FusionAccess桌面云安全技术白皮书

1、华为 FusionAccess 桌面云解决方案安全技术白皮书目录 HYPERLINK l _bookmark0 传统办公桌面安全问题及发展趋势1 HYPERLINK l _bookmark1 传统桌面安全之痛1 HYPERLINK l _bookmark2 桌面办公发展趋势1 HYPERLINK l _bookmark3 桌面云安全威胁分析及安全框架1 HYPERLINK l _bookmark4 概述1 HYPERLINK l _bookmark5 桌面云安全威胁分析1 HYPERLINK l _bookmark6 桌面云安全框架3 HYPERLINK l _bookmark8 终端与接入安

2、全4 HYPERLINK l _bookmark9 瘦终端系统安全4 HYPERLINK l _bookmark10 TC 接入网络支持 802.1X 认证5 HYPERLINK l _bookmark11 TC 接入网络支持证书认证5 HYPERLINK l _bookmark12 特定TC 接入6 HYPERLINK l _bookmark13 身份认证7 HYPERLINK l _bookmark14 接入认证7 HYPERLINK l _bookmark15 AD 域认证7 HYPERLINK l _bookmark17 指纹认证9 HYPERLINK l _bookmark18 US

3、BKey 智能卡认证10 HYPERLINK l _bookmark19 动态口令双因素认证11 HYPERLINK l _bookmark20 格尔认证12 HYPERLINK l _bookmark21 第三方数字证书身份认证系统认证13 HYPERLINK l _bookmark22 身份认证客户化定制能力13 HYPERLINK l _bookmark23 网络安全14 HYPERLINK l _bookmark24 传输安全14 HYPERLINK l _bookmark25 网络隔离安全14 HYPERLINK l _bookmark27 安全域划分16 HYPERLINK l _

4、bookmark29 防IP 及 MAC 仿冒17 HYPERLINK l _bookmark30 支持虚拟机固定IP17 HYPERLINK l _bookmark31 支持国密算法要求17 HYPERLINK l _bookmark32 安全组17 HYPERLINK l _bookmark33 虚拟化隔离18 HYPERLINK l _bookmark35 数据安全20 HYPERLINK l _bookmark36 数据存储安全20 HYPERLINK l _bookmark37 安全数传21 HYPERLINK l _bookmark38 桌面水印22 HYPERLINK l _bo

5、okmark39 管理安全24 HYPERLINK l _bookmark40 日志管理24 HYPERLINK l _bookmark41 帐户和密码安全25 HYPERLINK l _bookmark43 分权分域管理25 HYPERLINK l _bookmark44 三员分立管理26 HYPERLINK l _bookmark45 证书管理27 HYPERLINK l _bookmark46 统一运维与审计27 HYPERLINK l _bookmark47 基础设施安全29 HYPERLINK l _bookmark48 Web 安全29 HYPERLINK l _bookmark4

6、9 操作系统安全30 HYPERLINK l _bookmark50 安全补丁30 HYPERLINK l _bookmark51 防病毒31 HYPERLINK l _bookmark52 数据库安全32 HYPERLINK l _bookmark53 物理安全32 HYPERLINK l _bookmark54 用户虚拟机安全33 HYPERLINK l _bookmark55 用户虚拟机安全管理33 HYPERLINK l _bookmark56 文档安全管理33 HYPERLINK l _bookmark57 华为桌面云安全解决方案特点综述34 HYPERLINK l _bookmar

7、k58 防范非法用户34 HYPERLINK l _bookmark59 防范恶意管理员35 HYPERLINK l _bookmark60 安全认证37 HYPERLINK l _bookmark61 国内安全认证37 HYPERLINK l _bookmark62 国际安全认证39 1 传统办公桌面安全问题及发展趋势传统桌面安全之痛终端分散，容易泄密传统 PC 桌面办公分散，任何一个 PC 都可能是泄密点。为防范泄密，对于多办公楼、办公分支机构的企业，在物理安全上需要在各门岗设置安全岗来检查出入的存储设备介质；在各 PC 端安装安全机箱，安装数据防泄密软件等。这样做维护人力多、成本高、效率

8、低。多网多终端，管理困难多网络物理隔离。各种行业专网引进的行业接入终端很多，管理非常困难，密码记忆不易。一些高安全行业桌面有多台电脑和终端，例如一套互联网电脑，一套行业专网电脑， 一套办公专网电脑，这导致现有信息化建设模式复杂。终端安全软件不堪重负为了保护终端安全，需在 PC 上安装各种安全软件，如防病毒、防木马、个人防火墙、进程保护、终端监控、USB KEY，终端加密软件，防非法外联等，电脑不堪重负。如果电脑崩溃，终端恢复和重装系统的时间耗费也很长。桌面办公发展趋势针对桌面办公安全问题，业界有很多不同的解决方案，如针对终端硬盘泄密的无盘工作站，针对多网多终端的双主板 PC、网闸等。但这些方案

9、因为易用性差、扩展性差、不能根治安全问题等不足，导致无法广泛推广。解决传统桌面的安全问题，变革传统的 IT 架构是关键。从目前来看，桌面云是最佳的信息安全管理手段。它实现了终端与信息分离，本地 TC 终端无任何存储数据，桌面数据在后台数据中心（集中的计算、存储和网络），而传输到终端显示的仅是屏幕、键盘、鼠标信息，这样就避免直接在桌面 PC 泄密的问题。 2 桌面云安全威胁分析及安全框架概述桌面云作为一种新的计算资源提供方式，用户在享受它带来的高安全、便利性、低成本等优越性的同时，也对其自身的安全性存在疑虑。如何保障用户数据和资源的机密性、完整性和可用性成为云计算系统亟需解决的课题。本文在分析云

