桌面虛擬化在信息安全管理中的應用

邵凌

（海軍91550部隊遼寧 大連 116023）

桌面虛擬化在信息安全管理中的應用

邵凌

（海軍91550部隊遼寧 大連 116023）

近年來，虛擬化技術成為計算機系統結構的發展趨勢，并為信息安全管理提供了一種解決思路。介紹了桌面虛擬化技術的特點優勢，分析了當前用于桌面管理的2種虛擬化技術架構VDI和IDV，結合具體實際，提出了利用IDV構建電子信息集中管控系統加強電子信息安全管理。

桌面虛擬化集中管控信息安全

1 引言

隨著信息化程度的不斷提高和自動化辦公的不斷普及，涉密文件由傳統的紙質文件越來越多的向電子化文檔轉換，而這些涉密文件零散的存儲在各計算機中，存在很大的安全隱患。桌面虛擬化技術是當前成熟和應用普遍的技術，將分散的終端資源（含操作系統、應用策略、應用軟件和用戶數據）集中到數據中心，進行有效組織、安全存儲和按需分配。利用桌面虛擬化技術不僅能實現電子信息的集中存儲和管理,同時能有效提升安全管理強度,降低安全管理難度,能在電子信息安全管理中發揮重要作用[1]。

2 虛擬化技術

虛擬與真實相對，虛擬化則是把計算機系統或組件運行在虛擬環境中而非原來的真實環境中。例如PC機，其體系結構可分為硬件資源（CPU、內存、主板、顯示器、硬盤和外設等）、軟件操作系統（W indow s、Linux和M ac等）、應用系統（O ffice、W eb瀏覽器、AutoCAD和反病毒軟件等）、用戶配置文件、用戶等5個層次。這5個層次結構中任意上下相連的2“層”之間在編程邏輯上都是緊密相關的，即“緊耦合”，而“松耦合”意味著對于某個“層”來說，在其下層結構不變的情況下，該層可以隨意改動。“緊耦合”狀態下硬件資源與軟件操作系統之間、軟件操作系統與應用系統之間、應用系統與其用戶之間是緊密聯系的。終端設備的多樣性、移動性、安全性和個

性化等需求在這樣的結構中無法得到滿足，當設備更新時，需要對系統及其上的諸多應用系統進行徹底重新安裝以及重新配置，同時還存在原有應用不兼容新裝系統等問題。

虛擬化技術則是在現有層次結構和上下邏輯關系不變的前提下，在任意上下相連的2“層”之間插入一個“虛擬層”，層與層之間由“緊耦合”變為“松耦合”。虛擬化技術實質是一種調配計算資源的方法，使得硬件、軟件、數據、網絡和存儲等不同層面被一一隔離開來。虛擬化技術利用軟件把不同層面的應用分開，使得層與層之間的改動更容易被實施，其帶來的直接效果就是簡化了管理，同時能更有效地利用IT資源，并能隨時隨地提供合適的計算資源。

“虛擬化”這個概念根據所處具體層次的不同具有不同的內涵，可以分為服務器虛擬化、桌面虛擬化、存儲虛擬化和網絡虛擬化等。其中服務器虛擬化和桌面虛擬化都屬于系統虛擬化，存儲虛擬化和網絡虛擬化則屬于基礎設施虛擬化。桌面虛擬化是將計算機的桌面進行虛擬化，以達到桌面使用的安全性和靈活性，終端用戶可以通過任何設備、在任何地點和任何時間訪問在網絡上的屬于自己的桌面系統。桌面虛擬化和服務器虛擬化是當前應用最廣泛的虛擬化技術，能有效提升安全性[2]。

3 桌面虛擬化安全性提升

桌面虛擬化在傳統計算機硬件和操作系統之間增加支持虛擬化技術的軟件層，通過該軟件層將硬件設備物理資源抽象定義為邏輯資源，從而把用戶使用的操作系統與底層硬件分離出來，降低操作系統與硬件平臺的耦合性。通過桌面虛擬架構，存儲和應用集中在服務器上，安全性相當于傳統模式有很大提升，具體體現在如下幾點[3]：

