桌面虚拟化之安全性

桌面虚拟化之安全性（精选七篇）

桌面虚拟化之安全性 篇1

随着近年来我国信息化建设的大力推进, 各个行业中普遍利用计算机网络技术、云服务等来辅助企业生产与管理, 但桌面终端数量逐渐增加带来了运维成本高、终端管理困难、能源消耗大等问题。为了进一步提高桌面终端的管控能力, 更好实现企业的运营管理, 信息工作者们利用虚拟化技术来进行桌面终端管理。

桌面虚拟化指的是将计算机的桌面进行虚拟化, 将分散的用户桌面集中到服务器中, 并以虚拟机的形式在云端数据中心服务器上运行虚拟桌面, 通过构建一个与硬件无关的用户桌面计算环境, 对虚拟桌面进行集中运行维护、管理控制, 实现具有高安全性、高可用性和低管理维护成本的桌面终端系统。大量用户的虚拟桌面运行在数据中心的同一台服务器上, 打破了传统用户桌面运行在各自主机上的物理隔离局面, 只要有网络, 人们就可以通过多种设备, 在不同地点便捷地访问用户个人桌面系统。

对于办公环境的计算机来说, 通过虚拟化技术的利用, 可以在服务器端对所有计算机进行集中统一的管理, 员工的桌面终端统一使用虚拟机或瘦客户端等云终端设备, 集中管理、部署操作系统、安装应用软件等更加方便快捷。由于云终端设备只具有输入、输出、界面显示的功能, 不参与任何的应用与计算, 因此, 具有高效、节能的特性。还可以利用桌面远程运维管理系统, 对所有桌面终端进行文件传输、即时通讯、运维审计、远程协助等操作, 实现远程桌面终端运维管理功能, 并通过信息运维综合监管系统, 统一规范运维、操作等流程, 提高桌面终端的运维效率, 降低运维成本。

2 桌面虚拟化的安全风险分析

虚拟化技术将所有用户数据都集中储存在数据中心, 可以轻松抵御数据窃取的风险, 保障数据的安全性。由于分配给用户的虚拟桌面与虚拟工作空间, 是建立在可靠安全的服务器配置基础上, 可以保证用户每次登陆桌面时, 面对的都是较新的、安全的软件。并且用户进行一些非法、恶意行为时, 系统管理员可以及时控制和制止, 而且当用户终端发生故障时, 只要提供虚拟服务的服务器是正常的, 用户的数据信息就不会受到影响, 大大保障了虚拟网络的安全性。

由此可见, 桌面虚拟化具有传统的桌面终端无法比拟的优势, 但桌面虚拟化同时也存在着一定的安全风险, 接下来就从几个方面分析虚拟化桌面的安全风险。

(1) 虚拟化桌面需要用户进行身份验证之后才能进入自己的桌面, 那么如果验证环节有漏洞、通过验证的并不是用户本人, 那就意味着用户的数据信息泄露、被篡改的风险极大。相比非虚拟化的电脑终端拔电源、拔网线的“保护措施”, 桌面虚拟化的数据安全性让人担忧。

(2) 大量用户的虚拟桌面运行在同一台服务器上, 攻击者可以利用虚拟化平台的安全漏洞攻击虚拟桌面, 窃取、篡改用户的重要数据, 同时攻击者还有可能将安全威胁迅速扩散到统一服务器的其他虚拟桌面中, 加剧安全风险。

3 桌面虚拟化安全风险的应对建议与措施

虚拟化桌面在实际应用中, 在用户验证、病毒防护、数据存储、网络传输等各环节, 都有可能存在安全威胁, 忽视任何一个环节都有可能导致整个虚拟化平台产生安全漏洞。因此, 主要从以下几个环节, 分析桌面虚拟化安全风险的应对措施。

3.1 用户验证环节

用户在使用自己的虚拟化桌面时, 首先要进行身份认证, 只有通过身份验证的用户, 才可以随时随地访问自己的桌面。不过那也意味着, 在当前, 只要使用用户名与密码通过身份验证, 任何人都可以访问自己的桌面系统, 截取自己的信息数据, 因此, 单靠访问权限验证并不是完全安全的。

因此, 要进一步采取严格的用户身份验证方法。如可以使用智能卡的方式进行身份验证, 将智能卡作为身份验证以及验证用户硬件的主要凭证。在实际操作过程中, 相应用户只需要将卡片插入到读卡设备中, 这时智能卡就会将证书注册到本地证书中, 然后对用户身份进行验证, 最后完成登录。而智能卡不但要完成身份验证, 还要进行虚拟桌面的身份验证, 此外, 还要保证服务器可以根据相应证书对用户身份进行验证, 然后再根据实际需求将虚拟桌面提供给已完成认证的用户。

3.2 病毒防护环节

由于不同用户的虚拟桌面有所不同, 所以应使用不同的措施来进行病毒防护。在桌面虚拟开始阶段, 可以在用户终端上开启磁盘写保护, 不让数据保存在终端, 并且在终端重启后数据会恢复到原来的位置。在服务器端的操作系统上, 可以利用第三方的软件、VMware管理工具等, 保证只有通过审核的进程才能在虚拟平台中运行, 防止攻击者经过操作系统漏洞入侵服务器。另外, 具有危险性的服务或不用服务应及时关闭, 以最大程度上减少攻击者可能利用的入口。

3.3 数据存储环节

桌面虚拟化将用户的数据信息集中存储在服务器端的磁盘阵列上, 系统管理员可以轻易通过一台服务器查询、获取全部用户的数据, 这在一定程度上增加了数据被修改、泄露的可能, 造成较大的数据储存风险。因此, 要对系统管理员的行为进行严格的监督审核, 避免由人为因素造成数据存储环节的安全问题。

