亚洲免费av电影一区二区三区,日韩爱爱视频,51精品视频一区二区三区,91视频爱爱,日韩欧美在线播放视频,中文字幕少妇AV,亚洲电影中文字幕,久久久久亚洲av成人网址,久久综合视频网站,国产在线不卡免费播放

        ?

        運(yùn)用虛擬桌面技術(shù)實(shí)現(xiàn)跨網(wǎng)絡(luò)邊界的安全訪問

        2021-03-08 09:41:28龔偉
        軟件工程 2021年1期

        龔偉

        摘? 要:隨著網(wǎng)絡(luò)安全被提升到國家戰(zhàn)略,企業(yè)逐步開始對信息網(wǎng)絡(luò)進(jìn)行邊界隔離改造,劃分不同網(wǎng)絡(luò)區(qū)域,因此帶來了隔離網(wǎng)絡(luò)間系統(tǒng)訪問、用戶管理的挑戰(zhàn)。本文采用虛擬桌面技術(shù),研究規(guī)劃在多個隔離網(wǎng)絡(luò)邊界環(huán)境下,實(shí)現(xiàn)跨網(wǎng)絡(luò)邊界安全訪問的可行性。經(jīng)企業(yè)環(huán)境推廣驗(yàn)證,本文所研究的方法能夠使企業(yè)實(shí)現(xiàn)統(tǒng)一管理、按需交付的跨網(wǎng)絡(luò)邊界安全訪問平臺。文中所涉及的方法和技術(shù),可以為企業(yè)在網(wǎng)絡(luò)安全加固保護(hù)、信息安全和用戶管理層面提供全新的思路,提升企業(yè)信息安全水平。

        關(guān)鍵詞:虛擬桌面;網(wǎng)絡(luò)邊界;安全訪問;身份鑒別

        中圖分類號:TP309.1? ? ?文獻(xiàn)標(biāo)識碼:A

        文章編號:2096-1472(2021)-01-32-03

        Abstract: As network security has been promoted as a national strategy, enterprises gradually begin to transform information network boundary isolation and divide different network areas. This brings challenges to isolating system access between networks and user management. This paper uses virtual desktop technology to study feasibility of achieving secure access across network boundaries in multiple isolated network boundary environment. Proved by enterprise environment promotion, the proposed method can realize unified management for enterprises and a secure access platform across network boundaries, that is delivered on demand. Methods and technologies involved in this article can provide enterprises with new ideas in network security reinforcement protection, information security and user management levels, and improve the level of enterprise information security.

        Keywords: virtual desktop; network boundary; secure access; identity authentication

        1? ?引言(Introduction)

        大型企業(yè)信息化建設(shè)中,為了確保信息系統(tǒng)安全性,通常會將信息化網(wǎng)絡(luò)拆分為多個專用網(wǎng)絡(luò),從而形成邊界隔離的網(wǎng)絡(luò)環(huán)境,不同邊界間使用防火墻、網(wǎng)閘或者物理隔離的方式,實(shí)現(xiàn)訪問控制和安全策略管理[1,2]。但企業(yè)計(jì)算機(jī)設(shè)備、應(yīng)用系統(tǒng)一般僅允許連接到一個網(wǎng)絡(luò)區(qū)域中,員工無法使用單一終端接入多個網(wǎng)絡(luò),使用不同網(wǎng)絡(luò)中的應(yīng)用系統(tǒng)[3]。傳統(tǒng)情況下企業(yè)會為用戶配置多個終端,然后使用鍵盤顯示器鼠標(biāo)(Keyboard Video Mouse, KVM)切換器進(jìn)行多計(jì)算機(jī)統(tǒng)一控制[4],但此種方式存在成本高昂、難以管理、易形成安全風(fēng)險(xiǎn)的問題。隨著虛擬桌面技術(shù)不斷成熟,終端、用戶、桌面分離管理,后臺統(tǒng)一配置交付的技術(shù)方案,為企業(yè)實(shí)現(xiàn)跨網(wǎng)絡(luò)邊界安全訪問提供了富有價值的解決方案。本文運(yùn)用虛擬桌面技術(shù),設(shè)計(jì)并實(shí)現(xiàn)了一套跨網(wǎng)絡(luò)邊界安全業(yè)務(wù)訪問系統(tǒng)平臺,經(jīng)企業(yè)實(shí)際場景推廣運(yùn)行,為企業(yè)員工訪問不同網(wǎng)絡(luò)區(qū)域中的信息系統(tǒng),提供了安全可行的解決方案。

