基于可信虚拟化技术的安全政务网络研究

刘剑

摘 要：本文分析了政务网络存在的安全问题，在此基础上，提出基于可信虚拟化技术的解决方案，采用密码技术建立政务网络软件“白名单”，防止木马等病毒软件；对访问政务网络中人员和设备的多因子安全认证，并基于用户身份对其数据复制行为进行安全控制，保护政务信息不被非法外泄，从而构建安全政务网络。

关键词：政务网络；政务网络安全；可信技术；可信虚拟化技术

中图分类号：TB47 文献标识码：A

文章编码：1672-7053（2017）07-0132-03

Abstract：This paper analyzes the security problems of e-government network. On the basis of this， we propose the solution for the government network based on trusted virtualization technology. Use "white list" based on encryption technology to prevent the Trojan virus software. Use multi factor security authentication for personnel and equipment to access government network. Based on the user's identity， the security of data replication is controlled to protect government information from illegal leakage to build a secure government network.

Key Words：government network； government network security； trusted technology； trusted virtualization technology

1 背景

政务网络系统包括公文流转、电子邮件、档案管理等办公业务以及其它专业业务应用。通过这些办公和业务应用平台实现社会服务和管理职能，因此保护政务网络数据安全、保证政务网络运行稳定对正常工作和业务运转十分重要。

政务网络系统面临着以下信息安全问题：

1）计算机病毒、木马等恶意软件破坏。恶意软件不仅影响政务网络系统的正常稳定运行，而且还可能导致政务敏感信息的失泄密事件，影响政府形象；

2）數据安全问题。政务网络系统中会包含敏感数据，内部人员、第三方合作方、计算机木马等会接触敏感信息；可能导致失泄密事件；

3）信息安全管控落实不到位。由于种种原因一般单位很难真正对系统做到及时运行安全维护保障，系统运行存在严重安全隐患。

传统的信息安全解决方案和产品不能很好地有效解决上述问题。曾经采购部署的杀毒软件、入侵检测、终端安全控制、数据防泄漏系统和防火墙信息安全产品，不能对未知病毒和攻击进行有效检测和防范，不能实现高效的集中安全管控运维，不能防范授权人员对数据的非法复制和盗取；另外，由于过去信息安全方案还存在自身安全产品多、安装数量多、应用兼容性差、对系统性能影响大以及安全易用性等问题，实际效果并不尽人意。

2 政务网络安全需求

在对政务网络系统进行新的信息安全风险评估之后，对其信息安全目标也进行了重新审视和认识，要求政务网络在满足政策合乎要求的基础上，真正实现安全有效性、经济性和易用易管性的有机统一。

首先，政务网络安全不仅要能够检测和防范已知的病毒和攻击，还应当有能力防范各种未知的病毒攻击；不仅要方便正常的业务办公，而且还要有效防范有合法授权的内部人员和外部合作方非法复制和盗取内部敏感数据；不仅要能支持系统的可管可控，还要能实现对系统高效实时化的集中管控。

其次，政务网络安全方案要在安全有效的基础上，降低系统安全成本，减少安全机制对系统的性能影响。政务网络安全方案要考虑系统安全结构的简化，尽量减少安全设备和安全软件安装的数量，从而降低安全建设和运维成本，降低安全机制对政务系统的性能影响。

再次，政务网络安全方案要考虑到安全产品和安全机制的易用易管性。政务网络安全方案要尽量不改变原有的应用程序、不改变用户的操作习惯和应用管理流程，保证用户的良好体验。

另外，移动办公和移动业务成为发展趋势。为提高业务的时效性，在指定政务网络安全方案需求时，强调要考虑对移动办公和移动业务的安全支持。要求其政务网络安全方案必须解决移动设备的安全认证问题、通信安全问题以及移动设备遗失带来的数据泄露问题。

