云桌面技術(shù)及安全問(wèn)題

云桌面具有部署便捷、管理高效、訪問(wèn)靈活、安全節(jié)能等特點(diǎn)，在被廣泛應(yīng)用的同時(shí)，其安全問(wèn)題也越來(lái)越多的引起人們關(guān)注。本文從云桌面的概述分類(lèi)、優(yōu)缺點(diǎn)分析、安全問(wèn)題及對(duì)策措施四部分進(jìn)行介紹，探析云桌面在建設(shè)應(yīng)用過(guò)程中注意的事項(xiàng)。

【關(guān)鍵詞】云桌面 技術(shù) 安全

隨著現(xiàn)代IT產(chǎn)業(yè)的不斷發(fā)展，云計(jì)算技術(shù)趨于成熟，利用桌面虛擬化手段，部署便捷、管理高效、訪問(wèn)靈活、安全節(jié)能的云桌面應(yīng)用越來(lái)越廣泛，尤其是在能源、商業(yè)、教育、醫(yī)藥、政府專(zhuān)網(wǎng)等行業(yè)中，其市場(chǎng)應(yīng)用正以大于20%的年復(fù)合增長(zhǎng)率穩(wěn)步激增。云桌面的優(yōu)勢(shì)明顯，應(yīng)用的越多，安全問(wèn)題也隨之而來(lái)，在存儲(chǔ)、服務(wù)、傳輸和訪問(wèn)各個(gè)環(huán)節(jié)均有安全風(fēng)險(xiǎn)，使用單位和個(gè)人必須掌握一定的安全知識(shí)，完善系統(tǒng)功能，提高安全防范能力，才能最大的發(fā)揮云桌面帶來(lái)的便利。

1 云桌面概述及分類(lèi)

云桌面，就是云計(jì)算技術(shù)的前端體現(xiàn)，基于傳統(tǒng)的IT硬件，依托操作系統(tǒng)虛擬化技術(shù)，利用加密手段進(jìn)行數(shù)據(jù)存儲(chǔ)和傳輸，將應(yīng)用程序的人機(jī)交互邏輯與計(jì)算機(jī)邏輯分離開(kāi)來(lái)，通過(guò)服務(wù)器開(kāi)設(shè)獨(dú)立的會(huì)話空間，將應(yīng)用的計(jì)算邏輯在云端運(yùn)行，再將得到的人機(jī)交互邏輯通過(guò)安全的桌面協(xié)議傳遞給用戶(hù)端進(jìn)行展示，是當(dāng)下IT產(chǎn)業(yè)中的新型辦公應(yīng)用系統(tǒng)。

目前，云桌面主要有VDI（虛擬桌面架構(gòu)）、SBC（虛擬化應(yīng)用）、VOI（物理PC虛擬化、虛擬終端管理）和VDI+VOI四種部署模式。VDI模式是在一臺(tái)服務(wù)器上安裝虛擬化軟件，變成若干個(gè)虛擬機(jī)，而后將每個(gè)虛擬機(jī)分配給一個(gè)用戶(hù)使用，該方式缺陷是資源利用率不高；SBC模式是在一個(gè)服務(wù)器上安裝若干應(yīng)用程序，供多人共同使用這個(gè)操作系統(tǒng)或應(yīng)用程序，適用于極輕載的應(yīng)用，該方式受網(wǎng)絡(luò)資源限制影響很大；VOI模式是利用本地設(shè)備的計(jì)算能力，將操作系統(tǒng)和應(yīng)用程序集中部署在云端，應(yīng)用時(shí)將操作系統(tǒng)和應(yīng)用軟件以數(shù)據(jù)流的方式按需傳送到用戶(hù)端，并在用戶(hù)端執(zhí)行運(yùn)算，其計(jì)算能力受本地設(shè)備性能限制；VDI+VOI模式是將兩種流行的桌面虛擬化技術(shù)結(jié)合，實(shí)現(xiàn)資源科學(xué)整合，即給用戶(hù)提供了便利性和安全性，又滿(mǎn)足了高性能應(yīng)用及網(wǎng)絡(luò)狀況不佳時(shí)的應(yīng)用需求。

2 云桌面的優(yōu)缺點(diǎn)

