虛擬技術在跨網絡邊界安全訪問中運用

前言：尋找寫作靈感？中文期刊網用心挑選的虛擬技術在跨網絡邊界安全訪問中運用，希望能為您的閱讀和創作帶來靈感，歡迎大家閱讀并分享。

摘要：隨著網絡安全被提升到國家戰略，企業逐步開始對信息網絡進行邊界隔離改造，劃分不同網絡區域，因此帶來了隔離網絡間系統訪問、用戶管理的挑戰。本文采用虛擬桌面技術，研究規劃在多個隔離網絡邊界環境下，實現跨網絡邊界安全訪問的可行性。經企業環境推廣驗證，本文所研究的方法能夠使企業實現統一管理、按需交付的跨網絡邊界安全訪問平臺。文中所涉及的方法和技術，可以為企業在網絡安全加固保護、信息安全和用戶管理層面提供全新的思路，提升企業信息安全水平。

關鍵詞：虛擬桌面；網絡邊界；安全訪問；身份鑒別

1引言

大型企業信息化建設中，為了確保信息系統安全性，通常會將信息化網絡拆分為多個專用網絡，從而形成邊界隔離的網絡環境，不同邊界間使用防火墻、網閘或者物理隔離的方式，實現訪問控制和安全策略管理[1,2]。但企業計算機設備、應用系統一般僅允許連接到一個網絡區域中，員工無法使用單一終端接入多個網絡，使用不同網絡中的應用系統[3]。傳統情況下企業會為用戶配置多個終端，然后使用鍵盤顯示器鼠標(KeyboardVideoMouse,KVM)切換器進行多計算機統一控制[4]，但此種方式存在成本高昂、難以管理、易形成安全風險的問題。隨著虛擬桌面技術不斷成熟，終端、用戶、桌面分離管理，后臺統一配置交付的技術方案，為企業實現跨網絡邊界安全訪問提供了富有價值的解決方案。本文運用虛擬桌面技術，設計并實現了一套跨網絡邊界安全業務訪問系統平臺，經企業實際場景推廣運行，為企業員工訪問不同網絡區域中的信息系統，提供了安全可行的解決方案。

2多網絡邊界虛擬桌面架構

虛擬桌面技術已在信息技術領域中推廣應用多年，企業為確保解決方案的穩定性，以及產品的支持服務，通常會選擇使用較為成熟穩定的虛擬桌面解決方案產品，如思杰XenDesktop、威睿HorizonView及微軟RDS等產品[5]。本文全訪問的需求，進行架構設計、服務配置和用戶虛擬桌面交付[6]。企業按照信息化規劃，將不同業務領域的信息網絡，根據業務數據流轉規則[7]以及云計算環境下的實際環境，規劃包含生產專用網、研發涉密網、普通辦公網以及公共互聯網在內的四個網絡邊界區域，每個網絡均采用信息網絡技術加以隔離保護，每個網絡邊界區域功能定義如表1所示。根據企業的網絡邊界區域劃分，基于虛擬桌面技術采用集中式管理、統一虛擬桌面交付的特點，本文所設計的跨邊界網絡安全訪問虛擬桌面架構如圖1所示。圖1中，虛擬桌面服務資源按照就近原則放置在各網絡區域中，并且不改變企業現有網絡邊界區域劃分，在特殊隔離區域之間，配置虛擬桌面網關設備(實現虛擬桌面訪問會話加密服務)。并在虛擬桌面接入終端設備上部署定制化身份鑒別接入程序，訪問企業統一虛擬桌面門戶，由虛擬桌面后臺服務判斷終端的源和目的網絡邊界區域，分配授權可訪問的虛擬桌面，以及應用虛擬桌面安全策略實現用戶終端跨邊界網絡安全訪問需求[8]。

