桌面虛擬化安全性分析與建設方案

駱書劍 胡春潮 顏 儀 王凌宇

（廣東電網公司電力科學研究院，廣東省智能電網新技術企業重點實驗室，廣州 510080）

近幾年以來，隨著信息化在電力行業的推進，信息化成果對電力業務的發展產生了巨大的推動作用，越來越多的業務系統投入應用，同時用戶終端接入網絡的需求也越來越大。目前，廣東電網公司桌面終端以全功能PC為主，為實現終端安全管控，需要對終端統一進行安全配置，接入網絡前需要終端運維人員提前安裝操作系統、安全軟件、桌面管理軟件、辦公軟件和各種應用客戶端軟件。終端接入網絡后，終端維護的工作量相對較大，系統及數據的安全性難以得到保證。

為了解決辦公終端維護工作量大、安全性難以保障的問題，迫切需要尋求一種新的解決方案，這種方案首先應該滿足電網對于數據安全性的要求，具有極高的安全性，其次需要能夠滿足廣東電網公司用戶辦公應用需求，最后需要能夠顯著降低終端維護工作的強度，提供維護工作效率[1]。隨著虛擬化技術的發展與逐步成熟，桌面虛擬化技術提出了一種新的解決思路，本文對桌面虛擬化技術進行了介紹，以思杰桌面虛擬化解決方案為例進行安全性分析并探討了一個完整的桌面虛擬化建設實施方案。該方案根據用戶規模提出了硬件平臺選擇原則，保障了整體系統性能。同時，根據安全需求提出了一系列安全管控措施，進一步增強了桌面虛擬化應用的安全性。

1 桌面虛擬化介紹

桌面虛擬化是指將計算機的桌面進行虛擬化，以達到桌面使用的安全性和靈活性，可以通過多種設備，在不同地點便捷地訪問用戶個人桌面系統。它構建了一個與硬件無關的用戶桌面計算環境，通過對虛擬桌面進行集中的運行維護、管理控制，實現具有高安全性、高可用性和低管理維護成本的桌面終端系統[2-3]。

完整的桌面虛擬化技術發展包括三個階段：首先要實現客戶端操作系統的虛擬化，即實現操作系統和硬件的隔離，同時允許虛擬操作系統同移動存儲設備進行轉移；二是要實現虛擬桌面的網絡化、集中化應用。集中化管理的虛擬桌面操作系統存儲在網絡上，用戶可以在任何時間和任何地點通過網絡及任何物理機器訪問具有體色的用戶個人桌面；三是要實現桌面虛擬化的簡化與可用化，實現更為簡化、安全和高效的管理，使得用戶的虛擬計算環境規范有序。

經過大量的研究，桌面虛擬化的實施具有如下優勢[4]。

1）數據集中保護帶來的安全性

對于企業來講，安全性始終是數據管理的首要要求。在常規的使用 PC終端的工作場景下，為了保障數據安全，需要采取措施保障PC的物理安全。與之對應，在桌面虛擬化的應用環境下，用戶終端僅發揮登錄和操作顯示的功能，所有的數據（包括敏感數據）均在服務器端進行操作和保存，降低了對終端數據保護的安全壓力，杜絕了終端設備安全可能帶來的數據失竊風險。

2）桌面集中管理帶來的可控性

用戶所使用的虛擬桌面和虛擬工作空間是根據服務器中設置的操作系統、應用程序和用戶配置文件的拷貝動態創建的。所有用戶使用的虛擬桌面中的軟件均由網絡管理中心統一創建的，能夠保證終端用戶所使用的軟件都是安全可控的。同時網絡管理人員擁有終端配置的權利和責任，減少用戶自行配置的機率，減少IT環境中的不確定性因素。

3）桌面虛擬化帶來的終端運維便捷性

桌面虛擬化依賴于服務器虛擬化，在數據中心的服務器上生成大量的獨立的虛擬化，并通過專有的虛擬桌面協議發送給終端設備，顯著降低了終端設備部署的工作量，增加了部署的便捷性。同時在日常運維工作中，網絡管理人員可直接在數據中心的服務器上對虛擬桌面進行維護，僅在終端出現硬件故障時才需對用戶終端進行現場維護，有效提高了終端運維的效率。

2 桌面虛擬化安全性分析

2.1 桌面虛擬化安全體系

目前，主流的桌面虛擬化解決方案有思杰公司的Xendesktop產品、VMware公司的Horizon View產品以及微軟公司的MED-v產品。其中思杰在應用虛擬化市場處于領先，其Xendesktop桌面虛擬化產品在桌面遠程訪問的效率和外設的廣泛支持上具有一定的優勢。本文以Xendesktop產品對桌面虛擬化進行的研究與討論。

