隨著信息技術(shù)的飛速發(fā)展，其觸角已延伸至企業(yè)的方方面面，不僅關(guān)系到企業(yè)的技術(shù)創(chuàng)新，也影響企業(yè)的管理變革。企業(yè)在不斷的發(fā)展壯大中，信息化程度越來(lái)越高，信息網(wǎng)絡(luò)和信息系統(tǒng)中有價(jià)值的數(shù)據(jù)信息也越來(lái)越多。企業(yè)內(nèi)部網(wǎng)絡(luò)的安全問(wèn)題就顯得越發(fā)重要。

    企業(yè)內(nèi)部網(wǎng)絡(luò)中計(jì)算機(jī)終端作為信息存儲(chǔ)、傳輸、應(yīng)用處理的基礎(chǔ)設(shè)施，其自身安全性涉及到信息系統(tǒng)安全、數(shù)據(jù)安全、網(wǎng)絡(luò)安全等各個(gè)方面，任何一個(gè)節(jié)點(diǎn)都有可能影響整個(gè)內(nèi)部網(wǎng)絡(luò)的安全。計(jì)算機(jī)終端廣泛涉及每個(gè)用戶，由于其分散性、不被重視、安全手段缺乏等特點(diǎn)，已成為信息安全體系的薄弱環(huán)節(jié)。

    傳統(tǒng)模式下企業(yè)中計(jì)算機(jī)終端一般采用功能齊備的個(gè)人計(jì)算機(jī)。為了保證企業(yè)內(nèi)部的數(shù)據(jù)安全，企業(yè)一般會(huì)應(yīng)用眾多安全防護(hù)產(chǎn)品和技術(shù)手段對(duì)這些個(gè)人計(jì)算機(jī)進(jìn)行數(shù)據(jù)防護(hù)。隨著企業(yè)規(guī)模的擴(kuò)大和信息技術(shù)的不斷發(fā)展，這種模式的辦公節(jié)點(diǎn)暴露出越來(lái)越多的缺陷：

    1)難以從根本上實(shí)現(xiàn)數(shù)據(jù)保護(hù)。個(gè)人計(jì)算機(jī)的辦公模式?jīng)Q定了各種數(shù)據(jù)都是分散存放在各個(gè)計(jì)算機(jī)的本地硬盤(pán)上進(jìn)行本地處理的。由于現(xiàn)有安防體系都是建立在本地計(jì)算機(jī)硬件及操作系統(tǒng)基礎(chǔ)之上的，一旦本地硬件的物理防護(hù)受到破壞，或是繞過(guò)本地操作系統(tǒng)引導(dǎo)，都會(huì)使此類防護(hù)失效。此外，由于個(gè)人計(jì)算機(jī)分布放置在各種辦公環(huán)境中，缺乏統(tǒng)一的備份或其他物理冗余措施，其硬盤(pán)一旦出現(xiàn)物理故障，也將對(duì)重要數(shù)據(jù)造成不可估量的破壞。

    2)難于管理和控制。為了從技術(shù)上對(duì)個(gè)人計(jì)算機(jī)架構(gòu)進(jìn)行數(shù)據(jù)防護(hù)，企業(yè)內(nèi)部網(wǎng)中需要使用多種安全防護(hù)產(chǎn)品來(lái)進(jìn)行數(shù)據(jù)防護(hù)，這些防護(hù)手段在增強(qiáng)安全系數(shù)的同時(shí)，極大地增加了用戶的操作難度。同時(shí)，在這樣的分布模式下，系統(tǒng)管理員不能有效地集中監(jiān)控和管理整個(gè)用戶桌面體系的運(yùn)行態(tài)勢(shì)。

    3)靈活性和業(yè)務(wù)連續(xù)性不足。隨著企業(yè)規(guī)模的不斷擴(kuò)大和信息技術(shù)的快速發(fā)展，企業(yè)內(nèi)的辦公地點(diǎn)將呈現(xiàn)分布、擴(kuò)大的趨勢(shì)，企業(yè)內(nèi)的辦公模式也需要辦公終端具備靈活、快速部署的特點(diǎn)。傳統(tǒng)的終端需要重復(fù)配置，且系統(tǒng)部署和維護(hù)方式難度大、周期長(zhǎng)，已不能滿足大中型企業(yè)的擴(kuò)張需求。

