“私有云”架構下終端安防體系的變革

    隨著信息技術的飛速發展，其觸角已延伸至企業的方方面面，不僅關系到企業的技術創新，也影響企業的管理變革。企業在不斷的發展壯大中，信息化程度越來越高，信息網絡和信息系統中有價值的數據信息也越來越多。企業內部網絡的安全問題就顯得越發重要。

    企業內部網絡中計算機終端作為信息存儲、傳輸、應用處理的基礎設施，其自身安全性涉及到信息系統安全、數據安全、網絡安全等各個方面，任何一個節點都有可能影響整個內部網絡的安全。計算機終端廣泛涉及每個用戶，由于其分散性、不被重視、安全手段缺乏等特點，已成為信息安全體系的薄弱環節。

    傳統模式下企業中計算機終端一般采用功能齊備的個人計算機。為了保證企業內部的數據安全，企業一般會應用眾多安全防護產品和技術手段對這些個人計算機進行數據防護。隨著企業規模的擴大和信息技術的不斷發展，這種模式的辦公節點暴露出越來越多的缺陷：

    1)難以從根本上實現數據保護。個人計算機的辦公模式決定了各種數據都是分散存放在各個計算機的本地硬盤上進行本地處理的。由于現有安防體系都是建立在本地計算機硬件及操作系統基礎之上的，一旦本地硬件的物理防護受到破壞，或是繞過本地操作系統引導，都會使此類防護失效。此外，由于個人計算機分布放置在各種辦公環境中，缺乏統一的備份或其他物理冗余措施，其硬盤一旦出現物理故障，也將對重要數據造成不可估量的破壞。

    2)難于管理和控制。為了從技術上對個人計算機架構進行數據防護，企業內部網中需要使用多種安全防護產品來進行數據防護，這些防護手段在增強安全系數的同時，極大地增加了用戶的操作難度。同時，在這樣的分布模式下，系統管理員不能有效地集中監控和管理整個用戶桌面體系的運行態勢。

    3)靈活性和業務連續性不足。隨著企業規模的不斷擴大和信息技術的快速發展，企業內的辦公地點將呈現分布、擴大的趨勢，企業內的辦公模式也需要辦公終端具備靈活、快速部署的特點。傳統的終端需要重復配置，且系統部署和維護方式難度大、周期長，已不能滿足大中型企業的擴張需求。

    4)資源并未有效利用。個人計算機的物理資源大多數時間利用率低下，大多數個人計算機在開啟后資源長期閑置，整個企業中因個人計算機所帶來的能源消耗相當驚人，但當用戶需要對計算機的硬件資源進行擴展時，個人計算機的調整又極其困難，造成極大的資源浪費。

　　1.“私有云”提供的解決之道

　　在我們的生活中。已經有越來越多的資源從個人或單位獨立擁有和使用，逐漸發展為以基礎設施的形式提供給人們使用。例如水、電、氣，用戶只需要使用一個簡單的接口，就可以隨意根據他們的需要來使用這些基礎設施，并根據他們使用資源的實際情況來進行付費。

　　近幾年，云計算和虛擬化技術的飛速發展使信息資源的按需分配和使用成為了可能。云計算實際上提出了一種服務交付的理念，就和使用水、電、氣的模式一樣，將IT相關的能力以服務的方式提供給用戶。允許用戶在不了解提供服務的技術、沒有相關知識以及設備操作能力的情況下，通過網絡來獲取需要的服務。

　　而私有云是指由企業自建、自服務、自管理的云，私有云與集中管控一脈相承，具有云計算的普遍優勢。通過資源的集中管理，可實現資源優化、任務調度靈活、負載均衡、能力流動、動態遷移等：而終端設備變瘦，無須再安裝各類應用，用戶操作會變得簡便，管理維護壓力將降低。

　　2.桌面云技術介紹

　　云計算在計算機終端上的體現即為桌面云，或稱桌面虛擬化。它通過成熟的系統串聯通用硬件設備，構建成一個完整的虛擬基礎架構，即桌面云。在此基礎上創建功能齊全、可像“真實”計算機一樣運行其自身操作系統和應用程序的虛擬機設備，每個虛擬機都包含一套完整的系統，又相互隔離。這樣，多個虛擬機可以同時運行在單臺物理服務器上，共享物理設備的硬件資源。由于虛擬機將整個虛擬設備(包括各種硬件和操作系統)封裝起來。因此虛擬設備可與所有標準的x86操作系統、應用程序和設備驅動程序完全兼容。

