本发明专利技术涉及一种基于深度防护的虚拟化云桌面安全访问方法,包括:根据业务流向分析,合理划分安全区域,根据业务流向分析,建立安全区域模型,划分为安全服务域、有线接入域、无线接入域、安全支撑域和安全互联域等五个安全区域;虚拟化深层次防护,针对虚拟化层所面临的安全威胁,通过设计虚拟网络标识对数据帧路由和转发,实现虚拟网的隔离。本发明专利技术通过病毒防护、访问控制、入侵检测/入侵防护、虚拟补丁、主机完整性监控、日志审计等功能实现虚拟主机和虚拟系统的全面防护,实现不同区域网络、不同用户、不同应用,采取不同的纵深防护策略以达到虚拟化云桌面的深层次安全防护。
【技术实现步骤摘要】
基于深度防护的虚拟化云桌面安全访问方法
本专利技术涉及钢铁企业成本核算
,具体涉及一种基于深度防护的虚拟化云桌面安全访问方法。
技术介绍
传统的冶金行业日常办公和研发使用PC模式部署桌面操作系统和应用程序,存在于桌面上的操作系统、应用程序与数据都是以紧耦合模式存在,任意组件出现问题,用户的使用都会受到影响。最明显的是传统的网络安全部署则是在每台虚拟机上安装杀毒软件客户端,在同时全盘查杀的极限状态下,如此庞大的I/O必将严重影响体验。传统的网络安全防护方法部则是在每台虚拟机上安装杀毒软件客户端,虽在防护效果上可以达到安全标准,但如从资源占用方面考虑存在一定安全风险。由于每个防病毒客户端都会在同一个物理主机上产生资源消耗,并且当发生客户端同时扫描和同时更新时,资源消耗的问题会愈专利技术显。严重时可能导致底层服务器宕机。通过以上的分析是我们了解到虽然传统安全设备可以物理系统层和操作系统提供安全防护,但是虚拟环境中新的安全威胁,例如:虚拟主机之间通讯的访问控制问题,病毒通过虚拟交换机传播问题等,传统的安全设备无法提供相关的防护。桌面云系统以虚拟化技术为基础实现动态的应用交付,服务和应用集中于服务器端,只需部署和配置服务器,客户端便可通过网络得到自己的虚拟桌面,并抓取自己所需的服务。完全避免了传统IT架构下,终端管理软件部署和运维复杂的问题。它不仅可以集中部署、统一管理、而且支持个性化设置。在利用虚拟化技术带来好处的同时,也带来新的安全风险,首先是虚拟层能否真正地把虚拟机和主机、虚拟机和虚拟机之间安全地隔离开来,这一点正是保障虚拟机安全性的根本。另预防云内部虚拟机之间的恶意攻击,传统意义上的网络安全防护设备对虚拟化层防护已经不能完全满足要求。
技术实现思路
为克服所述不足,本专利技术的目的在于提供一种基于深度防护的虚拟化云桌面安全访问方法。本专利技术解决其技术问题所采用的技术方案是:一种基于深度防护的虚拟化云桌面安全访问方法,包括:一、根据业务流向分析,合理划分安全区域根据业务流向分析,建立安全区域模型,划分为安全服务域、安全支撑域、安全互联域、有线接入域和无线接入域五个安全区域,安全服务域包括内网业务、能源业务、视频业务、数据中心和云桌面虚拟化等体系结构,涵盖了所有提供服务的业务系统,负责提供安全可靠的服务资源;安全支撑域包括数据中心深度安全防护和安全深度防护等体系结构,负责保障虚拟用户安全的访问业务系统;安全互联域包括办公内网、办公外网、内外网、视频网和能源网等体系结构,负责安全持续的传输虚拟用户发出的访问请求;有线接入域和无线接入域包括各个VDI和PC,为虚拟用户提供了安全方便快捷的接入环境,使虚拟用户可以随时随地安全高效的访问虚拟云系统,同一安全区域内的资产实施统一的保护,如进出信息保护机制、访问控制、关联分析、监控审计等;二、虚拟化深层次防护针对虚拟化层所面临的安全威胁,通过设计虚拟网络标识对数据帧路由和转发,实现虚拟网的隔离,确保同一物理服务器运行的虚拟机之间通信数据安全,同时设计虚拟的专用接口可以对虚拟交换机更精确的流量监控、分析和访问控制,为虚拟网络提供更高的安全性,具体包括以下内容:2.1建立虚拟安全组,通过访问规则限定,实现不同用户、不同访问资源,将虚拟安全组分为互联网用户、公司办公