        2? 多網(wǎng)絡(luò)邊界虛擬桌面架構(gòu)(Multi-network boundary virtual desktops architecture)

        虛擬桌面技術(shù)已在信息技術(shù)領(lǐng)域中推廣應(yīng)用多年,企業(yè)為確保解決方案的穩(wěn)定性,以及產(chǎn)品的支持服務(wù),通常會選擇使用較為成熟穩(wěn)定的虛擬桌面解決方案產(chǎn)品,如思杰XenDesktop、威睿Horizon View及微軟RDS等產(chǎn)品[5]。本文采用思杰XenDesktop產(chǎn)品作為技術(shù)支撐,按照跨網(wǎng)絡(luò)邊界安全訪問的需求,進(jìn)行架構(gòu)設(shè)計(jì)、服務(wù)配置和用戶虛擬桌面交付[6]。企業(yè)按照信息化規(guī)劃,將不同業(yè)務(wù)領(lǐng)域的信息網(wǎng)絡(luò),根據(jù)業(yè)務(wù)數(shù)據(jù)流轉(zhuǎn)規(guī)則[7]以及云計(jì)算環(huán)境下的實(shí)際環(huán)境,規(guī)劃包含生產(chǎn)專用網(wǎng)、研發(fā)涉密網(wǎng)、普通辦公網(wǎng)以及公共互聯(lián)網(wǎng)在內(nèi)的四個網(wǎng)絡(luò)邊界區(qū)域,每個網(wǎng)絡(luò)均采用信息網(wǎng)絡(luò)技術(shù)加以隔離保護(hù),每個網(wǎng)絡(luò)邊界區(qū)域功能定義如表1所示。

        根據(jù)企業(yè)的網(wǎng)絡(luò)邊界區(qū)域劃分,基于虛擬桌面技術(shù)采用集中式管理、統(tǒng)一虛擬桌面交付的特點(diǎn),本文所設(shè)計(jì)的跨邊界網(wǎng)絡(luò)安全訪問虛擬桌面架構(gòu)如圖1所示。圖1中,虛擬桌面服務(wù)資源按照就近原則放置在各網(wǎng)絡(luò)區(qū)域中,并且不改變企業(yè)現(xiàn)有網(wǎng)絡(luò)邊界區(qū)域劃分,在特殊隔離區(qū)域之間,配置虛擬桌面網(wǎng)關(guān)設(shè)備(實(shí)現(xiàn)虛擬桌面訪問會話加密代理服務(wù))。并在虛擬桌面接入終端設(shè)備上部署定制化身份鑒別接入程序,訪問企業(yè)統(tǒng)一虛擬桌面門戶,由虛擬桌面后臺服務(wù)判斷終端的源和目的網(wǎng)絡(luò)邊界區(qū)域,分配授權(quán)可訪問的虛擬桌面,以及應(yīng)用虛擬桌面安全策略實(shí)現(xiàn)用戶終端跨邊界網(wǎng)絡(luò)安全訪問需求[8]。

        3? ?跨網(wǎng)絡(luò)邊界安全訪問模型(Secure access model across network boundaries)

        通過虛擬桌面技術(shù)實(shí)現(xiàn)的跨網(wǎng)絡(luò)邊界安全訪問功能,首先可以保障用戶通過統(tǒng)一的門戶進(jìn)行多個網(wǎng)絡(luò)區(qū)域內(nèi)資源的訪問、切換;其次,用戶終端可采用定制化終端接入程序,將客戶端設(shè)備均默認(rèn)配置為零信任(Zero-Trust)狀態(tài),再由后臺身份鑒別服務(wù)進(jìn)行鑒別后提供服務(wù)。最終實(shí)現(xiàn)零信任統(tǒng)一安全訪問模型,所有終端用戶均訪問統(tǒng)一的虛擬桌面平臺門戶,門戶與終端之間采用HTTPS加密傳輸,用戶虛擬桌面會話采用安全數(shù)字證書加密的虛擬桌面會話交付。在高安全性要求的兩張網(wǎng)絡(luò)之間,采用加入雙因素(Two-Factors)身份認(rèn)證,并判斷客戶端健康狀態(tài)方式,確保終端、用戶均可以受控,安全可靠。圖2中所展現(xiàn)的終端與虛擬桌面的安全訪問模型,為本文所規(guī)劃配置的目標(biāo)狀態(tài)。