云桌面與傳統(tǒng)電腦終端相比，主要有以下五方面優(yōu)點(diǎn)：

2.1 部署更便捷

利用服務(wù)器虛擬化、存儲(chǔ)虛擬化、應(yīng)用虛擬化、桌面虛擬化、終端虛擬化等虛擬化技術(shù)，改變了過(guò)去分散、獨(dú)立的桌面系統(tǒng)環(huán)境，在網(wǎng)絡(luò)環(huán)境完善的情況下，通過(guò)集中部署，只需要幾個(gè)小時(shí)，就能完成傳統(tǒng)安裝幾天時(shí)間才能完成的工作。

2.2 管理更高效

通過(guò)集中管理，80%的維護(hù)工作將自動(dòng)完成，包括軟件下發(fā)、升級(jí)補(bǔ)丁、恢復(fù)擴(kuò)展、安全更新等，極大減少了維護(hù)工作量，只需少數(shù)維護(hù)人員在服務(wù)端就可以完成所有的管理維護(hù)工作，并且能在不中斷用戶(hù)工作的情況下進(jìn)行系統(tǒng)更新。

2.3 訪問(wèn)更靈活

云桌面支持使用各種終端設(shè)備接入，通過(guò)動(dòng)態(tài)資源配置提高IT對(duì)業(yè)務(wù)的靈活適應(yīng)力，其網(wǎng)絡(luò)訪問(wèn)的方式為用戶(hù)提供了靈活方便的工作處理能力，只要網(wǎng)絡(luò)能夠接入服務(wù)云端，用戶(hù)就能在辦公室以外的任何場(chǎng)合，使用PC、筆記本、云終端、平板等多種設(shè)備隨時(shí)隨地移動(dòng)訪問(wèn)自己的工作桌面進(jìn)行工作，從而真正實(shí)現(xiàn)了可移動(dòng)辦公。

2.4 數(shù)據(jù)更安全

云桌面用戶(hù)所有數(shù)據(jù)均集中存儲(chǔ)在云端，本地終端只是工作桌面影像的顯示，任何復(fù)制、下載、非法外設(shè)連接等操作都能加以嚴(yán)格管控；利用負(fù)載均衡、動(dòng)態(tài)遷移、故障自動(dòng)隔離、系統(tǒng)自動(dòng)重構(gòu)等技術(shù)，減少服務(wù)或應(yīng)用的死機(jī)時(shí)間，并支持快速轉(zhuǎn)移、復(fù)制虛擬服務(wù)器、病毒統(tǒng)一防控等功能，數(shù)據(jù)容災(zāi)恢復(fù)安全可靠。

2.5 費(fèi)用更節(jié)省

云桌面虛擬技術(shù)的應(yīng)用，減少了服務(wù)器的數(shù)量，降低初期硬件采購(gòu)成本，壓縮了管理維護(hù)費(fèi)用。另外，云桌面終端的功耗低，是普通PC的10%（約30W），能夠大幅降低能耗，實(shí)現(xiàn)節(jié)能減排。

云桌面主要依靠網(wǎng)絡(luò)傳輸、服務(wù)器計(jì)算運(yùn)行，在具體部署時(shí)對(duì)于硬件成本、網(wǎng)絡(luò)環(huán)境、服務(wù)器安全管理的要求較高，若達(dá)不到一定標(biāo)準(zhǔn)，就存在較大缺陷。一是初始成本較高，對(duì)于個(gè)人或小規(guī)模使用沒(méi)有優(yōu)勢(shì)；二是對(duì)網(wǎng)絡(luò)環(huán)境依賴(lài)度高，網(wǎng)絡(luò)癱瘓直接導(dǎo)致系統(tǒng)無(wú)法使用；三是虛擬桌面性能還不能完全取代物理桌面，尤其是在3D動(dòng)畫(huà)、高清視頻處理等方面；四是安全風(fēng)險(xiǎn)高，一旦數(shù)據(jù)安全出現(xiàn)問(wèn)題影響范圍大。

3 云桌面的安全問(wèn)題分析

隨著云桌面越來(lái)越普及，其安全問(wèn)題也隨之成為人們關(guān)注的重中之重，從云桌面的架構(gòu)來(lái)看，數(shù)據(jù)存儲(chǔ)、虛擬服務(wù)、網(wǎng)絡(luò)傳輸和用戶(hù)訪問(wèn)等各個(gè)方面，都會(huì)產(chǎn)生安全風(fēng)險(xiǎn)，忽視任何一個(gè)環(huán)節(jié)都會(huì)出現(xiàn)安全隱患。

