源與軟件操作系統(tǒng)之間、軟件操作系統(tǒng)與應(yīng)用系統(tǒng)之間、應(yīng)用系統(tǒng)與其用戶之間是緊密聯(lián)系的。終端設(shè)備的多樣性、移動性、安全性和個(gè)

性化等需求在這樣的結(jié)構(gòu)中無法得到滿足，當(dāng)設(shè)備更新時(shí)，需要對系統(tǒng)及其上的諸多應(yīng)用系統(tǒng)進(jìn)行徹底重新安裝以及重新配置，同時(shí)還存在原有應(yīng)用不兼容新裝系統(tǒng)等問題。

虛擬化技術(shù)則是在現(xiàn)有層次結(jié)構(gòu)和上下邏輯關(guān)系不變的前提下，在任意上下相連的2“層”之間插入一個(gè)“虛擬層”，層與層之間由“緊耦合”變?yōu)椤八神詈稀薄Ｌ摂M化技術(shù)實(shí)質(zhì)是一種調(diào)配計(jì)算資源的方法，使得硬件、軟件、數(shù)據(jù)、網(wǎng)絡(luò)和存儲等不同層面被一一隔離開來。虛擬化技術(shù)利用軟件把不同層面的應(yīng)用分開，使得層與層之間的改動更容易被實(shí)施，其帶來的直接效果就是簡化了管理，同時(shí)能更有效地利用IT資源，并能隨時(shí)隨地提供合適的計(jì)算資源。

“虛擬化”這個(gè)概念根據(jù)所處具體層次的不同具有不同的內(nèi)涵，可以分為服務(wù)器虛擬化、桌面虛擬化、存儲虛擬化和網(wǎng)絡(luò)虛擬化等。其中服務(wù)器虛擬化和桌面虛擬化都屬于系統(tǒng)虛擬化，存儲虛擬化和網(wǎng)絡(luò)虛擬化則屬于基礎(chǔ)設(shè)施虛擬化。桌面虛擬化是將計(jì)算機(jī)的桌面進(jìn)行虛擬化，以達(dá)到桌面使用的安全性和靈活性，終端用戶可以通過任何設(shè)備、在任何地點(diǎn)和任何時(shí)間訪問在網(wǎng)絡(luò)上的屬于自己的桌面系統(tǒng)。桌面虛擬化和服務(wù)器虛擬化是當(dāng)前應(yīng)用最廣泛的虛擬化技術(shù)，能有效提升安全性[2]。

3 桌面虛擬化安全性提升

桌面虛擬化在傳統(tǒng)計(jì)算機(jī)硬件和操作系統(tǒng)之間增加支持虛擬化技術(shù)的軟件層，通過該軟件層將硬件設(shè)備物理資源抽象定義為邏輯資源，從而把用戶使用的操作系統(tǒng)與底層硬件分離出來，降低操作系統(tǒng)與硬件平臺的耦合性。通過桌面虛擬架構(gòu)，存儲和應(yīng)用集中在服務(wù)器上，安全性相當(dāng)于傳統(tǒng)模式有很大提升，具體體現(xiàn)在如下幾點(diǎn)[3]：

①虛擬桌面和虛擬工作空間是參照可靠的操作系統(tǒng)、應(yīng)用程序和用戶的標(biāo)準(zhǔn)配置文件進(jìn)行創(chuàng)建的，由于虛擬桌面采用可信的標(biāo)準(zhǔn)，可以保證用戶登錄虛擬桌面使用的軟件都是最新的，是合法的。審計(jì)人員在數(shù)據(jù)中心就可以核查終端用戶的狀態(tài)，對終端用戶的行為進(jìn)行評判。對終端用戶的行為進(jìn)行工作狀態(tài)的檢測，可以保證終端虛擬桌面的用戶在進(jìn)行非法活動或者惡意活動之前對其進(jìn)行控制，從而保證了整個(gè)虛擬桌面網(wǎng)絡(luò)的安全性；

②重要的數(shù)據(jù)保存在集中服務(wù)器上，易于防止由于個(gè)人造成泄密事件的發(fā)生，集中數(shù)據(jù)管理減少由于過去數(shù)據(jù)分布而帶來的控制難度大的問題，對于意外的安全事故，安全管理員也可以在第一時(shí)間內(nèi)發(fā)現(xiàn)；

③虛擬桌面可以更好地控制單位內(nèi)部署的終端電腦和相應(yīng)配置的軟件，可以統(tǒng)一地完成軟件安裝、補(bǔ)丁、升級和維護(hù)等操作，對木馬和病毒的防護(hù)比傳統(tǒng)方式強(qiáng)，同時(shí)當(dāng)發(fā)生病毒感染，影響的是虛擬機(jī)，可以更快的清除和恢復(fù)。

4 桌面虛擬化架構(gòu)

