從最初作為滿足“遠程接入”、“遠程應(yīng)用”剛性需求而出現(xiàn)的虛擬應(yīng)用軟件，在逐步體現(xiàn)出占用資源少、便于管理集中應(yīng)用等優(yōu)勢之后，得到了更多認可。 隨著移動客戶端的需求快速增長，虛擬應(yīng)用模式對于跨平臺的支持更加有了用武之地，越來越多的企事業(yè)單位選擇使用虛擬應(yīng)用軟件來搭建私有云IT平臺。

與此同時，與受限于局域網(wǎng)相比，訪問接入的開放將給信息系統(tǒng)的安全帶來更多的考驗，必須給予足夠重視。作為虛擬應(yīng)用管理的平臺軟件，應(yīng)提供必要的安全管理手段和功能。

一、登錄安全保護

用戶名/密碼(靜態(tài)口令)登錄基本上依靠用戶本人的安全意識，是系統(tǒng)安全的主要隱患。對安全要求較高的用戶登錄方式，目前常用的有動態(tài)密碼(動態(tài)口令)、 USB Key(U盾、加密鎖)等，操作簡單，安全性強。隨著此類硬件產(chǎn)品的完善和價格降低，已經(jīng)得到廣泛普及。

私有云IT平臺需要提供對動態(tài)口令和USB Key的支持，滿足重要崗位或應(yīng)用的安全性高要求。特別是USB Key登錄方式，帶來的操作便捷也會顯著提升用戶體驗的滿意度。

圖1：USB Disk Key是VA虛擬應(yīng)用管理平臺客戶端登錄模式之一，簡化登錄和提升安全

二、接入安全驗證

作為企業(yè)內(nèi)部的信息管理系統(tǒng)，僅僅依靠用戶名/密碼訪問驗證是不夠的，多數(shù)情況下還需要更復雜的后臺驗證，同時對訪問對象進行適當?shù)南拗?。這類驗證技術(shù)的實現(xiàn)我們稱之為“接入防火墻”。

接入防火墻設(shè)置訪問規(guī)則，保障“云終端”訪問的合法性。防火墻通過用戶/用戶組、IP地址/客戶機指紋/客戶機名/內(nèi)外網(wǎng)限制等方式過濾客戶端設(shè)備，從而保證了合法的客戶端訪問服務(wù)器。同時防火墻還可以控制客戶端或注冊用戶訪問不同應(yīng)用的時間。因此接入防火墻可以簡單描述為：什么人、從哪來、在什么時間、訪問什么應(yīng)用、被允許還是被拒絕。

還可以對系統(tǒng)運行的穩(wěn)定性發(fā)揮作用。例如，可以限制外網(wǎng)訪問某些網(wǎng)絡(luò)流量較大的應(yīng)用，保護其他的遠程接入帶寬。

圖2： VA虛擬應(yīng)用管理防火墻 對訪問者和訪問資源全面管理

三、服務(wù)器安全策略

虛擬應(yīng)用采用基于服務(wù)器計算模式技術(shù)(server-based computing)，服務(wù)器集群是應(yīng)用虛擬化的基礎(chǔ)平臺，保證了這個平臺的穩(wěn)定和安全，就保證了私有云系統(tǒng)的穩(wěn)定和安全。為了更好地對服務(wù)器系統(tǒng)進行安 全策略設(shè)置，需要針對虛擬應(yīng)用的特點，預設(shè)各種級別安全策略，并支持自定義安全策略，為每個用戶綁定。

在某些情況下，安全策略的限制會造成應(yīng)用程序加載問題，所以需要能夠設(shè)置應(yīng)用程序的不同加載方式，避免此類問題。

圖3：VA虛擬應(yīng)用的服務(wù)器安全策略，通過200余項策略設(shè)置，可以有效防范對服務(wù)器未經(jīng)授權(quán)的操作。

四、實時監(jiān)控

系統(tǒng)的實時監(jiān)控包括：服務(wù)器資源和運行狀態(tài)、接入會話的全面信息、被訪問應(yīng)用的情況等?？梢圆榭凑麄€平臺的實時狀態(tài)和訪問細節(jié)，必要時可進行干預控制和應(yīng)急處理。

圖4：VA虛擬應(yīng)用的集群狀態(tài)監(jiān)控，包括圖示服務(wù)器狀態(tài)和會話狀態(tài)、應(yīng)用狀態(tài)

五、系統(tǒng)數(shù)據(jù)安全

虛擬應(yīng)用自身的系統(tǒng)數(shù)據(jù)安全必須得到有效保護。同時，備份與恢復的操作，卸載、升級以及遷移等情況下的處理，應(yīng)該提供相應(yīng)的維護工具和實用的處理方案。

圖5：VA虛擬應(yīng)用的系統(tǒng)數(shù)據(jù)安全設(shè)計，有效保障云計算平臺安全

六、安全審計

作為例行監(jiān)督檢查或事后核查，安全審計的基礎(chǔ)，是系統(tǒng)運行和用戶活動的相關(guān)記錄。系統(tǒng)需要提供盡可能全面的數(shù)據(jù)和核查功能，包括上述安全管理的記錄、會話和訪問應(yīng)用的記錄、打印記錄、系統(tǒng)運行報警事件記錄、文件訪問記錄等。

圖6：VA虛擬應(yīng)用的歷史日記數(shù)據(jù)提供全面的運行記錄

總結(jié)：信息系統(tǒng)的安全需要全方位的保護，建設(shè)私有云信息化平臺應(yīng)該選擇具有全方位安全功能的虛擬應(yīng)用軟件，在保證技術(shù)手段的同時，還要重視安全管理制度的建設(shè)和執(zhí)行，為新一代的企業(yè)IT平臺提供有效的安全保障。