《網(wǎng)絡(luò)竊密、監(jiān)聽(tīng)和防泄密技術(shù)》第15章“云安全”和虛擬化技術(shù)在安全防御中的應(yīng)用

第15章“云安全”和虛擬化技術(shù)在安全防御中的應(yīng)用15.1基于“云安全”的主動(dòng)防御15.2國(guó)內(nèi)外典型“云安全”方案15.3虛擬桌面技術(shù)15.4基于虛擬化技術(shù)的惡意軟件防護(hù)

15.1基于“云安全”的主動(dòng)防御

“云計(jì)算(CloudComputing)”是分布式處理(DistributedComputing)、并行處理(ParallelComputing)和網(wǎng)格計(jì)算(GridComputing)的發(fā)展，或者說(shuō)是這些計(jì)算機(jī)科學(xué)概念的商業(yè)實(shí)現(xiàn)?！霸朴?jì)算”的應(yīng)用包含這樣一種思想，即把力量聯(lián)合起來(lái)，給其中的每一個(gè)成員使用。

伴隨著“云計(jì)算”技術(shù)的發(fā)展，“云安全”逐漸發(fā)展并得以實(shí)用化。追溯到2007年底開(kāi)始，全球范圍內(nèi)的惡意軟件、攻擊行為日益復(fù)雜并且變得難以防御，在“海量威脅”的壓力下，傳統(tǒng)的基于“簽名”的安全防預(yù)技術(shù)受到了挑戰(zhàn)，而這恰恰給“云安全”技術(shù)發(fā)展提供了空間?！霸瓢踩奔夹g(shù)本身聯(lián)合了兩個(gè)領(lǐng)域，即“云計(jì)算”和基于網(wǎng)絡(luò)的威脅防御。“云安全”技術(shù)實(shí)現(xiàn)的是龐大云端和瘦客戶(hù)端的結(jié)合?！霸瓢踩弊钪匾募夹g(shù)特點(diǎn)在于其分布式運(yùn)算的強(qiáng)大能力和客戶(hù)端的安全配置精簡(jiǎn)化，也就是用戶(hù)們經(jīng)常談到的瘦客戶(hù)端發(fā)展趨勢(shì)。這點(diǎn)對(duì)于機(jī)構(gòu)用戶(hù)而言確實(shí)具有明顯的安全性提升和降低客戶(hù)端維護(hù)量的優(yōu)勢(shì)?！霸瓢踩奔夹g(shù)也提供了對(duì)未知威脅的評(píng)估和防御推送能力，因此在安全防御級(jí)別上無(wú)疑有明顯的提升。15.1.1“云安全”的產(chǎn)生和原理

在互聯(lián)網(wǎng)普及前，計(jì)算機(jī)安全問(wèn)題基本局限在單機(jī)范疇，傳統(tǒng)安全廠商也主要做單機(jī)版殺毒軟件，對(duì)付病毒的方法都是依靠“殺毒引擎+特征碼”的“事后查殺”模式。反病毒行業(yè)目前一直沿用的方法是：發(fā)現(xiàn)病毒后，由反病毒公司的工程師解析病毒樣本，然后將針對(duì)該樣本的病毒碼上傳到病毒庫(kù)中，用戶(hù)通過(guò)定時(shí)或者手動(dòng)更新病毒庫(kù)，來(lái)獲得殺毒軟件的升級(jí)保護(hù)。但這樣的傳統(tǒng)殺毒方式，病毒碼更新起來(lái)比較麻煩，用戶(hù)每天升級(jí)殺毒軟件也比較耗費(fèi)內(nèi)存和帶寬，很多人對(duì)此很反感。此外，日益發(fā)展的大量病毒變種，使得標(biāo)準(zhǔn)樣本收集、特征碼創(chuàng)建以及部署不再能充分發(fā)揮效用。另外，繼續(xù)使用特征碼防護(hù)機(jī)制面臨的最大問(wèn)題之一，是存在防護(hù)時(shí)間差的問(wèn)題。一般來(lái)說(shuō)，從一個(gè)病毒出現(xiàn)到被識(shí)別、分析、加入病毒特征碼庫(kù)到最終傳送給用戶(hù)計(jì)算機(jī)，通常要花費(fèi)24～72小時(shí)。個(gè)人用戶(hù)和機(jī)構(gòu)用戶(hù)在等待升級(jí)病毒庫(kù)的這段時(shí)間中，他們的終端計(jì)算機(jī)將會(huì)暴露在安全威脅之下，很容易受到攻擊。

起初病毒的設(shè)計(jì)是為了盡可能快速地進(jìn)行傳播，因此很容易找到。隨著網(wǎng)絡(luò)威脅的涌現(xiàn)，惡意軟件已經(jīng)從爆發(fā)模式發(fā)展到隱蔽的“睡眠式”感染，從而讓傳統(tǒng)的保護(hù)技術(shù)更加難以探測(cè)。對(duì)于小規(guī)模，特定范圍傳播的病毒(這是計(jì)算機(jī)病毒發(fā)展的最新趨勢(shì))，反病毒軟件公司可能沒(méi)有得到病毒樣本，因此也無(wú)法提供特征代碼。那么，對(duì)這些病毒，反病毒軟件就無(wú)法檢測(cè)到。即使反病毒軟件公司提供特征代碼，那也是在病毒傳播一段時(shí)間之后了，這段時(shí)間里，用戶(hù)也是不被保護(hù)的。從安全防御機(jī)構(gòu)的角度來(lái)說(shuō)，如果依然沿襲以往的反病毒模式，安全機(jī)構(gòu)依靠自身部署的有限地域、有限數(shù)量的惡意軟件采集能力，無(wú)法在小規(guī)模爆發(fā)的惡意軟件變成大規(guī)模的破壞前及時(shí)地采集、分析并提出處理措施，從而遠(yuǎn)遠(yuǎn)落在攻擊者的腳步之后?；凇霸瓢踩钡木W(wǎng)絡(luò)協(xié)作模式，能夠讓每一臺(tái)客戶(hù)電腦都變成安全機(jī)構(gòu)的智能惡意軟件監(jiān)測(cè)站，利用其主動(dòng)防御技術(shù)及時(shí)發(fā)現(xiàn)和提交“可疑的惡意軟件”，從而組成一個(gè)遍及全球和各領(lǐng)域的龐大惡意軟件監(jiān)測(cè)網(wǎng)絡(luò)，大幅度提高安全機(jī)構(gòu)的安全信息總量和反應(yīng)速度，使其基于“特征碼比對(duì)”或基于“行為模式分析”的解決方案的精確度能夠得到大幅度提高。“云計(jì)算”實(shí)現(xiàn)的安全，或稱(chēng)“云安全”，來(lái)源于其“云網(wǎng)絡(luò)—瘦客戶(hù)”的新型計(jì)算模型，如圖15-1所示，將大量的各種計(jì)算資源放置在網(wǎng)絡(luò)中，將分布處理、并行處理及網(wǎng)格計(jì)算的能力通過(guò)網(wǎng)絡(luò)接口分享給客戶(hù)，在實(shí)現(xiàn)上，讓龐大的服務(wù)器端(即“云端”)承擔(dān)大規(guī)模集中信息采集、處理、計(jì)算、存儲(chǔ)、分析、檢測(cè)和監(jiān)測(cè)工作，甚至直接在云內(nèi)將大部分流動(dòng)的攻擊行為阻斷掉，而只讓客戶(hù)端承擔(dān)提交“潛在惡意軟件”和執(zhí)行最終的“清除、隔離還是放行”的簡(jiǎn)單任務(wù)?？蛻?hù)端防護(hù)軟件將不再需要設(shè)計(jì)得龐大而全面，不再占據(jù)系統(tǒng)過(guò)多的寶貴計(jì)算和存儲(chǔ)資源。當(dāng)然，對(duì)網(wǎng)絡(luò)資源的使用是必須的。從客戶(hù)的角度而言，這種“提供強(qiáng)大靠山”的新型方式大大簡(jiǎn)化了客戶(hù)端工作量，使原本弱小的普通客戶(hù)端告別了原本安全信息不對(duì)等的弱勢(shì)局面，將實(shí)時(shí)更新的強(qiáng)大入侵監(jiān)測(cè)和分析能力“推送”到了每一臺(tái)客戶(hù)計(jì)算機(jī)。圖15-1“云安全”模式圖引入“云計(jì)算”架構(gòu)后，殺毒行業(yè)真正實(shí)現(xiàn)了從殺毒到防毒的改變。把病毒碼放到服務(wù)器的“云端”，服務(wù)器集群遇到進(jìn)入用戶(hù)終端的病毒碼時(shí)可以自動(dòng)查殺，這樣就可以使用戶(hù)終端變得很輕松，不用每天升級(jí)，也不必再因?yàn)闅⒍拒浖加脙?nèi)存和帶寬。不一定要等到用戶(hù)中毒之后再去解決，重要的是要預(yù)防問(wèn)題。趨勢(shì)、熊貓、瑞星、賽門(mén)鐵克等殺毒廠商目前都在部署自己的云計(jì)算機(jī)架構(gòu)，用以組成“云端”的服務(wù)器集群從數(shù)百臺(tái)到上萬(wàn)臺(tái)不等。在未來(lái)，用戶(hù)只要安裝了某一款接入“云端”的殺毒軟件，在上網(wǎng)時(shí)，服務(wù)器端會(huì)根據(jù)已經(jīng)預(yù)存的海量病毒庫(kù)來(lái)判斷哪些網(wǎng)頁(yè)行為是惡意的，甚至是木馬程序，并自動(dòng)為用戶(hù)清除。那么一旦出現(xiàn)了新的病毒，而服務(wù)器“云端”的數(shù)據(jù)庫(kù)中此前沒(méi)有該病毒碼，云計(jì)算不再依靠某一公司的工程師們加班加點(diǎn)地去分析，而是根據(jù)事先設(shè)定好的數(shù)十項(xiàng)衡量標(biāo)準(zhǔn)對(duì)一種網(wǎng)頁(yè)新行為進(jìn)行測(cè)評(píng)，如果發(fā)現(xiàn)某一代碼行為異常，則立即截?cái)嗥鋪?lái)回反饋的通道，不讓它進(jìn)入用戶(hù)終端，直接在半路上查殺。15.1.2“云安全”的關(guān)鍵技術(shù)

