fusioncloud桌面云v100r005c20安全描述非经本书面许可任何单位和个人不得擅自摘抄复制本内容部分或全

和其他商标均为技术的商标您的产品、服务或特性等应受公司商业合同和条款的约束，本文档中描述的全部或部分产品、服务或特性可能不在您的或使用范围之内。除非合同另有约定，公司对本文档内容不做任何明示或默示的声技术 市龙岗区坂田总部办公楼：518129本文档介绍了解决方案提供的安全能力和，用于帮助用户了解解决方案的安全能力，以帮助用户更有效的进行设备的日常维 避免，会导致人员或严重。果不能避免，可能导致人员轻微或中等。

前 安全概 安全与价 云平台安 数据安 虚拟机.................................................................................................................................................................. 网络安 接入与管理安 帐号管 Linux终端安 XPe终端安 VNC接入认 主机安 Web安 防........................................................................................................................................................................A术 安全与价云计算的安除了应对传统数据中心的安全，云计算还新的安全与 –更容易网络计算资源。云计算资源的分布式部署使路由、配置更加复杂，更容易网络，比如DNS和DDoS。对于，DDoS不仅来自外部网–模型变化形成安逻辑代替物理，使企业网原有的产生安全。企业网络通常采用物理等高安全保证不同安全级别的组织或部门的，但云计算采用逻辑的不同企业，以及企业内部不同的组织与部门。 基础设施安全（主机层次Hypervisor为虚拟化的，可以捕获CPU指令，为指令 、弱或者无的帐号用、没有主机保护的系统 基础设施安全（应用层次l静态数据可以加密保存，如简单对象业务，用户通过客户端加密数据，然密钥并对数据进行。这种提高了密钥的私密性、安全性，但限制了云对数据的处理，在某些场景下，如计算业务，云端没有数据密钥则无数据证数据不但包含数据本身，还包含数据所依赖的环境；不同的环境下，数据布式处理在不断的变化，这对数据证明提出了更大的。说明 l 根据云计算领域的与，提供对应的安全解决方案，如图1-1所示 数据安从用户数据、控制数据、保护剩余信息、数据的可靠性等方面保实现同一物理机上不同虚拟机之间的资源，避免虚拟机之间的数据窃取机时，仅能属于自己的虚拟机的资源（如硬件、软件和数据），不能其他虚拟机的资源，保证虚拟机安全。 系统管理员和用户接入进行认证，对通过AD域、、USBKey、VNC等认证全补丁和防软件等保证各物理主机的安全。详细的描述信息请参见主机安全。数据安数据安现不同虚拟机硬盘空间的安全。该模型将设备驱动划分为以下三部分：

每个卷之间是互相的。

l删除VM或删除数据卷，系统会进行资源回收，小数据块链表将被释放，进入资源 l数据中心的物理硬盘更换后，需要数据中心的系统管理员采用消磁或物理等措 的资源，保证虚拟机安全。虚拟机如图2-1所示。内存网内存网 VCPU内存网卡DistributionModuleVirtualVCPU调度安优先级从高到低依次为Ring0（用于运行操作系统内核）、Ring1（用于操作系统服务）、Ring2（用于操作系统服务）、Ring3（用于应用程序），各个级别对可以运行作系统运行在Ring1上，有效地防止了虚拟机GuestOS直接执行所有指令；应用程序运行在Ring3上，保证了操作系统与应用程序之间的。内存说明 Hypervisor提供VRF（RoutingandForwarding）功能，每个客户虚拟机都有一个或数据包，先到达0，由0来实现数据过滤和完整性检查，并插入和删除规则；经过认证后携带证，由0转发给目的虚拟机；目的虚拟机检查证，

给该虚拟机的物理磁盘，实现不同虚拟机硬盘的。网络安DHCP

支持对虚拟机的DHCP。如果用户在某台虚拟机中安装DHCP软件，开启端口组的DHCP

收到的DHCPACK消息，将DHCPServer分配的IP记录下来，保存到IP和MAC绑定表，该IP和MAC绑定表与虚端口关联。IP和MAC绑定的能力由iNIC（In InterfaceCard）或EVS（ElasticVirtualSwitch）提供。平面解决方案的网络通信平面划分为业务平面、平面和管理平础平台管理。解决方案平面如图2-2所示。图2-2平面示意

