● 楊 軍 吳 聰 /文

云桌面在企業(yè)信息化應(yīng)用中的安全問題淺析

● 楊 軍 吳 聰 /文

云桌面的安全風(fēng)險(xiǎn)主要表現(xiàn)在機(jī)房安全風(fēng)險(xiǎn)、終端安全風(fēng)險(xiǎn)以及信息安全管理風(fēng)險(xiǎn)等三個(gè)方面。

云桌面是云計(jì)算模式下IT的創(chuàng)新辦公應(yīng)用系統(tǒng)，可以將計(jì)算、存儲(chǔ)、管理服務(wù)發(fā)布給使用者，實(shí)現(xiàn)向任何地點(diǎn)的任何設(shè)備交付應(yīng)用和桌面服務(wù)。企業(yè)信息化建設(shè)中通過這種虛擬化技術(shù)應(yīng)用，可以大大降低設(shè)備采購(gòu)費(fèi)用，提高系統(tǒng)維護(hù)的便利性和辦公的靈活性，進(jìn)而提升工作效率。當(dāng)然，便捷的事物脆弱性也會(huì)較高，存在安全風(fēng)險(xiǎn)。云桌面的安全風(fēng)險(xiǎn)主要表現(xiàn)在機(jī)房安全風(fēng)險(xiǎn)、終端安全風(fēng)險(xiǎn)以及信息安全管理風(fēng)險(xiǎn)等三個(gè)方面。筆者主要從這三個(gè)方面入手，淺析云桌面在企業(yè)信息化應(yīng)用中的安全解決方案。

云桌面機(jī)房安全保護(hù)機(jī)制

云計(jì)算機(jī)房安全性主要是指云計(jì)算基礎(chǔ)設(shè)施安全，需要配置好云計(jì)算基礎(chǔ)設(shè)施系統(tǒng)安全保護(hù)機(jī)制，進(jìn)而提升系統(tǒng)的安全性能。云計(jì)算機(jī)房基礎(chǔ)設(shè)施安全保護(hù)機(jī)制分為物理安全機(jī)制、網(wǎng)絡(luò)安全機(jī)制、主機(jī)安全機(jī)制等。

物理安全保護(hù)機(jī)制。物理安全是指在物理環(huán)境上要實(shí)施防盜、防損、防非法入侵等安全保護(hù)措施。云計(jì)算機(jī)房設(shè)備控制中心的位置選擇有一定的要求，應(yīng)當(dāng)選擇防水、防火、防盜的安全區(qū)域，安裝防水、防火、防盜設(shè)施，按照行業(yè)規(guī)范標(biāo)準(zhǔn)制定相應(yīng)的安全管理制度與安全策略并嚴(yán)格執(zhí)行。

網(wǎng)絡(luò)安全保護(hù)機(jī)制。云計(jì)算機(jī)房設(shè)備控制中心網(wǎng)絡(luò)安全包括傳統(tǒng)的網(wǎng)絡(luò)安全和網(wǎng)絡(luò)虛擬化的網(wǎng)絡(luò)安全。

傳統(tǒng)的網(wǎng)絡(luò)安全問題保護(hù)機(jī)制。目前主流網(wǎng)絡(luò)安全產(chǎn)品有三類：一是基于包過濾策略的基礎(chǔ)防火墻類；二是入侵檢測(cè)和防御類；三是針對(duì)特殊協(xié)議的主動(dòng)安全類，如Web應(yīng)用防火墻WAF，數(shù)據(jù)庫(kù)應(yīng)用防火墻DAF。

網(wǎng)絡(luò)虛擬化的網(wǎng)絡(luò)安全保護(hù)機(jī)制。橫向整合或是縱向分割的網(wǎng)絡(luò)虛擬化技術(shù)提升了網(wǎng)絡(luò)服務(wù)的安全性、可靠性及可用性的同時(shí)，也給基于此技術(shù)部署的云計(jì)算環(huán)境網(wǎng)絡(luò)帶來新的挑戰(zhàn),需要正確配置、管理虛擬交換機(jī)和虛擬防火墻。對(duì)于采用VMware虛擬化技術(shù)進(jìn)行網(wǎng)絡(luò)虛擬化，采用基于VMsafe的VMvsphere技術(shù)管理的虛擬化網(wǎng)絡(luò)環(huán)境中，可在物理機(jī)和物理機(jī)之間（如 vCenter Server系 統(tǒng) 和ESXi主機(jī)之間）、虛擬機(jī)和虛擬機(jī)之間（如作為外部Web服務(wù)器的虛擬機(jī)與連接公司內(nèi)部網(wǎng)絡(luò)的虛擬機(jī)之間）、物理機(jī)和虛擬機(jī)之間（如在物理網(wǎng)絡(luò)適配器卡和虛擬機(jī)之間）部署和配置虛擬防火墻。

主機(jī)安全保護(hù)機(jī)制。在云計(jì)算中心機(jī)房，主機(jī)是指那些用來實(shí)現(xiàn)云平臺(tái)部署的服務(wù)器，從硬件方面講，要采用基于可信計(jì)算技術(shù)設(shè)計(jì)、生產(chǎn)的企業(yè)級(jí)服務(wù)器。從軟件和管理上講，可根據(jù)實(shí)際情況，選擇通過禁止匿名用戶的shell訪問、限制鎖定模式下的DCUI訪問權(quán)限、禁用授權(quán)（SSH）密匙、禁用Managed Object Browser(MOB)以及配置spm_paswdqc.so文件，更改密碼復(fù)雜度和強(qiáng)度參數(shù)等方式，來提高主機(jī)安全性。