其次, 要对用户的个人数据进行相应的加密保护, 可以采用一些加密设备或加密技术等对用户的个人数据进行加密存储。加密算法可以由用户来制定, 一般考虑使用虚拟磁盘技术来进行加密保护, 使得该虚拟磁盘只有创建者才能打开并读写数据, 大大增强了数据存储的安全性。

最后, 系统或应用软件的设计缺陷、恶意代码和计算机病毒的攻击、人为的操作失误、硬件的损毁、自然灾难等诸多因素, 都有可能造成计算机中数据的丢失, 造成无可估量的损失。为了保护关键的用户数据, 在数据备份及容灾方面, 可以采用数据备份恢复机制, 实现用户数据的备份与快速恢复。

3.4 网络传输环节

在桌面虚拟化环境中, 用户终端通过虚拟桌面网络协议访问后端虚拟桌面, 但如果协议本身有安全缺陷, 用户的数据信息很有可能会被截获或篡改。因此, 必须对虚拟桌面终端与服务器端之间的通信进行加密处理。可以将RDP协议通过HTTPS“搭建隧道”, 并使用SSL (安全套接字层) 进行加密, 这种安全协议与网上银行、信用卡支付等提供的安全级别是一致的。另外, 也可以利用VPN (虚拟专用网络) 设备, 建立用户与虚拟机之间的加密传输通道, 实现数据的加密传输与数字签名, 避免数据被窃听或截获, 保证传输信息的机密性、完整性和可用性。

4 结语

总而言之, 虚拟化桌面的有效应用, 不仅可以使用户不再受登录时间、地点的影响, 还提升了实际办公效率。所以, 为了进一步提升虚拟化桌面使用效率, 在实际建设过程中, 要全面考虑桌面虚拟化自身安全性, 确定最为合适的建设方案, 保证桌面虚拟化安全顺利进行。

参考文献

[1]莫止卿.桌面虚拟化的安全分析与设计[J].信息安全与通信保密, 2014 (9) .

[2]郑自国.虚拟化技术替代硬盘还原卡在高校计算机机房中的应用[J].电脑编程技巧与维护, 2016 (16) .

[3]陈华实.浅谈桌面虚拟化之安全性[J].电子制作, 2013 (21) .

[4]骆书剑, 胡春潮, 颜仪, 等.桌面虚拟化安全性分析与建设方案[J].电气技术, 2014 (11) .

从安全性方面看桌面虚拟化技术 篇2

关键词：安全性,桌面虚拟化技术,问题

0 引言

随着科技的不断发展和进步, 虚拟化技术很好地解决了在传统的业务平台上发生的安全隐患, 让系统管理变得更加容易。但是在便利的同时它也带来了很多风险, 而且这种风险具有一定的隐蔽性, 让用户发现深层问题变得比较困难。

1 桌面虚拟化技术带来的积极作用

借助桌面虚拟化架构, 桌面应用程序实际上是在数据中心当中的服务器上进行执行, 它依赖于各种显示协议, 而对安全性起到的提升作用主要体现在了以下的几个方面:首先, 它能够更好地对终端电脑以及相对应的配置软件进行控制, 统一进行软件的安装、升级等操作。比较敏感的用户数据都在数据中心当中进行存储, 一旦发生意外事故, 负责安全管理的工作人员也能够在最短时间内及时发现。其次, 它能够对工作人员虚拟工作空间进行合理的管理, 保证用户即便访问了不可信任的主机也不会产生工作数据方面的不良影响。最后, 它还能够在提升单位网络的整体安全稳定性的同时降低安全成本, 借助集中管理镜像文件, 让维护安全性能所耗费的成本有大幅度的降低。总的来说, 在桌面虚拟化技术下带来的积极作用包括以下三点。

1) 虚拟桌面本身以及其虚拟的工作空间都参照比较可靠的操作系统等, 来进行创建, 依托于非常可信的规范模式, 保证用户能够使用到最合法、最新型的软件, 同时在数据中心当中的审计人员可以很快对终端用户操作行为进行适当的评判, 保证利用虚拟桌面进行的非法活动能够在开始之前就得到遏制, 保证安全性。

2) 重要数据大多都在集中服务器当中保存, 防止泄密事件, 同时也解决了数据分布太广所带来的难以控制的问题, 管理人员只需对一部分关键节点进行定期的维护即可, 不必再对每台终端进行维护, 节省人力物力。

3) 合理运用虚拟桌面能够降低灾难恢复以及维持业务所产生的费用, 使用虚拟桌面之后, 用户不必在本地再进行数据的保存。即便用户所处地区出现了严重的故障, 只要在远程服务器正常的状态下, 本地用户都能够及时在新终端上恢复工作以及业务。

2 桌面虚拟化技术带来的负面作用

即便目前桌面模拟技术已经给管理者带来很多的便利, 不过从安全稳定性以及用户的体验角度来考虑的话, 带来的除了积极作用之外还有很多负面影响。

1) 虚拟桌面在进行网络迁移过程当中产生的风险仍然比较大, 这是因为虚拟桌面在网络当中经常要进行大量文件的迁移, 在这个过程中, 局域网内部的用户基本上都不存在秘密, 极易被趁虚而入;另外, 大量文件进行迁移不但会对网络的性能有非常高的要求, 同时也会增加正常使用的不确定性, 例如, 一部分虚拟桌面进行一段时间的使用之后就会出现莫名死机的情况。

2) 使用虚拟机的过程当中正确进行审计和控制目前还没有出现任何一个能够完成的理想工具, 导致在每一个虚拟桌面的客户端权限之间没有非常明显的区别。在这样的环境下, 需要考虑的一项风险是低级虚拟机是否可能直接越过访问的权限进入高级虚拟机之中, 即便目前在虚拟桌面的架构当中是不允许这种操作的, 但是在一些非法的工具帮助下, 却可以借助相同存储空间以及级别达到侵害数据的目的。