3.1 數(shù)據(jù)存儲(chǔ)

用戶(hù)的所有信息數(shù)據(jù)都集中存儲(chǔ)在云端，存在數(shù)據(jù)損壞丟失和被竊取的風(fēng)險(xiǎn)。當(dāng)數(shù)據(jù)存儲(chǔ)陣列受到病毒攻擊、物理?yè)p壞或自然災(zāi)難時(shí)，數(shù)據(jù)會(huì)大面積丟失，影響巨大；系統(tǒng)管理員或用戶(hù)誤操作也會(huì)導(dǎo)致數(shù)據(jù)的丟失；云桌面虛擬環(huán)境設(shè)置不合理，系統(tǒng)、用戶(hù)的運(yùn)行日志等被別有目的人獲得，不僅會(huì)影響到云桌面服務(wù)的安全穩(wěn)定，更嚴(yán)重的會(huì)使用戶(hù)數(shù)據(jù)無(wú)法保存，日志中包含的賬號(hào)、密碼等隱私信息也會(huì)泄漏；非法用戶(hù)非法進(jìn)入數(shù)據(jù)存儲(chǔ)陣列直接竊取數(shù)據(jù)文件。

3.2 虛擬服務(wù)

在云桌面的系統(tǒng)架構(gòu)中，為增強(qiáng)冗余提升可用性，虛擬服務(wù)通常采用橫向擴(kuò)展的方式，使用負(fù)載均衡器提高系統(tǒng)利用率，這種架構(gòu)很易遭到分布式拒絕攻擊；虛擬服務(wù)如果安全機(jī)制不健全，易被惡意軟件控制高級(jí)協(xié)議端口，竊取高于操作系統(tǒng)的硬件部署權(quán)；虛擬服務(wù)平臺(tái)安全性如果不高，攻擊者可以通過(guò)虛擬機(jī)“溢出”，非法訪問(wèn)他人數(shù)據(jù)和系統(tǒng)，甚至可以控制后臺(tái)管理服務(wù)。

3.3 網(wǎng)絡(luò)傳輸

云桌面所有的數(shù)據(jù)存儲(chǔ)、計(jì)算都在云端進(jìn)行，用戶(hù)需要通過(guò)網(wǎng)絡(luò)訪問(wèn)的方式輸入或獲取信息，若用戶(hù)和云平臺(tái)間信道不安全，通信過(guò)程信息未加密或加密被破解，通信過(guò)程中的數(shù)據(jù)就可能會(huì)被云平臺(tái)或第三方非法攔截或竊聽(tīng)；云桌面的性能對(duì)網(wǎng)絡(luò)帶寬的依賴(lài)很大，網(wǎng)絡(luò)傳輸信道質(zhì)量不好或帶寬小，容易造成使用時(shí)的卡頓，甚至是數(shù)據(jù)的丟失。endprint

3.4 用戶(hù)訪問(wèn)

云桌面給用戶(hù)最大便捷就是可以隨時(shí)隨地的訪問(wèn)，不受使用終端所在位置的限制，這也給用戶(hù)的信息安全帶來(lái)新的挑戰(zhàn)。登陸賬號(hào)密碼丟失、被盜、冒用，直接將個(gè)人信息暴露；登陸端軟件有漏洞易被控制，用戶(hù)端輸入數(shù)據(jù)被侵入，其整體數(shù)據(jù)的安全性得不到保障；用戶(hù)端隱藏病毒，正常登陸后侵入云系統(tǒng)，破壞、竊取系統(tǒng)數(shù)據(jù)。

4 提高云桌面安全性的措施

云桌面系統(tǒng)的安全問(wèn)題既有技術(shù)方面的問(wèn)題也有人員使用方面的問(wèn)題，只有技術(shù)防范和人為自主防范相結(jié)合，才能確保云桌面系統(tǒng)和用戶(hù)信息數(shù)據(jù)的安全。

