桌面平台层安全随手记录

这篇具有很好参考价值的文章主要介绍了桌面平台层安全随手记录。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

声明

本文是学习桌面云安全技术要求. 而整理的学习笔记,分享出来希望更多人受益,如果存在侵权请及时联系我们

桌面平台层安全

桌面接入安全

用户标识

一般要求

本项要求包括:

a) 系统应为用户提供唯一的身份标识,同时将用户的身份标识与该用户的所有可审计事件相关联;

  

b) 系统应能对用户进行角色划分,能针对不同的用户角色设定不同的权限。

身份鉴别

一般要求

本项要求包括:

a) 系统应在每次请求访问虚拟桌面前,进行用户身份鉴别,身份鉴别的机制应达到一定的口令复杂度要求;

  

b) 在设定的时间段内没有任何操作的情况下,系统应断开会话或重新鉴别用户,系统应提供时限的默认值;

c) 应提供鉴别失败处理功能,当用户鉴别尝试不成功次数在一定时间段内超过指定值后,系统应采取相应措施阻止用户在限定时间内进一步的鉴别请求。

增强要求

本项要求包括:

a) 身份鉴别机制应采用多因子认证进行身份鉴别。

终端安全

一般要求

本项要求包括:

a) 终端设备必须在成功进行身份鉴别后才能接入桌面云网络,防止非法的终端接入;

  

b) 系统若支持不同的终端设备(包括胖终端、瘦终端、零终端和移动终端等),应能在有安全需求的情况下,针对不同的终端设备限制接入方式;

c) 确保终端设备只能与服务端设备进行数据通信;

d) 如果桌面终端为瘦终端,应保证瘦终端中嵌入式操作系统的完整性;

e) 如果桌面终端为瘦终端,应保证瘦终端不对外暴露内置存储访问接口;

f) 如果桌面终端为瘦终端,应保证瘦终端不提供软件安装的接口;

g) 如果桌面终端为胖终端和移动终端,应支持对桌面客户端软件进行完整性检验。

增强要求

a) 如果域场景为多域场景且终端设备为瘦终端,应保证终端设备存储空间内保存的所有敏感数据在域间切换时得到彻底清除。

传输安全

一般要求

本项要求包括:

a) 应采用安全的传输协议进行桌面访问,确保传输数据的保密性和完整性;

  

b) 应支持对单个桌面的多重会话进行限制。

增强要求

本项要求包括:

a) 应支持非移动终端设备与桌面平台之间的双向认证。

桌面平台管理安全

用户标识

  1. 一般要求

本项要求包括:

a) 应支持为管理员提供唯一的身份标识,同时将管理员的身份标识与该管理员的所有可审计事件相关联;

b) 应支持将管理员角色根据不同的管理要求进行分类,并形成相互制约、监督的关系;

c) 应支持由管理员定义合适的桌面用户角色,对桌面用户按最小授权原则进行管理;

d) 应支持对桌面用户进行管理,支持增、删、改用户,并对用户参数进行设置;

e) 用户鉴别相关数据应以非明文方式存储;

f) 应支持对桌面用户进行角色划分,能针对不同的用户角色设定不同的权限,能针对相同角色的用户下发相同的策略。

身份鉴别

一般要求

本项要求包括:

a) 系统应在每次请求访问管理平台前,进行管理员身份鉴别应达到一定的口令复杂度要求;

  

g) 在设定的时间段内没有任何操作的情况下,系统应断开会话或重新鉴别管理员,系统应提供时限的默认值;

h) 当用户鉴别尝试不成功次数在一定时间段内超过指定值后,系统应采取相应的措施阻止用户在限定时间内进一步的鉴别请求。

增强要求

本项要求包括:

a) 身份鉴别的机制应采用多因子认证对管理员用户进行身份鉴别。

访问控制

一般要求

本项要求包括:

a) 访问控制的覆盖范围应包括与资源访问相关的主体、客体及它们之间的操作;

  

b) 授权用户对受保护资源进行访问的内容、操作权限不能超出预定义的范围;

c) 访问控制主体为:用户、业务系统等;

d) 受保护的资源至少包括:虚拟机、镜像、模板、快照等。

终端设备管理

一般要求

本项要求包括:

a) 应能限制终端设备连接桌面云,例如仅能在特定IP地址范围、MAC、一定时间范围接入桌面云;