3) 在虚拟桌面中管理员所具备的权限也可能会带来一定的泄露秘密以及接数据破坏的风险。而且作为管理员, 由于拥有直接操作的权限, 进行这项操作的成本也非常低, 即使数据已经进行加密, 也能够直接将数据完整拷贝之后进行破解。另外, 集中权限也让管理员的约束条件非常低, 管理员进行任何操作基本上都是没有约束的。

4) 用户的个性化体验相对比较低, 使用了桌面虚拟化, 只有所有人都能够对相同模式的桌面、背景、软件有同样的需求才能够让每个用户都满意, 但是这显然是不可能的, 每个用户都有或多或少的个性化使用方式, 还有一部分工作单位, 它们每个部门之间的需求也都不尽相同, 导致用户的个性化体验水平目前还比较低, 很多用户都要面对很多对自己来说没有意义的软件。

3 如何对桌面虚拟化技术进行安全性方面的改进

在桌面模拟实现了完全化的实施之后, 需要进行适当的安全性能优化, 主要包括访问的控制、审计等方面, 大概包括以下几个方面。

3.1 建立健全访问控制的体系

在虚拟机内部以及外部分别建立起非常完善的控制访问体系, 让每一个虚拟机所具备的权限以及能力, 都能拥有独立的程序控制表, 让每一台虚拟桌面都能够对不同程序进行访问。

3.2 审计流程以及审计日志

实行非常完善的审计配置以及日志审计流程, 让管理员操作行为以及用户操作行为都有非常详细的记录以供审计。

3.3 对传输通道进行加密

利用硬件建立起对虚拟桌面进行加密传输的安全通道, 保证文件迁移中不会遭到完整拷贝。

3.4 建立起虚拟存储保护系统

虚拟存储的保护是非常重要的一部分内容, 如果虚拟桌面的服务器被外界破坏, 那么整个架构就会受到严重的损坏。因此, 需要采取多种方式来进行保护。

4 结语

进行虚拟桌面的架构是一个需要长期进行的工程, 它具有高度的复杂性, 会影响到所有的终端。应用虚拟桌面技术主要需要注意的是数据集中控制所带来的性能方面以及运行成本方面的变化。另外, 管理员的控制力度也会不断地增强, 维持这些因素的平衡, 虚拟桌面所带来的隐患才能够降到最低, 让整个网络都能实现性能的提升。

参考文献

[1]金洁.虚拟桌面管理系统的设计与分析[D].南京:南京理工大学, 2013.

[2]白伟, 李凤英.浅谈桌面虚拟化技术发展与应用现状[J].中小企业管理与科技 (上旬刊) , 2013 (12) .

[3]邵凌.桌面虚拟化在信息安全管理中的应用[J].计算机与网络, 2014 (13) .

桌面虚拟化信息安全的探究 篇3

桌面虚拟化基于虚拟化应用平台交付和虚化框架平台的集成, 依赖于服务器虚拟化。桌面虚拟化的信息安全问题, 是虚拟化新技术与信息安全的交集。桌面虚拟化安全是值得探讨的一个话题, 其目标是打造为企业重要信息提供可靠支撑的信息化保障体系, 为企业带来更高的实际利益。

1 桌面终端安全分析

1.1 桌面虚拟化背景分析

桌面虚拟化是指将计算机的桌面进行虚拟化, 使用户可以通过安全网络在任何设备, 任何地点, 任何时间远程访问属于其个人的桌面, 并获得与传统PC机一致的用户体验。桌面虚拟化不是由本地操作系统产生的, 而是由后台数据中心生成, 并完成交付的工作, 其拥有集中管理、可扩展的管理、简化的部署等特性。

目前, VDI (Virtual Desktop Infrastructure) 是桌面虚拟化的主流架构与部署方式, 当前主流的虚拟桌面技术厂商, 都已经确定了各自主打的桌面显示协议, 如Microsoft的RDP、Citrix的ICA/HDX、Red Hat的SPICE、VMware的PCo IP等。桌面虚拟化通过统一的远程访问协议来进行桌面访问, 这样的好处是显而易见的, IT人员只需要做好其中一条防线的保护。

1.2 桌面虚拟化安全问题

云计算是桌面虚拟化的重要支撑, 是一个IT基础架构的研究热点, 虚拟桌面重新回收分散的桌面分布, 集中到数据中心统一部署和管理, 这大大方便了桌面维护工程师的工作。桌面虚拟化技术的应用大大提高了桌面的可用性, 而性能也可以通过使用新的、更强大的服务器不断提高。桌面虚拟化在内网安全方面的提升很明显, 例如防止数据丢失, 数据备份, 系统的简化等。

但由于信息化的不断发展, 桌面虚拟化应用随之普及, 也带来了一些新的安全问题。例如Blue pill攻击, 它通过良好的处理内核模式存储转换, 使用VMRUN以及相关的SVM指令, 对第三方软件进行欺骗操作, 取得系统的进入许可, 如使用虚拟主机进行跳板攻击, 将大大威胁数据中心的整体安全。另外, 资源滥用也不容忽视, 个别用户的资源滥用, 可导致其他桌面用户体验受影响。

桌面虚拟化因用户群体关系, 基本上基于Windows系统, 但Windows安全性的一些问题不容忽视。为解决这些问题, 管理员会使用传统的杀毒软件及防火墙进行部署, 但对于桌面虚拟化环境, 这并没有提高效率, 还可能出现严重的问题。例如, 杀毒软件的不合理设置, 可能导致杀毒风暴的出现, 这将耗尽数据中心所有资源, 导致数据中心宕机。

