云終端作為一種新型的計(jì)算機(jī)機(jī)構(gòu)和桌面應(yīng)用系統(tǒng)已經(jīng)被越來(lái)越多的企業(yè)所采用。本文分析了云終端與傳統(tǒng)PC終端的一些特點(diǎn)，分析了云終端所面臨的一些安全問(wèn)題，并提出了相應(yīng)的解決方法，對(duì)云終端在應(yīng)用網(wǎng)絡(luò)安全方面有一定的參考價(jià)值。

【關(guān)鍵詞】云終端 安全 漏洞策略

云終端采用“集中終端，分布顯示”的架構(gòu)，通過(guò)虛擬化技術(shù)，將所有桌面終端機(jī)合為一體，在服務(wù)器端進(jìn)行集中處理，桌面終端設(shè)備僅負(fù)責(zé)輸入輸出與界面顯示，不參與任何終端和應(yīng)用，具有高效、可靠，安全的特點(diǎn)。構(gòu)建集中式云終端資源中心是集約化、一體化的信息系統(tǒng)建設(shè)需要，也是將來(lái)發(fā)展的必然趨勢(shì)。云終端模式通過(guò)將數(shù)據(jù)統(tǒng)一存儲(chǔ)在云終端服務(wù)器中，加強(qiáng)對(duì)核心數(shù)據(jù)的集中管控，比傳統(tǒng)分布在大量終端上的數(shù)據(jù)更安全。由于數(shù)據(jù)的集中，使得安全運(yùn)維、安全評(píng)估、安全審計(jì)等行為更加簡(jiǎn)單易行，云終端系統(tǒng)還具有較高的可用性，系統(tǒng)容錯(cuò)率，冗余及災(zāi)備恢復(fù)。但云終端在帶來(lái)方便快捷的同時(shí)也帶來(lái)一系列新的安全問(wèn)題。

1 云終端的特點(diǎn)

在共享的工作模式下，所有的軟件均安裝、運(yùn)行在服務(wù)器上，只是將運(yùn)行的結(jié)果送往云終端顯示，云終端只負(fù)責(zé)顯示及輸入，不運(yùn)行軟件。云終端機(jī)基本上無(wú)須維護(hù)和升級(jí)，一切軟硬件升級(jí)和維護(hù)都只須在服務(wù)器端進(jìn)行。

2 云終端跟傳統(tǒng)終端的區(qū)別

2.1 傳統(tǒng)PC終端

2.1.1 安全漏洞問(wèn)題層出不窮

殺毒軟件安裝不同，各自獨(dú)立，整體維護(hù)困難。極易造成一個(gè)點(diǎn)感染病毒，直至傳染全網(wǎng)。系統(tǒng)違規(guī)外聯(lián)，存在很大安全漏洞。

2.1.2 安全邊界問(wèn)題難以防護(hù)

桌面PC硬件綁定。終端分散，數(shù)據(jù)隨便拷貝，U盤等丟失。硬盤損壞造成數(shù)據(jù)丟失。

2.1.3 數(shù)據(jù)泄密問(wèn)題難以防范

重要數(shù)據(jù)無(wú)管控，極易出現(xiàn)泄密。離職員工、外來(lái)運(yùn)維人員泄密以及一些無(wú)意識(shí)泄密、有意識(shí)泄密。

2.2 云終端

2.2.1 統(tǒng)一防護(hù)，有效降低漏洞風(fēng)險(xiǎn)

殺毒軟件、安全防范統(tǒng)一、后臺(tái)統(tǒng)一維護(hù)、外設(shè)嚴(yán)格管控、權(quán)限分明、病毒感染可快速隔離、快速虛擬機(jī)重新分配、可控制外聯(lián)行為。

2.2.2 安全邊界劃分相對(duì)比較清晰，桌面與數(shù)據(jù)分離

桌面與操作系統(tǒng)、數(shù)據(jù)等硬件環(huán)境分離、終端分散但數(shù)據(jù)集中、系統(tǒng)統(tǒng)一運(yùn)行維護(hù)運(yùn)行硬件抗損壞性高、自備份、可恢復(fù)數(shù)據(jù)強(qiáng)。

2.2.3 防范數(shù)據(jù)泄密相對(duì)較強(qiáng)

重要數(shù)據(jù)均集中管理，有效減少外流及泄密。

3 云終端面臨的一些安全隱患

包括應(yīng)用配置不當(dāng)，平臺(tái)構(gòu)建漏洞，可用性、完整性差，平臺(tái)漏洞，軟件漏洞，編程環(huán)境的漏洞，堆棧溢出的漏洞，Web服務(wù)器的承受能力不強(qiáng)，非法獲取高權(quán)限，協(xié)議及部署缺陷，云數(shù)據(jù)中的非安全訪問(wèn)許可，數(shù)據(jù)安全問(wèn)題，垃圾郵件與病毒，操作系統(tǒng)以及瀏覽器的安全漏洞以及人員管理以及制度管理的缺陷等等。

