李子龍

（梅州供電局，廣東梅州 514021）

0 引言

電力數(shù)據(jù)網(wǎng)隨著通信和網(wǎng)絡(luò)技術(shù)的發(fā)展，其接入的端口越來越多，不乏及其重要的控制終端，隨著云計算技術(shù)帶來的變革，使得電力內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)交換愈加重要。這些將對電力數(shù)據(jù)網(wǎng)的帶來前所未有的挑戰(zhàn)，其主要需要解決的問題是數(shù)據(jù)網(wǎng)絡(luò)的安全、可靠及實時性，同時保證控制系統(tǒng)的獨立性[1-5]。其中虛擬桌面服務(wù)作為云計算的一種典型的應(yīng)用，它主要為網(wǎng)絡(luò)用戶提供計算機遠程的桌面的數(shù)據(jù)服務(wù)功能[6]。

企業(yè)對虛擬桌面服務(wù)的多元化的需求以及個人桌面的數(shù)量需求大幅增長，對于虛擬桌面系統(tǒng)的管理面臨著多方面的挑戰(zhàn)。對于企業(yè)，如何在降低虛擬桌面的管理成本，提高工作效率的同時，更加迫切的是保證對需求不斷增長的虛擬桌面服務(wù)安全性[7-13]。

本文就時新的虛擬桌面技術(shù)，根據(jù)其服務(wù)的特性提出了提出一種基于高級可持續(xù)防護模型下的供電局虛擬桌面應(yīng)用安全系統(tǒng)，保護好實時云計算所帶來數(shù)據(jù)網(wǎng)絡(luò)的安全，從而保障國家重要基礎(chǔ)設(shè)施電力系統(tǒng)的安全。

1 虛擬桌面概述

虛擬桌面的問題架構(gòu)，是以計算機用戶為中心算，按其需求，向其提供可用的信息資源，同時不改變用戶的行為習(xí)慣，確保用戶獲得足夠高的自由度，并滿足上層系統(tǒng)地集中管理和以及傳輸和系統(tǒng)數(shù)據(jù)安全性的要求，綜合解決上述虛擬桌面所帶來的挑戰(zhàn)。

通過如圖1所示的管理框架，用戶可以通過網(wǎng)絡(luò)訪問得到完善的服務(wù)，具有充分的靈活性。在辦公室或出差，可以使用不同的客戶端訪問通過虛擬桌面進而訪問數(shù)據(jù)中心，展開需要的工作。同時上層系統(tǒng)管理人員通過虛擬化架構(gòu)簡化虛擬桌面的管理，一定程度上提高數(shù)據(jù)的安全性，減少操作及維護成本。

圖1 虛擬桌面物理結(jié)構(gòu)圖

2 系統(tǒng)總體技術(shù)框架

供電局信息網(wǎng)絡(luò)是典型的信息管理系統(tǒng)（Management Information System）模型，它是一個以服務(wù)用戶為主導(dǎo)，整合了計算機軟硬件，網(wǎng)絡(luò)通信設(shè)備以及其他辦公設(shè)備的高度集成化的人機系統(tǒng)，主要用于對信息進行收集、傳輸、處理、存儲、更新和維護。同時以競優(yōu)企業(yè)戰(zhàn)略，提高效益和效率為最終目的，支持企業(yè)分層次管理，即高層決策，中層控制，基層操作的運作方式。

供電局網(wǎng)絡(luò)中提供服務(wù)區(qū)域為四大部分，為內(nèi)部專用區(qū)、內(nèi)部服務(wù)區(qū)，業(yè)務(wù)服務(wù)區(qū)和公共安全服務(wù)區(qū)。四大服務(wù)區(qū)通過千兆光纖分別上連到IDC核心交換機，并配置千兆光纖鏈路連接以做線路冗余，MIS系統(tǒng)有統(tǒng)一的Intemet出口，在出口處采用深信服網(wǎng)上行為審計系統(tǒng)AC-5500，實施訪問控制、審計手段。

圖2 供電局信息網(wǎng)絡(luò)結(jié)構(gòu)圖

3 高級可持續(xù)防護模型

針對電局信息網(wǎng)絡(luò)在安全虛擬桌面上的服務(wù)要求，其中工作重點是安全防范的規(guī)范化、流程化和工業(yè)控制病毒問題出現(xiàn)后新的網(wǎng)絡(luò)安全問題防范，同時考慮到各種信息安全模型的特點，因此選擇基于貝爾-拉帕都拉信息安全模型進行安全防護，同時根據(jù)虛擬桌面的數(shù)據(jù)傳輸特點，在此模型的原理上進行修正，并進行了一些原則性的取舍和擴充，從而適應(yīng)電力網(wǎng)絡(luò)的特性，滿足虛擬桌面的服務(wù)需求，形成“高級可持續(xù)防護模型”（APP防護模型）。此安全模型已應(yīng)用于部分供電網(wǎng)絡(luò)系統(tǒng)安全加固中。

