基于涉密信息系統的VDI桌面虛擬化適用性研究

呂小兵

LV Xiao-bing

（中航飛機西安飛機分公司，西安 710089）

0 引言

為貫徹落實國家信息化“十二五”規劃，西飛與金航數碼根據軍工行業內的現狀和需求，確定了“基于涉密信息系統的桌面虛擬化適用性”研究課題，通過對涉密信息系統的桌面虛擬化的研究，為軍工系統制定信息化發展戰略提供參考。

1 桌面虛擬化技術簡介

虛擬化技術包括服務器虛擬化、桌面虛擬化和應用虛擬化等幾個方面。桌面虛擬化技術[1]實際上是在虛擬化技術的基礎上，通過各種通訊的手段，將桌面推送到遠程接入端來實現的，單地說，桌面虛擬化技術就是由后臺虛擬化集群加上遠程接入終端組成，主要技術如圖1所示。

圖1 主要桌面虛擬化技術

桌面虛擬化在技術上分為VDI、VOI、IDV[2]三種模式，其中VDI是國外廠商比較成熟的商業方案，世界500強公司絕大部分均采用這種模式部署桌面虛擬化，優勢在于計算資源及數據全部在數據中心內部，加強了數據的保護。缺陷在于桌面在處理具有3D的圖形效果時，無法滿足用戶的需求，而采用專用的VDI圖站方式，帶來較好體驗的同時成本也極具上升，在維護上面也不比傳統PC省時省力。IDV是VOI模式的一種改良，其原理是將桌面分布式發布到本地終端，終端通過hpyervisor層做驅動與操作系統分離，完全調用本地計算資源，數據依然保留在數據中心內，該概念最早在2013中由國內知名廠商提出，其具有適用于國內信息安全領域環境的特點，最大的特色就是基本不改變現有安全體系架構，IDV是虛擬化技術的拓展，也是新的技術形態，商用案例較少，因此本研究課題不做過多贅述。

2 VDI桌面虛擬化技術國內外發展現狀

在桌面虛擬化領域，當前國外主要有VMware、思杰和微軟三大廠商。國內主要有京華科訊，升騰，方物等。但就目前而言，雖然國內外廠商在基礎架構、桌面分發、傳輸協議、鏡像管理、虛擬應用等桌面虛擬化技術領域已有成熟的商用解決方案，但在涉密環境中的集成信息安全的桌面虛擬化解決方案一直處于空白狀態，如何應用才能將新的技術與舊有防護要求互融才是難點，國外廠商雖然技術實力較強，但由于其自身戰略原因，針對國內的虛擬化定制需要較長的時間和較高的成本；而國內廠商雖然主要針對國人的使用習慣及特殊需求進行研發，但在產品的成熟度上仍有待提高，在高負載大規模部署上的可靠性仍有待考證。

3 涉密信息系統中VDI桌面虛擬化壁壘

在涉密信息系統中，如何將新有的桌面虛擬化技術與分保標準[3,4]找到相互的契合點成為桌面虛擬化在軍工行業內推進的重要里程碑，能否將現有的安全體系架構移植到桌面虛擬化部署環境成為其關鍵技術。在涉密信息系統的桌面虛擬化中，主要有以下六個方面將作為桌面虛擬化在軍工行業內落地的阻力。

3.1 物理隔離問題

現有的涉密信息系統，按照數據的敏感性進行密級標示，不同密級的數據存放在相對應密級標示的終端硬盤中，完全物理隔離，而桌面虛擬化數據集中存放在共享存儲，在傳統概念上，“共享”技術有違分保要求，在桌面虛擬化中如何做到硬件資源共享但數據文件隔離成為關鍵技術。

3.2 產品選擇問題

軍工認證委在對安全產品有明確的要求，安全軟件必須擁有涉密信息系統檢測證書。桌面虛擬化軟件雖然在宏觀上來并不涉及到安全方面，但實際在技術細節上，已經觸碰到了現有的安全體系，舊有的安全軟件在虛擬化環境中會出現適用性問題，需要桌面虛擬化與安全廠商協同開發調試才可保證可用性，但目前國內外還未能有一家虛擬化產品通過國家保密局的涉密信息系統檢測。

3.3 安全域邊界防護問題

在分保中要求，流轉涉密數據的設備要按涉密數據的最高密級定密，但VDI（計算資源集中在數據中心內）類型的虛擬桌面給終端推送的僅為圖像，終端設備及所在的網絡上并不處理敏感數據，接入層設備是否要按照顯示圖像的最高密級定密尚未有說明，因此，是否一定要按原有的安全邊界劃分有待探討。

