桌面虛擬化在信息安全管理中的應用

邵凌

（海軍91550部隊遼寧 大連 116023）

桌面虛擬化在信息安全管理中的應用

邵凌

（海軍91550部隊遼寧 大連 116023）

近年來，虛擬化技術成為計算機系統(tǒng)結構的發(fā)展趨勢，并為信息安全管理提供了一種解決思路。介紹了桌面虛擬化技術的特點優(yōu)勢，分析了當前用于桌面管理的2種虛擬化技術架構VDI和IDV，結合具體實際，提出了利用IDV構建電子信息集中管控系統(tǒng)加強電子信息安全管理。

桌面虛擬化集中管控信息安全

1 引言

隨著信息化程度的不斷提高和自動化辦公的不斷普及，涉密文件由傳統(tǒng)的紙質文件越來越多的向電子化文檔轉換，而這些涉密文件零散的存儲在各計算機中，存在很大的安全隱患。桌面虛擬化技術是當前成熟和應用普遍的技術，將分散的終端資源（含操作系統(tǒng)、應用策略、應用軟件和用戶數(shù)據(jù)）集中到數(shù)據(jù)中心，進行有效組織、安全存儲和按需分配。利用桌面虛擬化技術不僅能實現(xiàn)電子信息的集中存儲和管理,同時能有效提升安全管理強度,降低安全管理難度,能在電子信息安全管理中發(fā)揮重要作用[1]。

2 虛擬化技術

虛擬與真實相對，虛擬化則是把計算機系統(tǒng)或組件運行在虛擬環(huán)境中而非原來的真實環(huán)境中。例如PC機，其體系結構可分為硬件資源（CPU、內(nèi)存、主板、顯示器、硬盤和外設等）、軟件操作系統(tǒng)（W indow s、Linux和M ac等）、應用系統(tǒng)（O ffice、W eb瀏覽器、AutoCAD和反病毒軟件等）、用戶配置文件、用戶等5個層次。這5個層次結構中任意上下相連的2“層”之間在編程邏輯上都是緊密相關的，即“緊耦合”，而“松耦合”意味著對于某個“層”來說，在其下層結構不變的情況下，該層可以隨意改動?！熬o耦合”狀態(tài)下硬件資源與軟件操作系統(tǒng)之間、軟件操作系統(tǒng)與應用系統(tǒng)之間、應用系統(tǒng)與其用戶之間是緊密聯(lián)系的。終端設備的多樣性、移動性、安全性和個

性化等需求在這樣的結構中無法得到滿足，當設備更新時，需要對系統(tǒng)及其上的諸多應用系統(tǒng)進行徹底重新安裝以及重新配置，同時還存在原有應用不兼容新裝系統(tǒng)等問題。

虛擬化技術則是在現(xiàn)有層次結構和上下邏輯關系不變的前提下，在任意上下相連的2“層”之間插入一個“虛擬層”，層與層之間由“緊耦合”變?yōu)椤八神詈稀薄Ｌ摂M化技術實質是一種調配計算資源的方法，使得硬件、軟件、數(shù)據(jù)、網(wǎng)絡和存儲等不同層面被一一隔離開來。虛擬化技術利用軟件把不同層面的應用分開，使得層與層之間的改動更容易被實施，其帶來的直接效果就是簡化了管理，同時能更有效地利用IT資源，并能隨時隨地提供合適的計算資源。

“虛擬化”這個概念根據(jù)所處具體層次的不同具有不同的內(nèi)涵，可以分為服務器虛擬化、桌面虛擬化、存儲虛擬化和網(wǎng)絡虛擬化等。其中服務器虛擬化和桌面虛擬化都屬于系統(tǒng)虛擬化，存儲虛擬化和網(wǎng)絡虛擬化則屬于基礎設施虛擬化。桌面虛擬化是將計算機的桌面進行虛擬化，以達到桌面使用的安全性和靈活性，終端用戶可以通過任何設備、在任何地點和任何時間訪問在網(wǎng)絡上的屬于自己的桌面系統(tǒng)。桌面虛擬化和服務器虛擬化是當前應用最廣泛的虛擬化技術，能有效提升安全性[2]。

3 桌面虛擬化安全性提升

桌面虛擬化在傳統(tǒng)計算機硬件和操作系統(tǒng)之間增加支持虛擬化技術的軟件層，通過該軟件層將硬件設備物理資源抽象定義為邏輯資源，從而把用戶使用的操作系統(tǒng)與底層硬件分離出來，降低操作系統(tǒng)與硬件平臺的耦合性。通過桌面虛擬架構，存儲和應用集中在服務器上，安全性相當于傳統(tǒng)模式有很大提升，具體體現(xiàn)在如下幾點[3]：

