摘要:电力企业目前在信息系统网络安全防护方面,通过应用内外网隔离、信息系统网络分区分域等机制,能够有效地控制针对信息系统的网络安全威胁,但是在现有信息系统运维管理过程中,主要采用PC作为信息系统运维管理终端,在多年的实际应用中逐步暴露出安全性差、可控性低、可维性难等诸多问题。文章针对国家电网公司下属省级电力公司信息系统运维管理的实际需求,分析现有基于PC终端进行信息系统运行维护面临的问题,采用云桌面替代传统PC支撑信息系统运维管理,实践证明,该方案提高了信息系统运维管理安全性、可控性、可维性,对于今后电力企业信息系统运维管理技术的发展有一定的借鉴意义。
关键词:云桌面;网络安全;运维管理;信息系统
0引言
近10年来,国内电力企业大力推进信息化建设,例如国家电网公司通过SG186 工程,持续扩大数据中心及网络基础设施规模,用于支撑越来越丰富的业务应用系统,同时通过隔离信息通信内网和外网、信息系统分区分域部署,以及建立信息系统安全运行管理制度,有效提升信息系统网络安全管理水平。
随着信息系统规模显著增长,对信息系统安全运维管理工作提出了更高的要求。 长期以来,在电力企业信息系统运维管理过程中,运维管理人员主要使用PC(例如台式机、笔记本等)作为运维管理网络终端,通过控制PC对信息系统网络的访问策略,允许或拒绝运维管理人员通过安全外壳(Secure Shell,SSH)、虚拟网络计算(Virtual Network Computing,VNC)、远程桌面协议(Remote Desktop Protocol,RDP)等远程访问机制对指定的信息系统进行运维管理操作。但是,在多年的实际应用中,PC作为运维管理终端在安全性、可控性、可维性等方面已越来越不适应大规模信息系统安全运维管理的需求。
1相关工作
1.1信息系统运维管理网络模型
信息系统运维网络模型如图1 所示,电力企业常见的基于PC运维终端的网络模型可分为直连型和非直连型,具体的运维管理过程主要是运维人员使用PC终端,通过SSH、VNC、RDP等远程访问机制,对应用系统、数据库等信息系统服务器进行操作,与直连型不同,非直连型一般通过运维堡垒机[4]实现对运维人员的角色管理与授权审批、信息资源访问控制、操作记录和审计、系统变更和维护控制等。
1.2 PC运维终端问题
由于PC集信息输入、计算存储和信息输出等功能于一体,以PC作为运维终端,在信息系统运维管理过程中普遍存在安全性、可控性、可维护性等方面的问题。
1)PC文件信息存储在本机磁盘中,且具有网口、串并口、USB等多种输入/ 输出接口,尤其是外部运维人员使用的移动PC(如笔记本),在运维管理过程中,存在较高数据非法拷贝泄露的风险。
2由于PC分散安装于不同的物理位置(如工位),不能实现运维人员对PC访问权限的集中控制和行为审计,此外也很难对运维管理过程进行工作量考核管理。
3)由于PC运维终端工作时间较长,其散热和硬盘部件一般在运转1 年时间后,比较容易发生故障,相关操作系统和应用软件需要重新安装、升级,经常造成运维终端软件维护管理问题。除上述问题外,PC的使用寿命较短(报废周期一般为5 年),每台PC只能独立工作,无法实现计算资源灵活调配,且老化的PC故障率较高,设备过保后,维修成本也会逐年上升,PC的能耗也不低(平均功耗一般为250~350 W),因此PC作为运维终端的总体拥有成本已偏高。1.3 云桌面技术云桌面技术又称为桌面虚拟化技术,云桌面工作原理如图2 所示,在虚拟机中为用户提供远程的桌面计算服务,采用远程桌面显示控制协议将操作系统桌面视图以图像的方式传送到终端设备,而数据处理和存储均在集中于数据中心的桌面虚拟机中。
2云桌面访问控制模型
桌面终端的安全、高效接入是虚拟化管理尚未解决的技术难题。本文提出了一种基于安全访问网关(Security Access Gateway,SAG)的多通道虚拟桌面安全接入机制,即:终端与宿主服务器及虚拟机不直接连接,而通过SAG进行动态映射实现安全接入,并采用自主可控的快速桌面显示控制协议,将终端与虚拟桌面之间的视频、音频、图像、鼠键操作等信息分不同通道传输,可灵活地选择通道的加密方法。此外,通过SAG还实现对终端与虚拟桌面之间的访问行为进行集中监管。终端与虚拟桌面建立连接访问的流程如下:1)C→MS:发出终端接入请求;2)MS → SAG:验证接入请求,查询可用的虚拟机动态访问地址;3)SAG →MS:返回虚拟机注册的IP地址和动态映射端口;4)MS → C:生成虚拟机接入令牌,应答终端接入请求;5)C → SAG:使用接入令牌,建立虚拟桌面访问连接。