3 可信虚拟化技术

可信虚拟化技术基于政务网络的特点，以密码技术为基础，采用“白名单”安全机制防范各种已知和未知攻击；以基于用户身份的数据复制和传送安全控制机制保证内部敏感数据的安全，即使是内部合法人员和授权的外部合作方都不能非法复制和盗取各种办公和业务敏感信息；以基于虚拟存储技术的系统集中安全管控机制大幅减少系统安全运维设备数量和复杂度、克服软硬件配置差异带来的系统兼容性问题，最终提高安全管控运维的效率。

此外，可信虚拟化技术还能够在不增加开发工作量的前提下，支持移动办公和移动业务的开展和快速部署。可信虚拟化技术支持对移动设备的多因子身份认证、安全加密通信，并且不在移动设备上保存任何与办公和业务相关的数据，即使移动设备丢失，也不会导致失泄密事件的发生。

可信虚拟化技术可以支持政务网络系统实现非法人员“进不来”、“看不到”、“拿不走”、“跑不掉”；帮助系统安全管理人员能够对系统“管的住”、“管的少”、“管的好”；对应用和办公业务人员“没感觉”、“影响小”。

4 以可信虚拟化技术构建安全政务网络方案

原有的政务网络系统是一个典型的终端服务器结构，用户终端分布在工作人员的工位或专用区域中，应用服务器集中在在服务器机房中。如图1所示：

如前所述，现有政务网络系统存在包括病毒木马和数据安全在内的诸多安全问题，采用以可信虚拟化技术构建安全政务网络的方案可以从根本上解决这些问题。

可信虚拟化方案的核心思想是以虚拟桌面技术为基础，通过虚拟桌面信息流安全控制机制和基于密码技术的虚拟桌面的可执行代码保护机制，防范各种已知和未知病毒木马保护内部数据安全。其具体实现方式如图2所示：

图2中，在机房中部署了四台虚拟桌面服务器，每台虚拟桌面服务器上支持运行五十个左右的虚拟桌面，这些虚拟桌面在功能上取代了传统的PC业务应用终端，无论是C/S应用还是B/S应用，其业务客户端软件或应用浏览器客户端软件都实际运行在虚拟桌面上；工作人员通过工位上的PC或安全瘦客户机（我们称之为操作终端）中的IE等浏览器工具连接到虚拟桌面，进而访问相应应用。虚拟桌面系统的好处是它可以将用户操作终端与应用终端在物理上加以分离，实际的办公等应用软件和应用数据都在虚拟桌面上运行和处理，操作终端只是起到虚拟桌面的显示器和键盘鼠标输入作用，从而为数据安全提供了保护基础。

为了加强对用户业务操作的集中管理控制、控制工作人员在虚拟桌面和操作终端之间的数据交换和文件复制行为，在虚拟桌面和用户工位上的操作终端之间部署了专用的虚拟桌面安全网关。为提高系统安全机制的可靠性，图2方案根据需要部署了两台虚拟桌面安全网关，实现双机安全热备功能。

4.1 病毒木马的有效防范

图2方案以政务网络软件选用列表为基础，采用密码技术建立政务网络软件“白名单”。在虚拟桌面上只允许“白名单”中的程序和代码运行，因而能够有效防范各种已知和未知病毒；同时，“白名單”机制对系统CPU资源的占用也非常小（一般情况下不到1%），也不会有大量的磁盘操作，因此非常适用于虚拟化技术。由于上述“白名单”保护机制只部署在办公等生产型业务系统的虚拟桌面中，对工作人员工位中的操作终端没有影响，因此它完全不影响一般用户的实际操作体验，从而有效地帮助了信息安全方案的快速部署和应用推广。