10、计算带来的安全风险和威胁基础上，介绍了华为桌面云针对这些风险和威胁所采取策略和措施，旨在为客户提供安全可信的桌面云解决方案。桌面云安全威胁分析桌面云除了要应对传统数据中心的安全威胁，同时还面临云计算架构带来的新的安全威胁与挑战：云终端安全风险在桌面云下，虽然用户数据不会存放在云终端（如瘦客户端 TC），但是也需要防止客户端上被安装恶意软件，如截获键盘操作的木马软件，可能导致登录密码被窃取；用户可移动接入带来便利的同时，也会引入一定的安全风险。如果用户密码泄露，非法用户可以利用网络从任意一个云终端可接入（物理 PC 需要到近段登录），需要支持比密码更安全的身份认证机制；桌面云下，因云终端不存放数

11、据，对接入终端的管控在管理上会弱化，如接入办公区的门岗。需要考虑不合规或恶意终端接入网络，将虚拟机上的数据拷贝到终端而导致信息泄密的风险。接入网络安全风险用户数据处理在桌面云数据中心，所有操作、界面交互都必须基于随时可以接入的网络。云计算资源的分布式部署使路由、域名配置更加复杂，更容易遭受网络攻击，比如 DNS 攻击和DDOS 攻击；终端与数据中心的数据传输过程中的数据私密性与完整性威胁。一些敏感信息如密码，可能被窃取；屏幕信息报文可能被截获，进行协议解析后可能恢复一些重要信息；传统网络安全威胁仍然存在。虚拟化技术带来的新的安全风险和挑战Hypervisor 的安全威胁Hypervisor 为

12、虚拟化的核心，可以捕获 CPU 指令，为指令访问硬件控制器和外设充当中介，协调所有的资源分配，运行在比操作系统特权还高的最高优先级上。一旦Hypervisor 被攻击破解，在Hypervisor 上的所有虚拟机将无任何安全保障，直接处于攻击之下。资源共享风险多用户共享计算资源带来的风险，包括隔离措施不当造成的用户数据泄漏、用户遭受相同物理环境下的其他恶意用户攻击；网络防火墙/IPS 虚拟化能力不足、导致已建立的静态网络分区与隔离模型不能满足动态资源共享需求。隔离模型变化形成安全漏洞逻辑隔离代替物理隔离，使企业网原有的隔离产生安全漏洞。企业网络通常采用物理隔离等高安全手段保证不同安全级别的组织或

13、部门的信息安全，但云计算采用逻辑隔离的手段隔离不同企业，以及企业内部不同的组织与部门。虚拟机间的恶意网络流量可能逃过审计在同一个物理主机的虚拟机间的通信，如果在同一个VLAN 内，可能直接在主机内完成通信，流量不会经过外边网络，导致现有网络监控审计系统无法对此流量进行监控审计。数据安全风险剩余数据安全风险用户虚拟机删除或磁盘删除后，释放的存储空间将分配给其他用户使用，如果数据没有经过处理，其他用户可能利用数据恢复手段获取到原来用户的数据。内存复用/内存残留带来的数据安全风险数据集中在数据中心，如何防范管理员通过某些手段查看到用户的数据物理磁盘更换的数据安全泄露风险虚拟机终端安全风险传统安全仍存

14、在如病毒、木马等，传统的终端安全如防病毒、操作系统安全补丁更新措施同样需要。虚拟机上数据外泄防止虚拟机上的用户或企业重要信息通过云终端或网络方式外泄。管理安全数据集中在数据中心，对管理员的安全要求尤为重要。管理员的身份认证、权限管理、审计等都是很大的挑战。云基础设施安全风险API 接口安全在基于云计算接口的开放性，基础设施提供商与应用的提供商很可能是不同的组织，应用软件也被云调度到不同的虚拟机上分布式运行，应用安全必须考虑基础设施与应用软件的配合后的安全能力，如果配合不好，会产生很多安全漏洞。传统基础安全威胁同样存在操作系统漏洞、应用组件漏洞、web 攻击、口令字典攻击破解等。桌面云安全框架根

15、据云计算面临的威胁与挑战，华为提供桌面云安全解决方案，如 HYPERLINK l _bookmark7 图 2-1 所示：图2-1 华为桌面云安全解决方案框架各分层简要介绍如下：瘦终端安全包含终端自身安全、接入云计算网络时对终端进行合法性校验。接入与认证管理安全通过 AD 域认证、指纹、USB Key、动态令牌等方式对接入桌面云的用户进行认证， 保证接入安全。网络安全通过网络平面隔离、引入防火墙、部署安全接入网关、传输加密等手段，保证业务运行和维护安全。虚拟化安全根据虚拟化机制，保证虚拟机隔离安全。数据安全从数据完整性、身份认证、数据访问控制、数据机密性等方面保证用户数据的安全。管理安全从帐号

16、、密码、管理员和用户权限、日志等方面提供日常管理方面的安全措施。基础设施和物理安全通过操作系统加固、数据库加固、安装安全补丁等手段保证基础设施的安全。用户虚拟机安全虚拟机运行时，提供网络访问控制、员工行为监控、补丁管理、软件分发等功能， 保证用户虚拟机运行安全。 3 终端与接入安全瘦终端系统安全瘦终端系统安全概述瘦终端从硬件和软件设计上，采用了多种安全机制，有效防止病毒入侵。瘦终端提供的安全机制如下：硬件安全BIOS 安全OS 安全硬件安全TC(Thin Client)对内置的存储进行了硬件级别的加密，加密算法与硬件的唯一信息绑定， 如果将 TC 的内置存储放在其他任何一台机器上（包括其他的

