基于桌面云的企业数据安全保护设计与实践

张 波

(1.北京全路通信信号研究设计院集团有限公司，北京 100070；2.北京市高速铁路运行控制系统工程技术研究中心，北京 100070)

1 现状与问题

信息技术的快速发展，让当今的技术传递和交流更加自由和高效。但在方便的同时，也带来了信息快速泄密的风险。传统的书面技术文档、图纸通过人工方式管理，利用面对面的方式进行借阅，易于得到控制。即便泄密，也仅仅是局部，短期内很难拿走技术的全部，当然也带来共享的难度，不利于技术的进步。利用服务器、集中存储等技术，信息得到有效的集中和高效的共享，但是当发生泄密时，数据丢失也显得更为容易。利用计算机和网络技术，数千页的设计文档、上万行的代码可以在几秒内被拷贝走；一个企业几十年积累的数据可以非常方便的装入一块硬盘并被带走。2018 年FaceBook 的3 000 万用户账户信息泄露、圆通公司10 亿用户数据被售出、顺丰3 亿条用户信息被外泄[1]。这些电子文件包含的信息量如果转换成纸介质，其数量是难以想象的。

传统的桌面办公分散并且数量众多，技术文档、核心代码从产生之初，就被技术人员通过桌面计算机接触并掌握。为方便工作，部分员工将核心资料放在本地计算机上，这使得任何一台计算机都可能是泄密点。由于员工信息安全保密意识相对薄弱，加上可能因为中病毒或木马，出现信息泄密情况；或者是因为误操作，将信息传递给非受信的人员，导致信息泄密。

因此，在无法拒绝数据大集中的趋势下，解决传统桌面计算机的安全问题，变革传统的桌面计算机管理技术架构是关键。加强桌面计算机这一信息产生源头的防护，做到从源头将数据进行有效保护，降低信息泄密可能性，有效保护企业资产尤为重要。

2 加强桌面防护的关键点

对于一个技术型企业来说，数据就是企业发展的基石，知识产权就是企业竞争的生命。分析信息的全生命周期不难发现：信息的产生，主要集中在员工日常办公的桌面计算机；信息的传递，主要通过网络或移动进行；信息的保存，主要利用服务器及存储设备支持。

对于集中存储部分，通常只有一定数量的设备，可以重点进行防护和监管，通过访问隔离等手段，保证信息安全。网络传输部分，可以通过协议加密等方式，降低被窃取的风险。但是桌面计算机部分，涉及众多员工，防范的面积大，其难度可想而知。而这些桌面计算机，担负着日常信息的处理，本地硬盘存放了大量数据。如果某个员工的安全意识不强，就可能因为个人原因出现信息被窃取的情况。虽然可以开展操作系统打补丁、安装防病毒软件等防范工作，并且加强员工信息安全教育，但难免出现疏漏。因此，加强桌面计算机防护是信息安全的防护源头。

防护桌面计算机，主要从信息的保存地点和信息的传输通道两个方面考虑。如果信息存放在本地，则要考虑本地保护，避免通过硬盘接口直接读取，例如在笔记本丢失的情况下；如果信息不在本地存储，则桌面计算机如笔记本丢失时，硬盘上没有涉及信息安全的内容。当日常操作时，涉及信息安全的内容可能被传递到本地，是否可以通过网络、USB 等接口传递到其他设备上。

表1 桌面计算机防护点组合风险评估Tab.1 Portfolio risk assessment of desktop computer protection point

针对上述内容，通常的桌面计算机防护主要关注如下几点。

1）移动办公要求。

2）数据本地存储要求。

3）接口开放要求，是否允许支持网络及USB等接口传递数据。

通过表1 不难发现，开放接口的风险最大，在没有监管的情况下，很容易将数据转移到其他地方。而桌面计算机众多的情况下，监管是相对比较困难的事情。数据本地存储也是一个风险源，特别是在移动办公下风险比较大。

现实工作中，移动办公的场景非常普遍。在该条件下，加强数据存储管理及接口的监管，才能有效地保护企业信息资产。利用桌面云技术，强化数据集中存储，加强网络通信控制，支持在移动办公下终端与信息的分离，同时加强相关接口控制，能有效地满足企业需求[2]。