桌面虛擬化技術(shù)最早從遠(yuǎn)程桌面技術(shù)發(fā)展而來，到第一代桌面虛擬化技術(shù)，才真正意義上將遠(yuǎn)程桌面的遠(yuǎn)程訪問能力與虛擬操作系統(tǒng)結(jié)合了起來，使得桌面虛擬化的成規(guī)模應(yīng)用成為可能，第二代桌面虛擬化技術(shù)則進(jìn)一步將桌面系統(tǒng)的運(yùn)行環(huán)境與安裝環(huán)境拆分、應(yīng)用與桌面的拆分和配置文件的拆分，從而大大降低了管理復(fù)雜度與成本，提高了管理效率。

目前桌面虛擬化的實(shí)現(xiàn)技術(shù)主要有2大類[4]，虛擬桌面基礎(chǔ)架構(gòu)（Virtual Desktop Infrastructure，VDI）和智能桌面虛擬化架構(gòu)（IntelligentDesktop Virtualization，IDV）。

4.1 VDI架構(gòu)及特點(diǎn)

VDI是現(xiàn)在較為成熟的桌面虛擬化解決方案，VDI的特點(diǎn)是集中管理、集中計(jì)算，用戶的桌面被虛擬化后運(yùn)行在后臺的服務(wù)器上，用戶通過瘦客戶機(jī)（ThinClient）利用進(jìn)程桌面協(xié)議（ICA|RDP）訪問該虛擬機(jī)，其原理圖如圖1所示。

圖1 VDI桌面虛擬化架構(gòu)

VDI的主要優(yōu)勢在于能夠真正實(shí)現(xiàn)多設(shè)備訪問桌面，例如可以通過移動設(shè)備（PAD）訪問到用戶的桌面，但是，VDI也有其較為明顯的缺點(diǎn)：①VDI的建設(shè)成本較高，是傳統(tǒng)桌面建設(shè)成本的2～3倍左右；②網(wǎng)絡(luò)依賴程度高，當(dāng)網(wǎng)絡(luò)質(zhì)量較差甚至斷網(wǎng)時(shí)，VDI便不能再提供桌面訪問；③用戶體驗(yàn)較差，由于網(wǎng)絡(luò)、服務(wù)器資源和軟件等問題都會導(dǎo)致較差的使用效果，VDI的用戶體驗(yàn)通常不是非常好，特別在通用辦公場景甚至高負(fù)載桌面應(yīng)用中，效果更差。

為此，英特爾公司提出了一種革新性的框架Intelligent Desktop Virtualization(IDV)智能桌面虛擬化，它能更加智能的

管理虛擬桌面。

4.2 IDV架構(gòu)及特點(diǎn)

IDV技術(shù)架構(gòu)與VDI有所不同，主要是“集中管理、分布計(jì)算”的方式，客戶虛擬桌面運(yùn)行在用戶本地的桌面設(shè)備（胖客戶機(jī)）中，其原理圖如圖2所示。

圖2 IDV桌面虛擬化架構(gòu)

IDV方式主要有以下優(yōu)勢：①服務(wù)器、網(wǎng)絡(luò)的投入成本很低，300個(gè)用戶的IDV環(huán)境只需要1至2臺服務(wù)器即可滿足需求；②對網(wǎng)絡(luò)的要求較低，可以允許在脫離網(wǎng)絡(luò)環(huán)境的情況下使用；③采用本地計(jì)算，用戶體檢很好；④IO兼容性更好。

5 基于IDV的電子信息集中管控系統(tǒng)

根據(jù)本單位實(shí)際，采用一種集中管控和分布運(yùn)行的IDV桌面虛擬化解決方案來構(gòu)建電子信息集中管控系統(tǒng)[5]，將涉密的信息集中存儲與服務(wù)器，用戶終端不留密，實(shí)現(xiàn)文檔的全生命周期管理。系統(tǒng)充分利用現(xiàn)有設(shè)備，實(shí)現(xiàn)基于虛擬化的桌面集中管控，實(shí)現(xiàn)桌面數(shù)據(jù)的安全防護(hù)，從而為各業(yè)務(wù)平臺的穩(wěn)定運(yùn)行提供良好的桌面環(huán)境。

圖3 基于IDV的電子信息集中管控系統(tǒng)

電子信息集中管控系統(tǒng)的系統(tǒng)架構(gòu)如圖3所示，管理服務(wù)器為系統(tǒng)的核心，提供桌面虛擬化服務(wù)，通過網(wǎng)絡(luò)系統(tǒng)將桌面系統(tǒng)映像傳輸給終端用戶，并根據(jù)策略對其進(jìn)行管理，終端用戶使用本地硬件平臺進(jìn)行計(jì)算，并可以離線使用，在網(wǎng)絡(luò)連接的時(shí)候，這些桌面可以與服務(wù)器進(jìn)行數(shù)據(jù)同步和安全升級等工作[6]。在此模式下，用戶所使用的桌面處于統(tǒng)一的策略監(jiān)管之下。