17、PC、TC），都无法引导，也无法访问该存储内置的信息。这种设计能够有效的防止 TC 的数据被篡改，保证 TC 本地系统的安全。这个功能只有安全版Linux TC 才提供。BIOS 安全瘦终端 BIOS 安全策略如下：BIOS 仅从内置存储引导TC 的BIOS 只保留从内置存储引导的方式，没有保留其他的引导方式如USB 引导、PXE 引导。BIOS 仅从加密存储引导TC 的 BIOS 运行时，会尝试根据硬件的唯一信息对存储进行解密，然后引导。如 果该存储不支持加密、或者没有加密、或者加密的信息非本台 TC 硬件的唯一信息， TC 的 BIOS 都不能对该 TC 进行引导。这实现了内置存储与 TC

18、 的双向唯一绑定， 保证 TC 不会引导其他第三方的系统，第三方也无法访问 TC 内置存储的内容。从硬件级别保证了云计算终端的安全。OS 安全TC 是一个精简的、封闭的 Linux/WES7 操作系统，系统设计全面考虑了安全性问题， 主要包括以下内容：禁止存储类设备使用TC 的操作系统从驱动层可禁止 USB 存储设备的使用，不包含任何 USB 存储的驱动。包括 U 盘、USB 光驱等在内的 USB 存储设备都无法在 TC 本地使用。禁止直接访问内置存储操作系统的 TC 本地没有暴露内置存储访问接口，用户只能通过系统提供的程序间接访问，这样能有效的避免系统文件被破坏。禁止任意安装程序Linux

19、操作系统的 TC 在本地不提供安装软件的接口，用户或者其他第三方人员， 无法自行安装任何软件。如果需要在 TC 上安装软件，则只能通过 TCM（专门的TC 管理系统）将软件包下发到 TC 上，然后在 TC 上进行安装。Windows 系统的终端只能支持在 Administrator 用户下进行本地安装。对于通过 TCM 安装 TC 软件的方式，有以下安全措施：仅 TCM 管理员才能为 TC 安装软件。TCM 支持的软件包格式为自定义的私有软件包格式，普通的软件安装包无法被TCM 识别。TCM 下发软件包后，在 TC 本地会进行严格的完整性校验。如果软件包被修改过，或没有通过认证，TC 本地会拒

20、绝安装该软件。网络端口限制为防止恶意入侵，TC 在本地只开放必须的端口，用于 TCM 管理 TC，其他端口均被限制对外开放。无需病毒防护从病毒的传播途径看，主要为通过存储类设备传播和通过网络传播。对于 TC 没有病毒所需要的传播途径及运行环境，完全阻断了病毒传播方式。TC 接入网络支持 802.1X 认证TC 支持必须通过 802.1X 协议认证通过后，才能接入网络，防止非法的终端接入。认证方式支持 TLS、TTLS、PEAP、EAP 四种认证方式。TC 接入网络支持证书认证WI 提供双向认证，TC 端必须安装相应的客户端证书后，才允许登录WI Portal。vAG 的单项认证，TC 端必须安

21、装相应的根证书后，才允许连接用户虚拟机特定 TC 接入应用场景：在信息安全要求高的场合，只允许特定用户从固定地点的 TC 登录包含敏感信息的虚拟桌面，以避免敏感信息在其它地方被查看。通过在 TC MAC 地址/MAC 地址组与域用户/域用户组之间建立绑定关系，实现指定域用户/域用户组成员从固定 TC/TC 组接入桌面。固定 TC 接入可以和 WI 任何一种认证方式同时使用。 4 身份认证接入认证系统管理员接入认证针对桌面云场景，系统管理员接入实现方式如下：管理员通过“本地帐号+密码+验证码”认证方式，接入管理系统。管理员通过 AD 域认证方式，接入管理系统。管理员通过 USB Key 认证方式

22、（支持格尔网关身份认证系统），接入管理系统。用户接入认证针对桌面云场景，用户安全接入实现方式如下：用户通过 AD 域认证方式+验证码，接入桌面云；用户通过指纹登录认证方式，接入桌面云；用户通过 USB Key 认证方式（支持 AD 智能卡方式和第三方数字证书身份认证系统集成方式），接入桌面云；用户通过静态+动态口令双因素认证方式，接入桌面云。用户登陆 TC，使用身份认证 USBkey，输入 PIN 码，安全代理客户端读取用户身份信息到认证服务器进行身份认证，同时认证过程中会携带 TC 硬件标识信息，用户身份认证及 TC 合法性认证通过，将会返回票据信息。TC 上的桌面协议客户端向 WI 发送桌

23、面登录请求（携带票据），WI 提交票据到认证服务器进行验证，如果票据验证合法，将解析提取用户信息接入桌面云。AD 域认证AD 域认证终端用户通过域认证方式接入虚拟机，是桌面云认证的主要认证方式。用户只有通过AD（Active Directory）服务器认证后，才允许接入虚拟机。管理员登录桌面云管理系统也支持 AD 域用户认证。采用基于微软的 Kerberos 协议进行 AD 域认证。AD 在桌面云中的作用：帐户认证和虚拟机认证桌面云中所有虚拟机都在域中进行统一管理，虚拟机之间的访问需要通过域认证； 桌面云中所有虚拟机都需要通过域帐号方式访问。如 HYPERLINK l _bookmark16