Citrix采用獨立計算體系結構ICA（Independent Computing Architecture），由一套服務器軟件、網絡協議組件和客戶端軟件組成。在服務器端，ICA協議將應用邏輯從用戶界面中分離出來,保證應用軟件在服務器端100%運行和計算。在用戶端，通過標準的協議將用戶界面以及鍵盤、鼠標動作和屏幕的更新信息傳遞到Citrix服務器上。 其具體運行流程如圖1所示。

圖1 用戶使用虛擬桌面的流程

1）用戶登錄Web瀏覽器通過位于Web服務器的Web Interface進行身份驗證。

2）Web服務器讀取用戶的憑據，然后將信息轉發給服務器場中的服務器上的Citrix XML Service。指定服務器將充當Web服務器和場中其他服務器之間的代理。

3）指定服務器上的Citrix XML Service從服務器檢索用戶可以訪問的資源列表。這些資源組成了用戶的資源集。

4）然后，Citrix XML Service將用戶的資源集信息返回至該服務器上運行的Web Interface。

5）用戶單擊HTML頁上代表資源的圖標。

6）聯系Citrix XML Service，在場中找到最空閑的服務器。Citrix XML Service確定最空閑的服務器，并將該服務器的地址返回至Web Interface。

7）Web Interface與Citrix客戶端進行通信。

8）Citrix客戶端根據Web Interface所提供的連接信息啟動與 Citrix服務器的會話，獲取虛擬桌面資源。

2.2 桌面虛擬化安全性分析

桌面虛擬化原理是將數據集中管理，用戶在通過身份驗證后可以對其進行操作訪問，但是不在本地終端存儲數據[5]。一套完整的安全計劃必須在資源交付過程的各個環節為數據提供保護，思杰桌面虛擬化在身份驗證、資源分配與資源交付三個環節均采用安全技術有效保障了整個系統的安全性。

1）身份驗證階段

如2.1節所述，Web Interface是用戶身份驗證階段重要的中間組件，為確保 Web 服務器與瀏覽器Web Interface組件之間的通信安全，可以采取多種安全措施。目前最先采用的是實施安全Web服務器和瀏覽器，依靠 SSL/TLS（Secure Socket Layer/Transport Layer Security，安全套接字層/傳輸層安全協議）技術確保Web通信的安全。

當用戶通過瀏覽器進行虛擬桌面登錄時，瀏覽器首先會根據受信任的證書頒發機構的列表，檢查該服務器的證書來對其進行身份驗證。通過身份驗證后，瀏覽器將對用戶頁面請求進行加密，并相應對Web服務器返回的文檔進行解密。SSL/TLS身份驗證與加密會創建一個安全連接，用戶可以通過此連接傳遞登錄屏幕上發布的憑據，在身份驗證的通信過程中，從Web服務器發送的數據（包括憑據、會話 Cookie和HTML資源集頁面）都是安全的，同時TLS或SSL消息完整性檢查可以確保數據在傳輸時不會被非法篡改。

2）資源分配階段

在用戶身份驗證完畢后，Web Interface服務器將向 Citrix服務器請求分配可用資源，可通過實施以下安全措施來保障在Web Interface服務器和服務器場之間發送的XML通信的安全：①Web Interface服務器和服務器場之間安裝安全中介組件 SSL Relay。SSL Relay可為TCP/IP連接提供服務器身份驗證、數據加密和消息完整性；②在不支持 SSL Relay的部署中，在XenDesktop的服務器上直接安裝Web Interface組件；③使用HTTPS協議等加密方式發送Web Interface數據。

3）資源交付階段

在完成資源分配后，客戶端將直接與 Citrix服務器進行ICA通信，默認情況下，所有ICA通信的加密級別均設置為Basic ICA等級。Basic ICA等級下，對客戶端與服務器之間的通信進行基礎級別的模糊處理，未進行行業標準加密與數據完整性檢查。在具體應用中，為保障客戶端與服務器通信的安全性，將會通過Secure ICA或添加SSL/TLS加密兩種方式來進行安全加密。

Secure ICA增加ICA協議加密級別來防止以明文形式發送會話數據，支持128位加密，但不執行身份驗證。相比之下，SSL/TLS除支持128位加密外，還支持對服務器的身份進行驗證，確保會話數據具有保密性、完整性并通過身份驗證，保護用戶免受內部的和外部的威脅。

2.3 桌面虛擬化建設的信息安全需求分析

隨著國家對信息安全的關注，各信息系統的建設中對于信息安全的要求也愈加重視，對桌面虛擬化建設的安全性提出了較高的要求。桌面虛擬化建設需要關注的信息安全要點主要有以下幾點。