基于信譽(yù)的安全技術(shù)補(bǔ)充了傳統(tǒng)安全技術(shù)的不足，通過(guò)收集匿名用戶(hù)使用情況的樣本，從而辨別URL/Web/郵件/文件安全與否。技術(shù)的核心集中在如何憑借指定URL/Web/郵件/文件的部分使用情況信息來(lái)辨別該URL/Web/郵件/文件是否安全?；谛抛u(yù)的安全技術(shù)充分利用多方數(shù)據(jù)資源，包括由數(shù)億用戶(hù)計(jì)算機(jī)上的代理提供的匿名數(shù)據(jù)、軟件發(fā)行商提供的數(shù)據(jù)以及在針對(duì)大型企業(yè)用戶(hù)發(fā)起的數(shù)據(jù)收集項(xiàng)目中獲得的數(shù)據(jù)。這些數(shù)據(jù)會(huì)持續(xù)不斷地更新到信譽(yù)引擎，以此確定每一URL/Web/郵件/文件的安全信譽(yù)等級(jí)，絕不需要對(duì)該URL/Web/郵件/文件進(jìn)行掃描。從技術(shù)實(shí)現(xiàn)的角度而言，“云安全”全球化的信息采集和分析模式使其可以采用新的防御模式和技術(shù)，主要?dú)w納為以下幾點(diǎn)：

(1)雙向自動(dòng)反饋機(jī)制?！霸朴?jì)算”防惡意軟件技術(shù)不再需要客戶(hù)端保留惡意軟件庫(kù)特征，所有的信息都將存放于互聯(lián)網(wǎng)中。當(dāng)全球任何角落的終端用戶(hù)連接到互聯(lián)網(wǎng)后，與“云端”的服務(wù)器保持實(shí)時(shí)聯(lián)絡(luò)，當(dāng)發(fā)現(xiàn)異常行為或惡意軟件等風(fēng)險(xiǎn)后，自動(dòng)提交到“云端”的服務(wù)器群組中，由“云計(jì)算”技術(shù)進(jìn)行集中分析和處理。之后，“云計(jì)算”技術(shù)會(huì)生成一份對(duì)風(fēng)險(xiǎn)的處理意見(jiàn)，同時(shí)對(duì)全世界的客戶(hù)端進(jìn)行統(tǒng)一分發(fā)?？蛻?hù)端可以自動(dòng)進(jìn)行阻斷攔截、查殺等操作。將惡意軟件特征庫(kù)放置于“云”中，不但可以節(jié)省因惡意軟件不斷泛濫而造成的軟硬件資源開(kāi)支，而且還能獲得更加高效的惡意軟件防范能力。

(2)根據(jù)資源的URL地址來(lái)判斷風(fēng)險(xiǎn)程度?！霸瓢踩笨梢詮恼麄€(gè)互聯(lián)網(wǎng)上收集源信息，判斷用戶(hù)的互聯(lián)網(wǎng)搜索、訪問(wèn)、應(yīng)用的對(duì)象是不是惡意信息。這種模式與病毒代碼的比對(duì)不同，病毒代碼是用特征碼進(jìn)行識(shí)別。傳統(tǒng)病毒代碼分析依靠大量人工，而“云安全”則利用基于歷史用戶(hù)反饋的統(tǒng)計(jì)學(xué)分析方式不停地對(duì)互聯(lián)網(wǎng)進(jìn)行判斷。只要全球范圍內(nèi)有1%的用戶(hù)提交需求給“云端”服務(wù)器，15分鐘之后全球的“云安全”庫(kù)就會(huì)對(duì)該URL的訪問(wèn)行為進(jìn)行策略控制。

(3)?Web信譽(yù)服務(wù)。借助全球域信譽(yù)數(shù)據(jù)庫(kù)，Web信譽(yù)服務(wù)按照惡意軟件行為分析所發(fā)現(xiàn)的網(wǎng)站頁(yè)面、歷史位置變化和可疑活動(dòng)跡象等因素來(lái)指定信譽(yù)分?jǐn)?shù)，從而追蹤網(wǎng)頁(yè)的可信度。然后將通過(guò)該技術(shù)繼續(xù)掃描網(wǎng)站并防止用戶(hù)訪問(wèn)被感染的網(wǎng)站。為了提高準(zhǔn)確性，降低誤報(bào)率，Web信譽(yù)服務(wù)為網(wǎng)站的特定網(wǎng)頁(yè)或鏈接指定信譽(yù)分值，而不是對(duì)整個(gè)網(wǎng)站進(jìn)行分類(lèi)或攔截，因?yàn)橥ǔ：戏ňW(wǎng)站只有一部分受到攻擊，而信譽(yù)可以隨時(shí)間而不斷變化。通過(guò)信譽(yù)分值的比對(duì)，就可以知道某個(gè)網(wǎng)站潛在的風(fēng)險(xiǎn)級(jí)別。當(dāng)用戶(hù)訪問(wèn)具有潛在風(fēng)險(xiǎn)的網(wǎng)站時(shí)，就可以及時(shí)獲得系統(tǒng)提醒或阻止，從而幫助用戶(hù)快速地確認(rèn)目標(biāo)網(wǎng)站的安全性。通過(guò)Web信譽(yù)服務(wù)，可以防范惡意程序源頭。由于對(duì)“零日攻擊”的防范是基于網(wǎng)站的可信度而不是真正的內(nèi)容，因此能有效預(yù)防惡意軟件的初始下載，用戶(hù)進(jìn)入網(wǎng)絡(luò)前就能夠獲得防護(hù)能力。

(4)電子郵件信譽(yù)服務(wù)。電子郵件信譽(yù)服務(wù)按照已知垃圾郵件來(lái)源的信譽(yù)數(shù)據(jù)庫(kù)檢查IP地址，同時(shí)利用可以實(shí)時(shí)評(píng)估電子郵件發(fā)送者信譽(yù)的動(dòng)態(tài)服務(wù)對(duì)IP地址進(jìn)行驗(yàn)證。信譽(yù)評(píng)分通過(guò)對(duì)IP地址的行為、活動(dòng)范圍以及以前的歷史不斷分析而加以細(xì)化。按照發(fā)送者的IP地址，惡意電子郵件在“云”中即被攔截，從而防止僵尸或僵尸網(wǎng)絡(luò)等Web威脅到達(dá)網(wǎng)絡(luò)或用戶(hù)的計(jì)算機(jī)。

