基于虚拟化技术的企业多应用安全架构研究和设计.pdfVIP

基于虚拟化技术的企业多应用安全架构研究与设计 卓弋凌1,2 廖毅1,2 1.中科华核电技术研究院，广东深圳5180282.中国广东核电集团信息技术中心，广东深圳518028 摘要：随着电力企业信息化程度的不断提高，企业面临着信息安全这一重大挑战，新的与现有的应用和 技术中暴露出的漏洞几乎每天都会导致新的威胁、风险。在计算环境和趋势快速变化的情况下，传统的 分布式应用部署和管理方式 （在每个端点设备上安装、维护和支持应用）变得越来越复杂和昂贵。针对 当前企业所面临的问题，结合大型电力企业的实际应用，文章提出基于虚拟化技术的企业多应用安全架 构，来实现对企业多应用的管理，从而为保障企业信息安全提供良好的解决方案。 关键词：虚拟化技术；信息安全；多应用 幽2012电力行业信息化年会论文集 鱼 !一{●■ 、l一●—_—_ ＼ L—l 日一 一 ／ 7 j一· ， 安全(网关) 虚拟化技术 应用服务器 ERP、邮件等服务器群 +一一一一卜低带宽网 ·●◆高速网络 ssL加密网络 数据中心网络 图1应用虚拟化工作原理 2)集中保护。托管的应用也可以通过企业大 对xenApp托管的应用和企业的所有其他集中计 多数中央办公室和数据中心的强大、集中安全性 算服务进行安全远程访问的全功能ssLvPN设备 基础架构获得充分的保护。这与移动和分布式端 得以实现。 点通常提供的非连续、效率低下的保护形成鲜明 4)离线数据保护。可以为用户端点设备上的 对比。 应用数据提供加密的办公场所或安全区域，以支持 3)简化修补。由于所有应用都进行集中的管 离线访问。可以设置相关策略，限制仅通过批准的 理和维护，因此可以对软件漏洞进行更彻底、更高 企业应用方可读取和写入AES．256加密的空间， 效的修补。管理员只需要为每套应用打补丁和维 这样．存储的数据可以在管理员指定的失效期之后 护一个集中的镜像，而不需要在分散于全球的若干 自动清除。此外，如果端点设备丢失或被盗，还可 设备上维护数百个甚至数千个镜像。 以使用远程消灭功能来删除受保护的数据。 2．2．2安全访问、交互和限制 2．2．3 精细化的访问和使用控制 1)用户认证。虚拟化本身能够支持各种 支持为单个用户或用户组设置高度细化的策 不同的认证机制，包括ActiveDirectory、Active略，以限制在用户会话期间是否可以访问硬盘、打 FederationService Directory s、RADIUS、印机、串口和剪贴板功能(即复制和粘贴)，防止从 Kerberos、穿越认证(用户桌面密码被透明提交数据中心下载和复制数据。还可以实现集成端点 到服务器)．和双因子验证的多个选项，比如RSA设备扫描。可以根据管理员定义的标准对客户端 securID标记和智能卡等。此外，还可以通过利用系统进行扫描和评估，以执行经过审核的安全配 可用的SDK并使用现有的安全性解决方案来进行 置，比如拥有最新的安全性和操作系统软件。然 生物测定和其他形式的验证。 后，就可以将其结果用作决定是否允许访问以及可 2)单次登录。集成的单次登录技术可以实现 以访问多大范