3 基于桌面云的解决方案

以某一轨道交通领域技术型公司（简称“公司”）为例，因为实际工作的需要，该公司的技术人员会接触设计文档、程序代码等企业核心机密。此前采用传统桌面管理模式，技术人员的笔记本电脑中保存了相当一部分核心技术资料。加上技术人员要参与现场调试和问题分析诊断工作，存在异地办公的情况，增大了企业数据泄露风险。因此，需要通过一定的技术手段，在保证信息安全的前提下，满足技术人员移动办公的实际需要，尽可能支持员工易用性的要求。

通过综合比较，公司选用Fusion Cloud 桌面云解决方案。该解决方案是基于华为云平台的一种虚拟桌面应用，通过在云平台上部署华为桌面云软件，使终端用户通过瘦客户端或者其他任何与网络相连的设备来访问跨平台的应用程序，以及整个客户桌面。系统的整体结构如图1 所示。

图1 系统整体结构图Fig.1 System structure diagram

Fusion Cloud 桌面云解决方案具有安全可靠、卓越体验及敏捷高效等特点，华为公司自身研发体系近8 万用户也正使用该桌面云，这让用户使用该系统的信心倍增。在桌面终端高安全性方面，主要体现在两个方面。

1）终端安全

采用瘦客户端(TC)接入认证，防止非法接入，并能够管理USB、串口、并口等接口。允许禁止使用某些端口，从而对接口进行有效控制。瘦客户端采用无硬盘设计，本地计算机不保存数据，数据集中在数据中心保存，防止本地数据泄露。如果采用其他终端接入如笔记本电脑，终端也不保存数据，并能进行接口控制。

2）用户接入安全

支持指纹登录认证，以及USB Key 登录认证、动态口令登录认证等。支持TC 与用户账号绑定。此用户只能在固定地点登录虚拟桌面。

Fusion Cloud 桌面云解决方案相关部件获得中国信息安全测评中心EAL 3+认证、公安部销售许可证。此外，该系统在传输安全使用Portal over HTTPS，用户通过portal 界面的访问传输通道都是加密的。支持ICA over SSL，管理信任域与非信任域之间的数据通过SSL 加密传输；在网络安全方面，支持内外网完全物理隔离，确保内网的绝对安全。SSL-VPN 保证远程接入安全，保证出差员工安全访问本企业的数据和应用云平台安全。此外，云平台进行了系统加固和防护，对集中存储的数据进行加密，提供数据无痕处理，虚拟机回收后，磁盘信息彻底删除，防止被恶意用户利用数据恢复软件读出磁盘数据，导致前用户数据泄漏。同时，提供管理安全和智能审计功能。

4 桌面云在企业中的实施

公司编制信息化规划，针对信息安全形成专项规划，如图2 所示，对信息的保密性、完整性、可用性提出要求，按照I S O27001 构建信息安全管理体系[3]，实现“进不来、拿不到、看不见”的分层次目标，明确“以研发为试点建立桌面云，数据集中管理，取消本地存储，保护核心代码及文档”。

图2 信息安全规划Fig.2 Information security planning

按照规划，公司于2013 年下半年试点实施桌面云系统，部署了350 个用户。考虑用户实际需要，为每个用户虚拟终端设计规格为4 颗虚拟CPU，4 G内存，提供100 G 系统盘和500 G 用户盘，其中系统盘采用固态硬盘（Solid State Drive），以提升系统响应速度。按照上述规模，桌面云平台采用E6000一体化机箱，配置10 台BH622 刀片计算机。10 台刀片计算机采用9+1 模式，9 台用于支撑业务，1 台为热冗余。每台刀片计算机配两颗Xeon E5-2640 CPU，配13 条16 G DDR3 内存。2014 年末，随着公司进入轨道交通产业园区，系统进行了扩容，新增1 500 用户，形成以事务处理为主的普通办公桌面云和以系统研发为主的核心安全桌面云。2016 年总用户数进一步扩容到2 400，同时针对三维建模等增加图形处理器（GPU）资源池。

