本文作者：王刚耀马杰作者单位：人民日报社技术部

虚拟化应用运行过程

从图1中可以看出，虚拟化应用位于网络的DMZ区。Cisco6509、Cisco4506、Cisco3750和防火墙设备运行的都是路由模式。报社互联网上的用户要访问单位的虚拟化应用，数据包首先通过4506交换机，再到防火墙上。在防火墙上配置有相应的安全策略，会根据数据包的源和目的IP地址，以及端口号来判断是否对数据包进行路由，允许通过的数据包将会传输到DMZ区的Cisco3750交换机上，最终访问到虚拟化服务器上的业务应用。报社部分编辑、记者用户，需要通过虚拟化应用访问到报社内部网络上的一些采编应用系统，这样图1中的虚拟化服务器就会作为服务器，通过Cisco3750、防火墙和Cisco6509，最终访问到报社内部服务器上的资源。从采编应用服务器上返回的数据包也是先到达DMZ区的虚拟化应用服务器上，然后服务器再把数据包返回给报社互联网上的用户。

虚拟化应用安全思考

安全是应用的基础。目前，使用报社虚拟化的用户主要来自互联网，但是随着报社信息化建设的不断发展，桌面虚拟化和网络虚拟化也相继在报社进行测试应用。所以随着虚拟化使用范围的越来越广，更应该注重虚拟化在安全方面的防护和加固。（1）安全防护五要素。虚拟化应用和其它应用系统一样，都应该从五个方面进行安全加固，如图2所示。一是用户身份安全。它能够提供用户名密码、USB-KEY、硬件特征码、数字证书、短信认证中的一种或多种身份认证方式，保障用户身份接入的可靠性。二是终端安全。应当加强终端设备的病毒、木马防护，及时升级系统的漏洞补丁，检测、拦截和移除病毒、间谍软件。三是传输安全。要使用标准的加密算法保障数据的安全传输。四是应用权限安全。能够针对每个部门、每个用户进行应用、URL级别的授权，并可针对用户终端安全环境、登录时间的不同，进行差别授权和灵活控制。五是审计安全。日志中心能提供详细的报告，作为网络规划的依据，并且具备管理员权限的分级功能，提高管理安全性。（2）虚拟化应用安全隐患。报社虚拟化应用最普遍的方法是，用户用各种终端通过互联网连接到单位DMZ区的虚拟化服务器上，虚拟化服务器再作为就可以访问到内网的采编应用系统上，如图3所示。从图中可以看出，接入到虚拟化应用的终端有很多种，只要能接入到互联网就可以访问到报社的虚拟化应用。但是，访问虚拟化应用的“用户身份安全”不是很好验证，存在用户不能通过智能手机或PDA掌上电脑，使用USB-Key认证访问报社的虚拟化应用的问题，因为这些设备上没有USB接口。所以为了方便用户访问虚拟化应用，就开通了“用户名密码+认证码”的认证访问方式，这样用户无论使用什么样的终端都可以访问到虚拟化应用。但是，使用“用户名密码+认证码”的认证方式属于静态认证，一旦用户名和密码泄露会造成严重的后果。况且认证码也是一种非常简单的认证方式，它的目的是保证登录网站的是人而不是程序。非法用户完全可以通过一些专用的破解软件，把密码破译出来。所以，在虚拟化应用中最好不要使用“用户名密码”的认证方式。

