李穎

【摘 要】虛擬桌面是虛擬化技術(shù)在應(yīng)用層面上的一個(gè)重要分支，它支持更為復(fù)雜的應(yīng)用和個(gè)性化配置，操作方便靈活，其部署不僅彌補(bǔ)了傳統(tǒng)桌面不足，還極大拓展了桌面空間，數(shù)據(jù)安全性也得以提升。但隨著虛擬桌面的廣泛應(yīng)用，其安全問題也日益突出，只有采取切實(shí)有效的安全策略對這些問題加以解決，虛擬桌面的應(yīng)用前景才更為廣闊。

【關(guān)鍵詞】虛擬桌面；安全隱患；安全策略

現(xiàn)如今，計(jì)算機(jī)在人們的生產(chǎn)和生活中已得到了普及，經(jīng)驗(yàn)告訴我們，傳統(tǒng)桌面過于狹小，若打開窗口過多，桌面就會(huì)顯得擁擠不堪，使用起來非常不便。隨著虛擬化技術(shù)的發(fā)展，虛擬桌面應(yīng)運(yùn)而生，通過虛擬桌面技術(shù)能夠?qū)崿F(xiàn)用戶終端環(huán)境和計(jì)算環(huán)境的分離，用戶在何時(shí)何地通過任何設(shè)備都能訪問個(gè)人桌面，這對于實(shí)現(xiàn)信息的集中管理、提高網(wǎng)路資源利用率、保證業(yè)務(wù)數(shù)據(jù)安全性和一致性、降低系統(tǒng)運(yùn)行成本具有重要現(xiàn)實(shí)意義。但在虛擬桌面的應(yīng)用中還存在一些安全隱患，亟需解決。

1 虛擬桌面應(yīng)用中存在的安全隱患

1.1 身份認(rèn)證和訪問控制問題

虛擬桌面應(yīng)用環(huán)境中，用戶可進(jìn)行遠(yuǎn)程登錄并使用自己的虛擬機(jī)，管理自己的各種信息數(shù)據(jù)，系統(tǒng)訪問主要是根據(jù)用戶身份進(jìn)行限制的，也就是說，只要用戶有訪問權(quán)限，任何智能終端都可以訪問云端的桌面環(huán)境，而人們往往只關(guān)注了虛擬桌面訪問的實(shí)時(shí)性，但是若訪問權(quán)限不可靠呢？如果使用單純的用戶密碼，一旦密碼被破解或者意外泄露，對方無論在任何位置都可以訪問用戶虛擬桌面系統(tǒng)，并獲取用戶重要信息數(shù)據(jù)，這必然會(huì)給用戶帶來嚴(yán)重?fù)p失。傳統(tǒng)桌面通常采用的是物理隔離的方式，其他人無法進(jìn)入安全區(qū)域，但是這種方式對于虛擬桌面系統(tǒng)并沒有安全保障，因此，必須有更加嚴(yán)格的終端身份認(rèn)證機(jī)制。

1.2 遠(yuǎn)程數(shù)據(jù)傳輸帶來的風(fēng)險(xiǎn)

在虛擬桌面應(yīng)用中，當(dāng)用戶終端與虛擬機(jī)進(jìn)行數(shù)據(jù)交換時(shí)，數(shù)據(jù)可能會(huì)被盜取或篡改，這主要表現(xiàn)在以下兩個(gè)方面：第一，對虛擬桌面進(jìn)行部署的時(shí)候，用戶通過網(wǎng)絡(luò)遷移自己現(xiàn)有大量的文件數(shù)據(jù)，在這個(gè)過程中文件數(shù)據(jù)可能被截?。坏诙?，用戶利用虛擬桌面協(xié)議通過網(wǎng)絡(luò)向虛擬機(jī)提交數(shù)據(jù)，虛擬機(jī)將結(jié)果反饋給用戶，該過程中也會(huì)存在數(shù)據(jù)被截取、分析和破解的風(fēng)險(xiǎn)。