基于IDV的電子信息集中管控系統(tǒng)的主要功能及優(yōu)勢有：

①電子信息集中管控系統(tǒng)集中管理用戶桌面環(huán)境，根據(jù)用戶需求配置不同的操作系統(tǒng)鏡像，通過網(wǎng)絡(luò)統(tǒng)一部署，用戶可在網(wǎng)絡(luò)內(nèi)任意終端登錄屬于自己的虛擬桌面，實(shí)現(xiàn)局域網(wǎng)內(nèi)的移動辦公，減少用戶計(jì)算機(jī)軟件沖突、系統(tǒng)崩潰和感染病毒等情況的發(fā)生，最大程度地利用現(xiàn)有瓷源，盡量適應(yīng)用戶使用習(xí)慣；

②通過集中策略管理，可以限制被管理的OS鏡像對外設(shè)和網(wǎng)絡(luò)的訪問、加密本地存儲的數(shù)據(jù)和在終端丟失后進(jìn)行遠(yuǎn)程擦除，從而保證終端設(shè)備的安全性。本地虛擬機(jī)可以通過和后臺的數(shù)據(jù)中心進(jìn)行同步，可以統(tǒng)一下發(fā)標(biāo)準(zhǔn)OS鏡像，也可以定時(shí)備份終端上的數(shù)據(jù)；

③每個(gè)用戶有單獨(dú)的虛擬機(jī)及存儲空間，隔離性強(qiáng)，由于存儲服務(wù)器的冗余安全特性，有效地避免了由于硬件故障導(dǎo)致用戶數(shù)據(jù)意外丟失。當(dāng)用戶的桌面環(huán)境崩潰后，可通過網(wǎng)絡(luò)迅速恢復(fù)；

④通過虛擬化的統(tǒng)一的數(shù)據(jù)備份和數(shù)據(jù)安全等限制，能有效控制用戶和外部的數(shù)據(jù)通道，防止關(guān)鍵數(shù)據(jù)的泄漏、損毀和遺失，可以在虛擬化層禁用除鍵盤、鼠標(biāo)外的其他任何USB設(shè)備，避免了從U盤拷貝數(shù)據(jù)泄密和導(dǎo)入病毒的風(fēng)險(xiǎn)，同時(shí)由于采用與傳統(tǒng)W indow s客戶端軟件完全不同的設(shè)計(jì)架構(gòu)進(jìn)行管理，用戶無法進(jìn)行禁用或卸載系統(tǒng)來脫離管控，從而實(shí)現(xiàn)管理的有效性。

6 結(jié)束語

電子信息資源的集中管控是安全保密的基本要求，也是信息化發(fā)展的一個(gè)趨勢，借助當(dāng)前流行成熟的桌面虛擬化技術(shù)，打造電子信息集中管控系統(tǒng)，不僅實(shí)現(xiàn)了電子信息的集中管控，同時(shí)也加強(qiáng)了對用戶、應(yīng)用、終端的控制管理力度，能有效提升信息安全管理水平，具備廣泛的應(yīng)用前景。

[1]陳臻棟．從安全性方面看桌面虛擬化技術(shù)[J]．計(jì)算機(jī)安全, 2011(5)：83-85．

[2]項(xiàng)國富,金海,等．基于虛擬化的安全監(jiān)控[J]．軟件學(xué)報(bào), 2012,23(8)：2173-2187．

[3]張秋江,王澎．云計(jì)算安全問題探討[J]．信息安全與通信保密,2011(5)：94-95．

[4]徐燕雯．基于KVM的桌面虛擬化架構(gòu)設(shè)計(jì)與實(shí)現(xiàn)[D]．上海：交通大學(xué),2012．

[5]馬錫坤,于京杰．桌面虛擬化技術(shù)及其解決方案探討[J]．中國醫(yī)療設(shè)備,2013(7)：15-16．

[6]劉昌,馮炎．桌面虛擬化及其在知識型企業(yè)的應(yīng)用方案[J]．中國信息界,2011(8)：31-32．

App lication of Desktop Virtualization in Inform ation Security M anagem ent

SHAO Ling
(Unit91550 ofNavy,PLA,Dalian Liaoning 116023,China)

In recent years,the virtualization technology becomes the development trend of computer system architecture and provides a solution for information securitymanagement.Thispaper introduces the characteristicsofdesktop virtualization technology,analyzes the VDI and IDV virtualization technology architectures used in desktop management,and proposes building the electronic information centralized controlsystem by using IDV to strengthen the electronic information securitymanagement combiningw ith the practice.

desktop virtualization;centralizedmanagementand control;information security

TP309

A

1008-1739（2014）13-55-4

定稿日期：2014-06-12