ACloudAge-虛擬化項(xiàng)目-設(shè)計(jì)方案

ACloudAge虛擬化項(xiàng)目設(shè)計(jì)方案中國(guó)航天恒星科技有限公司航天SpaceStarTechnologyCo.,Ltd

目錄第一章引言 12第二章安全保密相關(guān) 132.1背景概述 132.2規(guī)范性引用文件 132.3系統(tǒng)安全保密設(shè)計(jì)原則 142.4安全保密基本規(guī)范 142.5系統(tǒng)設(shè)計(jì)過(guò)程 152.5.1系統(tǒng)定級(jí) 152.5.2方案設(shè)計(jì) 152.5.3工程實(shí)施 162.6安全域劃分 172.7物理安全 202.7.1環(huán)境安全 202.7.2設(shè)備安全 212.8運(yùn)行安全 212.8.1惡意代碼防護(hù) 222.8.2三員管理 222.8.3維護(hù)安全 232.8.4終端設(shè)備維修報(bào)廢 232.9備份和恢復(fù) 232.9.1資源冗余設(shè)計(jì) 232.9.2系統(tǒng)和數(shù)據(jù)備份 242.10信息安全與保密 252.10.1密級(jí)標(biāo)識(shí) 252.10.2身份鑒別 262.10.3訪問(wèn)控制 272.10.4數(shù)據(jù)保護(hù) 282.10.5數(shù)據(jù)傳輸線路的電磁泄漏發(fā)射防護(hù) 302.10.6信息完整性校驗(yàn) 302.10.7系統(tǒng)安全性檢測(cè) 312.10.8安全審計(jì) 312.11虛擬化系統(tǒng)安全管理 332.11.1虛擬化產(chǎn)品配置安全 332.11.2虛擬機(jī)安全管理 332.11.3虛擬機(jī)監(jiān)控 342.11.4虛擬機(jī)自動(dòng)遷移 342.11.5客戶(hù)操作系統(tǒng)安全 342.12終端安全 35第三章：硬件選型-服務(wù)器 383.1設(shè)備規(guī)劃 383.1.1處理器 383.1.2內(nèi)存 433.1.3網(wǎng)絡(luò) 443.1.4存儲(chǔ) 463.1.5其他 503.2設(shè)備選型 523.3設(shè)備配置 533.3.1BIOS配置 533.3.2RAID配置 55第四章：硬件選型-網(wǎng)絡(luò) 564.1設(shè)備規(guī)劃 564.1.1設(shè)備類(lèi)型 564.1.2端口 574.1.3吞吐量 584.1.4路由 594.1.5ACL 604.1.6QoS 624.1.7VLAN 644.1.8協(xié)議 674.1.9聚合 684.2設(shè)備選型 704.4設(shè)備配置 714.4.1基礎(chǔ)配置 714.4.2路由配置 724.4.3ACL配置 724.4.4QoS配置 734.4.5VLAN配置 744.4.6協(xié)議配置 744.4.7聚合配置 75第五章：硬件選型-存儲(chǔ) 775.1設(shè)備規(guī)劃 775.1.1架構(gòu) 775.1.2容量 785.1.3性能 815.1.4協(xié)議 845.1.5災(zāi)備 865.1.6其他 915.2設(shè)備選型 915.3設(shè)備配置 935.3.1基本配置 935.3.2安全配置 935.3.3網(wǎng)絡(luò)配置 945.3.4磁盤(pán)配置 945.3.5協(xié)議配置 96第六章：環(huán)境評(píng)估 976.1評(píng)估用戶(hù)分類(lèi) 976.2建立桌面模型 996.3評(píng)估桌面應(yīng)用 1036.3.1應(yīng)用篩選 1046.3.2應(yīng)用交付 105第七章：方案設(shè)計(jì)-用戶(hù)端 1077.1終端選擇 107決策點(diǎn)：終端所有權(quán) 107決策點(diǎn)：終端生命周期 108決策點(diǎn)：終端決定因素 109決策點(diǎn)：瘦客戶(hù)機(jī)選擇 1117.2插件選擇 112決策點(diǎn)：插件類(lèi)型 112決策點(diǎn)：插件部署 116決策點(diǎn)：初始配置 118決策點(diǎn)：更新維護(hù) 119第八章：方案設(shè)計(jì)-接入層 1208.1用戶(hù)驗(yàn)證 120決策點(diǎn)：身份驗(yàn)證 120決策點(diǎn)：驗(yàn)證策略 121決策點(diǎn)：訪問(wèn)站點(diǎn) 1238.2StoreFront 124決策點(diǎn)：匿名訪問(wèn) 125決策點(diǎn)：高可用性 125決策點(diǎn)：站點(diǎn)配置 126決策點(diǎn)：驗(yàn)證安全 126決策點(diǎn)：后端通信 127決策點(diǎn)：內(nèi)外網(wǎng)標(biāo)記 127決策點(diǎn)：資源發(fā)布 128決策點(diǎn)：擴(kuò)展能力 129第九章：方案設(shè)計(jì)-資源層 1319.1用戶(hù)配置文件 131決策點(diǎn)：配置文件類(lèi)型 131決策點(diǎn)：文件夾重定向 133決策點(diǎn)：文件夾排除 135決策點(diǎn)：配置文件緩存 135決策點(diǎn)：配置文件權(quán)限 136決策點(diǎn)：配置文件路徑 136決策點(diǎn)：配置文件流 138決策點(diǎn)：主動(dòng)回寫(xiě) 138決策點(diǎn)：配置方法 1389.2用戶(hù)策略 139決策點(diǎn)：選擇策略引擎 139決策點(diǎn)：策略集 139決策點(diǎn)：策略過(guò)濾 140決策點(diǎn)：策略?xún)?yōu)先級(jí) 142決策點(diǎn)：基準(zhǔn)策略 1439.3打印 144決策點(diǎn)：配置打印機(jī) 145決策點(diǎn)：管理打印機(jī)驅(qū)動(dòng) 146決策點(diǎn)：打印機(jī)選擇 1499.4個(gè)人虛擬磁盤(pán) 151決策點(diǎn)：尺寸 1519.5應(yīng)用 152決策點(diǎn)：應(yīng)用交付方式 153決策點(diǎn)：應(yīng)用流 159決策點(diǎn)：兼容性 1609.6鏡像 161決策點(diǎn)：操作系統(tǒng)架構(gòu) 162決策點(diǎn)：計(jì)算機(jī)策略 163決策點(diǎn)：計(jì)算機(jī)目錄 163決策點(diǎn)：交付組 164決策點(diǎn)：應(yīng)用文件夾 165決策點(diǎn)：StoreFront整合 1669.7資源分配 166決策點(diǎn)：虛擬處理器 167決策點(diǎn)：虛擬機(jī)內(nèi)存（vRAM） 168決策點(diǎn)：存儲(chǔ)空間 168決策點(diǎn)：IOPS 169決策點(diǎn)：GPU 171決策點(diǎn)：優(yōu)化 1729.8帶寬要求 172決策點(diǎn)：帶寬最小化技術(shù) 172決策點(diǎn)：HDX編碼路徑 173決策點(diǎn)：會(huì)話帶寬 174決策點(diǎn)：延時(shí) 175第十章：方案設(shè)計(jì)-控制層 17610.1基礎(chǔ)架構(gòu) 17610.1.2活動(dòng)目錄 17610.1.3數(shù)據(jù)庫(kù) 18010.2管理組件 19410.2.1交付控制器 19410.2.2XenClient同步服務(wù)器 20110.3鏡像管理 20810.3.1PVS服務(wù)器 208第十一章：方案設(shè)計(jì)-硬件層。 