1 引言
隨著信息化安全技術(shù)的不斷發(fā)展。各種內(nèi)網(wǎng)安全管理問(wèn)題逐步凸顯出來(lái)。據(jù)IDC調(diào)查報(bào)告顯示,超過(guò)85%的網(wǎng)絡(luò)安全威脅來(lái)自于內(nèi)部,其危害程度更是遠(yuǎn)遠(yuǎn)超過(guò)黑客攻擊所造成的損失,而這些威脅大部分是內(nèi)部各種非法和違規(guī)操作行為所造成的,內(nèi)部風(fēng)險(xiǎn)控制亟待加強(qiáng)。傳統(tǒng)的以組織邊界和核心資產(chǎn)(服務(wù)器)為保護(hù)對(duì)象的安全防護(hù)體系逐漸顯出嚴(yán)重的缺陷,無(wú)法有效解決網(wǎng)絡(luò)終端安全管理中的諸多問(wèn)題和安全隱患。如同家庭是社會(huì)的細(xì)胞,網(wǎng)絡(luò)終端也是組成網(wǎng)絡(luò)的基本單元,其安全與否對(duì)網(wǎng)絡(luò)自身和信息系統(tǒng)的安全運(yùn)行有著深遠(yuǎn)的影響。運(yùn)用無(wú)盤(pán)技術(shù)構(gòu)建一個(gè)有效的終端安全管理體系,不僅能有效保障終端的安全,而且還能提升網(wǎng)絡(luò)整體的安全防御能力。
2 無(wú)盤(pán)技術(shù)基本原理
無(wú)盤(pán)技術(shù)的核心是網(wǎng)絡(luò)終端本地沒(méi)有安裝硬盤(pán),全部通過(guò)網(wǎng)絡(luò)服務(wù)器來(lái)啟動(dòng)終端用戶。無(wú)盤(pán)終端通過(guò)網(wǎng)卡啟動(dòng)后,自動(dòng)從服務(wù)器下載操作系統(tǒng)文件到本地內(nèi)存中,完成終端系統(tǒng)的啟動(dòng)。終端運(yùn)行過(guò)程中的各種程序數(shù)據(jù)存儲(chǔ)在終端的內(nèi)存中或服務(wù)器的特定分配區(qū)域,終端重新啟動(dòng)后,終端系統(tǒng)將恢復(fù)到初始狀態(tài)。目前,常用的無(wú)盤(pán)技術(shù)有以下兩種。
2.1基于虛擬磁盤(pán)的無(wú)盤(pán)技術(shù)
虛擬磁盤(pán)(virtual hard disk,VHD)技術(shù)是一種集中式虛擬磁盤(pán)技術(shù)。主要是通過(guò)專用網(wǎng)絡(luò)協(xié)議和驅(qū)動(dòng)將遠(yuǎn)程服務(wù)器上的存儲(chǔ)空間(硬盤(pán))作為存儲(chǔ)介質(zhì),使用串流技術(shù)來(lái)傳送高性能、高彈性、可擴(kuò)展性的虛擬磁盤(pán)到客戶端。通過(guò)這種集中管理,分散運(yùn)算的架構(gòu),在終端實(shí)現(xiàn)磁盤(pán)及軟件的安裝、更新、備份、還原,同時(shí)終端保留個(gè)人電腦使用習(xí)慣及充分發(fā)揮客戶端的運(yùn)算能力。網(wǎng)絡(luò)客戶端啟動(dòng)后通過(guò)網(wǎng)卡發(fā)送DHCP/find幀來(lái)發(fā)現(xiàn)和尋找DHCP服務(wù)器,DHCP服務(wù)器通過(guò)匹配網(wǎng)卡的MAC地址來(lái)確定是否給客戶機(jī)分配IP地址。服務(wù)器給匹配MAC地址來(lái)確定是否給客戶機(jī)分配IP地址后,客戶機(jī)和服務(wù)器就通過(guò)ISCSI(intemet snqa1]computer system interface)通訊,利用TCP/IP協(xié)議在客戶機(jī)和服務(wù)器間傳送存儲(chǔ)命令和數(shù)據(jù),完成客戶機(jī)系統(tǒng)的啟動(dòng)和程序軟件的運(yùn)行。