因此, 对于数据中心的运维而言, 迫切需要一套新的运维方式和技术手段去保障系统的稳定和安全。

2 桌面虚拟化安全的保障

2.1 桌面虚拟化安全基础架构

虚拟化网路基础还是建立在传统的网络上, 只是对其进行相应的简化, 网络安全也是基于原有网络理念进行, 例如入侵检测、安全审计、防病毒等。

当前主流的虚拟化产品采用的是Hypervisor模型为架构的产品, 主要产品有VMWare ESXI、KVM等产品, 国内采用的主要架构还是后期经过演进后的KVM。它们的优点包括:因为VMM既有物理硬件支配权力, 也有虚拟化功能, 效率会更高;但是在安全方面, 虚拟机的安全取决于VMM安全。它们的缺陷同样是很明显的:因为VMM完全主宰了物理硬件支配权力, 所以需要一个物理资源的管理程序, 包括设备驱动程序, 由于设备驱动程序的开发工作量非常大, 对于VMM来说, 这是一个很大的挑战。

2.2 桌面虚拟化防病毒安全

在桌面虚拟化环境中, 传统的杀毒模式显然是不合时宜的, 因此, 需要更好的方式以解决系统安全方面的问题。

虚拟化杀毒, 需采用无客户端的集中查杀架构, 以避免病毒防护的相关问题。对比在每一台机器上安装部署一套传统企业版本的杀毒软件, 显然在Hypervisor中插入一个虚拟自省的插件是更好的办法。对桌面集中管理、统一查杀、防病毒, 由一个独立的专门的安全虚拟机负责, 它的主要任务是负责分配政策和查杀病毒, 而每个物理主机上只有一个病毒查杀引擎, 负责所有虚拟主机的病毒查杀, 这样既节省了物理硬件资源的成本消耗, 也避免了病毒风暴的爆发。对于新的虚拟机镜像, 防病毒插件也能够对其进行保护, 避免安装源受到感染, 见图1。

2.3 桌面虚拟化入侵检测

相对于传统的入侵检测, 在虚拟化的桌面环境中已经有了新的定义。

Hypervisor管控硬件层, 通过以软件方式嵌入到Hypervisor, 见图2。由此可即时监测到各台虚拟机之间的网络流量, 通过制定的安全策略进行访问控制, 同时, 流量监测引擎可将流量从Hypervisor层直接转发到第三方设备或系统进行集中分析, 达到现在的IDS、IPS、流量抓包回溯系统的效果, 由于虚拟化的基于物理的接管层, 甚至更优于现在基于X86架构的防火墙。

2.4 桌面虚拟化数据安全

采用桌面虚拟化技术后, 桌面的管理可通过镜像源文件进行管理, 无论是操作系统的安全加固还是应用程序的安装部署, 只需要调用应用镜像文件, 我们可以100%的同步到每个桌面终端, 可以由管理员从楼层的安装维护到办公室的远程一键部署转化。

一方面, 可以通过合理定制镜像, 避免了信息管理人员的违规操作, 保证了企业应用系统的安全。由于数据保存在数据中心中, 有效避免了单台PC硬盘损坏, 设备丢失等意外造成的数据安全问题。

桌面虚拟化解决方案也可以分为不同的部门, 为企业战略管理设置不同的图像文件和应用程序, 并为每一个员工提供个性化桌面应用环境。在一般成型企业中, 同一部门的员工通常比较类似, 所以可以使用模板创建出用户特点相同类型的标准, 通过Composer技术, 为相同类型的用户部署相同的虚拟桌面, 见图3。

Composer使用链接克隆技术, 它允许快速从父虚拟机映像创建桌面映像, 虚拟机的快速部署, 每当在父虚拟机映像的更新的实现, 虚拟桌面可以在几分钟内部署任何数量的虚拟桌面, 大大简化了部署和维修工作。在本过程的用户层面来看, 不影响用户个人设置, 工作数据和应用软件等, 这样用户可以高效率地使用工作用途的虚拟化桌面。

通过Composer技术, 使多个用户共享相同的“桌面池复制图像”, 并为每个用户分配独立的非系统盘, 通过该技术可以大大降低存储成本。日常管理和维护也只有对父虚拟机的维护, 因此可以减少维护管理工作量, 并有效地解决了数据与应用的分离, 以保持数据的完整性, 降低事故造成的影响。

2.5 桌面虚拟化审计安全

审计作为信息安全中重要的一环, 在传统的终端采用C/S架构, 对桌面内容的操作能够进行审计, 归根结底还是基于系统创建后台进程, 对终端行为发送到服务器端进行审计, 但是在虚拟化时代, 审计方式有了新的变化。

当前的桌面虚拟化产品, 一般只会记录事件日志或用户登录等信息, 并存储在数据库中, 以报告或报表的形式供IT人员查看。但企业管理员, 甚至是企业老板, 如果想知道员工办公操作行为, 如果这些信息关乎到商业机密的信息操作, 却无法审计 (因为这些都不是记录) , 那么如何满足有效审计的要求呢?当前一些厂商的桌面都无法对虚拟桌面的桌面进行审计, 只有通过在虚拟服务器平台安装相关工具去实现。如:observeit、record TS工具可以审计包括PCo IP、RDP、SSH协议的用户操作, 用户在虚拟桌面, PC机上做的任何操作都可以被记录, 但这种记录还是会对资源进行消耗, 虚拟化的效果就不明显了。因此, 在Hypervisor中进行相关的审计是最有效的。

2.5.1 操作审计

相对于传统的桌面虚拟化, 通过Hypervisor嵌入审计软件, 进行桌面交互协议翻译、桌面交互协议回放, 见图4。

对于客户机而言, 它具有免除安装, 无客户端, 资源占用小, 以日志记录格式存在协议记录, 审计数据小, 可检索等优点。它是通过一个安全的虚拟客户机传送到审计中心, 通过加密协议传输, 一方面保证了传输的保密性, 另一方面保证了审计的准确性。

2.5.2 输出审计

在桌面虚拟化的安全审计响应, 可以对客户机的行为进行审批控制, 先审批, 后输出, 集中控制和管理, 并记录到审计中心, 这样有利于对工作人员的内审内控的监管, 有效防止诸如财务部、采购部等敏感部门泄密的可能性。通过审计记录与桌面账户关联, IP/mac地址与用户绑定, 实现内网用户实名制审计, 有效避免了内网用户错审漏审, 是有效的审计手段。