3云桌面安全运维系统架构
云桌面安全运维系统整体架构包括云桌面终端、安全访问网关、云桌面运维管理、虚拟化资源池管理等子系统1)云桌面终端子系统负责实现终端操作系统到虚拟桌面的基于传输控制协议(Transmission Control Protocol,TCP)的远程交互访问,支持32 位色彩全分辨率高清显示效果,能够对网络质量、带宽进行自动判断,及时调整数据传输优先级别,动态调整图像质量和帧速率。2)安全访问网关子系统为云桌面终端与桌面虚拟机之间的连接提供统一的安全访问管理,将云桌面终端IP地址随机动态映射到虚拟化资源池网络,在网络之间执行访问控制策略,对流经的连接数据进行分析,并能够过滤掉一些有攻击特征的数据,禁止特定端口的通信。同时,对远程访问账号行为进行记录和控制,使安全管理员可以集中监控桌面虚拟机远程访问连接状态。3)云桌面运维管理子系统根据不同信息系统运维管理的桌面环境需求,为用户分配不同配置和服务等级的桌面虚拟机,并实现身份管理、云桌面访问控制、安全审计与告警、运维数据统计等安全运维管理要求。
4结语
当前,我国正在大力推进工业化与信息化的两化融合,云计算技术是21 世纪信息技术发展的热点和方向,如何合理应用云计算技术有效促进电力企业信息系统运维管理水平的提升,是值得思考和探索的问题。本文提出将云计算相关的云桌面技术应用于信息系统运维管理过程,能够有效解决基于传统PC的运维终端存在的问题,以云桌面安全运维系统为支撑,对现有信息系统运维管理模式进行改进创新,进一步提高信息系统运维管理过程的安全性、可控性、可维性,并降低信息系统运维工作的复杂性和整体成本,对于今后电力企业信息系统运维管理技术的发展有一定的借鉴意义。
参考文献
[1]丁冠军,樊邦奎,兰海滨,等.智能电网信息安全威胁及防御策略研究[J].电力信息与通信技术,2014,12(5):58-63.DING Guan-jun,FAN Bang-kui,LAN Hai-bin,et al.Research on information security threats and defense strategies for smart grid[J].Electric Power Information and Communication Technology,2014,12(5):58-63.
[2]胡威,沈亮,刘冬梅,等.软硬件资源优化整合与绿色数据中心[J].电力信息化,2009,7(9):43-48.
[3]刁倩,吴建海,刘月林.电力信息系统三线运维管控平台研究与建设[J].电力信息与通信技术,2014,12(7):55-58.DIAO Qian,WU Jian-hai,LIU Yue-lin.Research and construction of three-line O&M policing platform of electric power information system[J].Electric Power Information and Communication Technology,2014,12(7):55-58.
[4]吴耀芳,来学嘉.基于应用代理的运维堡垒机研究[J].微型电脑应用,2013,29(8):34-36. [5]CASALICCHIO E,IANNUCCI S,SILVESTRI L.Cloud desktop workload:a characterization study[C]//Cloud Engineering(IC2E),2015 IEEE International Conference on,2015:66-75.
论文作者:杨生其,白宏伟
论文发表刊物:《基层建设》2019年第23期
论文发表时间:2019/11/18
标签:信息系统论文; 终端论文; 桌面论文; 可控性论文; 网络论文; 虚拟机论文; 电力企业论文; 《基层建设》2019年第23期论文;