龔偉

摘? 要：隨著網(wǎng)絡安全被提升到國家戰(zhàn)略，企業(yè)逐步開始對信息網(wǎng)絡進行邊界隔離改造，劃分不同網(wǎng)絡區(qū)域，因此帶來了隔離網(wǎng)絡間系統(tǒng)訪問、用戶管理的挑戰(zhàn)。本文采用虛擬桌面技術(shù)，研究規(guī)劃在多個隔離網(wǎng)絡邊界環(huán)境下，實現(xiàn)跨網(wǎng)絡邊界安全訪問的可行性。經(jīng)企業(yè)環(huán)境推廣驗證，本文所研究的方法能夠使企業(yè)實現(xiàn)統(tǒng)一管理、按需交付的跨網(wǎng)絡邊界安全訪問平臺。文中所涉及的方法和技術(shù)，可以為企業(yè)在網(wǎng)絡安全加固保護、信息安全和用戶管理層面提供全新的思路，提升企業(yè)信息安全水平。

關(guān)鍵詞：虛擬桌面;網(wǎng)絡邊界;安全訪問;身份鑒別

中圖分類號：TP309.1? ? ?文獻標識碼：A

文章編號：2096-1472（2021）-01-32-03

Abstract： As network security has been promoted as a national strategy， enterprises gradually begin to transform information network boundary isolation and divide different network areas. This brings challenges to isolating system access between networks and user management. This paper uses virtual desktop technology to study feasibility of achieving secure access across network boundaries in multiple isolated network boundary environment. Proved by enterprise environment promotion， the proposed method can realize unified management for enterprises and a secure access platform across network boundaries， that is delivered on demand. Methods and technologies involved in this article can provide enterprises with new ideas in network security reinforcement protection， information security and user management levels， and improve the level of enterprise information security.

Keywords： virtual desktop; network boundary; secure access; identity authentication

1? ?引言（Introduction）

大型企業(yè)信息化建設中，為了確保信息系統(tǒng)安全性，通常會將信息化網(wǎng)絡拆分為多個專用網(wǎng)絡，從而形成邊界隔離的網(wǎng)絡環(huán)境，不同邊界間使用防火墻、網(wǎng)閘或者物理隔離的方式，實現(xiàn)訪問控制和安全策略管理[1，2]。但企業(yè)計算機設備、應用系統(tǒng)一般僅允許連接到一個網(wǎng)絡區(qū)域中，員工無法使用單一終端接入多個網(wǎng)絡，使用不同網(wǎng)絡中的應用系統(tǒng)[3]。傳統(tǒng)情況下企業(yè)會為用戶配置多個終端，然后使用鍵盤顯示器鼠標（Keyboard Video Mouse， KVM）切換器進行多計算機統(tǒng)一控制[4]，但此種方式存在成本高昂、難以管理、易形成安全風險的問題。隨著虛擬桌面技術(shù)不斷成熟，終端、用戶、桌面分離管理，后臺統(tǒng)一配置交付的技術(shù)方案，為企業(yè)實現(xiàn)跨網(wǎng)絡邊界安全訪問提供了富有價值的解決方案。本文運用虛擬桌面技術(shù)，設計并實現(xiàn)了一套跨網(wǎng)絡邊界安全業(yè)務訪問系統(tǒng)平臺，經(jīng)企業(yè)實際場景推廣運行，為企業(yè)員工訪問不同網(wǎng)絡區(qū)域中的信息系統(tǒng)，提供了安全可行的解決方案。

2? 多網(wǎng)絡邊界虛擬桌面架構(gòu)（Multi-network boundary virtual desktops architecture）

虛擬桌面技術(shù)已在信息技術(shù)領域中推廣應用多年，企業(yè)為確保解決方案的穩(wěn)定性，以及產(chǎn)品的支持服務，通常會選擇使用較為成熟穩(wěn)定的虛擬桌面解決方案產(chǎn)品，如思杰XenDesktop、威睿Horizon View及微軟RDS等產(chǎn)品[5]。本文采用思杰XenDesktop產(chǎn)品作為技術(shù)支撐，按照跨網(wǎng)絡邊界安全訪問的需求，進行架構(gòu)設計、服務配置和用戶虛擬桌面交付[6]。企業(yè)按照信息化規(guī)劃，將不同業(yè)務領域的信息網(wǎng)絡，根據(jù)業(yè)務數(shù)據(jù)流轉(zhuǎn)規(guī)則[7]以及云計算環(huán)境下的實際環(huán)境，規(guī)劃包含生產(chǎn)專用網(wǎng)、研發(fā)涉密網(wǎng)、普通辦公網(wǎng)以及公共互聯(lián)網(wǎng)在內(nèi)的四個網(wǎng)絡邊界區(qū)域，每個網(wǎng)絡均采用信息網(wǎng)絡技術(shù)加以隔離保護，每個網(wǎng)絡邊界區(qū)域功能定義如表1所示。