计算节点、管理节 节 。在解决方案中，存在部分功能、特性要求管理平面和业务平面之 高安全措施。 通、策略，保证基本安全。解决方案划分的安全域如下： 数据在传输过程中可能遇到被中断、、篡改、、和监视等，需要保证 虚拟机，采用HTTPS方式，传输通道采用SSL加密 解决方案支持分权分域管理。通过资源分域和用户分域，使得用l分权：区分“操作权限”，它由“角色”进行控制。一个“角色”可拥有一个或多l解决方案支持分支机构部署场景，在分支机构场景下，总部管理藏数据的安全隐患。帐号管说明通过BMC管理网口服务器，能够控制所有资源，：E6000MM620模块默认用户，通过管理模块IP：：：：： （普通模式：!户l用户名：ll用户名：ll：l通过PXE批量安l通过挂载ISO手： -：l输入三次错误密（业务帐户：输入三次错误密-户：输入三次错误密输入三次错误密：输入三次错误密：输入三次错误密：输入三次错误密-：：-- pute为V100R003C10及以下版本时，默认为“Pwd8800_magic$” ：：：： ：： ：：携带，否则存在泄漏风险。建议使用psql的交录后使用su-postgres命令切换。ladmin帐户是VSAM默认的超级管理员帐户，拥lgmsysman帐户是VSAM和FusionManager之间的lgesysman帐户是VSAM内部升级工具使用的通lhchksysman帐户是VSAM和FusionCare之间的通l：：：l：：eManager节：eManager节： ：：高安全模式（三权分立安装模式）下，ITAPortal系统：高安全模式（三权分立安装模式）下，ITAPortal的安全管理员帐号。该帐号用于ITAPortal上帐号权限的处：高安全模式（三权分立安装模式）下，ITAPortal的审计管理员帐号。该帐号用于查看ITAPortal上所有用户sLinux基础： ：：：：：：：使用原弱加密带来的安全隐患，建议管理员推动“FusionAccess系统”用户更新密码，新生成采用了安全加密算法，可以更好的保证系统的安全性。对： ：： ：： ： ： ： ：： 3-7Linux表3-8设置原llll则l l pute策是l是：必须包含特l否：可以包含也是是是5取值范围为是是是是5是7l否：表示不能包是否是3。。 表3-10FusionManager策是8是l是：必须包含特l否：可以包含也是是是否是5是是是是51整数（0是7是5是5。是是8是l是：必须包含特l否：可以包含也是是是否是5是是是是51整数（0是7是5是5。是志，可以快速是否的操作和。解决方案记 管理员在FusionManager 管理员在FusionAccessl l对于解决方案系统输出的日志，在本地数据库中。各日志存表3-12日志数据 日志导出格式为*.csvLinux BIOS OS TC对内置的进行了硬件级别的加密，加密算法与硬件的唯一信息绑定，如果将TC的内置放在其他任何一台机器上（包括其他的PC、TC），都无法引导，也无法访问该内置的信息。这种设计能够有效的防止TC的数据被篡改，保证TC本地系统的BIOS

BIOS仅从内置引 BIOS仅从加密引TC的BIOS运行时，会尝试根据硬件的唯一信息对进行，然后引导。如果该不支持加密、或者没有加密、或者加密的信息非本台TC硬件的唯一信息，TC的BIOS都不能对该TC进行引导。这实现了内置与TC的双向唯一绑定，保证TC不会引导其他第的系统，第也无法TC内置的内容。从硬件级OS

TC的Linux操作系统从驱动层USB设备的使用，不包含任何USB的驱动。包括U盘、USB光驱等在内的USB设备都无法在TC本地使用。 Linux操作系统的TC在本地不提供安装软件的接口，用户或者其他第人员，无 为防止，Linux操作系统的TC在本地只开放两个必须的端口及， 从的途径看，主要为通过类设备和通过网络。对于Linux操作系统的TC没有所需要的途径及运行环境，完全阻断了方式，了TC本地完全 了