①虛擬桌面和虛擬工作空間是參照可靠的操作系統(tǒng)、應用程序和用戶的標準配置文件進行創(chuàng)建的，由于虛擬桌面采用可信的標準，可以保證用戶登錄虛擬桌面使用的軟件都是最新的，是合法的。審計人員在數(shù)據(jù)中心就可以核查終端用戶的狀態(tài)，對終端用戶的行為進行評判。對終端用戶的行為進行工作狀態(tài)的檢測，可以保證終端虛擬桌面的用戶在進行非法活動或者惡意活動之前對其進行控制，從而保證了整個虛擬桌面網(wǎng)絡的安全性；

②重要的數(shù)據(jù)保存在集中服務器上，易于防止由于個人造成泄密事件的發(fā)生，集中數(shù)據(jù)管理減少由于過去數(shù)據(jù)分布而帶來的控制難度大的問題，對于意外的安全事故，安全管理員也可以在第一時間內(nèi)發(fā)現(xiàn)；

③虛擬桌面可以更好地控制單位內(nèi)部署的終端電腦和相應配置的軟件，可以統(tǒng)一地完成軟件安裝、補丁、升級和維護等操作，對木馬和病毒的防護比傳統(tǒng)方式強，同時當發(fā)生病毒感染，影響的是虛擬機，可以更快的清除和恢復。

4 桌面虛擬化架構

桌面虛擬化技術最早從遠程桌面技術發(fā)展而來，到第一代桌面虛擬化技術，才真正意義上將遠程桌面的遠程訪問能力與虛擬操作系統(tǒng)結合了起來，使得桌面虛擬化的成規(guī)模應用成為可能，第二代桌面虛擬化技術則進一步將桌面系統(tǒng)的運行環(huán)境與安裝環(huán)境拆分、應用與桌面的拆分和配置文件的拆分，從而大大降低了管理復雜度與成本，提高了管理效率。

目前桌面虛擬化的實現(xiàn)技術主要有2大類[4]，虛擬桌面基礎架構（Virtual Desktop Infrastructure，VDI）和智能桌面虛擬化架構（IntelligentDesktop Virtualization，IDV）。

4.1 VDI架構及特點

VDI是現(xiàn)在較為成熟的桌面虛擬化解決方案，VDI的特點是集中管理、集中計算，用戶的桌面被虛擬化后運行在后臺的服務器上，用戶通過瘦客戶機（ThinClient）利用進程桌面協(xié)議（ICA|RDP）訪問該虛擬機，其原理圖如圖1所示。

圖1 VDI桌面虛擬化架構

VDI的主要優(yōu)勢在于能夠真正實現(xiàn)多設備訪問桌面，例如可以通過移動設備（PAD）訪問到用戶的桌面，但是，VDI也有其較為明顯的缺點：①VDI的建設成本較高，是傳統(tǒng)桌面建設成本的2～3倍左右；②網(wǎng)絡依賴程度高，當網(wǎng)絡質量較差甚至斷網(wǎng)時，VDI便不能再提供桌面訪問；③用戶體驗較差，由于網(wǎng)絡、服務器資源和軟件等問題都會導致較差的使用效果，VDI的用戶體驗通常不是非常好，特別在通用辦公場景甚至高負載桌面應用中，效果更差。

為此，英特爾公司提出了一種革新性的框架Intelligent Desktop Virtualization(IDV)智能桌面虛擬化，它能更加智能的

管理虛擬桌面。

4.2 IDV架構及特點

IDV技術架構與VDI有所不同，主要是“集中管理、分布計算”的方式，客戶虛擬桌面運行在用戶本地的桌面設備（胖客戶機）中，其原理圖如圖2所示。

圖2 IDV桌面虛擬化架構

IDV方式主要有以下優(yōu)勢：①服務器、網(wǎng)絡的投入成本很低，300個用戶的IDV環(huán)境只需要1至2臺服務器即可滿足需求；②對網(wǎng)絡的要求較低，可以允許在脫離網(wǎng)絡環(huán)境的情況下使用；③采用本地計算，用戶體檢很好；④IO兼容性更好。

5 基于IDV的電子信息集中管控系統(tǒng)

根據(jù)本單位實際，采用一種集中管控和分布運行的IDV桌面虛擬化解決方案來構建電子信息集中管控系統(tǒng)[5]，將涉密的信息集中存儲與服務器，用戶終端不留密，實現(xiàn)文檔的全生命周期管理。系統(tǒng)充分利用現(xiàn)有設備，實現(xiàn)基于虛擬化的桌面集中管控，實現(xiàn)桌面數(shù)據(jù)的安全防護，從而為各業(yè)務平臺的穩(wěn)定運行提供良好的桌面環(huán)境。

