江鹏
解放军军事体育进修学院教育技术中心 广东 510500
近年来,随着信息化建设的不断深入和网络安全形势的不断发展,网络终端的安全问题日益严峻。传统的以组织边界和核心资产(服务器)为保护对象的安全防护体系逐渐显出严重的缺陷,无法有效解决网络终端安全管理中的诸多问题和安全隐患。如同家庭是社会的细胞,网络终端也是组成网络的基本单元,他们的安全与否对网络自身和信息系统的安全运行有着深远的影响。运用无盘技术构建一个有效的终端安全管理体系,不仅能有效保障终端的安全,而且还能提升网络整体的安全防御能力。
无盘技术的核心是网络终端本地没有安装硬盘,全部通过网络服务器来启动。无盘终端通过网卡启动后,自动从服务器下载操作系统文件到本地内存中,完成终端系统的启动。终端运行过程中的各种程序数据存储在终端的内存中或服务器的特定分配区域,终端重新启动后,终端系统将恢复到初始状态。目前,常用的无盘技术有以下两种。
虚拟磁盘(virtual hard disk,VHD)技术是一种集中式虚拟磁盘技术,主要是通过专用网络协议和驱动将远程服务器上的存储空间(硬盘)作为存储介质,使用串流技术来传送高性能、高弹性、可扩展性的虚拟磁盘到客户端。通过这种集中管理、分散运行算的架构,在客户端实现磁盘的及软件的安装、更新、备份、还原,同时客户端保留个人电脑使用习惯及充分发挥客户端的运算能力。网络客户端启动后通过网卡发送DHCP/find帧来发现和寻找DHCP服务器,DHCP服务器通过匹配网卡的MAC地址来确定是否给客户机分配IP地址。服务器给匹配MAC地址的客户机分配IP地址后,客户机和服务器就通过 ISCSI(internet small computer system interface)通讯,利用TCP/IP协议在客户机和服务器间传送存储命令和数据,完成客户机系统的启动和程序软件的运行。
采用高度集成化的软硬件一体化技术,在一块小型主板上集成了高速低功耗的嵌入式处理器,虽然机身小巧,但接口俱全,与传统计算机一样通过网线与网络相连。软件系统采用嵌入式的软件操作系统,目前主要是基于微软的Windows XP Embedded系统平台和Linux的系统平台。通过共享模式和预定的策略从服务器调用相关程序和软件,采用虚拟桌面协议(virtual desktop protocol,VDP)与云服务器进行通讯。每个云终端用不同的用户名和密码登录到云服务器后,云服务器会为不同的云终端用户开设独立的会话,每个云终端占用独立的内存空间,其运行程序的界面会通过VDP协议传送到云终端上,从而云终端之间能够独立运行而不互相干扰。云终端作为客户端设备,它的配置、存储、运行和管理等主要功能均由云服务器完成,云终端用户只需要通过网络把鼠标、键盘及其他外设操作信息传送到云服务器端,从云服务器端接收变化的应用程序界面,并在运终端的用户界面显示出来,这样就可以获得在本地运行应用程序一样的访问感受。
目前,基于虚拟磁盘的无盘技术和基于嵌入式云终端的无盘技术均有广泛的应用。其中虚拟磁盘技术应用较早,在20世纪90年代中期就开始使用,有大量成熟的产品和系统,我国的代表厂商有锐起、网众等,是目前无盘系统采用的主流技术,它不仅发挥了服务器的集中管控功能,还有效的发挥了终端的运算能力。而且,由于网络设备和线路成本的下降(例如千兆网络的普及),使得采用虚拟磁盘的无盘终端启动速度和数据读写速度都得到大幅提高,已经达到了使用本地硬盘读写数据的水平。
基于嵌入式云终端的无盘技术是近两年出现的新技术,也吸引了不少厂商研究开发相关产品和系统,我国主要有清华同方、联想等。由于采用嵌入式的低功耗处理器,系统比较稳定,但终端数据处理能力较弱,仅能运行部分软件和程序。终端还具有功耗低的优势,云终端由于使用嵌入式一体化的设计,其平均功耗为10瓦左右,仅为普通终端的4%左右,比传统终端大大节省电费,符合环保节能低碳的要求。
