試析虛擬桌面的安全隱患及安全策略

李穎

【摘 要】虛擬桌面是虛擬化技術在應用層面上的一個重要分支，它支持更為復雜的應用和個性化配置，操作方便靈活，其部署不僅彌補了傳統桌面不足，還極大拓展了桌面空間，數據安全性也得以提升。但隨著虛擬桌面的廣泛應用，其安全問題也日益突出，只有采取切實有效的安全策略對這些問題加以解決，虛擬桌面的應用前景才更為廣闊。

【關鍵詞】虛擬桌面；安全隱患；安全策略

現如今，計算機在人們的生產和生活中已得到了普及，經驗告訴我們，傳統桌面過于狹小，若打開窗口過多，桌面就會顯得擁擠不堪，使用起來非常不便。隨著虛擬化技術的發展，虛擬桌面應運而生，通過虛擬桌面技術能夠實現用戶終端環境和計算環境的分離，用戶在何時何地通過任何設備都能訪問個人桌面，這對于實現信息的集中管理、提高網路資源利用率、保證業務數據安全性和一致性、降低系統運行成本具有重要現實意義。但在虛擬桌面的應用中還存在一些安全隱患，亟需解決。

1 虛擬桌面應用中存在的安全隱患

1.1 身份認證和訪問控制問題

虛擬桌面應用環境中，用戶可進行遠程登錄并使用自己的虛擬機，管理自己的各種信息數據，系統訪問主要是根據用戶身份進行限制的，也就是說，只要用戶有訪問權限，任何智能終端都可以訪問云端的桌面環境，而人們往往只關注了虛擬桌面訪問的實時性，但是若訪問權限不可靠呢？如果使用單純的用戶密碼，一旦密碼被破解或者意外泄露，對方無論在任何位置都可以訪問用戶虛擬桌面系統，并獲取用戶重要信息數據，這必然會給用戶帶來嚴重損失。傳統桌面通常采用的是物理隔離的方式，其他人無法進入安全區域，但是這種方式對于虛擬桌面系統并沒有安全保障，因此，必須有更加嚴格的終端身份認證機制。

1.2 遠程數據傳輸帶來的風險

在虛擬桌面應用中，當用戶終端與虛擬機進行數據交換時，數據可能會被盜取或篡改，這主要表現在以下兩個方面：第一，對虛擬桌面進行部署的時候，用戶通過網絡遷移自己現有大量的文件數據，在這個過程中文件數據可能被截??；第二，用戶利用虛擬桌面協議通過網絡向虛擬機提交數據，虛擬機將結果反饋給用戶，該過程中也會存在數據被截取、分析和破解的風險。

1.3 數據集中存儲的安全問題

在虛擬桌面的應用過程中，用戶終端不留任何數據，所用的信息都會存儲在數據后臺的磁盤陣列中，為了滿足文件系統的訪問需要，一般采用NAS架構的存儲系統，用戶只需要考慮保護后臺磁盤的安全性就能防止信息泄露，原本前端客戶端可能引起的主動式的信息泄露幾率會大大減少，但是如果系統管理員權限過大或者具有系統管理員權限的非法用戶想要獲取信息，只要從一臺服務器上就可以獲得全部數據，可以十分簡便地查詢、檢索和修改核心數據，這是數據集中存儲存在的最大的安全隱患，如果沒有有效的監督機制和手段，系統管理員將可能會有意或無意地將用戶核心數據泄露出來，進而給用戶帶來損失。

1.4 缺乏有效的虛擬機安全審計系統

作為實時監控、記錄不法行為的安全審計系統是控制信息系統安全隱患的重要手段，對內部人員具有一定的威懾作用。但是虛擬桌面尚缺乏一個切實有效的控制和審計系統，無法對用戶行為進行全面管控，非法用戶很有可能會利用系統漏洞獲取并提升權限，進而對數據進行越級訪問。

1.5 基于傳統網絡的安全防護措施無效

網絡流量監控是網絡安全管理的基礎，數據安全審計、防火墻、病毒入侵檢測等安全措施的實現都需要依托安全流量的監控和分析。然而在虛擬桌面應用中，統一服務器不同虛擬機之間數據的交互是通過虛擬網絡完成的，無需經過傳統網絡，也就是說之前適用于傳統網絡的安全措施將不再適用于虛擬桌面，若虛擬機受到網絡攻擊或病毒傳播，通過物理安全防護措施無法保證虛擬桌面系統的安全性。