22611.1群集 22611.1.1群集規(guī)劃 22611.1.2群集配置 23011.2網(wǎng)絡(luò) 23311.2.1網(wǎng)絡(luò)規(guī)劃 23311.2.2網(wǎng)絡(luò)配置 24011.3存儲(chǔ) 24511.3.1存儲(chǔ)規(guī)劃 24511.3.2存儲(chǔ)配置 24911.4管理 25211.4.1管理用戶(hù) 25211.4.2高可用性 25411.4.3動(dòng)態(tài)內(nèi)存 25611.4.4災(zāi)備恢復(fù) 25711.4.5負(fù)載均衡 25811.4.6報(bào)警日志 264附一系統(tǒng)集成工程過(guò)程管理 266系統(tǒng)集成項(xiàng)目管理 266系統(tǒng)集成項(xiàng)目管理過(guò)程 267項(xiàng)目組織機(jī)構(gòu)的設(shè)置 267招投標(biāo)過(guò)程 268系統(tǒng)集成項(xiàng)目溝通 268技術(shù)交底 268安全交底 269溝通技巧 269項(xiàng)目流程控制 269項(xiàng)目質(zhì)量控制 270網(wǎng)絡(luò)工程 270設(shè)備上架 272軟件部署 272應(yīng)用系統(tǒng) 273測(cè)試過(guò)程 273文檔規(guī)范 273驗(yàn)收 273第一章引言

第二章安全保密相關(guān)2.1背景概述本文檔所描述的虛擬化項(xiàng)目，主要用于涉及國(guó)家秘密的信息系統(tǒng)（簡(jiǎn)稱(chēng)：涉密信息系統(tǒng)）。在涉密信息系統(tǒng)中進(jìn)行實(shí)施需要遵守一系列的安全保密管理規(guī)定。很多保密管理規(guī)定必須在系統(tǒng)涉及的時(shí)候就充分考慮到。本章將介紹在虛擬化技術(shù)在涉密信息系統(tǒng)中，總體方案涉及需要考慮的重要內(nèi)容。與項(xiàng)目實(shí)施相關(guān)的國(guó)家保密標(biāo)準(zhǔn)，主要是《基于虛擬化技術(shù)的涉密信息系統(tǒng)分級(jí)保護(hù)實(shí)施指南》。但是，截止到本章撰寫(xiě)的時(shí)候，國(guó)家保密管理機(jī)關(guān)尚未正式發(fā)布這個(gè)標(biāo)準(zhǔn)。因此，本章所撰寫(xiě)的內(nèi)容是基于上述標(biāo)準(zhǔn)的草稿和工程實(shí)踐經(jīng)驗(yàn)而成的。2.2規(guī)范性引用文件在撰寫(xiě)用戶(hù)方案的時(shí)候，應(yīng)在安全保密的章節(jié)，必須有如下文件引用：GB50174電子計(jì)算機(jī)機(jī)房設(shè)計(jì)規(guī)范GGBB1-1999信息設(shè)備電磁泄漏發(fā)射限值BMB2-1998使用現(xiàn)場(chǎng)的信息設(shè)備電磁泄漏發(fā)射檢查測(cè)試方法和安全判據(jù)BMB4-2000電磁干擾技術(shù)要求和測(cè)試方法BMB5-2000涉密信息設(shè)備使用現(xiàn)場(chǎng)的電磁泄漏發(fā)射防護(hù)要求BMB17-2006涉及國(guó)家秘密的信息系統(tǒng)分級(jí)保護(hù)技術(shù)要求BMB20-2007涉及國(guó)家秘密的信息系統(tǒng)分級(jí)保護(hù)管理規(guī)范BMB22-2007涉及國(guó)家秘密的信息系統(tǒng)分級(jí)保護(hù)測(cè)評(píng)指南BMB23-2008涉及國(guó)家秘密的信息系統(tǒng)分級(jí)保護(hù)方案設(shè)計(jì)指南BMBXX-2015基于虛擬化技術(shù)的涉密信息系統(tǒng)分級(jí)保護(hù)實(shí)施指南（未正式發(fā)布）2.3系統(tǒng)安全保密設(shè)計(jì)原則在方案的安全保密子系統(tǒng)的設(shè)計(jì)原則一節(jié)，按照如下文字撰寫(xiě)：虛擬化涉密信息系統(tǒng)建設(shè)仍應(yīng)遵循BMB17-2006、BMB20-2007、BMB23-2008等保密標(biāo)準(zhǔn)的要求；應(yīng)根據(jù)安全保密需求，針對(duì)虛擬化技術(shù)特點(diǎn)，進(jìn)行分級(jí)保護(hù)系統(tǒng)設(shè)計(jì)、配置和部署；應(yīng)采用國(guó)產(chǎn)安全可控的虛擬化軟硬件產(chǎn)品；應(yīng)兼容現(xiàn)有安全保密和應(yīng)用環(huán)境。2.4安全保密基本規(guī)范國(guó)家信息安全有兩套認(rèn)證體系，其中不涉及國(guó)家秘密的信息系統(tǒng)，使用“等級(jí)保護(hù)”標(biāo)準(zhǔn)。涉及國(guó)家秘密的信息系統(tǒng)（涉密信息系統(tǒng)），采用“分級(jí)保護(hù)”標(biāo)準(zhǔn)。本文所描述的所有系統(tǒng)安全設(shè)計(jì)都是按照“涉密信息系統(tǒng)分級(jí)保護(hù)”要求進(jìn)行安全防護(hù)的。分級(jí)保護(hù)的基本概念如下：分級(jí)保護(hù)的管理部門(mén)是國(guó)家保密行政管理部門(mén)，具體是國(guó)家保密局科學(xué)技術(shù)主管的國(guó)家保密科技測(cè)評(píng)中心（總中心）負(fù)責(zé)。具體測(cè)評(píng)機(jī)構(gòu)是總中心以及各個(gè)分中心。標(biāo)準(zhǔn)體系是國(guó)家保密標(biāo)準(zhǔn)（BMB、強(qiáng)制執(zhí)行）保護(hù)對(duì)象是設(shè)計(jì)國(guó)家秘密的信息系統(tǒng)級(jí)別劃分包括：秘密級(jí)、機(jī)密級(jí)、機(jī)密級(jí)增強(qiáng)防護(hù)、絕密級(jí)2.5系統(tǒng)設(shè)計(jì)過(guò)程在形成方案的過(guò)程中，系統(tǒng)全生命周期過(guò)程按照如下流程描述：系統(tǒng)定級(jí)——方案設(shè)計(jì)——工程實(shí)施——系統(tǒng)測(cè)評(píng)——系統(tǒng)審批——日常管理——測(cè)評(píng)與檢測(cè)——系統(tǒng)廢止2.5.1系統(tǒng)定級(jí)系統(tǒng)定級(jí)是整個(gè)系統(tǒng)設(shè)計(jì)最先需要做的工作，定級(jí)工作是在方案設(shè)計(jì)之前就應(yīng)該完成了的。涉密信息系統(tǒng)定級(jí)完成主體是業(yè)主單位，業(yè)主單位向他們的保密主管機(jī)關(guān)提交定級(jí)申請(qǐng)（依據(jù)是系統(tǒng)所處理信息的最高密級(jí)），其中很重要的是需要明確系統(tǒng)包含多少個(gè)安全域。如果系統(tǒng)的密級(jí)和應(yīng)用系統(tǒng)情況發(fā)生重大變化，應(yīng)該按照相應(yīng)的級(jí)別挑這個(gè)保護(hù)措施。2.5.2方案設(shè)計(jì)首先是資質(zhì)。涉密信息系統(tǒng)建設(shè)需要的資質(zhì)是涉密信息系統(tǒng)集成資質(zhì)，資質(zhì)分為甲級(jí)、乙級(jí)和單項(xiàng)三種。副省部級(jí)以上的、或者是安全保密技術(shù)要求較高的涉密信息系統(tǒng)建設(shè)是需要優(yōu)先選用甲級(jí)資質(zhì)建設(shè)單位，乙級(jí)單位只能承擔(dān)本省的涉密信息系統(tǒng)建設(shè)工程，軍工系統(tǒng)單項(xiàng)資質(zhì)只能在所屬的軍工集團(tuán)內(nèi)部承接涉密信息系統(tǒng)業(yè)務(wù)。