1.3 數(shù)據(jù)集中存儲(chǔ)的安全問題

在虛擬桌面的應(yīng)用過程中，用戶終端不留任何數(shù)據(jù)，所用的信息都會(huì)存儲(chǔ)在數(shù)據(jù)后臺的磁盤陣列中，為了滿足文件系統(tǒng)的訪問需要，一般采用NAS架構(gòu)的存儲(chǔ)系統(tǒng)，用戶只需要考慮保護(hù)后臺磁盤的安全性就能防止信息泄露，原本前端客戶端可能引起的主動(dòng)式的信息泄露幾率會(huì)大大減少，但是如果系統(tǒng)管理員權(quán)限過大或者具有系統(tǒng)管理員權(quán)限的非法用戶想要獲取信息，只要從一臺服務(wù)器上就可以獲得全部數(shù)據(jù)，可以十分簡便地查詢、檢索和修改核心數(shù)據(jù)，這是數(shù)據(jù)集中存儲(chǔ)存在的最大的安全隱患，如果沒有有效的監(jiān)督機(jī)制和手段，系統(tǒng)管理員將可能會(huì)有意或無意地將用戶核心數(shù)據(jù)泄露出來，進(jìn)而給用戶帶來損失。

1.4 缺乏有效的虛擬機(jī)安全審計(jì)系統(tǒng)

作為實(shí)時(shí)監(jiān)控、記錄不法行為的安全審計(jì)系統(tǒng)是控制信息系統(tǒng)安全隱患的重要手段，對內(nèi)部人員具有一定的威懾作用。但是虛擬桌面尚缺乏一個(gè)切實(shí)有效的控制和審計(jì)系統(tǒng)，無法對用戶行為進(jìn)行全面管控，非法用戶很有可能會(huì)利用系統(tǒng)漏洞獲取并提升權(quán)限，進(jìn)而對數(shù)據(jù)進(jìn)行越級訪問。

1.5 基于傳統(tǒng)網(wǎng)絡(luò)的安全防護(hù)措施無效

網(wǎng)絡(luò)流量監(jiān)控是網(wǎng)絡(luò)安全管理的基礎(chǔ)，數(shù)據(jù)安全審計(jì)、防火墻、病毒入侵檢測等安全措施的實(shí)現(xiàn)都需要依托安全流量的監(jiān)控和分析。然而在虛擬桌面應(yīng)用中，統(tǒng)一服務(wù)器不同虛擬機(jī)之間數(shù)據(jù)的交互是通過虛擬網(wǎng)絡(luò)完成的，無需經(jīng)過傳統(tǒng)網(wǎng)絡(luò)，也就是說之前適用于傳統(tǒng)網(wǎng)絡(luò)的安全措施將不再適用于虛擬桌面，若虛擬機(jī)受到網(wǎng)絡(luò)攻擊或病毒傳播，通過物理安全防護(hù)措施無法保證虛擬桌面系統(tǒng)的安全性。

2 安全策略

2.1 嚴(yán)格人員身份認(rèn)證

在虛擬桌面環(huán)境中，用戶在何時(shí)何地通過任何設(shè)備都能訪問個(gè)人桌面，為了確保數(shù)據(jù)信息和計(jì)算機(jī)系統(tǒng)的安全，有必要采取強(qiáng)有力的身份認(rèn)證措施，防止假冒。可向用戶配發(fā)數(shù)字證書“USB key”，將數(shù)字證書驅(qū)動(dòng)程序嵌入用戶終端系統(tǒng)中，與此同時(shí)，安裝客戶端認(rèn)證代理，在用戶服務(wù)器前端部署服務(wù)器認(rèn)證代理，用戶想要訪問虛擬系統(tǒng)就必須通過數(shù)字認(rèn)證，此外，實(shí)施細(xì)粒度訪問權(quán)限控制策略，只有用戶本人才能訪問自己的虛擬資源，其他人員無法訪問，這樣就實(shí)現(xiàn)了不同用戶虛擬機(jī)之間的完全隔離，對于確保用戶信息安全性具有重要作用。

2.2 部署傳輸加密系統(tǒng)

在應(yīng)用虛擬桌面的過程中，保證用戶與虛擬機(jī)之間數(shù)據(jù)傳輸?shù)陌踩苑浅Ｖ匾?，為此，?yīng)部署傳輸加密系統(tǒng)，利用數(shù)字證書或?qū)Ｓ眉用苡布谟脩艉吞摂M機(jī)之間建立加密傳輸通道，實(shí)現(xiàn)數(shù)據(jù)傳輸?shù)陌踩Ｃ?，有效防止非法者搭線竊取或分析用戶核心信息。

2.3 數(shù)據(jù)加密存儲(chǔ)