3.4 密級標識問題

在安全邊界防護中談到，終端設備及中間流轉數據的交換機不處理涉密數據，如果全部按照老辦法標密，會給管理員帶來更大的工作量，虛擬化快捷、方便的特性將大大折扣，因此在密級標示方面也有爭議。

3.5 訪問控制問題

在訪問控制層面，由于實施VDI虛擬化后安全邊界問題可能會發生改變，部分在原先在訪問控制中被禁用的端口可能正是VDI桌面傳輸協議所依賴服務的端口，因此，在準入控制，身份識別方面的控制策略會發生變更。

3.6 人員運維管理問題

在傳統運維人員，網絡、桌面、存儲、服務器四塊業務通常分部門來完成，當出現故障容易判斷故障點，而VDI桌面實際上是將以上四部分的技術整合，如何將四塊技術部門聯動排查故障在VDI桌面中顯得格外重要。除此之外，業務入、退網申請、故障申報的流程也會隨著VDI桌面的實施發生變化。

4 涉密信息系統中桌面虛擬化應用模式

4.1 通信流程

流程說明：

1）終端層：將帶有證書的Key插入到虛擬桌面終端，如PC利舊、瘦客戶端[5]等。

2）控制層：虛擬桌面終端將進行準入控制證書的有效性進行驗證，以確保終端層面的準入控制的合規性。當終端設備通過有效性驗證，數據流將通過負載均衡設備自動輪詢到虛擬桌面接入的控制區域。

3）虛擬桌面層：在接入控制區域，我們將通過端口映射對KEY的證書進行驗證，從而確保用戶的信息。當用戶的信息得到確認后，虛擬桌面服務器組將通過用戶所確認的身份信息分配給客戶獨有的安裝好軟件的虛擬桌面，同時，在虛擬桌面掛載文件服務器用戶專屬的網絡映射磁盤。

4）后臺層：通過集群的存儲、交換機和服務器組成桌面虛擬化的后臺層，為虛擬桌面層面提供了強有力的底層保障。

圖2 數碼桌面虛擬化流程圖

4.2 桌面虛擬化的架構模式

桌面虛擬化技術[6]是未來IT管理的發展趨勢，其技術創新、管理創新和管理思路的改變將對現有所里的管理模式、技術架構以及相關的信息安全規定產生強烈的沖擊和變革。

4.2.1 用戶操作系統的集中管理模式

在現有管理模式下，計算機終端分散在所內各辦公地點。每臺終端的操作系統存在具體差異，管理員很難對每一個操作系統運行狀態做出很好的判斷。桌面虛擬化將用戶操作系統進行信息集中管理，使管理員可對信息系統中各個節點狀態作出較為準確的判斷，有利于管理的規范化。

4.2.2 信息存儲的集中模式

在現有管理模式下，信息分散存儲于單位內部各個終端，相當于信息系統內有多少個連網計算機就有多少個不安全隱患點。桌面虛擬化建設將信息系統內存儲全部集中，并通過在唯一的鏈路層加設嚴格的技術防護措施，可靠的保護了信息的安全。

4.2.3 三層架構的實現

在現有管理模式下，很多較早的應用系統還在使用兩層架構的應用模式（客戶端直接與后臺數據庫連接），且軟件系統無法改造。這實際上對信息系統安全防護造成了很嚴重的風險。

桌面虛擬化和應用虛擬化可將二層架構應用系統間接變更為三層架構（客戶端與服務相連，不與后臺數據庫直接通信），為應用層面的信息安全提供有力的保護。

4.2.4 網絡安全性的提升

通過桌面虛擬化和應用虛擬化實現的三層訪問架構[7]，可將用戶終端與服務器的網絡連接進行嚴格限制，增強網絡安全性能。在現有管理模式下，用戶終端往往與所有服務器都可進行不受限制的網絡訪問，這將為網絡安全造成較大的隱患。從技術上，每臺用戶終端都可對存在漏洞的任意服務器發起網絡攻擊，而這也是一些單位網絡病毒無法根除的原因之一。而通過三層訪問架構的改變，在網絡層通過ACL訪問控制策略可以限制用戶終端僅對具體某個服務器的某個端口訪問，對其他服務器不能進行主動連接訪問，將服務器封閉在相對安全的區域內，從而提高了網絡安全防護水平。