①虛擬桌面和虛擬工作空間是參照可靠的操作系統、應用程序和用戶的標準配置文件進行創建的，由于虛擬桌面采用可信的標準，可以保證用戶登錄虛擬桌面使用的軟件都是最新的，是合法的。審計人員在數據中心就可以核查終端用戶的狀態，對終端用戶的行為進行評判。對終端用戶的行為進行工作狀態的檢測，可以保證終端虛擬桌面的用戶在進行非法活動或者惡意活動之前對其進行控制，從而保證了整個虛擬桌面網絡的安全性；

②重要的數據保存在集中服務器上，易于防止由于個人造成泄密事件的發生，集中數據管理減少由于過去數據分布而帶來的控制難度大的問題，對于意外的安全事故，安全管理員也可以在第一時間內發現；

③虛擬桌面可以更好地控制單位內部署的終端電腦和相應配置的軟件，可以統一地完成軟件安裝、補丁、升級和維護等操作，對木馬和病毒的防護比傳統方式強，同時當發生病毒感染，影響的是虛擬機，可以更快的清除和恢復。

4 桌面虛擬化架構

桌面虛擬化技術最早從遠程桌面技術發展而來，到第一代桌面虛擬化技術，才真正意義上將遠程桌面的遠程訪問能力與虛擬操作系統結合了起來，使得桌面虛擬化的成規模應用成為可能，第二代桌面虛擬化技術則進一步將桌面系統的運行環境與安裝環境拆分、應用與桌面的拆分和配置文件的拆分，從而大大降低了管理復雜度與成本，提高了管理效率。

目前桌面虛擬化的實現技術主要有2大類[4]，虛擬桌面基礎架構（Virtual Desktop Infrastructure，VDI）和智能桌面虛擬化架構（IntelligentDesktop Virtualization，IDV）。

4.1 VDI架構及特點

VDI是現在較為成熟的桌面虛擬化解決方案，VDI的特點是集中管理、集中計算，用戶的桌面被虛擬化后運行在后臺的服務器上，用戶通過瘦客戶機（ThinClient）利用進程桌面協議（ICA|RDP）訪問該虛擬機，其原理圖如圖1所示。

圖1 VDI桌面虛擬化架構

VDI的主要優勢在于能夠真正實現多設備訪問桌面，例如可以通過移動設備（PAD）訪問到用戶的桌面，但是，VDI也有其較為明顯的缺點：①VDI的建設成本較高，是傳統桌面建設成本的2～3倍左右；②網絡依賴程度高，當網絡質量較差甚至斷網時，VDI便不能再提供桌面訪問；③用戶體驗較差，由于網絡、服務器資源和軟件等問題都會導致較差的使用效果，VDI的用戶體驗通常不是非常好，特別在通用辦公場景甚至高負載桌面應用中，效果更差。

為此，英特爾公司提出了一種革新性的框架Intelligent Desktop Virtualization(IDV)智能桌面虛擬化，它能更加智能的

管理虛擬桌面。

4.2 IDV架構及特點

IDV技術架構與VDI有所不同，主要是“集中管理、分布計算”的方式，客戶虛擬桌面運行在用戶本地的桌面設備（胖客戶機）中，其原理圖如圖2所示。

圖2 IDV桌面虛擬化架構

IDV方式主要有以下優勢：①服務器、網絡的投入成本很低，300個用戶的IDV環境只需要1至2臺服務器即可滿足需求；②對網絡的要求較低，可以允許在脫離網絡環境的情況下使用；③采用本地計算，用戶體檢很好；④IO兼容性更好。

5 基于IDV的電子信息集中管控系統

根據本單位實際，采用一種集中管控和分布運行的IDV桌面虛擬化解決方案來構建電子信息集中管控系統[5]，將涉密的信息集中存儲與服務器，用戶終端不留密，實現文檔的全生命周期管理。系統充分利用現有設備，實現基于虛擬化的桌面集中管控，實現桌面數據的安全防護，從而為各業務平臺的穩定運行提供良好的桌面環境。

