1 引言
随着信息化安全技术的不断发展。各种内网安全管理问题逐步凸显出来。据IDC调查报告显示,超过85%的网络安全威胁来自于内部,其危害程度更是远远超过黑客攻击所造成的损失,而这些威胁大部分是内部各种非法和违规操作行为所造成的,内部风险控制亟待加强。传统的以组织边界和核心资产(服务器)为保护对象的安全防护体系逐渐显出严重的缺陷,无法有效解决网络终端安全管理中的诸多问题和安全隐患。如同家庭是社会的细胞,网络终端也是组成网络的基本单元,其安全与否对网络自身和信息系统的安全运行有着深远的影响。运用无盘技术构建一个有效的终端安全管理体系,不仅能有效保障终端的安全,而且还能提升网络整体的安全防御能力。
2 无盘技术基本原理
无盘技术的核心是网络终端本地没有安装硬盘,全部通过网络服务器来启动终端用户。无盘终端通过网卡启动后,自动从服务器下载操作系统文件到本地内存中,完成终端系统的启动。终端运行过程中的各种程序数据存储在终端的内存中或服务器的特定分配区域,终端重新启动后,终端系统将恢复到初始状态。目前,常用的无盘技术有以下两种。
2.1基于虚拟磁盘的无盘技术
虚拟磁盘(virtual hard disk,VHD)技术是一种集中式虚拟磁盘技术。主要是通过专用网络协议和驱动将远程服务器上的存储空间(硬盘)作为存储介质,使用串流技术来传送高性能、高弹性、可扩展性的虚拟磁盘到客户端。通过这种集中管理,分散运算的架构,在终端实现磁盘及软件的安装、更新、备份、还原,同时终端保留个人电脑使用习惯及充分发挥客户端的运算能力。网络客户端启动后通过网卡发送DHCP/find帧来发现和寻找DHCP服务器,DHCP服务器通过匹配网卡的MAC地址来确定是否给客户机分配IP地址。服务器给匹配MAC地址来确定是否给客户机分配IP地址后,客户机和服务器就通过ISCSI(intemet snqa1]computer system interface)通讯,利用TCP/IP协议在客户机和服务器间传送存储命令和数据,完成客户机系统的启动和程序软件的运行。
2.2基于嵌入式云端的无盘技术
基于嵌入式云端的无盘技术采用高度集成化的软硬件一体化技术,在一块小型主板上集成了高速低功耗的嵌入式处理器,虽然机身小巧,但接口俱全,与传统计算机一样通过网线与网络相连。软件系统采用嵌入式的软件操作系统,目前主甚是基于微软的Windows XP Embedded系统平台和Linux的系统平台。通过共享模式和预定的策略从服务器调用相关程序和软件,采用虚拟桌面协议(vim~l desktop protocol,VDP)与云服务器进行通讯。每个云终端用不同的用户名和密码登录到云眼务器后,云服务器会为不同的云终端用户开设独立的会话,每个云终端占用独立的云终端用户开设独立的会话,每个云终端占用独立的内存空间,其运行程序的界面会通过VDP协议传送到云终端上,从而云终端之间能够独立运行而不互相干扰。云终端作为客户端设备,它的配置、存储、运行和管理等主要功能均由云服务器完成,云终端用户只需要通过网络把鼠标、键盘及其他外设操作信息传送到云服务器端,从云服务器端接受变化的应用程序界面,并在云终端的用户界面显示出来,这样就可以获得在本地运行应用程序一样的访问感受。
2.3技术对比
目前.基于虚拟磁盘的无盘技术和基于嵌入式云终端的无盘技术均有广泛的应用。其中虚拟磁盘的无盘技术应用较早,早在2O世纪9O年代中期就开始使用。有大量成熟的产品和系统,我国的代表厂商有锐起、网众等,是目前无盘技术采用的主流技术,它不仅发挥了服务器的集中管控功能,还有效发挥了终端的运算能力。而且,由于网络设备和线路成本的下降,使得采用虚拟磁盘的无盘终端启动速度和数据读写速度都得到大幅提高,已经达到了使用本地硬盘读写数据的水平。
基于嵌入式云终端的无盘技术是近两年出现的新技术,也吸引了不少厂商研究开发相关产品和系统,我国主要有清华同方、联想等。由于采用嵌入式的低功耗处理器,系统比较稳定,但终端数据处理能力较弱,仅能运行部分软件和程序。终端还具有功耗低的优势,云终端由于使用嵌入式一体化设计,其平均功耗为1O瓦左右,仅为普通终端的4%左右,比传统终端火大节省电费,符合环保节能低碳的要求。
因此,应该可以根据不同的应用范围选择不同的无盘技术系统,对于终端个人应用较多,程序软件读写数量大的客户使用基于虚拟磁盘的无盘技术,提高无盘的运行效率和速度;对于公共服务,例如查询终端、证券终端、简单的办公终端可以使用基于嵌入式云终端的无盘技术,达到节能、稳定、免维护的效果。
3 在军内机密级办公网中的应用
