云桌面實(shí)現(xiàn)單位物理隔離

單位網(wǎng)絡(luò)與信息安全建設(shè)在近年來取得了較大進(jìn)展，特別是業(yè)務(wù)專網(wǎng)的分離、網(wǎng)絡(luò)安全設(shè)備單點(diǎn)故障的解決、等級(jí)測評(píng)整改的實(shí)施等，為單位各類信息系統(tǒng)的穩(wěn)定安全高效運(yùn)行提供了強(qiáng)有力的網(wǎng)絡(luò)與信息安全保障。隨著信息化建設(shè)步伐越來越快，網(wǎng)絡(luò)與信息安全的要求也越來越高，更是信息化建設(shè)永恒的話題。

本文依據(jù)2016年初單位網(wǎng)絡(luò)與信息安全建設(shè)的現(xiàn)狀，提出一些亟待解決的問題。如各單位辦公電腦未實(shí)施內(nèi)外網(wǎng)物理隔離，主要體現(xiàn)在大部分單位通過一臺(tái)電腦拔插網(wǎng)線同時(shí)接入內(nèi)網(wǎng)與外網(wǎng)、各分部電腦采用隔離卡雙系統(tǒng)形式進(jìn)行邏輯隔離、內(nèi)外網(wǎng)切換使用簡易機(jī)械切換器等。本文主要從技術(shù)角度出發(fā)，就如何使單位網(wǎng)絡(luò)與信息安全建設(shè)跟上信息化建設(shè)的步伐，分析單位內(nèi)外網(wǎng)物理隔離建設(shè)總體現(xiàn)狀、存在問題、解決方法及意義等方面對(duì)云桌面建設(shè)進(jìn)行思考。

項(xiàng)目建設(shè)前的現(xiàn)狀及存在的問題

在2015年相關(guān)部門對(duì)筆者單位網(wǎng)絡(luò)與信息安全進(jìn)行檢查，檢查所需整改的主要問題是內(nèi)外網(wǎng)未全部物理隔離；并且根據(jù)等級(jí)保護(hù)相關(guān)規(guī)定，筆者單位網(wǎng)絡(luò)系統(tǒng)信息安全等級(jí)需達(dá)到三級(jí)。基于這兩點(diǎn)，實(shí)施內(nèi)外網(wǎng)物理隔離目標(biāo)是為了單位網(wǎng)絡(luò)與信息安全達(dá)到上級(jí)部門文件要求。

1.傳統(tǒng)PC模式面臨著挑戰(zhàn)

圖1 傳統(tǒng)的PC機(jī)應(yīng)用的不足

一是復(fù)雜的桌面管理。對(duì)廣泛分布的 PC硬件，用戶日益要求能在任何地方訪問其桌面環(huán)境，因此集中式PC管理極難實(shí)現(xiàn)。同時(shí)PC桌面標(biāo)準(zhǔn)化也是一個(gè)難題。

二是軟硬件故障導(dǎo)致數(shù)據(jù)丟失、重建系統(tǒng)費(fèi)時(shí)及能耗較大等問題，普通的PC機(jī)在應(yīng)用時(shí)需要在每臺(tái)電腦上安裝業(yè)務(wù)軟件、程序客戶端，且所有數(shù)據(jù)均保存到各個(gè)PC上，很難實(shí)現(xiàn)對(duì)PC的集中維護(hù)與管理，無法對(duì)數(shù)據(jù)進(jìn)行集中存儲(chǔ)與備份，導(dǎo)致數(shù)據(jù)容易丟失。傳統(tǒng)的PC機(jī)應(yīng)用上存在不足如圖1所示。

2.安全意識(shí)有待提升

隨著新技術(shù)和新應(yīng)用的興起，互聯(lián)網(wǎng)安全形勢正在發(fā)生前所未有的變化。而與此對(duì)應(yīng)的卻是單位全體干部職工相對(duì)薄弱的安全意識(shí)。因此在提升單位安全設(shè)備的同時(shí)，更依賴于干部職工安全意識(shí)的提升。部分干部職工對(duì)賬號(hào)密碼設(shè)置方式、自覺安裝防病毒軟件、為操作系統(tǒng)打補(bǔ)丁等一些基本的互聯(lián)網(wǎng)安全仍不夠重視，存在隨意下載安裝激活不熟悉的應(yīng)用程序、使用非主流的應(yīng)用程序、對(duì)硬盤和U盤等存儲(chǔ)設(shè)備很少病毒查殺、隨意打開不明郵件附件、輕信免費(fèi)無線連接等現(xiàn)象。