2 安全策略

2.1 嚴格人員身份認證

在虛擬桌面環境中，用戶在何時何地通過任何設備都能訪問個人桌面，為了確保數據信息和計算機系統的安全，有必要采取強有力的身份認證措施，防止假冒。可向用戶配發數字證書“USB key”，將數字證書驅動程序嵌入用戶終端系統中，與此同時，安裝客戶端認證代理，在用戶服務器前端部署服務器認證代理，用戶想要訪問虛擬系統就必須通過數字認證，此外，實施細粒度訪問權限控制策略，只有用戶本人才能訪問自己的虛擬資源，其他人員無法訪問，這樣就實現了不同用戶虛擬機之間的完全隔離，對于確保用戶信息安全性具有重要作用。

2.2 部署傳輸加密系統

在應用虛擬桌面的過程中，保證用戶與虛擬機之間數據傳輸的安全性非常重要，為此，應部署傳輸加密系統，利用數字證書或專用加密硬件在用戶和虛擬機之間建立加密傳輸通道，實現數據傳輸的安全保密，有效防止非法者搭線竊取或分析用戶核心信息。

2.3 數據加密存儲

虛擬桌面環境中，系統管理員作為超級用戶具有打開所有用戶目錄、獲取用戶數據的權限，其對所有客戶端的信息都會十分簡便地獲取、檢索或修改，為了防止系統管理員私自查看用戶數據或服務器遭受非法攻擊后造成的信息泄露問題，必須采用專業的加密設備比如高速存儲密碼機等進行數據加密存儲。另外，為了滿足規范要求和用戶個性化需求，加密算法應可以由前端用戶指定，用戶只有根據數字證書并通過加密設備才能查看自己的文件數據，其他人員無法看到完整數據，保證用戶能夠對自己的信息數據進行有效管控，防止非授權訪問。

2.4 設置虛擬網絡安全防護系統

根據虛擬桌面的特點設置適用于虛擬網絡的防火墻、入侵檢測系統、安全審計系統等，以實現不同用戶虛擬機之間的網絡隔離，及時監控并發現計算機網絡病毒傳播、網絡攻擊等威脅網絡系統的行為。比如某人在上網期間誤入非法網站，糊涂中了招，由于沒有及時堵塞系統漏洞，惡意程序悄無聲息地進入了系統中，不僅系統被破壞，很多重要文件也丟失，該人只好重新安裝系統，經人介紹，在安裝系統的同時安裝了Syfort iDesk安全軟件，創建了虛擬桌面，實現了對系統管理權限的全面控制。在虛擬桌面應用過程中，還應及時進行程序升級，安裝補丁，更改病毒庫，保證安全軟硬件的安全防護性能。

2.5 建立健全服務器使用管控機制

使用密鑰分散管理權限，對系統管理員進行分權，要進行重要操作，必須得到多個管理員授權才能實現，這樣能有效防止個別管理員私自訪問、更改用戶數據。

3 結語

虛擬桌面是虛擬化技術在應用層面的一個重要分支，它以自身具備的技術、成本、管理等方面的優勢在眾多企業中得到了廣泛應用，不僅能夠實現信息的集中管理、資源的優化配置，對于統一配置應用環境、提升業務應用的可靠性也具有重要作用。對于注重信息安全性和保密性的企業或機構而言，虛擬桌面的安全性非常重要，因此，必須采取切實有效的措施應對并解決虛擬桌面系統存在的安全隱患，提升系統安全性，為虛擬桌面的進一步推廣奠定基礎。

【參考文獻】

[1]孫宇，陳煜欣.桌面虛擬化及其安全技術研究[J].信息安全與通信保密，2012（6）：87-88.

[2]展旭升，高云偉，馮百明，蔣蕓，楊鵬斐.新型虛擬桌面殺毒模型[J].計算機應用，2012，32（12）：3445-3448.

[3]鄭志勇，呂遠大，王毅.虛擬桌面系統應用安全性分析與對策[J].網絡安全技術與應用，2012（10）：50-52.

[4]郭建偉.巧用虛擬桌面，為系統裝把“安全鎖”[J].電腦知識與技術·經驗技巧，2013（6）：25-27.

[責任編輯：王春燕]