因此,应该可以根据不同的应用范围选择不同的无盘技术系统,对于终端个人应用较多,程序软件读写数据量大的客户使用基于虚拟磁盘的无盘技术,提高无盘的运行效率和速度;对于公共服务,例如查询终端、证券终端、简单的办公终端可以使用基于嵌入式云终端的无盘技术,达到节能、稳定、免维护的效果。
根据网络终端安全管理的实际需求,采用无盘技术可构建如图1所示的无盘网络安全体系结构,达到内网安全管理的需要。
图1 系统框架图
无盘网络安全系统结构主要由防火墙、交换机、无盘系统服务器、无盘存储服务器和无盘终端等设备组成。各部分实现的主要功能如下。
无盘系统服务器根据地址分配策略给无盘终端分配 IP地址、子网掩码、网关、DNS地址等网络地址。根据不用客户机的需要可以加载不同的操作系统和应用工具虚拟磁盘。而且,还可以根据不同业务部门(使用者)需求,为使用同一系统镜像磁盘的无盘终端设置两种不同系统读写操作权限,分别是无盘终端的操作系统和工具软件的个性化读写权限模式和操作系统和工具软件的只读权限模式。操作系统和工具软件的个性化读写权限模式在安全等级较低的个人应用中使用,使用者完全感觉不到无盘终端使用的是虚拟磁盘,可以对系统参数进行设置和修改,可以自主安装和卸载工具软件。操作系统和工具软件的只读权限模式在安全等级较高的组织(企业)应用中使用,用户只能通过预制的操作系统功能和工具软件进行无盘终端的使用,无法进行超越预制策略的任何操作,实现了无盘终端从操作系统、工具软件、网上行为的精确管控。
无盘存储服务器配置高性能的处理器和内存,并根据需要采用稳定性强,读写效率高的RAID存储阵列,为无盘终端提供存储空间,为每个无盘终端用户建立个人网络硬盘。在任何一台无盘终端上,用户输入个人网络硬盘账号和密码,就可以将服务器上的个人数据下载到本地,由于采用的是高速的局域网连接,数据的下载和上传速度和在本地使用无明显差异。而且,保证多人分时使用无盘终端的个人数据的安全性,同时还方便在组织内部进行数据的共享和发布。
交换机主要完成二层网络数据的高速交换工作,为了提高整个内网的安全性,确保接入网络终端的可信度,可以实行交换机端口、终端网卡MAC地址和IP地址的绑定,防止未授权的非法终端连入内网,确保无盘网络的安全稳定。目前,网络交换机的速率得到了大幅提升,从原来的 10M 到100M,现在已经普及到千兆到桌面,主干已经实现了万兆互连,网络设备成本也在不断下降,从这个角度上看,网络传输速度的大幅提高为无盘终端的使用提供了良好的通信传输支撑平台,同时也降低了无盘网络系统实施的网络基础平台门槛。
防火墙主要起到边界防护的作用,通过制定安全规则,过滤内网和外网的IP数据包和服务,防止出现不安全的数据包和内外连接。有些防火墙还自带portal页面认证功能,无盘终端在内网访问和处理数据时,防火墙切断内网和外网的数据通信;无盘终端需要访问外网时,则通过防火墙自动弹出Portal页面,实施用户名和密码的认证,可进一步规范访内网终端用户访问外网数据资源的行为,实现更加严格网上行为管控。
采用无盘技术,网络终端本地不存储任何数据,终端的数据安全得到了有效的防护。无盘技术在加强了个人数据的安全保密性方面可以做到每个用户的数据资料都相对独立,对于保密性要求较高的文档,还可以避免通过硬盘、U盘等存储介质拷贝复制,只有在权限允许的情况下才可以进行上述操作,并且由于计算机没有硬盘,我们可以从物理防护方面大大降低对各个终端的防护要求,例如机箱可以不必加锁,档案中不必记录每台计算机硬盘的序列号。对于病毒,由于所有终端不安装硬盘,将大幅度降低感染病毒的概率。即使网络中的某一终端感染了病毒,也只需要在无盘服务器上杀毒,不用逐台处理各个计算机终端。无盘技术的体系结构不但可以使由于误操作或病毒造成的对网络系统的损害降到最低,最大限度地保护服务器中的系统盘不受人为破坏和病毒侵扰,而且可以保证各种软件在多人同时应用情况下的正常和稳定运行,结合交换机IP+MAC的双向绑定,还能有效解决终端准入的问题。