4.1 采用先進(jìn)的加密認(rèn)證技術(shù)，提高云桌面安全防范性能

4.1.1 對(duì)數(shù)據(jù)進(jìn)行加密分布式存儲(chǔ)

云桌面系統(tǒng)數(shù)據(jù)集中存放在云端，使用Multi—ten—aney、物理隔離和虛擬化等方案進(jìn)行數(shù)據(jù)隔離，采用專(zhuān)業(yè)的加密設(shè)備進(jìn)行加密存儲(chǔ)，使用Hadoop 等分布式文件系統(tǒng)，對(duì)數(shù)據(jù)進(jìn)行分散存儲(chǔ)，提高數(shù)據(jù)存儲(chǔ)安全性。

4.1.2 建設(shè)數(shù)據(jù)存儲(chǔ)備份手段

在建設(shè)階段充分考慮數(shù)據(jù)的備份恢復(fù)問(wèn)題，在異地建立備份中心，實(shí)時(shí)備份用戶(hù)數(shù)據(jù)，防止系統(tǒng)遭到不可抗拒的物理和邏輯損壞，同時(shí)利用基于噴泉碼的數(shù)據(jù)恢復(fù)等技術(shù)，防止用戶(hù)信息的誤操作，提高系統(tǒng)容災(zāi)恢復(fù)能力。

4.1.3 部署集中式殺毒軟件

在云端安全無(wú)代理殺毒軟件，實(shí)現(xiàn)病毒庫(kù)更新、殺毒掃描策略、檢測(cè)日志等，及時(shí)封堵漏洞端口發(fā)現(xiàn)異常情況，由管理員設(shè)置和管理政策來(lái)控制網(wǎng)絡(luò)接入，應(yīng)對(duì)云入侵防御，用戶(hù)可以無(wú)感知享受病毒防護(hù)服務(wù)。

4.1.4 設(shè)置嚴(yán)格的安全策略

根據(jù)用戶(hù)使用需求設(shè)置嚴(yán)格的安全策略，建設(shè)以虛擬化為技術(shù)支撐的安全防護(hù)體系，防止云服務(wù)端高級(jí)協(xié)議端口被控制和云服務(wù)虛擬機(jī)的“溢出”，設(shè)置高級(jí)別的防火墻，防止非法用戶(hù)入侵。

4.1.5 采用安全的傳輸通道

在條件允許的情況下在局域網(wǎng)內(nèi)建設(shè)云桌面系統(tǒng)，或?qū)νㄐ判诺朗褂糜布M(jìn)行加密；在公共網(wǎng)絡(luò)內(nèi)使用云桌面系統(tǒng)，使用VPN技術(shù)、SSL協(xié)議等進(jìn)行加密傳輸，確保整體傳輸過(guò)程中的安全性；廣泛使用光通信等高速率傳輸數(shù)段，防止數(shù)據(jù)丟失。

4.1.6 加密傳輸通信數(shù)據(jù)

使用對(duì)稱(chēng)或非對(duì)稱(chēng)數(shù)據(jù)加密等技術(shù)，將用戶(hù)信息進(jìn)行加密傳輸，防止信息傳輸過(guò)程中被竊取。

4.1.7 使用安全的身份可信識(shí)別技術(shù)

將口令認(rèn)證、智能卡認(rèn)證、生物特征認(rèn)證等方式結(jié)合使用，通過(guò)單點(diǎn)登錄認(rèn)證、強(qiáng)制用戶(hù)認(rèn)證、代理、協(xié)同認(rèn)證、資源認(rèn)證等方式，運(yùn)用可信識(shí)別技術(shù)，提高“拒識(shí)率”和“誤識(shí)率”，增強(qiáng)用戶(hù)身份認(rèn)證的可信度。

4.1.8 建立事件安全監(jiān)控平臺(tái)

安全信息和事件管理（SIEM）記錄傳統(tǒng)安全系統(tǒng)、管理系統(tǒng)和網(wǎng)絡(luò)系統(tǒng)的事件和安全信息，云監(jiān)控平臺(tái)將事故報(bào)告通過(guò)郵件或短信的形式告知相應(yīng)的網(wǎng)站管理人員，實(shí)時(shí)保護(hù)系統(tǒng)安全。