类外设的使用，也了未软件的安装，无 两个端口，同时任何文件到TC本地，无法 在，重新启动TC之后，即会。 XPe统。升腾XPe（WindowsXPEmbedded）终端采用微软XPe为主系统，提供多种安全机 升腾XPe系统默认集成了EWF（EnhancedWriteFilter）。EWF为一种保护卷以防止写入说明

了系统的，进一步保证了系统的安全性，降低受侵入的途径。集成到系统中的组件越多，其组件含有的的性越大。XPe系统将WindowsXP操作系统13000个组件，升腾XPe系统仅选取了其中1/10的组件；如WindowsMessageQueuing、Netmeeting、WindowsMovieMaker、IIS、Speech等组件，以及日常无需使用

升腾XPe终端采用了驱动层控制设备，根源上保证系统安全。在USB设备的使用上，升腾XPe终端可以通过配置，严格限制系统可使用的USB设备类型，限制和 采用HTTPS 管理员认用户名和的方式进行校验，管理员以密文形式在数据库中。在登录过程中，TCM进行鉴定方式如下： 系统在设置管理员时，要求管理员的符合以下复杂度校验要求： 登录失败锁定IP ，就是将一串随机产生的数字或符号，生成一幅，同时在中加上干扰象素，防止从图像中识别文字，用户只能通过肉眼识别其中的信息。通过这种方式，可以有效自动程序的。在管理员登录TCM过程中，涉及管理员帐号和等密钥信息的传递，采用传统HTTP的GET和POST方法在传递帐号信息时，容易导致帐号和泄密。因此，在管理员登入帐号和才能进入终端管理系统。通信主体校 务器则可以通过该唯一标识来验证客户机的。 客户端（Agent） LinuxLinuxTC用户默认不能卸载或停止客户端（Agent） Windows

l是，4l FusionManager 用户通过AD 域和双因素认证：是将域帐号、认证与认证技术结合，仅当用户通过域帐号、认证、以及认证的双重认证后，才允许用户桌面云。通过域和的双因素认证方式，提高用户接入桌面的安全性。 USBKey构成了两个必要因素（双因子认证）。用户只有同时取得USBKey和PIN码，才能登录系统。即使用户PIN码泄漏，只要用户持有的USBKey不，合法用户的身份就不会被仿冒。如果用户USBKey遗失，拾到者因不知道用户PIN码，也无法仿 timePassword）；用户获取动态口令后，需配合域用户名、 外设接入认证的详细内容请参见 VNC VNCViewer：客户端的应用程序，用于接入运行VNCServer的计算机 部署在UVP（UnifiedVirtualizationtform）上。为保证VNC接入的安全，必须在 VNC接入采

说明l通过单点登录首次进入 击“继续浏览此(不推荐)”界面。 在解决方案中，UHM和FusionAccess的管理系统已经集成到 SSO 防Web 自动将客户请求转换成 时，Web能自动将用户的方式转向为HTTPS，以增强Web服 跨站点是指者利用不安全的作为平台，对本的用户进。 防止SQL 服务器执行 跨站请求是指一个已登录的被者装载一个包含请求的页面，该请求利用浏览器自动发送鉴别凭证的功能，继承了被者的和，执行一个对者有益的操作，如更改被者的口令、地址等个人信息。 防止URL Web帐号和安全，请参见加密和修改原则说明Windows2008