(5)文件信譽(yù)服務(wù)。文件信譽(yù)服務(wù)技術(shù)可以檢查位于端點(diǎn)、服務(wù)器或網(wǎng)關(guān)處的每個(gè)文件的信譽(yù)。檢查的依據(jù)包括已知的良性文件清單和已知的惡性文件清單，即現(xiàn)在所謂的防病毒特征碼。高性能的內(nèi)容分發(fā)網(wǎng)絡(luò)和本地緩沖服務(wù)器將確保在檢查過(guò)程中使延遲時(shí)間降到最低。由于惡意信息被保存在“云”中，所以可以立即到達(dá)網(wǎng)絡(luò)中的所有用戶(hù)。此外，與占用端點(diǎn)空間的傳統(tǒng)防病毒特征碼文件下載相比，這種方法降低了端點(diǎn)內(nèi)存和系統(tǒng)消耗。

(6)行為關(guān)聯(lián)分析技術(shù)。利用行為分析的相關(guān)性技術(shù)把威脅活動(dòng)綜合聯(lián)系起來(lái)，確定其是否屬于惡意行為。按照啟發(fā)式觀點(diǎn)來(lái)判斷Web威脅的單一活動(dòng)是否實(shí)際存在威脅，可以檢查潛在威脅不同組件之間的相互關(guān)系。來(lái)自世界各地的研究將補(bǔ)充客戶(hù)端反饋內(nèi)容，全天候威脅監(jiān)控和攻擊防御，以探測(cè)、預(yù)防并清除攻擊，綜合應(yīng)用各種技術(shù)和數(shù)據(jù)收集方式—包括蜜罐、網(wǎng)絡(luò)爬行器、反饋以及內(nèi)部研究獲得關(guān)于最新威脅的各種情報(bào)。

15.2國(guó)內(nèi)外典型“云安全”方案

15.2.1瑞星“云安全”瑞星“云安全”擁有數(shù)千萬(wàn)客戶(hù)端，覆蓋互聯(lián)網(wǎng)的各個(gè)角落，而且可以通過(guò)互聯(lián)網(wǎng)實(shí)時(shí)更新，因此它具有強(qiáng)大的互聯(lián)網(wǎng)威脅感知能力，能夠在最短時(shí)間內(nèi)發(fā)現(xiàn)、截獲、處理海量的最新木馬病毒和掛馬網(wǎng)站。同時(shí)，它還可以將解決方案瞬時(shí)送達(dá)所有用戶(hù)和合作伙伴，提前防范各種新生網(wǎng)絡(luò)威脅。每一位用戶(hù)都可以共享數(shù)千萬(wàn)用戶(hù)的“云安全”成果。如圖15-2所示為瑞星“云安全”體系結(jié)構(gòu)。圖15-2瑞星“云安全”體系結(jié)構(gòu)“云安全”計(jì)劃的核心是瑞星“木馬/惡意軟件自動(dòng)分析系統(tǒng)”(RsAMA)，該系統(tǒng)能夠?qū)Υ罅坎《緲颖具M(jìn)行動(dòng)態(tài)分類(lèi)與共性特征分析。借助該系統(tǒng)，能讓病毒分析工程師的處理效率成倍提高。雖然每天收集到的木馬病毒樣本有8～10萬(wàn)個(gè)，但是瑞星的自動(dòng)分析系統(tǒng)能夠根據(jù)木馬病毒的變種群自動(dòng)進(jìn)行分類(lèi)，并利用“變種病毒家族特征提取技術(shù)”分別對(duì)變種群的特征進(jìn)行提取。這樣，對(duì)數(shù)萬(wàn)個(gè)新木馬病毒進(jìn)行自動(dòng)分析處理后，真正需要人工分析的新木馬病毒樣本只有數(shù)百個(gè)。如圖15-3所示，“瑞星卡卡6.0”的“自動(dòng)在線診斷”模塊，是“云安全”計(jì)劃的核心之一。每當(dāng)用戶(hù)啟動(dòng)電腦，該模塊都會(huì)自動(dòng)檢測(cè)并提取電腦中的可疑木馬樣本，并上傳到瑞星“木馬/惡意軟件自動(dòng)分析系統(tǒng)”(RsAutomatedMalwareAnalyzer，RsAMA)，整個(gè)過(guò)程只需要幾秒鐘。隨后RsAMA將把分析結(jié)果反饋給用戶(hù)，查殺木馬病毒，并通過(guò)“瑞星安全資料庫(kù)”(RisingSecurityDatabase，RsSD)，分享給其他所有“瑞星卡卡6.0”用戶(hù)。由于此過(guò)程全部通過(guò)互聯(lián)網(wǎng)并經(jīng)程序自動(dòng)控制，可以在最大程度上提高用戶(hù)對(duì)木馬和病毒的防范能力。理想狀態(tài)下，從一個(gè)盜號(hào)木馬攻擊某臺(tái)電腦，到整個(gè)“云安全”網(wǎng)絡(luò)對(duì)其擁有免疫及查殺能力，僅需幾秒鐘。圖15-3瑞星“云安全”計(jì)劃參與者越多，整個(gè)網(wǎng)絡(luò)越安全。隨著瑞星卡卡6.0用戶(hù)數(shù)量的不斷增長(zhǎng)，新木馬病毒暴露在監(jiān)測(cè)節(jié)點(diǎn)面前的概率就會(huì)增大，瑞星木馬/惡意軟件自動(dòng)分析系統(tǒng)(RsAMA)收取并分析處理的樣本就會(huì)同步提升，而每一個(gè)瑞星卡卡6.0用戶(hù)從瑞星安全資料庫(kù)所獲得的新木馬病毒查殺能力就會(huì)提高。

瑞星“云安全”2.0的策略是，在軟件中加入“掛馬網(wǎng)頁(yè)”的自動(dòng)診斷和收集模塊，一旦發(fā)現(xiàn)疑似染毒網(wǎng)頁(yè)，就立刻阻斷木馬病毒的下載，并將診斷信息傳回瑞星技術(shù)平臺(tái)進(jìn)一步分析處理?！澳抉R入侵?jǐn)r截—網(wǎng)站攔截”模塊在幫助用戶(hù)攔截木馬病毒的同時(shí)，會(huì)將“掛馬網(wǎng)頁(yè)”的網(wǎng)址傳回瑞星，因此“云安全”2.0將幫助瑞星構(gòu)筑起一個(gè)強(qiáng)大的“惡意網(wǎng)址庫(kù)”。15.2.2McAfeeArtemis

McAfeeArtemis技術(shù)，采用邁克菲Avert實(shí)驗(yàn)室提供的一項(xiàng)基于互聯(lián)網(wǎng)的新服務(wù)，在計(jì)算機(jī)受到惡意計(jì)算機(jī)代碼攻擊時(shí)提供即時(shí)的主動(dòng)保護(hù)。Artemis是一種能夠在攻擊發(fā)生時(shí)提供即時(shí)保護(hù)的技術(shù)，無(wú)需在計(jì)算機(jī)上安裝威脅特征碼，更無(wú)需對(duì)這些特征碼進(jìn)行傳統(tǒng)意義上的定期更新。

用戶(hù)的行為在改變，威脅也在不斷演變，然而惡意程序檢測(cè)技術(shù)卻沒(méi)有跟上步伐。通過(guò)快速抵御其特征碼文件尚未被發(fā)布的新威脅，Artemis率先真正消除了保護(hù)時(shí)間差。在安裝包含有Artemis的邁克菲產(chǎn)品的計(jì)算機(jī)上，當(dāng)檢測(cè)到可疑文件時(shí)，Artemis技術(shù)將實(shí)時(shí)連接到邁克菲服務(wù)器，確定此文件是否包含惡意程序。檢查將在幾秒鐘內(nèi)完成，對(duì)用戶(hù)的體驗(yàn)不會(huì)帶來(lái)任何實(shí)質(zhì)影響。