24、图 4-1 所示。图4-1 用户账户认证和虚拟机认证 链接到虚拟机虚拟机登录1.用户名、密码虚拟机加入域3.查询虚拟机列表4.返回VM列表TCWIHDC2.验证帐号加入域，通过域认证虚拟机AD虚拟机登录时，通过 AD 认证的流程如下：用户在WI 登录界面输入用户名和密码，进行登录；WI 受到用户登录请求后，向 AD 发起验证域帐号请求；AD 校验域帐号合法后，将校验结果返回给WI，WI 到 HDC 查询虚拟机列表，并返回给用户。用户选择虚拟机登陆的时候，再次到 AD 对用户名和密码进行认证，认证通过后， 登陆用户虚拟机桌面。管理员登录认证为了增强桌面管理系统的可维护性，管理员除了支持 ITA

25、本地帐号外，还支持域帐号登录，在 AD 上进行统一的认证。用户在 ITA 登录界面选择域帐号登录，输入域帐号，密码后，点击登录按钮。ITA 将域帐号，密码发送到预设的 AD 域控认证，认证通过后， 允许用户登录。图4-2 管理员 AD 认证登录认证错误处理不提供引导性错误提示，比如“账户名错误”的信息。账户名和密码一定时间内多次认证失败达到指定次数。对账户进行锁定一定时间周期。锁定策略在 AD 进行配置。管理员第一次账户名密码错误后，再次登陆需要校验验证码。指纹认证用户可通过指纹认证接入桌面云指纹登录认证利用自动指纹识别系统通过特殊的光电转换设备和计算机图像处理技术， 对用户指纹进行采集、分析

26、和比对，自动、迅速、准确地鉴别出个人身份。指纹登录认证利用人的指纹生物特征进行强认证，难以伪造和破解，同时使用起来更便利。图4-3 指纹认证具体流程说明如下：指纹仪与云终端连接后，用户在云终端上输入指纹，云终端将指纹信息内部转化为用户名、密码，并将用户名、密码通过HTTPS 方式传递给WI；WI 使用在云终端上获取的用户名、密码向 AD 请求用户认证；通过 AD 认证的用户，WI 向用户返回该用户拥有的虚拟机列表；用户选择所需登录的虚拟机，WI 向用户选中的虚拟机和用户发送用户连接认证信息；云终端利用WI 提供的用户连接认证信息登录虚拟机；登录后，虚拟机会要求用户输入指纹信息，用户输入指纹并验

27、证成功后，进入用户桌面。USBKey 智能卡认证USB Key 属于智能卡的一种，每个 USB Key 都具有硬件和 PIN 码保护，硬件和 PIN 码构成了两个必要因素（双因子认证）。用户只有同时取得 USB Key 和 PIN 码，才能登录系统。即使用户 PIN 码泄漏，只要用户持有的 USB Key 不被盗，合法用户的身份就不会被仿冒。如果用户 USB Key 遗失，拾到者因不知道用户 PIN 码，也无法仿冒合法用户身份。图4-4 USB Key 非单点登录认证USB Key 非单点登录认证流程和原理：用户在 TC 上插入智能卡/USB Key，打开 IE 浏览器，输入登录WI 的 UR

28、L（如果有 SVN 做 LB，则输入 SVN 的 URL）后回车；用户浏览器界面上弹出 PIN 码窗口，用户输入Key 的 PIN 码后回车。在 WI 和 USB Key 之间进行双向证书认证；证书认证成功后，WI 查询到该用户虚拟机列表；WI 将该用户对应的虚拟机列表返回给 TC 浏览器；用户选择其中某一台虚拟机登录，当开启 HDP 连接后，弹出Windows 操作系统的PIN 码输入框，用户输入 PIN 码后点击登录；7、 USB Key 到 AD/CA 去做智能卡登录认证，认证通过后，用户即可登录到虚拟机操作系统内部。系统也可配置成 USB Key 单点登录认证方式，在 TC 上插入 U

29、SBkey，登录 WI 输入 PIN后，登录虚拟机无需再输入 PIN 码。动态口令双因素认证在传统的静态口令验证系统中，由于口令为“一次设置，重复使用”，用户并不需要通过额外的手段来获取口令，由于口令的重复使用而增加了口令丢失和破解的危险性，降低了系统的安全系数。因此，需要一个口令可变的身份验证系统，同时必须满足口令便于用户获取的要求。为了满足这些要求，除了使用静态口令外，另外增加一个物理因素， 用于产生动态口令。用户登录时，必须同时验证静态口令和动态口令，只有两者均正确时才能确认用户身份。动态口令双因素认证支持通用的硬件/软件动态口令令牌卡和基于短消息的动态口令认证。通用的硬件/软件动态口令

30、令牌卡认证：用户在登录WI 认证时，必须在 WI 登录界面上同时输入域账号、域密码、动态口令码，域密码和动态口令码且均认证成功时才允许用户登录，看到虚拟机列表。基于短消息动态口令认证:短消息动态口令认证，是利用手机作为动态口令的接收装置, 管理员事先在动态口令认证服务器上将该用户的账号和手机号进行注册，用户登录WI 的时候，先输入域账号密码，域账号密码认证通过后，WI 将域账号信息发给动态口令认证服务器，动态口令认证服务器生成一个动态口令码，通过短信网关发到用户手机上。用户在规定的时间内，将动态口令码填写到WI 上，再次做动态口令的登录认证，认证通过后，再给用户返回虚拟机列表。格尔认证华为桌面