    4)資源并未有效利用。個(gè)人計(jì)算機(jī)的物理資源大多數(shù)時(shí)間利用率低下，大多數(shù)個(gè)人計(jì)算機(jī)在開(kāi)啟后資源長(zhǎng)期閑置，整個(gè)企業(yè)中因個(gè)人計(jì)算機(jī)所帶來(lái)的能源消耗相當(dāng)驚人，但當(dāng)用戶需要對(duì)計(jì)算機(jī)的硬件資源進(jìn)行擴(kuò)展時(shí)，個(gè)人計(jì)算機(jī)的調(diào)整又極其困難，造成極大的資源浪費(fèi)。

　　1.“私有云”提供的解決之道

　　在我們的生活中。已經(jīng)有越來(lái)越多的資源從個(gè)人或單位獨(dú)立擁有和使用，逐漸發(fā)展為以基礎(chǔ)設(shè)施的形式提供給人們使用。例如水、電、氣，用戶只需要使用一個(gè)簡(jiǎn)單的接口，就可以隨意根據(jù)他們的需要來(lái)使用這些基礎(chǔ)設(shè)施，并根據(jù)他們使用資源的實(shí)際情況來(lái)進(jìn)行付費(fèi)。

　　近幾年，云計(jì)算和虛擬化技術(shù)的飛速發(fā)展使信息資源的按需分配和使用成為了可能。云計(jì)算實(shí)際上提出了一種服務(wù)交付的理念，就和使用水、電、氣的模式一樣，將IT相關(guān)的能力以服務(wù)的方式提供給用戶。允許用戶在不了解提供服務(wù)的技術(shù)、沒(méi)有相關(guān)知識(shí)以及設(shè)備操作能力的情況下，通過(guò)網(wǎng)絡(luò)來(lái)獲取需要的服務(wù)。

　　而私有云是指由企業(yè)自建、自服務(wù)、自管理的云，私有云與集中管控一脈相承，具有云計(jì)算的普遍優(yōu)勢(shì)。通過(guò)資源的集中管理，可實(shí)現(xiàn)資源優(yōu)化、任務(wù)調(diào)度靈活、負(fù)載均衡、能力流動(dòng)、動(dòng)態(tài)遷移等：而終端設(shè)備變瘦，無(wú)須再安裝各類應(yīng)用，用戶操作會(huì)變得簡(jiǎn)便，管理維護(hù)壓力將降低。

　　2.桌面云技術(shù)介紹

　　云計(jì)算在計(jì)算機(jī)終端上的體現(xiàn)即為桌面云，或稱桌面虛擬化。它通過(guò)成熟的系統(tǒng)串聯(lián)通用硬件設(shè)備，構(gòu)建成一個(gè)完整的虛擬基礎(chǔ)架構(gòu)，即桌面云。在此基礎(chǔ)上創(chuàng)建功能齊全、可像“真實(shí)”計(jì)算機(jī)一樣運(yùn)行其自身操作系統(tǒng)和應(yīng)用程序的虛擬機(jī)設(shè)備，每個(gè)虛擬機(jī)都包含一套完整的系統(tǒng)，又相互隔離。這樣，多個(gè)虛擬機(jī)可以同時(shí)運(yùn)行在單臺(tái)物理服務(wù)器上，共享物理設(shè)備的硬件資源。由于虛擬機(jī)將整個(gè)虛擬設(shè)備(包括各種硬件和操作系統(tǒng))封裝起來(lái)。因此虛擬設(shè)備可與所有標(biāo)準(zhǔn)的x86操作系統(tǒng)、應(yīng)用程序和設(shè)備驅(qū)動(dòng)程序完全兼容。

　　桌面云可以橫跨數(shù)個(gè)互連的物理服務(wù)器和存儲(chǔ)設(shè)備進(jìn)行擴(kuò)展，無(wú)需為每個(gè)應(yīng)用程序永久性地分配服務(wù)器、存儲(chǔ)空間或網(wǎng)絡(luò)帶寬。虛擬機(jī)能根據(jù)需要在桌面云內(nèi)部動(dòng)態(tài)分配到所需的位置，得到所需的資源，企業(yè)無(wú)需浪費(fèi)資金去置辦僅在高峰時(shí)間使用的多余資源。