Artemis云服務(wù)與現(xiàn)有的分類(lèi)和識(shí)別惡意軟件的系統(tǒng)截然不同，其背后的支持機(jī)制源自于邁克菲的社區(qū)威脅智能(CommunityThreatIntelligence)，融合了來(lái)自邁克菲研究人員的安全訣竅，數(shù)千萬(wàn)受邁克菲保護(hù)的系統(tǒng)的威脅檢測(cè)庫(kù)和實(shí)時(shí)輸入，讓受邁克菲保護(hù)的每臺(tái)計(jì)算機(jī)更加智能和安全。

通過(guò)來(lái)自實(shí)驗(yàn)室的高級(jí)技術(shù)，邁克菲Artemis技術(shù)同時(shí)使用了特征碼和社區(qū)威脅智能行為分析機(jī)制。邁克菲的Artemis技術(shù)能夠迅速地提醒用戶(hù)，通過(guò)以下幾步確定文件是否應(yīng)該被阻擋或隔離：

(1)用戶(hù)通過(guò)電子郵件或Web收到新文件；

(2)在本地的DAT數(shù)據(jù)庫(kù)中找不到它的特征，但是掃描引擎認(rèn)定該文件可疑，例如加密或封裝的文件；

(3)通過(guò)使用邁克菲Artemis技術(shù)，掃描引擎把該文件的特點(diǎn)發(fā)送給邁克菲Avert實(shí)驗(yàn)室的綜合數(shù)據(jù)庫(kù)；

(4)邁克菲Artemis技術(shù)評(píng)測(cè)這些特征和其他相關(guān)信息；

(5)在不到1秒的時(shí)間內(nèi)，邁克菲Artemis技術(shù)識(shí)別出威脅，并通知用戶(hù)；

(6)?VirusScan處理該信息，并移除威脅；

(7)自動(dòng)更新客戶(hù)本地的McAfee產(chǎn)品安全策略數(shù)據(jù)庫(kù)。

15.3虛擬桌面技術(shù)

15.3.1虛擬化技術(shù)概述

《SNIA詞典》(http：///education/dictionary/v/)對(duì)虛擬化的定義是：“為了達(dá)到提供有用抽象概念的目的，而將一種或多種(后臺(tái))服務(wù)或功能與附加(前臺(tái))功能相集成的活動(dòng)。通常，虛擬化可以隱藏一些后臺(tái)復(fù)雜性，或?qū)⑿碌墓δ茉黾拥交蚣傻浆F(xiàn)有后臺(tái)服務(wù)?！苯裉煊?jì)算機(jī)的典型安排是，操作系統(tǒng)被直接安裝在計(jì)算機(jī)的硬件上，應(yīng)用程序被直接安裝在操作系統(tǒng)上。通過(guò)一個(gè)直接接在本地機(jī)器上的顯示器顯示程序的界面。在這種情況下，對(duì)其中一層的改動(dòng)往往會(huì)影響到其他層，這使得任何改動(dòng)都難以實(shí)施。虛擬化技術(shù)是一種調(diào)配計(jì)算資源的方法，它將計(jì)算機(jī)的不同層面，包括硬件、軟件、數(shù)據(jù)、網(wǎng)絡(luò)和存儲(chǔ)一一隔離開(kāi)來(lái)。虛擬化技術(shù)利用軟件把不同層面的應(yīng)用分開(kāi)，使改動(dòng)更容易實(shí)施，其帶來(lái)的結(jié)果是簡(jiǎn)化了管理、更有效地利用IT資源以及隨時(shí)隨地提供合適的計(jì)算資源的靈活性。虛擬化是資源的邏輯表示，它不受物理限制的約束。虛擬化的主要目的是簡(jiǎn)化對(duì)資源的訪問(wèn)和對(duì)這些資源的管理。消費(fèi)者通過(guò)受虛擬資源支持的標(biāo)準(zhǔn)接口對(duì)資源進(jìn)行訪問(wèn)，他們看到的只是界面友好的統(tǒng)一資源視圖，而不再需要去理會(huì)物理資源復(fù)雜多變的具體實(shí)現(xiàn)形式，同時(shí)也避免了高層次的用戶(hù)操作/應(yīng)用訪問(wèn)與底層的物理資源發(fā)生直接聯(lián)系。這些交互是通過(guò)一些虛擬化的基本模式來(lái)闡述的。虛擬化允許IT基礎(chǔ)設(shè)施管理員動(dòng)態(tài)管理資源的配置，同時(shí)還可以減少任何變化對(duì)最終用戶(hù)和應(yīng)用程序的影響。虛擬化的核心思想是，通過(guò)區(qū)分資源的優(yōu)先次序并隨時(shí)隨地能將IT系統(tǒng)資源分配給最需要它們的工作負(fù)載，來(lái)簡(jiǎn)化管理和提高效率，從而減少為單個(gè)工作負(fù)載峰值而儲(chǔ)備的資源。虛擬化可以有效減少服務(wù)器數(shù)量的增加速度，簡(jiǎn)化服務(wù)器管理，同時(shí)明顯提高服務(wù)器利用率、網(wǎng)絡(luò)靈活性和可靠性。通過(guò)虛擬化技術(shù)的使用，用戶(hù)可以將多種應(yīng)用整合到少量企業(yè)級(jí)服務(wù)器而仍然保持高可靠性和靈活性，從而提升IT系統(tǒng)適應(yīng)業(yè)務(wù)變化的能力。

虛擬機(jī)器利用軟件創(chuàng)建一個(gè)虛擬機(jī)來(lái)模擬底層硬件的服務(wù)和功能。這使得它能在一臺(tái)機(jī)器上運(yùn)行多個(gè)操作系統(tǒng)。如果這項(xiàng)技術(shù)應(yīng)用于服務(wù)器則被稱(chēng)為服務(wù)器虛擬技術(shù)；如果應(yīng)用于用戶(hù)電腦，則被稱(chēng)為桌面虛擬技術(shù)。15.3.2虛擬桌面架構(gòu)產(chǎn)生的背景和需求

如果允許員工在機(jī)構(gòu)電腦上運(yùn)行個(gè)人應(yīng)用程序和數(shù)據(jù)，則能夠拉近機(jī)構(gòu)與員工的距離，但是這樣將會(huì)顯著增加機(jī)構(gòu)管理的復(fù)雜性和風(fēng)險(xiǎn)。目前，內(nèi)網(wǎng)桌面系統(tǒng)管理存在以下的問(wèn)題：

(1)?PC管理不但耗時(shí)，而且效率低下。IT部門(mén)的管理維護(hù)人員需要面對(duì)員工機(jī)器上各種各樣的業(yè)務(wù)系統(tǒng)、應(yīng)用程序和配置文件，甚至包括不同類(lèi)型的操作系統(tǒng)。最終用戶(hù)的設(shè)備多種多樣，即使相同品牌也會(huì)有所差異。軟件修補(bǔ)程序加大了版本控制的難度，即使來(lái)自類(lèi)似映像的軟件也不例外。有時(shí)，最終用戶(hù)會(huì)加載軟件，然后自行安裝修補(bǔ)程序。屏幕保護(hù)程序、家庭照片和聊天應(yīng)用程序可以對(duì)系統(tǒng)進(jìn)行個(gè)性化設(shè)置，但會(huì)占用應(yīng)用程序資源?？梢园惭b的修補(bǔ)程序或加載的軟件同樣也容易出現(xiàn)故障。購(gòu)買(mǎi)新的最終用戶(hù)設(shè)備和軟件往往需要一段等待時(shí)間，另外還需要系統(tǒng)管理員的支持時(shí)間。

(2)操作系統(tǒng)安裝、升級(jí)、重裝、修復(fù)，批量分發(fā)補(bǔ)丁等維護(hù)。每臺(tái)PC機(jī)均需要人工安裝操作系統(tǒng)，并進(jìn)行升級(jí)。嚴(yán)重感染病毒或損壞的系統(tǒng)，必須重新安裝。日常使用中，還需確保在線升級(jí)的正常進(jìn)行。