涉密信息系統(tǒng)中軟件開(kāi)發(fā)、綜合布線、系統(tǒng)服務(wù)、系統(tǒng)咨詢(xún)、屏蔽室建設(shè)風(fēng)險(xiǎn)評(píng)估、工程監(jiān)理、數(shù)據(jù)恢復(fù)和保密安防監(jiān)控等單項(xiàng)業(yè)務(wù)，應(yīng)選具有這些單項(xiàng)資質(zhì)的單位承接。航天恒星是涉密信息系統(tǒng)集成、咨詢(xún)雙甲級(jí)資質(zhì)。在虛擬化信息系統(tǒng)的方案設(shè)計(jì)中，其撰寫(xiě)格式必須遵循BMB23-2008方案設(shè)計(jì)指南的格式，但是必須額外增加如下內(nèi)容：在系統(tǒng)分析方面，應(yīng)重點(diǎn)分析虛擬化涉密信息系統(tǒng)的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)、系統(tǒng)邊界和安全域劃分；在安全保密風(fēng)險(xiǎn)分析方面，應(yīng)遵照BMB17-2006和BMB20-2007的要求，從產(chǎn)品技術(shù)和運(yùn)行管理兩方面重點(diǎn)分析虛擬化技術(shù)應(yīng)用及資源集中管理模式所帶來(lái)的脆弱性和安全威脅的變化；在安全保密需求分析方面，應(yīng)重點(diǎn)分析虛擬化技術(shù)應(yīng)用帶來(lái)的新的安全保密需求，至少包括加強(qiáng)虛擬化服務(wù)器機(jī)房、網(wǎng)絡(luò)安全、宿主機(jī)和存儲(chǔ)設(shè)備的物理安全、虛擬機(jī)安全、數(shù)據(jù)與應(yīng)用安全、網(wǎng)絡(luò)安全隔離與信息交換等技術(shù)防護(hù)和管理措施等需求分析。在方案設(shè)計(jì)過(guò)程中應(yīng)該特別注意安全域的問(wèn)題（后文詳細(xì)敘述），安全域劃分應(yīng)該明確詳細(xì)地列在《分級(jí)保護(hù)方案中》。分級(jí)保護(hù)方案是需要通過(guò)國(guó)家評(píng)審的正式文件，只有分級(jí)保護(hù)方案通過(guò)國(guó)家認(rèn)可，系統(tǒng)才能開(kāi)始工程建設(shè)。分級(jí)保護(hù)方案的評(píng)審，通常是由業(yè)主單位的分級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)（比如XX軍工集團(tuán)的測(cè)評(píng)分中心負(fù)責(zé)的）2.5.3工程實(shí)施工程實(shí)施應(yīng)特別注意和用戶(hù)協(xié)商工程監(jiān)理的問(wèn)題。選擇涉密信息系統(tǒng)工程監(jiān)理最委托的辦法就是選擇一家具有涉密信息系統(tǒng)集成建立資質(zhì)的單位實(shí)施監(jiān)理工作。在方案中，應(yīng)出現(xiàn)如下描述：“在工程實(shí)施前，涉密信息系統(tǒng)的建設(shè)和使用單位（此處是業(yè)主單位名稱(chēng)）根據(jù)具體情況劃定保密范圍，指定相應(yīng)的保密措施和保密控制流程，嚴(yán)格控制接觸涉密信息的人員范圍。我公司嚴(yán)格按照涉密信息系統(tǒng)集成的安全保密要求配合用戶(hù)方做好安全保密措施并嚴(yán)格遵守用戶(hù)方的各項(xiàng)保密管理規(guī)定。針對(duì)施工過(guò)程中可能出現(xiàn)的安全問(wèn)題，列入施工前的的安全交底文案作為備忘。在工程實(shí)施期間，涉密信息系統(tǒng)的建設(shè)和使用單位（此處是業(yè)主單位名稱(chēng)）應(yīng)按照BMB18-2006的要求，進(jìn)行工程監(jiān)理。在進(jìn)行工程監(jiān)理的時(shí)，應(yīng)選擇具有涉密信息系統(tǒng)工程監(jiān)理單項(xiàng)資質(zhì)的單位或者組織自身力量在安全保密控制、質(zhì)量控制、進(jìn)度控制、成本控制、合同管理和文檔管理六個(gè)方面加強(qiáng)監(jiān)督檢查?！?.6安全域劃分虛擬化涉密信息系統(tǒng)的安全域有各自的安全邊界，相互隔離，應(yīng)按照BMB23-2008的相應(yīng)要求進(jìn)行安全域劃分與定級(jí)。這里面的含義是需要明確在分級(jí)保護(hù)方案中。不同等級(jí)安全域的邊界應(yīng)從硬件上或網(wǎng)絡(luò)上進(jìn)行有效劃分；同一等級(jí)的不同安全域應(yīng)根據(jù)風(fēng)險(xiǎn)分析結(jié)果和實(shí)際安全需求，在邏輯上和虛擬化層次上進(jìn)行有效劃分和隔離。安全域劃分原則：依據(jù)處理信息的密級(jí)、組織結(jié)構(gòu)或工作地點(diǎn)等劃分安全域，物理劃分優(yōu)先、虛擬劃分次之，不同安全域不允許使用同一個(gè)網(wǎng)絡(luò)廣播域。不同密級(jí)的虛擬機(jī)不能部署在同一物理主機(jī)內(nèi)；安全域之間的邊界應(yīng)劃分明確，安全域與安全域之間的所有數(shù)據(jù)通信都應(yīng)安全可控。上面介紹的是安全域劃分的原則，可以直接引用在方案中。在實(shí)際工程中，通常在安全域劃分上，至少劃分出如下安全域，才能順利通過(guò)分保測(cè)評(píng)。如果有多個(gè)辦公地點(diǎn)，應(yīng)分別劃分為安全域；多個(gè)部門(mén)或者多個(gè)項(xiàng)目應(yīng)該分別劃分為安全域；網(wǎng)絡(luò)設(shè)備的控制口劃分為獨(dú)立的安全域；安全設(shè)備和服務(wù)器劃分為獨(dú)立的安全域；所有涉密的應(yīng)用服務(wù)器劃分為獨(dú)立的安全域；所有的非密應(yīng)用服務(wù)器劃分為獨(dú)立安全域；虛擬化終端（瘦客戶(hù)端）應(yīng)劃分為一個(gè)或者幾個(gè)安全域，原則是和同一部門(mén)的物理機(jī)應(yīng)分開(kāi)；VDI組件服務(wù)器單獨(dú)劃分一個(gè)安全域。；VDI桌面服務(wù)器單獨(dú)劃分一個(gè)安全域，需要根據(jù)密級(jí)建立兩個(gè)池，機(jī)密級(jí)和秘密級(jí)的需要分開(kāi)物理機(jī)部署；生產(chǎn)存儲(chǔ)單獨(dú)劃分一個(gè)安全域；備份存儲(chǔ)單獨(dú)劃分一個(gè)安全域；安全域劃分過(guò)多，網(wǎng)絡(luò)架構(gòu)就會(huì)非常復(fù)雜。最重要的是，保密管理規(guī)定上明確了，安全域不僅僅是不同的VLAN，需要具有明確的邊界防護(hù)措施，最基本的要求是：安全域之間的通信必須通過(guò)防火墻進(jìn)行相互的訪問(wèn)控制才行。因此，可以想象，如果安全域過(guò)多，則會(huì)導(dǎo)致防火墻的數(shù)量或者端口數(shù)量要求變得非常大，這將直接導(dǎo)致防火墻的規(guī)則復(fù)雜度成指數(shù)型增加（因?yàn)閮蓚€(gè)端口是一套規(guī)則，三個(gè)端口就是六套規(guī)則，以此類(lèi)推）。所以在進(jìn)行安全系統(tǒng)設(shè)計(jì)的時(shí)候，一定要根據(jù)上述規(guī)則進(jìn)行防火墻端口的配置，并且要留出足夠富裕端口，因?yàn)樘貏e是位于骨干區(qū)域的防火墻，可能需要多個(gè)端口做綁定，來(lái)擴(kuò)充帶寬或者增加可靠性。當(dāng)然如果條件允許的情況下，使用昂貴的萬(wàn)兆光纖防火墻也是不錯(cuò)的選擇（注意萬(wàn)兆鏈路的單點(diǎn)失效風(fēng)險(xiǎn)——參見(jiàn)前面的網(wǎng)絡(luò)設(shè)計(jì)部分的說(shuō)明）。因此在實(shí)際的虛擬化系統(tǒng)安全保密設(shè)計(jì)中，安全域要盡可能的進(jìn)行合并。