4.2 数据安全保护

图2方案还通过虚拟桌面安全网关实现对访问政务网络中人员和设备的多因子安全认证，并基于用户身份对其数据复制行为进行安全控制，防止政务信息非法外泄。

对人员和设备身份进行认证，根据其权限和工作要求分配和选择适当的虚拟桌面和存储资源，并对其虚拟桌面工作环境进行安全部署，保证其办公和其它业务的正常开展；

基于工作人员身份，对其在虚拟桌面和操作终端之间的数据和文件复制行为进行控制，比如某些岗位可将虚拟桌面中的数据和文件复制到操作终端上，而其它岗位只能从操作终端向内部的虚拟桌面中复制数据和文件，或者两种操作都不被允许；

对用户登录和其它系统管理行为进行审计。

基于虚拟桌面系统和虚拟桌面安全网关的安全防护功能，无需再花费精力对工作人员工位上的PC等操作终端进行网络或USB等端口的控制和管理，就可以有效保证政务网络敏感信息被非法复制或外泄。

此外，虚拟桌面安全网关还通过对虚拟桌面的以下安全管理措施保护数据安全：

1）终端无痕化管理。当用户退出政务办公或其它业务应用后，系统自动将虚拟桌面进行安全清理，保证不保留前一用户的任何使用痕迹，包括各种临时数据等。

2）本地设备不留密。用户通过PC或移动设备等本地设备访问虚拟桌面，处理办公和应用业务，但是这些办公和业务数据并不会保存在本地设备上，防止政务敏感信息被非法复制、盗取。

4.3 集中安全管控

图2方案以安全虚拟存储技术为基础，对虚拟桌面进行高效的集中安全管控。如图2所示，所有虚拟桌面的系统镜像都集中存放在镜像服务器中，并根据应用类型和岗位性质制作母本，实现镜像的快速克隆和部署。通过这种镜像集中管控技术机制，软件升级和补丁安装时间大大缩短，基本能在一小时内完成；镜像集中管控技术还有效避免了传统系统升级可能带来的兼容问题。典型情况下，以可信虚拟存储技术为基础的虚拟桌面集中安全管控方案可以使信息系统运维工作量达到百分之九十以上的减幅，有效缓解政务网络系统运维管理人员编制少、运维工作量大的难题。

图2方案支持系统管理、安全管理和系统审计管理等不同管理角色和管理权限的分离，最大程度地保证管理安全性和安全合规性。

4.4 安全移动办公和移动业务支持

在图2方案设计过程中，也充分考虑到了未来移动办公和移动业务的发展趋势和安全需求。随着各种手持设备和智能手机的应用普及，为提高办公和业务的时效性，政府单位对移动办公和移动业务也有着迫切的需求，但是设备认证、通信安全以及移动设备遗失带来的数据安全等问题是制约政府应用新型移动业务的关键因素。在可信虚拟化方案中，这些移动设备和智能手机也可以作为操作终端，连接到虚拟桌面系统中；但是如同工作人员工位上的PC操作终端一样，由于应用数据并不实际在这些移动设备上保存和处理，因此不存在由于移动设备丢失带来的数据安全问题；在方案中，虚拟桌面安全网关支持对移动设备的多因子安全认证和加密通信保护机制。

4.5 多因子身份认证

图2方案支持对人员和设备的多因子身份认证，兼容用户已有应用。虚拟桌面安全网关内置用户名/口令字、数字证书、指纹等身份认证功能，并支持第三方统一的身份认证机制，用户可以选用认证方式。原有系统已经建设了OTP动态口令系统，方案二中虚拟桌面安全网关采用了原有的动态口令机制，以兼容原有安全结构，同时也降低了用户安全管理的难度。

4.6 云安全隔离支持

圖2方案通过动态虚拟网络安全机制支持云安全隔离能力。该机制可以自动适应云计算环境下应用规模的弹性变化，并在无人工干预的情况下，自动生成相适应的应用安全边界，防范应用系统被非法访问或入侵，保护应用整体安全；

