虚拟化技术在企业信息资产安全方面的应用

摘 要：本文结合公司信息资产安全管理系统项目，利用XenApp虚拟化技术解决企业信息资产安全方面的问题，并对系统功能和实现效果作了详细描述。
    关键词：虚拟化，信息资产安全，XenApp
    随着信息化技术的高速发展，企业员工可以从网络获取更多更有效的信息，这些信息对日常工作有很大帮助。同时，网络又是把双刃剑，在获取信息的同时企业的信息资产也面临诸多流失泄漏的风险。对于企业来说，大量报表、图纸、设计文档往往是最终的生产成品，也是企业的知识产权、技术积累的载体。信息资产作为企业最宝贵的财富，面临着适当监控、合理使用的问题。电子文档的易复制、易传播等特点也导致了它的安全风险大大超过传统纸质文档。信息资产的妥善保护已经成为企业关注的焦点，建立健全信息资产安全管理体系对企业核心竞争力的延续和发展意义重大。
    利用虚拟化技术搭建企业信息资产安全管理系统，业界较为领先的是Citrix产品XenApp，其核心是ICA协议。ICA协议连接了运行在XenApp月E务器上的应用进程和远端客户端设备，通过ICA的32个虚拟通道（分别传递各种输入输出数据如鼠标、键盘、图像、声音、端口、打印等等），运行在中心服务器上的应用进程的输入输出数据重新定向到远端客户端机器的输入输出设备上，因此虽然应用客户端软件并没有运行在客户端设备上，但是用户使用起来和在客户端安装运行客户端软件桐比，没有感觉任何操作上的改变。
    性能方面：ICA传输的主要为人机交互数据，例如屏幕刷新和鼠标键盘信息，同时ICA协议是一种高效率的数据交换协议，采用了大量的数据压缩、加密和连接优化技术，因此每一个用户的连接只占用10～20Kbps的网络带宽。使用Citrix集中模式可以有效地降低数据传输，大大提高整体性能。
    安全性方面：传统的客户端直接访问后台时，之间传输的数据是真实的企业应用数据，该数据会被缓存在用户本地或在传输中被截获，这些都是不安全因素；而用户访问XenApp服务器时，之间传输的是屏幕增量变化信息和鼠标键盘变化信息，用户端无任何应用数据缓存在本地，同时中途截获这些信息然后反推出用户真正的业务操作和数据比直接截获业务数据困难上千倍。因而可以说数据总是存放在最安全的地方。XenApp带来的最大益处是采用应用虚拟化方式阻止数据任何时候离开数据中心。对于远程用户从公网访问内网，XenApp通过严格的用户认证进行安全权限控制。
    信息资产安全管理系统环境，让我们在数据中心集中安装与管理业务系统。此时，业务系统只需完成与数据库服务的数据交换，而不需要将计算结果或是中间数据通过网络传递到客户端处理，这就避免了真实数据在网上流转而被窃取的可能。网络中操作与运算结果的传输，是在 SSL加密链路上进行的，具有增强的安全性。
    对于用户的访问，是受权限控制的。哪些人员可以对设计图纸进行访问与操作，哪些人员可以对企业报表访问与操作，都是预先设定好的，只有权限内的业务系统才能被使用，而非权限内的业务系统，则不会出现在其允许访问列表中，从而避免了越权访问的可能。通过细分用户的类型，我们首先可以控制员工访问信息化软件和内容的数量和范围，所有员工将只能获得职权范围内的IT资源访问许可。而基于这套体系的上述技术原理，所有IT资源及软件工具生成的工作成果将按要求可以被限定只能保存在企业的服务器上。
    如工程设计为主的企业，所有的专业软件都安装在 Citrix服务器上，用户在不改变任何工作习惯的前提下，可以使用发布出来的专业软件进行正常的工作，产生的报表、图纸、设计文档等信息资产直接保存在服务器上，所有数据由科技信息部的统一管理，信息的内部共享和流通与传统模式下完全一样，一旦涉及外发则需要专业部的（项目组）的负责人和信息安全负责人的共同批准，才能将数据提取或者拷出；在对外方面，可进一步限制员工的电脑不能直接访问网络，所有的网络访问都必须通过发布在XenApp上的相关应用（例如IE、MSN、QQ、FTP等），管理员可以根据员工的工作需要来决定其是否可以使用特殊的应用。集中上网的XenApp服务器由管理员统一管理，最终用户只有普通用户权限，并且员工所有的行为动作都会被全程跟踪录影。
    以某公司项目为例，登录系统页面，输入用户名、密码，如图1。

登录后可看到管理员依照该用户权限预先为其设定的相应软件，如图2。

点选需要的软件，如同普通客户端那样运行程序。在完成图纸工作保存时，发现该用户权限只能允许其将文件保存在服务器上，如图3。

这样，每次进入系统，用户都可以从上次保存在服务器上的位置读取文件，继续上次的工作；而工作结束时也只能将成果同样保存在服务器上。这就保证了成果文件不被带出公司系统而引发泄密的可能。从服务器上我们可以看到，系统为每位用户建立了单独的文件夹来存放他们的工作成果，如图4。这些文件可以通过磁盘阵列和备份系统轻松解决数据安全问题。

综上所述，信息资产安全管理系统应用国际最先进的应用虚拟发布和集中化管理的技术和工具，将自主性访问控制和强制性访问控制的界限打破，使原来的信息资产由“使用者控制”变为现在的“拥有者控制”，员工工作过程中产生的图纸、报表、文档等数据资产，将按照各自设定好的权限统一存放在服务器或者是专业存储设备上，所有数据无法向终端机转移。这样我们通过隔离技术、访问控制，从技术上保障了对电子涉密信息的集中管理，能够切实有效的对信息资产的传播范围和传播途径进行控制。
    参考文献：
    [1]石磊，邹德清，金海著．Xen虚拟化技术．武汉：华中科技大学出版社，2009
    [2]胡嘉玺编．企业级虚拟机应用实战．北京：电子工业出版社，2009
    作者简介：晏昊，工程师，海洋石油工程股份有限公司科技信息部信息网络岗位经理，主要从事公司信息化建设与管理工作。
    （作者单位：海洋石油工程股份有限公司）