(3)關(guān)鍵數(shù)據(jù)分布、安全性和遵從性風(fēng)險(xiǎn)。傳統(tǒng)的IT架構(gòu)，為每個(gè)桌面PC機(jī)都配置了標(biāo)準(zhǔn)的磁盤(pán)存儲(chǔ)器，用于部署本地操作系統(tǒng)。同時(shí)，這些磁盤(pán)也用于存儲(chǔ)生產(chǎn)所用數(shù)據(jù)和個(gè)人信息相關(guān)數(shù)據(jù)。由于桌面PC機(jī)采用分布式結(jié)構(gòu)，如此存放數(shù)據(jù)存在非常大的安全隱患。一旦發(fā)生未授權(quán)人員非法訪問(wèn)PC機(jī)本地磁盤(pán)存儲(chǔ)的機(jī)構(gòu)關(guān)鍵業(yè)務(wù)數(shù)據(jù)的情況，就很可能導(dǎo)致商業(yè)機(jī)密外泄事故的發(fā)生。甚至極端情況下，硬盤(pán)可能會(huì)被拆卸下來(lái)連接到其他電腦上讀取數(shù)據(jù)，導(dǎo)致信息失竊。同時(shí)由于PC機(jī)的開(kāi)放性，網(wǎng)絡(luò)、藍(lán)牙、USB等多種數(shù)據(jù)傳輸方式無(wú)法做到完全徹底的屏蔽，因此數(shù)據(jù)安全與終端用戶(hù)可用性一直是矛與盾的關(guān)系。如果機(jī)構(gòu)鎖定電腦，雖然能夠降低費(fèi)用，但工作環(huán)境會(huì)愈加枯燥，導(dǎo)致士氣降低，限制生產(chǎn)力。而將機(jī)構(gòu)桌面作為一種服務(wù)，從數(shù)據(jù)中心交付到安全的虛擬計(jì)算機(jī)上，就可以免除這種無(wú)謂的利弊權(quán)衡。在這一新模式下，員工將能夠把自己的工作計(jì)算和個(gè)人計(jì)算無(wú)縫整合在同一臺(tái)設(shè)備上，并在兩者之間流暢轉(zhuǎn)換，而不會(huì)給機(jī)構(gòu)帶來(lái)任何風(fēng)險(xiǎn)。這樣，用戶(hù)就能夠在個(gè)人桌面上的消費(fèi)類(lèi)應(yīng)用(或社交網(wǎng)絡(luò)賬戶(hù))與機(jī)構(gòu)桌面上的客戶(hù)關(guān)系管理數(shù)據(jù)庫(kù)之間直觀、自如地切換，而不會(huì)破壞集中管理機(jī)構(gòu)桌面的安全特性。將機(jī)構(gòu)桌面作為一種服務(wù)，數(shù)據(jù)中心將允許用戶(hù)把自己的工作桌面和個(gè)人桌面放在同一臺(tái)自己所習(xí)慣的筆記本電腦上，無(wú)論在何處都可隨身攜帶，這樣提高了員工的滿意度和生產(chǎn)力。而IT部門(mén)也不必?fù)?dān)心機(jī)構(gòu)資源和數(shù)據(jù)因?yàn)檫@兩個(gè)環(huán)境的合并而受損害。桌面虛擬化可能涉及許多不同的客戶(hù)，所有這些都有不同的帶寬和支持需求：

(1)胖客戶(hù)端。胖客戶(hù)端使用一臺(tái)標(biāo)準(zhǔn)的桌面PC或筆記本電腦，但在該機(jī)的操作系統(tǒng)之上安裝終端服務(wù)程序或虛擬機(jī)工作站平臺(tái)。在用戶(hù)平時(shí)的工作過(guò)程中，他們不是直接與本地運(yùn)行的業(yè)務(wù)系統(tǒng)打交道，而是必須通過(guò)終端服務(wù)程序或虛擬機(jī)工作站平臺(tái)來(lái)訪問(wèn)存儲(chǔ)在服務(wù)器端的終端服務(wù)或本地的獨(dú)立虛擬桌面映像。此選項(xiàng)的缺點(diǎn)是，IT仍需要定期更新，修補(bǔ)程序和支持維護(hù)全部的臺(tái)式電腦。許多公司使用胖客戶(hù)端來(lái)操縱桌面虛擬化。

(2)瘦客戶(hù)端。瘦客戶(hù)端使用一個(gè)精簡(jiǎn)的操作系統(tǒng)(WindowsCE、Linux等)，并支持用戶(hù)界面功能(視頻、音頻、USB、打印機(jī)、鼠標(biāo)、鍵盤(pán)等)。

(3)?Net客戶(hù)端。Net客戶(hù)端介于胖客戶(hù)端和瘦客戶(hù)端之間。他們精簡(jiǎn)操作系統(tǒng)或可能移動(dòng)設(shè)備，如運(yùn)行iPhoneCitrix接收器的iPhone或Wyse公司的AppleiPhone應(yīng)用程序。

(4)零客戶(hù)端。有了零客戶(hù)端，所有的操作系統(tǒng)或者應(yīng)用程序都運(yùn)行在服務(wù)器上而桌面上沒(méi)有任何東西。零客戶(hù)端本質(zhì)上是一個(gè)延長(zhǎng)線，它擴(kuò)展了鍵盤(pán)、鼠標(biāo)、屏幕、音頻、打印機(jī)和USB端口到桌面。這個(gè)解決方案可以在危險(xiǎn)環(huán)境中最優(yōu)運(yùn)行，而且在這些環(huán)境里維護(hù)是一項(xiàng)挑戰(zhàn)。零客戶(hù)端桌面非常適合工廠車(chē)間、化工廠和醫(yī)院。零客戶(hù)端比傳統(tǒng)臺(tái)式機(jī)甚至瘦客戶(hù)端，需要的功率都小。15.3.3虛擬桌面架構(gòu)的概念和優(yōu)勢(shì)

從本質(zhì)上講，虛擬桌面架構(gòu)(VirtualDesktopInfrastructure，VDI)、終端服務(wù)(TerminalServices，TS)及CitrixXenApp(以前稱(chēng)為MetaFrame/Presentation服務(wù)器)是一樣的。這是指它們都通過(guò)“瘦”協(xié)議提供桌面給客戶(hù)使用。其不同在于，在基于服務(wù)器計(jì)算的模式中，多個(gè)用戶(hù)連接到一個(gè)共享的TS或CitrixDesktop；而虛擬桌面模式下，每個(gè)用戶(hù)都僅連接到專(zhuān)屬于自己的桌面。

虛擬桌面架構(gòu)采用“集中計(jì)算，分布顯示”的原則，通過(guò)虛擬化技術(shù)，將所有客戶(hù)端的運(yùn)算合為一體，在機(jī)構(gòu)數(shù)據(jù)中心內(nèi)進(jìn)行集中處理，而桌面用戶(hù)采用瘦客戶(hù)端或?qū)Ｓ眯⌒徒K端機(jī)的方式，僅負(fù)責(zé)輸入輸出與界面顯示，不參與任何計(jì)算和應(yīng)用。

VDI允許客戶(hù)端從遠(yuǎn)程運(yùn)行在數(shù)據(jù)中心的桌面，如圖15-4所示，主要包括以下組件：

(1)?Hypervisor。例如Citrix的XenServer、微軟的Hyper-V或者VMware的ESXServer，它運(yùn)行在服務(wù)器上并執(zhí)行桌面虛擬機(jī)。

(2)?Hypervisor廠家針對(duì)他們產(chǎn)品提供的管理平臺(tái)。這個(gè)平臺(tái)管理Hypervisor服務(wù)器以及目前連接正在使用的和新連接正在請(qǐng)求的虛擬機(jī)池，并輔助為VDI客戶(hù)端提供桌面虛

擬機(jī)。

(3)會(huì)話代理。它負(fù)責(zé)從客戶(hù)端重定向會(huì)話到虛擬機(jī)，并將連接中斷的客戶(hù)重新連接到他們?cè)瓉?lái)的虛擬機(jī)上。圖15-4虛擬桌面架構(gòu)這些虛擬桌面將置于數(shù)據(jù)中心內(nèi)進(jìn)行集中管理，用戶(hù)可隨時(shí)進(jìn)行訪問(wèn)，即使斷開(kāi)網(wǎng)絡(luò)連接也不受干擾。此外，由于虛擬桌面是放在孤立的運(yùn)行環(huán)境中交付的，并不依賴(lài)于底層設(shè)備，所以能夠隨時(shí)保障機(jī)構(gòu)桌面、應(yīng)用程序以及數(shù)據(jù)的完整性。如今，已經(jīng)有大量的企業(yè)/機(jī)構(gòu)客戶(hù)采用虛擬桌面基礎(chǔ)設(shè)施實(shí)現(xiàn)了桌面解決方案，并從中獲得了多種好處。例如：