　　用戶可以使用能耗更低的終端機(jī)來(lái)取代利用率低下的傳統(tǒng)個(gè)人計(jì)算機(jī)，并通過(guò)安全的網(wǎng)絡(luò)鏈路遠(yuǎn)程訪問(wèn)屬于自己的桌面系統(tǒng)。這樣可以延長(zhǎng)桌面硬件的預(yù)期使用壽命。不必太頻繁地更換桌面硬件資源。用戶連接的虛擬機(jī)中所有軟硬件資源實(shí)際上是由位于數(shù)據(jù)中心內(nèi)的桌面云提供的。放置在用戶桌面上的終端本身沒(méi)有硬盤(pán)，僅僅作為工位和遠(yuǎn)程桌面資源池之間的通訊和顯示橋梁，不運(yùn)行業(yè)務(wù)和應(yīng)用軟件，不保存數(shù)據(jù)。

　　3.桌面云帶來(lái)的優(yōu)勢(shì)

　　部署和實(shí)施桌面云具備以下5大好處：

　　1)提高可管理性和安全性。實(shí)現(xiàn)“用戶桌面無(wú)存儲(chǔ)”。用戶桌面上無(wú)存儲(chǔ)設(shè)備，無(wú)法直接輸入輸出數(shù)據(jù)，顯示器上展現(xiàn)的是桌面云中虛擬機(jī)提供的顯示界面。這樣只要重點(diǎn)實(shí)施對(duì)數(shù)據(jù)中心的安全防護(hù)措施，就能從根本上提升企業(yè)信息系統(tǒng)和數(shù)據(jù)的整體安全防護(hù)能力。

　　2)提升業(yè)務(wù)連續(xù)性和部署靈活性。虛擬機(jī)實(shí)質(zhì)上是一個(gè)軟件容器，它將一整套虛擬硬件資源、操作系統(tǒng)及應(yīng)用程序“封裝”在一個(gè)軟件包內(nèi)，封裝使虛擬機(jī)具備超乎尋常的可移動(dòng)性且易于管理。即使桌面云中某個(gè)設(shè)備出現(xiàn)故障，虛擬機(jī)也可自行動(dòng)態(tài)遷移，不會(huì)造成服務(wù)中斷。同時(shí)，封裝特性可以加快和改進(jìn)桌面系統(tǒng)和應(yīng)用程序部署。管理員在幾分鐘內(nèi)即可分配一個(gè)完整的辦公桌面。

　　3)靈活的工作平臺(tái)。由于用戶桌面終端只獲取來(lái)自桌面云的顯示狀態(tài)，真實(shí)的數(shù)據(jù)保留在桌面云上，并沒(méi)有傳遞至終端。用戶可從任意一臺(tái)聯(lián)網(wǎng)的終端訪問(wèn)經(jīng)授權(quán)的任意桌面環(huán)境，保證用戶無(wú)論在哪里都具備同樣的數(shù)據(jù)安全水平。

　　4)提高現(xiàn)有資源的利用率。通過(guò)整合服務(wù)器將共用的基礎(chǔ)架構(gòu)資源聚合到桌面云架構(gòu)中，打破原有的“一臺(tái)物理計(jì)算機(jī)一個(gè)系統(tǒng)”的模式，大大節(jié)約硬件設(shè)備資源，并可實(shí)現(xiàn)硬件資源的動(dòng)態(tài)分配。

　　5)降低整體運(yùn)營(yíng)成本。由于資源利用率更高，減少了設(shè)備空間、電力和散熱需求，用戶使用能耗更低的終端設(shè)備來(lái)取代利用率低下的個(gè)人計(jì)算機(jī)，從而達(dá)到減少整個(gè)企業(yè)能耗的目的。

　　4.實(shí)施桌面云后終端安防體系的變革

　　部署和實(shí)施桌面云后，由于整體架構(gòu)上的顛覆性革新，相對(duì)傳統(tǒng)個(gè)人計(jì)算機(jī)。終端安防體系產(chǎn)生了若干變革，防護(hù)效果更優(yōu)。

　　(1)接入安全

　　桌面云采用終端機(jī)作為接入設(shè)備，可以采取多種方式進(jìn)行終端接人身份鑒別，嚴(yán)禁非授權(quán)終端設(shè)備接人，可以在接人層實(shí)現(xiàn)設(shè)備授權(quán)訪問(wèn)網(wǎng)絡(luò)資源，實(shí)現(xiàn)基于角色、身份的權(quán)限和安全控制。

　　防護(hù)效果：通過(guò)使川網(wǎng)絡(luò)接入訪問(wèn)控制系統(tǒng)，對(duì)所有接入內(nèi)部網(wǎng)的設(shè)備進(jìn)行認(rèn)證，可有效防止非授權(quán)設(shè)備接入網(wǎng)絡(luò)。設(shè)備接入后只能訪問(wèn)桌面云的安全網(wǎng)關(guān)。無(wú)法訪問(wèn)其他網(wǎng)絡(luò)資源。

