虛擬化網(wǎng)絡(luò)安全防護(hù)體系創(chuàng)建

文/吳雨

1 前言

虛擬化技術(shù)以自身獨(dú)特優(yōu)勢被廣泛應(yīng)用到很多行業(yè)和領(lǐng)域當(dāng)中，相應(yīng)行業(yè)在應(yīng)用虛擬化技術(shù)之后，可以不受時間和地點(diǎn)的限制利用移動終端實(shí)現(xiàn)向本企業(yè)虛擬化應(yīng)用當(dāng)中的有效連接，隨時隨地的完成相關(guān)工作與業(yè)務(wù)，使用便捷的同時有效提高工作效率。然而，虛擬化技術(shù)在為使用者提供便利的同時，也存在一定的安全問題，為了有效提高虛擬化技術(shù)的應(yīng)用程度，針對虛擬化應(yīng)用實(shí)現(xiàn)網(wǎng)絡(luò)安全防護(hù)體系的創(chuàng)建具有重要意義。

2 虛擬化網(wǎng)絡(luò)安全分析

要實(shí)現(xiàn)虛擬化技術(shù)的有效運(yùn)用，就要確保網(wǎng)絡(luò)安全。為了促使虛擬化技術(shù)能夠在更大范圍內(nèi)更深層次的為人們的工作和生活提供便利，就要針對虛擬化應(yīng)用的網(wǎng)絡(luò)安全問題進(jìn)行有效分析，并進(jìn)行加固和防護(hù)。

2.1 安全防護(hù)五要素

虛擬化網(wǎng)絡(luò)安全防護(hù)需要在五個方面實(shí)現(xiàn)安全加固：

2.1.1 用戶的身份安全

這種方式可以通過短信認(rèn)證、用戶名與密碼、數(shù)字證書、USB-Key等方式進(jìn)行用戶身份的實(shí)際認(rèn)證，為了確保用戶接入更加可靠，可以通過一種方式，也可同時利用多種方式同時認(rèn)證。

2.1.2 終端安全

針對終端設(shè)備要加強(qiáng)對木馬以及病毒的防護(hù)，對系統(tǒng)漏洞補(bǔ)丁及時升級，以對病毒和間諜軟件能夠?qū)崿F(xiàn)檢測與攔截。

2.1.3 傳輸安全

通過標(biāo)準(zhǔn)加密算法的利用實(shí)現(xiàn)數(shù)據(jù)能夠安全傳輸。

2.1.4 應(yīng)用權(quán)限安全

向每個用戶和部門實(shí)現(xiàn)URL級別以及應(yīng)用的實(shí)際授權(quán)，同時根據(jù)實(shí)際情況實(shí)現(xiàn)差別授權(quán)并靈活的控制。

2.1.5 審計(jì)安全

通過日志中心的相關(guān)功能促使管理更加安全。

2.2 虛擬化安全隱患

在對虛擬化技術(shù)進(jìn)行應(yīng)用的時候，普遍的一個做法就是通過各種移動終端在互聯(lián)網(wǎng)環(huán)境中實(shí)現(xiàn)向目標(biāo)DMZ區(qū)虛擬化服務(wù)器的連接，以虛擬化服務(wù)器為代理實(shí)現(xiàn)向內(nèi)網(wǎng)相應(yīng)應(yīng)用系統(tǒng)當(dāng)中的訪問。但是在對虛擬化應(yīng)用實(shí)現(xiàn)訪問的時候，一般為了用戶方便快捷的通過認(rèn)證訪問相應(yīng)的虛擬化應(yīng)用，多以用戶名密碼加上認(rèn)證碼的方式進(jìn)行認(rèn)證訪問，這種靜態(tài)的認(rèn)證方式如果出現(xiàn)用戶名與密碼的泄漏，將會出現(xiàn)嚴(yán)重安全問題。

3 虛擬化網(wǎng)絡(luò)安全防護(hù)體系創(chuàng)建

根據(jù)虛擬化技術(shù)在應(yīng)用當(dāng)中涉及到的安全防護(hù)五要素，并結(jié)合實(shí)際安全隱患，主要從以下四個方面實(shí)現(xiàn)虛擬化網(wǎng)絡(luò)安全防護(hù)體系的創(chuàng)建。

3.1 手機(jī)動態(tài)碼驗(yàn)證

通過眾多實(shí)踐發(fā)現(xiàn)，手機(jī)動態(tài)碼驗(yàn)證是一種相對安全并且被普遍認(rèn)可的一種虛擬化認(rèn)證方式。這種認(rèn)證方式當(dāng)中涉及到的密碼具有一定的互動性和動態(tài)性，比如應(yīng)用到銀行支付當(dāng)中，即使銀行用戶自身銀行卡和支付密碼都被非法盜取了，但是在實(shí)際支付行為中還需要用到用戶本人的動態(tài)手機(jī)驗(yàn)證碼，在缺失相應(yīng)驗(yàn)證碼的情況下也難以實(shí)現(xiàn)取款行為。在用戶本文接收到動態(tài)驗(yàn)證碼的時候還包括相應(yīng)的密碼序號，只有在確保獲取的動態(tài)密碼和相應(yīng)密碼序號是一致的，才能進(jìn)行相應(yīng)操作，這樣就使手機(jī)動態(tài)密碼進(jìn)一步提高了安全性。