解决方案下，FusionAccess的大部分组件均部署在Windows4-1Windows2008 l-解决方案提供SetWin工具和执行，代替手工执行安全加固配SUSELinux

lll ll管理用户l 在解决方案中，包含的数据库类型如下 GaussDB MySQL GaussDB MySQL MySQL

软件因自身设计缺陷而存在很多，需要定期为系统安装安全补丁以修补这些，以防止、蠕虫和利用操作系统对系统进行。解ll解决方案提供的虚拟桌面应用，包含ITA、Loggetter等组件，这些组件安装在操作系统为Windows2008R2的服务器上。在部署这些服务器作系统为Windows2008R2的服务器安装的安全补丁。 解决方案没有针对用户虚拟机提供额外的安全补丁机制。请防在各节点或虚拟机上部署防软件，防止解决方案各组图4-1防软件部署示意C…计算集 集 管理集 支持在WindowsServer虚拟机上部署趋势的防 。说明 件。支持统一部署防服务器，为用户虚拟机提供防软件功能，通过设置定期任务，定期查杀，防止用户虚拟机 为保证用户虚拟机使用安全，建议用户安装防B Management本地在各物理节点的，本节点上各进程的数据本地日志本地的日志，搜集本节点上的日志信息C 参见集群节点(ClusterMonitor 参见计算节点(ComputingNode操作OM表示人员对系统进行的操作与 节 服务器区域网 一种专门用来为企业或通信公司网络提供和管理器与后备的网络D 参见0( 0 一个修改过的Linuxkernel，是唯一运行在XenHypervisor之上的虚拟机。他拥有U UPVGuests”，其上运行着被修改过内核的操作系统，如Linux、Solaris、 参见U(弹性计 一种按需分配计算资源的云计算服务 了从RAID0到6七种基本的RAID级别。另外，还有一些基本RAID级别的组合形式如RAID10（RAID0与RAID1的组合），RAID50（RAID0与RAID5的组E F G 参见图形处理器（GraphicProcessing告警级 告警级别用于标识故障对业务的影响程度管理模 服务器的管理模块H Desktop Desktop 服务器的硬件资源。XenHypervisor是一个介于硬件和操作系统之间的软件层，境。XenHypervisor不会处理网络、设备、以及其他I/O。 桌面协 用于控制用户虚拟机的桌面协议I 输入/输出 网络服务提供商(InternetService 机镜像管理、虚拟机分配管理、系统运行管理等操作。协议为SOAP。JJava运行环 简单网络管理协议TCP/IP协议簇中的网络管理协议。可使某网元的管理信息由逻辑上的用户察的功能集。在简单网络管理协议SNMP中，软硬件均能监视网上多种设备的构（称为管理信息结构块）来。简单文件传输协议TCP/IPFTP协议的一种无需用户名和的版本。网络传输协议，在传输协议时不用提供用户名和，主要用在自动的过程中。基本输入/输出系统存于计算机主板上的一种固件。包括基本输入输出控制程序、上电自检程序、系接入网 一种提供用户网络接口的网关类型计费网 云系统与外部计费中心的网关设备集群节 集群级别的管理器 需求动态地分配物理空间，实现对资源的有效利用。 精简LUN是在精简池中创建的逻辑单元，是主机可的逻辑硬盘。计算节点部署在物理服务器上，用于管理本机上的虚拟机以及对应虚拟卷的挂接。 K客户操作系 100Mbit/s的速率传输数据，符合IEEE802.3u标准。LLAN承载串行是一种遵循IPMIV2.0标准的端口，用来控制LAN链数据的串行传输。SOL 参见本地日志(LocalLog 参见本地(LocalMonitor 克隆虚拟机指的是克隆出的虚拟机共用系统卷（母卷），可以节约磁盘空间，更新软件或者还 其实代表着LUNDevice。当一组物理硬盘使用RAID等技术组成一组时，可以将M 参见接入控制(MediaAccess 判断输入的信息并是否发生传输错误，如果没有错误，则去掉控制至N 网络处理器(Network O 参见操作(OperationandPPV 半虚拟化驱动程序(paravirtualized Q千兆以太 是指采用IEEE802.3标准，可提供1Gigabit的数据传输速率的传输技术R

日 一种记录系统日常运行过程中发生的系统的文件，系统包括运行信息日志节 日志服务器，记录系统运行日志软客户 S 同步动态随机存取器(SynchronousDynamicRandomAccess 设备序列 用来唯一标识一套设备设施操作系 T 统一虚