桌面虛擬化在內部網絡安全訪問上的應用研究

◆蘭荊濤 潘 衛

桌面虛擬化在內部網絡安全訪問上的應用研究

◆蘭荊濤 潘 衛

（核工業西南物理研究院計算機網絡中心 四川 610225）

為了使處于互聯網環境下的辦公網絡用戶方便訪問內部網絡中的核心業務系統，且又能夠保障內部網絡的安全，本文通過分析桌面虛擬化方案的優勢，研究系列安全技術手段，提出既方便又安全的訪問方式。在滿足自身業務訪問需要的同時，也為其他有相似需求的單位設計方案提供借鑒。

桌面虛擬化；內部網絡；安全訪問

0 引言

為了保障某些核心業務系統的穩定運行和數據安全，不少單位建設有用于專門處理內部敏感信息的內部網絡，其在人員管理、身份認證、訪問控制、安全審計、設備與介質管理、計算機病毒與惡意代碼防護、備份與恢復、網絡安全管理等方面都有嚴格的要求。通常內部網絡與互聯網物理隔離，初期只供部分部門使用，隨著其中業務系統的增多、使用人員范圍的擴大，勢必需要對其進行擴容。但是，如果采用傳統的終端計算機部署模式，新加入的人員在保留原有辦公網絡計算機的情況下，還需要新配置一臺內部網絡專用的終端計算機，不僅使得一人操作多臺計算機，辦公桌面繁雜，影響工作效率[1]，而且存儲有敏感數據的終端數量不斷增多，會造成文件泄漏的風險增大、數據安全性變差，這對后期內部網絡的運維和管理帶來很大難度。

因此，在做好安全防護的前提下，利用桌面虛擬化這一技術手段，配合使用VPN將內部網絡與基于互聯網的辦公網絡互連，并進一步開通移動終端接入功能，存在很強的使用需求。本文將探討桌面虛擬化方案的優勢和安全保障方面的手段。

1 桌面虛擬化的優勢

在桌面虛擬化中，可以通過桌面虛擬架構，將桌面運行在服務器上，集中進行安全管控。采用一對一方式向用戶提供虛擬桌面終端，將一臺虛擬桌面終端固定的分配給某一個特定用戶，該用戶即為此虛擬桌面終端的唯一使用者。一方面，保護了用戶終端中數據信息的安全，提高終端安全防護能力；另一方面，可以對用戶操作行為等進行日志記錄，便于事后分析和審計。相比于傳統的終端計算機部署方式，采用桌面虛擬化部署方式有下面5個優勢：

( 1 ) 內部網絡數據信息不落地

終端用戶在虛擬桌面上處理的信息都存儲在內部網絡數據中心中，客戶的辦公計算機不存儲任何與內部網絡有關的業務數據信息[2]。敏感數據的生成、傳輸、存儲、輸出和銷毀全過程管控都在內部網絡的范圍內，可以有效防止因個人原因造成的數據泄露。

( 2 ) 桌面配置靈活

管理員在配置虛擬化桌面的時候，可以根據部門組成及其業務類別，給用戶部署不同的軟硬件環境，配置有區別的數據訪問權限。

( 3 ) 滿足移動終端接入需求

由于用戶是通過VPN方式從辦公網絡訪問虛擬桌面的，因而移動終端和辦公網絡中的固定終端相對內部網絡而言都是一樣的，制定的都是相同的接入安全策略，這使得移動終端的接入成為可能。

( 4 ) 可擴展性優異

接入內部網絡的用戶數量增長是一個逐步的過程，初期只需要配置滿足一定數量虛擬桌面運行的服務器及存儲資源即可。后期隨著用戶數量的增加，只需對后端的服務器存儲資源進行擴展，無須再對前端進行改動。