根據(jù)企業(yè)的網(wǎng)絡邊界區(qū)域劃分，基于虛擬桌面技術(shù)采用集中式管理、統(tǒng)一虛擬桌面交付的特點，本文所設計的跨邊界網(wǎng)絡安全訪問虛擬桌面架構(gòu)如圖1所示。圖1中，虛擬桌面服務資源按照就近原則放置在各網(wǎng)絡區(qū)域中，并且不改變企業(yè)現(xiàn)有網(wǎng)絡邊界區(qū)域劃分，在特殊隔離區(qū)域之間，配置虛擬桌面網(wǎng)關(guān)設備（實現(xiàn)虛擬桌面訪問會話加密代理服務）。并在虛擬桌面接入終端設備上部署定制化身份鑒別接入程序，訪問企業(yè)統(tǒng)一虛擬桌面門戶，由虛擬桌面后臺服務判斷終端的源和目的網(wǎng)絡邊界區(qū)域，分配授權(quán)可訪問的虛擬桌面，以及應用虛擬桌面安全策略實現(xiàn)用戶終端跨邊界網(wǎng)絡安全訪問需求[8]。

3? ?跨網(wǎng)絡邊界安全訪問模型（Secure access model across network boundaries）

通過虛擬桌面技術(shù)實現(xiàn)的跨網(wǎng)絡邊界安全訪問功能，首先可以保障用戶通過統(tǒng)一的門戶進行多個網(wǎng)絡區(qū)域內(nèi)資源的訪問、切換;其次，用戶終端可采用定制化終端接入程序，將客戶端設備均默認配置為零信任（Zero-Trust）狀態(tài)，再由后臺身份鑒別服務進行鑒別后提供服務。最終實現(xiàn)零信任統(tǒng)一安全訪問模型，所有終端用戶均訪問統(tǒng)一的虛擬桌面平臺門戶，門戶與終端之間采用HTTPS加密傳輸，用戶虛擬桌面會話采用安全數(shù)字證書加密的虛擬桌面會話交付。在高安全性要求的兩張網(wǎng)絡之間，采用加入雙因素（Two-Factors）身份認證，并判斷客戶端健康狀態(tài)方式，確保終端、用戶均可以受控，安全可靠。圖2中所展現(xiàn)的終端與虛擬桌面的安全訪問模型，為本文所規(guī)劃配置的目標狀態(tài)。

當用戶訪問不同邊界網(wǎng)絡區(qū)域時，所需采取的身份鑒別認證方式也不同，該邊界網(wǎng)絡區(qū)域內(nèi)所提供的虛擬桌面服務類型也需根據(jù)實際情況進行區(qū)分，表2描述了訪問模型中的區(qū)域安全訪問列表配置。

4? 虛擬桌面安全策略設計（Virtual desktops security policy design）

思杰XenDesktop平臺中，針對虛擬桌面安全策略，可以根據(jù)用戶不同的接入設備、接入方式，以及所訪問的不同虛擬桌面類型進行控制和調(diào)整[9]。通過安全策略配置可以實現(xiàn)以下各項安全功能：

（1）剪貼板數(shù)據(jù)傳遞限制。

（2）終端設備磁盤映射，訪問權(quán)限控制。

（3）虛擬桌面顯示/隱藏安全控制。

（4）本地打印機調(diào)用安全控制。

（5）顯示虛擬桌面水印，動態(tài)防截屏控制。

（6）USB、COM、串口等外接設備安全控制。

如表3所示的策略配置表描述了配置選項：啟用、禁用、允許、禁止和未配置。

5? 終端用戶身份鑒別設計（End-user identity authentication design）

虛擬桌面的接入使用，需要利用各類型的用戶終端設備，如瘦客戶機、臺式計算機、筆記本電腦、移動平板等。由于本方案中存在多個網(wǎng)絡邊界區(qū)域，需要針對不同區(qū)域接入虛擬桌面的終端，執(zhí)行不同的安全策略，分配不同的虛擬桌面資源，因此需要進行終端用戶身份鑒別處理。本文采用定制化終端接入程序[10]，實現(xiàn)對終端設備所處網(wǎng)絡邊界、用戶身份及終端設備安全性的檢測。整個終端用戶身份鑒別業(yè)務流程示意圖如圖3所示。