31、云与格尔的身份认证系统有效集成。用户登陆桌面云采用满足国家密码算法要求的 USBkey 进行身份认证，并集成通过国家相关部门认证的身份认证管理系统。用户登陆桌面门户和虚拟机采用单点登陆，只需输入一次PIN 码。认证流程如下：1、用户登录 TC，插入身份认证 USBkey，输入 PIN 码，安全代理客户端读取用户身份信息到认证服务器进行身份认证，同时认证过程中会携带 TC 硬件标识信息，用户身份认证及 TC 合法性认证通过，将会返回票据信息；2、TC 上的桌面协议客户端向 WI 发送桌面登录请求（携带票据），WI 提交票据到认证服务器进行验证，如果票据验证合法，将解析提取用户信息。根据用户信息从

32、桌面管理系统中找到该用户的虚拟机列表，将虚拟机列表返回给 TC 客户端；3、用户点击虚拟机列表，WI 从HDC 获取虚拟机的登陆地址信息，WI 将虚拟机登陆地址信息及票据发送到 TC 客户端；4、桌面协议客户端根据地址信息与虚拟机的 HDPserver 建立桌面传输通道，将用户的USBkey 映射到虚拟机，并携带票据到虚拟机。安全登录模块收到票据，并向认证服务管理系统验证票据，票据验证通过后，提取票据信息（虚拟机的用户名、密码）完成虚拟机的登录用户管理和身份认证统一由格尔身份认证系统统一处理。对管理员登陆桌面云管理系统进行维护，同样必须通过安全网关，采用 USBkey 进行身份认证，并可以支持

33、限定管理员从特定 IP 终端、特定时间段接入管理系统。第三方数字证书身份认证系统认证在高安全行业，当用户从 PC 迁移到桌面云时，为保证其安全合规性，一般会将原来 PC 上的主机安全登录与审计类软件应用到虚拟机上来，这些软件一般都包含终端安全登录模块，使用 USBKey 来登录 PC。登录桌面云也要采用 USBkey，且要支持单点登陆，只输入一次 PIN 码。华为桌面云提供了与第三方数字证书认证系统集成能力，实现 TC、WI、虚拟机登录支持 USBkey 单点登录，只输入一次 PIN 码。身份认证客户化定制能力在一些大中型企业，如中国石化、中国移动，现网已存在统一的身份管理和认证系统， 桌面云

34、部署时需要与之集成对接，并要求桌面云的登录认证与业务登录能实现单点登录。为应对这种场景，华为桌面云解决方案提供身份认证客户化定制的接口能力，集成商可 以根据华为提供的 API 进行二次开发。桌面云提供两种身份认证客户化定制 API：一种是插件方式，集成商可以根据预定义的插件接口，开发实现客户化认证逻辑；一种是桌面门户（WI）北向 API 方式，华为提供北向 API 调用的 Demo 源代码，集成商可以在Demo 上实现客户化认证逻辑，并可以提供个性化的桌面门户修改能力。集成商可以根据客户的具体需求场景来选择采用哪种方案。 5 网络安全传输安全数据在传输过程中可能遇到被中断、复制、篡改、伪造、窃

35、听和监视等威胁，需要保证信息在网络传输过程的完整性，机密性和有效性。华为桌面云传输安全由以下几个方面保证：系统管理员访问管理系统，均采用 HTTPS 方式，传输通道采用 SSL 加密；用户访问桌面门户WI，采用HTTPS 方式；TC 与虚拟机之间的桌面协议（HDP）传输通过部署 vAG 或硬件的 SVN 安全网关， 实现 SSL 的加密传输，加密算法采用 AES 128；业务系统各个组件间通信（WI、HDC、ITA、License、vAG、HDA 等），均采用HTTPS 方式，传送通道采用 SSL 加密，组件之间连接采用双向证书认证的方式。HTTPS 可进行加密传输、身份认证，安全性高。HTT

36、PS 的安全基础是 SSL，通过 SSL实现加密，SSL 协议提供的服务主要有：认证用户和服务器，确保数据发送到正确的客户机和服务器；加密数据以防止数据中途被窃取；维护数据的完整性，确保数据在传输过程中不被改变。网络隔离安全DHCP 隔离支持对虚拟机的 DHCP 隔离。开启虚拟机所属端口组的 DHCP 隔离功能，可以防止该用户虚拟机通过私自安装的DHCP 软件（为其他虚拟机分配 IP 地址，与桌面云系统的DHCP 服务器冲突）而影响其他虚拟机的正常运行。DHCP SnoopingDHCP Snooping 技术是 DHCP 安全特性，通过建立和维护 DHCP Snooping 绑定表过滤不可信

37、任的DHCP 信息，这些信息是指来自不信任区域的 DHCP 信息。截获和解析虚端口上收到的 DHCP ACK 消息，将 DHCP Server 分配的 IP 记录下来，保存到 IP 和 MAC绑定表，该 IP 和 MAC 绑定表与虚端口关联。IP 和 MAC 绑定的核心能力由 iNIC（Intelligent Network Interface Card）或 EVS（Elastic Virtual Switch）提供。平面隔离桌面云网络通信平面划分为业务平面、存储平面和管理平面，且三个平面之间是隔离的。保证最终用户不能破坏基础平台，管理员不能访问业务平面。业务平面为用户提供业务通道，为虚拟机虚

38、拟网卡的通信平面，对外提供业务应用。存储平面为 iSCSI 或光纤通道存储提供通信平面，并为虚拟机提供存储资源，但不直接与虚拟机通信，而通过虚拟化平台转化。管理平面负责整个云计算系统的管理、业务部署、系统加载等流量的通信。BMC(Baseboard Management Controller)平面主要负责服务器的管理，BMC 平面可以和管理平面隔离，也可以不进行隔离。华为桌面云解决方案平面隔离如 HYPERLINK l _bookmark26 图 5-1 所示。图5-1 平面隔离示意图防火墙安全域划分华为 FusionAccess 桌面云解决方案划分的安全域如下：非信任域：云终端、管理员所处的