這里面要搞清楚，劃分安全域是為了什么。其主要目標(biāo)是為了防止知悉范圍通過(guò)信息系統(tǒng)的聯(lián)通擴(kuò)大或者失控。明白了上述緣由，在劃分安全域的時(shí)候有能夠做到有依據(jù)。安全域之間的防護(hù)措施，有了防火墻，一般情況下可以通過(guò)測(cè)評(píng)。但是針對(duì)于特別的安全域，比如服務(wù)器區(qū)域或者虛擬化區(qū)域，有可能會(huì)被要求部署入侵檢測(cè)（IDS），這種設(shè)備需要至少占用一個(gè)高性能的網(wǎng)絡(luò)端口，同時(shí)增加了管理的復(fù)雜性、降低了骨干交換機(jī)的性能（因?yàn)樾枰M(jìn)行端口鏡像）。另外，不建議在服務(wù)器區(qū)域部署硬件的防病毒墻或者其他的串行設(shè)備，這將極大地影響整個(gè)系統(tǒng)的可靠性和性能。最后，和傳統(tǒng)的分級(jí)保護(hù)方式一樣，在跨地域（一般理解為跨越不可控區(qū)域）的安全域之間的鏈路通信需要進(jìn)行加密。這要使用和部署特定的加密機(jī)（實(shí)際上就是一種VPN）。加密機(jī)不是系統(tǒng)集成的一部分，在涉密網(wǎng)絡(luò)建設(shè)的時(shí)候，一般情況下需要業(yè)主單位自行申請(qǐng)。但我們必須要在系統(tǒng)設(shè)計(jì)上考慮加密機(jī)的性能，往往加密機(jī)會(huì)成為各個(gè)遠(yuǎn)程安全域之間的通信瓶頸，這將導(dǎo)致用戶(hù)數(shù)量較多（一般情況下多于100桌面）的區(qū)域，不得不考慮本地的部署一套VDI池和相應(yīng)的存儲(chǔ)設(shè)施。同樣的，異地安全域之間的鏈路也是必須考慮的因素之一，這點(diǎn)不再贅述。 安全域在方案中是一個(gè)重要的描述內(nèi)容，描述要素需要非常精確，至少包括安全域的名稱(chēng)、VLAN號(hào)、IP段、地點(diǎn)等。通常情況下表頭和示例如下：表格SEQ表格\*ARABIC1安全域表格樣例區(qū)域安全域名VLAN名VLAN號(hào)密級(jí)IP段網(wǎng)關(guān)使用隔離設(shè)備訪問(wèn)控制規(guī)則宏福苑辦公區(qū)服務(wù)器域涉密服務(wù)器100機(jī)密/24254防火墻、交換機(jī)ACL可以被所有終端和虛擬桌面訪問(wèn)特定IP和端口2.7物理安全物理安全是需要在項(xiàng)目實(shí)施之前就準(zhǔn)備好的，這些需求需要提前通過(guò)安全交底的方式提交給業(yè)主方。2.7.1環(huán)境安全環(huán)境安全應(yīng)該滿(mǎn)足BMB17-2006中的相應(yīng)要求（因該文本涉密，所以寫(xiě)方案的時(shí)候，請(qǐng)參見(jiàn)相關(guān)標(biāo)準(zhǔn)）。具體要求應(yīng)根據(jù)實(shí)際情況提出下列幾項(xiàng)：虛擬化涉密信息系統(tǒng)機(jī)房和數(shù)據(jù)備份機(jī)房應(yīng)當(dāng)設(shè)置門(mén)禁系統(tǒng)和視頻監(jiān)控，門(mén)禁系統(tǒng)應(yīng)采用雙人或以上的強(qiáng)制身份認(rèn)證方式，落實(shí)嚴(yán)格審批登記管理制度；機(jī)密增強(qiáng)虛擬化涉密信息系統(tǒng)的門(mén)禁系統(tǒng)應(yīng)當(dāng)采用雙人雙因子或以上的強(qiáng)制身份認(rèn)證方式；絕密級(jí)虛擬化涉密信息系統(tǒng)的門(mén)禁系統(tǒng)應(yīng)當(dāng)采用雙人基于生理特征的雙因子或以上的強(qiáng)制認(rèn)證方式。在環(huán)境需求上面，應(yīng)特別注意下面幾點(diǎn)：用戶(hù)是否有明確的三員管理機(jī)制（系統(tǒng)管理員、安全保密管理員和審計(jì)管理員）；用戶(hù)是否把機(jī)房定為了“保密要害部位”。保密要害部位需要上級(jí)保密管理機(jī)關(guān)審批，需要有正式文件才能算；用戶(hù)是否具有相應(yīng)的機(jī)房管理制度，如果沒(méi)有，可以幫助用戶(hù)建立相關(guān)制度，參考航天恒星的《數(shù)據(jù)中心管理辦法》即可，但是幫助用戶(hù)開(kāi)展管理制度建設(shè)，通常是收費(fèi)項(xiàng)目，一般情況下是可使用公司“涉密信息系統(tǒng)咨詢(xún)甲級(jí)資質(zhì)”作為約束條件。2.7.2設(shè)備安全虛擬化架構(gòu)是一種“數(shù)據(jù)和處理雙集中“的體系架構(gòu)，對(duì)物理設(shè)備的管控應(yīng)該特別嚴(yán)格。具體的要求應(yīng)滿(mǎn)足BMB17-2006中的相應(yīng)要求，對(duì)設(shè)備安全應(yīng)當(dāng)加強(qiáng)安全保密措施。對(duì)虛擬化服務(wù)器、集中存儲(chǔ)等關(guān)鍵硬件設(shè)備應(yīng)采用機(jī)柜加鎖和視頻監(jiān)控等設(shè)施；對(duì)虛擬化專(zhuān)用的瘦客戶(hù)端和零客戶(hù)端終端設(shè)備，應(yīng)標(biāo)識(shí)為“涉密設(shè)備”，可供多人使用，但應(yīng)指定安全保密管理責(zé)任人。應(yīng)用于機(jī)密增強(qiáng)型系統(tǒng)的核心關(guān)鍵設(shè)備以及絕密級(jí)的物理設(shè)備應(yīng)通過(guò)國(guó)家安全部門(mén)的檢測(cè)（這一條應(yīng)該是業(yè)主負(fù)責(zé)去做，一般情況下，項(xiàng)目中的大型設(shè)備是指大型的高端磁盤(pán)陣列）。特別提到的是磁盤(pán)陣列，應(yīng)在正式上線運(yùn)行交付業(yè)主之前，將每一塊磁盤(pán)的序列號(hào)進(jìn)行登記備案形成表格，雙方簽字確認(rèn)存檔。如果有磁盤(pán)陣列不支持在線查看磁盤(pán)序列號(hào)，應(yīng)在加電之前逐一進(jìn)行序列號(hào)登記，形成表格。表格內(nèi)容應(yīng)包括：柜號(hào)、盤(pán)位、序列號(hào)等重要信息。除了上述要求以外，在物理設(shè)備的保護(hù)上面，在設(shè)計(jì)方案中應(yīng)提出盡可能避免管理員直接操作物理設(shè)備，因此可以推薦“訪問(wèn)控制網(wǎng)關(guān)“設(shè)備進(jìn)行實(shí)名制遠(yuǎn)程操作。該設(shè)備既可以實(shí)現(xiàn)管理員對(duì)密碼的不知悉的特性，也可全面審計(jì)管理員的操作。這種管理模式對(duì)用戶(hù)今后的運(yùn)維、誤操作的恢復(fù)和分清責(zé)任都頗有益處。2.8運(yùn)行安全如果是針對(duì)涉密信息系統(tǒng)，在方案中描述運(yùn)行安全的章節(jié)，應(yīng)該寫(xiě)上“本方案涉及到的涉密信息系統(tǒng)運(yùn)行安全設(shè)計(jì)，依據(jù)BMB17-2006、BMB20-2006和BMB23-2008中的相應(yīng)要求，對(duì)本方案涉密信息系統(tǒng)的運(yùn)行安全進(jìn)行了詳細(xì)設(shè)計(jì)，包括數(shù)據(jù)備份與恢復(fù)、系統(tǒng)安全性保護(hù)、應(yīng)急響應(yīng)和運(yùn)行管理等?！钡奈淖?。2.8.1惡意代碼防護(hù)虛擬化系統(tǒng)的防病毒系統(tǒng)與傳統(tǒng)的新系統(tǒng)完全不同，在GusetOS重安裝承諾高貴殺毒軟件會(huì)導(dǎo)致所謂的“殺毒風(fēng)暴”。因此目前的解決方案是安裝統(tǒng)一惡意代碼防護(hù)工具。