4.2.5 用戶身份驗證

在現有管理模式下，用戶開機需要輸入BIOS開機口令，啟動系統后再通過USBKEY認證登錄系統處理信息。從技術層面看這種方式極不可靠，僅是當前管理模式下的無奈之取。首先BIOS口令可以通過放電進行破解，其次通過WINPE啟動可以繞過所有終端安全措施直接獲取硬盤內的信息。另外用戶在一次開機過程中需要使用多個口令且都有復雜性要求，這也對用戶造成了不必要的麻煩。桌面虛擬化和信息集中存儲的使用，使得BIOS開機口令的作用變得可有可無。用戶系統層的身份驗證完成依靠USBKEY加PIN碼這種雙因子強身份驗證的模式。而用戶使用信息則還需要通過數字證書身份認證這種當前主流的身份驗證，使用的信息安全性得到了較大的提高。

4.2.6 終端性質的改變

在現有管理模式下，終端內存儲的大量的信息，一旦丟失將在安全方面造成嚴重的后果。而對于設備性質的判別主要為是否存儲、處理信息，而信息的存儲則是最關鍵的，無論是主動存儲還是被動存儲。桌面虛擬化和信息集中存儲的使用，在物理方面使用戶終端內沒有信息存儲功能，使用用戶終端僅僅為連接、處理信息的設備，從而減輕了終端失控所造成的風險。

4.2.7 用戶與終端的關系

在現有管理模式下，用戶與終端計算機主要為一對一綁定的模式。這就出現對于多用戶共用一臺計算機所造成的風險。在認證要求中，為保護信息的知悉范圍，強調多用戶共用一臺計算機要分區分權限。但從技術上將系統分區是無法分割的，仍存在著信息知悉范圍擴大的風險。且一旦出現安全事件難以準確定位責任人。

4.2.8 用戶異地移動辦公

基于桌面虛擬化對用戶與終端帶來的關系變化，使得用戶異地辦公成為可能性。

4.2.9 硬件設備維護

基于桌面虛擬化對用戶異地移動辦公帶來的變革，同時還引發設備維護方面的變革。在現有管理模式下，如果終端硬件設備損壞，管理員可能需要較長時間進行維修，在這期間用戶無法使用終端計算機，從而可能影響科研生產的工作效率，特別是在出現緊急任務的情況下。實現桌面虛擬化用戶異地移動辦公后，用戶僅需要使用本人USBKEY到其他終端上辦公即可，硬件維修時間不會影響到用戶的實際工作。

4.2.10 系統遠程維護的可行性

在現有管理模式下，禁止對計算機遠程維護。這項規定是為了信息的知悉范圍，避免管理員在遠程維護中非法獲取用戶信息，也是在現有管理模式下的無奈之舉。但這項要求與未來趨勢存在矛盾，未來的IT管理應是以免維護或遠程維護為方向的。桌面虛擬化和信息集中存儲的使用，使得免維護和遠程維護在不違反信息安全思想的情況下成為可能。在免維護方面，部分終端采用固化操作系統模式實現操作系統的穩定可靠。在遠程維護方面，由于用戶所有信息都與操作系統分離，集中存儲在存儲中心，且必須通過用戶USBKEY數字證書才能訪問，因此管理員遠程維護的僅是用戶操作系統桌面，從技術層面無法獲取其他工作數據或方檔。在這里需要特別說明的是，在桌面虛擬化技術架構上，管理員一旦通過遠程連接用戶桌面，則用戶終端連接則立即中斷，同時用戶USBKEY從用戶桌面操作系統鏡像中斷開、用戶與集中存儲的連接斷開，桌面操作系統因失去USBKEY內的數字證書而無法連接到存儲中心。

5 結束語

顯然，桌面虛擬化有效地降低了涉密企業的桌面管理成本，提升了數據安全和業務持續性。但由于涉密網的特殊性，在現階段部署桌面虛擬化免不了會有一些問題。但如果根據企業自身的業務特點進行全面考量，以我為主，合理選擇，完全可以找到并應用一個合適的解決方案。

[1]周昌.基于虛擬化技術的智能手機軟件平臺[D].浙江大學,2007.

[2]鄭興艷.安全虛擬桌面系統的設計與實現[D].北京交通大學,2012.

[3]BMB17.涉密信息系統分級保護技術要求[Z].

[4]BMB20.涉密信息系統分級保護管理規范[Z].

[5]梁飛蝶,李錦濤.瘦客戶計算機應用協議中遠程顯示機制的比較[J].計算機用,工程與應2004,21.

[6]李皎.服務器虛擬化技術在企業數據中心的應用[J].福建電腦,2010,7.

[7]程伍端.計算機虛擬化技術的分析與應用[J].計算機與數字工程,2008,11.