(1)提高可管理性：可實(shí)現(xiàn)桌面環(huán)境設(shè)立、配置、資源管理和工作負(fù)荷管理的集中化與簡(jiǎn)單化。

(2)簡(jiǎn)化部署：借助于模板，桌面管理員只需幾分鐘的時(shí)間即可部署出新的、與硬件無(wú)關(guān)的標(biāo)準(zhǔn)化桌面虛擬機(jī)，并且可在部署過(guò)程中使用更多的自動(dòng)化操作。

(3)更高的靈活性：用戶(hù)可從一臺(tái)客戶(hù)機(jī)訪問(wèn)多個(gè)桌面環(huán)境，并可從任意一臺(tái)連接完畢的客戶(hù)機(jī)上訪問(wèn)自己的桌面環(huán)境。管理員瞬間即可對(duì)那些當(dāng)前未處于使用狀態(tài)的桌面環(huán)境完成歸檔和丟棄操作，而且從中回收的資源馬上就能得到重用。

(4)提高數(shù)據(jù)保護(hù)能力：管理員可采用現(xiàn)有的數(shù)據(jù)中心備份過(guò)程來(lái)確?？煽康淖烂?zhèn)浞?。虛擬機(jī)的硬件無(wú)關(guān)性大幅度簡(jiǎn)化了桌面恢復(fù)。而且所有數(shù)據(jù)都駐留在數(shù)據(jù)中心，這樣數(shù)據(jù)安全保障也得到了簡(jiǎn)化。

(5)提高資源利用率：通過(guò)在一臺(tái)服務(wù)器上運(yùn)行多個(gè)桌面環(huán)境，客戶(hù)可有效地實(shí)現(xiàn)硬件資源的歸檔共享，并且可靈活地實(shí)現(xiàn)計(jì)算資源的重用以及桌面環(huán)境計(jì)算資源的動(dòng)態(tài)分配。

(6)降低成本：虛擬桌面基礎(chǔ)設(shè)施可實(shí)現(xiàn)桌面計(jì)算資源的集中化以及桌面硬件的標(biāo)準(zhǔn)化，這樣機(jī)構(gòu)即可降低桌面支持復(fù)雜度以及桌面支持成本。15.3.4虛擬桌面架構(gòu)的分類(lèi)

現(xiàn)在，我們每天都可以接觸到各種各樣的來(lái)自不同競(jìng)爭(zhēng)對(duì)手的解決方案，例如：

(1)?VMwareVirtualDesktopView；

(2)?VMware

ThinApp；

(3)?CitrixXenDesktop；

(4)?CitrixProvisioningServer；

(5)?MicrosoftV-App；

(6)?SunVirtualDesktopConnector(VDC)；

(7)?HPClientVirtualSoftware(CVS)；

(8)?ThinPrint；

(9)?UniPrint?？偟膩?lái)說(shuō)，桌面虛擬化主要有兩種類(lèi)型：類(lèi)型1和類(lèi)型2。

對(duì)于使用類(lèi)型1的環(huán)境來(lái)說(shuō)，虛擬化軟件作為基礎(chǔ)操作系統(tǒng)首先被安裝在底層的PC上。而其他的操作系統(tǒng)，比如Windows或者Linux，都以客戶(hù)機(jī)的形式運(yùn)行在虛擬化軟件上。類(lèi)型1非常適合企業(yè)，企業(yè)級(jí)環(huán)境中的管理員需要將標(biāo)準(zhǔn)的操作系統(tǒng)部署在不同的系統(tǒng)上。在硬件上運(yùn)行類(lèi)型1的虛擬化技術(shù)，管理員可以創(chuàng)建部署包，然后快速地將“完整的虛擬系統(tǒng)”分發(fā)給運(yùn)行類(lèi)型1虛擬化管理程序的系統(tǒng)。備份也很容易，同時(shí)，還可以將額外的安全層賦予終端設(shè)備。類(lèi)型1非常適合數(shù)據(jù)中心/服務(wù)器級(jí)系統(tǒng)，但在桌面領(lǐng)域，采用類(lèi)型1的工作才剛剛開(kāi)始。類(lèi)型1的虛擬化管理程序包括Oracle、VMwareESXServer、IBM的LPAR、Microsoft的Hyper-V、Sun的LogicalDomains、TRANGO和Xen。

類(lèi)型2使用了不同的方法。首先，必須在PC上安裝一個(gè)主操作系統(tǒng)(可以是Windows、Linux、MAC等)，然后再將虛擬化軟件安裝在這個(gè)主操作系統(tǒng)上。這樣，虛擬化軟件再創(chuàng)建一個(gè)管理程序環(huán)境以支持客戶(hù)操作系統(tǒng)的運(yùn)行。類(lèi)型2對(duì)那些偶爾想在自己的PC或者筆記本上運(yùn)行虛擬機(jī)的人來(lái)說(shuō)很有用。使用類(lèi)型2管理程序，通過(guò)在Windows7上創(chuàng)建一個(gè)虛擬WindowsXP系統(tǒng)，WindowsXP兼容模式可以工作。

類(lèi)型2的虛擬化技術(shù)包括VMwareWorkstation、VMwareFusion、QEMU、Microsoft的VirtualPC和SWsoft的ParallelsWorkstation和ParallelsDesktop。15.3.5虛擬桌面架構(gòu)的“拆分”技術(shù)

為了提高管理效率，新一代的桌面虛擬化技術(shù)進(jìn)一步將桌面系統(tǒng)的運(yùn)行環(huán)境與安裝環(huán)境拆分、應(yīng)用與桌面拆分、配置文件拆分，從而大大降低了管理復(fù)雜度與成本，提高了管理效率。

假設(shè)一個(gè)企業(yè)有400個(gè)用戶(hù)，如果不進(jìn)行拆分，則IT管理員需要管理400個(gè)鏡像(包含其中安裝的應(yīng)用與配置文件)。而如果進(jìn)行操作系統(tǒng)安裝與應(yīng)用還有配置文件的拆分，假設(shè)有40個(gè)應(yīng)用，則使用應(yīng)用虛擬化技術(shù)，不用在桌面安裝應(yīng)用，動(dòng)態(tài)地將應(yīng)用組裝到桌面上，則管理員只需要管理40個(gè)應(yīng)用。配置文件也可以使用Windows內(nèi)置的功能，和文件數(shù)據(jù)都保存在文件服務(wù)器上，這些信息不需要管理員管理，管理員只需要管理一個(gè)文件服務(wù)器。應(yīng)用和配置文件的拆離，使得400個(gè)人用的操作系統(tǒng)都是沒(méi)有差別的Windows，則管理員只需要管理一個(gè)鏡像(用這一個(gè)鏡像生成400個(gè)虛擬的操作系統(tǒng)，簡(jiǎn)單來(lái)講可以理解成類(lèi)似于無(wú)盤(pán)工作站的模式)。所以總的來(lái)說(shuō)，IT管理員只需要管理40個(gè)應(yīng)用、1個(gè)文件服務(wù)器和1個(gè)鏡像。管理復(fù)雜性大大下降。這種拆分也大大降低了對(duì)存儲(chǔ)的需求量(少了399個(gè)Windows的存儲(chǔ))，降低了采購(gòu)和維護(hù)成本。更重要的是從管理效率上，管理員只需要對(duì)一個(gè)鏡像或者一個(gè)應(yīng)用進(jìn)行打補(bǔ)丁，或者升級(jí)，所有的用戶(hù)都會(huì)獲得最新更新后的結(jié)果，從而提高了系統(tǒng)的安全性和穩(wěn)定性，工作量也大大下降。目前看來(lái)，三大廠商在這個(gè)層面采用了不同的拆分技術(shù)，這也與其自身的發(fā)展歷史有關(guān)，稱(chēng)為不同的流派。VMware采用物理的拆分方法，即基于服務(wù)器的差異磁盤(pán)的技術(shù)，實(shí)現(xiàn)差異的鏡像。例如，400個(gè)用戶(hù)可以使用一個(gè)共同的“母盤(pán)”Windows鏡像，每個(gè)用戶(hù)自己的差異信息，包括應(yīng)用(VMware自己的應(yīng)用虛擬化thinapp實(shí)際是一個(gè)打包方法，需要存儲(chǔ)在本地)與配置信息，使用時(shí)將兩者結(jié)合提供服務(wù)，這種完全基于二進(jìn)制的拆分方法是典型的服務(wù)器虛擬化廠商的技術(shù)，大大降低了存儲(chǔ)量。但是這種技術(shù)仍然要求管理員一定程度上對(duì)每個(gè)用戶(hù)的鏡像進(jìn)行管理，因?yàn)槿匀淮嬖谶@種一一對(duì)應(yīng)。

