桌面平台层安全随手记录

声明

本文是学习桌面云安全技术要求. 而整理的学习笔记,分享出来希望更多人受益,如果存在侵权请及时联系我们

桌面平台层安全

桌面接入安全

用户标识

一般要求

本项要求包括：

a) 系统应为用户提供唯一的身份标识，同时将用户的身份标识与该用户的所有可审计事件相关联；

b) 系统应能对用户进行角色划分，能针对不同的用户角色设定不同的权限。

身份鉴别

一般要求

本项要求包括：

a) 系统应在每次请求访问虚拟桌面前，进行用户身份鉴别，身份鉴别的机制应达到一定的口令复杂度要求；

b) 在设定的时间段内没有任何操作的情况下，系统应断开会话或重新鉴别用户，系统应提供时限的默认值；

c) 应提供鉴别失败处理功能，当用户鉴别尝试不成功次数在一定时间段内超过指定值后，系统应采取相应措施阻止用户在限定时间内进一步的鉴别请求。

增强要求

本项要求包括：

a) 身份鉴别机制应采用多因子认证进行身份鉴别。

终端安全

一般要求

本项要求包括：

a) 终端设备必须在成功进行身份鉴别后才能接入桌面云网络，防止非法的终端接入；

b) 系统若支持不同的终端设备（包括胖终端、瘦终端、零终端和移动终端等），应能在有安全需求的情况下，针对不同的终端设备限制接入方式；

c) 确保终端设备只能与服务端设备进行数据通信；

d) 如果桌面终端为瘦终端，应保证瘦终端中嵌入式操作系统的完整性；

e) 如果桌面终端为瘦终端，应保证瘦终端不对外暴露内置存储访问接口；

f) 如果桌面终端为瘦终端，应保证瘦终端不提供软件安装的接口；

g) 如果桌面终端为胖终端和移动终端，应支持对桌面客户端软件进行完整性检验。

增强要求

a) 如果域场景为多域场景且终端设备为瘦终端，应保证终端设备存储空间内保存的所有敏感数据在域间切换时得到彻底清除。

传输安全

一般要求

本项要求包括：

a) 应采用安全的传输协议进行桌面访问，确保传输数据的保密性和完整性；

b) 应支持对单个桌面的多重会话进行限制。

增强要求

本项要求包括：

a) 应支持非移动终端设备与桌面平台之间的双向认证。

桌面平台管理安全

用户标识

1. 一般要求

本项要求包括：

a) 应支持为管理员提供唯一的身份标识，同时将管理员的身份标识与该管理员的所有可审计事件相关联；

b) 应支持将管理员角色根据不同的管理要求进行分类，并形成相互制约、监督的关系；

c) 应支持由管理员定义合适的桌面用户角色，对桌面用户按最小授权原则进行管理；

d) 应支持对桌面用户进行管理，支持增、删、改用户，并对用户参数进行设置；

e) 用户鉴别相关数据应以非明文方式存储；

f) 应支持对桌面用户进行角色划分，能针对不同的用户角色设定不同的权限，能针对相同角色的用户下发相同的策略。

身份鉴别

一般要求

本项要求包括：

a) 系统应在每次请求访问管理平台前，进行管理员身份鉴别应达到一定的口令复杂度要求；

g) 在设定的时间段内没有任何操作的情况下，系统应断开会话或重新鉴别管理员，系统应提供时限的默认值；

h) 当用户鉴别尝试不成功次数在一定时间段内超过指定值后，系统应采取相应的措施阻止用户在限定时间内进一步的鉴别请求。

增强要求

本项要求包括：

a) 身份鉴别的机制应采用多因子认证对管理员用户进行身份鉴别。

访问控制

一般要求

本项要求包括：

a) 访问控制的覆盖范围应包括与资源访问相关的主体、客体及它们之间的操作；

b) 授权用户对受保护资源进行访问的内容、操作权限不能超出预定义的范围；

c) 访问控制主体为：用户、业务系统等；

d) 受保护的资源至少包括：虚拟机、镜像、模板、快照等。

终端设备管理

一般要求

本项要求包括：

a) 应能限制终端设备连接桌面云，例如仅能在特定IP地址范围、MAC、一定时间范围接入桌面云；

