項目需求
軍事單位的特殊性,決定了其需要建立一個集中化的可隨時響應新業務需求的架構,以方便提供與時俱進的研發平臺和業務平臺,從接入到存儲的一套完整的接入,認證的安全體系。做到數據安全的三防原則:防偷,防泄,防毒。
在進行桌面虛擬化方案選擇時時,參考了市面上流行的託管式桌面虛擬化解決方案(VDI),其特點是TCO較高,並且存在兼容性風險和性能較底的特點,對此,選擇了《OSV智能桌面虛擬化》產品,進行桌面虛擬化部署。
實施要點
OSV智能桌面虛擬化在進行部署時對接入,存儲,控制的處理:
?? 接入:當用戶通過交換機進行聯網,就要進行認證,並進行審記。
?? 存儲:本地無存儲設備,包括硬盤,U盤,凡是可以存儲的設備,不允許有,所有數據均要集中存儲於服務器上。
?? 控制:可以批量管理終端,批量下發操作系統,批量下發應用程序,並能做到能對終端問題的快速響應,對此,OSV採用了802.1X進入接入認證,客戶端在啓動時,首先會引導一斷已寫在主板BIOS中的OSV BOOT程序,通過OSV BOOT 引導用戶進行802.1X認證,認證時,要求用戶輸入用戶名,密碼進行接入審計,正常審計過後,連接網絡,在網絡上進行操作系統的啓動和應用數據的下載。
OSV智能桌面虛擬化是如何實現數據的三防一存(防偷,防泄,防毒,存儲)機制的實現:
???防偷:OSV智能桌面虛擬化在運行時,將桌面流數據,以緩存的形式,派發至客戶端的本地磁盤上進行運行,在派發至本地磁盤時,採用了分散式加密的方法,當客戶端硬盤被帶出時,看到的,只是一個未格式化的磁盤而已,而很難恢復出有用的數據。當然也可以採用本地無存儲的模式進行部署,就更沒有硬盤被帶走的風險了。
???防泄:數據的泄密的過程是可以反推出來的,互聯網,存儲外設,都可能會成爲數據泄密的通道。那麼屏蔽這些元素,就可以防止數據的外泄。OSV智能桌面虛擬化在低層攔截USB存儲驅動過程,可有效防止在USB外設引起的數據安全問題,並且在原理上,OSV驅動無法破解,磁盤是無法進行穿透的。
???防毒:OSV通過還原機制,保護系統的安全,在原理上,這種模式本來就不易被破解,防止了磁盤被穿透的可能,即使MBR病毒感染的風險也很小。
???存儲:通過個性化功能,重定向用戶的數據,即使在還原模式中,用戶的數據仍然是可以保存在OSV服務器。
實施過程:
802.1X?認證過程
OSV 進行部署時,主要面對二類終端:臺式機,筆記本電腦,對於臺式機,可以外插8169 的網卡,網卡上外插OSV ROM 芯片,來完成802.1X接入認證。對於筆記本用戶,外接網卡不實現,所以選擇把OSV ROM直接寫進硬盤,創造開機啓動項,當筆記本被帶出去時,可以使用筆記本自帶硬盤啓動私人系統,進行工作。當用戶回到網絡中,在開機啓動中,選擇 OSV 啓動時,會觸發OSV的802.1X認證,認證通過後,啓動內網的標準桌面環境,並有權限訪問內網上的數據。當認證失敗時,無權限訪問內網數據,並且無法啓動內網標準的桌面環境。
臺式電腦的處理:
上圖8169網卡,紅框處可以外插OSV ROM?進行操作系統的引導,可完成802。1X認證
臺式電腦採用外插8169網卡,8169網卡上外插一塊OSV ROM 的芯片,在終端進行開機時,會自動加載網卡上的OSV ROM,OSV ROM 進行802.1X的認證,並進行網絡引導進行啓動。
臺式電腦採用刷改主板BIOS也可以安裝OSV ROM至主板中,但實施時,難度比外插網卡難度大。同一類型的終端進行實施時,難度要小一點,配置越多,實施難度就越大。
筆記本用戶:
筆記本用戶可以選擇在原有系統上安裝OSV BOOT Menu來實現802.1X環境認證和使用,當用戶筆記本帶入網內時,必須選擇802.1X認證並進行啓動才能進入標準的桌面環境進行使用,否則只能使用筆記本的系統進行使用,且不能使用內網的資源。
用戶的數據處理
用戶所有的我的文檔,桌面數據,均採用OSV的個性化功能,重定向至OSV服務器上進行存儲,OSV後端掛載磁盤櫃,進行數據的存儲和備份,保障了用戶的數據安全。
用戶的桌面環境由OSV智能桌面虛擬化管理平臺進行統一派發和管理,並進行保護,用戶無權限刪除,更改虛擬桌面上所安裝的軟件和應用程序。同時也防止了終端電腦中毒的可能,技術原理上,也能防止客戶端磁盤被穿透的可能。
802.1X 的加密處理
非法使用802.1X客戶端進行使用,或者進行二級代理時,也給數據安全造成比較大的威脅,對此,我們對OSV的帳戶信息進行了處理,用戶得不到正確的用戶名和密碼,所以在其他客戶端中,無法進行正常的認證。
方案總結
OSV智能桌面虛擬化,在保證了桌面統一管理的同時,也實現了對數據的安全管控,802.1X認證環境中,實現了操作系統的啓動審計,保證了電腦使用的安全。對比VDI方案,其建設成本更底,效能更高,安全性更高。