2.5.3 管理审计

所谓安全管理, 信息科的管理人员也处于重要一环, VMM管理员的身份鉴别、访问控制、管理行为集中, 对未授权的操作进行过滤或拦截。管理人员通过接入终端, 对内网进行管控, 由于是基于Hypervisor层面, 对高技术人才的防范更加有效, 一方面能够使管理人员避嫌, 另一方面能够规避管理人员造成的风险, 还能够对管理人员进行安全绩效考核, 提高管理人员的安全素质。

3 结语

目前的桌面虚拟化, 并不只是纯粹将原有的硬件性能进行整合的基础上增加了新的功能, 更在安全上, 动态的资源调配效率上有了很大的提升。虚拟化技术最有价值的是, 它可以对硬件底层, 操作系统之间的关系进行协调, 真正解决桌面可用性低的问题。至少, 虚拟桌面管理技术提出了一种新思想的桌面管理的实现思路, 它改变了原有企业信息化管理审计难的问题, 对新的安全形势中的内审内控具有里程碑的意义。

加上信息安全的技术和管理上面的规范, 使得桌面可控可观的范围增大, 加上交换机虚拟化、服务器虚拟化、安全设备虚拟化的融合应用, 最终一方面降低了技术人员的维护门槛, 另一方面为用户提供了一个可以呈现的安全桌面, 真正为企业、单位带来可用、安全、高效的信息化体系。

对于桌面虚拟化安全更深一层的探讨, 将会在新的终端虚拟化技术, 应用虚拟化中得以体现, 所供即所用, 它能够为用户提供更低的操作风险, 更小的资源消耗, 是终端层面虚拟化未来发展的一个趋势。

摘要：在数据化高速增长的今天, 桌面虚拟化一直深受企业和单位的欢迎, 因为其客户机部署快速, 效能明显, 有效解决了硬件性能升级的费用以及桌面管理投入高的问题。但是, 桌面虚拟化的信息安全成为了当前所面临的新问题, 基于此, 通过桌面虚拟化架构、防病毒、入侵检测、数据安全和审计等方面探究桌面虚拟化的安全。

关键词：桌面虚拟化,虚拟化架构,信息安全

参考文献

[1]杜梓平.虚拟化桌面——桌面数据安全建设新思路[J].《计算机光盘软件与应用》, 2013 (20) .

[2]郑兴艳.安全虚拟桌面系统的设计与实现.《北京交通大学》, 2012年.

虚拟桌面系统应用安全性分析与对策 篇4

为了实现涉密信息的集中管控、提高资源利用率、降低系统运行维护成本,越来越多的机构开始部署虚拟桌面系统。通过虚拟桌面技术,可以实现用户终端环境与计算环境的分离。在虚拟桌面系统中,数据中心服务器为每个用户分配一台虚拟机,用户的操作系统、应用程序和数据全部运行在服务器上,不同用户的虚拟机之间完全隔离。用户终端仅负责把键盘、鼠标输入信息提交给服务器上的虚拟机,虚拟机处理完成后,通过虚拟桌面显示协议把处理结果以图像形式反馈给用户,由终端完成显示功能。采用虚拟桌面技术,具有非常明显的技术优势、广阔的应用前景,但是也产生了一些新的安全问题,必须加以解决后,才能顺利推广应用。

1 虚拟桌面系统对安全性的增强

1.1 实现终端用户应用环境的统一配置管理

在虚拟桌面应用中,用户的虚拟桌面环境可由管理员统一定制、管理,操作系统、应用软件、补丁的安装与配置由管理员统一实施,确保了终端用户的软件版本都是最新的,防护策略是严格有效的,防止各终端用户对安全策略落实不到位而导致的安全隐患。同时,管理员可很容易检查各虚拟终端的状态,及时发现并清除违法、违规的活动,提高系统安全性。

1.2 提高数据安全性

虚拟桌面系统将用户和数据完全分离,数据集中存储在数据中心,用户只能看到显示的图像,不存储任何数据,网络中也仅传输用户的键盘鼠标输入和服务器处理用户输入后结果,不传送数据本身,真实的数据始终控制在虚拟机服务器上,确保用户数据“看得见,摸不着,带不走”,大大减轻了终端数据保护的压力,防止用户有意或无意的失泄密行为。

1.3 增强业务的连续性

虚拟桌面系统实现用户操作系统、应用程序和数据的集中管理,用户可通过任一终端登录自己的虚拟桌面,管理自己的应用和数据。数据中心为用户提供高可靠性的存储和计算机服务,用户终端的任何损坏甚至丢失都不会影响到业务连续性,只需更换用户终端重新登录虚拟系统即可继续开展业务。

2 虚拟桌面系统应用中存在的主要安全问题

2.1 远程数据传输带来的风险

在虚拟桌面系统应用中,用户终端在与虚拟机交换数据的过程中,数据存在被窃取、篡改的风险。主要有两个方面:首先是虚拟桌面系统部署过程中,用户通过网络迁移自己现有大量的文件数据,可能被截取;其次是用户在使用虚拟机的过程中,利用虚拟桌面协议,通过网络向虚拟机提交输入数据,虚拟机将计算结果反馈给用户,这个过程也存在被截取、分析、破解的风险。

2.2 身份认证和访问控制问题

身份认证与访问控制是信息安全最基本也是最重要的安全要素之一,在虚拟桌面系统中,用户远程登录、使用自己的虚拟机,管理自己的各类数据,系统根据用户身份实施访问控制。用户只要有权限,就可以通过网络接入到虚拟桌面系统,使用、管理各类数据。而这里说的权限,很多时候只是指一个用户名/密码对,一旦用户名/密码对被截获、破解或者意外泄露,都会给个人数据带来巨大的安全风险。