4 云終端的安全解決方案

相比于傳統(tǒng)的數(shù)據(jù)中心，云端數(shù)據(jù)更注重安全的訪問(wèn)，數(shù)據(jù)安全核心密鑰管理；云端存儲(chǔ)的文件和數(shù)據(jù)的安全性及終端網(wǎng)絡(luò)基礎(chǔ)架構(gòu)的安全。

4.1 劃分安全域以及分別網(wǎng)絡(luò)隔離

安全域是由一組具有同樣安全保護(hù)需求、并且相互信任的系統(tǒng)所構(gòu)建成的邏輯區(qū)域，在同一安全域中的系統(tǒng)配備有相同的安全策略，通過(guò)安全域的劃分把一個(gè)大規(guī)模復(fù)雜系統(tǒng)的安全問(wèn)題，化分為許多更小區(qū)域的安全問(wèn)題，實(shí)現(xiàn)大規(guī)模復(fù)雜的信息系統(tǒng)安全保護(hù)的逐層防護(hù)。安全域劃分以保障云終端業(yè)務(wù)安全出發(fā)，把網(wǎng)絡(luò)系統(tǒng)劃分為不同安全區(qū)域，并進(jìn)行縱深防護(hù)。對(duì)于云終端平臺(tái)的安全防護(hù)，要根據(jù)云平臺(tái)安全防護(hù)技術(shù)實(shí)現(xiàn)架構(gòu)，選擇和部署相應(yīng)的，合理有效的安全防護(hù)措施，恰當(dāng)?shù)牟呗?，?shí)現(xiàn)多層次、縱深一體的防御體系，有效保證云平臺(tái)資源及服務(wù)的安全。同時(shí)還可根據(jù)網(wǎng)絡(luò)所承載的數(shù)據(jù)種類及功能，進(jìn)行單獨(dú)組網(wǎng)。以實(shí)現(xiàn)網(wǎng)絡(luò)劃區(qū)域的隔離防護(hù)。

4.2 安全防護(hù)

云終端系統(tǒng)也具有傳統(tǒng)IT系統(tǒng)的一些特點(diǎn)，針對(duì)這些傳統(tǒng)的安全區(qū)域仍舊可以采用傳統(tǒng)的安全措施和方法進(jìn)行安全防護(hù)。

4.2.1 虛擬化安全

虛擬化安全涉及虛擬化組件及其管理的安全，包括虛擬化交換機(jī)、虛擬主機(jī)、虛擬化操作系統(tǒng)、虛擬存儲(chǔ)及虛擬化安全管理等。

4.2.2 網(wǎng)絡(luò)安全

網(wǎng)絡(luò)安全主要涉及防火墻、異常流量檢測(cè)和清洗、網(wǎng)絡(luò)入侵檢測(cè)、惡意代碼防護(hù)、Web應(yīng)用防護(hù)、VPN接入、安全審計(jì)等內(nèi)容。

4.2.3 防火墻及邊界防護(hù)

安全域需要隔離，并需要采取訪問(wèn)控制措施對(duì)安全域內(nèi)外的通信進(jìn)行有效管控。通?？刹捎玫拇胧┯蠽LAN、網(wǎng)絡(luò)設(shè)備ACL、防火墻、IPS設(shè)備等。

5 結(jié)束語(yǔ)

目前沒(méi)有一種技術(shù)能夠完全徹底解決云終端安全問(wèn)題，但可以通過(guò)技術(shù)組合、管理等方面的手段去優(yōu)化從而降低問(wèn)題產(chǎn)生概率。云終端系統(tǒng)作為一種新的辦公系統(tǒng)已經(jīng)逐步被企業(yè)所接受，必將改變信息化的構(gòu)建和管理方式。

參考文獻(xiàn)

[1]鄧華國(guó)，王剛，鮑娌娜.云終端資源中心的桌面資源優(yōu)化研究[J].中國(guó)新通信， 2015.

[2]何永遠(yuǎn).桌面云終端系統(tǒng)在電力行業(yè)中的典型應(yīng)用[J].電力信息通信技術(shù)，2014.

作者簡(jiǎn)介

梁雨（1990-），男，四川省樂(lè)山市人。大學(xué)本科學(xué)歷?，F(xiàn)供職于國(guó)網(wǎng)四川雅安電力（集團(tuán)）股份有限公司。研究方向?yàn)樾畔⑾到y(tǒng)運(yùn)維檢。

作者單位

國(guó)網(wǎng)四川雅安電力（集團(tuán)）股份有限公司 四川省雅安市 625000