　　(2)終端安全

　　終端機(jī)指的是在遠(yuǎn)程桌面網(wǎng)絡(luò)體系中一個(gè)基本無(wú)需應(yīng)用程序的終端設(shè)備，它不帶硬盤(pán)，不存儲(chǔ)數(shù)據(jù)，不直接處理業(yè)務(wù)，也不能直接訪問(wèn)遠(yuǎn)程桌面和各應(yīng)用系統(tǒng)，只能使用專用協(xié)議與桌面云環(huán)境提供的單一網(wǎng)關(guān)通信。僅僅作為用戶桌面和桌面云之間的通訊和顯示橋梁。

　　普通用戶僅能以最低權(quán)限使用終端，在該權(quán)限下，用戶只能連接并遠(yuǎn)程使用虛擬機(jī)系統(tǒng)，而無(wú)法查看和修改終端環(huán)境的設(shè)置。

　　防護(hù)效果：終端沒(méi)有本地存儲(chǔ)，且通過(guò)定制，用戶在終端上無(wú)法使用USB、串口、并口等外部設(shè)備，做到了終端的物理安全。

　　(3)遠(yuǎn)程訪問(wèn)安全

　　用戶使用終端機(jī)經(jīng)過(guò)防火墻連接桌面云認(rèn)證網(wǎng)關(guān)，該網(wǎng)關(guān)通過(guò)用戶名和密碼進(jìn)行驗(yàn)證，用戶所能連接的桌面均由管理員授權(quán)并分配。終端設(shè)備與虛擬機(jī)系統(tǒng)建立連接后，所有的連接請(qǐng)求仍通過(guò)桌面網(wǎng)關(guān)中轉(zhuǎn)，終端設(shè)備與虛擬機(jī)之間無(wú)直接連接。用戶在連接虛擬機(jī)系統(tǒng)后，所有需要進(jìn)行用戶認(rèn)證的環(huán)節(jié)(如系統(tǒng)登錄、解除系統(tǒng)鎖定等)均可以采用雙因素認(rèn)證系統(tǒng)進(jìn)行附加身份認(rèn)證。

　　在遠(yuǎn)程訪問(wèn)模式中�？捎晒芾韱T采取多重措施禁止設(shè)備重定向，使終端上僅有鼠標(biāo)、鍵盤(pán)等輸入信息傳送到遠(yuǎn)程的桌面系統(tǒng)處理，虛擬機(jī)系統(tǒng)僅把處理完畢的顯示結(jié)果回傳至終端進(jìn)行顯示。在終端與虛擬機(jī)系統(tǒng)的連接過(guò)程中，并沒(méi)有任何實(shí)際數(shù)據(jù)傳遞到瘦客戶端。

　　終端與桌面云單一網(wǎng)關(guān)之間通過(guò)SSL隧道實(shí)現(xiàn)傳輸加密，SSL(Secure Sockets Layer，安全套接層)是為網(wǎng)絡(luò)通信提供安全及數(shù)據(jù)完整性的一種安全協(xié)議。SSL安全加密鏈路在傳輸層對(duì)所有網(wǎng)絡(luò)連接進(jìn)行加密，確保數(shù)據(jù)在網(wǎng)絡(luò)傳輸過(guò)程中不會(huì)被敲取及竊聽(tīng)。

　　防護(hù)效果：通過(guò)上述措施，用戶在終端上連接

　　并使用桌面云，其間經(jīng)過(guò)了防火墻授權(quán)、雙因素身份認(rèn)證、禁止設(shè)備重定向、遠(yuǎn)程連接協(xié)議加密傳輸?shù)确雷o(hù)措施，確保遠(yuǎn)程訪問(wèn)過(guò)程的安全。

　　(4)桌面云使用安全

　　桌面云面向用戶提供的是虛擬機(jī)，虛擬機(jī)是運(yùn)行操作系統(tǒng)及其應(yīng)用程序的容器，所有虛擬機(jī)都相互隔離。在虛擬機(jī)的客戶操作系統(tǒng)上，即便是擁有操作系統(tǒng)管理員權(quán)限的用戶，也不能穿過(guò)隔離層訪問(wèn)其他虛擬機(jī)。隔離使多個(gè)虛擬機(jī)能夠安全地運(yùn)行。確保它們既能訪問(wèn)硬件，同時(shí)又不會(huì)受到干擾。某一個(gè)虛擬機(jī)操作系統(tǒng)的崩潰不會(huì)影響到其他虛擬機(jī)的正常運(yùn)行。

