试析虚拟桌面的安全隐患及安全策略.docVIP

试析虚拟桌面的安全隐患及安全策略 　　【摘 要】虚拟桌面是虚拟化技术在应用层面上的一个重要分支，它支持更为复杂的应用和个性化配置，操作方便灵活，其部署不仅弥补了传统桌面不足，还极大拓展了桌面空间，数据安全性也得以提升。但随着虚拟桌面的广泛应用，其安全问题也日益突出，只有采取切实有效的安全策略对这些问题加以解决，虚拟桌面的应用前景才更为广阔。 　　【关键词】虚拟桌面；安全隐患；安全策略 　　现如今，计算机在人们的生产和生活中已得到了普及，经验告诉我们，传统桌面过于狭小，若打开窗口过多，桌面就会显得拥挤不堪，使用起来非常不便。随着虚拟化技术的发展，虚拟桌面应运而生，通过虚拟桌面技术能够实现用户终端环境和计算环境的分离，用户在何时何地通过任何设备都能访问个人桌面，这对于实现信息的集中管理、提高网路资源利用率、保证业务数据安全性和一致性、降低系统运行成本具有重要现实意义。但在虚拟桌面的应用中还存在一些安全隐患，亟需解决。 　　1 虚拟桌面应用中存在的安全隐患 　　1.1 身份认证和访问控制问题 　　虚拟桌面应用环境中，用户可进行远程登录并使用自己的虚拟机，管理自己的各种信息数据，系统访问主要是根据用户身份进行限制的，也就是说，只要用户有访问权限，任何智能终端都可以访问云端的桌面环境，而人们往往只关注了虚拟桌面访问的实时性，但是若访问权限不可靠呢？如果使用单纯的用户密码，一旦密码被破解或者意外泄露，对方无论在任何位置都可以访问用户虚拟桌面系统，并获取用户重要信息数据，这必然会给用户带来严重损失。传统桌面通常采用的是物理隔离的方式，其他人无法进入安全区域，但是这种方式对于虚拟桌面系统并没有安全保障，因此，必须有更加严格的终端身份认证机制。 　　1.2 远程数据传输带来的风险 　　在虚拟桌面应用中，当用户终端与虚拟机进行数据交换时，数据可能会被盗取或篡改，这主要表现在以下两个方面：第一，对虚拟桌面进行部署的时候，用户通过网络迁移自己现有大量的文件数据，在这个过程中文件数据可能被截取；第二，用户利用虚拟桌面协议通过网络向虚拟机提交数据，虚拟机将结果反馈给用户，该过程中也会存在数据被截取、分析和破解的风险。 　　1.3 数据集中存储的安全问题 　　在虚拟桌面的应用过程中，用户终端不留任何数据，所用的信息都会存储在数据后台的磁盘阵列中，为了满足文件系统的访问需要，一般采用NAS架构的存储系统，用户只需要考虑保护后台磁盘的安全性就能防止信息泄露，原本前端客户端可能引起的主动式的信息泄露几率会大大减少，但是如果系统管理员权限过大或者具有系统管理员权限的非法用户想要获取信息，只要从一台服务器上就可以获得全部数据，可以十分简便地查询、检索和修改核心数据，这是数据集中存储存在的最大的安全隐患，如果没有有效的监督机制和手段，系统管理员将可能会有意或无意地将用户核心数据泄露出来，进而给用户带来损失。 　　1.4 缺乏有效的虚拟机安全审计系统 　　作为实时监控、记录不法行为的安全审计系统是控制信息系统安全隐患的重要手段，对内部人员具有一定的威慑作用。但是虚拟桌面尚缺乏一个切实有效的控制和审计系统，无法对用户行为进行全面管控，非法用户很有可能会利用系统漏洞获取并提升权限，进而对数据进行越级访问。 　　1.5 基于传统网络的安全防护措施无效 　　网络流量监控是网络安全管理的基础，数据安全审计、防火墙、病毒入侵检测等安全措施的实现都需要依托安全流量的监控和分析。然而在虚拟桌面应用中，统一服务器不同虚拟机之间数据的交互是通过虚拟网络完成的，无需经过传统网络，也就是说之前适用于传统网络的安全措施将不再适用于虚拟桌面，若虚拟机受到网络攻击或病毒传播，通过物理安全防护措施无法保证虚拟桌面系统的安全性。 　　2 安全策略 　　2.1 严格人员身份认证 　　在虚拟桌面环境中，用户在何时何地通过任何设备都能访问个人桌面，为了确保数据信息和计算机系统的安全，有必要采取强有力的身份认证措施，防止假冒。可向用户配发数字证书“USB key”，将数字证书驱动程序嵌入用户终端系统中，与此同时，安装客户端认证代理，在用户服务器前端部署服务器认证代理，用户想要访问虚拟系统就必须通过数字认证，此外，实施细粒度访问权限控制策略，只有用户本人才能访问自己的虚拟资源，其他人员无法访问，这样就实现了不同用户虚拟机之间的完全隔离，对于确保用户信息安全性具有重要作用。 　　2.2 部署传输加密系统 　　在应用虚拟桌面的过程中，保证用户与虚拟机之间数据传输的安全性非常重要，为此，应部署传输加密系统，利用数字证书或专用加密硬件在用户和虚拟机之间建立加密传输通道，实现数据传输的安全保密，有效防止非法者搭线窃取或分析用户核心信息。 　　2.3 数据加密存储 　　虚拟桌