[发明专利]基于深度防护的虚拟化云桌面安全访问方法

说明书

本发明涉及一种基于深度防护的虚拟化云桌面安全访问方法，包括：根据业务流向分析，合理划分安全区域，根据业务流向分析，建立安全区域模型，划分为安全服务域、有线接入域、无线接入域、安全支撑域和安全互联域等五个安全区域；虚拟化深层次防护，针对虚拟化层所面临的安全威胁，通过设计虚拟网络标识对数据帧路由和转发，实现虚拟网的隔离。本发明通过病毒防护、访问控制、入侵检测/入侵防护、虚拟补丁、主机完整性监控、日志审计等功能实现虚拟主机和虚拟系统的全面防护，实现不同区域网络、不同用户、不同应用，采取不同的纵深防护策略以达到虚拟化云桌面的深层次安全防护。

技术领域

本发明涉及钢铁企业成本核算技术领域，具体涉及一种基于深度防护的虚拟化云桌面安全访问方法。

背景技术

传统的冶金行业日常办公和研发使用PC模式部署桌面操作系统和应用程序，存在于桌面上的操作系统、应用程序与数据都是以紧耦合模式存在，任意组件出现问题，用户的使用都会受到影响。最明显的是传统的网络安全部署则是在每台虚拟机上安装杀毒软件客户端，在同时全盘查杀的极限状态下，如此庞大的I/O必将严重影响体验。

传统的网络安全防护方法部则是在每台虚拟机上安装杀毒软件客户端，虽在防护效果上可以达到安全标准，但如从资源占用方面考虑存在一定安全风险。由于每个防病毒客户端都会在同一个物理主机上产生资源消耗，并且当发生客户端同时扫描和同时更新时，资源消耗的问题会愈发明显。严重时可能导致底层服务器宕机。通过以上的分析是我们了解到虽然传统安全设备可以物理系统层和操作系统提供安全防护，但是虚拟环境中新的安全威胁，例如：虚拟主机之间通讯的访问控制问题，病毒通过虚拟交换机传播问题等，传统的安全设备无法提供相关的防护。

桌面云系统以虚拟化技术为基础实现动态的应用交付，服务和应用集中于服务器端，只需部署和配置服务器，客户端便可通过网络得到自己的虚拟桌面，并抓取自己所需的服务。完全避免了传统IT架构下，终端管理软件部署和运维复杂的问题。它不仅可以集中部署、统一管理、而且支持个性化设置。在利用虚拟化技术带来好处的同时，也带来新的安全风险，首先是虚拟层能否真正地把虚拟机和主机、虚拟机和虚拟机之间安全地隔离开来，这一点正是保障虚拟机安全性的根本。另预防云内部虚拟机之间的恶意攻击，传统意义上的网络安全防护设备对虚拟化层防护已经不能完全满足要求。

发明内容

为克服所述不足，本发明的目的在于提供一种基于深度防护的虚拟化云桌面安全访问方法。

本发明解决其技术问题所采用的技术方案是：一种基于深度防护的虚拟化云桌面安全访问方法，包括：

一、根据业务流向分析，合理划分安全区域

根据业务流向分析，建立安全区域模型，划分为安全服务域、安全支撑域、安全互联域、有线接入域和无线接入域五个安全区域，安全服务域包括内网业务、能源业务、视频业务、数据中心和云桌面虚拟化等体系结构，涵盖了所有提供服务的业务系统，负责提供安全可靠的服务资源；安全支撑域包括数据中心深度安全防护和安全深度防护等体系结构，负责保障虚拟用户安全的访问业务系统；安全互联域包括办公内网、办公外网、内外网、视频网和能源网等体系结构，负责安全持续的传输虚拟用户发出的访问请求；有线接入域和无线接入域包括各个VDI和PC，为虚拟用户提供了安全方便快捷的接入环境，使虚拟用户可以随时随地安全高效的访问虚拟云系统，同一安全区域内的资产实施统一的保护，如进出信息保护机制、访问控制、关联分析、监控审计等；

二、虚拟化深层次防护

针对虚拟化层所面临的安全威胁，通过设计虚拟网络标识对数据帧路由和转发，实现虚拟网的隔离，确保同一物理服务器运行的虚拟机之间通信数据安全，同时设计虚拟的专用接口可以对虚拟交换机更精确的流量监控、分析和访问控制，为虚拟网络提供更高的安全性，具体包括以下内容：