這種工具軟件有兩種類(lèi)型——無(wú)代理的和有代理的。前者主要是針對(duì)某一種虛擬化平臺(tái)進(jìn)行的專(zhuān)門(mén)設(shè)計(jì)的，目前品種較少，特別是支持XEN的幾乎沒(méi)有。后者我們目前推薦360和瑞星的兩種產(chǎn)品。具體選型，需要和用戶(hù)溝通，同時(shí)還要注意產(chǎn)品銷(xiāo)售許可證，特別要注意安裝的產(chǎn)品版本號(hào)和許可證的審批版本號(hào)相一致。在規(guī)模較大的項(xiàng)目?jī)?nèi)（超過(guò)300桌面），不建議部署防毒墻產(chǎn)品，因?yàn)樗鼤?huì)成為性能瓶頸。2.8.2三員管理虛擬化涉密信息系統(tǒng)不應(yīng)具備超級(jí)管理員，應(yīng)采用權(quán)限分離原則，設(shè)置系統(tǒng)管理員、安全保密管理員和安全審計(jì)員“三員”崗位管理制度，三員的權(quán)限設(shè)置應(yīng)相互獨(dú)立、相互制約，安全保密管理員與安全審計(jì)員不得由一人兼任。a)系統(tǒng)管理員主要負(fù)責(zé)系統(tǒng)的日常運(yùn)行維護(hù)工作。主要對(duì)用戶(hù)虛擬機(jī)的創(chuàng)建、更改、廢止、備份等生命周期進(jìn)行管理；b)安全保密管理員主要負(fù)責(zé)系統(tǒng)的日常安全保密管理工作，包括用戶(hù)賬號(hào)管理以及安全保密設(shè)備和系統(tǒng)所產(chǎn)生的日志的審查分析。主要對(duì)用戶(hù)及虛擬機(jī)進(jìn)行定級(jí)、分域、權(quán)限分配等操作；c)安全審計(jì)員主要負(fù)責(zé)對(duì)系統(tǒng)管理員、安全保密管理員的操作行為進(jìn)行審計(jì)跟蹤分析和監(jiān)督檢查，以及時(shí)發(fā)現(xiàn)違規(guī)行為，并定期向系統(tǒng)安全保密管理機(jī)構(gòu)匯報(bào)相關(guān)情況。值得一提的是域控的管理問(wèn)題。建議在工程實(shí)施過(guò)程中，針對(duì)域控采取下列措施規(guī)避其三員缺失的問(wèn)題：將administrator放入訪問(wèn)控制網(wǎng)關(guān)管理起來(lái)，管理員不知道他的密碼，全部使用代理實(shí)名制登錄。在域控中使用“委派”功能建立非若干Admin的管理賬戶(hù)供各個(gè)角色的管理使用。2.8.3維護(hù)安全a)虛擬化涉密信息系統(tǒng)的運(yùn)行維護(hù)原則上禁止外包，系統(tǒng)設(shè)備維護(hù)時(shí)，外來(lái)人員進(jìn)入機(jī)房時(shí)，管理員必須全程旁站陪同，禁止外來(lái)人員帶走、復(fù)制任何軟件硬件；b)管理員在對(duì)虛擬化技術(shù)涉及的物理設(shè)備進(jìn)行維護(hù)時(shí)，管理要更加嚴(yán)格，應(yīng)至少保證2人同時(shí)在場(chǎng)才可以進(jìn)行物理設(shè)備操作；2.8.4終端設(shè)備維修報(bào)廢宿主機(jī)系統(tǒng)賬號(hào)應(yīng)當(dāng)集中統(tǒng)一管理，并應(yīng)具備完善的使用管控流程，確保使用前審批、使用中監(jiān)管、使用后收回。上述這些全部應(yīng)該寫(xiě)進(jìn)安全保密方案中。2.9備份和恢復(fù)由于電子化的數(shù)據(jù)的復(fù)制的便捷性，備份成了信息系統(tǒng)中最主要的數(shù)據(jù)物理安全手段（沒(méi)有之一）。備份和恢復(fù)在任何信息系統(tǒng)中都是一個(gè)非常重要的話題，尤其是在數(shù)據(jù)集中化的虛擬化架構(gòu)中，更是如此。因此從架構(gòu)設(shè)計(jì)上、信息安全上更加要進(jìn)行認(rèn)真的設(shè)計(jì)。2.9.1資源冗余設(shè)計(jì)虛擬化環(huán)境管理組件要采用一主（生產(chǎn)環(huán)境）一備（備份環(huán)境）或多主多備的，分別部署在不同的硬件設(shè)備之上?？蛻?hù)機(jī)操作系統(tǒng)的鏡像、模板與快照的應(yīng)具備獨(dú)立的備份恢復(fù)策略。對(duì)于網(wǎng)絡(luò)系統(tǒng)來(lái)說(shuō)，核心交換機(jī)、匯聚交換機(jī)等關(guān)鍵網(wǎng)絡(luò)設(shè)備應(yīng)有冗余備份或冗余路由備份。關(guān)鍵鏈路應(yīng)實(shí)現(xiàn)負(fù)載均衡和冗余，確保不存在鏈路單點(diǎn)。定期將網(wǎng)絡(luò)組件（路由器、防火墻、交換機(jī)等）的安全配置和安全保密產(chǎn)品的配置策略進(jìn)行備份。網(wǎng)絡(luò)冗余應(yīng)進(jìn)行充分驗(yàn)證有效性。對(duì)于電源系統(tǒng)來(lái)說(shuō)，機(jī)房電源應(yīng)采用雙路UPS電源供電，服務(wù)器集群和其他具有多電源模塊的設(shè)備應(yīng)同時(shí)接入兩路供電，確保在單路供電失效的情況下不影響使用，提高基礎(chǔ)設(shè)施可用性。另外值得注意的是，機(jī)房設(shè)施在設(shè)計(jì)的時(shí)候要求必須進(jìn)行制冷系統(tǒng)的冗余設(shè)計(jì)，以及環(huán)境監(jiān)控設(shè)施的安裝，因?yàn)橐坏┌l(fā)生制冷系統(tǒng)損壞的情況且不能及時(shí)通知到管理人員，將導(dǎo)致較為嚴(yán)重的數(shù)據(jù)災(zāi)難性后果。2.9.2系統(tǒng)和數(shù)據(jù)備份在采用系統(tǒng)和用戶(hù)數(shù)據(jù)統(tǒng)一存儲(chǔ)的模式時(shí)（虛擬磁盤(pán)模式，通常的服務(wù)器虛擬化都是這樣的模式），在客戶(hù)操作系統(tǒng)崩潰或系統(tǒng)異常時(shí)，應(yīng)通過(guò)虛擬磁盤(pán)文件的恢復(fù)功能來(lái)保持系統(tǒng)和用戶(hù)數(shù)據(jù)存儲(chǔ)的完整性，也即是存儲(chǔ)虛擬磁盤(pán)的文件系統(tǒng)應(yīng)具備快照功能，即能夠基于文件進(jìn)行快照，而不是基于整個(gè)卷。這一點(diǎn)在采用統(tǒng)一存儲(chǔ)模式的時(shí)候特別重要。當(dāng)采用系統(tǒng)和用戶(hù)數(shù)據(jù)分離的模式時(shí)（比如組裝桌面的池模式等），應(yīng)重點(diǎn)針對(duì)用戶(hù)數(shù)據(jù)存儲(chǔ)進(jìn)行基于快照的備份方式。備份的數(shù)據(jù)要具有單個(gè)文件粒度的可恢復(fù)性。這一特性要求最好磁盤(pán)陣列具有這個(gè)功能（比如NetApp）。如果要是基于整個(gè)卷的備份，就會(huì)產(chǎn)生恢復(fù)困難的問(wèn)題。針對(duì)于數(shù)據(jù)備份，應(yīng)滿(mǎn)足BMB17-2006中的相應(yīng)要求，對(duì)虛擬化涉密信息系統(tǒng)的數(shù)據(jù)進(jìn)行周期性備份，存儲(chǔ)介質(zhì)應(yīng)放置在不同的物理位置。具有異地條件的，主備應(yīng)部署在異地環(huán)境；具備園區(qū)條件的，主備應(yīng)部署在不同建筑物；僅具有一幢建筑物的，應(yīng)部署在不同樓層。系統(tǒng)恢復(fù)預(yù)案是非常重要的，盡管平時(shí)用處不大，但一旦發(fā)生問(wèn)題則將起到至關(guān)重要的作用。