在终端层面，为每个纳入桌面云统一管理的用户分配访问账户，提供一个或多个虚拟桌面。考虑到既有计算机资产未到报废年限问题，采用既有计算机安装访问软件和新增瘦客户端并存模式。用户可以通过既有计算机安装的插件访问桌面云统一入口地址，或者通过瘦客户端内嵌软件直接访问桌面云地址、输入相应的账户后，就可以访问到桌面云上的个人虚拟桌面。每个用户的虚拟桌面限制访问互联网，能访问桌面云范围内的资源和企业特定的服务如OA 等。同时，通过桌面云的控制策略，普通用户终端的USB 接口进行限定，只允许连接键盘、鼠标、打印机等非存储设备；项目经理和特定人员可以连接只读型存储设备；极少数人员可以通过安全可信的USB 设备进行数据读写。对核心安全桌面终端采用物理隔离、禁用USB 端口等策略，避免资料外泄。部分人员可以访问USB 接口，但是设备输出的文件自动进行加密并且系统自动进行日志记录以便审计。为了进一步从源头控制，2017 年调整安全管理策略，所有从核心安全桌面云拷贝资料，必须经过审批后才能拷贝。

为保证信息安全，原有的用于存放文档、代码的版本管理服务器、文件交换服务器等，统一搬迁至企业机房管理，并且通过三层交换上的访问控制列表，限定只允许桌面云上的虚拟终端访问。

通过桌面云的实施，用户访问的所有资源都在桌面云系统所限定的安全范围内，数据不在本地，数据的存储和计算都在服务器端进行，用户访问到的只是在服务器处理结果的界面展现，不用担心客户端窃取资料。即便是移动办公的人员，可以通过各种终端在接入企业VPN 后访问桌面云进行工作处理，相关的信息也是处于安全区域内，不会泄密。其次，由于限制了互联网访问和终端接口信息输出，仅能访问技术研发所需要的内部服务器，既保证了工作的方便性、易用性，又避免了数据外泄。所有的核心资料限定在一个安全的可控区域内，用户无法主动或者被动将核心资料传递出去。特定用户的终端接口数据传输有日志记录，后续可以进行IT 审计。非桌面云范围内的终端无法访问上述资源，达到信息保密的目标。此外，由于桌面终端服务的集中化管理，IT 部门可以及时根据安全挑战制作出新规则，这些新规则可以快速作用于每个桌面。因此，企业的信息安全程度得到极大提升，核心数据处于受控状态。

同时，用户使用桌面云，减少了对终端PC 或笔记本的需求，增大服务器资源的复用共享，IT 维护人员不再面对形形色色的终端问题，将重心转移到服务器端的维护。这样降低了企业的终端硬件购置成本和维护成本[4]。

5 后续业务提升方向

桌面云已实施多年，增强了企业核心信息的安全防护程度，有效的保护企业数据，对信息安全发挥了重要作用。但随着桌面云在公司的持续使用和应用范围不断扩大，不断有新的需求提出和问题暴露，例如访问桌面云的用户是否是受信的，特定用户开放本地USB 接口成为泄密点，限定了互联网访问，不利于技术研究工作等。

针对上述问题，公司的信息化部门进行研究和分析，确定多系统齐抓共管、相互配合的原则，以桌面云为基础，实施配套系统，达到薄弱点增强和关键点防护的目标。具体措施包括如下。

1）实施准入系统，对终端接入进行检查，进一步净化终端环境，减少恶意设备访问核心信息系统。

2）增强身份认证，建立桌面云客户端登录双因子认证模式，提供除用户名加密码之外的多种认证方式，如动态短信密码、指纹、证书等，提高认证可靠性。

3）完善接口开放管理规则，建立网络访问白名单和黑名单，实施基于网页POST 数据过滤甚至禁用模式；对本地USB 等接口数据传输提供动态分析，对瞬间大数据量和累计总流量进行智能分析判断、告警甚至锁定。

信息安全防护是一个永恒的话题，特别是对技术型企业，要在不断发展的信息窃取技术面前，结合企业的自身现状和需要，寻找更好、更有效的防护方法。公司也意识到这个工作的重要性与艰巨性，将依托桌面云构建的基础平台，积极的寻找行之有效的方法，切实保护企业的核心资产并促进企业的技术发展。