在军内机密级办公网中,无盘技术主要采用基于虚拟磁盘的无盘技术,网络终端本地不存储任何数据,终端的数据安全能得到有效的防护。无盘技术不仅加强了个人数据的安全保密性,做到每个用户的数据资料都相对独立,而且还可以避免非权限内的通过硬盘、u 盘等存储介质拷贝复制。对于病毒,由于所有终端不安装硬盘,因而大幅度降低感染病毒的概率。即使网络中的某一终端感染了病毒,也只需在无盘服务器上杀毒,不用逐台处理各个计算机终端。无盘技术的体系结构不但可以使由于误操作或病毒造成的对网络系统的损害降到最低,最大限度地保护服务器中的系统盘不受人为破坏和病毒侵扰,而且可以保证各种软件在多人同时应用情况下的正常和稳定运行,并结合交换机IP+MAc的双向绑定,更能有效解决终端准入的问题。
无盘网络安全体系结构主要有无盘存储服务器、无盘系统服务器、无盘终端用户、核心交换机、安全防护系统等关键设备组成,各部分实现的主要功能如图1所示。
图1 无盘网络安全体系结构
3.1无盘系统服务器
无盘系统服务器根据地址分配策略给无盘终端分配IP地址、子网掩码、网关、DNS等网络地址。根据不同终端的需要可以加载不同的操作系统和应用工具虚拟磁盘。而且,还可以根据不同业务部门(使用者)需求,为使用同一系统镜像磁盘的无盘终端设置两种不同系统读写操作权限,分别是无盘终端的操作系统、工具软件的个性化读写权限模式和无盘终端的操作系统、工具软件的个性化只读权限模式。操作系统、工具软件的个性化读写权限模式在安全等级较低的个人应用中使用,使用者完全感觉不到无盘终端使用的虚拟磁盘,可以对系统参数进行设置和修改,可以自主安装和卸载工具软件。操作系统、工具软件只读权限模式在安全等级较高的应用中使用,用户只能通过预制的操作系统功能和工具软件进行无盘终端的使用,无法进行超越预制策略的任何操作,实现了无盘终端从操作系统、工具软件、网上行为的精确管控。
3.2无盘存储服务器
无盘存储服务器配置高性能的处理器和内存,并根据需要采用稳定性强、读写效率高的RAID存储阵列,为无盘终端提供存储空间,建立个人网络硬盘。系统可以对集中存储空间按区域、单位和个人三级进行划分和分配,并可实现按级进行管理,当存储设备出现异常,能进行及时告警。网内所有用户的文件资料信息全部加密存储到信息中心集中存储设备上,并进行相应备份,集中存储空间主要按单位和个人进行划分和分配,原则上每个用户分配20G空间,如有特殊需要,也可根据实际需求情况动态扩容。
集中存储空间的管理由信息中心管理员和各单位网络管理员按职权分级进行管理。
3.3无盘用户终端
无盘终端用户采用专用无盘计算机,开机后先从无盘服务器中读取系统镜像,经USBkey及用户名密码双重认证后,进入系统操作环境。用户通过强身份认证进入操作系统后,所有的读写操作都要通过集中存储服务器,用户操作产生的数据通过集中存储服务器存储在信息中心的磁盘阵列中,保证个人终端不留密。取下USBkey后,系统会退出所有操作系统环境,无法进行任何操作,关机后,用户终端不存留任何信息。
3.3网络核心交换机
网络核心交换机主要完成二层网络数据的高速交换工作,为了提高整个内网的安全性,确保接入网络终端的可信度,可以实行交换机端口,终端网卡MAC地址和IP地址的绑定,防止未授权的非法终端连入内网,确保无盘网络的安全稳定。目前网络交换机的速率得到了大幅提升,从原来的lOM到100M,现在已经普及到千兆桌面,主干已经实现了万兆互连,网络设备成本也在不断下降,从这个角度上看,网络传输速度的大幅提高为无盘终端的使用提供了良好的通信支撑平台,同时也降低了无盘网络系统的网络基础平台门槛。
3.4安全防护系统
通过采用入侵检测设备、安全审计系统、身份认证系统、主机管控系统、防病毒系统、漏洞扫描与补丁分发系统、信道加密和数据加密设备以及网络管理软件等设备和系统,保证军内机密级办公网安全运行,各种数据传输、存储安全可靠。
4 结束语
信息化程度的不断提高对军内机密级办公网的安全管理提出了更高的要求,无盘技术为军内机密级办公网提供了一个有效的安全解决方案,实现军内机密级办公网网络系统的安全管控。采用无盘技术构建的网络管理系统由于具有安全稳定,易于维护,节约节能等优点,必将成为军内机密级办公网网络建设的一种新趋势,使网络安全保密和高效运维达到一个新的台阶。
核心关注:拓步ERP系统平台是覆盖了众多的业务领域、行业应用,蕴涵了丰富的ERP管理思想,集成了ERP软件业务管理理念,功能涉及供应链、成本、制造、CRM、HR等众多业务领域的管理,全面涵盖了企业关注ERP管理系统的核心领域,是众多中小企业信息化建设首选的ERP管理软件信赖品牌。
转载请注明出处:拓步ERP资讯网http://www.toberp.com/
本文标题:无盘技术在军内机密级办公网中的应用
本文网址:http://www.toberp.com/html/consultation/1083936924.html
相关文章
