吕小兵

LV Xiao-bing

（中航飞机西安飞机分公司，西安 710089）

0 引言

为贯彻落实国家信息化“十二五”规划，西飞与金航数码根据军工行业内的现状和需求，确定了“基于涉密信息系统的桌面虚拟化适用性”研究课题，通过对涉密信息系统的桌面虚拟化的研究，为军工系统制定信息化发展战略提供参考。

1 桌面虚拟化技术简介

虚拟化技术包括服务器虚拟化、桌面虚拟化和应用虚拟化等几个方面。桌面虚拟化技术[1]实际上是在虚拟化技术的基础上，通过各种通讯的手段，将桌面推送到远程接入端来实现的，单地说，桌面虚拟化技术就是由后台虚拟化集群加上远程接入终端组成，主要技术如图1所示。

图1 主要桌面虚拟化技术

桌面虚拟化在技术上分为VDI、VOI、IDV[2]三种模式，其中VDI是国外厂商比较成熟的商业方案，世界500强公司绝大部分均采用这种模式部署桌面虚拟化，优势在于计算资源及数据全部在数据中心内部，加强了数据的保护。缺陷在于桌面在处理具有3D的图形效果时，无法满足用户的需求，而采用专用的VDI图站方式，带来较好体验的同时成本也极具上升，在维护上面也不比传统PC省时省力。IDV是VOI模式的一种改良，其原理是将桌面分布式发布到本地终端，终端通过hpyervisor层做驱动与操作系统分离，完全调用本地计算资源，数据依然保留在数据中心内，该概念最早在2013中由国内知名厂商提出，其具有适用于国内信息安全领域环境的特点，最大的特色就是基本不改变现有安全体系架构，IDV是虚拟化技术的拓展，也是新的技术形态，商用案例较少，因此本研究课题不做过多赘述。

2 VDI桌面虚拟化技术国内外发展现状

在桌面虚拟化领域，当前国外主要有VMware、思杰和微软三大厂商。国内主要有京华科讯，升腾，方物等。但就目前而言，虽然国内外厂商在基础架构、桌面分发、传输协议、镜像管理、虚拟应用等桌面虚拟化技术领域已有成熟的商用解决方案，但在涉密环境中的集成信息安全的桌面虚拟化解决方案一直处于空白状态，如何应用才能将新的技术与旧有防护要求互融才是难点，国外厂商虽然技术实力较强，但由于其自身战略原因，针对国内的虚拟化定制需要较长的时间和较高的成本；而国内厂商虽然主要针对国人的使用习惯及特殊需求进行研发，但在产品的成熟度上仍有待提高，在高负载大规模部署上的可靠性仍有待考证。

3 涉密信息系统中VDI桌面虚拟化壁垒

在涉密信息系统中，如何将新有的桌面虚拟化技术与分保标准[3,4]找到相互的契合点成为桌面虚拟化在军工行业内推进的重要里程碑，能否将现有的安全体系架构移植到桌面虚拟化部署环境成为其关键技术。在涉密信息系统的桌面虚拟化中，主要有以下六个方面将作为桌面虚拟化在军工行业内落地的阻力。

3.1 物理隔离问题

现有的涉密信息系统，按照数据的敏感性进行密级标示，不同密级的数据存放在相对应密级标示的终端硬盘中，完全物理隔离，而桌面虚拟化数据集中存放在共享存储，在传统概念上，“共享”技术有违分保要求，在桌面虚拟化中如何做到硬件资源共享但数据文件隔离成为关键技术。

3.2 产品选择问题

军工认证委在对安全产品有明确的要求，安全软件必须拥有涉密信息系统检测证书。桌面虚拟化软件虽然在宏观上来并不涉及到安全方面，但实际在技术细节上，已经触碰到了现有的安全体系，旧有的安全软件在虚拟化环境中会出现适用性问题，需要桌面虚拟化与安全厂商协同开发调试才可保证可用性，但目前国内外还未能有一家虚拟化产品通过国家保密局的涉密信息系统检测。

3.3 安全域边界防护问题

在分保中要求，流转涉密数据的设备要按涉密数据的最高密级定密，但VDI（计算资源集中在数据中心内）类型的虚拟桌面给终端推送的仅为图像，终端设备及所在的网络上并不处理敏感数据，接入层设备是否要按照显示图像的最高密级定密尚未有说明，因此，是否一定要按原有的安全边界划分有待探讨。

