1 引言

    隨著信息化安全技術的不斷發(fā)展。各種內(nèi)網(wǎng)安全管理問題逐步凸顯出來。據(jù)IDC調(diào)查報告顯示，超過85％的網(wǎng)絡安全威脅來自于內(nèi)部，其危害程度更是遠遠超過黑客攻擊所造成的損失，而這些威脅大部分是內(nèi)部各種非法和違規(guī)操作行為所造成的，內(nèi)部風險控制亟待加強。傳統(tǒng)的以組織邊界和核心資產(chǎn)(服務器)為保護對象的安全防護體系逐漸顯出嚴重的缺陷，無法有效解決網(wǎng)絡終端安全管理中的諸多問題和安全隱患。如同家庭是社會的細胞，網(wǎng)絡終端也是組成網(wǎng)絡的基本單元，其安全與否對網(wǎng)絡自身和信息系統(tǒng)的安全運行有著深遠的影響。運用無盤技術構建一個有效的終端安全管理體系，不僅能有效保障終端的安全，而且還能提升網(wǎng)絡整體的安全防御能力。

2 無盤技術基本原理

    無盤技術的核心是網(wǎng)絡終端本地沒有安裝硬盤，全部通過網(wǎng)絡服務器來啟動終端用戶。無盤終端通過網(wǎng)卡啟動后，自動從服務器下載操作系統(tǒng)文件到本地內(nèi)存中，完成終端系統(tǒng)的啟動。終端運行過程中的各種程序數(shù)據(jù)存儲在終端的內(nèi)存中或服務器的特定分配區(qū)域，終端重新啟動后，終端系統(tǒng)將恢復到初始狀態(tài)。目前，常用的無盤技術有以下兩種。

    2．1基于虛擬磁盤的無盤技術

    虛擬磁盤(virtual hard disk，VHD)技術是一種集中式虛擬磁盤技術。主要是通過專用網(wǎng)絡協(xié)議和驅(qū)動將遠程服務器上的存儲空間(硬盤)作為存儲介質(zhì)，使用串流技術來傳送高性能、高彈性、可擴展性的虛擬磁盤到客戶端。通過這種集中管理，分散運算的架構，在終端實現(xiàn)磁盤及軟件的安裝、更新、備份、還原，同時終端保留個人電腦使用習慣及充分發(fā)揮客戶端的運算能力。網(wǎng)絡客戶端啟動后通過網(wǎng)卡發(fā)送DHCP／find幀來發(fā)現(xiàn)和尋找DHCP服務器，DHCP服務器通過匹配網(wǎng)卡的MAC地址來確定是否給客戶機分配IP地址。服務器給匹配MAC地址來確定是否給客戶機分配IP地址后，客戶機和服務器就通過ISCSI(intemet snqa1]computer system interface)通訊，利用TCP／IP協(xié)議在客戶機和服務器間傳送存儲命令和數(shù)據(jù)，完成客戶機系統(tǒng)的啟動和程序軟件的運行。

    2．2基于嵌入式云端的無盤技術

    基于嵌入式云端的無盤技術采用高度集成化的軟硬件一體化技術，在一塊小型主板上集成了高速低功耗的嵌入式處理器，雖然機身小巧，但接口俱全，與傳統(tǒng)計算機一樣通過網(wǎng)線與網(wǎng)絡相連。軟件系統(tǒng)采用嵌入式的軟件操作系統(tǒng)，目前主甚是基于微軟的Windows XP Embedded系統(tǒng)平臺和Linux的系統(tǒng)平臺。通過共享模式和預定的策略從服務器調(diào)用相關程序和軟件，采用虛擬桌面協(xié)議(vim~l desktop protocol，VDP)與云服務器進行通訊。每個云終端用不同的用戶名和密碼登錄到云眼務器后，云服務器會為不同的云終端用戶開設獨立的會話，每個云終端占用獨立的云終端用戶開設獨立的會話，每個云終端占用獨立的內(nèi)存空間，其運行程序的界面會通過VDP協(xié)議傳送到云終端上，從而云終端之間能夠獨立運行而不互相干擾。云終端作為客戶端設備，它的配置、存儲、運行和管理等主要功能均由云服務器完成，云終端用戶只需要通過網(wǎng)絡把鼠標、鍵盤及其他外設操作信息傳送到云服務器端，從云服務器端接受變化的應用程序界面，并在云終端的用戶界面顯示出來，這樣就可以獲得在本地運行應用程序一樣的訪問感受。