2.3 数据集中存储的安全问题

在虚拟桌面系统应用中,用户终端不留任何数据,所有用户数据集中存储在数据中心服务器上。这大大方便了数据非法窃取行为,以往需要到处收集的数据,现在只要从一台服务器就可以全部获得。数据的集中存储带来服务器管理的安全性问题,服务器管理员的权限过大,可以轻易地查看、复制、修改、删除所有用户的核心数据,缺乏有效监督手段,管理员违规操作的成本低,可能促使管理员有意或无意地泄露用户数据,给用户带来极大的风险。

2.4 传统的网络安全防护措施不再有效

网络流量监控是整个网络安全管理系统的基础,防火墙、入侵检测、内容审计等网络安全措施均依托流量监控与分析得以实现。虚拟桌面系统应用中,同一服务器上不同虚拟机之间交互的数据通过服务器内存中的虚拟网络完成,不再经过物理网络,这导致传统的网络安全措施不再适用,难以防范虚拟机之间的网络攻击、病毒传播等。

2.5 缺乏有效的虚拟机安全审计系统

安全审计系统可监控、记录各种违法违规行为,是信息系统安全风险控制不可或缺的关键手段,也是有效威慑、防止内部人员非法行为的重要手段。虚拟桌面系统因其应用的特殊性,到现在为止,还没有一个可对其进行审计和控制的优秀工具出现,导致用户的行为难以得到有效的管控,非法用户甚至可以利用系统漏洞提升权限,越权访问数据而不被发现。

3 解决虚拟桌面系统应用安全问题的建议

确保安全是虚拟桌面系统推广应用的前提,针对以上问题,虚拟桌面系统实施过程中应该有针对性地增强必要的安全措施。

3.1 实施基于数字证书的用户身份认证和访问控制

虚拟桌面系统中,用户可通过网络随时随地使用虚拟机,必须更加重视身份认证问题,采取强身份认证措施,防止假冒。可以为每个用户配发数字证书USB Key,在用户终端系统中嵌入数字证书驱动程序,安装客户端认证代理,在服务器前端部署服务器认证代理,只有认证通过后才能访问自己的虚拟系统,实现基于数字证书的身份认证。同时结合用户身份实施细粒度的访问控制策略,确保每个用户只能访问自己的虚拟机资源,实现虚拟机层面上的安全隔离。

3.2 对虚拟存储进行加密保护

为防止服务器管理员私自查看用户数据及服务器受到网络攻击后造成失泄密事故,在虚拟存储系统前端部署高速存储密码机,结合各用户数字证书,为用户提供个性化的虚拟密码服务,实现用户重要数据的集中存储加密。终端用户只有使用自己的证书,通过高速存储密码机,才能正确查看自己的数据,其他用户或管理员看到的始终是加密后的数据,确保用户可有效管控自己的数据,防止非授权访问。

3.3 部署传输加密系统

为了保证虚拟桌面系统用户与虚拟机交互过程中数据的安全保密,应该利用USB Key数字证书或专用加密硬件在用户与虚拟机服务器间建立一个安全可靠加密传输通道,防止非法用户搭线窃听、分析。

3.4 建立有效的服务器使用管控机制

使用密钥分散管理机制,对服务器管理员进行分权处理,确保对服务器的重要操作必须得到多个管理员的授权才能进行,防止个别管理员私自操作、更改服务器配置、访问用户数据。

3.5 部署虚拟网络安全防护系统

结合虚拟机的特点,部署基于虚拟网络的防火墙、入侵检测和内容审计等系统,实现虚拟机间的有效网络隔离,监控和发现网络攻击、病毒传播等危害虚拟网络系统的行为。

3.6 建立完善的审计系统

为了保证每个用户的行为都有据可查,需要建立一个完善的日志与审计系统,对所有用户的行为进行详细的审计记录,及时发现系统存在的安全隐患和用户的违规行为。

4 结束语

虚拟桌面系统因其技术、管理和成本等方面的优势,正得到越来越广泛的应用。对于注重信息安全保密的机构而言,更注重虚拟桌面系统带来的安全性提升,通过部署虚拟桌面系统,有效实现了涉密信息的集中管控、用户应用环境的统一配置,并为业务应用提供高可靠性保证。但虚拟桌面系统也带来了身份认证、远程数据传输和集中存储等方面的安全保密问题,只有采取有效措施进行解决,虚拟桌面系统才会得到更好的推广应用。本文在分析虚拟桌面系统安全问题的基础上,从用户身份认证、服务器存储加密、传输加密等六个方面提出解决方案。

参考文献

[1]石磊,邹德清,金海.Xen虚拟化技术[M].华中科技大学出版社.2009.

[2]王峰,江峰,李朝阳.虚拟桌面及关键技术分析.电信技术.2011.

[3]李元兴,王新梅.密钥分散管理方案与线性分组码.通信学报.1993.

复合桌面虚拟化技术初探 篇5

一、桌面虚拟化的分类

1. 远程桌面与无盘工作站。

远程桌面是桌面虚拟化技术中最基础的技术。远程桌面主要是利用远程网络将远端桌面呈现在本地, 并通过本机键盘及鼠标操作远端桌面控制[1]。该技术研发的主要目的是远程控制主机。无盘工作站最早是为降低成本费用而被创造出来的。在计算机应用的初级阶段, PC价格非常高, 部分小型企业无力负担多个PC的成本费用, 于是采用无盘工作站, 能够有效节省成本, 就能为企业中的多部瘦客户机提供服务。其除了能够降低购买成本外, 还能够降低管理成本, 在养护及软件安装、升级方面的操作也比较简单。但是其也有较大的漏洞, 就是一旦无盘服务器出现故障, 所有瘦客户机均无法正常运行;或一个瘦客户机的所占计算资源, 导致其他用户的使用性能受到影响。

