龔偉
摘? 要:隨著網(wǎng)絡(luò)安全被提升到國家戰(zhàn)略,企業(yè)逐步開始對(duì)信息網(wǎng)絡(luò)進(jìn)行邊界隔離改造,劃分不同網(wǎng)絡(luò)區(qū)域,因此帶來了隔離網(wǎng)絡(luò)間系統(tǒng)訪問、用戶管理的挑戰(zhàn)。本文采用虛擬桌面技術(shù),研究規(guī)劃在多個(gè)隔離網(wǎng)絡(luò)邊界環(huán)境下,實(shí)現(xiàn)跨網(wǎng)絡(luò)邊界安全訪問的可行性。經(jīng)企業(yè)環(huán)境推廣驗(yàn)證,本文所研究的方法能夠使企業(yè)實(shí)現(xiàn)統(tǒng)一管理、按需交付的跨網(wǎng)絡(luò)邊界安全訪問平臺(tái)。文中所涉及的方法和技術(shù),可以為企業(yè)在網(wǎng)絡(luò)安全加固保護(hù)、信息安全和用戶管理層面提供全新的思路,提升企業(yè)信息安全水平。
關(guān)鍵詞:虛擬桌面;網(wǎng)絡(luò)邊界;安全訪問;身份鑒別
中圖分類號(hào):TP309.1? ? ?文獻(xiàn)標(biāo)識(shí)碼:A
文章編號(hào):2096-1472(2021)-01-32-03
Abstract: As network security has been promoted as a national strategy, enterprises gradually begin to transform information network boundary isolation and divide different network areas. This brings challenges to isolating system access between networks and user management. This paper uses virtual desktop technology to study feasibility of achieving secure access across network boundaries in multiple isolated network boundary environment. Proved by enterprise environment promotion, the proposed method can realize unified management for enterprises and a secure access platform across network boundaries, that is delivered on demand. Methods and technologies involved in this article can provide enterprises with new ideas in network security reinforcement protection, information security and user management levels, and improve the level of enterprise information security.
Keywords: virtual desktop; network boundary; secure access; identity authentication
1? ?引言(Introduction)