虚拟化应用安全防护措施

针对应用系统的安全防护五要素，和报社虚拟化应用的实际情况，提出以下四点虚拟化应用的安全防护措施。（1）手机动态密码验证。报社很多业务应用系统，对安全性的要求也很高，而手机动态密码的认证方式，在国内有的银行已经广泛应用，例如交通银行。所以它的安全性已经得到认可，完全可以把它应用到报社的虚拟化认证中。它是一种动态的、互动的密码认证方式，即使非法用户盗用了银行用户的银行卡和支付密码，若他没有银行用户的手机也不能完成网上支付，因为动态密码只发送到银行用户本人的手机上。而且在向银行用户发送动态密码时会包括一个“密码序号”，如图4所示的上半部分，是用户进入到银行支付页面的提示。在“动态密码”输入框的后边就有一个提示“密码序号：56”；同样在图4的下半部分的黄色显示区域，是银行用户本人手机上收到的动态密码提示信息，在其中也包含有“密码序列：56”，这两个序号的数值必须一致才是真实有效的密码，这就进一步提高了手机动态密码的安全性。（2）扩展USB-Key认证使用范围。人民日报社目前已部署有完善的PKI认证系统，用户在访问重要的业务应用前，都需要通过USB-Key认证。而且，从表1对几种认证方式的比较可以看出，安全性最高的是USB-Key和动态口令认证方式。所以，在报社的虚拟化应用上，采用USB-Key认证就能保证所有业务应用系统在认证方式上的统一性。相比较而言，USB-Key认证方式性价比高，而且USB接口又有通用性，因此USB-Key认证技术最适合应用推广。由于USB-Key具有安全可靠、便于携带、使用方便、成本低廉的优点，加上PKI体系完善的数据保护机制，使用USB-Key存储数字证书的认证方式已经成为目前主要的认证模式。报社用户通过互联网，使用智能手机、PDA等没有USB接口的设备，远程登录虚拟化应用时，可以使用USB接口的转接线，把设备上的接口转换成USB接口，就可以继续使用USB-Key的认证方式。（3）远程安全桌面应用。图5安全桌面应用原理图访问虚拟化应用的用户，无论是用USB-Key认证方式，还是用“用户名密码”方式登入虚拟化应用系统时，经常会把报社内网中的资源下载到本地电脑中，其中可能会包含有涉及到单位的敏感信息，这些信息又极易被黑客和不法分子获取，若散播到互联网上，会对报社带来极坏的影响。而安全桌面技术的应用可以很好的解决这一问题。安全桌面技术可以防止重要数据留存在用户终端而泄露的风险。所有和虚拟化应用服务器发生的访问行为和传输的应用数据都将置于该安全桌面中，此安全桌面中的所有数据均无法存储到本机、无法拷贝到U盘等外设设备、无法通过局域网和互联网外发，任何方式都无法将数据从安全桌面内泄漏出去。当用户关闭安全桌面后，其中的所有数据将一并销毁，从而彻底保障重要数据被终端访问时的高安全性。（4）DMZ区部署七层防火墙。目前，报社部署的防火墙都是传统的防火墙设备，在性能、带宽和安全性上已远远不能满足虚拟化应用的各项需求，不能够在应用层面上对传输的数据进行拦截和监控。从图1中可以看出，互联网上的用户访问报社内部的虚拟化应用的所有数据，都必须通过两台防火墙设备FW-A和FW-B，所以防火墙设备性能的优劣，将会对虚拟化应用的安全起到决定性作用。七层防火墙增强了允许通过防火墙的数据包的安全性，因为网络安全的真实需求是，既要保证网络安全，也必须保证应用的正常运行。它主要是基于应用层开发的新一代防火墙，与传统防火墙相比它可以针对丰富的应用提供完整的、可视化的内容安全保护方案。解决了传统安全设备在应用可视化、应用管控、应用防护处理方面的巨大不足，并且满足了同时开启所有功能后性能不会大幅下降的要求。它既满足了普遍互联网边界行为管控的要求，同时还满足了在内网数据中心和广域网边界的部署要求，可以识别和控制丰富的内网应用。在图1所示的网络中部署七层防火墙后，可以识别出互联网上访问虚拟化的各种应用及其应用动作，识别出用户IP地址对应的多种信息，并建立组织的用户分组结构，这将会大大提高报社互联网用户访问虚拟化应用的安全性。