税务系统桌面云安全建设方案研究

邱劲锋

（宁波市税务局信息中心）

1 引言

桌面云技术作为一种将虚拟化、云计算落到终端的技术，将桌面终端从分散、静态的模式，转向到集中、动态、可扩展的虚拟化架构，具有良好的可靠性、可管理性以及可复制性，能够完善税务系统安全保密和终端运维管理体系建设，有效提高管理水平和总体防护能力，满足了当前税务行业对终端进行优化利用与改造升级的需求。

为实现税务系统桌面云建设，合理规划桌面云环境架构，高效推进桌面云落地实施，本文从桌面云技术的基本架构、网络建设、安全性等几个方面进行税务系统桌面云技术网络安全规范建设研究。

2 现阶段税务系统PC机资源使用存在的问题

现阶段税务系统PC机资源的使用存在安全管控难落实、运维保障压力大、设备更新花费高等诸多安全及管理上的问题，其主要体现在以下几个方面：

1）重要业务系统数据安全难以保障

目前税务系统推广的较多重要业务系统涉及大量敏感信息，现有技术手段难以避免用户通过违规下载、截屏、拍照等方式非法窃取敏感信息，系统数据安全存在一定风险，且一旦发生信息泄漏，难以认定泄密责任。

2）终端安全管理困难

个人办公PC机虽安装有防病毒等安全管控软件，但因各种原因，不能正常进行系统补丁、病毒库升级等而遗留风险隐患；此外，IT新设备、新技术层出不穷，如智能手机、上网卡等接入PC机发生违规外联事件等，这些都给税务系统的终端安全管理工作带来很大挑战。

3）终端运维工作量与日俱增

目前，税务系统各级单位PC机数量少则几百，多则上千，用户终端发生的任何硬件故障、软件变更及数据信息丢失，都要求技术人员及时响应、快速处理、妥善解决。随着PC机数量的增加，信息技术部门的日常运维工作量也与日俱增，特别是县区局的终端运维保障压力很大，不可避免影响工作质量和效率。

3 桌面云技术定义的工作

桌面云是云计算模式下的创新办公应用系统，可以将计算、存储和网络服务发布给使用者，按需向用户提供和交付桌面服务。桌面云环境下用户数据的存储和管理都集中在云端，用户界面使用远程协议传输到用户的终端设备上。与传统PC相比，具有数据安全、简化管理、绿色节能等优势。

当前主流的桌面云解决方案有VDI（Virtual Desktop Infrastructure，即虚拟桌面基础架构）和IDV（Intelligent Desktop Virtualization，即智能桌面虚拟化）两种模式。

VDI采用集中计算、集中运行的原则，计算和存储资源都集中到服务器上，终端主要处理图像和交互指令信息。具有计算性能弹性分配，数据安全可靠，终端易维护、价格低，技术成熟度高的优点，但对服务器硬件及网络带宽要求较高，对大型应用软件支持不足。

IDV采用集中管理、分布运行原则，将客户端桌面存放于服务器端，服务器端传送客户端需要的操作系统和应用数据，由客户端负责计算；网络带宽要求低、外设兼容性好，但数据安全不可控、终端维护复杂等问题，与传统PC相比并无明显优势。

根据税务系统信息安全管理以及终端运维要求，税务系统桌面云推荐采用更为简单、灵活、且数据安全性更高的VDI模式部署。

桌面云采用服务器虚拟化、存储虚拟化和虚拟桌面服务等多种技术，其总体架构包括硬件资源、虚拟桌面服务、网络、终端接入和安全等五层，总体架构如图1所示。

4 桌面云技术网络规范建设实现

桌面云平台整体网络架构包括业务网络、管理网络和存储网络。

桌面云平台的服务器和用户终端都接入业务网络，可分为服务器接入网络、终端接入网络和广域网。

桌面云的业务流量主要为用户终端访问虚拟桌面产生的压缩图像数据，对带宽的需求较高。对于小规模部署，服务器接入网络可用千兆接入网，每台服务器配置2个千兆网卡。随着部署规模的增长，需将接入网络升级为万兆，同时每服务器配置2个万兆网卡。