1）身份認證

用戶進行身份鑒別認證是防止非法入侵最基本的一種保護措施。應用系統應提供專用的登錄控制模塊對用戶身份的合法性進行核實，保證只有通過身份驗證的合法用戶才能在系統內進行操作。

同時身份認證應該提供用戶標識唯一檢查功能，保證應用系統中不存在重復用戶身份標識，為實現對每一個用戶的行為進行審計做基礎。

2）安全審計

如何有效監控用戶訪問行為和敏感信息傳播，準確掌握信息系統的安全狀態，及時發現違反安全策略的事件并實時告警、記錄，同時進行安全事件定位分析，事后追查取證，滿足合規性審計要求，這些都是企業迫切需要解決的問題[6]。信息安全審計是企業內控、信息系統治理、安全風險控制等的不可或缺的關鍵手段。安全審計功能應覆蓋到每個用戶，對系統的所有用戶的重要操作（如用戶登錄和重要業務操作等）進行審計，并對系統異常等事件進行審計。

3）惡意代碼防范

無論是信息系統還是網絡設備，都面臨這木馬、蠕蟲等病毒軟件的破壞。桌面虛擬化應用于企業環境，必須做好惡意代碼防范措施，預防企業信息的泄漏。

3 桌面虛擬化建設方案實施

從桌面虛擬化建設的應用需求與安全性需求出發，在Xendesktop解決方案的現有安全基礎上進一步提升安全性，本文提出了一套桌面虛擬化建設方案，對用戶登錄虛擬桌面進行重點管控。

3.1 硬件平臺配置

硬件服務器上需要運行多個虛擬機，系統負擔較重，需要從CPU、內存及存儲三個方面考慮硬件平臺的配置，本文以50個虛擬桌面的規模為例進行建設方案的探討。

1）CPU與內存選擇

在桌面虛擬化的平臺中，不僅是管理服務器需要占用硬件平臺的CPU資源，所有虛擬桌面上的操作及程序運行都由硬件平臺的CPU來執行，因此在CPU及內存容量的選擇上必須經過嚴格計算，同時留有冗余空間。此外為進一步提升整個系統的運行效率，應選取具備輔助虛擬化功能的CPU。綜合以上考慮，目前常用的選擇為Intel公司Xeon處理器，內存容量根據虛擬桌面個數進行對應計算。按照目前正常辦公需求，每個虛擬桌面分配 4G內存、雙核CPU即可滿足正常辦公應用。考慮到性能冗余需求，因此50個虛擬桌面的規模，服務器具體配置選定為256GB DDR3-1333內存，4路10核Intel Xeon處理器。

2）磁盤子系統

虛擬機的硬盤對于硬件服務器是以文件方式而存在，虛擬機的讀寫最終會轉換為服務器的 I/O動作，如果服務器的磁盤子系統吞吐能力無法滿足要求，將會成為整個虛擬化平臺的瓶頸。因此必須選擇并發讀寫性能較好的硬盤，并且組成磁盤陣列提升磁盤子系統的讀寫速度與數據存儲的安全可靠性。正常辦公環境下，每個虛擬桌面至少需要分配50GB磁盤空間，同時考慮到硬件服務器系統本身的存儲需求，50個虛擬桌面規模的存儲選擇6TB空間，采用10塊600GB 15000轉SAS硬盤，組成Raid。

3.2 桌面虛擬化平臺基礎構架

根據思杰桌面虛擬化解決方案的原理，其平臺基礎架構示意圖如圖2所示。

硬件服務器為實體物理機，在物理服務器采用服務器虛擬化平臺來管理各種虛擬服務器。虛擬服務器主要分為三組，桌面交付架構包括兩個 DDC（Desktop Delivery Controller，虛擬桌面控制器）虛擬機，實現對用戶的身份驗證傳遞、桌面資源分配等功能，即將用戶驗證信息轉發至域控制器進行身份驗證，同時根據驗證信息分配資源池中的虛擬桌面至相應用戶；基礎架構包括了域控制器、數據庫服務器等基礎應用虛擬機，域控制器完成對域環境下用戶身份驗證與管理，數據庫服務器主要用于系統運行過程中產生的數據的存儲；資源池包括可供用戶使用的 100個虛擬機，該虛擬機上運行Windows 7操作系統，根據用戶辦公需求安裝OA、Office等應用程序，可根據用戶使用保存不同用戶的配置文件。