2. 后端是服务器虚拟化的桌面虚拟化。

后端是服务器虚拟化的桌面虚拟化主要是建立在服务器虚拟化技术的基础上。该技术主要选择是利用配备不同的虚拟机监控器实现对多台主机的管理[2]。从而实现将不同的虚拟机监控器分配给单个主机, 将虚拟桌面通过远程桌面的方式提供给用户, 用户仅需要通过一般的PC即可登录到其独占的虚拟机中。

3. 云后端基础上的桌面虚拟化。

云后端基础上的桌面虚拟化是三种技术中最复杂且可扩展性做好的技术。云技术 (cloud) 是近些年来我国新兴的一门技术, 其能够实现虚拟化集群, 例如百度云、阿里云, 在我国得到了广泛的应用。

二、复合左面虚拟化技术

上面提及的传统的远程桌面技术在学界被认为是桌面虚拟化解决方案的一种。Windows远程终端是利用远程桌面完成的, 该技术主要被运用在远程控制和瘦客户机管理中。瘦客户机主要采用了远程桌面技术实现的, 能够让多台瘦客户机与服务器相连, 从而为用户提供系统服务。该技术在UNIX系统中也有应用, 具备较好的灵活性和使用性能, 能够让用户获得较好的使用体验, 但是这种虚拟方法也有一定的缺点, 就是可扩展性较低, 无法对多台瘦客户机提供虚拟桌面, 并且会对用户的网速、使用性能造成直接的影响;且若使用其他操作系统可能导致该技术无法在多台瘦客户机中使用。

后端为虚拟化服务器的桌面虚拟化的使用性能和安全性远高于远程桌面技术, 这主要是由于该技术运用了先进的通信技术, 同时摒弃了传统远程桌面技术的缺点。后端为虚拟化服务器的桌面虚拟化技术最大的问题在于其可扩展性较低, 可连接服务器数量是有限制的, 并且虚拟机的服务器是固定的。不同用户会造成服务器负荷的增加, 若用户数量过多, 导致其他用户的使用体验会受到影响, 并且导致计算资源无法合理分配, 对该技术的用户造成影响。

云后端虚拟桌面技术主要是利用为每一用户提供相应的虚拟机, 再将虚拟桌面通过互联网提供给用户, 在此过程中, 用户是无法选定虚拟桌面的类型, 但是可以通过虚拟机对系统进行控制, 从而合理分配计算机中的节点资源;当用户关闭虚拟桌面时, 系统将自动保持用户的个性化配置, 并记录在数据库中, 从而为用户的下一次使用提供服务。该技术具有较高的可扩展性和使用性能, 能够有效配置计算资源, 但是这种方式与上述两种方式相比, 在宽带占用率及系统切换方面存在一定的问题。

结束语

桌面虚拟化技术在现代IT行业中具有重要作用, 能够提高管理效率。因此, 文章主要针对复合桌面虚拟化技术中的三种技术进行阐述, 并分析了三种技术的优点与缺点, 有助于提升我国复合桌面虚拟化技术的发展, 改善用户体验, 具有重要的现实意义。

参考文献

[1]夏虞斌, 杨春, 程旭, 等.FUPS-DV:用于桌面虚拟化的全时抢占CPU调度算法[J].电子学报, 2013, 39 (8) :1721-1726.

“桌面虚拟化”的苹果熟了 篇6

一、研究公司:苹果熟了

根据IDC最新的观察数据显示, 虚拟机和云计算系统软件是软件细分市场中生长最为迅速的, 在2012年上半年比拟去年同期, 增长了17.8个百分点。而领先的市场研究公司Gartner预测称, 全球桌面虚拟化市场规模到2012年将达到大约18亿美元, 并且把桌面虚拟化列为排名第一的未来的战略技术。

通过一项调查, IDC报告称, 大约10%的PC总出货量是新的虚拟企业桌面客户机。而且, 在另外一项调查中, 大约17%的企业Gmail用户称他们对于自己企业的托管的桌面模式很感兴趣。这表明, 消费者现在更加适应虚拟化技术。

Chen观察到, “云计算系统软件, 其中包罗愈多的平台, 如v Cloud, Open Stack以及Cloud Stack等, 这仍然是个新兴的市场, 然而已经有一定的成长了, 客户已经从虚拟化的基础设施转而投向云计算的基础设施。从客户端来说, 虚拟客户端仍然保持着一个稳定增长的模式, 由于市场上出现了VOI这种更为成熟的解决方案, 并且客户开始逐渐改变他们的桌面系统和工作习惯。”

全球的软件市场在2012年上半年增长了4.7个百分点, 相比2011年同期, 增长到了1.67亿美元的市场规模。IDC调研公司体现, 对整个软件市场而言, 预计今年可能会有一种更为守旧的增恒久。

二、CIO:苹果熟了

从服务器虚拟化市场的成熟, 到桌面虚拟化、应用虚拟化等产品的不断出现, 虚拟化技术已经成为计算机技术发展的趋势。

但是, 随着对稳定的虚拟桌面可替代技术的需求日益增加, 虚拟操作系统基础架构 (VOI) 继虚拟桌面基础架构 (VDI) 成为一个新的桌面虚拟化发展方向。

从实际应用方面考虑, VOI具有更强、更符合用户环境的适应性。其可脱离服务器和网络运行的特点, 让VOI具有了更好的可用性和安全性以及更好的用户体验, 可轻松地为企业搭建“私有云”:

(1) 在可用性方面:基于VOI的桌面虚拟化系统可克服服务器宕机、网络带宽低及断网等各种因素, 充分利用本地硬件资源, 彻底解决VDI性能不足的问题, 从而大大增加了系统可用性。

(2) 在安全性方面:从集中管控、虚拟防护及加密存储等方面进行了深入解决。

(3) 在成本控制方面:集中的管理模式可为用户大大节省运维及人力成本, 而基于终端运算的模式可让系统大大减少对服务器的依赖, 使用一台部门级PC服务器即可支持多达500台的终端。