企業(yè)信息化建設(shè)中通過云桌面這種虛擬化技術(shù)應(yīng)用，可以大大降低設(shè)備采購(gòu)費(fèi)用，提高系統(tǒng)維護(hù)的便利性和辦公的靈活性，進(jìn)而提升工作效率。

當(dāng)然，便捷的事物脆弱性也會(huì)較高，存在安全風(fēng)險(xiǎn)。

云桌面終端安全解決措施

建立統(tǒng)一整合的桌面管理平臺(tái)，既能提高系統(tǒng)綜合功能，加強(qiáng)安全性能，簡(jiǎn)化了系統(tǒng)的復(fù)雜程度，又減低了系統(tǒng)運(yùn)行成本。整合桌面終端安全管理需要注意以下幾個(gè)方面：

整合終端安全管理。包括網(wǎng)絡(luò)接入和用戶訪問身份認(rèn)證；進(jìn)程訪問控制；用戶安全操作定義和安全策略配置；病毒、木馬、蠕蟲、僵尸網(wǎng)絡(luò)、釣魚網(wǎng)站、黑客入侵與攻擊、劫持等軟件監(jiān)測(cè)與管理，備份、修復(fù)與補(bǔ)丁管理。

終端運(yùn)行維護(hù)和文檔安全管理。各種軟件、硬件資產(chǎn)管理；統(tǒng)一的軟件分配、調(diào)用、遠(yuǎn)程支持；全方位運(yùn)行監(jiān)控與實(shí)時(shí)監(jiān)測(cè)終端運(yùn)行記錄等；本地文件的存儲(chǔ)和分發(fā)安全，訪問優(yōu)先級(jí)和權(quán)重的確定等。

信息安全防護(hù)。網(wǎng)絡(luò)安全，包括網(wǎng)絡(luò)層面、應(yīng)用層面、資源層面等；存儲(chǔ)設(shè)備和介質(zhì)，網(wǎng)絡(luò)打印機(jī)、本地和虛擬打印設(shè)備，各種計(jì)算機(jī)外部設(shè)備接口等。整合桌面管理實(shí)現(xiàn)了統(tǒng)一監(jiān)管服務(wù)，使管理的復(fù)雜度得以簡(jiǎn)化，降低了漏洞和缺陷的概率，尤其是在容災(zāi)方面，較之傳統(tǒng)模式更具優(yōu)勢(shì)。

云桌面計(jì)算模式下信息安全防范

云桌面計(jì)算模式的先天性優(yōu)勢(shì)并不意味著放松對(duì)信息安全的管理，在云計(jì)算模式下，傳統(tǒng)的信息安全技術(shù)會(huì)大大折扣，用戶可參考云安全聯(lián)盟（CSA）發(fā)布的云安全指南及其他相關(guān)文獻(xiàn)資料進(jìn)行合理有效的規(guī)劃，本文結(jié)合實(shí)際使用提出以下三個(gè)需要用戶特別注意的關(guān)鍵點(diǎn)：

采用安全的加密通道。雖然用戶終端與數(shù)據(jù)中心間沒有業(yè)務(wù)數(shù)據(jù)的傳輸，仍然建議用戶采用安全的加密通道進(jìn)行數(shù)據(jù)傳輸，典型的解決方案是采用SSL/TLS VPN技術(shù)并啟用雙因素認(rèn)證，能很好地滿足遠(yuǎn)程辦公系統(tǒng)對(duì)終端合規(guī)性、數(shù)據(jù)加密、信息認(rèn)證和身份認(rèn)證、訪問控制、數(shù)字簽名的要求。

建立集中式防病毒體系。與傳統(tǒng)防病毒體系不同，由于虛擬機(jī)的集中管理和運(yùn)行特征，單臺(tái)虛擬機(jī)獨(dú)立安裝防病毒軟件會(huì)引起嚴(yán)重的I/O風(fēng)暴，用戶應(yīng)當(dāng)采用基于虛擬化平臺(tái)的集中式防病毒解決方案。

規(guī)劃網(wǎng)絡(luò)區(qū)域并適度隔離。移動(dòng)辦公系統(tǒng)需要通過互聯(lián)網(wǎng)實(shí)現(xiàn)，用戶應(yīng)遵從安全管理要求合理劃分網(wǎng)絡(luò)區(qū)域，如考慮增加安全隔離區(qū)域，并與數(shù)據(jù)中心內(nèi)部建立適度隔離機(jī)制。

云桌面安全問題是信息安全的一個(gè)重要環(huán)節(jié)，如何從根本上杜絕這種現(xiàn)象，云桌面系統(tǒng)供應(yīng)商、企業(yè)信息技術(shù)人員都在不斷進(jìn)行研究探討和完善。相信在不遠(yuǎn)的將來，信息安全防護(hù)措施會(huì)日趨完善，信息安全將得到進(jìn)一步保障，云桌面技術(shù)方案的運(yùn)用必將提升至一個(gè)新的高度。

（作者單位：湖北工業(yè)大學(xué)）