2.2基于嵌入式云端的無(wú)盤(pán)技術(shù)
基于嵌入式云端的無(wú)盤(pán)技術(shù)采用高度集成化的軟硬件一體化技術(shù),在一塊小型主板上集成了高速低功耗的嵌入式處理器,雖然機(jī)身小巧,但接口俱全,與傳統(tǒng)計(jì)算機(jī)一樣通過(guò)網(wǎng)線與網(wǎng)絡(luò)相連。軟件系統(tǒng)采用嵌入式的軟件操作系統(tǒng),目前主甚是基于微軟的Windows XP Embedded系統(tǒng)平臺(tái)和Linux的系統(tǒng)平臺(tái)。通過(guò)共享模式和預(yù)定的策略從服務(wù)器調(diào)用相關(guān)程序和軟件,采用虛擬桌面協(xié)議(vim~l desktop protocol,VDP)與云服務(wù)器進(jìn)行通訊。每個(gè)云終端用不同的用戶名和密碼登錄到云眼務(wù)器后,云服務(wù)器會(huì)為不同的云終端用戶開(kāi)設(shè)獨(dú)立的會(huì)話,每個(gè)云終端占用獨(dú)立的云終端用戶開(kāi)設(shè)獨(dú)立的會(huì)話,每個(gè)云終端占用獨(dú)立的內(nèi)存空間,其運(yùn)行程序的界面會(huì)通過(guò)VDP協(xié)議傳送到云終端上,從而云終端之間能夠獨(dú)立運(yùn)行而不互相干擾。云終端作為客戶端設(shè)備,它的配置、存儲(chǔ)、運(yùn)行和管理等主要功能均由云服務(wù)器完成,云終端用戶只需要通過(guò)網(wǎng)絡(luò)把鼠標(biāo)、鍵盤(pán)及其他外設(shè)操作信息傳送到云服務(wù)器端,從云服務(wù)器端接受變化的應(yīng)用程序界面,并在云終端的用戶界面顯示出來(lái),這樣就可以獲得在本地運(yùn)行應(yīng)用程序一樣的訪問(wèn)感受。
2.3技術(shù)對(duì)比
目前.基于虛擬磁盤(pán)的無(wú)盤(pán)技術(shù)和基于嵌入式云終端的無(wú)盤(pán)技術(shù)均有廣泛的應(yīng)用。其中虛擬磁盤(pán)的無(wú)盤(pán)技術(shù)應(yīng)用較早,早在2O世紀(jì)9O年代中期就開(kāi)始使用。有大量成熟的產(chǎn)品和系統(tǒng),我國(guó)的代表廠商有銳起、網(wǎng)眾等,是目前無(wú)盤(pán)技術(shù)采用的主流技術(shù),它不僅發(fā)揮了服務(wù)器的集中管控功能,還有效發(fā)揮了終端的運(yùn)算能力。而且,由于網(wǎng)絡(luò)設(shè)備和線路成本的下降,使得采用虛擬磁盤(pán)的無(wú)盤(pán)終端啟動(dòng)速度和數(shù)據(jù)讀寫(xiě)速度都得到大幅提高,已經(jīng)達(dá)到了使用本地硬盤(pán)讀寫(xiě)數(shù)據(jù)的水平。
基于嵌入式云終端的無(wú)盤(pán)技術(shù)是近兩年出現(xiàn)的新技術(shù),也吸引了不少?gòu)S商研究開(kāi)發(fā)相關(guān)產(chǎn)品和系統(tǒng),我國(guó)主要有清華同方、聯(lián)想等。由于采用嵌入式的低功耗處理器,系統(tǒng)比較穩(wěn)定,但終端數(shù)據(jù)處理能力較弱,僅能運(yùn)行部分軟件和程序。終端還具有功耗低的優(yōu)勢(shì),云終端由于使用嵌入式一體化設(shè)計(jì),其平均功耗為1O瓦左右,僅為普通終端的4%左右,比傳統(tǒng)終端火大節(jié)省電費(fèi),符合環(huán)保節(jié)能低碳的要求。