大型企業(yè)信息化建設(shè)中,為了確保信息系統(tǒng)安全性,通常會(huì)將信息化網(wǎng)絡(luò)拆分為多個(gè)專用網(wǎng)絡(luò),從而形成邊界隔離的網(wǎng)絡(luò)環(huán)境,不同邊界間使用防火墻、網(wǎng)閘或者物理隔離的方式,實(shí)現(xiàn)訪問控制和安全策略管理[1,2]。但企業(yè)計(jì)算機(jī)設(shè)備、應(yīng)用系統(tǒng)一般僅允許連接到一個(gè)網(wǎng)絡(luò)區(qū)域中,員工無法使用單一終端接入多個(gè)網(wǎng)絡(luò),使用不同網(wǎng)絡(luò)中的應(yīng)用系統(tǒng)[3]。傳統(tǒng)情況下企業(yè)會(huì)為用戶配置多個(gè)終端,然后使用鍵盤顯示器鼠標(biāo)(Keyboard Video Mouse, KVM)切換器進(jìn)行多計(jì)算機(jī)統(tǒng)一控制[4],但此種方式存在成本高昂、難以管理、易形成安全風(fēng)險(xiǎn)的問題。隨著虛擬桌面技術(shù)不斷成熟,終端、用戶、桌面分離管理,后臺(tái)統(tǒng)一配置交付的技術(shù)方案,為企業(yè)實(shí)現(xiàn)跨網(wǎng)絡(luò)邊界安全訪問提供了富有價(jià)值的解決方案。本文運(yùn)用虛擬桌面技術(shù),設(shè)計(jì)并實(shí)現(xiàn)了一套跨網(wǎng)絡(luò)邊界安全業(yè)務(wù)訪問系統(tǒng)平臺(tái),經(jīng)企業(yè)實(shí)際場(chǎng)景推廣運(yùn)行,為企業(yè)員工訪問不同網(wǎng)絡(luò)區(qū)域中的信息系統(tǒng),提供了安全可行的解決方案。
2? 多網(wǎng)絡(luò)邊界虛擬桌面架構(gòu)(Multi-network boundary virtual desktops architecture)
虛擬桌面技術(shù)已在信息技術(shù)領(lǐng)域中推廣應(yīng)用多年,企業(yè)為確保解決方案的穩(wěn)定性,以及產(chǎn)品的支持服務(wù),通常會(huì)選擇使用較為成熟穩(wěn)定的虛擬桌面解決方案產(chǎn)品,如思杰XenDesktop、威睿Horizon View及微軟RDS等產(chǎn)品[5]。本文采用思杰XenDesktop產(chǎn)品作為技術(shù)支撐,按照跨網(wǎng)絡(luò)邊界安全訪問的需求,進(jìn)行架構(gòu)設(shè)計(jì)、服務(wù)配置和用戶虛擬桌面交付[6]。企業(yè)按照信息化規(guī)劃,將不同業(yè)務(wù)領(lǐng)域的信息網(wǎng)絡(luò),根據(jù)業(yè)務(wù)數(shù)據(jù)流轉(zhuǎn)規(guī)則[7]以及云計(jì)算環(huán)境下的實(shí)際環(huán)境,規(guī)劃包含生產(chǎn)專用網(wǎng)、研發(fā)涉密網(wǎng)、普通辦公網(wǎng)以及公共互聯(lián)網(wǎng)在內(nèi)的四個(gè)網(wǎng)絡(luò)邊界區(qū)域,每個(gè)網(wǎng)絡(luò)均采用信息網(wǎng)絡(luò)技術(shù)加以隔離保護(hù),每個(gè)網(wǎng)絡(luò)邊界區(qū)域功能定義如表1所示。
根據(jù)企業(yè)的網(wǎng)絡(luò)邊界區(qū)域劃分,基于虛擬桌面技術(shù)采用集中式管理、統(tǒng)一虛擬桌面交付的特點(diǎn),本文所設(shè)計(jì)的跨邊界網(wǎng)絡(luò)安全訪問虛擬桌面架構(gòu)如圖1所示。圖1中,虛擬桌面服務(wù)資源按照就近原則放置在各網(wǎng)絡(luò)區(qū)域中,并且不改變企業(yè)現(xiàn)有網(wǎng)絡(luò)邊界區(qū)域劃分,在特殊隔離區(qū)域之間,配置虛擬桌面網(wǎng)關(guān)設(shè)備(實(shí)現(xiàn)虛擬桌面訪問會(huì)話加密代理服務(wù))。并在虛擬桌面接入終端設(shè)備上部署定制化身份鑒別接入程序,訪問企業(yè)統(tǒng)一虛擬桌面門戶,由虛擬桌面后臺(tái)服務(wù)判斷終端的源和目的網(wǎng)絡(luò)邊界區(qū)域,分配授權(quán)可訪問的虛擬桌面,以及應(yīng)用虛擬桌面安全策略實(shí)現(xiàn)用戶終端跨邊界網(wǎng)絡(luò)安全訪問需求[8]。
3? ?跨網(wǎng)絡(luò)邊界安全訪問模型(Secure access model across network boundaries)