b) 应提供终端设备操作审计；

c) 应支持对终端设备的外设接口（如USB接口等）或剪切板进行控制。

增强要求

本项要求包括：

a) 应限制截屏功能，防止通过截屏进行非法数据外传。

防恶意软件加载和补丁管理

增强要求

本项要求包括：

a) 应采取一定的措施防止系统中的恶意软件加载并对补丁进行统一管理，包括但不限于以下措施中的一种或几种：

1. 支持对虚拟桌面中的防恶意代码软件和操作系统补丁提供统一管理和升级管理；

2. 采用白名单策略对虚拟桌面中应用软件加载进行控制。

镜像、模板和快照安全

一般要求

本项要求包括：

a) 应支持对虚拟机模板文件进行完整性保护；

b) 应提供对虚拟机镜像文件、模板文件和快照的操作日志

c) 应支持对虚拟机模板、快照的统一管理，禁止未授权用户对虚拟机模板和快照的修改、删除等操作。

增强要求

本项要求包括：

a) 应支持对虚拟机镜像文件进行保密性保护；

d) 应保证虚拟机的镜像、快照的剩余信息得到完全清除。

备份与恢复机制

一般要求

本项要求包括：

a) 应提供用户数据备份机制，当用户虚拟磁盘数据丢失（如磁盘异常删除等）时，可以恢复数据；

b) 应提供多种备份策略，满足不同安全级别的用户需求；

c) 在故障发生后，虚拟桌面能恢复到备份点的状态；

d) 若虚拟桌面分配给临时用户使用，在虚拟桌面被用户释放后能恢复到初始状态。

安全监控

一般要求

本项要求包括：

a) 支持对用户在线状态、用户使用状态、虚拟机运行状态、终端在线状态等的实时监控，形成安全事件信息等。

增强要求

本项要求包括：

a) 应支持对运行时安全策略执行状态的检查；

b) 应支持自定义安全事件，包括事件类型等；

c) 应支持对安全事件信息进行处理，形成不同级别的安全告警信息；

d) 应支持设置多种告警方式。

安全审计

1. 一般要求

本项要求包括：

a) 应能对用户和管理员的所有操作行为进行记录形成日志，包括登录桌面、日常业务操作等；

e) 审计日志应至少包括事件类型、事件时间、事件主体、事件客体、IP地址、事件描述和事件结果等字段；

f) 审计日志应存储在掉电非遗失性存储介质中；

g) 当存储空间将要耗尽时，应采取相应措施，保证审计日志不丢失；

h) 应支持对审计日志进行备份；

i) 只允许授权的管理员访问审计日志；

j) 应保护审计日志不被未授权地访问、修改和破坏；

k) 应提供审计日志的可选择查询功能，支持按以下条件之一或组合进行查询：事件类型、事件时间、事件主体、事件客体、IP地址和事件结果或关键词；

l) 应提供对审计日志的导出和删除功能；

m) 应通过安全的方式对日志进行查看，以保证传输过程的保密性和完整性。

A. （资料性附录）\
桌面云场景描述

主流桌面云技术架构

目前市场上的桌面云技术架构根据计算的位置分为两大类，一类是在服务器端进行计算的桌面云技术架构，通常称为虚拟桌面架构（Virtual
Desktop
Infrastructure,VDI）架构；另一类是在用户端进行计算的桌面云技术架构，包括虚拟操作系统架构（Virtual
OS Infrastructure,VOI）架构和智能桌面虚拟化（Intelligent Desktop
Virtualization,IDV）架构。

虚拟桌面架构是利用虚拟化技术，使用户可以通过网络使用在服务器端的计算和存储资源，用户在进行操作后，由服务器端进行计算，将结果形成图像以视频帧压缩后传输到本地计算设备，本地计算设备进行还原显示，本地计算设备仅接收桌面图像，不存储用户数据。

智能桌面虚拟化架构是利用虚拟化技术，服务器端运行虚拟机，用户通过传输协议连接服务端虚拟机运行的镜像，用户将该镜像文件缓存至本地，利用本地资源进行计算，服务器端负责管理和分发虚拟机镜像。