3.4 密级标识问题

在安全边界防护中谈到，终端设备及中间流转数据的交换机不处理涉密数据，如果全部按照老办法标密，会给管理员带来更大的工作量，虚拟化快捷、方便的特性将大大折扣，因此在密级标示方面也有争议。

3.5 访问控制问题

在访问控制层面，由于实施VDI虚拟化后安全边界问题可能会发生改变，部分在原先在访问控制中被禁用的端口可能正是VDI桌面传输协议所依赖服务的端口，因此，在准入控制，身份识别方面的控制策略会发生变更。

3.6 人员运维管理问题

在传统运维人员，网络、桌面、存储、服务器四块业务通常分部门来完成，当出现故障容易判断故障点，而VDI桌面实际上是将以上四部分的技术整合，如何将四块技术部门联动排查故障在VDI桌面中显得格外重要。除此之外，业务入、退网申请、故障申报的流程也会随着VDI桌面的实施发生变化。

4 涉密信息系统中桌面虚拟化应用模式

4.1 通信流程

流程说明：

1）终端层：将带有证书的Key插入到虚拟桌面终端，如PC利旧、瘦客户端[5]等。

2）控制层：虚拟桌面终端将进行准入控制证书的有效性进行验证，以确保终端层面的准入控制的合规性。当终端设备通过有效性验证，数据流将通过负载均衡设备自动轮询到虚拟桌面接入的控制区域。

3）虚拟桌面层：在接入控制区域，我们将通过端口映射对KEY的证书进行验证，从而确保用户的信息。当用户的信息得到确认后，虚拟桌面服务器组将通过用户所确认的身份信息分配给客户独有的安装好软件的虚拟桌面，同时，在虚拟桌面挂载文件服务器用户专属的网络映射磁盘。

4）后台层：通过集群的存储、交换机和服务器组成桌面虚拟化的后台层，为虚拟桌面层面提供了强有力的底层保障。

图2 数码桌面虚拟化流程图

4.2 桌面虚拟化的架构模式

桌面虚拟化技术[6]是未来IT管理的发展趋势，其技术创新、管理创新和管理思路的改变将对现有所里的管理模式、技术架构以及相关的信息安全规定产生强烈的冲击和变革。

4.2.1 用户操作系统的集中管理模式

在现有管理模式下，计算机终端分散在所内各办公地点。每台终端的操作系统存在具体差异，管理员很难对每一个操作系统运行状态做出很好的判断。桌面虚拟化将用户操作系统进行信息集中管理，使管理员可对信息系统中各个节点状态作出较为准确的判断，有利于管理的规范化。

4.2.2 信息存储的集中模式

在现有管理模式下，信息分散存储于单位内部各个终端，相当于信息系统内有多少个连网计算机就有多少个不安全隐患点。桌面虚拟化建设将信息系统内存储全部集中，并通过在唯一的链路层加设严格的技术防护措施，可靠的保护了信息的安全。

4.2.3 三层架构的实现

在现有管理模式下，很多较早的应用系统还在使用两层架构的应用模式（客户端直接与后台数据库连接），且软件系统无法改造。这实际上对信息系统安全防护造成了很严重的风险。

桌面虚拟化和应用虚拟化可将二层架构应用系统间接变更为三层架构（客户端与服务相连，不与后台数据库直接通信），为应用层面的信息安全提供有力的保护。

4.2.4 网络安全性的提升

通过桌面虚拟化和应用虚拟化实现的三层访问架构[7]，可将用户终端与服务器的网络连接进行严格限制，增强网络安全性能。在现有管理模式下，用户终端往往与所有服务器都可进行不受限制的网络访问，这将为网络安全造成较大的隐患。从技术上，每台用户终端都可对存在漏洞的任意服务器发起网络攻击，而这也是一些单位网络病毒无法根除的原因之一。而通过三层访问架构的改变，在网络层通过ACL访问控制策略可以限制用户终端仅对具体某个服务器的某个端口访问，对其他服务器不能进行主动连接访问，将服务器封闭在相对安全的区域内，从而提高了网络安全防护水平。