系統(tǒng)恢復(fù)預(yù)案的方案描寫(xiě)應(yīng)參照BMB17-2006中的相應(yīng)要求，設(shè)計(jì)虛擬化涉密信息系統(tǒng)的系統(tǒng)恢復(fù)預(yù)案。 應(yīng)急響應(yīng)要求應(yīng)滿(mǎn)足BMB17-2006中的相應(yīng)要求，根據(jù)系統(tǒng)定級(jí)對(duì)虛擬化涉密信息系統(tǒng)的應(yīng)急響應(yīng)增強(qiáng)一級(jí)要求，至少包括組織機(jī)構(gòu)、應(yīng)急計(jì)劃與響應(yīng)策略、災(zāi)備系統(tǒng)建設(shè)、數(shù)據(jù)恢復(fù)演練、機(jī)房巡檢制度和應(yīng)急保密措施等。 上述內(nèi)容在方案中都是必須包含的，應(yīng)該緊扣標(biāo)準(zhǔn)的相關(guān)要求進(jìn)行描述，每一段描述都應(yīng)該涉及到本系統(tǒng)的數(shù)據(jù)備份細(xì)節(jié)。數(shù)據(jù)備份在系統(tǒng)正式投入使用前，要求全面進(jìn)行恢復(fù)和應(yīng)急演練。因?yàn)樵谙到y(tǒng)正式投入使用后，就不方便進(jìn)行密度比較高的恢復(fù)測(cè)試了。2.10信息安全與保密2.10.1密級(jí)標(biāo)識(shí)密級(jí)標(biāo)識(shí)的要求來(lái)自于標(biāo)準(zhǔn)BMB17-2006中的相應(yīng)要求。其問(wèn)題不僅僅是在機(jī)器上面貼上易碎的不干膠標(biāo)識(shí)，更重要的是要明白密級(jí)標(biāo)識(shí)的緣由：密級(jí)標(biāo)識(shí)的作用不僅僅是喂了管理方便，其核心作用是為了使人不會(huì)按照錯(cuò)誤的方式處理需要保密的客體。針對(duì)于虛擬機(jī)的新要求如下：a)應(yīng)當(dāng)根據(jù)虛擬機(jī)使用人員的涉密程度、業(yè)務(wù)工作需要，標(biāo)識(shí)其虛擬機(jī)的密級(jí)，并在其全生命周期過(guò)程中不得非授權(quán)修改。針對(duì)于這一條，在進(jìn)行虛擬桌面分組（分池）和服務(wù)器虛擬化的模板鏡像的命名的時(shí)候，需要根據(jù)用如分別命名為“JM”或者“MM”表示機(jī)密或者秘密。同時(shí)要在元數(shù)據(jù)或者其他行描述信息中注明。b)密級(jí)標(biāo)識(shí)應(yīng)與虛擬機(jī)不可分離，虛擬機(jī)使用者自身不可篡改標(biāo)識(shí)。虛擬機(jī)一旦創(chuàng)建，名稱(chēng)和元數(shù)據(jù)描述信息就需要一定權(quán)限才能修改。這一點(diǎn)是通過(guò)三員管理來(lái)做到的。2.10.2身份鑒別身份鑒別要求來(lái)自于BMB17-2006中的相應(yīng)要求，根據(jù)系統(tǒng)定級(jí)對(duì)虛擬化涉密信息系統(tǒng)的身份鑒別措施增強(qiáng)一級(jí)要求。機(jī)密級(jí)及其以下系統(tǒng)的用戶(hù)身份鑒別應(yīng)采用雙因子認(rèn)證方式，滿(mǎn)足相關(guān)標(biāo)準(zhǔn)要求；絕密級(jí)系統(tǒng)的用戶(hù)身份鑒別應(yīng)采用雙因子認(rèn)證方式；管理員的身份鑒別應(yīng)采用雙因子認(rèn)證方式，并僅限于指定的管理終端登錄；應(yīng)對(duì)認(rèn)證口令采取數(shù)據(jù)保護(hù)措施。在我們提供的方案中，應(yīng)當(dāng)力推DK動(dòng)態(tài)口令產(chǎn)品作為整個(gè)系統(tǒng)統(tǒng)一的身份認(rèn)證系統(tǒng)。銷(xiāo)售DK產(chǎn)品是一個(gè)次要的收益，最重要的是使用DK能夠極大地簡(jiǎn)化整個(gè)虛擬化系統(tǒng)實(shí)施過(guò)程，這將帶來(lái)如下重大好處：一是可以不用考慮終端的USB端口的防護(hù)問(wèn)題，直接封死即可（可以通過(guò)BIOS設(shè)置、物理拆除封堵，也可以在生產(chǎn)的事后就要求廠家不帶，但是要使用PS/2接口的鍵盤(pán)鼠標(biāo)）；二是不用使用Windows-PE的瘦客系統(tǒng)，可以直接使用更為廉價(jià)的ARM+Linux的周客戶(hù)端，但是要考慮高性能顯示的前端驅(qū)動(dòng)問(wèn)題；三是可以避免了前后臺(tái)傳遞認(rèn)證憑證的可靠性問(wèn)題，前端瘦客可以完全不使用登錄機(jī)制，直接透明連接到后端桌面即可，實(shí)施變得非常簡(jiǎn)單。但是在帶來(lái)好處的同時(shí)，也會(huì)面臨如下幾種情況：一是用戶(hù)沒(méi)有雙因子認(rèn)證產(chǎn)品，需要說(shuō)服用戶(hù)采購(gòu)。這一點(diǎn)從前面的保密管理規(guī)定來(lái)說(shuō)，是有足夠的理由讓用戶(hù)使用DK的。在銷(xiāo)售策略上，一般如果用戶(hù)桌面數(shù)大于600，可以白送DK服務(wù)器端系統(tǒng)。二是用戶(hù)已有CAKey等身份認(rèn)證措施。特別是針對(duì)第二種情況，要考慮盡可能替換之。在替換的過(guò)程中，操作系統(tǒng)和DK結(jié)合起來(lái)非常容易，很可能會(huì)遇到最大的問(wèn)題是應(yīng)用系統(tǒng)和DK的整合。因?yàn)橥ǔＳ脩?hù)的應(yīng)用系統(tǒng)是和原來(lái)的CA進(jìn)行集成的。這時(shí)候就要協(xié)調(diào)應(yīng)用系統(tǒng)開(kāi)發(fā)者進(jìn)行DK接口的開(kāi)發(fā)。DK使用的是標(biāo)準(zhǔn)的Radius協(xié)議，從編程的角度來(lái)說(shuō)是非常容易的，可以從網(wǎng)上下載各種開(kāi)發(fā)語(yǔ)言的源代碼。 如果用戶(hù)一定要使用CA認(rèn)證，那么前端瘦客就必須要使用XPE，同時(shí)安裝LOCK鎖屏程序進(jìn)行內(nèi)外雙層的憑證驗(yàn)證。同時(shí)，外側(cè)瘦客戶(hù)端也必須要加入域（AD）。 最后，值得注意的是，因?yàn)槟壳暗膰?guó)內(nèi)信息安全環(huán)境中不能離開(kāi)Windows環(huán)境，因此，在整個(gè)身份認(rèn)證體系統(tǒng)，AD也是必須是要使用的身份認(rèn)證組件。更為重要的是，如果使用Citrix體系的桌面管理組件，也是必須要和AD進(jìn)行緊耦合的。所有的安全策略都是通過(guò)域策略下發(fā)的，是系統(tǒng)所有身份和權(quán)限控制的核心，也就是AD是一個(gè)不折不扣的安全和新產(chǎn)品。但是AD又是一個(gè)無(wú)奈的悖論——沒(méi)有認(rèn)證證書(shū)、沒(méi)有自主可控，又不得不使用。上述這些內(nèi)容在于用戶(hù)探討身份認(rèn)證的時(shí)候是非常有用的。2.10.3訪問(wèn)控制訪問(wèn)控制是一個(gè)非常大的概念。事實(shí)上幾乎所有的涉密信息系統(tǒng)的核心防護(hù)內(nèi)容就是訪問(wèn)控制。標(biāo)準(zhǔn)要求如下：a)用戶(hù)通過(guò)經(jīng)過(guò)認(rèn)證的接入終端，通過(guò)指定的安全域訪問(wèn)資源管理系統(tǒng)；b)用戶(hù)應(yīng)向資源管理系統(tǒng)提交唯一的身份標(biāo)識(shí)符，資源管理系統(tǒng)應(yīng)驗(yàn)證其合法性、唯一性；c)資源管理系統(tǒng)應(yīng)當(dāng)能夠基于用戶(hù)的身份標(biāo)識(shí)符，為用戶(hù)分配設(shè)定的虛擬機(jī)資源；d)應(yīng)確保虛擬機(jī)資源和數(shù)據(jù)的安全；e)虛擬化資源管理系統(tǒng)的訪問(wèn)控制粒度，主體應(yīng)控制到單個(gè)用戶(hù)，客體應(yīng)控制到單個(gè)虛擬機(jī)。