    2．3技術對比

    目前．基于虛擬磁盤的無盤技術和基于嵌入式云終端的無盤技術均有廣泛的應用。其中虛擬磁盤的無盤技術應用較早，早在2O世紀9O年代中期就開始使用。有大量成熟的產(chǎn)品和系統(tǒng)，我國的代表廠商有銳起、網(wǎng)眾等，是目前無盤技術采用的主流技術，它不僅發(fā)揮了服務器的集中管控功能，還有效發(fā)揮了終端的運算能力。而且，由于網(wǎng)絡設備和線路成本的下降，使得采用虛擬磁盤的無盤終端啟動速度和數(shù)據(jù)讀寫速度都得到大幅提高，已經(jīng)達到了使用本地硬盤讀寫數(shù)據(jù)的水平。

    基于嵌入式云終端的無盤技術是近兩年出現(xiàn)的新技術，也吸引了不少廠商研究開發(fā)相關產(chǎn)品和系統(tǒng)，我國主要有清華同方、聯(lián)想等。由于采用嵌入式的低功耗處理器，系統(tǒng)比較穩(wěn)定，但終端數(shù)據(jù)處理能力較弱，僅能運行部分軟件和程序。終端還具有功耗低的優(yōu)勢，云終端由于使用嵌入式一體化設計，其平均功耗為1O瓦左右，僅為普通終端的4%左右，比傳統(tǒng)終端火大節(jié)省電費，符合環(huán)保節(jié)能低碳的要求。

    因此，應該可以根據(jù)不同的應用范圍選擇不同的無盤技術系統(tǒng)，對于終端個人應用較多，程序軟件讀寫數(shù)量大的客戶使用基于虛擬磁盤的無盤技術，提高無盤的運行效率和速度；對于公共服務，例如查詢終端、證券終端、簡單的辦公終端可以使用基于嵌入式云終端的無盤技術，達到節(jié)能、穩(wěn)定、免維護的效果。

3 在軍內(nèi)機密級辦公網(wǎng)中的應用

    在軍內(nèi)機密級辦公網(wǎng)中，無盤技術主要采用基于虛擬磁盤的無盤技術，網(wǎng)絡終端本地不存儲任何數(shù)據(jù)，終端的數(shù)據(jù)安全能得到有效的防護。無盤技術不僅加強了個人數(shù)據(jù)的安全保密性，做到每個用戶的數(shù)據(jù)資料都相對獨立，而且還可以避免非權限內(nèi)的通過硬盤、u 盤等存儲介質(zhì)拷貝復制。對于病毒，由于所有終端不安裝硬盤，因而大幅度降低感染病毒的概率。即使網(wǎng)絡中的某一終端感染了病毒，也只需在無盤服務器上殺毒，不用逐臺處理各個計算機終端。無盤技術的體系結構不但可以使由于誤操作或病毒造成的對網(wǎng)絡系統(tǒng)的損害降到最低，最大限度地保護服務器中的系統(tǒng)盤不受人為破壞和病毒侵擾，而且可以保證各種軟件在多人同時應用情況下的正常和穩(wěn)定運行，并結合交換機IP+MAc的雙向綁定，更能有效解決終端準入的問題。

    無盤網(wǎng)絡安全體系結構主要有無盤存儲服務器、無盤系統(tǒng)服務器、無盤終端用戶、核心交換機、安全防護系統(tǒng)等關鍵設備組成，各部分實現(xiàn)的主要功能如圖1所示。

圖1 無盤網(wǎng)絡安全體系結構

    3．1無盤系統(tǒng)服務器

    無盤系統(tǒng)服務器根據(jù)地址分配策略給無盤終端分配IP地址、子網(wǎng)掩碼、網(wǎng)關、DNS等網(wǎng)絡地址。根據(jù)不同終端的需要可以加載不同的操作系統(tǒng)和應用工具虛擬磁盤。而且，還可以根據(jù)不同業(yè)務部門(使用者)需求，為使用同一系統(tǒng)鏡像磁盤的無盤終端設置兩種不同系統(tǒng)讀寫操作權限，分別是無盤終端的操作系統(tǒng)、工具軟件的個性化讀寫權限模式和無盤終端的操作系統(tǒng)、工具軟件的個性化只讀權限模式。操作系統(tǒng)、工具軟件的個性化讀寫權限模式在安全等級較低的個人應用中使用，使用者完全感覺不到無盤終端使用的虛擬磁盤，可以對系統(tǒng)參數(shù)進行設置和修改，可以自主安裝和卸載工具軟件。操作系統(tǒng)、工具軟件只讀權限模式在安全等級較高的應用中使用，用戶只能通過預制的操作系統(tǒng)功能和工具軟件進行無盤終端的使用，無法進行超越預制策略的任何操作，實現(xiàn)了無盤終端從操作系統(tǒng)、工具軟件、網(wǎng)上行為的精確管控。

