试析虚拟桌面的安全隐患及安全策略
2014-07-28李颖
李颖
【摘 要】虚拟桌面是虚拟化技术在应用层面上的一个重要分支,它支持更为复杂的应用和个性化配置,操作方便灵活,其部署不仅弥补了传统桌面不足,还极大拓展了桌面空间,数据安全性也得以提升。但随着虚拟桌面的广泛应用,其安全问题也日益突出,只有采取切实有效的安全策略对这些问题加以解决,虚拟桌面的应用前景才更为广阔。
【关键词】虚拟桌面;安全隐患;安全策略
现如今,计算机在人们的生产和生活中已得到了普及,经验告诉我们,传统桌面过于狭小,若打开窗口过多,桌面就会显得拥挤不堪,使用起来非常不便。随着虚拟化技术的发展,虚拟桌面应运而生,通过虚拟桌面技术能够实现用户终端环境和计算环境的分离,用户在何时何地通过任何设备都能访问个人桌面,这对于实现信息的集中管理、提高网路资源利用率、保证业务数据安全性和一致性、降低系统运行成本具有重要现实意义。但在虚拟桌面的应用中还存在一些安全隐患,亟需解决。
1 虚拟桌面应用中存在的安全隐患
1.1 身份认证和访问控制问题
虚拟桌面应用环境中,用户可进行远程登录并使用自己的虚拟机,管理自己的各种信息数据,系统访问主要是根据用户身份进行限制的,也就是说,只要用户有访问权限,任何智能终端都可以访问云端的桌面环境,而人们往往只关注了虚拟桌面访问的实时性,但是若访问权限不可靠呢?如果使用单纯的用户密码,一旦密码被破解或者意外泄露,对方无论在任何位置都可以访问用户虚拟桌面系统,并获取用户重要信息数据,这必然会给用户带来严重损失。传统桌面通常采用的是物理隔离的方式,其他人无法进入安全区域,但是这种方式对于虚拟桌面系统并没有安全保障,因此,必须有更加严格的终端身份认证机制。
1.2 远程数据传输带来的风险
在虚拟桌面应用中,当用户终端与虚拟机进行数据交换时,数据可能会被盗取或篡改,这主要表现在以下两个方面:第一,对虚拟桌面进行部署的时候,用户通过网络迁移自己现有大量的文件数据,在这个过程中文件数据可能被截取;第二,用户利用虚拟桌面协议通过网络向虚拟机提交数据,虚拟机将结果反馈给用户,该过程中也会存在数据被截取、分析和破解的风险。
1.3 数据集中存储的安全问题
在虚拟桌面的应用过程中,用户终端不留任何数据,所用的信息都会存储在数据后台的磁盘阵列中,为了满足文件系统的访问需要,一般采用NAS架构的存储系统,用户只需要考虑保护后台磁盘的安全性就能防止信息泄露,原本前端客户端可能引起的主动式的信息泄露几率会大大减少,但是如果系统管理员权限过大或者具有系统管理员权限的非法用户想要获取信息,只要从一台服务器上就可以获得全部数据,可以十分简便地查询、检索和修改核心数据,这是数据集中存储存在的最大的安全隐患,如果没有有效的监督机制和手段,系统管理员将可能会有意或无意地将用户核心数据泄露出来,进而给用户带来损失。
1.4 缺乏有效的虚拟机安全审计系统
作为实时监控、记录不法行为的安全审计系统是控制信息系统安全隐患的重要手段,对内部人员具有一定的威慑作用。但是虚拟桌面尚缺乏一个切实有效的控制和審计系统,无法对用户行为进行全面管控,非法用户很有可能会利用系统漏洞获取并提升权限,进而对数据进行越级访问。
1.5 基于传统网络的安全防护措施无效
网络流量监控是网络安全管理的基础,数据安全审计、防火墙、病毒入侵检测等安全措施的实现都需要依托安全流量的监控和分析。然而在虚拟桌面应用中,统一服务器不同虚拟机之间数据的交互是通过虚拟网络完成的,无需经过传统网络,也就是说之前适用于传统网络的安全措施将不再适用于虚拟桌面,若虚拟机受到网络攻击或病毒传播,通过物理安全防护措施无法保证虚拟桌面系统的安全性。