對(duì)于客戶(hù)操作系統(tǒng)和用戶(hù)數(shù)據(jù)分開(kāi)存儲(chǔ)的，可創(chuàng)建虛擬機(jī)的類(lèi)別，供主體選擇使用；對(duì)于客戶(hù)操作系統(tǒng)和用戶(hù)數(shù)據(jù)一起存儲(chǔ)的，應(yīng)當(dāng)創(chuàng)建用戶(hù)專(zhuān)用的虛擬機(jī)。在實(shí)際的工程實(shí)踐中，涉密信息系統(tǒng)主要體現(xiàn)在安全域隔離和用戶(hù)身份認(rèn)證上面，這兩個(gè)方面，前面的章節(jié)已經(jīng)詳細(xì)討論過(guò)，再次不再贅述。以下是額外需要強(qiáng)調(diào)的內(nèi)容：通常情況下，安全域之間的隔離都是通過(guò)防火墻實(shí)現(xiàn)的，但防火墻是一個(gè)串行設(shè)備，一般工作在二層（盡可能不要讓防火墻工作在三層路由模式），因此盡可能減少防火墻負(fù)載是有必要的。因此，我們?cè)诜桨钢型ǔＭㄟ^(guò)Windows的IPSec策略來(lái)輔助防火墻實(shí)現(xiàn)安全域之間的隔離。使用IPSec策略，主要目的是把包過(guò)濾的繁重工作分拆到每一用戶(hù)系統(tǒng)中，減少防火墻這種核心設(shè)備的負(fù)載。另一方面，由于在虛擬化系統(tǒng)中所有的客戶(hù)系統(tǒng)都是域終端，并且沒(méi)有管理權(quán)限，因此通過(guò)域策略下發(fā)的IPSec策略不可能被本地破壞，可靠性還是比較高的。使用IPSec策略進(jìn)行安全隔離，主要可以針對(duì)特定OU進(jìn)行特別的設(shè)置，訪問(wèn)控制層次脫離了網(wǎng)絡(luò)結(jié)構(gòu)，比較靈活，一旦有問(wèn)題，也不會(huì)影響到全局。應(yīng)該記住，隔離的最終目的是為了讓不同的安全域之間實(shí)現(xiàn)可控的訪問(wèn)，記住了這個(gè)原則，就可以自由地設(shè)計(jì)訪問(wèn)控制策略了。最后，一般不建議使用匯聚交換機(jī)的ACL進(jìn)行訪問(wèn)控制。原因是：1、ACL很難集中管理，都分散在設(shè)備上面，在工程中很容易出現(xiàn)問(wèn)題。2、交換機(jī)基本上還是一個(gè)二層設(shè)備，VLAN只是劃分廣播域的，不會(huì)影響到三層的通信，通過(guò)ACL控制三層通信會(huì)增加交換設(shè)備的負(fù)載。2.10.4數(shù)據(jù)保護(hù)數(shù)據(jù)保護(hù)的標(biāo)準(zhǔn)要求如下：a)應(yīng)對(duì)含有用戶(hù)數(shù)據(jù)的虛擬機(jī)模板和鏡像采取數(shù)據(jù)保護(hù)措施；b）用戶(hù)數(shù)據(jù)應(yīng)采取數(shù)據(jù)保護(hù)措施，不同密級(jí)用戶(hù)數(shù)據(jù)存儲(chǔ)在不同的邏輯存儲(chǔ)區(qū)域；c)桌面?zhèn)鬏斝畔?yīng)采取數(shù)據(jù)保護(hù)措施。對(duì)于用戶(hù)數(shù)據(jù)保護(hù)，方案中是采取推薦使用XS的加密盤(pán)進(jìn)行保存。一般在方案中我們會(huì)使用混合的方式進(jìn)行數(shù)據(jù)保護(hù)——分給用戶(hù)一個(gè)不加密的映射存儲(chǔ)和一個(gè)加密的本地存儲(chǔ)（XS的特性決定的），這樣的目的是避免了大量不需要加密存儲(chǔ)的操作不會(huì)占用服務(wù)器過(guò)多的加密處理時(shí)間，減小服務(wù)器的負(fù)載。事實(shí)上，加密盤(pán)起到的數(shù)據(jù)保護(hù)作用是當(dāng)磁盤(pán)被直接卸載掉、拆除后或者丟失的時(shí)候，保護(hù)其中的重要數(shù)據(jù)安全的，對(duì)管理員的數(shù)據(jù)窺視起到了一定的防范作用（比如存儲(chǔ)直接增加權(quán)限的方式對(duì)付加密盤(pán)就不可以了），但是并不能完全防止。因?yàn)楣芾韱T若要窺視用戶(hù)數(shù)據(jù)的時(shí)候，會(huì)直接獲取用戶(hù)身份正常登錄虛擬機(jī)而不是直接掛載用戶(hù)的磁盤(pán)。標(biāo)準(zhǔn)中提到的不同密級(jí)的用戶(hù)的數(shù)據(jù)存在不同的存儲(chǔ)區(qū)域中的說(shuō)法，是針對(duì)那種靜態(tài)虛擬機(jī)磁盤(pán)的模式講的，針對(duì)于純催的動(dòng)態(tài)桌面，我們?cè)诠こ虒?shí)施的開(kāi)始可以將通過(guò)將不同密級(jí)的用戶(hù)的存儲(chǔ)空間（包括加密盤(pán)）分配在不同的卷中來(lái)實(shí)現(xiàn)，但一旦后續(xù)用戶(hù)密級(jí)發(fā)生變化，將只有通過(guò)數(shù)據(jù)過(guò)濾復(fù)制的方式進(jìn)行調(diào)整了。但是這樣的設(shè)計(jì)，將增加存儲(chǔ)系統(tǒng)設(shè)計(jì)的復(fù)雜度。對(duì)于鏡像和模板的保護(hù)XS系統(tǒng)本身具有完整性校驗(yàn)機(jī)制，一旦在循環(huán)校驗(yàn)中發(fā)現(xiàn)被修改就會(huì)產(chǎn)生報(bào)警。針對(duì)桌面?zhèn)鬏攨f(xié)議的保護(hù)，目前幾乎沒(méi)有什么好的辦法，智能通過(guò)構(gòu)建SSL信道進(jìn)行保護(hù)，但是這樣將降低桌面的圖像傳輸速率。事實(shí)上，這一條很難檢測(cè)并且在BMB-17標(biāo)準(zhǔn)中并沒(méi)有規(guī)定絕密級(jí)以下的系統(tǒng)在統(tǒng)一建筑內(nèi)部傳輸，還需要鏈路加密的——傳統(tǒng)的實(shí)體數(shù)據(jù)況且如此，桌面協(xié)議中的圖像數(shù)據(jù)就更加沒(méi)有必要了。以上內(nèi)容在與業(yè)主或業(yè)主所屬的測(cè)評(píng)分中心商討這一部分細(xì)節(jié)的時(shí)候可以作為論據(jù)。2.10.5數(shù)據(jù)傳輸線路的電磁泄漏發(fā)射防護(hù)電磁泄漏發(fā)射防護(hù)目前已經(jīng)不是主要的保密檢查內(nèi)容了，但是標(biāo)準(zhǔn)仍然做了如下規(guī)定的防護(hù)措施建議：a)采用光纜；b)采用良好接地的屏蔽電纜，并與其它并行非屏蔽線纜應(yīng)保持10cm或30cm（平行長(zhǎng)度大于或等于30m時(shí)）以上的隔離距離；如果其它線纜也采用良好接地的屏蔽電纜時(shí)，最小隔離距離為3cm；c)采用非屏蔽電纜，并與其它并行線纜應(yīng)保持50cm或150cm（平行長(zhǎng)度大于或等于30m時(shí)）以上的隔離距離。上述所有的建議都應(yīng)該在業(yè)主方建設(shè)弱電工程的時(shí)候提出建議。而論道我們的方案撰寫(xiě)的時(shí)候，往往已經(jīng)為時(shí)晚矣，并且這也不是虛擬化方案的一部分。如果業(yè)主尚未建設(shè)弱電工程，可以原封不動(dòng)提供上述要求給業(yè)主參考。特別注意到的是，有的業(yè)主在弱電施工的時(shí)候過(guò)于超前地設(shè)計(jì)了光纖到桌面，這將直接導(dǎo)致客戶(hù)端設(shè)備因?yàn)楸仨氁邆涔饪诙杀敬蠓岣?。事?shí)上，光口的千兆和銅纜的千兆是一樣。這種方式應(yīng)提前和業(yè)主溝通，以免造成項(xiàng)目成本無(wú)意義的提高。