Citrix作為應(yīng)用虛擬化的傳統(tǒng)廠商，則采用了邏輯拆分法，按照邏輯分類(lèi)將其拆分，即操作系統(tǒng)、應(yīng)用與配置文件進(jìn)行拆分，用時(shí)進(jìn)行按需組裝，這樣能夠保證不同邏輯單元的相互獨(dú)立性，防止一方發(fā)生變化對(duì)其他方面造成影響。

微軟則介于二者之間，用戶(hù)可以把自己的VPC制作好的虛擬機(jī)上傳到服務(wù)器，可以看到是一個(gè)用戶(hù)與鏡像一一對(duì)應(yīng)的管理方法。微軟有TerminalService和RDP，可以采用和Citrix一樣的方法，而它又有App-v(類(lèi)似ThinApp的打包技術(shù))與VirtualServer的差異磁盤(pán)技術(shù)，也可以采用VMware的技術(shù)路線。15.3.6虛擬桌面架構(gòu)在網(wǎng)絡(luò)安全防御中的價(jià)值

虛擬工作空間將商業(yè)軟件從主機(jī)運(yùn)行的環(huán)境中分離出來(lái)，使得用戶(hù)即使訪問(wèn)不可信的主機(jī)也能夠得到更高級(jí)別的安全防護(hù)。通過(guò)虛擬桌面基礎(chǔ)架構(gòu)，公司實(shí)際上在數(shù)據(jù)中心的服務(wù)器上執(zhí)行桌面應(yīng)用程序，并依賴(lài)遠(yuǎn)程顯示協(xié)議呈現(xiàn)給用戶(hù)本地化的顯示風(fēng)格和感受。信息安全團(tuán)隊(duì)發(fā)現(xiàn)在網(wǎng)絡(luò)端點(diǎn)上部署虛擬桌面基礎(chǔ)架構(gòu)能夠有效地監(jiān)控流氓軟件和保護(hù)監(jiān)控?cái)?shù)據(jù)。虛擬桌面基礎(chǔ)體系架構(gòu)對(duì)安全性的提升體現(xiàn)在以下四個(gè)方面：

(1)虛擬桌面和虛擬工作空間是參照操作系統(tǒng)、應(yīng)用程序和用戶(hù)配置文件的標(biāo)準(zhǔn)拷貝動(dòng)態(tài)創(chuàng)建的。由于虛擬桌面和虛擬工作空間是由IP部門(mén)根據(jù)業(yè)務(wù)需求創(chuàng)建并積極維護(hù)的，所以能夠保證終端用戶(hù)在網(wǎng)絡(luò)上經(jīng)營(yíng)業(yè)務(wù)時(shí)使用的軟件都是最新的、有保障的。審計(jì)組在數(shù)據(jù)中心可以很容易地驗(yàn)證終端用戶(hù)的活動(dòng)狀態(tài)，以及評(píng)價(jià)安全控制手段是否遵從法規(guī)；防護(hù)措施能夠控制終端的配置漂移，即便是一次對(duì)虛擬桌面的刷新都能夠檢測(cè)到，并判定其是否為惡意攻擊的征兆。將軟件配置的責(zé)任由終端用戶(hù)轉(zhuǎn)交給IT將幫助金融機(jī)構(gòu)的終端滿足法規(guī)遵從的要求。例如，虛擬桌面基礎(chǔ)設(shè)施通過(guò)移除敏感認(rèn)證和持卡人數(shù)據(jù)、保護(hù)內(nèi)部網(wǎng)絡(luò)、確保支付卡應(yīng)用程序的安全，并且檢測(cè)和控制對(duì)系統(tǒng)的訪問(wèn)，對(duì)PCI數(shù)據(jù)安全標(biāo)準(zhǔn)委員會(huì)推進(jìn)PCIDSS標(biāo)準(zhǔn)的四步里程碑式的規(guī)劃工作起到了促進(jìn)作用。

(2)虛擬化桌面有助于降低用于災(zāi)難恢復(fù)和維持業(yè)務(wù)延續(xù)帶來(lái)的費(fèi)用。金融機(jī)構(gòu)無(wú)法承受由于各種原因帶來(lái)的重要業(yè)務(wù)的中斷：無(wú)論是由于辦公基礎(chǔ)設(shè)施不可用，還是一些安全事故帶來(lái)的員工生產(chǎn)率的下降，甚至是由于H1N1流感肆虐使得員工被迫在家工作造成的額外安全支持需求。然而虛擬桌面可以滿足用戶(hù)面臨“災(zāi)難”時(shí)的一切需求，它可以動(dòng)態(tài)地在任何托管的數(shù)據(jù)中心上依據(jù)相應(yīng)的性能和可用性對(duì)辦公室和遠(yuǎn)程用戶(hù)提供支持。

(3)敏感數(shù)據(jù)保存在數(shù)據(jù)中心，易于防止泄密事件的發(fā)生。集中在數(shù)據(jù)中心的桌面執(zhí)行方式減少了安全檢測(cè)必須驗(yàn)證的數(shù)據(jù)通道的數(shù)量，同時(shí)簡(jiǎn)化了使用個(gè)人身份信息和其他監(jiān)管數(shù)據(jù)所需遵守的審計(jì)報(bào)告要求。由于數(shù)據(jù)除了在終端屏幕上顯示外，并不會(huì)保存在終端，這大大減輕了終端數(shù)據(jù)保護(hù)的壓力。

(4)虛擬工作空間通過(guò)隔離VPN客戶(hù)端和一般的終端瀏覽器達(dá)到保護(hù)遠(yuǎn)程用戶(hù)訪問(wèn)網(wǎng)絡(luò)的目的。一些金融機(jī)構(gòu)正在向虛擬工作區(qū)轉(zhuǎn)變，以確保其遠(yuǎn)程用戶(hù)能利用家中電腦進(jìn)行業(yè)務(wù)運(yùn)作時(shí)使用經(jīng)過(guò)自動(dòng)配置完好的安全瀏覽器和VPN客戶(hù)端。虛擬工作空間架構(gòu)在本地操作系統(tǒng)上，利用沙盒技術(shù)對(duì)類(lèi)似按鍵記錄、內(nèi)存映射、應(yīng)用程序及操作系統(tǒng)入侵以及終端客戶(hù)對(duì)安全設(shè)置重置等威脅加以防范。IT通常通過(guò)常用的USB設(shè)備將虛擬工作空間分配給有資格的員工，這個(gè)USB設(shè)備會(huì)內(nèi)置遠(yuǎn)程訪問(wèn)身份驗(yàn)證憑證。

15.4基于虛擬化技術(shù)的惡意軟件防護(hù)