因此,應(yīng)該可以根據(jù)不同的應(yīng)用范圍選擇不同的無(wú)盤(pán)技術(shù)系統(tǒng),對(duì)于終端個(gè)人應(yīng)用較多,程序軟件讀寫(xiě)數(shù)量大的客戶使用基于虛擬磁盤(pán)的無(wú)盤(pán)技術(shù),提高無(wú)盤(pán)的運(yùn)行效率和速度;對(duì)于公共服務(wù),例如查詢終端、證券終端、簡(jiǎn)單的辦公終端可以使用基于嵌入式云終端的無(wú)盤(pán)技術(shù),達(dá)到節(jié)能、穩(wěn)定、免維護(hù)的效果。
3 在軍內(nèi)機(jī)密級(jí)辦公網(wǎng)中的應(yīng)用
在軍內(nèi)機(jī)密級(jí)辦公網(wǎng)中,無(wú)盤(pán)技術(shù)主要采用基于虛擬磁盤(pán)的無(wú)盤(pán)技術(shù),網(wǎng)絡(luò)終端本地不存儲(chǔ)任何數(shù)據(jù),終端的數(shù)據(jù)安全能得到有效的防護(hù)。無(wú)盤(pán)技術(shù)不僅加強(qiáng)了個(gè)人數(shù)據(jù)的安全保密性,做到每個(gè)用戶的數(shù)據(jù)資料都相對(duì)獨(dú)立,而且還可以避免非權(quán)限內(nèi)的通過(guò)硬盤(pán)、u 盤(pán)等存儲(chǔ)介質(zhì)拷貝復(fù)制。對(duì)于病毒,由于所有終端不安裝硬盤(pán),因而大幅度降低感染病毒的概率。即使網(wǎng)絡(luò)中的某一終端感染了病毒,也只需在無(wú)盤(pán)服務(wù)器上殺毒,不用逐臺(tái)處理各個(gè)計(jì)算機(jī)終端。無(wú)盤(pán)技術(shù)的體系結(jié)構(gòu)不但可以使由于誤操作或病毒造成的對(duì)網(wǎng)絡(luò)系統(tǒng)的損害降到最低,最大限度地保護(hù)服務(wù)器中的系統(tǒng)盤(pán)不受人為破壞和病毒侵?jǐn)_,而且可以保證各種軟件在多人同時(shí)應(yīng)用情況下的正常和穩(wěn)定運(yùn)行,并結(jié)合交換機(jī)IP+MAc的雙向綁定,更能有效解決終端準(zhǔn)入的問(wèn)題。
無(wú)盤(pán)網(wǎng)絡(luò)安全體系結(jié)構(gòu)主要有無(wú)盤(pán)存儲(chǔ)服務(wù)器、無(wú)盤(pán)系統(tǒng)服務(wù)器、無(wú)盤(pán)終端用戶、核心交換機(jī)、安全防護(hù)系統(tǒng)等關(guān)鍵設(shè)備組成,各部分實(shí)現(xiàn)的主要功能如圖1所示。
圖1 無(wú)盤(pán)網(wǎng)絡(luò)安全體系結(jié)構(gòu)
3.1無(wú)盤(pán)系統(tǒng)服務(wù)器
無(wú)盤(pán)系統(tǒng)服務(wù)器根據(jù)地址分配策略給無(wú)盤(pán)終端分配IP地址、子網(wǎng)掩碼、網(wǎng)關(guān)、DNS等網(wǎng)絡(luò)地址。根據(jù)不同終端的需要可以加載不同的操作系統(tǒng)和應(yīng)用工具虛擬磁盤(pán)。