( 5 ) 降低運維工作量

由于虛擬桌面上的系統和軟件都是統一部署的，后期的升級、改動、調整和補丁安裝等操作都可以在后臺統一進行，在數據中心就可以完成所有的管理維護工作[3]，避免傳統方式中大量維護工作在用戶端進行，大大降低管理員的運維工作量。即使發生故障，也可以通過鏡像或者備份進行快速恢復。

2 桌面虛擬化的安全保障

使用桌面虛擬化方式部署，使得終端用戶身處辦公網絡就能訪問內部網絡業務資源，最大限度保留了原有辦公習慣。但是，方便了終端用戶的同時，保障內部網絡安全的工作不能松懈，增加必要的安全管理手段及對應的網絡安全設備是不可或缺的，充分發揮內部網絡中已有安全設備的作用也是有益的。在辦公網絡和內部網絡之間增加的網絡結構如圖1所示。

圖1 新增網絡結構圖

新增加的網絡結構中，服務器虛擬化使用的物理服務器作為計算資源池，用于承載虛擬用戶終端；桌面虛擬化使用的服務器用于承載桌面虛擬化服務業務；集中存儲搭建的資源池主要用于存儲桌面虛擬化所生成的虛擬用戶終端的相關數據文件。這三個部分作為桌面虛擬化技術的基礎設施，其作用原理這里不再贅述，下面主要從4個方面探討安全保障措施。

( 1 ) 用戶接入控制

在與辦公網絡的邊界處部署VPN網關設備，采用L2TP VPN技術，采取賬號密碼<可配合圖形驗證碼>+數字證書認證方式（USB KEY）或賬號密碼<可配合圖形驗證碼>+輔助認證<硬件碼認證或短信認證>+數字證書（USB KEY）的強身份認證方式，充分保證接入用戶的合法有效性。用戶登錄VPN使用的USB Key可重復利用內部網絡已有終端安全登錄系統的USB Key寫入相應數字證書，避免雙USB Key帶來使用不便。

( 2 ) 攻擊防御和防病毒

在VPN網關后端部署入侵防御系統IPS實現對接入用戶的攻擊防御和病毒過濾，支持對緩沖溢出攻擊、蠕蟲、木馬、病毒、SQL注入、網頁篡改、惡意代碼、網絡釣魚、間諜軟件、DoS/DDoS、流量異常等攻擊的防御。對于虛擬用戶終端，則將其納入內部網絡中的網絡殺毒系統統一管理，病毒庫升級由服務器端自動下發策略執行。

( 3 ) 區域安全隔離

采用一臺高性能防火墻實現對各個區域用戶訪問權限的控制，針對不同部門的用戶制定不同的訪問權限策略，禁止其對后臺系統的訪問。

( 4 ) 安全審計

依靠內部網絡中部署的主機監控和審計系統，在虛擬用戶終端上安裝相應客戶端，實現打印審計、光盤刻錄審計、移動存儲介質管理、主機補丁更新管理等功能，對用戶在業務系統的操作均做后臺審計，保證其行為都能被審計。

3 結束語

由于從事主要業務的專業特性，某些科研單位與國內外相關機構會有大量的技術合作項目，日常研究工作對互聯網有很強的依賴性。帶有敏感信息但不涉及國家秘密的內部網絡在做好安全保障的前提下，對其的訪問控制措施不應過分成為科研人員相對便捷使用其中業務的一道障礙。充分利用桌面虛擬化的技術優勢，輔以相應的安全保障措施，使得人們對內部網絡的訪問在便捷性和安全性之間達到一個平衡點，為內部網絡中業務的豐富和發展提供有力支撐。

[1]李昕.不動產登記數據整合中桌面虛擬化應用安全技術研究[J].信息技術與信息化，2018(7)：195-197.

[2]張莉.桌面虛擬化在企業數據保密管理中的應用[J].電子技術與軟件工程，2014(11)：215.

[3]馬錫坤.桌面虛擬化技術及其解決方案探討[J].中國醫療設備，2013，28(07)：86-87.

國家磁約束核聚變能發展研究專項：HL-2M先進偏濾器的物理設計（2015GB105001）。