圖3 基于IDV的電子信息集中管控系統(tǒng)

電子信息集中管控系統(tǒng)的系統(tǒng)架構如圖3所示，管理服務器為系統(tǒng)的核心，提供桌面虛擬化服務，通過網(wǎng)絡系統(tǒng)將桌面系統(tǒng)映像傳輸給終端用戶，并根據(jù)策略對其進行管理，終端用戶使用本地硬件平臺進行計算，并可以離線使用，在網(wǎng)絡連接的時候，這些桌面可以與服務器進行數(shù)據(jù)同步和安全升級等工作[6]。在此模式下，用戶所使用的桌面處于統(tǒng)一的策略監(jiān)管之下。

基于IDV的電子信息集中管控系統(tǒng)的主要功能及優(yōu)勢有：

①電子信息集中管控系統(tǒng)集中管理用戶桌面環(huán)境，根據(jù)用戶需求配置不同的操作系統(tǒng)鏡像，通過網(wǎng)絡統(tǒng)一部署，用戶可在網(wǎng)絡內(nèi)任意終端登錄屬于自己的虛擬桌面，實現(xiàn)局域網(wǎng)內(nèi)的移動辦公，減少用戶計算機軟件沖突、系統(tǒng)崩潰和感染病毒等情況的發(fā)生，最大程度地利用現(xiàn)有瓷源，盡量適應用戶使用習慣；

②通過集中策略管理，可以限制被管理的OS鏡像對外設和網(wǎng)絡的訪問、加密本地存儲的數(shù)據(jù)和在終端丟失后進行遠程擦除，從而保證終端設備的安全性。本地虛擬機可以通過和后臺的數(shù)據(jù)中心進行同步，可以統(tǒng)一下發(fā)標準OS鏡像，也可以定時備份終端上的數(shù)據(jù)；

③每個用戶有單獨的虛擬機及存儲空間，隔離性強，由于存儲服務器的冗余安全特性，有效地避免了由于硬件故障導致用戶數(shù)據(jù)意外丟失。當用戶的桌面環(huán)境崩潰后，可通過網(wǎng)絡迅速恢復；

④通過虛擬化的統(tǒng)一的數(shù)據(jù)備份和數(shù)據(jù)安全等限制，能有效控制用戶和外部的數(shù)據(jù)通道，防止關鍵數(shù)據(jù)的泄漏、損毀和遺失，可以在虛擬化層禁用除鍵盤、鼠標外的其他任何USB設備，避免了從U盤拷貝數(shù)據(jù)泄密和導入病毒的風險，同時由于采用與傳統(tǒng)W indow s客戶端軟件完全不同的設計架構進行管理，用戶無法進行禁用或卸載系統(tǒng)來脫離管控，從而實現(xiàn)管理的有效性。

6 結束語

電子信息資源的集中管控是安全保密的基本要求，也是信息化發(fā)展的一個趨勢，借助當前流行成熟的桌面虛擬化技術，打造電子信息集中管控系統(tǒng)，不僅實現(xiàn)了電子信息的集中管控，同時也加強了對用戶、應用、終端的控制管理力度，能有效提升信息安全管理水平，具備廣泛的應用前景。

[1]陳臻棟．從安全性方面看桌面虛擬化技術[J]．計算機安全, 2011(5)：83-85．

[2]項國富,金海,等．基于虛擬化的安全監(jiān)控[J]．軟件學報, 2012,23(8)：2173-2187．

[3]張秋江,王澎．云計算安全問題探討[J]．信息安全與通信保密,2011(5)：94-95．

[4]徐燕雯．基于KVM的桌面虛擬化架構設計與實現(xiàn)[D]．上海：交通大學,2012．

[5]馬錫坤,于京杰．桌面虛擬化技術及其解決方案探討[J]．中國醫(yī)療設備,2013(7)：15-16．

[6]劉昌,馮炎．桌面虛擬化及其在知識型企業(yè)的應用方案[J]．中國信息界,2011(8)：31-32．

App lication of Desktop Virtualization in Inform ation Security M anagem ent

SHAO Ling
(Unit91550 ofNavy,PLA,Dalian Liaoning 116023,China)

In recent years,the virtualization technology becomes the development trend of computer system architecture and provides a solution for information securitymanagement.Thispaper introduces the characteristicsofdesktop virtualization technology,analyzes the VDI and IDV virtualization technology architectures used in desktop management,and proposes building the electronic information centralized controlsystem by using IDV to strengthen the electronic information securitymanagement combiningw ith the practice.

desktop virtualization;centralizedmanagementand control;information security

TP309

A

1008-1739（2014）13-55-4

定稿日期：2014-06-12