4.2.5 用户身份验证

在现有管理模式下，用户开机需要输入BIOS开机口令，启动系统后再通过USBKEY认证登录系统处理信息。从技术层面看这种方式极不可靠，仅是当前管理模式下的无奈之取。首先BIOS口令可以通过放电进行破解，其次通过WINPE启动可以绕过所有终端安全措施直接获取硬盘内的信息。另外用户在一次开机过程中需要使用多个口令且都有复杂性要求，这也对用户造成了不必要的麻烦。桌面虚拟化和信息集中存储的使用，使得BIOS开机口令的作用变得可有可无。用户系统层的身份验证完成依靠USBKEY加PIN码这种双因子强身份验证的模式。而用户使用信息则还需要通过数字证书身份认证这种当前主流的身份验证，使用的信息安全性得到了较大的提高。

4.2.6 终端性质的改变

在现有管理模式下，终端内存储的大量的信息，一旦丢失将在安全方面造成严重的后果。而对于设备性质的判别主要为是否存储、处理信息，而信息的存储则是最关键的，无论是主动存储还是被动存储。桌面虚拟化和信息集中存储的使用，在物理方面使用户终端内没有信息存储功能，使用用户终端仅仅为连接、处理信息的设备，从而减轻了终端失控所造成的风险。

4.2.7 用户与终端的关系

在现有管理模式下，用户与终端计算机主要为一对一绑定的模式。这就出现对于多用户共用一台计算机所造成的风险。在认证要求中，为保护信息的知悉范围，强调多用户共用一台计算机要分区分权限。但从技术上将系统分区是无法分割的，仍存在着信息知悉范围扩大的风险。且一旦出现安全事件难以准确定位责任人。

4.2.8 用户异地移动办公

基于桌面虚拟化对用户与终端带来的关系变化，使得用户异地办公成为可能性。

4.2.9 硬件设备维护

基于桌面虚拟化对用户异地移动办公带来的变革，同时还引发设备维护方面的变革。在现有管理模式下，如果终端硬件设备损坏，管理员可能需要较长时间进行维修，在这期间用户无法使用终端计算机，从而可能影响科研生产的工作效率，特别是在出现紧急任务的情况下。实现桌面虚拟化用户异地移动办公后，用户仅需要使用本人USBKEY到其他终端上办公即可，硬件维修时间不会影响到用户的实际工作。

4.2.10 系统远程维护的可行性

在现有管理模式下，禁止对计算机远程维护。这项规定是为了信息的知悉范围，避免管理员在远程维护中非法获取用户信息，也是在现有管理模式下的无奈之举。但这项要求与未来趋势存在矛盾，未来的IT管理应是以免维护或远程维护为方向的。桌面虚拟化和信息集中存储的使用，使得免维护和远程维护在不违反信息安全思想的情况下成为可能。在免维护方面，部分终端采用固化操作系统模式实现操作系统的稳定可靠。在远程维护方面，由于用户所有信息都与操作系统分离，集中存储在存储中心，且必须通过用户USBKEY数字证书才能访问，因此管理员远程维护的仅是用户操作系统桌面，从技术层面无法获取其他工作数据或方档。在这里需要特别说明的是，在桌面虚拟化技术架构上，管理员一旦通过远程连接用户桌面，则用户终端连接则立即中断，同时用户USBKEY从用户桌面操作系统镜像中断开、用户与集中存储的连接断开，桌面操作系统因失去USBKEY内的数字证书而无法连接到存储中心。

5 结束语

显然，桌面虚拟化有效地降低了涉密企业的桌面管理成本，提升了数据安全和业务持续性。但由于涉密网的特殊性，在现阶段部署桌面虚拟化免不了会有一些问题。但如果根据企业自身的业务特点进行全面考量，以我为主，合理选择，完全可以找到并应用一个合适的解决方案。

[1]周昌.基于虚拟化技术的智能手机软件平台[D].浙江大学,2007.

[2]郑兴艳.安全虚拟桌面系统的设计与实现[D].北京交通大学,2012.

[3]BMB17.涉密信息系统分级保护技术要求[Z].

[4]BMB20.涉密信息系统分级保护管理规范[Z].

[5]梁飞蝶,李锦涛.瘦客户计算机应用协议中远程显示机制的比较[J].计算机用,工程与应2004,21.

[6]李皎.服务器虚拟化技术在企业数据中心的应用[J].福建电脑,2010,7.

[7]程伍端.计算机虚拟化技术的分析与应用[J].计算机与数字工程,2008,11.