39、区域，该区域接入用户多，且用户类型难以控制， 安全风险高。DMZ 域：非军事化区域，安全接入网关 vLB/vAG、SVN 主要部署在该区域，TC、SC 通过该区域接入用户虚拟机。User 域：用户虚拟机所在区域。需要将 User 域与管理区域进行隔离，防止用户虚拟机接入管理网络。管理与平台域：FusionAccess、FusionCompute、FusionManager 的管理组件都部署在此区域。安全域划分如 HYPERLINK l _bookmark28 图 5-2 所示。非信任域云终端非信任域操作维护终端防火墙管理与平台域DNSDHCPADWIHDCITA防火墙LicenseDBBack

40、up ServerWSUSFusionComputeFusionManagerDMZ域TCMvLB/vAGUser域用户虚拟机VMVMVMVMSVN图5-2 安全域划分在华为 FusionAccess 桌面云解决方案中，存在部分功能、特性要求管理平面和业务平面之间进行互通。为降低管理平台被攻击的风险，在不同安全要求场景下，建议用户采取不同的组网形式：在高安全场景下，建议桌面云解决方案组网采用交换机 L2 层组网，此时管理平面和业务平面不能在 L2 层网络中互通；如果管理平面与业务平面需要进行互通，则必须通过客户的网络进行 L3 层互通，此时，需由客户提供防火墙等高安全隔离措施用于安全域之间隔离

41、。在普通安全场景下，桌面云解决方案组网可以采用交换机 L3 层组网，此时管理平面和业务平面在 L3 层网络中缺省互通；如果需要保证管理平面和业务平面安全隔离，可以在三层交换机上配置 ACL 策略实现管理平面和业务平面的互通、隔离策略，保证基本安全。防 IP 及 MAC 仿冒通过 IP 和 MAC 绑定方式实现：防止虚拟机用户通过修改网络报文的 IP、MAC 地址发起 IP、MAC 仿冒攻击，增强用户虚拟机的网络安全。具体技术能力包括通过 DHCP snooping 生成 IP-MAC 的绑定关系，然后通过 IP 源侧防护(IP Source Guard)与动态 ARP 检测（DAI）对非绑定关

42、系的报文进行过滤。支持虚拟机固定 IP在高安全行业，为了方便审计虚拟机用户的行为，将虚拟机 IP 和用户的身份有一一对应关系，虚拟机需采用固定 IP 地址，不容许使用HDCP 服务器设置动态 IP。华为桌面云提供管理员能够从 ITA 指定 IP 创建虚拟机，指定 IP 的虚拟机创建成功后，能够正常的关联到用户，并且后续 IP 地址不再变更。支持国密算法要求为保证 TC 与数据中心的传输安全，在云端部署格尔安全认证接入网关/兴唐安全认证网关，网关建立满足国密算法（商密、普密）要求的安全加密传输通道。安全组安全组可以为公有云租户和私有云用户提供网络隔离和访问控制功能（将虚拟机按需要加入到安全组，并

43、为安全组设置访问规则）。安全组相当于在每个虚拟机的网络出口处部署一个虚拟防火墙，对进入本 VM 的流量执行访问控制，增强虚拟机的安全性。您可以将虚拟机的一些 IP 地址加入一个安全组，然后设定不同安全组间的访问规则。这些地址不必成段，即，安全组内的地址可以是杂散的。组间访问规则支持如下配置能力：允许或禁止来自另一个安全组的请求通过指定协议及指定端口访问本安全组；允许或禁止来自指定 IP 地址段的请求通过指定协议及指定端口访问本安全组； 同一个安全组内的虚拟机之间的访问可以不受限制，但也可以指定不互通。如：同一个部门，划分在一个 VLAN 内，但有不同的项目组，项目组间的 VM 之间需要隔离，不

44、能实现共享访问；但是每个 VM 都可以和服务器通信。将项目组 1 和项目组 2 分别放入安全组 1 和安全组 2。两个安全组都配置以下 ACL：缺省拦截所有未命中 ACL 的报文；2）允许服务 IP 地址段访问本安全组；桌面云解决方案支持安全组功能是利用云平台的安全组能力，如果虚拟桌面要使用安全组，需使用FusionManager 来发放虚拟桌面，然后FusionAccess 对其进行纳管；也可以FusionManager 纳管FusionAccess 的发放的虚拟机，再加入安全组。 6 虚拟化隔离Hypervisor 能实现同一物理机上不同虚拟机之间的资源隔离，避免虚拟机之间的数据窃取或恶意

45、攻击，保证虚拟机的资源使用不受周边虚拟机的影响。终端用户使用虚拟机时， 仅能访问属于自己的虚拟机的资源（如硬件、软件和数据），不能访问其他虚拟机的资源，保证虚拟机隔离安全。虚拟机隔离如 HYPERLINK l _bookmark34 图 6-1 所示。图6-1 虚拟机相关资源隔离物理资源与虚拟资源的隔离Hypervisor 统一管理物理资源，保证每个虚拟机都能获得相对独立的物理资源；并能屏蔽虚拟资源故障，某个虚拟机崩溃后不影响 Hypervisor 及其他虚拟机。vCPU 调度隔离安全X86 架构为了保护指令的运行，提供了指令的 4 个不同 Privilege 特权级别，术语称为Ring，优先