4.2 制定完善的安全使用制度，提高云桌面安全使用能力

4.2.1 通過(guò)法律手段保護(hù)用戶(hù)數(shù)據(jù)安全

在法律許可范圍內(nèi)建設(shè)云桌面系統(tǒng)，存儲(chǔ)、使用的數(shù)據(jù)應(yīng)在法律保護(hù)范圍內(nèi)，用法律手段制約和約束云桌面開(kāi)發(fā)商或系統(tǒng)管理員的權(quán)利，保護(hù)用戶(hù)信息安全。

4.2.2 在數(shù)據(jù)管理上采用三權(quán)分立的措施

將傳統(tǒng)的超級(jí)管理員權(quán)限劃分為數(shù)據(jù)管理員、安全管理員和審計(jì)管理員三種，數(shù)據(jù)管理員可以對(duì)運(yùn)行系統(tǒng)進(jìn)行操作，安全管理員負(fù)責(zé)給數(shù)據(jù)定義安全標(biāo)記和策略，對(duì)系統(tǒng)進(jìn)行強(qiáng)制訪問(wèn)控制，審計(jì)管理員負(fù)責(zé)審計(jì)數(shù)據(jù)管理員和安全管理員的操作，三種管理員角色相互配合相互制約，杜絕超級(jí)用戶(hù)權(quán)限濫用問(wèn)題。

4.2.3 提高安全防范意識(shí)

重視用戶(hù)安全常識(shí)的培訓(xùn)，增強(qiáng)安全使用的意識(shí)，注意使用的場(chǎng)合，減少在公共無(wú)線網(wǎng)絡(luò)中非加密狀態(tài)使用，保管好使用賬號(hào)、密碼、識(shí)別碼等省份信息，養(yǎng)成定期殺毒的習(xí)慣，提高應(yīng)用操作能力，防止出現(xiàn)意外操作。

5 結(jié)束語(yǔ)

云桌面作為信息時(shí)代下新技術(shù)，在人們?nèi)粘Ｉ詈凸ぷ髦衅鸬搅酥匾鳂I(yè)，云桌面技術(shù)發(fā)展的同時(shí)，我們也看到了其在運(yùn)用過(guò)程中所出現(xiàn)的一些問(wèn)題，特別是安全問(wèn)題，處理不好會(huì)帶來(lái)很大的隱患或危險(xiǎn)，需要充分做好云桌面的信息安全工作，對(duì)可能存在的風(fēng)險(xiǎn)進(jìn)行認(rèn)真分析，加以改進(jìn)和克服，這樣才能更好的服務(wù)于人們的生活辦公。

參考文獻(xiàn)

[1]劉鵬.云計(jì)算（第2版）[M].電子工業(yè)出版社，2011.

[2]馮登國(guó)，張敏，張妍，徐震.云計(jì)算安全研究[N].軟件學(xué)報(bào)，2011，22（01）：71-83.

[3]成靜靜.基于虛擬化云桌面技術(shù)方案研究與設(shè)計(jì)[J].廣東通信技術(shù)，2011（06）：36-39.

[4]龔強(qiáng).云計(jì)算安全優(yōu)勢(shì)比較研究[J]，信息技術(shù)，2014（05）.

[5]房晶，吳昊，白松林.云計(jì)算安全研究綜述[J]，電信科學(xué)，2014（04）.

[6]張宇，袁玉宇.基于云計(jì)算的信息安全風(fēng)險(xiǎn)分析與探索[J].軟件，2012（11）.

[7]游振東.云安全問(wèn)題的研究[J].信息與電腦，2013（09）.

[8]楊曉靜，閡偉娟，李瑜.云安全中的可信識(shí)別技術(shù)研究[J].無(wú)線電互聯(lián)科技，2011.

作者簡(jiǎn)介

畢秀華（1982-），女，碩士學(xué)位。工程師。研究方向?yàn)橛?jì)算機(jī)應(yīng)用與管理。

呂廷春（1982-），男，大學(xué)本科學(xué)歷。工程師。研究方向?yàn)橛?jì)算機(jī)仿真、數(shù)據(jù)分析、信息處理。

作者單位

1.江南大學(xué)信息化建設(shè)與管理中心 江蘇省無(wú)錫市 214100

2.中國(guó)人民解放軍31102部隊(duì) 江蘇省南京市 210000endprint