用户终端至桌面云平台之间的网络用于传输远程桌面图像显示和用户交互数据，因此用户终端接入网络的稳定性至关重要。用户终端接入网络可用百兆或千兆接口。

当用户终端需跨广域网访问桌面云平台时，广域网带宽应根据同时使用虚拟桌面的数量、使用虚拟桌面场景情况等进行规划。税务系统桌面云环境下各业务场景所需网络流量及占比如表1所示。

根据表1，单虚拟桌面的带宽需求为1651Kb/s，同时考虑网络带宽利用率不超过80%，建议每虚拟桌面最少具备2M Kb/s以上的稳定带宽。

管理网络负责整个桌面云平台的管理、虚拟机在线迁移等流量的通信。为降低管理网络单点故障风险及平衡网络负载，桌面云平台的每台服务器建议配备2个万兆网卡接入管理网络，用于传输管理和虚拟机在线迁移数据。

图1 桌面云存储体系架构

表1 用户终端使用场景及带宽需求表

存储网络是指服务器与共享存储设备或者分布式存储各服务器节点之间存储数据交换的网络，共享存储与分布式存储模式下的存储网络略有不同。

在共享存储模式下，服务器规模较小时可与存储设备直连，但随着服务器的增多，应配置光纤存储交换机或高速以太网交换机，实现服务器的横向扩展。为保证存储多路径冗余，服务器应至少配置2个FC或iSCSI接口。

在分布式存储模式下，为保证服务器节点之间数据副本的一致性，服务器之间需通过高速以太网进行数据交换，应至少配置2个万兆网卡，同时配置万兆交换机。

5 桌面云技术安全建设规范实现

建立科学完备、无单点故障、可快速切换的高可用体系，是桌面云安全、稳定运行的基础。除了在硬件架构应做到冗余设计外，最为关键的是在虚拟桌面服务层面，采用存储虚拟化技术构建高可用的存储系统，并确保虚拟桌面管理服务无单点故障。

采用桌面云技术后，用户数据由PC端集中到了桌面云平台，因此保障存储的高可用性成为了建设桌面云的重点。

为增强存储系统的可靠性，防止存储全局性故障的风险，可采用存储虚拟化技术构建高可用的存储系统。存储虚拟化技术有共享存储和分布式存储两种高可用方式。采用共享存储模式时，应至少配置2台服务器保障虚拟桌面高可用；采用分布式存储模式时，应至少配置3台服务器保障虚拟桌面高可用。

桌面云平台用户分为桌面云平台管理员和终端用户两类，在安全管理方面，虚拟化平台的管理控制权限应遵循最小授权原则，仅对必要的管理人员开放。虚拟桌面服务应包含用户管理、登录验证、权限鉴定等多种安全控制措施，并通过角色、权限设置限制用户能够访问的虚拟桌面资源。

在网络访问控制方面，设置虚拟桌面的网络访问规则，对访问专用业务网段的虚拟桌面以资源组的形式单独管理，使用虚拟交换机和防火墙访问控制列表进行控制，实现虚拟桌面对重要应用系统的访问权限控制。

在防病毒管理方面主要有传统安全模式和云安全模式，传统安全模式通过在每个虚拟机中安装防病毒软件，实现对虚拟桌面的安全防护，运维和管理与传统的PC机防病毒相同。而云安全模式则有两种模式，一是在虚拟机上安装防病毒插件的轻代理模式，二是在虚拟化操作系统（运行于物理服务器上）安装防病毒代理程序的无代理模式。

在数据备份方面，税务系统各单位应优先规划，实现本地、系统级、增量备份，同时可根据实际需求和预算情况规划异地备份措施。备份策略应自动执行，保存多个备份恢复点。其主要包含系统层面重要配置备份和用户虚拟桌面备份两个方面。

6 结语

桌面云技术兼顾安全性、统一性、兼容性及管理灵活性，具有高可靠性、易管理性、高安全性的特点，且终端用户体验与PC机一致。实现集中统一的终端运维管理有利于完善税务系统安全保密和终端运维管理体系建设，有利于提升管理水平和总体防护能力。