        當(dāng)用戶訪問不同邊界網(wǎng)絡(luò)區(qū)域時,所需采取的身份鑒別認(rèn)證方式也不同,該邊界網(wǎng)絡(luò)區(qū)域內(nèi)所提供的虛擬桌面服務(wù)類型也需根據(jù)實(shí)際情況進(jìn)行區(qū)分,表2描述了訪問模型中的區(qū)域安全訪問列表配置。

        4? 虛擬桌面安全策略設(shè)計(jì)(Virtual desktops security policy design)

        思杰XenDesktop平臺中,針對虛擬桌面安全策略,可以根據(jù)用戶不同的接入設(shè)備、接入方式,以及所訪問的不同虛擬桌面類型進(jìn)行控制和調(diào)整[9]。通過安全策略配置可以實(shí)現(xiàn)以下各項(xiàng)安全功能:

        (1)剪貼板數(shù)據(jù)傳遞限制。

        (2)終端設(shè)備磁盤映射,訪問權(quán)限控制。

        (3)虛擬桌面顯示/隱藏安全控制。

        (4)本地打印機(jī)調(diào)用安全控制。

        (5)顯示虛擬桌面水印,動態(tài)防截屏控制。

        (6)USB、COM、串口等外接設(shè)備安全控制。

        如表3所示的策略配置表描述了配置選項(xiàng):啟用、禁用、允許、禁止和未配置。

        5? 終端用戶身份鑒別設(shè)計(jì)(End-user identity authentication design)

        虛擬桌面的接入使用,需要利用各類型的用戶終端設(shè)備,如瘦客戶機(jī)、臺式計(jì)算機(jī)、筆記本電腦、移動平板等。由于本方案中存在多個網(wǎng)絡(luò)邊界區(qū)域,需要針對不同區(qū)域接入虛擬桌面的終端,執(zhí)行不同的安全策略,分配不同的虛擬桌面資源,因此需要進(jìn)行終端用戶身份鑒別處理。本文采用定制化終端接入程序[10],實(shí)現(xiàn)對終端設(shè)備所處網(wǎng)絡(luò)邊界、用戶身份及終端設(shè)備安全性的檢測。整個終端用戶身份鑒別業(yè)務(wù)流程示意圖如圖3所示。

        身份鑒別服務(wù)端部分偽代碼:

        (1)創(chuàng)建終端用戶身份賬戶數(shù)據(jù)庫。

        (2)創(chuàng)建終端設(shè)備計(jì)算機(jī)名、IP地址匹配規(guī)則。

        (3)接收定制化終端接入程序提交的終端計(jì)算機(jī)名、IP地址、賬戶和密碼。

        (4)比對終端用戶身份、計(jì)算機(jī)名和IP地址,匹配對應(yīng)的訪問頁面。

        (5)使用思杰標(biāo)準(zhǔn)API接口,向StoreFront服務(wù)器傳遞用戶賬戶、密碼,獲取用戶虛擬桌面資源列表。

        (6)將虛擬桌面資源列表發(fā)送到定制化終端接入程序。

        (7)結(jié)束與終端程序服務(wù)連接。

        定制化終端接入程序部分偽代碼:

        (1)啟動程序,獲取終端設(shè)備計(jì)算機(jī)名、IP地址,判斷是否安裝安全軟件,若安裝則繼續(xù),否則提示并退出。

        (2)返回登錄界面窗口,由用戶輸入賬戶、密碼,將用戶名、密碼提交到后臺服務(wù)器。

        (3)獲取虛擬桌面后臺服務(wù)器返回的虛擬桌面資源列表。

        (4)用戶選擇需要訪問的虛擬桌面資源,程序調(diào)用虛擬桌面客戶端思杰Receiver插件。

        (5)Receiver插件連接虛擬桌面,并應(yīng)用虛擬桌面安全策略。

        (6)定制化終端接入程序退出。

        根據(jù)上述代碼邏輯,定制化終端接入程序效果如圖4和圖5所示。

        6? ?結(jié)論(Conclusion)