3跨網絡邊界安全訪問模型

通過虛擬桌面技術實現的跨網絡邊界安全訪問功能，首先可以保障用戶通過統一的門戶進行多個網絡區域內資源的訪問、切換；其次，用戶終端可采用定制化終端接入程序，將客戶端設備均默認配置為零信任(Zero-Trust)狀態，再由后臺身份鑒別服務進行鑒別后提供服務。最終實現零信任統一安全訪問模型，所有終端用戶均訪問統一的虛擬桌面平臺門戶，門戶與終端之間采用HTTPS加密傳輸，用戶虛擬桌面會話采用安全數字證書加密的虛擬桌面會話交付。在高安全性要求的兩張網絡之間，采用加入雙因素(Two-Factors)身份認證，并判斷客戶端健康狀態方式，確保終端、用戶均可以受控，安全可靠。圖2中所展現的終端與虛擬桌面的安全訪問模型，為本文所規劃配置的目標狀態。當用戶訪問不同邊界網絡區域時，所需采取的身份鑒別認證方式也不同，該邊界網絡區域內所提供的虛擬桌面服務類型也需根據實際情況進行區分，表2描述了訪問模型中的區域安全訪問列表配置。

4虛擬桌面安全策略設計

思杰XenDesktop平臺中，針對虛擬桌面安全策略，可以根據用戶不同的接入設備、接入方式，以及所訪問的不同虛擬桌面類型進行控制和調整[9]。通過安全策略配置可以實現以下各項安全功能：(1)剪貼板數據傳遞限制。(2)終端設備磁盤映射，訪問權限控制。(3)虛擬桌面顯示/隱藏安全控制。(4)本地打印機調用安全控制。(5)顯示虛擬桌面水印，動態防截屏控制。(6)USB、COM、串口等外接設備安全控制。如表3所示的策略配置表描述了配置選項：啟用、禁用、允許、禁止和未配置。

5終端用戶身份鑒別設計

虛擬桌面的接入使用，需要利用各類型的用戶終端設備，如瘦客戶機、臺式計算機、筆記本電腦、移動平板等。由于本方案中存在多個網絡邊界區域，需要針對不同區域接入虛擬桌面的終端，執行不同的安全策略，分配不同的虛擬桌面資源，因此需要進行終端用戶身份鑒別處理。本文采用定制化終端接入程序[10]，實現對終端設備所處網絡邊界、用戶身份及終端設備安全性的檢測。整個終端用戶身份鑒別業務流程示意圖如圖3所示。Fig.3Adiagramoftheend-useridentificationprocess身份鑒別服務端部分偽代碼：(1)創建終端用戶身份賬戶數據庫。(2)創建終端設備計算機名、IP地址匹配規則。(3)接收定制化終端接入程序提交的終端計算機名、IP地址、賬戶和密碼。(4)比對終端用戶身份、計算機名和IP地址，匹配對應的訪問頁面。(5)使用思杰標準API接口，向StoreFront服務器傳遞用戶賬戶、密碼，獲取用戶虛擬桌面資源列表。(6)將虛擬桌面資源列表發送到定制化終端接入程序。(7)結束與終端程序服務連接。定制化終端接入程序部分偽代碼：(1)啟動程序，獲取終端設備計算機名、IP地址，判斷是否安裝安全軟件，若安裝則繼續，否則提示并退出。(2)返回登錄界面窗口，由用戶輸入賬戶、密碼，將用戶名、密碼提交到后臺服務器。(3)獲取虛擬桌面后臺服務器返回的虛擬桌面資源列表。(4)用戶選擇需要訪問的虛擬桌面資源，程序調用虛擬桌面客戶端思杰Receiver插件。(5)Receiver插件連接虛擬桌面，并應用虛擬桌面安全策略。(6)定制化終端接入程序退出。根據上述代碼邏輯，定制化終端接入程序效果如圖4和圖5所示。

6結論

本文提出了企業在信息安全要求日益嚴峻的情況下，部署多網絡邊界區域環境，為實現用戶終端跨網絡邊界安全訪問的需求，運用虛擬桌面技術和終端身份鑒別技術，設計的一套單一設備、多網使用、安全控制、統一交付的解決方案。通過在企業生產環境中的應用部署，對本文所述方案進行了效果驗證，相較于傳統計算機終端，采用虛擬桌面技術后，員工工作便捷性和終端桌面維護工作效率均得到大幅度提升。由此說明，虛擬桌面技術在實現跨網絡邊界安全互訪的需求中，具有充分的可用性、易用性，滿足用戶可以擴展到其他具有相同需求的企業場景中進行推廣的需求。

作者:龔偉 單位:中車株洲電力機車有限公司運營與信息管理中心