因考虑安全性、服务的可用性、技术的成熟度、服务商信誉度等问题, 目前大多数企业愿意首选“私有云”作为云计算工具的运行环境。由此可见, VOI可谓为“想客户所想、忧客户所忧”, 智胜一筹。

笔者获悉, IBM的Steve Mills最早提出了VOI架构思路, 而和信创天作为桌面虚拟化的领导厂家, 是最早推出基于VOI桌面虚拟化架构的产品——“和信”虚拟终端管理系统。它不仅实现了桌面虚拟化的传统优势, 同时具备符合中国国情的各项应用功能。

三、客户:苹果熟了

利用桌面虚拟化技术构建绿色坐席 篇7

呼叫中心作为企业服务于客户的窗口, 在提升自身服务质量的同时, 也为指引企业提升运营水平和产品质量提供参考, 还可以通过主动营销等方式增强客户忠诚度、拓展目标市场。

1 传统PC坐席架构及存在问题分析

传统坐席架构为每客服人员配备单独一台PC电脑, 采用B/S或C/S架构与话务平台和业务后台建立连接, 坐席侧PC提供自身业务处理所需的处理能力并保存相关业务数据。

基于传统PC坐席架构的呼叫中心是静态体系, 在实际应用过程中, PC坐席也存在各种弊端和诸多不便, 主要体现在以下几方面:

1.1 总体拥有成本 (TCO) 高

目前, 坐席区大量PC的管理工作包括部署软件、更新和修补程序等, 由于这些工作通常需要对多种PC配置的部署进行测试和验证, 因而会耗费大量的人力。同时, 由于标准化程度不高, 支持人员经常需要亲临现场解决问题, 这就进一步增加了支持成本。

1.2 难以保证数据的安全

PC坐席做为应用系统的客户端, 可接收、处理、存储应用系统的数据, 若这些数据是企业的关键信息资产, 容易使企业关键信息的泄露, 对企业形象造成不利影响。另一方面, PC坐席工作环境下, PC上保存着员工的智力数据, 也是企业资产的一部分。这些数据如何能在PC出现故障或文件丢失时恢复, 是当前IT系统的一个巨大挑战。

1.3 高能耗、高排放

一台PC的能耗在200瓦左右, 对于企业成千上万台规模的PC坐席工作环境, 一年的耗电量是一个非常惊人的数字;同时, 为PC工作环境配套的电源系统、制冷系统的能耗更为惊人。在当今提倡绿色环保、低碳经济的大环境下, 这更是一个巨大的挑战。

1.4 资源未能充分利用

PC坐席的分布式特性使得难以通过集中资源的方式提高资源利用率和降低成本。实际上, PC的资源利用率通常低于5%。

1.5 难以管理

集中式PC管理极难实现用户日益要求能在任何地方访问其桌面环境。此外, 众所周知, 由于PC硬件种类繁多, 且用户修改桌面环境的需求各有不同, 因此, PC桌面标准化也是一个难题。

2 桌面虚拟化技术及绿色坐席架构

桌面虚拟化是将个人计算机桌面环境通过云计算模式从物理机器分离出来, 成为一种可以对外提供的桌面服务;个人桌面环境所需的计算、存储资源集中于中央服务器上, 以取代客户端的本地计算、存储资源;中央服务器的计算、存储资源同时也是共享的、可伸缩的, 使得不同个人桌面环境资源可按需分配、交付, 达到提升资源利用率, 降低整体拥有成本的目的。桌面虚拟化技术具备云计算的三大特征:对用户呈现为桌面服务、资源可弹性管理、通过网络提供, 是一种云化的服务。

在呼叫中心应用桌面虚拟化技术后, 只需为每个坐席配备一台瘦终端, 每个坐席人员所需的处理能力、存储空间、桌面环境由统一的后台云计算中心提供, 这种应用模式简称“绿色坐席”。绿色坐席系统架构图如下图所示:

从上图可以看出, 虚拟化技术切断了坐席人员和关联的操作系统、应用程序和硬件之间的联系。其优势体现在以下几个方面:

1) 总体拥有成本低:绿色坐席大量使用瘦客户机、低功耗计算、存储资源, 该建设模式改变了现有的建设、维护、运营模式, 使得配套的电源、制冷系统建设成本降低, 并大量节省运营和维护成本, 使得呼叫中心总体拥有成本大大降低。据权威机构测算, 虚拟桌面相对于传统PC桌面系统5年总体拥有成本可降低40%左右。2) 数据安全:所有数据和计算都集中在后台服务器和存储上, 用户通过网络获取的只是图像信息, 机密数据和信息不能通过网络下载、存储, 大大提高了安全性。同时, 数据的集中存储为数据的备份、恢复带来了便利, 使得保护企业智力资产成为可能。3) 低能耗、低排放:瘦客户端功率低于15w, 虽然计算中心相关服务器系统会占用一定的耗电量, 但总耗电量仍远低于PC, 因此, 每年的耗电量会大幅下降。4) 易于管理, 资源按需分配:所有桌面的管理和配置都集中在后台进行, 管理员可对所有桌面和应用进行统一配置和管理, 如:系统升级、应用安装等, 避免了由于传统桌面分布所造成的管理困难和成本高昂。同时, 桌面虚拟化系统可以根据用户需求对资源进行合理分配, 达到资源的弹性管理, 提高资源利用率。5) 灵活接入和使用:用户可以从任何网络可达的地方访问其应用和桌面, 具有很强的移动性。作为云计算的一种服务方式, 由于所有的计算都放在服务器上, 终端设备的要求将大大降低, 不需要传统的台式机, 笔记本。6) 更稳定可靠:传统PC坐席不具备服务器级别的冗余备份, 因此, 一个停电事故、系数错误就可能导致传统桌面崩溃。然而, 桌面虚拟化系统集中在中心机房, 各个方面均考虑了冗余备份, 故障率更低, 稳定性更高。

3 结语