2 安全策略
2.1 严格人员身份认证
在虚拟桌面环境中,用户在何时何地通过任何设备都能访问个人桌面,为了确保数据信息和计算机系统的安全,有必要采取强有力的身份认证措施,防止假冒。可向用户配发数字证书“USB key”,将数字证书驱动程序嵌入用户终端系统中,与此同时,安装客户端认证代理,在用户服务器前端部署服务器认证代理,用户想要访问虚拟系统就必须通过数字认证,此外,实施细粒度访问权限控制策略,只有用户本人才能访问自己的虚拟资源,其他人员无法访问,这样就实现了不同用户虚拟机之间的完全隔离,对于确保用户信息安全性具有重要作用。
2.2 部署传输加密系统
在应用虚拟桌面的过程中,保证用户与虚拟机之间数据传输的安全性非常重要,为此,应部署传输加密系统,利用数字证书或专用加密硬件在用户和虚拟机之间建立加密传输通道,实现数据传输的安全保密,有效防止非法者搭线窃取或分析用户核心信息。
2.3 数据加密存储
虚拟桌面环境中,系统管理员作为超级用户具有打开所有用户目录、获取用户数据的权限,其对所有客户端的信息都会十分简便地获取、检索或修改,为了防止系统管理员私自查看用户数据或服务器遭受非法攻击后造成的信息泄露问题,必须采用专业的加密设备比如高速存储密码机等进行数据加密存储。另外,为了满足规范要求和用户个性化需求,加密算法应可以由前端用户指定,用户只有根据数字证书并通过加密设备才能查看自己的文件数据,其他人员无法看到完整数据,保证用户能够对自己的信息数据进行有效管控,防止非授权访问。
2.4 设置虚拟网络安全防护系统
根据虚拟桌面的特点设置适用于虚拟网络的防火墙、入侵检测系统、安全审计系统等,以实现不同用户虚拟机之间的网络隔离,及时监控并发现计算机网络病毒传播、网络攻击等威胁网络系统的行为。比如某人在上网期间误入非法网站,糊涂中了招,由于没有及时堵塞系统漏洞,恶意程序悄无声息地进入了系统中,不仅系统被破坏,很多重要文件也丢失,该人只好重新安装系统,经人介绍,在安装系统的同时安装了Syfort iDesk安全软件,创建了虚拟桌面,实现了对系统管理权限的全面控制。在虚拟桌面应用过程中,还应及时进行程序升级,安装补丁,更改病毒库,保证安全软硬件的安全防护性能。
2.5 建立健全服务器使用管控机制
使用密钥分散管理权限,对系统管理员进行分权,要进行重要操作,必须得到多个管理员授权才能实现,这样能有效防止个别管理员私自访问、更改用户数据。
3 结语
虚拟桌面是虚拟化技术在应用层面的一个重要分支,它以自身具备的技术、成本、管理等方面的优势在众多企业中得到了广泛应用,不仅能够实现信息的集中管理、资源的优化配置,对于统一配置应用环境、提升业务应用的可靠性也具有重要作用。对于注重信息安全性和保密性的企业或机构而言,虚拟桌面的安全性非常重要,因此,必须采取切实有效的措施应对并解决虚拟桌面系统存在的安全隐患,提升系统安全性,为虚拟桌面的进一步推广奠定基础。
【参考文献】
[1]孙宇,陈煜欣.桌面虚拟化及其安全技术研究[J].信息安全与通信保密,2012(6):87-88.
[2]展旭升,高云伟,冯百明,蒋芸,杨鹏斐.新型虚拟桌面杀毒模型[J].计算机应用,2012,32(12):3445-3448.
[3]郑志勇,吕远大,王毅.虚拟桌面系统应用安全性分析与对策[J].网络安全技术与应用,2012(10):50-52.
[4]郭建伟.巧用虚拟桌面,为系统装把“安全锁”[J].电脑知识与技术·经验技巧,2013(6):25-27.
[责任编辑:王春燕]