而且,還可以根據(jù)不同業(yè)務(wù)部門(mén)(使用者)需求,為使用同一系統(tǒng)鏡像磁盤(pán)的無(wú)盤(pán)終端設(shè)置兩種不同系統(tǒng)讀寫(xiě)操作權(quán)限,分別是無(wú)盤(pán)終端的操作系統(tǒng)、工具軟件的個(gè)性化讀寫(xiě)權(quán)限模式和無(wú)盤(pán)終端的操作系統(tǒng)、工具軟件的個(gè)性化只讀權(quán)限模式。操作系統(tǒng)、工具軟件的個(gè)性化讀寫(xiě)權(quán)限模式在安全等級(jí)較低的個(gè)人應(yīng)用中使用,使用者完全感覺(jué)不到無(wú)盤(pán)終端使用的虛擬磁盤(pán),可以對(duì)系統(tǒng)參數(shù)進(jìn)行設(shè)置和修改,可以自主安裝和卸載工具軟件。操作系統(tǒng)、工具軟件只讀權(quán)限模式在安全等級(jí)較高的應(yīng)用中使用,用戶只能通過(guò)預(yù)制的操作系統(tǒng)功能和工具軟件進(jìn)行無(wú)盤(pán)終端的使用,無(wú)法進(jìn)行超越預(yù)制策略的任何操作,實(shí)現(xiàn)了無(wú)盤(pán)終端從操作系統(tǒng)、工具軟件、網(wǎng)上行為的精確管控。
3.2無(wú)盤(pán)存儲(chǔ)服務(wù)器
無(wú)盤(pán)存儲(chǔ)服務(wù)器配置高性能的處理器和內(nèi)存,并根據(jù)需要采用穩(wěn)定性強(qiáng)、讀寫(xiě)效率高的RAID存儲(chǔ)陣列,為無(wú)盤(pán)終端提供存儲(chǔ)空間,建立個(gè)人網(wǎng)絡(luò)硬盤(pán)。系統(tǒng)可以對(duì)集中存儲(chǔ)空間按區(qū)域、單位和個(gè)人三級(jí)進(jìn)行劃分和分配,并可實(shí)現(xiàn)按級(jí)進(jìn)行管理,當(dāng)存儲(chǔ)設(shè)備出現(xiàn)異常,能進(jìn)行及時(shí)告警。網(wǎng)內(nèi)所有用戶的文件資料信息全部加密存儲(chǔ)到信息中心集中存儲(chǔ)設(shè)備上,并進(jìn)行相應(yīng)備份,集中存儲(chǔ)空間主要按單位和個(gè)人進(jìn)行劃分和分配,原則上每個(gè)用戶分配20G空間,如有特殊需要,也可根據(jù)實(shí)際需求情況動(dòng)態(tài)擴(kuò)容。
集中存儲(chǔ)空間的管理由信息中心管理員和各單位網(wǎng)絡(luò)管理員按職權(quán)分級(jí)進(jìn)行管理。
3.3無(wú)盤(pán)用戶終端
無(wú)盤(pán)終端用戶采用專用無(wú)盤(pán)計(jì)算機(jī),開(kāi)機(jī)后先從無(wú)盤(pán)服務(wù)器中讀取系統(tǒng)鏡像,經(jīng)USBkey及用戶名密碼雙重認(rèn)證后,進(jìn)入系統(tǒng)操作環(huán)境。用戶通過(guò)強(qiáng)身份認(rèn)證進(jìn)入操作系統(tǒng)后,所有的讀寫(xiě)操作都要通過(guò)集中存儲(chǔ)服務(wù)器,用戶操作產(chǎn)生的數(shù)據(jù)通過(guò)集中存儲(chǔ)服務(wù)器存儲(chǔ)在信息中心的磁盤(pán)陣列中,保證個(gè)人終端不留密。取下USBkey后,系統(tǒng)會(huì)退出所有操作系統(tǒng)環(huán)境,無(wú)法進(jìn)行任何操作,關(guān)機(jī)后,用戶終端不存留任何信息。
3.3網(wǎng)絡(luò)核心交換機(jī)