通過虛擬桌面技術(shù)實(shí)現(xiàn)的跨網(wǎng)絡(luò)邊界安全訪問功能,首先可以保障用戶通過統(tǒng)一的門戶進(jìn)行多個(gè)網(wǎng)絡(luò)區(qū)域內(nèi)資源的訪問、切換;其次,用戶終端可采用定制化終端接入程序,將客戶端設(shè)備均默認(rèn)配置為零信任(Zero-Trust)狀態(tài),再由后臺(tái)身份鑒別服務(wù)進(jìn)行鑒別后提供服務(wù)。最終實(shí)現(xiàn)零信任統(tǒng)一安全訪問模型,所有終端用戶均訪問統(tǒng)一的虛擬桌面平臺(tái)門戶,門戶與終端之間采用HTTPS加密傳輸,用戶虛擬桌面會(huì)話采用安全數(shù)字證書加密的虛擬桌面會(huì)話交付。在高安全性要求的兩張網(wǎng)絡(luò)之間,采用加入雙因素(Two-Factors)身份認(rèn)證,并判斷客戶端健康狀態(tài)方式,確保終端、用戶均可以受控,安全可靠。圖2中所展現(xiàn)的終端與虛擬桌面的安全訪問模型,為本文所規(guī)劃配置的目標(biāo)狀態(tài)。
當(dāng)用戶訪問不同邊界網(wǎng)絡(luò)區(qū)域時(shí),所需采取的身份鑒別認(rèn)證方式也不同,該邊界網(wǎng)絡(luò)區(qū)域內(nèi)所提供的虛擬桌面服務(wù)類型也需根據(jù)實(shí)際情況進(jìn)行區(qū)分,表2描述了訪問模型中的區(qū)域安全訪問列表配置。
4? 虛擬桌面安全策略設(shè)計(jì)(Virtual desktops security policy design)
思杰XenDesktop平臺(tái)中,針對(duì)虛擬桌面安全策略,可以根據(jù)用戶不同的接入設(shè)備、接入方式,以及所訪問的不同虛擬桌面類型進(jìn)行控制和調(diào)整[9]。通過安全策略配置可以實(shí)現(xiàn)以下各項(xiàng)安全功能:
(1)剪貼板數(shù)據(jù)傳遞限制。
(2)終端設(shè)備磁盤映射,訪問權(quán)限控制。
(3)虛擬桌面顯示/隱藏安全控制。
(4)本地打印機(jī)調(diào)用安全控制。
(5)顯示虛擬桌面水印,動(dòng)態(tài)防截屏控制。
(6)USB、COM、串口等外接設(shè)備安全控制。
如表3所示的策略配置表描述了配置選項(xiàng):?jiǎn)⒂?、禁用、允許、禁止和未配置。
5? 終端用戶身份鑒別設(shè)計(jì)(End-user identity authentication design)
虛擬桌面的接入使用,需要利用各類型的用戶終端設(shè)備,如瘦客戶機(jī)、臺(tái)式計(jì)算機(jī)、筆記本電腦、移動(dòng)平板等。由于本方案中存在多個(gè)網(wǎng)絡(luò)邊界區(qū)域,需要針對(duì)不同區(qū)域接入虛擬桌面的終端,執(zhí)行不同的安全策略,分配不同的虛擬桌面資源,因此需要進(jìn)行終端用戶身份鑒別處理。本文采用定制化終端接入程序[10],實(shí)現(xiàn)對(duì)終端設(shè)備所處網(wǎng)絡(luò)邊界、用戶身份及終端設(shè)備安全性的檢測(cè)。整個(gè)終端用戶身份鑒別業(yè)務(wù)流程示意圖如圖3所示。
身份鑒別服務(wù)端部分偽代碼:
(1)創(chuàng)建終端用戶身份賬戶數(shù)據(jù)庫。
(2)創(chuàng)建終端設(shè)備計(jì)算機(jī)名、IP地址匹配規(guī)則。
(3)接收定制化終端接入程序提交的終端計(jì)算機(jī)名、IP地址、賬戶和密碼。
(4)比對(duì)終端用戶身份、計(jì)算機(jī)名和IP地址,匹配對(duì)應(yīng)的訪問頁面。
(5)使用思杰標(biāo)準(zhǔn)API接口,向StoreFront服務(wù)器傳遞用戶賬戶、密碼,獲取用戶虛擬桌面資源列表。
(6)將虛擬桌面資源列表發(fā)送到定制化終端接入程序。
(7)結(jié)束與終端程序服務(wù)連接。
定制化終端接入程序部分偽代碼:
(1)啟動(dòng)程序,獲取終端設(shè)備計(jì)算機(jī)名、IP地址,判斷是否安裝安全軟件,若安裝則繼續(xù),否則提示并退出。