　　桌面云可以橫跨數個互連的物理服務器和存儲設備進行擴展，無需為每個應用程序永久性地分配服務器、存儲空間或網絡帶寬。虛擬機能根據需要在桌面云內部動態分配到所需的位置，得到所需的資源，企業無需浪費資金去置辦僅在高峰時間使用的多余資源。

　　用戶可以使用能耗更低的終端機來取代利用率低下的傳統個人計算機，并通過安全的網絡鏈路遠程訪問屬于自己的桌面系統。這樣可以延長桌面硬件的預期使用壽命。不必太頻繁地更換桌面硬件資源。用戶連接的虛擬機中所有軟硬件資源實際上是由位于數據中心內的桌面云提供的。放置在用戶桌面上的終端本身沒有硬盤，僅僅作為工位和遠程桌面資源池之間的通訊和顯示橋梁，不運行業務和應用軟件，不保存數據。

　　3.桌面云帶來的優勢

　　部署和實施桌面云具備以下5大好處：

　　1)提高可管理性和安全性。實現“用戶桌面無存儲”。用戶桌面上無存儲設備，無法直接輸入輸出數據，顯示器上展現的是桌面云中虛擬機提供的顯示界面。這樣只要重點實施對數據中心的安全防護措施，就能從根本上提升企業信息系統和數據的整體安全防護能力。

　　2)提升業務連續性和部署靈活性。虛擬機實質上是一個軟件容器，它將一整套虛擬硬件資源、操作系統及應用程序“封裝”在一個軟件包內，封裝使虛擬機具備超乎尋常的可移動性且易于管理。即使桌面云中某個設備出現故障，虛擬機也可自行動態遷移，不會造成服務中斷。同時，封裝特性可以加快和改進桌面系統和應用程序部署。管理員在幾分鐘內即可分配一個完整的辦公桌面。

　　3)靈活的工作平臺。由于用戶桌面終端只獲取來自桌面云的顯示狀態，真實的數據保留在桌面云上，并沒有傳遞至終端。用戶可從任意一臺聯網的終端訪問經授權的任意桌面環境，保證用戶無論在哪里都具備同樣的數據安全水平。

　　4)提高現有資源的利用率。通過整合服務器將共用的基礎架構資源聚合到桌面云架構中，打破原有的“一臺物理計算機一個系統”的模式，大大節約硬件設備資源，并可實現硬件資源的動態分配。

　　5)降低整體運營成本。由于資源利用率更高，減少了設備空間、電力和散熱需求，用戶使用能耗更低的終端設備來取代利用率低下的個人計算機，從而達到減少整個企業能耗的目的。

　　4.實施桌面云后終端安防體系的變革

　　部署和實施桌面云后，由于整體架構上的顛覆性革新，相對傳統個人計算機。終端安防體系產生了若干變革，防護效果更優。

　　(1)接入安全

　　桌面云采用終端機作為接入設備，可以采取多種方式進行終端接人身份鑒別，嚴禁非授權終端設備接人，可以在接人層實現設備授權訪問網絡資源，實現基于角色、身份的權限和安全控制。

　　防護效果：通過使川網絡接入訪問控制系統，對所有接入內部網的設備進行認證，可有效防止非授權設備接入網絡。設備接入后只能訪問桌面云的安全網關。無法訪問其他網絡資源。

　　(2)終端安全

　　終端機指的是在遠程桌面網絡體系中一個基本無需應用程序的終端設備，它不帶硬盤，不存儲數據，不直接處理業務，也不能直接訪問遠程桌面和各應用系統，只能使用專用協議與桌面云環境提供的單一網關通信。僅僅作為用戶桌面和桌面云之間的通訊和顯示橋梁。

　　普通用戶僅能以最低權限使用終端，在該權限下，用戶只能連接并遠程使用虛擬機系統，而無法查看和修改終端環境的設置。

　　防護效果：終端沒有本地存儲，且通過定制，用戶在終端上無法使用USB、串口、并口等外部設備，做到了終端的物理安全。

　　(3)遠程訪問安全

　　用戶使用終端機經過防火墻連接桌面云認證網關，該網關通過用戶名和密碼進行驗證，用戶所能連接的桌面均由管理員授權并分配。終端設備與虛擬機系統建立連接后，所有的連接請求仍通過桌面網關中轉，終端設備與虛擬機之間無直接連接。用戶在連接虛擬機系統后，所有需要進行用戶認證的環節(如系統登錄、解除系統鎖定等)均可以采用雙因素認證系統進行附加身份認證。

