云终端系统的安全解决方案

2017-02-23 12:31梁雨
电子技术与软件工程 2016年24期

云终端作为一种新型的计算机机构和桌面应用系统已经被越来越多的企业所采用。本文分析了云终端与传统PC终端的一些特点,分析了云终端所面临的一些安全问题,并提出了相应的解决方法,对云终端在应用网络安全方面有一定的参考价值。

【关键词】云终端 安全 漏洞策略

云终端采用“集中终端,分布显示”的架构,通过虚拟化技术,将所有桌面终端机合为一体,在服务器端进行集中处理,桌面终端设备仅负责输入输出与界面显示,不参与任何终端和应用,具有高效、可靠,安全的特点。构建集中式云终端资源中心是集约化、一体化的信息系统建设需要,也是将来发展的必然趋势。云终端模式通过将数据统一存储在云终端服务器中,加强对核心数据的集中管控,比传统分布在大量终端上的数据更安全。由于数据的集中,使得安全运维、安全评估、安全审计等行为更加简单易行,云终端系统还具有较高的可用性,系统容错率,冗余及灾备恢复。但云终端在带来方便快捷的同时也带来一系列新的安全问题。

1 云终端的特点

在共享的工作模式下,所有的软件均安装、运行在服务器上,只是将运行的结果送往云终端显示,云终端只负责显示及输入,不运行软件。云终端机基本上无须维护和升级,一切软硬件升级和维护都只须在服务器端进行。

2 云终端跟传统终端的区别

2.1 传统PC终端

2.1.1 安全漏洞问题层出不穷

杀毒软件安装不同,各自独立,整体维护困难。极易造成一个点感染病毒,直至传染全网。系统违规外联,存在很大安全漏洞。

2.1.2 安全边界问题难以防护

桌面PC硬件绑定。终端分散,数据随便拷贝,U盘等丢失。硬盘损坏造成数据丢失。

2.1.3 数据泄密问题难以防范

重要数据无管控,极易出现泄密。离职员工、外来运维人员泄密以及一些无意识泄密、有意识泄密。

2.2 云终端

2.2.1 统一防护,有效降低漏洞风险

杀毒软件、安全防范统一、后台统一维护、外设严格管控、权限分明、病毒感染可快速隔离、快速虚拟机重新分配、可控制外联行为。

2.2.2 安全边界划分相对比较清晰,桌面与数据分离

桌面与操作系统、数据等硬件环境分离、终端分散但数据集中、系统统一运行维护运行硬件抗损坏性高、自备份、可恢复数据强。

2.2.3 防范数据泄密相对较强

重要数据均集中管理,有效减少外流及泄密。

3 云终端面临的一些安全隐患

包括应用配置不当,平台构建漏洞,可用性、完整性差,平台漏洞,软件漏洞,编程环境的漏洞,堆栈溢出的漏洞,Web服务器的承受能力不强,非法获取高权限,协议及部署缺陷,云数据中的非安全访问许可,数据安全问题,垃圾邮件与病毒,操作系统以及浏览器的安全漏洞以及人员管理以及制度管理的缺陷等等。

4 云终端的安全解决方案

相比于传统的数据中心,云端数据更注重安全的访问,数据安全核心密钥管理;云端存储的文件和数据的安全性及终端网络基础架构的安全。

4.1 划分安全域以及分别网络隔离

安全域是由一组具有同样安全保护需求、并且相互信任的系统所构建成的逻辑区域,在同一安全域中的系统配备有相同的安全策略,通过安全域的划分把一个大规模复杂系统的安全问题,化分为许多更小区域的安全问题,实现大规模复杂的信息系统安全保护的逐层防护。安全域划分以保障云终端业务安全出发,把网络系统划分为不同安全区域,并进行纵深防护。对于云终端平台的安全防护,要根据云平台安全防护技术实现架构,选择和部署相应的,合理有效的安全防护措施,恰当的策略,实现多层次、纵深一体的防御体系,有效保证云平台资源及服务的安全。同时还可根据网络所承载的数据种类及功能,进行单独组网。以实现网络划区域的隔离防护。

4.2 安全防护

云终端系统也具有传统IT系统的一些特点,针对这些传统的安全区域仍旧可以采用传统的安全措施和方法进行安全防护。

4.2.1 虚拟化安全

虛拟化安全涉及虚拟化组件及其管理的安全,包括虚拟化交换机、虚拟主机、虚拟化操作系统、虚拟存储及虚拟化安全管理等。

4.2.2 网络安全

网络安全主要涉及防火墙、异常流量检测和清洗、网络入侵检测、恶意代码防护、Web应用防护、VPN接入、安全审计等内容。

4.2.3 防火墙及边界防护

安全域需要隔离,并需要采取访问控制措施对安全域内外的通信进行有效管控。通常可采用的措施有VLAN、网络设备ACL、防火墙、IPS设备等。

5 结束语

目前没有一种技术能够完全彻底解决云终端安全问题,但可以通过技术组合、管理等方面的手段去优化从而降低问题产生概率。云终端系统作为一种新的办公系统已经逐步被企业所接受,必将改变信息化的构建和管理方式。

参考文献

[1]邓华国,王刚,鲍娌娜.云终端资源中心的桌面资源优化研究[J].中国新通信, 2015.

[2]何永远.桌面云终端系统在电力行业中的典型应用[J].电力信息通信技术,2014.

作者简介

梁雨(1990-),男,四川省乐山市人。大学本科学历。现供职于国网四川雅安电力(集团)股份有限公司。研究方向为信息系统运维检。

作者单位

国网四川雅安电力(集团)股份有限公司 四川省雅安市 625000