        本文提出了企業(yè)在信息安全要求日益嚴(yán)峻的情況下,部署多網(wǎng)絡(luò)邊界區(qū)域環(huán)境,為實(shí)現(xiàn)用戶終端跨網(wǎng)絡(luò)邊界安全訪問的需求,運(yùn)用虛擬桌面技術(shù)和終端身份鑒別技術(shù),設(shè)計(jì)的一套單一設(shè)備、多網(wǎng)使用、安全控制、統(tǒng)一交付的解決方案。通過在企業(yè)生產(chǎn)環(huán)境中的應(yīng)用部署,對本文所述方案進(jìn)行了效果驗(yàn)證,相較于傳統(tǒng)計(jì)算機(jī)終端,采用虛擬桌面技術(shù)后,員工工作便捷性和終端桌面維護(hù)工作效率均得到大幅度提升。由此說明,虛擬桌面技術(shù)在實(shí)現(xiàn)跨網(wǎng)絡(luò)邊界安全互訪的需求中,具有充分的可用性、易用性,滿足用戶可以擴(kuò)展到其他具有相同需求的企業(yè)場景中進(jìn)行推廣的需求。

        參考文獻(xiàn)(References)

        [1] 馬驍.基于信息安全的網(wǎng)絡(luò)隔離技術(shù)研究與應(yīng)用[J].電子元器件與信息技術(shù),2020(05):26-27.

        [2] 劉赫.基于網(wǎng)絡(luò)安全等級保護(hù)2.0的安全區(qū)域邊界[J].電子技術(shù)與軟件工程,2020(01):236-238.

        [3] 張克賢,鐘掖,張光益.計(jì)算機(jī)網(wǎng)絡(luò)邊界安全防護(hù)管理方法研究[J].通訊世界,2019(12):80-81.

        [4] 白寧.讓復(fù)雜變簡單:體驗(yàn)KVM多電腦切換器[J].網(wǎng)絡(luò)與信息,2012(01):52-53.

        [5] 馬博峰.VMware、Citrix和Microsoft虛擬化技術(shù)詳解與應(yīng)用實(shí)踐[M].北京:機(jī)械工業(yè)出版社,2013.

        [6] 劉宸,王強(qiáng).基于Citrix虛擬化的桌面云平臺構(gòu)建與應(yīng)用研究[J].智能計(jì)算機(jī)與應(yīng)用,2017(10):98-99;103.

        [7] Laisen Nie, Dingde Jiang, Zhihan Lv. Modeling network traffic for traffic matrix estimation and anomaly detection based on Bayesian network in cloud computing networks[J]. Annals of Telecommunications, 2017(72):5-6.

        [8] 武越,劉向東,段翼真.桌面虛擬化安全訪問控制架構(gòu)的設(shè)計(jì)與實(shí)現(xiàn)[J].計(jì)算機(jī)工程與設(shè)計(jì),2014(05):1572-1577.

        [9] 駱慧勇.基于云桌面實(shí)現(xiàn)網(wǎng)絡(luò)安全隔離的應(yīng)用[J].計(jì)算機(jī)應(yīng)用與軟件,2020(2):16-17.

        [10] 傅鸝,鄭宇,黃小明.綜合身份鑒別系統(tǒng)的研究與開發(fā)[J].軟件導(dǎo)刊,2006(19):59-61.

        作者簡介:

        龔? ?偉(1979-),男,碩士,高級工程師.研究領(lǐng)域:制造業(yè)信息化,企業(yè)信息化管理.

        久久人人爽人人爽人人片av高请| 岛国视频在线无码| 日本办公室三级在线看| 免费av网站大全亚洲一区| 亚洲av综合永久无码精品天堂| 亚洲人成网站在线观看播放| 国产成人综合亚洲av| 亚洲av专区一区二区| 四虎国产成人永久精品免费| 五月天激情婷婷婷久久| 国产精品福利片免费看| 成年男女免费视频网站点播| 公和我做好爽添厨房| 白又丰满大屁股bbbbb| 亚洲成av人在线观看无堂无码| 国产精品不卡免费版在线观看| 一级r片内射视频播放免费| 男人靠女人免费视频网站| 亚洲国产精品嫩草影院久久| 亚洲黑寡妇黄色一级片| 色综合久久中文字幕综合网| 久久丫精品国产亚洲av不卡| 四虎精品国产一区二区三区| 中文无字幕一本码专区| 日本真人边吃奶边做爽动态图| 欧洲日本一线二线三线区本庄铃 | 国产精品成熟老女人| 精品国产乱码久久久软件下载| 国产亚洲精品不卡在线| 日本本土精品午夜视频| 97日日碰人人模人人澡| 国产精品黄网站免费观看| 偷柏自拍亚洲综合在线| 天天综合天天爱天天做| 中文字幕一区二区人妻| 国产真实乱对白在线观看| 99久久精品国产91| 在线天堂www中文| 99re免费在线视频| 高清成人在线视频播放| 日韩夜夜高潮夜夜爽无码|