3.專業(yè)認(rèn)證人員缺乏

由于工作人員網(wǎng)絡(luò)與信息安全意識(shí)與應(yīng)用技術(shù)水平參差不齊，使網(wǎng)絡(luò)與安全產(chǎn)品的選型、推廣及應(yīng)用產(chǎn)生了一定難度。這需要單位采取有效途徑加大網(wǎng)絡(luò)與信息安全全員培訓(xùn)力度，鼓勵(lì)專業(yè)技術(shù)人員參加網(wǎng)絡(luò)與信息安全專業(yè)化認(rèn)證考試，培養(yǎng)一批既懂網(wǎng)絡(luò)、又懂信息安全的高級(jí)信息技術(shù)人才，提高信息安全實(shí)際應(yīng)對(duì)能力。

4.網(wǎng)絡(luò)布局受政策影響大

單位對(duì)應(yīng)的上級(jí)部門對(duì)IT設(shè)施都有嚴(yán)格的規(guī)章制度，按照文件要求，單位要對(duì)網(wǎng)絡(luò)結(jié)構(gòu)和安全設(shè)備的安全策略進(jìn)行調(diào)整，牽一發(fā)而動(dòng)全身，即使是小小的調(diào)整，也要對(duì)整個(gè)的配置進(jìn)行修改。

5.終端內(nèi)外網(wǎng)未實(shí)現(xiàn)物理隔離

終端物理隔離是單位防止各類黑客攻擊，保護(hù)信息系統(tǒng)數(shù)據(jù)安全而采取的重要措施，通過終端物理隔離可以杜絕內(nèi)外網(wǎng)絡(luò)信息交換。目前筆者單位部分電腦使用隔離卡形式來實(shí)現(xiàn)終端內(nèi)外網(wǎng)物理隔離，但在使用過程中，內(nèi)外網(wǎng)切換時(shí)間長，影響工作效率。

采用云桌面實(shí)施物理隔離

針對(duì)以上問題，可以從以下四大方面來解決物理隔離面臨的相關(guān)問題。

1.加強(qiáng)方案梳理，為云桌面實(shí)施提供理論基礎(chǔ)

大量采購筆記本電腦與目前社會(huì)環(huán)境不融合，臺(tái)式機(jī)復(fù)雜的管理與運(yùn)維，增加技術(shù)人員運(yùn)維工作量，臺(tái)式機(jī)操作系統(tǒng)崩潰后重建系統(tǒng)費(fèi)時(shí)，而且臺(tái)式機(jī)數(shù)據(jù)容易丟失、能耗大。

因此采用云桌面有很多優(yōu)勢：一是云桌面架構(gòu)技術(shù)已經(jīng)成熟，逐漸在各個(gè)行業(yè)中興起；二是建設(shè)成本低、穩(wěn)定性、可用性和安全性高；三是易用性、可管理性、擴(kuò)展性強(qiáng)；四是運(yùn)行速度快，相當(dāng)于都在用服務(wù)器上網(wǎng)；五是使用云桌面可減少PC運(yùn)維工作量，便于統(tǒng)一管理維護(hù)，可解決技術(shù)人員不足的問題。

終端內(nèi)外隔離可以便于網(wǎng)絡(luò)安全管理，避免終端外網(wǎng)使用過程中感染的病毒在內(nèi)網(wǎng)絡(luò)廣泛傳播。運(yùn)用虛擬桌面形式來部署外網(wǎng)更有利于節(jié)約成本、日常維護(hù)與信息安全。通過小型KVM轉(zhuǎn)換器就可實(shí)現(xiàn)內(nèi)網(wǎng)計(jì)算機(jī)、虛擬桌面共用一套顯示器、鍵盤和鼠標(biāo)，節(jié)約成本開銷。虛擬桌面大部分維護(hù)工作都在服務(wù)器端完成，可以極大地減少計(jì)算機(jī)維護(hù)人員維護(hù)工作量。虛擬桌面沒有病毒感染的可能性，具備完美的防病毒特性，即使感染病毒也可直接刪除虛擬機(jī)重新分配虛擬桌面，避免病毒傳播。

2.理清硬件集成，為云桌面實(shí)施提供硬件基礎(chǔ)