　　在遠程訪問模式中。可由管理員采取多重措施禁止設備重定向，使終端上僅有鼠標、鍵盤等輸入信息傳送到遠程的桌面系統處理，虛擬機系統僅把處理完畢的顯示結果回傳至終端進行顯示。在終端與虛擬機系統的連接過程中，并沒有任何實際數據傳遞到瘦客戶端。

　　終端與桌面云單一網關之間通過SSL隧道實現傳輸加密，SSL(Secure Sockets Layer，安全套接層)是為網絡通信提供安全及數據完整性的一種安全協議。SSL安全加密鏈路在傳輸層對所有網絡連接進行加密，確保數據在網絡傳輸過程中不會被敲取及竊聽。

　　防護效果：通過上述措施，用戶在終端上連接

　　并使用桌面云，其間經過了防火墻授權、雙因素身份認證、禁止設備重定向、遠程連接協議加密傳輸等防護措施，確保遠程訪問過程的安全。

　　(4)桌面云使用安全

　　桌面云面向用戶提供的是虛擬機，虛擬機是運行操作系統及其應用程序的容器，所有虛擬機都相互隔離。在虛擬機的客戶操作系統上，即便是擁有操作系統管理員權限的用戶，也不能穿過隔離層訪問其他虛擬機。隔離使多個虛擬機能夠安全地運行。確保它們既能訪問硬件，同時又不會受到干擾。某一個虛擬機操作系統的崩潰不會影響到其他虛擬機的正常運行。

　　同時，桌面云整體架構部署在內部網的數據中心內，物理防護安全級別更高，且與國際互聯網和其他公共信息網絡絕對保持物理隔離。虛擬機作為實際運行環境，管理要求與原有模式下的物理計算機一致，即可以在每個虛擬機的操作系統上運行統一的安全保密策略，并可安裝防病毒、木馬防護等系統對虛擬機環境做進一步增強。虛擬機與應用系統之間也應該設置防火墻來進行訪問控制。

　　防護效果：隔離特性使虛擬機彼此之間保持完全隔離狀態，就像它們運行在不同的物理環境上一樣。在虛擬機上實施進一步的安全防護策略可達到與物理計算機完全一樣的防護效果。

　　(5)桌面云管理安全

　　桌面云建設之后，系統環境、用戶數據和業務數據實際上都集中到數據中心，加強對桌面云整體架構的安全管理將越發重要。通過桌面云架構自身的權限控制和安全組件，可以將管理權限進行分離，同時記錄管理員進行的配置變更情況。可以將用戶數據全部放置到采用NAS存儲架構的獨立存儲中，實施用戶數據與系統環境分離，并可設置獨立于NAS的NAS安全增強系統。從而實現數據加密存儲，以及對用戶訪問NAS的讀寫權限進行限制和日志記錄，防止非授權人員使用、仿冒和篡改。將系統管理員、安全管理員進行權限分離，即使是管理人員，也無法看到NAS存儲中的用戶數據，杜絕了管理員權限過大的風險。防護效果：通過對桌面云的管理員進行權限分離和審計，使管理員只能進行管理工作，無法看到用戶數據，且用戶和管理員操作有審計，可事后追溯。

　　5.結語

　　通過桌面云環境的實施，將建立基于企業“私有云”架構下的數據集中管控體系，使用戶可以擺脫繁瑣的操作，為用戶提供一個符合標準、安全高效、靈活易用的桌面系統，從而提升用戶感受。同時，可以從管理上提高可用性，實現安全訪問和靈活部署，建立可伸縮的虛擬基礎架構，從數據中心到用戶桌面可實現全面可控的可用性、安全性和可管理性。

核心關注：拓步ERP系統平臺是覆蓋了眾多的業務領域、行業應用，蘊涵了豐富的ERP管理思想，集成了ERP軟件業務管理理念，功能涉及供應鏈、成本、制造、CRM、HR等眾多業務領域的管理，全面涵蓋了企業關注ERP管理系統的核心領域，是眾多中小企業信息化建設首選的ERP管理軟件信賴品牌。

轉載請注明出處：拓步ERP資訊網http://m.hanmeixuan.com/

本文標題：“私有云”架構下終端安防體系的變革

本文網址：http://m.hanmeixuan.com/html/consultation/10839512770.html