46、级从高到低依次为 Ring 0（被用于运行操作系统内核）、Ring 1（用于操作系统服务）、Ring 2（用于操作系统服务）、Ring 3（用于应用程序），各个级别对可以运行的指令进行限制。vCPU 的上下文切换，由Hypervisor 负责调度。Hypervisor 使虚拟机操作系统运行在 Ring 1 上，有效地防止了虚拟机 Guest OS 直接执行所有特权指令；应用程序运行在 Ring 3 上，保证了操作系统与应用程序之间的隔离。内存隔离虚拟机通过内存虚拟化来实现不同虚拟机之间的内存隔离。内存虚拟化技术在客户机已有地址映射（虚拟地址和机器地址）的基础上，引入一层新的地址“物理地址”。在

47、虚拟化场景下，客户机 OS 将“虚拟地址”映射为“物理地址”；Hypervisor 负责将客户机的“物理地址”映射成“机器地址”，然后再交由物理处理器来执行。虚拟地址(VA)，指客户机 OS 提供给其应用程序使用的线性地址空间。物理地址 (PA)，经Hypervisor 抽象的、虚拟机看到的伪物理地址。机器地址(MA)，真实的机器地址，即地址总线上出现的地址信号。内部网络隔离Hypervisor 提供 VRF 功能，每个客户虚拟机都有一个或者多个在逻辑上附属于 VRF 的网络接口 VIF（Virtual Interface）。从一个虚拟机上发出的数据包，先到达 Domain 0，由 Domai

48、n 0 来实现数据过滤和完整性检查，并插入和删除规则；经过认证后携带许可证， 由 Domain 0 转发给目的虚拟机；目的虚拟机检查许可证，以决定是否接收数据包。磁盘 I/O 隔离虚拟机所有的 I/O 操作都会由 Hypervisor 截获处理，Hypervisor 保证虚拟机只能访问分配给该虚拟机的物理磁盘，实现不同虚拟机硬盘的隔离。 7 数据安全数据存储安全用户数据隔离华为 Hypervisor（UVP）采用分离设备驱动模型实现 I/O 的虚拟化。该模型将设备驱动划分为前端驱动程序、后端驱动程序和原生驱动三个部分，其中前端驱动在 DomainU 中运行，而后端驱动和原生驱动则在 Domai

49、n0 中运行。前端驱动负责将 DomainU 的 I/O 请求传递到Domain0 中的后端驱动，后端驱动解析 I/O 请求并映射到物理设备，提交给相应的设备驱动程序控制硬件完成I/O操作。换言之，虚拟机所有的I/O 操作都会由VMM 截获处理；VMM 保证虚拟机只能访问分配给它的物理磁盘空间，从而实现不同虚拟机硬盘空间的安全隔离。数据访问控制卷存储：FusionCompute 系统对每个卷定义不同的访问策略，没有访问该卷权限的用户不能访问该卷，只有卷的真正使用者（或者有该卷访问权限的用户）才可以访问该卷，每个卷之间是互相隔离的。剩余信息保护系统进行资源回收时，支持对逻辑卷的物理 Bit 位重

50、新用 0 复写，保证数据的安全。数据中心的物理硬盘更换后，需要数据中心的系统管理员采用消磁或物理粉碎等措施保证数据彻底清除。数据备份华为桌面云解决方案的数据存储采用多重备份机制，每一份数据都可以有一个或者多个备份，即使存储载体（如硬盘）出现了故障，也不会引起数据的丢失，同时也不会影响系统的正常使用。系统对存储数据按位或字节的方式进行数据校验，并把数据校验信息均匀的分散到阵列的各个磁盘上；阵列的磁盘上既有数据，也有数据校验信息，但数据块和对应的校验信息存储于不同的磁盘上，当某个数据盘被损坏后，系统可以根据同一带区的其他数据块和对应的校验信息来重构损坏的数据。安全数传安全数传系统可对桌面云上的数据

51、进行云上云下隔离和管控。桌面云文件外出传输必需通过安全数传系统，并经过审批和文件安全扫描后才能传送到云下。云下数据上传到云上无需进行审批和安全扫描。安全数传系统可以用在如下场景：企业研发桌面云办公，软件开发在云上，软件调测在云下企业软件研发采用桌面云进行数据管控后，关键的信息资产，如产品规划、规格、成本文档、产品源代码、设计文档、算法文档在桌面云上。云下属于低密级的调测业务场景所在区域，只允许保留用于调测业务直接相关的信息资产，如产品版本包/组件、开发测试工具、指导类文档。在云上编译的版本包，操作指导文档需要从高密的云下传输到云下时，需通过安全数传系统，对传输的文件进行审批、安全扫描和审计，防

52、止信息泄露。企业/单位内、外网文件传输审计一些企业或单位因业务安全要求，建设独立的内网（高安全区）和外网（低等级安全区） 进行网络隔离，但因为业务需要，经过审批允许的内网数据文件可以传输到外网，同时需要对文件传输记录进行审计。图7-1 桌面云数传解决方案示意图数传系统主要功能如下：数据外传管控桌面云上文件外出传输必需通过安全数传系统，并经过主管审批和文件安全扫描后才能传输到云下；云下数据上传到云上无需进行审批和安全扫描；不满足安全策略的文件可以进行拦截，防止泄密。定制客户化的安全策略根据企业需求自定义信息资产分类；不同密级信息资产可配置不同的安全策略，文件类型黑白名单、告警和拦截策略、是否需要

53、主管审批策略。告警及日志审计，可跟踪对所有文件传输的信息、审批操作有完善日志记录；对违反安全策略的文件外传及时上报管理员告警；违规上传文件进行备份，方便审查。与企业用户管理认证系统结合数传用户管理和认证与桌面云的 AD 结合；目前数传系统不做商用特性销售，可以根据项目需求定向开源，用户或集成商可以在此基础上定制客户差异化安全策略。桌面水印桌面云支持通过管理员配置桌面显示水印功能，在桌面显示登录用户名称及时间，可配置固定位置水印和随机位置水印，以及调整水印的 RGB 颜色，可配置水印条数。防止用户使用摄像设备对虚拟桌面进行拍摄。 8 管理安全日志管理日志分类通过查看 FusionAccess 管