虛擬桌面環(huán)境中，系統(tǒng)管理員作為超級用戶具有打開所有用戶目錄、獲取用戶數(shù)據(jù)的權(quán)限，其對所有客戶端的信息都會(huì)十分簡便地獲取、檢索或修改，為了防止系統(tǒng)管理員私自查看用戶數(shù)據(jù)或服務(wù)器遭受非法攻擊后造成的信息泄露問題，必須采用專業(yè)的加密設(shè)備比如高速存儲(chǔ)密碼機(jī)等進(jìn)行數(shù)據(jù)加密存儲(chǔ)。另外，為了滿足規(guī)范要求和用戶個(gè)性化需求，加密算法應(yīng)可以由前端用戶指定，用戶只有根據(jù)數(shù)字證書并通過加密設(shè)備才能查看自己的文件數(shù)據(jù)，其他人員無法看到完整數(shù)據(jù)，保證用戶能夠?qū)ψ约旱男畔?shù)據(jù)進(jìn)行有效管控，防止非授權(quán)訪問。

2.4 設(shè)置虛擬網(wǎng)絡(luò)安全防護(hù)系統(tǒng)

根據(jù)虛擬桌面的特點(diǎn)設(shè)置適用于虛擬網(wǎng)絡(luò)的防火墻、入侵檢測系統(tǒng)、安全審計(jì)系統(tǒng)等，以實(shí)現(xiàn)不同用戶虛擬機(jī)之間的網(wǎng)絡(luò)隔離，及時(shí)監(jiān)控并發(fā)現(xiàn)計(jì)算機(jī)網(wǎng)絡(luò)病毒傳播、網(wǎng)絡(luò)攻擊等威脅網(wǎng)絡(luò)系統(tǒng)的行為。比如某人在上網(wǎng)期間誤入非法網(wǎng)站，糊涂中了招，由于沒有及時(shí)堵塞系統(tǒng)漏洞，惡意程序悄無聲息地進(jìn)入了系統(tǒng)中，不僅系統(tǒng)被破壞，很多重要文件也丟失，該人只好重新安裝系統(tǒng)，經(jīng)人介紹，在安裝系統(tǒng)的同時(shí)安裝了Syfort iDesk安全軟件，創(chuàng)建了虛擬桌面，實(shí)現(xiàn)了對系統(tǒng)管理權(quán)限的全面控制。在虛擬桌面應(yīng)用過程中，還應(yīng)及時(shí)進(jìn)行程序升級，安裝補(bǔ)丁，更改病毒庫，保證安全軟硬件的安全防護(hù)性能。

2.5 建立健全服務(wù)器使用管控機(jī)制

使用密鑰分散管理權(quán)限，對系統(tǒng)管理員進(jìn)行分權(quán)，要進(jìn)行重要操作，必須得到多個(gè)管理員授權(quán)才能實(shí)現(xiàn)，這樣能有效防止個(gè)別管理員私自訪問、更改用戶數(shù)據(jù)。

3 結(jié)語

虛擬桌面是虛擬化技術(shù)在應(yīng)用層面的一個(gè)重要分支，它以自身具備的技術(shù)、成本、管理等方面的優(yōu)勢在眾多企業(yè)中得到了廣泛應(yīng)用，不僅能夠?qū)崿F(xiàn)信息的集中管理、資源的優(yōu)化配置，對于統(tǒng)一配置應(yīng)用環(huán)境、提升業(yè)務(wù)應(yīng)用的可靠性也具有重要作用。對于注重信息安全性和保密性的企業(yè)或機(jī)構(gòu)而言，虛擬桌面的安全性非常重要，因此，必須采取切實(shí)有效的措施應(yīng)對并解決虛擬桌面系統(tǒng)存在的安全隱患，提升系統(tǒng)安全性，為虛擬桌面的進(jìn)一步推廣奠定基礎(chǔ)。

【參考文獻(xiàn)】

[1]孫宇，陳煜欣.桌面虛擬化及其安全技術(shù)研究[J].信息安全與通信保密，2012（6）：87-88.

[2]展旭升，高云偉，馮百明，蔣蕓，楊鵬斐.新型虛擬桌面殺毒模型[J].計(jì)算機(jī)應(yīng)用，2012，32（12）：3445-3448.

[3]鄭志勇，呂遠(yuǎn)大，王毅.虛擬桌面系統(tǒng)應(yīng)用安全性分析與對策[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2012（10）：50-52.

[4]郭建偉.巧用虛擬桌面，為系統(tǒng)裝把“安全鎖”[J].電腦知識與技術(shù)·經(jīng)驗(yàn)技巧，2013（6）：25-27.

[責(zé)任編輯：王春燕]