外网用户、公司办公内网用户,其中互联网用户通过虚拟隧道依次经企业边界IP地址转换后、区域边界隔离后连接服务器,服务器再经域控制器,域控制器与统一认证接口连接,认证成功后方可访问云主机;公司办公外网用户经过区域边界隔离连接服务器,服务器再经域控制器,域控制器与统一认证接口连接,认证成功后方可访问云主机,公司办公内网用户则可直接通过连接服务器与去控制器连接,域控制器与统一认证接口连接,认证成功后方可访问云主机;三种用户访问云主机后,云主机再将用户数据送达云桌面集中存储,并集中送往审计监控进行审计;2.2在服务器层建立合理虚拟机体系结构,利用底层病毒无代理防护的方式实现实时的病毒防护,特定接口实现针对虚拟系统和虚拟主机之间的全面防护;2.3在服务层的云桌面运行底层环境中搭建虚拟化底层安全防护体系,利用防病毒功能,可以有效防止计算机病毒、特洛伊木马、蠕虫等恶意代码程序对桌面云系统的破坏,并切断其传播途径,防火墙模块防止不同虚桌面间通过虚拟化底层攻击中间件,防护云桌面虚拟机之间的攻击和嗅探;2.4虚拟补丁功能弥补中间件自身漏洞产生的威胁,整个安全体系为桌面云系统构建了一套安全的运行和网络环境,并集中对平台进行全方位的审计监控;2.5在连通层建立高速冗余体系结构,各个主要的网络节点和计算节点之间部署高可用的光纤存储网络和多服务器冗余,保障云桌面虚拟机不间断运行;2.6并制定严格的访问控制规则,严格过滤各个区域间的网络访问流量,只有授权允许的虚拟用户才可以访问对应的桌面云系统,防止恶意用户利用系统缺陷对桌面云系统实施攻击行为。本专利技术具有以下有益效果:基于深度防护的虚拟化云桌面安全访问方法,通过病毒防护、访问控制、入侵检测/入侵防护、虚拟补丁、主机完整性监控、日志审计等功能实现虚拟主机和虚拟系统的全面防护,实现不同区域网络、不同用户、不同应用,采取不同的纵深防护策略以达到虚拟化云桌面的深层次安全防护。附图说明图1为本专利技术的业务流向分析图。图2为本专利技术的虚拟交换示意图。图3为本专利技术的流程图。具体实施方式下面结合附图对本专利技术的具体实施方式作进一步详细说明,但本专利技术的实施方式不限于此。如图1-3所示的一种基于深度防护的虚拟化云桌面安全访问方法,包括:一、根据业务流向分析,合理划分安全区域根据业务流向分析,建立安全区域模型,划分为安全服务域、安全支撑域、安全互联域、有线接入域和无线接入域五个安全区域,如图1所示,安全服务域包括内网业务、能源业务、视频业务、数据中心和云桌面虚拟化等体系结构,涵盖了所有提供服务的业务系统,负责提供安全可靠的服务资源;安全支撑域包括数据中心深度安全防护和安全深度防护等体系结构,负责保障虚拟用户安全的访问业务系统;安全互联域包括办公内网、办公外网、内外网、视频网和能源网等体系结构,负责安全持续的传输虚拟用户发出的访问请求;有线接入域和无线接入域包括各个VDI和PC,为虚拟用户提供了安全方便快捷的接入环境,使虚拟用户可以随时随地安全高效的访问虚拟云系统,同一安全区域内的资产实施统一的保护,如进出信息保护机制、访问控制、关联分析、监控审计等;三、虚拟化深层次防护针对虚拟化层所面临的安全威胁,通过设计虚拟网络标识对数据帧路由和转发,实现虚拟网的隔离,确保同一物理服务器运行的虚拟机之间通信数据安全,同时设计虚拟的专用接口可以对虚拟交换机更精确的流量监控、分析和访问控制,为虚拟网络提供更高的安全性,具体包括以下内容:2.1建立虚拟安全组,通过访问规则限定,实现不同用户、不同访问资源,将虚拟安全组分为互联网用户、公司办公外网用户、公司办公内网用户,其中互联网用户通过虚拟隧道依次经企业边界IP地址转换后、区域边界隔离后连接服务器,服务器再经域控制器,域控制器与统一认证接口连接,认证成功后方可访问云主机;公司办公外网用户经过区域边界隔离连接服务器,服务器再经域控制器,域控制器与统一认证接口连接,认证成功后方可访问云主机,公司办本文档来自技高网...