54、理系统 Portal 的日志可以了解系统的运行情况和操作记录，用于用户行为审计和问题定位。日志分为操作日志和运行日志，操作日志与系统安全相关。操作日志记录了用户对系统所做的操作以及操作的结果，用于跟踪和审计。记录操作日志，可以快速定位系统是否遭受恶意的操作和攻击。日志备份系统需要定期备份操作日志，并提供“定时周期性备份方式”备份操作日志；日志备份成功后，系统会自动删除已备份的日志。日志查看和检索在界面上日志查看时，采用 https 方式进行传输。日志查看时采取的安全措施如下：根据管理员的权限定义日志查看范围。超级管理员能查看所有日志；但普通管理员仅能查看自己的操作日志。任何人员不能在界面上修改

55、或删除日志。有查询权限的人才能导出日志。日志导出格式为“*.xls”。日志格式各系统针对操作日志提供多个字段，可详细记录外界用户在系统上执行的具体操作、用户信息、操作时间等信息，便于管理员根据操作日志识别有风险的操作或已导致问题的危险操作，并采取合理的防卫措施，以提高系统的安全性。帐户和密码安全系统帐户和默认密码硬件设备及系统存在初始默认的帐号和密码，主要是用于维护硬件设备及系统。这些默认密码都建议管理员首次登录就进行修改，且修改满足密码复杂度要求，同时建议管理员定期修改密码，确保密码不泄漏。密码加密和修改原则系统中各类帐户的密码加密、设置和修改原则如 HYPERLINK l _bookmar

56、k42 表 8-1 所示。表8-1 密码设置原则项目原则密码首次设置原则首次登录系统时，需要修改系统默认密码。密码修改方法请参见帐户密码维护。密码设置需满足密码策略表要求。密码加密原则所有密码加密存放。密码不以明文形式在界面显示。密码修改原则只有通过认证的用户，才能修改密码。修改密码时，必须通过旧密码校验。密码达到最长有效期后，用户再次登录时，系统强制用户更改密码。密码需要定期修改，对于管理员密码，建议最长 180 天修改一次。密码策略表修改原则系统安装时生成默认的密码策略表。密码策略表只有系统管理员有权修改。修改密码策略表后，根据原有密码策略表设置的密码能够正常登录。分权分域管理通过对管理员

57、区分权限，对被访问的数据区分权限，限制管理员访问系统的范围，保证系统的安全。分权“分权”：区分“操作权限”，它由“角色”进行控制。一个“角色”可拥有一个或多个不同的“操作权限”，一个“用户”可拥有一个或多个不同的“角色”。通过绑定 “用户”和“角色”，实现“用户”和“操作权限”的绑定。如果一个“用户”拥有多个“角色”，其拥有的“操作权限”是多个“角色”拥有的“操作权限”的并集。产品支持灵活的设置角色，并灵活赋予角色拥有的权限。分域区分“资源管理范围”，管理员只能管理属于自已域内的资源。针对一些大企业或单位，存在按部门或分支机构进行划分的二级维护管理员。一级管理员根据企业的组织结构划分管理区域，

58、创建虚拟机时可选择所属区域。二级管理员登录桌面管理系统，只能看到和管理自己区域的虚拟机。三员分立管理系统安装时，可以选择采用高安全模式，支持三员分立模式管理。系统内的管理员被分成系统管理员、安全管理员和安全审计员三类，系统内不存在可以执行所有操作，不受制约的账户。在三员分立场景下，系统管理员、安全管理员和安全审计员的权限设置应相互独立、相互制约。系统管理员负责系统日常的运维和管理，可以进行配置、业务管理、告警管理、日志管理等操作，但是不能进行权限管理等相关的操作。安全管理员负责账户相关的管理，可以执行权限管理（账户和角色）、分域管理和密码策略管理等操作，并且可配置关键操作需安全管理员审批才能生

59、效功能（比如：删除虚拟机、安全删除虚拟机、解分配虚拟机、恢复分配虚拟机等），但是不能进行业务操作。安全审计员负责监督审计前面两类管理员的操作，仅能进行日志的查看和导出。三员分立时，系统管理员、安全管理员和安全审计员不能由一个人同时承担。证书管理各组件间通信所用证书的管理为了保证桌面云各组件间通信的安全性，在桌面云各组件间（包括 WI、HDC、License、vAG、ITA）相互通信前，都要进行基于 SSL 的双向 https 证书认证并建立加密传输通道。 FusionAccess 开局时各组件安装好后，在各组件上都会默认自带一个证书，用于作为https 双向认证的客户端和服务端证书认证。如果客

60、户想替换各组件的双向认证所使用的证书， 可以采用客户自己的 CA，来签发同时具备“Client Authentication 和Server Authentication”证书，手动替换各组件自带的证书。也可以使用 FusionAccess 自带的证书更换工具，重新生成新的证书，实现证书的替换。统一运维与审计面对系统和网络安全性、IT 运维管理和 IT 内控外审的挑战，管理人员需要有效的技术手段，按照行业标准进行精确管理、事后追溯审计、实时监控和警报。可以为企业构建一个统一的 IT 核心资源运维管理与安全审计平台（堡垒主机），实现对桌面云业务系统、其他业务系统、操作系统、数据库、网络设备等各种