視頻干擾器的部署是根據(jù)用戶(hù)的終端位置與可控邊界之間的距離確定的，這個(gè)指標(biāo)應(yīng)建議業(yè)主和其所屬的測(cè)評(píng)分中心溝通后確定（通常需要測(cè)評(píng)分中心進(jìn)行檢測(cè)，但這并不是虛擬化方案的一部分）。2.10.6信息完整性校驗(yàn)信息完整性校驗(yàn)在標(biāo)準(zhǔn)中提出了以下信息完整性校驗(yàn)措施建議和要求：a)應(yīng)對(duì)虛擬機(jī)鏡像、模板進(jìn)行完整性檢測(cè)，對(duì)于完整性被破壞的鏡像、模板及時(shí)報(bào)警，并采取有效的信息恢復(fù)措施；b）桌面?zhèn)鬏斝畔?yīng)采取完整性校驗(yàn)措施。上述第一條，虛擬機(jī)鏡像的完整性校驗(yàn)已經(jīng)是XS的標(biāo)準(zhǔn)功能，但是需要單獨(dú)架設(shè)校驗(yàn)服務(wù)器并進(jìn)行一系列的配置，同時(shí)在嬌艷的事后還應(yīng)該根據(jù)不同的權(quán)限指定相應(yīng)的操作流程。針對(duì)上述第二條目前沒(méi)有辦法實(shí)現(xiàn)，也沒(méi)有辦法檢測(cè)，可以忽略。2.10.7系統(tǒng)安全性檢測(cè)除了應(yīng)滿(mǎn)足BMB17-2006中的相應(yīng)要求，還需要給虛擬機(jī)應(yīng)設(shè)定可掃描的IP地址，應(yīng)定期掃描虛擬化資源管理系統(tǒng)的相關(guān)組件及客戶(hù)操作系統(tǒng)。通常情況下，應(yīng)制定相應(yīng)的安全掃描策略，對(duì)包括虛擬機(jī)和瘦客在內(nèi)的IP段進(jìn)行定期掃描。針對(duì)瘦客來(lái)說(shuō)，應(yīng)該只開(kāi)放連接桌面的端口，其對(duì)應(yīng)的虛擬機(jī)來(lái)說(shuō)亦然。因?yàn)樘摂M機(jī)和瘦客都不容易經(jīng)常進(jìn)行Patch更新，因此封閉端口是一個(gè)比較好的保護(hù)方式。2.10.8安全審計(jì)涉密計(jì)算機(jī)系統(tǒng)中的審計(jì)工作是一個(gè)重要的內(nèi)容，在標(biāo)準(zhǔn)中相應(yīng)要求比較詳細(xì)，并且具有專(zhuān)項(xiàng)的審計(jì)標(biāo)準(zhǔn)，因此在虛擬化涉密信息系統(tǒng)中，審計(jì)也作為一個(gè)非常重要的內(nèi)容需要考慮，否則可能就會(huì)影響系統(tǒng)后續(xù)的測(cè)評(píng)。審計(jì)的主要內(nèi)容就是對(duì)日志的查看和分析，日志是非常重要系統(tǒng)審計(jì)資料，包括系統(tǒng)日志和安全日志兩個(gè)部分。其中前者對(duì)系統(tǒng)排錯(cuò)可以起到重要作用，后者則是保密最為關(guān)注的內(nèi)容。日志應(yīng)該包括哪些內(nèi)容在BMB-22中有詳細(xì)的說(shuō)明，但總體來(lái)說(shuō)至少應(yīng)包括：誰(shuí)（主體）、什么時(shí)間、對(duì)什么（客體）、做了什么、結(jié)果如何等。標(biāo)準(zhǔn)中建議采取以下措施并提出了相關(guān)的要求：a)用戶(hù)對(duì)虛擬機(jī)訪問(wèn)行為的審計(jì)，包括登錄、啟動(dòng)、關(guān)閉、重啟、維護(hù)、狀態(tài)查詢(xún)等進(jìn)行審計(jì)；b)管理員審計(jì)：對(duì)虛擬資源管理、賬號(hào)管理、策略設(shè)置等管理員操作行為進(jìn)行審計(jì)；c)虛擬機(jī)審計(jì)：應(yīng)采用基于用戶(hù)唯一身份標(biāo)識(shí)符的方式，對(duì)運(yùn)行虛擬機(jī)的進(jìn)程、服務(wù)、端口、用戶(hù)操作行為（包括違規(guī)外聯(lián)）等進(jìn)行審計(jì)；d)虛擬化資源管理系統(tǒng)審計(jì)：應(yīng)對(duì)系統(tǒng)事件、資源狀況、更新維護(hù)等進(jìn)行審計(jì)；e)網(wǎng)絡(luò)審計(jì)：應(yīng)對(duì)虛擬服務(wù)器內(nèi)部的虛擬機(jī)之間的網(wǎng)絡(luò)行為進(jìn)行審計(jì)；f)存儲(chǔ)管理審計(jì)：應(yīng)對(duì)邏輯卷創(chuàng)建與刪除、存儲(chǔ)資源分配與回收、存儲(chǔ)備份與恢復(fù)、數(shù)據(jù)導(dǎo)入與導(dǎo)出等行為進(jìn)行審計(jì)；g）瘦客戶(hù)端審計(jì)：應(yīng)對(duì)瘦客戶(hù)端違規(guī)外聯(lián)和端口使用等行為進(jìn)行審計(jì)。 首先，針對(duì)虛擬化系統(tǒng)本身，XS的各個(gè)部分都會(huì)產(chǎn)生大量的日志，這些日志都會(huì)通過(guò)SYSLOG的格式發(fā)到指定的服務(wù)器的。但需要注意的是，日志服務(wù)器只是一個(gè)標(biāo)準(zhǔn)的SYSLOG服務(wù)器，并不具備和提供更高級(jí)別的日志分析功能。這就要求業(yè)主部署相應(yīng)的專(zhuān)業(yè)化的日志分析工具。 其次，建議把審計(jì)日志放在專(zhuān)用的具有法規(guī)遵從功能的存儲(chǔ)空間里面。法規(guī)遵循功能其中一項(xiàng)重要的內(nèi)容是為了保存證據(jù)而設(shè)計(jì)的特殊存儲(chǔ)空間，一旦寫(xiě)入就不能修改，直到指定時(shí)間之后。通常的，Netapp和一些進(jìn)口存儲(chǔ)都具有相應(yīng)的功能。 最后，所有的關(guān)于管理員的操作，都會(huì)按照三員角色的劃分來(lái)執(zhí)行。XS產(chǎn)品的三員功能做得不到位的地方，或者Desktop這類(lèi)根本不具備三員功能的軟件系統(tǒng)，建議通過(guò)部署“方位控制網(wǎng)關(guān)”設(shè)備進(jìn)行補(bǔ)充防護(hù)。 在測(cè)評(píng)的時(shí)候，會(huì)針對(duì)日志提出很多問(wèn)題，包括：日志存儲(chǔ)空間滿(mǎn)后如何處理、管理員惡意占滿(mǎn)日志空間怎么辦、日志轉(zhuǎn)儲(chǔ)的過(guò)程中的安全性問(wèn)題等等。這些都是可能要在最終的分級(jí)保護(hù)測(cè)評(píng)過(guò)程中被問(wèn)到的問(wèn)題。2.11虛擬化系統(tǒng)安全管理2.11.1虛擬化產(chǎn)品配置安全XS產(chǎn)品是全部掌握軟件源代碼的產(chǎn)品。產(chǎn)品團(tuán)隊(duì)在編譯系統(tǒng)時(shí)，其內(nèi)核中應(yīng)裁減全部非授權(quán)或無(wú)用的硬件驅(qū)動(dòng)（如藍(lán)牙、串并口、USB網(wǎng)卡、無(wú)線設(shè)備等），并防止驅(qū)動(dòng)模塊的動(dòng)態(tài)加載。配置和部署的時(shí)候，應(yīng)刪除多余的、過(guò)期的賬戶(hù)，避免共享賬戶(hù)的存在。應(yīng)遵循最小安裝的原則，僅安裝需要的組件和應(yīng)用程序，并通過(guò)設(shè)置升級(jí)服務(wù)器等方式保持系統(tǒng)補(bǔ)丁及時(shí)得到更新。2.11.2虛擬機(jī)安全管理標(biāo)準(zhǔn)要求如下：應(yīng)按虛擬機(jī)生命周期進(jìn)行管理，保證虛擬機(jī)鏡像文件的創(chuàng)建、存儲(chǔ)、復(fù)制、快照、傳輸、銷(xiāo)毀等環(huán)節(jié)的安全；應(yīng)確保模板和鏡像的