圖3 系統(tǒng)安全防護模型

應(yīng)用于電力網(wǎng)絡(luò)虛擬桌面的高級可持續(xù)防護模型（APP）的基本原理是基于貝爾-拉帕都拉模型安全模型和貝爾-拉帕都拉安全模型，即通過安全標簽的形態(tài)去定義訪問用戶的權(quán)限級別，從而達到對用于訪問數(shù)據(jù)的控制，達到虛擬桌面數(shù)據(jù)安全的目的。其中不同點在于對安全級別的定義方式以及不用級別所訪問控制的模型方案的不同。對于較通用成熟的安全模型，其模型側(cè)重于訪問所需信息的完整性及其訪問過程的嚴密性，是需要兩者達到一種均衡。而新的安全防護模型通過定義不同的應(yīng)用的安全級別從而在分級過程中杜絕了非權(quán)限行為的發(fā)生。定義虛擬桌面為中級別服務(wù)，從而其訪問控制權(quán)限，對于同級別的服務(wù)有互相訪問的權(quán)限，而高級別的服務(wù)對低級別的服務(wù)有只讀權(quán)限，低級別的服務(wù)對高于自己級別的服務(wù)沒有任何權(quán)限，具體體現(xiàn)形式見圖4。

圖4 APP防護模型

（1）當服務(wù)級別為“中級別”時，訪問級別為“高級別”的服務(wù)時，低級別服務(wù)對高級別服務(wù)無任何訪問權(quán)限。

（2）當級別為“中級別”的服務(wù)時，其訪問級別為“中級別”的服務(wù)時，其訪問權(quán)限為所有權(quán)限。

（3）當級別為“中級別”的服務(wù)訪問級別為“低級別”的服務(wù)時，其擁有只讀權(quán)限。

根據(jù)以上所述的安全模型描述，形成下列的訪問控制列表。

根據(jù)APP防護模型、并針對供電網(wǎng)絡(luò)具體情況，將形成系統(tǒng)化供電局虛擬桌面系統(tǒng)的安全防護。要實現(xiàn)虛擬桌面客戶端，需開放端口如表2所示。

表1 APP安全模型ACL列表

表2 虛擬桌面系統(tǒng)開放端口

4 結(jié)論

本文提出了高級可持續(xù)防護模型下的虛擬桌面系統(tǒng)的建設(shè)，其主要特點為：信息流只能從低級服務(wù)別流向高級服務(wù)，有效地保證了電力數(shù)據(jù)網(wǎng)絡(luò)的信息的保密性以及網(wǎng)絡(luò)所接入設(shè)備的安全性。高級服務(wù)對低級別服務(wù)的訪問只能進行讀取服務(wù)，這一措施確保了電力數(shù)據(jù)網(wǎng)絡(luò)資源中低級別服務(wù)資源的完整性。在這樣安全體系下，確保在供電局系統(tǒng)中所采取的虛擬桌面系統(tǒng)的可行性及安全性，并具有很高的推廣價值。

［1］趙琳，高振江.虛擬桌面技術(shù)研究與應(yīng)用［J］.西安航空技術(shù)高等?？茖W(xué)校學(xué)報，2011（03）：74-75，87.

［2］董蘭芳，劉祥春，陳意云.虛擬桌面系統(tǒng)的實現(xiàn)原理［J］.計算機工程，2001（05）：144-145，158.

［3］王皓月.基于虛擬桌面技術(shù)的高校多媒體教室設(shè)計實現(xiàn)［J］.電子技術(shù)與軟件工程，2015（05）：117.

［4］王峰，雷葆華.面向企業(yè)的虛擬桌面系統(tǒng)研究［J］.電信網(wǎng)技術(shù)，2012（02）：1-6.

［5］姚舜.Thinputer桌面虛擬化平臺在電子閱覽室的應(yīng)用［J］.河南圖書館學(xué)刊，2015（03）：122-124.

［6］宋繼紅.基于云計算的虛擬桌面的架構(gòu)方案探析［J］.價值工程，2011（28）：155-156.

［7］電科凌云——安全虛擬桌面［J］.信息安全與通信保密，2015（04）：76.

［8］鄭志勇，呂遠大，王毅.虛擬桌面系統(tǒng)應(yīng)用安全性分析與對策［J］.網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2012（10）：50-52.

［9］王峰，江峰，李朝陽.虛擬桌面及關(guān)鍵技術(shù)分析［J］.電信技術(shù)，2011（01）：24-26.

［10］陳臻棟.從安全性方面看桌面虛擬化技術(shù)［J］.計算機安全，2011（05）：83-85.

［11］李穎.試析虛擬桌面的安全隱患及安全策略［J］.科技視界，2014（01）：88.

［12］石勇，郭煜，韓臻.一種高效的虛擬桌面可信保證機制［J］.四川大學(xué)學(xué)報：工程科學(xué)版，2014（01）：29-34.

［13］周文，劉曉毅，龍愷.基于安全終端的虛擬桌面系統(tǒng)［J］.通信技術(shù)，2014（06）：663-667.

［14］任斐.虛擬桌面管理及應(yīng)用探討［J］.電子技術(shù)與軟件工程，2014（04）：31.

［15］徐浩，蘭雨晴.基于SPICE協(xié)議的桌面虛擬化技術(shù)研究與改進方案［J］.計算機工程與科學(xué)，2013（12）：20-25.

［16］張榮高.高校計算機機房虛擬桌面的應(yīng)用與研究［J］.電腦知識與技術(shù)，2013（15）：3542-3544.