【技术保护点】
1.一种基于深度防护的虚拟化云桌面安全访问方法,其特征在于:包括:一、根据业务流向分析,合理划分安全区域根据业务流向分析,建立安全区域模型,划分为安全服务域、安全支撑域、安全互联域、有线接入域和无线接入域五个安全区域,同一安全区域内的资产实施统一的保护;二、虚拟化深层次防护针对虚拟化层所面临的安全威胁,通过设计虚拟网络标识对数据帧路由和转发,实现虚拟网的隔离,确保同一物理服务器运行的虚拟机之间通信数据安全,同时设计虚拟的专用接口可以对虚拟交换机更精确的流量监控、分析和访问控制,为虚拟网络提供更高的安全性,具体包括建立虚拟安全组、建立合理虚拟机体系结构、搭建虚拟化底层安全防护体系、建立虚拟补丁功能、建立高速冗余体系结构、制定访问控制规则。
【技术特征摘要】
1.一种基于深度防护的虚拟化云桌面安全访问方法,其特征在于:包括:一、根据业务流向分析,合理划分安全区域根据业务流向分析,建立安全区域模型,划分为安全服务域、安全支撑域、安全互联域、有线接入域和无线接入域五个安全区域,同一安全区域内的资产实施统一的保护;二、虚拟化深层次防护针对虚拟化层所面临的安全威胁,通过设计虚拟网络标识对数据帧路由和转发,实现虚拟网的隔离,确保同一物理服务器运行的虚拟机之间通信数据安全,同时设计虚拟的专用接口可以对虚拟交换机更精确的流量监控、分析和访问控制,为虚拟网络提供更高的安全性,具体包括建立虚拟安全组、建立合理虚拟机体系结构、搭建虚拟化底层安全防护体系、建立虚拟补丁功能、建立高速冗余体系结构、制定访问控制规则。2.根据权利要求1所述的一种基于深度防护的虚拟化云桌面安全访问方法,其特征在于:所述安全服务域包括内网业务、能源业务、视频业务、数据中心和云桌面虚拟化等体系结构,涵盖了所有提供服务的业务系统,负责提供安全可靠的服务资源;所述安全支撑域包括数据中心深度安全防护和安全深度防护等体系结构,负责保障虚拟用户安全的访问业务系统;所述安全互联域包括办公内网、办公外网、内外网、视频网和能源网等体系结构,负责安全持续的传输虚拟用户发出的访问请求;所述有线接入域和无线接入域包括各个VDI和PC,为虚拟用户提供了安全方便快捷的接入环境,使虚拟用户可以随时随地安全高效的访问虚拟云系统。3.根据权利要求1所述的一种基于深度防护的虚拟化云桌面安全访问方法,其特征在于:所述建立虚拟安全组,通过访问规则限定,实现不同用户、不同访问资源,将虚拟安全组分为互联网用户、公司办公外网用户、公司办公内网用户,其中互联网用户通过虚拟隧道依次经企业边界IP地址转换后、区域边界隔离后连接服务器,服务器再经域控制器,域控制器与统一认证接口连...
【专利技术属性】
技术研发人员:温晓明,侯伟,谢云峰,田坤,苏广滨,韩笑,
申请(专利权)人:山东钢铁集团日照有限公司,
类型:发明
国别省市:山东,37
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。