云桌面在企業信息化應用中的安全問題淺析

● 楊 軍 吳 聰 /文

云桌面在企業信息化應用中的安全問題淺析

● 楊 軍 吳 聰 /文

云桌面的安全風險主要表現在機房安全風險、終端安全風險以及信息安全管理風險等三個方面。

云桌面是云計算模式下IT的創新辦公應用系統，可以將計算、存儲、管理服務發布給使用者，實現向任何地點的任何設備交付應用和桌面服務。企業信息化建設中通過這種虛擬化技術應用，可以大大降低設備采購費用，提高系統維護的便利性和辦公的靈活性，進而提升工作效率。當然，便捷的事物脆弱性也會較高，存在安全風險。云桌面的安全風險主要表現在機房安全風險、終端安全風險以及信息安全管理風險等三個方面。筆者主要從這三個方面入手，淺析云桌面在企業信息化應用中的安全解決方案。

云桌面機房安全保護機制

云計算機房安全性主要是指云計算基礎設施安全，需要配置好云計算基礎設施系統安全保護機制，進而提升系統的安全性能。云計算機房基礎設施安全保護機制分為物理安全機制、網絡安全機制、主機安全機制等。

物理安全保護機制。物理安全是指在物理環境上要實施防盜、防損、防非法入侵等安全保護措施。云計算機房設備控制中心的位置選擇有一定的要求，應當選擇防水、防火、防盜的安全區域，安裝防水、防火、防盜設施，按照行業規范標準制定相應的安全管理制度與安全策略并嚴格執行。

網絡安全保護機制。云計算機房設備控制中心網絡安全包括傳統的網絡安全和網絡虛擬化的網絡安全。

傳統的網絡安全問題保護機制。目前主流網絡安全產品有三類：一是基于包過濾策略的基礎防火墻類；二是入侵檢測和防御類；三是針對特殊協議的主動安全類，如Web應用防火墻WAF，數據庫應用防火墻DAF。

網絡虛擬化的網絡安全保護機制。橫向整合或是縱向分割的網絡虛擬化技術提升了網絡服務的安全性、可靠性及可用性的同時，也給基于此技術部署的云計算環境網絡帶來新的挑戰,需要正確配置、管理虛擬交換機和虛擬防火墻。對于采用VMware虛擬化技術進行網絡虛擬化，采用基于VMsafe的VMvsphere技術管理的虛擬化網絡環境中，可在物理機和物理機之間（如 vCenter Server系 統 和ESXi主機之間）、虛擬機和虛擬機之間（如作為外部Web服務器的虛擬機與連接公司內部網絡的虛擬機之間）、物理機和虛擬機之間（如在物理網絡適配器卡和虛擬機之間）部署和配置虛擬防火墻。

主機安全保護機制。在云計算中心機房，主機是指那些用來實現云平臺部署的服務器，從硬件方面講，要采用基于可信計算技術設計、生產的企業級服務器。從軟件和管理上講，可根據實際情況，選擇通過禁止匿名用戶的shell訪問、限制鎖定模式下的DCUI訪問權限、禁用授權（SSH）密匙、禁用Managed Object Browser(MOB)以及配置spm_paswdqc.so文件，更改密碼復雜度和強度參數等方式，來提高主機安全性。

企業信息化建設中通過云桌面這種虛擬化技術應用，可以大大降低設備采購費用，提高系統維護的便利性和辦公的靈活性，進而提升工作效率。

當然，便捷的事物脆弱性也會較高，存在安全風險。

云桌面終端安全解決措施

建立統一整合的桌面管理平臺，既能提高系統綜合功能，加強安全性能，簡化了系統的復雜程度，又減低了系統運行成本。整合桌面終端安全管理需要注意以下幾個方面：

整合終端安全管理。包括網絡接入和用戶訪問身份認證；進程訪問控制；用戶安全操作定義和安全策略配置；病毒、木馬、蠕蟲、僵尸網絡、釣魚網站、黑客入侵與攻擊、劫持等軟件監測與管理，備份、修復與補丁管理。

終端運行維護和文檔安全管理。各種軟件、硬件資產管理；統一的軟件分配、調用、遠程支持；全方位運行監控與實時監測終端運行記錄等；本地文件的存儲和分發安全，訪問優先級和權重的確定等。

信息安全防護。網絡安全，包括網絡層面、應用層面、資源層面等；存儲設備和介質，網絡打印機、本地和虛擬打印設備，各種計算機外部設備接口等。整合桌面管理實現了統一監管服務，使管理的復雜度得以簡化，降低了漏洞和缺陷的概率，尤其是在容災方面，較之傳統模式更具優勢。

云桌面計算模式下信息安全防范

云桌面計算模式的先天性優勢并不意味著放松對信息安全的管理，在云計算模式下，傳統的信息安全技術會大大折扣，用戶可參考云安全聯盟（CSA）發布的云安全指南及其他相關文獻資料進行合理有效的規劃，本文結合實際使用提出以下三個需要用戶特別注意的關鍵點：

采用安全的加密通道。雖然用戶終端與數據中心間沒有業務數據的傳輸，仍然建議用戶采用安全的加密通道進行數據傳輸，典型的解決方案是采用SSL/TLS VPN技術并啟用雙因素認證，能很好地滿足遠程辦公系統對終端合規性、數據加密、信息認證和身份認證、訪問控制、數字簽名的要求。

建立集中式防病毒體系。與傳統防病毒體系不同，由于虛擬機的集中管理和運行特征，單臺虛擬機獨立安裝防病毒軟件會引起嚴重的I/O風暴，用戶應當采用基于虛擬化平臺的集中式防病毒解決方案。

規劃網絡區域并適度隔離。移動辦公系統需要通過互聯網實現，用戶應遵從安全管理要求合理劃分網絡區域，如考慮增加安全隔離區域，并與數據中心內部建立適度隔離機制。

云桌面安全問題是信息安全的一個重要環節，如何從根本上杜絕這種現象，云桌面系統供應商、企業信息技術人員都在不斷進行研究探討和完善。相信在不遠的將來，信息安全防護措施會日趨完善，信息安全將得到進一步保障，云桌面技術方案的運用必將提升至一個新的高度。

（作者單位：湖北工業大學）