　　同時(shí)，桌面云整體架構(gòu)部署在內(nèi)部網(wǎng)的數(shù)據(jù)中心內(nèi)，物理防護(hù)安全級(jí)別更高，且與國(guó)際互聯(lián)網(wǎng)和其他公共信息網(wǎng)絡(luò)絕對(duì)保持物理隔離。虛擬機(jī)作為實(shí)際運(yùn)行環(huán)境，管理要求與原有模式下的物理計(jì)算機(jī)一致，即可以在每個(gè)虛擬機(jī)的操作系統(tǒng)上運(yùn)行統(tǒng)一的安全保密策略，并可安裝防病毒、木馬防護(hù)等系統(tǒng)對(duì)虛擬機(jī)環(huán)境做進(jìn)一步增強(qiáng)。虛擬機(jī)與應(yīng)用系統(tǒng)之間也應(yīng)該設(shè)置防火墻來(lái)進(jìn)行訪問(wèn)控制。

　　防護(hù)效果：隔離特性使虛擬機(jī)彼此之間保持完全隔離狀態(tài)，就像它們運(yùn)行在不同的物理環(huán)境上一樣。在虛擬機(jī)上實(shí)施進(jìn)一步的安全防護(hù)策略可達(dá)到與物理計(jì)算機(jī)完全一樣的防護(hù)效果。

　　(5)桌面云管理安全

　　桌面云建設(shè)之后，系統(tǒng)環(huán)境、用戶數(shù)據(jù)和業(yè)務(wù)數(shù)據(jù)實(shí)際上都集中到數(shù)據(jù)中心，加強(qiáng)對(duì)桌面云整體架構(gòu)的安全管理將越發(fā)重要。通過(guò)桌面云架構(gòu)自身的權(quán)限控制和安全組件，可以將管理權(quán)限進(jìn)行分離，同時(shí)記錄管理員進(jìn)行的配置變更情況�？梢詫⒂脩魯�(shù)據(jù)全部放置到采用NAS存儲(chǔ)架構(gòu)的獨(dú)立存儲(chǔ)中，實(shí)施用戶數(shù)據(jù)與系統(tǒng)環(huán)境分離，并可設(shè)置獨(dú)立于NAS的NAS安全增強(qiáng)系統(tǒng)。從而實(shí)現(xiàn)數(shù)據(jù)加密存儲(chǔ)，以及對(duì)用戶訪問(wèn)NAS的讀寫(xiě)權(quán)限進(jìn)行限制和日志記錄，防止非授權(quán)人員使用、仿冒和篡改。將系統(tǒng)管理員、安全管理員進(jìn)行權(quán)限分離，即使是管理人員，也無(wú)法看到NAS存儲(chǔ)中的用戶數(shù)據(jù)，杜絕了管理員權(quán)限過(guò)大的風(fēng)險(xiǎn)。防護(hù)效果：通過(guò)對(duì)桌面云的管理員進(jìn)行權(quán)限分離和審計(jì)，使管理員只能進(jìn)行管理工作，無(wú)法看到用戶數(shù)據(jù)，且用戶和管理員操作有審計(jì)，可事后追溯。

　　5.結(jié)語(yǔ)

　　通過(guò)桌面云環(huán)境的實(shí)施，將建立基于企業(yè)“私有云”架構(gòu)下的數(shù)據(jù)集中管控體系，使用戶可以擺脫繁瑣的操作，為用戶提供一個(gè)符合標(biāo)準(zhǔn)、安全高效、靈活易用的桌面系統(tǒng)，從而提升用戶感受。同時(shí)，可以從管理上提高可用性，實(shí)現(xiàn)安全訪問(wèn)和靈活部署，建立可伸縮的虛擬基礎(chǔ)架構(gòu)，從數(shù)據(jù)中心到用戶桌面可實(shí)現(xiàn)全面可控的可用性、安全性和可管理性。

核心關(guān)注：拓步ERP系統(tǒng)平臺(tái)是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用，蘊(yùn)涵了豐富的ERP管理思想，集成了ERP軟件業(yè)務(wù)管理理念，功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理，全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域，是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。

轉(zhuǎn)載請(qǐng)注明出處：拓步ERP資訊網(wǎng)http://www.oesoe.com/

本文標(biāo)題：“私有云”架構(gòu)下終端安防體系的變革

本文網(wǎng)址：http://www.oesoe.com/html/consultation/10839512770.html