身份鑒別服務端部分偽代碼：

（1）創(chuàng)建終端用戶身份賬戶數(shù)據(jù)庫。

（2）創(chuàng)建終端設備計算機名、IP地址匹配規(guī)則。

（3）接收定制化終端接入程序提交的終端計算機名、IP地址、賬戶和密碼。

（4）比對終端用戶身份、計算機名和IP地址，匹配對應的訪問頁面。

（5）使用思杰標準API接口，向StoreFront服務器傳遞用戶賬戶、密碼，獲取用戶虛擬桌面資源列表。

（6）將虛擬桌面資源列表發(fā)送到定制化終端接入程序。

（7）結(jié)束與終端程序服務連接。

定制化終端接入程序部分偽代碼：

（1）啟動程序，獲取終端設備計算機名、IP地址，判斷是否安裝安全軟件，若安裝則繼續(xù)，否則提示并退出。

（2）返回登錄界面窗口，由用戶輸入賬戶、密碼，將用戶名、密碼提交到后臺服務器。

（3）獲取虛擬桌面后臺服務器返回的虛擬桌面資源列表。

（4）用戶選擇需要訪問的虛擬桌面資源，程序調(diào)用虛擬桌面客戶端思杰Receiver插件。

（5）Receiver插件連接虛擬桌面，并應用虛擬桌面安全策略。

（6）定制化終端接入程序退出。

根據(jù)上述代碼邏輯，定制化終端接入程序效果如圖4和圖5所示。

6? ?結(jié)論（Conclusion）

本文提出了企業(yè)在信息安全要求日益嚴峻的情況下，部署多網(wǎng)絡邊界區(qū)域環(huán)境，為實現(xiàn)用戶終端跨網(wǎng)絡邊界安全訪問的需求，運用虛擬桌面技術(shù)和終端身份鑒別技術(shù)，設計的一套單一設備、多網(wǎng)使用、安全控制、統(tǒng)一交付的解決方案。通過在企業(yè)生產(chǎn)環(huán)境中的應用部署，對本文所述方案進行了效果驗證，相較于傳統(tǒng)計算機終端，采用虛擬桌面技術(shù)后，員工工作便捷性和終端桌面維護工作效率均得到大幅度提升。由此說明，虛擬桌面技術(shù)在實現(xiàn)跨網(wǎng)絡邊界安全互訪的需求中，具有充分的可用性、易用性，滿足用戶可以擴展到其他具有相同需求的企業(yè)場景中進行推廣的需求。

參考文獻（References）

[1] 馬驍.基于信息安全的網(wǎng)絡隔離技術(shù)研究與應用[J].電子元器件與信息技術(shù)，2020（05）：26-27.

[2] 劉赫.基于網(wǎng)絡安全等級保護2.0的安全區(qū)域邊界[J].電子技術(shù)與軟件工程，2020（01）：236-238.

[3] 張克賢，鐘掖，張光益.計算機網(wǎng)絡邊界安全防護管理方法研究[J].通訊世界，2019（12）：80-81.

[4] 白寧.讓復雜變簡單：體驗KVM多電腦切換器[J].網(wǎng)絡與信息，2012（01）：52-53.

[5] 馬博峰.VMware、Citrix和Microsoft虛擬化技術(shù)詳解與應用實踐[M].北京：機械工業(yè)出版社，2013.

[6] 劉宸，王強.基于Citrix虛擬化的桌面云平臺構(gòu)建與應用研究[J].智能計算機與應用，2017（10）：98-99;103.

[7] Laisen Nie， Dingde Jiang， Zhihan Lv. Modeling network traffic for traffic matrix estimation and anomaly detection based on Bayesian network in cloud computing networks[J]. Annals of Telecommunications， 2017（72）：5-6.

[8] 武越，劉向東，段翼真.桌面虛擬化安全訪問控制架構(gòu)的設計與實現(xiàn)[J].計算機工程與設計，2014（05）：1572-1577.

[9] 駱慧勇.基于云桌面實現(xiàn)網(wǎng)絡安全隔離的應用[J].計算機應用與軟件，2020（2）：16-17.

[10] 傅鸝，鄭宇，黃小明.綜合身份鑒別系統(tǒng)的研究與開發(fā)[J].軟件導刊，2006（19）：59-61.

作者簡介：

龔? ?偉（1979-），男，碩士，高級工程師.研究領域：制造業(yè)信息化，企業(yè)信息化管理.