1 引言
隨著信息化安全技術的不斷發展。各種內網安全管理問題逐步凸顯出來。據IDC調查報告顯示,超過85%的網絡安全威脅來自于內部,其危害程度更是遠遠超過黑客攻擊所造成的損失,而這些威脅大部分是內部各種非法和違規操作行為所造成的,內部風險控制亟待加強。傳統的以組織邊界和核心資產(服務器)為保護對象的安全防護體系逐漸顯出嚴重的缺陷,無法有效解決網絡終端安全管理中的諸多問題和安全隱患。如同家庭是社會的細胞,網絡終端也是組成網絡的基本單元,其安全與否對網絡自身和信息系統的安全運行有著深遠的影響。運用無盤技術構建一個有效的終端安全管理體系,不僅能有效保障終端的安全,而且還能提升網絡整體的安全防御能力。
2 無盤技術基本原理
無盤技術的核心是網絡終端本地沒有安裝硬盤,全部通過網絡服務器來啟動終端用戶。無盤終端通過網卡啟動后,自動從服務器下載操作系統文件到本地內存中,完成終端系統的啟動。終端運行過程中的各種程序數據存儲在終端的內存中或服務器的特定分配區域,終端重新啟動后,終端系統將恢復到初始狀態。目前,常用的無盤技術有以下兩種。
2.1基于虛擬磁盤的無盤技術
虛擬磁盤(virtual hard disk,VHD)技術是一種集中式虛擬磁盤技術。主要是通過專用網絡協議和驅動將遠程服務器上的存儲空間(硬盤)作為存儲介質,使用串流技術來傳送高性能、高彈性、可擴展性的虛擬磁盤到客戶端。通過這種集中管理,分散運算的架構,在終端實現磁盤及軟件的安裝、更新、備份、還原,同時終端保留個人電腦使用習慣及充分發揮客戶端的運算能力。網絡客戶端啟動后通過網卡發送DHCP/find幀來發現和尋找DHCP服務器,DHCP服務器通過匹配網卡的MAC地址來確定是否給客戶機分配IP地址。服務器給匹配MAC地址來確定是否給客戶機分配IP地址后,客戶機和服務器就通過ISCSI(intemet snqa1]computer system interface)通訊,利用TCP/IP協議在客戶機和服務器間傳送存儲命令和數據,完成客戶機系統的啟動和程序軟件的運行。
2.2基于嵌入式云端的無盤技術
基于嵌入式云端的無盤技術采用高度集成化的軟硬件一體化技術,在一塊小型主板上集成了高速低功耗的嵌入式處理器,雖然機身小巧,但接口俱全,與傳統計算機一樣通過網線與網絡相連。軟件系統采用嵌入式的軟件操作系統,目前主甚是基于微軟的Windows XP Embedded系統平臺和Linux的系統平臺。通過共享模式和預定的策略從服務器調用相關程序和軟件,采用虛擬桌面協議(vim~l desktop protocol,VDP)與云服務器進行通訊。每個云終端用不同的用戶名和密碼登錄到云眼務器后,云服務器會為不同的云終端用戶開設獨立的會話,每個云終端占用獨立的云終端用戶開設獨立的會話,每個云終端占用獨立的內存空間,其運行程序的界面會通過VDP協議傳送到云終端上,從而云終端之間能夠獨立運行而不互相干擾。云終端作為客戶端設備,它的配置、存儲、運行和管理等主要功能均由云服務器完成,云終端用戶只需要通過網絡把鼠標、鍵盤及其他外設操作信息傳送到云服務器端,從云服務器端接受變化的應用程序界面,并在云終端的用戶界面顯示出來,這樣就可以獲得在本地運行應用程序一樣的訪問感受。
2.3技術對比
目前.基于虛擬磁盤的無盤技術和基于嵌入式云終端的無盤技術均有廣泛的應用。其中虛擬磁盤的無盤技術應用較早,早在2O世紀9O年代中期就開始使用。有大量成熟的產品和系統,我國的代表廠商有銳起、網眾等,是目前無盤技術采用的主流技術,它不僅發揮了服務器的集中管控功能,還有效發揮了終端的運算能力。而且,由于網絡設備和線路成本的下降,使得采用虛擬磁盤的無盤終端啟動速度和數據讀寫速度都得到大幅提高,已經達到了使用本地硬盤讀寫數據的水平。
基于嵌入式云終端的無盤技術是近兩年出現的新技術,也吸引了不少廠商研究開發相關產品和系統,我國主要有清華同方、聯想等。由于采用嵌入式的低功耗處理器,系統比較穩定,但終端數據處理能力較弱,僅能運行部分軟件和程序。終端還具有功耗低的優勢,云終端由于使用嵌入式一體化設計,其平均功耗為1O瓦左右,僅為普通終端的4%左右,比傳統終端火大節省電費,符合環保節能低碳的要求。
因此,應該可以根據不同的應用范圍選擇不同的無盤技術系統,對于終端個人應用較多,程序軟件讀寫數量大的客戶使用基于虛擬磁盤的無盤技術,提高無盤的運行效率和速度;對于公共服務,例如查詢終端、證券終端、簡單的辦公終端可以使用基于嵌入式云終端的無盤技術,達到節能、穩定、免維護的效果。
3 在軍內機密級辦公網中的應用