以无盘技术为基础实施内网终端管理对比传统的内网终端管理,将给管理者、使用者和维护人员的工作带来不少优势,具体阐述如下。
对于管理者来说,网络终端的管理难点和重点在于终端使用过程中能否严格落实相关的网络终端管理制度和操作规程,保护业务系统的数据安全,减少软硬件的建设和维护费用,无盘技术能较好的解决以上问题。
无盘网络终端是通过无盘系统服务器获取系统镜像,所有终端根据管理制度和操作规程的要求获取定制的操作系统和工具软件,用户无法进行非法的系统设置和软件安装,达到落实管理制度和操作规程的目的。
无盘网络终端的数据存储在无盘存储服务器上,大大高于本地硬盘的存储使用率和安全性。据相关研究统计表明:目前,传统网络终端的本地硬盘的平均利用率仅为31%,大量的储存空间被浪费,造成了的资产的闲置。采用无盘存储服务器不仅大大提高了存储数据的安全稳定性和提高了粗存储设备的利用率。例如可以根据应用的需要设置无盘终端的共享盘。无盘网络终端启动后,出现三个独立的虚拟磁盘:个人盘、工作盘和共享盘。个人盘为个人文件的存储区域,工作盘为工作文件的存储区域,共享盘为整个内网的共享区域,实现了存储数据的分权分级管理,从而实现业务数据高效安全的应用。
在网络系统建设维护费用方面,无盘网络终端系统可以在一定程度上节省软件和硬件的建设和维护成本,无盘网络终端没有硬盘,首先节省了硬盘的购置和更换费用;其次,无盘网络终端通过无盘系统服务器下载操作系统和工具软件镜像,节省了操作系统和工具软件的购买数量;再次,对于软件系统的升级(例如杀毒软件、操作系统),只需要对无盘系统服务器进行升级就完成了整个内网终端的软件系统生级,从而提高了网络的利用率。
无盘网络终端和传统网络终端的不同之处在于存储设备位置的不同,传统网络终端使用本地硬盘,采用目前主流的2代SATA接口,读写速率在300M/S左右;无盘网络终端通过千兆网络连接无盘系统服务器和无盘存储服务器,读写速率在300M/S至400M/S之间;对使用者来说,无盘网络终端的启动速度和运行速度远超一般的传统终端。
无盘网络终端本地不存储任何数据,不会像传统网络终端因为硬盘的故障而造成数据的丢失,给使用者带来损失。
无盘网络终端自带系统还原功能,一是不会因为系统运行时间长而出现垃圾文件,影响网络终端的运行速度;二是可以避免使用者的误操作,防止因为使用者的误操作导致无盘网络终端无法使用或系统软件设置出现问题;三是病毒也无法通过某一台无盘网络终端向其他网络终端发起攻击;四是灵活的系统还原功能可以让无盘网络终端始终运行于最佳状态。
无盘网络终端的维护只需要对无盘系统服务器的虚拟镜像进行维护和管理,将传统网络终端的多点维护、一对一的维护方式转变为单点维护,批量配置更新,大大减轻了维护人员的工作量。而且,还可以根据管理维护的需求针对同一系统镜像,设置不同的文件和系统管理策略,实现用户的个性化需求。
随着信息化程度的不断提高对内网终端的安全管理提出了更高的要求,无盘技术可为内网终端的安全管理提供一个有效的解决方案,实现内网终端有效的安全管控。采用无盘技术构建的网络终端管理系统由于具有安全稳定,易于维护、节约节能等优点,必将成为内网安全管理技术应用的一种新趋势,使内网的安全保密和高效运维达到一个新的台阶。
[1]郑宇.一种基于PXE技术的计算机病毒防护方法.计算机与现代化.2009.
[2]黄冠利.动态分布式无盘网络数据安全解决方案设计与改进[C].2009国际信息技术与应用论坛.2009.