圖3 基于IDV的電子信息集中管控系統

電子信息集中管控系統的系統架構如圖3所示，管理服務器為系統的核心，提供桌面虛擬化服務，通過網絡系統將桌面系統映像傳輸給終端用戶，并根據策略對其進行管理，終端用戶使用本地硬件平臺進行計算，并可以離線使用，在網絡連接的時候，這些桌面可以與服務器進行數據同步和安全升級等工作[6]。在此模式下，用戶所使用的桌面處于統一的策略監管之下。

基于IDV的電子信息集中管控系統的主要功能及優勢有：

①電子信息集中管控系統集中管理用戶桌面環境，根據用戶需求配置不同的操作系統鏡像，通過網絡統一部署，用戶可在網絡內任意終端登錄屬于自己的虛擬桌面，實現局域網內的移動辦公，減少用戶計算機軟件沖突、系統崩潰和感染病毒等情況的發生，最大程度地利用現有瓷源，盡量適應用戶使用習慣；

②通過集中策略管理，可以限制被管理的OS鏡像對外設和網絡的訪問、加密本地存儲的數據和在終端丟失后進行遠程擦除，從而保證終端設備的安全性。本地虛擬機可以通過和后臺的數據中心進行同步，可以統一下發標準OS鏡像，也可以定時備份終端上的數據；

③每個用戶有單獨的虛擬機及存儲空間，隔離性強，由于存儲服務器的冗余安全特性，有效地避免了由于硬件故障導致用戶數據意外丟失。當用戶的桌面環境崩潰后，可通過網絡迅速恢復；

④通過虛擬化的統一的數據備份和數據安全等限制，能有效控制用戶和外部的數據通道，防止關鍵數據的泄漏、損毀和遺失，可以在虛擬化層禁用除鍵盤、鼠標外的其他任何USB設備，避免了從U盤拷貝數據泄密和導入病毒的風險，同時由于采用與傳統W indow s客戶端軟件完全不同的設計架構進行管理，用戶無法進行禁用或卸載系統來脫離管控，從而實現管理的有效性。

6 結束語

電子信息資源的集中管控是安全保密的基本要求，也是信息化發展的一個趨勢，借助當前流行成熟的桌面虛擬化技術，打造電子信息集中管控系統，不僅實現了電子信息的集中管控，同時也加強了對用戶、應用、終端的控制管理力度，能有效提升信息安全管理水平，具備廣泛的應用前景。

[1]陳臻棟．從安全性方面看桌面虛擬化技術[J]．計算機安全, 2011(5)：83-85．

[2]項國富,金海,等．基于虛擬化的安全監控[J]．軟件學報, 2012,23(8)：2173-2187．

[3]張秋江,王澎．云計算安全問題探討[J]．信息安全與通信保密,2011(5)：94-95．

[4]徐燕雯．基于KVM的桌面虛擬化架構設計與實現[D]．上海：交通大學,2012．

[5]馬錫坤,于京杰．桌面虛擬化技術及其解決方案探討[J]．中國醫療設備,2013(7)：15-16．

[6]劉昌,馮炎．桌面虛擬化及其在知識型企業的應用方案[J]．中國信息界,2011(8)：31-32．

App lication of Desktop Virtualization in Inform ation Security M anagem ent

SHAO Ling
(Unit91550 ofNavy,PLA,Dalian Liaoning 116023,China)

In recent years,the virtualization technology becomes the development trend of computer system architecture and provides a solution for information securitymanagement.Thispaper introduces the characteristicsofdesktop virtualization technology,analyzes the VDI and IDV virtualization technology architectures used in desktop management,and proposes building the electronic information centralized controlsystem by using IDV to strengthen the electronic information securitymanagement combiningw ith the practice.

desktop virtualization;centralizedmanagementand control;information security

TP309

A

1008-1739（2014）13-55-4

定稿日期：2014-06-12