網(wǎng)絡(luò)核心交換機(jī)主要完成二層網(wǎng)絡(luò)數(shù)據(jù)的高速交換工作,為了提高整個(gè)內(nèi)網(wǎng)的安全性,確保接入網(wǎng)絡(luò)終端的可信度,可以實(shí)行交換機(jī)端口,終端網(wǎng)卡MAC地址和IP地址的綁定,防止未授權(quán)的非法終端連入內(nèi)網(wǎng),確保無(wú)盤(pán)網(wǎng)絡(luò)的安全穩(wěn)定。目前網(wǎng)絡(luò)交換機(jī)的速率得到了大幅提升,從原來(lái)的lOM到100M,現(xiàn)在已經(jīng)普及到千兆桌面,主干已經(jīng)實(shí)現(xiàn)了萬(wàn)兆互連,網(wǎng)絡(luò)設(shè)備成本也在不斷下降,從這個(gè)角度上看,網(wǎng)絡(luò)傳輸速度的大幅提高為無(wú)盤(pán)終端的使用提供了良好的通信支撐平臺(tái),同時(shí)也降低了無(wú)盤(pán)網(wǎng)絡(luò)系統(tǒng)的網(wǎng)絡(luò)基礎(chǔ)平臺(tái)門(mén)檻。
3.4安全防護(hù)系統(tǒng)
通過(guò)采用入侵檢測(cè)設(shè)備、安全審計(jì)系統(tǒng)、身份認(rèn)證系統(tǒng)、主機(jī)管控系統(tǒng)、防病毒系統(tǒng)、漏洞掃描與補(bǔ)丁分發(fā)系統(tǒng)、信道加密和數(shù)據(jù)加密設(shè)備以及網(wǎng)絡(luò)管理軟件等設(shè)備和系統(tǒng),保證軍內(nèi)機(jī)密級(jí)辦公網(wǎng)安全運(yùn)行,各種數(shù)據(jù)傳輸、存儲(chǔ)安全可靠。
4 結(jié)束語(yǔ)
信息化程度的不斷提高對(duì)軍內(nèi)機(jī)密級(jí)辦公網(wǎng)的安全管理提出了更高的要求,無(wú)盤(pán)技術(shù)為軍內(nèi)機(jī)密級(jí)辦公網(wǎng)提供了一個(gè)有效的安全解決方案,實(shí)現(xiàn)軍內(nèi)機(jī)密級(jí)辦公網(wǎng)網(wǎng)絡(luò)系統(tǒng)的安全管控。采用無(wú)盤(pán)技術(shù)構(gòu)建的網(wǎng)絡(luò)管理系統(tǒng)由于具有安全穩(wěn)定,易于維護(hù),節(jié)約節(jié)能等優(yōu)點(diǎn),必將成為軍內(nèi)機(jī)密級(jí)辦公網(wǎng)網(wǎng)絡(luò)建設(shè)的一種新趨勢(shì),使網(wǎng)絡(luò)安全保密和高效運(yùn)維達(dá)到一個(gè)新的臺(tái)階。
核心關(guān)注:拓步ERP系統(tǒng)平臺(tái)是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用,蘊(yùn)涵了豐富的ERP管理思想,集成了ERP軟件業(yè)務(wù)管理理念,功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理,全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域,是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。
轉(zhuǎn)載請(qǐng)注明出處:拓步ERP資訊網(wǎng)http://www.ezxoed.cn/
本文標(biāo)題:無(wú)盤(pán)技術(shù)在軍內(nèi)機(jī)密級(jí)辦公網(wǎng)中的應(yīng)用
本文網(wǎng)址:http://www.ezxoed.cn/html/consultation/1083936924.html