15.4.1虛擬機(jī)檢測(cè)病毒

針對(duì)變形病毒、未知病毒等復(fù)雜的病毒情況，少數(shù)防病毒軟件采用了虛擬機(jī)技術(shù)，達(dá)到了對(duì)未知病毒良好的查殺效果。該技術(shù)實(shí)際上是讓殺毒軟件生成一個(gè)可控的、模擬正常操作系統(tǒng)運(yùn)動(dòng)環(huán)境的虛擬運(yùn)行平臺(tái)，使可疑程序在此虛擬平臺(tái)上運(yùn)行。雖然病毒通過(guò)各種方式來(lái)躲避防病毒軟件，但是當(dāng)它運(yùn)行在虛擬機(jī)中時(shí)，它并不知道自己的一切行為都在被虛擬機(jī)所監(jiān)控，所以當(dāng)它在虛擬機(jī)中脫去偽裝進(jìn)行傳染時(shí)，就會(huì)被虛擬機(jī)發(fā)現(xiàn)，如此一來(lái)，利用虛擬機(jī)技術(shù)就可以發(fā)現(xiàn)大部分的變形病毒和大量的未知病毒。它的原理是，在電腦中創(chuàng)造一個(gè)虛擬CPU環(huán)境，將病毒在虛擬環(huán)境中激活，根據(jù)其行為特征，從而判斷是否是病毒。這個(gè)技術(shù)主要用來(lái)應(yīng)對(duì)加殼和加密的病毒，因?yàn)檫@兩類(lèi)病毒在執(zhí)行時(shí)最終還是要自身脫殼和解密的，這樣，殺毒軟件就可以在其“現(xiàn)出原形”之后通過(guò)特征碼查毒法對(duì)其進(jìn)行查殺。

虛擬機(jī)檢測(cè)病毒應(yīng)解決兩大難題：

(1)虛擬運(yùn)行環(huán)境占用資源；

(2)病毒檢測(cè)方法。虛擬一個(gè)CPU環(huán)境需要占用較大的資源，在虛擬環(huán)境下激活一個(gè)病毒，讓病毒完成其從發(fā)作到傳播的整個(gè)過(guò)程，再分析其行為特征，需要至少1分鐘的時(shí)間。如果全部應(yīng)用虛擬機(jī)技術(shù)對(duì)整個(gè)硬盤(pán)進(jìn)行掃描，則分析數(shù)萬(wàn)個(gè)可執(zhí)行文件需要數(shù)天。而且在宿主系統(tǒng)內(nèi)嵌入行為跟蹤和分析引擎也不是一般的殺毒軟件公司可以獲得的權(quán)限。目前國(guó)際上主流的殺毒廠商對(duì)應(yīng)用虛擬機(jī)技術(shù)都比較保守，不能因?yàn)闅⒍就峡逵脩?hù)的電腦。國(guó)內(nèi)殺毒軟件應(yīng)用的是程序脫殼為主加上虛擬機(jī)為輔助的殺殼病毒技術(shù)，一般能夠查殺并監(jiān)控ZIP、ARJ、CAB、LZH、RARPKZIP、ARJ、MicrosoftCompress、Diet、LZEXE和LZH等所有的主流壓縮病毒，包括PKLITE、LZEXE、WWPACK、ASPACK、UPX等可執(zhí)行程序壓縮格式病毒都可徹底查殺。全新的分級(jí)高速殺毒引擎還可以層層加壓，對(duì)不同格式加壓的病毒進(jìn)行掃描和監(jiān)控，使得隱藏再深的病毒也難以逃脫。安全專(zhuān)家認(rèn)為，在反病毒軟件中引入虛擬機(jī)是由于綜合分析了大多數(shù)已知病毒的共性，并基本可以認(rèn)為在今后一段時(shí)間內(nèi)的病毒大多會(huì)沿襲這些共性。15.4.2應(yīng)用程序虛擬化

應(yīng)用程序虛擬化對(duì)于安全防御的巨大意義在于解決了兩種類(lèi)型的問(wèn)題：

(1)應(yīng)用程序的不安全，特別是惡意軟件的運(yùn)用，有可能導(dǎo)致本地系統(tǒng)特權(quán)的擴(kuò)大化，并受控于未授權(quán)的用戶(hù)。應(yīng)用虛擬化可以有效控制應(yīng)用的行為，隨時(shí)對(duì)應(yīng)用程序狀態(tài)進(jìn)行歸零，防止這種情況的發(fā)生。應(yīng)用程序虛擬化，即“沙盒”技術(shù)，曾經(jīng)是國(guó)際反病毒界提出的概念。它在計(jì)算機(jī)系統(tǒng)內(nèi)部構(gòu)建了一個(gè)獨(dú)立的虛擬空間，當(dāng)發(fā)現(xiàn)程序的可疑行為時(shí)讓程序繼續(xù)運(yùn)行，當(dāng)發(fā)現(xiàn)的確是病毒時(shí)才終止?！吧澈小奔夹g(shù)讓程序的可疑行為在電腦虛擬的“沙盒”里充分表演，同時(shí)“沙盒”會(huì)記下它的每一個(gè)動(dòng)作。在病毒充分暴露了其病毒屬性后，“沙盒”則會(huì)執(zhí)行“回滾”機(jī)制，將病毒的痕跡和動(dòng)作抹去，將系統(tǒng)恢復(fù)到正常狀態(tài)。由于病毒一直是在虛擬空間運(yùn)行，所以不會(huì)對(duì)真實(shí)的計(jì)算機(jī)系統(tǒng)產(chǎn)生破壞。簡(jiǎn)單地說(shuō)，應(yīng)用程序虛擬化就是在操作系統(tǒng)和應(yīng)用程序之間新增加了一個(gè)虛擬層，從而讓?xiě)?yīng)用程序運(yùn)行在一個(gè)封閉的“沙盒”中，而不是直接對(duì)操作系統(tǒng)施加影響。典型的例子就是Java虛擬機(jī)和?.net平臺(tái)的“托管”功能。這樣，應(yīng)用程序的所有行為都得到了有效的監(jiān)視和控制，可以避免某些應(yīng)用程序利用系統(tǒng)的漏洞對(duì)系統(tǒng)和其他資源進(jìn)行破壞，特別是能夠防止惡意軟件取得對(duì)系統(tǒng)的最高控制權(quán)。在任何時(shí)候，都能像虛擬機(jī)恢復(fù)整個(gè)客戶(hù)OS一樣，對(duì)應(yīng)用程序的環(huán)境進(jìn)行恢復(fù)。由于網(wǎng)絡(luò)瀏覽器經(jīng)常會(huì)成為惡意軟件和病毒攻擊的對(duì)象，我們可以將瀏覽器在虛擬機(jī)中運(yùn)行，當(dāng)然也可以在虛擬機(jī)中運(yùn)行其他互聯(lián)網(wǎng)相關(guān)的程序(如電子郵件客戶(hù)端、聊天程序和P2P文件共享程序等)。虛擬機(jī)能夠訪問(wèn)互聯(lián)網(wǎng)，但是不能訪問(wèn)機(jī)構(gòu)的局域網(wǎng)，這能夠幫助保護(hù)主機(jī)操作系統(tǒng)以及訪問(wèn)本地資源的商業(yè)程序免受互聯(lián)網(wǎng)的攻擊。為了增強(qiáng)安全性及管理性，已經(jīng)出現(xiàn)了虛擬瀏覽器技術(shù)。瀏覽器運(yùn)行在虛擬環(huán)境，一切功能都發(fā)生在一個(gè)虛擬的環(huán)境里，所有的下載痕跡、Cookie及所有動(dòng)作都可以被清理掉，仍然可以保存所有收藏的網(wǎng)頁(yè)。VMware公司也發(fā)布了一個(gè)瀏覽器工具。這個(gè)工具在虛擬機(jī)中起到了操作系統(tǒng)的功用。它處理一切與網(wǎng)絡(luò)相關(guān)的任務(wù)，比如上網(wǎng)沖浪、E-mail、網(wǎng)上聊天、利用P2P下載。有了VMware的瀏覽器工具，網(wǎng)上攻擊者就不能與用戶(hù)底層的操作系統(tǒng)進(jìn)行通信，所以攻擊者也就無(wú)法獲得重要的用戶(hù)數(shù)據(jù)，或入侵企業(yè)內(nèi)部網(wǎng)絡(luò)。

(2)應(yīng)用程序的不穩(wěn)定，導(dǎo)致的后果輕則浪費(fèi)系統(tǒng)資源，重則使系統(tǒng)全部癱瘓。應(yīng)用虛擬化能隔離程序，從而使系統(tǒng)穩(wěn)定。

對(duì)于Windows用戶(hù)來(lái)說(shuō)，應(yīng)用虛擬化技術(shù)為Windows系統(tǒng)上的應(yīng)用程序管理提供了前所未有的“應(yīng)用程序隔離”能力。通過(guò)虛擬化代理提供的保護(hù)層，應(yīng)用程序不僅可以和操作系統(tǒng)隔離，并且應(yīng)用程序之間也可以實(shí)現(xiàn)隔