圖2 平臺基礎架構示意圖

前端終端機可根據企業應用情況采購專用瘦客戶端或者將舊臺式機進行改裝使用。終端機僅作為桌面虛擬化的登錄入口，一般可利用客戶端或者瀏覽器的方式連接到虛擬桌面資源池，所有的操作與計算均在硬件服務器上進行，終端機上將不會保存關鍵數據。

3.3 安全管控措施建設

桌面虛擬化應用場景下，用戶需要通過終端登錄獲取虛擬桌面，在對終端及用戶的管理上將涉及到兩個桌面，即登錄終端的本地桌面和虛擬桌面，必須對兩個桌面進行嚴格區分，全面管控。本文從身份驗證、域控管理、病毒防護、安全審計等幾個方面提出適用于桌面虛擬化環境下的安全管控措施。

1）身份驗證

每個登錄虛擬桌面的終端都采用智能卡身份驗證方式。智能卡的身份驗證及驗證用戶持有的硬件憑證，有能夠驗證用戶所掌握的密碼（智能卡 PIN碼）。用戶將智能卡插入智能卡讀卡器中，智能卡中的證書會注冊到登錄終端上的本地證書中，接著接受AD域服務器對該用戶的身份驗證，完成終端登錄。該智能卡不僅需要完成登錄終端的身份驗證，同樣需要完成虛擬桌面的身份驗證，桌面虛擬化的服務器同樣能夠根據該證書完成用戶身份驗證，并按照需求分配虛擬桌面給該認證用戶。

2）病毒防護

不同的虛擬桌面發布方式下，可以采用不同的病毒防護措施，本文提出隨機池的桌面虛擬化環境下近期和中長期病毒防護措施。在實施桌面虛擬化的初期階段，從兩方面進行病毒防護，首先終端開啟磁盤寫保護，在登錄終端上不存儲任何數據，終端重啟后將恢復默認設置；其次，考慮到病毒防護軟件的授權成本，在虛擬桌面上可直接使用企業授權版病毒防護軟件，一般企業均已事先采購企業版病毒防護軟件，重復利用能夠避免增加桌面虛擬化項目實施的費用成本。這種措施采用了傳統的病毒防護方法，將虛擬桌面看作普通終端桌面進行安全防護，在桌面虛擬化建設的初期階段可以作為臨時解決方案。在中長期階段，將第一種方案逐步過渡到桌面虛擬化專用防病毒解決方案，虛擬桌面的本質是運行在硬件服務器上的一個虛擬機，結合虛擬桌面的本質，通過部署針對桌面虛擬化的病毒防護軟件，將防病毒代理服務器以虛擬機形式安裝在硬件服務器上，通過掃描服務器的內存保證無病毒入侵。

3）安全審計

對虛擬桌面的審計最簡單的方法是利用操作系統自帶的日志記錄功能，或者使用具有安全審計功能的第三方工具或系統。由于到本文采用隨機桌面的模式，用戶退出虛擬桌面后，虛擬桌面將重置，因此利用虛擬桌面的操作系統自帶日志進行安全審計的方案可行性較差。本文推薦使用桌面管理系統對虛擬桌面進行集中管理，由系統管理員統一在虛擬桌面模版中安裝桌面管理系統，當發布的虛擬桌面分配給每個用戶后，桌面管理系統在虛擬桌面后臺對該登錄用戶的所有行為進行審計，根據審計要求，包括實現網絡訪問審計、移動存儲使用審計、文檔打印審計、網絡共享文件輸出審計、用戶權限審計、共享文件審計、文件保護審計等。

4 結論

本文主要分析了桌面虛擬化建設中所面對的信息安全問題，并提出了一套關注終端安全管控措施的桌面虛擬化建設方案。該方案具有一定的工程實用性，可以很好的解決桌面虛擬化應用中終端安全的部分隱患，目前已經在廣東電網公司實際環境中得用應用驗證。

[1] 閆龍川, 劉志永. 桌面虛擬化技術研究與應用[J].電力信息化, 2010, 8(7): 55-58.

[2] 孫宇, 陳煜欣. 桌面虛擬化及其安全技術研究[J].信息安全與通信保密, 2012(6): 87-92.

[3] 陳萱華,李學亞. 桌面虛擬化技術在公安院校網絡安全接入中的應用[J]. 計算機與現代化, 2013(5).

[4] 何禹. 虛擬化技術在校園網數據中心的應用[J]. 電子科技大學學報, 2007, 36(6): 1461-1464.

[5] 黃華. 桌面虛擬化技術的現狀及未來發展研究[J].福建電腦, 2009, 25(9): 38-39.

[6] 謝峰. 數字化校園—桌面虛擬化系統的設計與實現[D]. 華南理工大學, 2012.