桌面云系統(tǒng)采用國內(nèi)云桌面一體化解決方案，當(dāng)前使用了6臺(tái)DELL R730物理服務(wù)器，每臺(tái)服務(wù)器配置了2顆Intel Xeon E5-2650v3處理器和256GB內(nèi)存，通過服務(wù)器虛擬化軟件融合作為計(jì)算資源池；存儲(chǔ)資源池采用了基于存儲(chǔ)陣列的雙活存儲(chǔ)解決方案，部署了2套高端多控存儲(chǔ)設(shè)備，每臺(tái)存儲(chǔ)設(shè)備配置了12塊1.2TB容量10000轉(zhuǎn)企業(yè)級(jí)6Gb SAS硬盤和2塊200GB容量SSD硬盤，部署了對(duì)稱雙活后分配給虛擬化平臺(tái)可用存儲(chǔ)容量約為11TB左右，桌面云后端基礎(chǔ)架構(gòu)系統(tǒng)拓?fù)淙鐖D2所示。

3.完善實(shí)施步驟，為云桌面實(shí)施理清思路

云桌面在2016年3月24日進(jìn)行招標(biāo)采購，5月4日到6日進(jìn)行設(shè)備開箱、設(shè)備的安裝、存儲(chǔ)系統(tǒng)初始化、存儲(chǔ)系統(tǒng)雙活部署以及虛擬化集群部署，5月7日到29日進(jìn)行桌面虛擬機(jī)發(fā)布、瘦終端安裝、IP-MAC統(tǒng)計(jì)、綁定等工作，在5月底完成整個(gè)云桌面的安裝及部署。實(shí)施步驟如圖3所示。

4.強(qiáng)化問題解決，為云桌面實(shí)施排除障礙

圖2 桌面云后端基礎(chǔ)架構(gòu)系統(tǒng)拓?fù)?/p>

圖3 云桌面的安裝及部署實(shí)施步驟

圖4 辦公環(huán)境使用模式

在瘦客戶端安裝實(shí)施的過程中，也碰到了很多應(yīng)用上的細(xì)節(jié)性問題，如原來定時(shí)開機(jī)關(guān)機(jī)，在定時(shí)關(guān)機(jī)的時(shí)候沒有提示，直接進(jìn)行關(guān)機(jī)，如晚上10點(diǎn)定時(shí)關(guān)機(jī)，有的同事可能還在加班，按原先定時(shí)關(guān)機(jī)的方法是直接就把機(jī)器關(guān)掉了，這樣就會(huì)導(dǎo)致使用人員感覺電腦被強(qiáng)制關(guān)機(jī)了，缺乏使用體驗(yàn)感，我們提出定時(shí)關(guān)機(jī)前有30秒提示，如需使用的就點(diǎn)擊取消關(guān)機(jī)。定時(shí)開機(jī)關(guān)機(jī)也解決了云桌面啟動(dòng)風(fēng)暴問題，比如上班時(shí)候統(tǒng)一開機(jī)，會(huì)導(dǎo)致啟動(dòng)風(fēng)暴，通過定時(shí)分批啟動(dòng)虛擬機(jī)解決了該問題。還有顯示器分辨率在KVM內(nèi)外網(wǎng)切換及鍵盤數(shù)字鍵在KVM內(nèi)外網(wǎng)切換時(shí)會(huì)變化等問題在后續(xù)的使用過程中都加以解決，增加了云桌面使用的體驗(yàn)感。而且內(nèi)外網(wǎng)通過KVM切換只需4到5秒時(shí)間，比原先使用一臺(tái)電腦上內(nèi)外網(wǎng)通過網(wǎng)絡(luò)切換器進(jìn)行切換的速度還快。使用KVM切換器替代網(wǎng)絡(luò)切換器，共用鍵盤、鼠標(biāo)、顯示器，減少投入，具體單位干部職工辦公環(huán)境使用模式如圖4所示。

單位內(nèi)外網(wǎng)物理隔離建設(shè)是一個(gè)關(guān)系本單位各業(yè)務(wù)建設(shè)安全運(yùn)行與穩(wěn)定運(yùn)行、信息化建設(shè)持續(xù)推進(jìn)的重要問題。其重要性正隨著數(shù)字化、信息化步伐的加快而變的越來越重要。網(wǎng)絡(luò)與信息安全工作做好了，相應(yīng)的網(wǎng)絡(luò)系統(tǒng)硬件運(yùn)行就更可靠，軟件運(yùn)行更穩(wěn)定，系統(tǒng)中數(shù)據(jù)就更安全，硬件、軟件與數(shù)據(jù)也不會(huì)受到偶然的或者惡意的原因而遭到破壞、更改、泄露。在單位信息化建設(shè)過程中，內(nèi)外網(wǎng)物理隔離建設(shè)任重而道遠(yuǎn)。