此外，图2方案还支持云计算环境下不同客户、不同应用和不同用户之间的数据安全隔离，防范未经许可的数据共享和交换。

4.7安全审计

图2方案不仅可以主动对用户应用和数据进行安全保护，还可以根据安全策略配置在不同层面对用户的访问行为进行安全审计。

图2方案的安全审计功能包括：（1）用户登录和访问系统的时间、地点、操作行为、结果等内容；（2）系统管理员和安全管理员的管理操作内容及其时间、地点、结果等；（3）系统当前资源使用状态，如虚拟机和虚拟存储总量、当前使用量、故障比例等。

4.8 其它安全功能

图2中的应用防火墙主要功能包括支持基于用户身份的资源访问行控制和审计等，从而对办公等应用提供更进一步的安全访问控制。应用防火墙通过将业务逻辑和安全逻辑分离，实现对用户既有应用的兼容性，在保证安全访问控制的同时，不要求用户修改应用程序、改变操作流程和操作习惯。

应用防火墙还可以帮助用户高效率、低成本地满足合规性要求。比如应用防火墙可以支持多因子身份认证、安全标记和强制访问控制等商用产品难以实现的安全指标性功能，使用户能够通过简单的安全结构和整改方式满足国家信息安全等级保护三级或三级以上信息系统安全要求。

5 方案配置说明

图2方案的设备配置情况如表1所示：

在其可信虚拟化方案中的主要安全策略包括：

除了授权管理人员外，一般工作人员都不能在其操作终端和应用终端之间拷贝任何数据和文件；管理岗位可以从其操作终端上把互联网上或其它外部文件数据拷贝到内部信息系统中；部分岗位领导或授权人员可以从内部系统向操作终端拷贝文件；

在内部办公等应用系统中激活“白名单”防病毒木马机制，保证办公等各种应用的可靠运行和稳定性；

采用镜像母本克隆机制。在系统需要升级或改变配置时，只需要对母本进行操作，从而大大减少系统运维工作量，提高系统运维效率；

为一般工作人员配置普通桌面类型应用终端，并激活“桌面无痕安全机制”，在防止不同人员信息交叉使用的前提下，提高系统资源利用率；

为管理岗位配置VIP桌面类型应用终端，并支持其在单位外部通过各类操作终端访问其个人应用客户端桌面，保证其工作连续性和便利性。

6 结论

采用基于可信虚拟化技术的安全政务网络方案后，政务办公和业务应用系统不再担心各种病毒和木马的入侵破坏，也不再担心内部数据失泄密事件的发生；不仅如此，政务网络系统管理和运维人员工作比起以前更为轻松，工作效率更高；同时，由于新安全方案无需改变应用程序、操作流程和应用习惯，因此普通用户基本感受不到传统信息安全机制和安全措施可能带来的不方便，极大地保证了用户的安全应用体验。

参考文献

[1]于千婷. 对政府在网络信息安全工作方面的几点建议[J]. 工程技术：全文版， 2016（10）： 00271-00271.

[2]钟静. 政府机关计算机网络安全防御措施探讨[J]. 中国新通信， 2016，18（10）：66-66.

[3]吕风明. "互联网+"时代：政府网站网络安全的新挑战[J]. 电脑与电信， 2016（Z1）：69-70.

[4] Wu B， Liu P， Xu X. An evolutionary analysis of low-carbon strategies based on the government-enterprise game in the complex network context[J]. Journal of Cleaner Production， 2017， 141：168-179.

[5] Wincent J， Anokhin S， Ortqvist D. Supporting innovation in government-sponsored networks： The role of network board composition[J]. International Small Business Journal， 2013， 31（8）：997-1020.

[6] Murphy B M. Interdoc： The first international non-government computer network[J]. 2005，10（5）：1486.

[7] Jing L I. View of the government network according to the application of electronic technology to taxation[J]. Liaoning Taxation College Journal， 2002.

[8] Hufen H， Bruijn H D. Energy performance contracts as a tool for property management by local government[J]. Journal of Cleaner Production， 2015， 112.