(2)返回登錄界面窗口,由用戶輸入賬戶、密碼,將用戶名、密碼提交到后臺(tái)服務(wù)器。
(3)獲取虛擬桌面后臺(tái)服務(wù)器返回的虛擬桌面資源列表。
(4)用戶選擇需要訪問的虛擬桌面資源,程序調(diào)用虛擬桌面客戶端思杰Receiver插件。
(5)Receiver插件連接虛擬桌面,并應(yīng)用虛擬桌面安全策略。
(6)定制化終端接入程序退出。
根據(jù)上述代碼邏輯,定制化終端接入程序效果如圖4和圖5所示。
6? ?結(jié)論(Conclusion)
本文提出了企業(yè)在信息安全要求日益嚴(yán)峻的情況下,部署多網(wǎng)絡(luò)邊界區(qū)域環(huán)境,為實(shí)現(xiàn)用戶終端跨網(wǎng)絡(luò)邊界安全訪問的需求,運(yùn)用虛擬桌面技術(shù)和終端身份鑒別技術(shù),設(shè)計(jì)的一套單一設(shè)備、多網(wǎng)使用、安全控制、統(tǒng)一交付的解決方案。通過在企業(yè)生產(chǎn)環(huán)境中的應(yīng)用部署,對(duì)本文所述方案進(jìn)行了效果驗(yàn)證,相較于傳統(tǒng)計(jì)算機(jī)終端,采用虛擬桌面技術(shù)后,員工工作便捷性和終端桌面維護(hù)工作效率均得到大幅度提升。由此說明,虛擬桌面技術(shù)在實(shí)現(xiàn)跨網(wǎng)絡(luò)邊界安全互訪的需求中,具有充分的可用性、易用性,滿足用戶可以擴(kuò)展到其他具有相同需求的企業(yè)場(chǎng)景中進(jìn)行推廣的需求。
參考文獻(xiàn)(References)
[1] 馬驍.基于信息安全的網(wǎng)絡(luò)隔離技術(shù)研究與應(yīng)用[J].電子元器件與信息技術(shù),2020(05):26-27.
[2] 劉赫.基于網(wǎng)絡(luò)安全等級(jí)保護(hù)2.0的安全區(qū)域邊界[J].電子技術(shù)與軟件工程,2020(01):236-238.
[3] 張克賢,鐘掖,張光益.計(jì)算機(jī)網(wǎng)絡(luò)邊界安全防護(hù)管理方法研究[J].通訊世界,2019(12):80-81.
[4] 白寧.讓復(fù)雜變簡(jiǎn)單:體驗(yàn)KVM多電腦切換器[J].網(wǎng)絡(luò)與信息,2012(01):52-53.
[5] 馬博峰.VMware、Citrix和Microsoft虛擬化技術(shù)詳解與應(yīng)用實(shí)踐[M].北京:機(jī)械工業(yè)出版社,2013.
[6] 劉宸,王強(qiáng).基于Citrix虛擬化的桌面云平臺(tái)構(gòu)建與應(yīng)用研究[J].智能計(jì)算機(jī)與應(yīng)用,2017(10):98-99;103.
[7] Laisen Nie, Dingde Jiang, Zhihan Lv. Modeling network traffic for traffic matrix estimation and anomaly detection based on Bayesian network in cloud computing networks[J]. Annals of Telecommunications, 2017(72):5-6.
[8] 武越,劉向東,段翼真.桌面虛擬化安全訪問控制架構(gòu)的設(shè)計(jì)與實(shí)現(xiàn)[J].計(jì)算機(jī)工程與設(shè)計(jì),2014(05):1572-1577.
[9] 駱慧勇.基于云桌面實(shí)現(xiàn)網(wǎng)絡(luò)安全隔離的應(yīng)用[J].計(jì)算機(jī)應(yīng)用與軟件,2020(2):16-17.
[10] 傅鸝,鄭宇,黃小明.綜合身份鑒別系統(tǒng)的研究與開發(fā)[J].軟件導(dǎo)刊,2006(19):59-61.
作者簡(jiǎn)介:
龔? ?偉(1979-),男,碩士,高級(jí)工程師.研究領(lǐng)域:制造業(yè)信息化,企業(yè)信息化管理.