在軍內機密級辦公網中,無盤技術主要采用基于虛擬磁盤的無盤技術,網絡終端本地不存儲任何數據,終端的數據安全能得到有效的防護。無盤技術不僅加強了個人數據的安全保密性,做到每個用戶的數據資料都相對獨立,而且還可以避免非權限內的通過硬盤、u 盤等存儲介質拷貝復制。對于病毒,由于所有終端不安裝硬盤,因而大幅度降低感染病毒的概率。即使網絡中的某一終端感染了病毒,也只需在無盤服務器上殺毒,不用逐臺處理各個計算機終端。無盤技術的體系結構不但可以使由于誤操作或病毒造成的對網絡系統的損害降到最低,最大限度地保護服務器中的系統盤不受人為破壞和病毒侵擾,而且可以保證各種軟件在多人同時應用情況下的正常和穩定運行,并結合交換機IP+MAc的雙向綁定,更能有效解決終端準入的問題。
無盤網絡安全體系結構主要有無盤存儲服務器、無盤系統服務器、無盤終端用戶、核心交換機、安全防護系統等關鍵設備組成,各部分實現的主要功能如圖1所示。
圖1 無盤網絡安全體系結構
3.1無盤系統服務器
無盤系統服務器根據地址分配策略給無盤終端分配IP地址、子網掩碼、網關、DNS等網絡地址。根據不同終端的需要可以加載不同的操作系統和應用工具虛擬磁盤。而且,還可以根據不同業務部門(使用者)需求,為使用同一系統鏡像磁盤的無盤終端設置兩種不同系統讀寫操作權限,分別是無盤終端的操作系統、工具軟件的個性化讀寫權限模式和無盤終端的操作系統、工具軟件的個性化只讀權限模式。操作系統、工具軟件的個性化讀寫權限模式在安全等級較低的個人應用中使用,使用者完全感覺不到無盤終端使用的虛擬磁盤,可以對系統參數進行設置和修改,可以自主安裝和卸載工具軟件。操作系統、工具軟件只讀權限模式在安全等級較高的應用中使用,用戶只能通過預制的操作系統功能和工具軟件進行無盤終端的使用,無法進行超越預制策略的任何操作,實現了無盤終端從操作系統、工具軟件、網上行為的精確管控。
3.2無盤存儲服務器
無盤存儲服務器配置高性能的處理器和內存,并根據需要采用穩定性強、讀寫效率高的RAID存儲陣列,為無盤終端提供存儲空間,建立個人網絡硬盤。系統可以對集中存儲空間按區域、單位和個人三級進行劃分和分配,并可實現按級進行管理,當存儲設備出現異常,能進行及時告警。網內所有用戶的文件資料信息全部加密存儲到信息中心集中存儲設備上,并進行相應備份,集中存儲空間主要按單位和個人進行劃分和分配,原則上每個用戶分配20G空間,如有特殊需要,也可根據實際需求情況動態擴容。
集中存儲空間的管理由信息中心管理員和各單位網絡管理員按職權分級進行管理。
3.3無盤用戶終端
無盤終端用戶采用專用無盤計算機,開機后先從無盤服務器中讀取系統鏡像,經USBkey及用戶名密碼雙重認證后,進入系統操作環境。用戶通過強身份認證進入操作系統后,所有的讀寫操作都要通過集中存儲服務器,用戶操作產生的數據通過集中存儲服務器存儲在信息中心的磁盤陣列中,保證個人終端不留密。取下USBkey后,系統會退出所有操作系統環境,無法進行任何操作,關機后,用戶終端不存留任何信息。
3.3網絡核心交換機
網絡核心交換機主要完成二層網絡數據的高速交換工作,為了提高整個內網的安全性,確保接入網絡終端的可信度,可以實行交換機端口,終端網卡MAC地址和IP地址的綁定,防止未授權的非法終端連入內網,確保無盤網絡的安全穩定。目前網絡交換機的速率得到了大幅提升,從原來的lOM到100M,現在已經普及到千兆桌面,主干已經實現了萬兆互連,網絡設備成本也在不斷下降,從這個角度上看,網絡傳輸速度的大幅提高為無盤終端的使用提供了良好的通信支撐平臺,同時也降低了無盤網絡系統的網絡基礎平臺門檻。
3.4安全防護系統
通過采用入侵檢測設備、安全審計系統、身份認證系統、主機管控系統、防病毒系統、漏洞掃描與補丁分發系統、信道加密和數據加密設備以及網絡管理軟件等設備和系統,保證軍內機密級辦公網安全運行,各種數據傳輸、存儲安全可靠。
4 結束語
信息化程度的不斷提高對軍內機密級辦公網的安全管理提出了更高的要求,無盤技術為軍內機密級辦公網提供了一個有效的安全解決方案,實現軍內機密級辦公網網絡系統的安全管控。采用無盤技術構建的網絡管理系統由于具有安全穩定,易于維護,節約節能等優點,必將成為軍內機密級辦公網網絡建設的一種新趨勢,使網絡安全保密和高效運維達到一個新的臺階。
核心關注:拓步ERP系統平臺是覆蓋了眾多的業務領域、行業應用,蘊涵了豐富的ERP管理思想,集成了ERP軟件業務管理理念,功能涉及供應鏈、成本、制造、CRM、HR等眾多業務領域的管理,全面涵蓋了企業關注ERP管理系統的核心領域,是眾多中小企業信息化建設首選的ERP管理軟件信賴品牌。
轉載請注明出處:拓步ERP資訊網http://www.guhuozai8.cn/
本文標題:無盤技術在軍內機密級辦公網中的應用
本文網址:http://www.guhuozai8.cn/html/consultation/1083936924.html
相關文章