3.2 將USB-Key認(rèn)證使用范圍有效擴(kuò)展

一般在虛擬化技術(shù)的實(shí)際應(yīng)用當(dāng)中，已經(jīng)實(shí)現(xiàn)相對健全的PKI認(rèn)證系統(tǒng)建立，相應(yīng)業(yè)務(wù)應(yīng)用在被用戶實(shí)現(xiàn)有效訪問之前，都要先進(jìn)行USB-Key的認(rèn)證。在常用的三種認(rèn)證技術(shù)當(dāng)中，動態(tài)口令和USB-Key認(rèn)證方式是最具安全性的。要實(shí)現(xiàn)虛擬化網(wǎng)絡(luò)安全，可以有效利用USB-Key認(rèn)證方式，以此為基礎(chǔ)確保相關(guān)業(yè)務(wù)在應(yīng)用過程中能夠?qū)崿F(xiàn)認(rèn)證方式都具有高度的一致性。在實(shí)際應(yīng)用過程中，這種認(rèn)證方式還是具有較高的性價(jià)比，并且相應(yīng)USB接口具備通用性，比較適合在實(shí)際的應(yīng)用當(dāng)中積極推廣應(yīng)用。USB-Key自身成本較低，并且攜帶和使用都非常方便，在應(yīng)用中比較安全可靠，同時，PKI體系自身數(shù)據(jù)保護(hù)相關(guān)機(jī)制較為完善，促使USB-Key認(rèn)證方式成為當(dāng)前較為常用的認(rèn)證模式。

3.3 利用遠(yuǎn)程安全桌面

用戶在訪問虛擬化應(yīng)用的時候，不管是采用用戶名+密碼的方式還是通過USB-Key形式的認(rèn)證方式實(shí)現(xiàn)向虛擬化系統(tǒng)當(dāng)中的登入，通常會將相應(yīng)應(yīng)用當(dāng)中包含的一些資源向本地電腦當(dāng)中下載，在下載過程中就存在一定的安全隱患，相應(yīng)的信息有可能被黑客盜取并被不法分子利用，或者上傳至互聯(lián)網(wǎng)當(dāng)中，影響相應(yīng)信息的安全。針對這一安全隱患，可以通過安全桌面技術(shù)實(shí)現(xiàn)問題的解決。

利用安全桌面技術(shù)，可以避免一些重要的信息在用戶終端存留過程中出現(xiàn)泄漏風(fēng)險(xiǎn)。在應(yīng)用安全桌面技術(shù)之后，一切訪問虛擬化服務(wù)器的行為以及通過服務(wù)器進(jìn)行數(shù)據(jù)的傳輸行為都能夠使其中涉及到的數(shù)據(jù)保存在安全桌面當(dāng)中，置于安全桌面當(dāng)中的數(shù)據(jù)都不能進(jìn)行本機(jī)的存儲，也不能向U盤等類似的外設(shè)設(shè)備當(dāng)中進(jìn)行拷貝，也不能利用互聯(lián)網(wǎng)以及局域網(wǎng)實(shí)現(xiàn)數(shù)據(jù)外發(fā)，確保安全桌面當(dāng)中的數(shù)據(jù)不能用任何方式實(shí)現(xiàn)泄漏。

3.4 DMZ區(qū)部署七層防火墻

針對虛擬化應(yīng)用，傳統(tǒng)防火墻的相關(guān)設(shè)備在安全性、性能以及帶寬方面都不能實(shí)現(xiàn)數(shù)據(jù)監(jiān)控與攔截的需求。針對這種情況，可以利用七層防火墻對虛擬化應(yīng)用進(jìn)行安全防護(hù)，以此促使數(shù)據(jù)包在經(jīng)過防火墻的時候安全性能有效提高，并確保網(wǎng)絡(luò)安全且應(yīng)用可以正常的運(yùn)行。在虛擬化網(wǎng)絡(luò)當(dāng)中部署七層防火墻，能夠?qū)ヂ?lián)網(wǎng)當(dāng)中向虛擬化應(yīng)用訪問進(jìn)行識別。

4 結(jié)束語

人們在利用虛擬化技術(shù)之后，能夠在遠(yuǎn)離電腦的環(huán)境中，通過平板電腦以及智能手機(jī)等移動終端在連接網(wǎng)絡(luò)的基礎(chǔ)上，實(shí)時訪問虛擬化目標(biāo)應(yīng)用，為工作與生活提供了極大便利。不過，在應(yīng)用虛擬化技術(shù)的同時，要注意根據(jù)網(wǎng)絡(luò)安全威脅以及自身引入的相應(yīng)安全問題，靈活多變的創(chuàng)建虛擬化網(wǎng)絡(luò)安全防護(hù)體系。

參考文獻(xiàn)

[1]鐘植任,關(guān)洪濤,劉冉等.一種運(yùn)營商網(wǎng)絡(luò)安全功能虛擬化系統(tǒng)部署方法[J].信息通信技術(shù),2017(03):13-19.

[2]孫梅玲,李降宇,王寅永.基于虛擬化環(huán)境的信息安全防護(hù)體系構(gòu)建[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2017(09):141-141.