虚拟操作系统架构是通过I/O重定向等技术，服务器端分发操作系统镜像文件，镜像文件直接在本地计算设备上，虚拟化出完全工作于本机物理硬件之上的操作系统，服务器端负责管理和分发操作系统镜像。

三种桌面云架构对比

本标准主要基于虚拟桌面架构提出安全技术要求，针对智能桌面虚拟化架构和虚拟操作系统架构，除第7章内容外，可根据架构的变化，选择性参考本标准。

桌面云部署场景

本节以不同的部署模型为例来描述桌面云的使用场景。

私有桌面云

私有桌面系统是指基于虚拟化技术的、面向企业内部用户的虚拟桌面，用户可以通过能联网的PC机、便携计算机、数字移动电话机、瘦终端等设备，在企业规定的范围内访问自己的云桌面。员工通过安装在桌面系统中的办公软件（如通用办公软件、内部系统等）来进行正常的办公活动，例如处理邮件、编辑文档等。传统的私有桌面系统以独立、分散的PC环境为主。这种方式的优点是桌面性能好，个性化能力强。但也存在例如管理维护困难、企业或组织数据安全无法保证、无法融入企业或组织数据中心容灾体系等问题。

私有桌面云能够为用户提供托管式桌面服务。相对于本地的独立桌面系统而言，托管式桌面通过虚拟化技术集中部署在集中数据中心，用户端仅需要一个连接和显示的终端设备就可以通过网络显示并运行一个托管于数据中心的桌面系统，包括完整的独立操作系统和用户所需要用到的各种办公软件。这种网络访问的方式为用户提供了非常灵活的工作处理能力和移动办公的能力。

私有桌面云和私有云类似，是单独为某个企业或组织建立的。私有桌面云的托管式桌面系统，与传统的独立桌面系统，在用户使用上并没有任何区别。但是集中化部署的托管式桌面在保证了桌面性能和个性化能力的基础上很好地解决了管理维护和企业数据安全的问题。

公共桌面云

公共桌面云是基于虚拟化技术的、面向大众或大型工业组织的虚拟桌面，用户可以通过能联网的PC机、便携计算机、数字移动电话机、瘦终端等设备，随时随地访问自己的云桌面。该场景与私有桌面云不同之处在于，公共桌面云的基础设施为某个云服务厂商所有。一般来说，公共桌面云的运维和管理在服务提供商的数据中心中实现，该数据中心通过配置动态资源为各种类型的用户提供虚拟桌面服务。

公共桌面云使得公共用户不必在一个固定的场所，不用在指定的台式设备上就可以直接访问云服务，直接调配、使用在公有云上的文档、应用、数据、计算和存储资源。公共桌面云可以为用户提供更灵活的接入方式，以及更容易操作、安全和高性能的桌面体验。

桌面云域场景

本节以域场景为例来描述桌面云的使用场景。

单域桌面云

在单域桌面云场景中，一个终端设备仅能访问一个安全域。

图A1单域桌面云示意图

多域桌面云

在多域桌面云场景中，一个终端设备可以访问多个安全域。

图A2多域桌面云示意图

B. 缩略语

基本输入输出系统 BIOS（Basic Input Output System）

中央处理器 CPU（Central Processing Unit）

网络之间互连的协议 IP（Internet Protocol）

输入/输出 I/O（Input/Output）

虚拟局域网 VLAN（Virtual Local Area Network）

扩展虚拟局域网 VxLAN（Virtual Extensible LAN）

物理地址 MAC（Media Access Control）

身份 ID（IDentity）

通用串行总线 USB（Universal Serial Bus）

因特网协议 IP（Internet Protocol）

媒体访问控制 MAC（Media Access Control）

虚拟局域网 VLAN（Virtual Local Area Network）

[]{#BKCKWX .anchor}参 考 文 献

1. GB/T 32399—2015 信息技术　安全技术云计算　参考架构

2. GB/T 22239—2008 信息安全技术 信息系统安全等级保护基本要求

_________________________________

延伸阅读

更多内容 可以 桌面云安全技术要求. 进一步学习

联系我们

DB2201-T 18-2022 政务数据安全管理责任指南 长春市.pdf