    3.2無盤存儲服務器

    無盤存儲服務器配置高性能的處理器和內(nèi)存，并根據(jù)需要采用穩(wěn)定性強、讀寫效率高的RAID存儲陣列，為無盤終端提供存儲空間，建立個人網(wǎng)絡硬盤。系統(tǒng)可以對集中存儲空間按區(qū)域、單位和個人三級進行劃分和分配，并可實現(xiàn)按級進行管理，當存儲設備出現(xiàn)異常，能進行及時告警。網(wǎng)內(nèi)所有用戶的文件資料信息全部加密存儲到信息中心集中存儲設備上，并進行相應備份，集中存儲空間主要按單位和個人進行劃分和分配，原則上每個用戶分配20G空間，如有特殊需要，也可根據(jù)實際需求情況動態(tài)擴容。

    集中存儲空間的管理由信息中心管理員和各單位網(wǎng)絡管理員按職權分級進行管理。

    3.3無盤用戶終端

    無盤終端用戶采用專用無盤計算機，開機后先從無盤服務器中讀取系統(tǒng)鏡像，經(jīng)USBkey及用戶名密碼雙重認證后，進入系統(tǒng)操作環(huán)境。用戶通過強身份認證進入操作系統(tǒng)后，所有的讀寫操作都要通過集中存儲服務器，用戶操作產(chǎn)生的數(shù)據(jù)通過集中存儲服務器存儲在信息中心的磁盤陣列中，保證個人終端不留密。取下USBkey后，系統(tǒng)會退出所有操作系統(tǒng)環(huán)境，無法進行任何操作，關機后，用戶終端不存留任何信息。

    3.3網(wǎng)絡核心交換機

    網(wǎng)絡核心交換機主要完成二層網(wǎng)絡數(shù)據(jù)的高速交換工作，為了提高整個內(nèi)網(wǎng)的安全性，確保接入網(wǎng)絡終端的可信度，可以實行交換機端口，終端網(wǎng)卡MAC地址和IP地址的綁定，防止未授權的非法終端連入內(nèi)網(wǎng)，確保無盤網(wǎng)絡的安全穩(wěn)定。目前網(wǎng)絡交換機的速率得到了大幅提升，從原來的lOM到100M，現(xiàn)在已經(jīng)普及到千兆桌面，主干已經(jīng)實現(xiàn)了萬兆互連，網(wǎng)絡設備成本也在不斷下降，從這個角度上看，網(wǎng)絡傳輸速度的大幅提高為無盤終端的使用提供了良好的通信支撐平臺，同時也降低了無盤網(wǎng)絡系統(tǒng)的網(wǎng)絡基礎平臺門檻。

    3.4安全防護系統(tǒng)

    通過采用入侵檢測設備、安全審計系統(tǒng)、身份認證系統(tǒng)、主機管控系統(tǒng)、防病毒系統(tǒng)、漏洞掃描與補丁分發(fā)系統(tǒng)、信道加密和數(shù)據(jù)加密設備以及網(wǎng)絡管理軟件等設備和系統(tǒng)，保證軍內(nèi)機密級辦公網(wǎng)安全運行，各種數(shù)據(jù)傳輸、存儲安全可靠。

4 結束語

    信息化程度的不斷提高對軍內(nèi)機密級辦公網(wǎng)的安全管理提出了更高的要求，無盤技術為軍內(nèi)機密級辦公網(wǎng)提供了一個有效的安全解決方案，實現(xiàn)軍內(nèi)機密級辦公網(wǎng)網(wǎng)絡系統(tǒng)的安全管控。采用無盤技術構建的網(wǎng)絡管理系統(tǒng)由于具有安全穩(wěn)定，易于維護，節(jié)約節(jié)能等優(yōu)點，必將成為軍內(nèi)機密級辦公網(wǎng)網(wǎng)絡建設的一種新趨勢，使網(wǎng)絡安全保密和高效運維達到一個新的臺階。

核心關注：拓步ERP系統(tǒng)平臺是覆蓋了眾多的業(yè)務領域、行業(yè)應用，蘊涵了豐富的ERP管理思想，集成了ERP軟件業(yè)務管理理念，功能涉及供應鏈、成本、制造、CRM、HR等眾多業(yè)務領域的管理，全面涵蓋了企業(yè)關注ERP管理系統(tǒng)的核心領域，是眾多中小企業(yè)信息化建設首選的ERP管理軟件信賴品牌。

轉(zhuǎn)載請注明出處：拓步ERP資訊網(wǎng)http://www.oesoe.com/

本文標題：無盤技術在軍內(nèi)機密級辦公網(wǎng)中的應用

本文網(wǎng)址：http://www.oesoe.com/html/consultation/1083936924.html