  

b) 应提供终端设备操作审计;

c) 应支持对终端设备的外设接口(如USB接口等)或剪切板进行控制。

增强要求

本项要求包括:

a) 应限制截屏功能,防止通过截屏进行非法数据外传。

防恶意软件加载和补丁管理

增强要求

本项要求包括:

a) 应采取一定的措施防止系统中的恶意软件加载并对补丁进行统一管理,包括但不限于以下措施中的一种或几种:

  
  1. 支持对虚拟桌面中的防恶意代码软件和操作系统补丁提供统一管理和升级管理;

  2. 采用白名单策略对虚拟桌面中应用软件加载进行控制。

镜像、模板和快照安全

一般要求

本项要求包括:

a) 应支持对虚拟机模板文件进行完整性保护;

  

b) 应提供对虚拟机镜像文件、模板文件和快照的操作日志

c) 应支持对虚拟机模板、快照的统一管理,禁止未授权用户对虚拟机模板和快照的修改、删除等操作。

增强要求

本项要求包括:

a) 应支持对虚拟机镜像文件进行保密性保护;

  

d) 应保证虚拟机的镜像、快照的剩余信息得到完全清除。

备份与恢复机制

一般要求

本项要求包括:

a) 应提供用户数据备份机制,当用户虚拟磁盘数据丢失(如磁盘异常删除等)时,可以恢复数据;

  

b) 应提供多种备份策略,满足不同安全级别的用户需求;

c) 在故障发生后,虚拟桌面能恢复到备份点的状态;

d) 若虚拟桌面分配给临时用户使用,在虚拟桌面被用户释放后能恢复到初始状态。

安全监控

一般要求

本项要求包括:

a) 支持对用户在线状态、用户使用状态、虚拟机运行状态、终端在线状态等的实时监控,形成安全事件信息等。

增强要求

本项要求包括:

a) 应支持对运行时安全策略执行状态的检查;

  

b) 应支持自定义安全事件,包括事件类型等;

c) 应支持对安全事件信息进行处理,形成不同级别的安全告警信息;

d) 应支持设置多种告警方式。

安全审计

  
  
  1. 一般要求

本项要求包括:

a) 应能对用户和管理员的所有操作行为进行记录形成日志,包括登录桌面、日常业务操作等;

  

e) 审计日志应至少包括事件类型、事件时间、事件主体、事件客体、IP地址、事件描述和事件结果等字段;

f) 审计日志应存储在掉电非遗失性存储介质中;

g) 当存储空间将要耗尽时,应采取相应措施,保证审计日志不丢失;

h) 应支持对审计日志进行备份;

i) 只允许授权的管理员访问审计日志;

j) 应保护审计日志不被未授权地访问、修改和破坏;

k) 应提供审计日志的可选择查询功能,支持按以下条件之一或组合进行查询:事件类型、事件时间、事件主体、事件客体、IP地址和事件结果或关键词;

l) 应提供对审计日志的导出和删除功能;

m) 应通过安全的方式对日志进行查看,以保证传输过程的保密性和完整性。

  

A. (资料性附录)\
桌面云场景描述

主流桌面云技术架构

目前市场上的桌面云技术架构根据计算的位置分为两大类,一类是在服务器端进行计算的桌面云技术架构,通常称为虚拟桌面架构(Virtual
Desktop
Infrastructure,VDI)架构;另一类是在用户端进行计算的桌面云技术架构,包括虚拟操作系统架构(Virtual
OS Infrastructure,VOI)架构和智能桌面虚拟化(Intelligent Desktop
Virtualization,IDV)架构。

虚拟桌面架构是利用虚拟化技术,使用户可以通过网络使用在服务器端的计算和存储资源,用户在进行操作后,由服务器端进行计算,将结果形成图像以视频帧压缩后传输到本地计算设备,本地计算设备进行还原显示,本地计算设备仅接收桌面图像,不存储用户数据。

智能桌面虚拟化架构是利用虚拟化技术,服务器端运行虚拟机,用户通过传输协议连接服务端虚拟机运行的镜像,用户将该镜像文件缓存至本地,利用本地资源进行计算,服务器端负责管理和分发虚拟机镜像。

虚拟操作系统架构是通过I/O重定向等技术,服务器端分发操作系统镜像文件,镜像文件直接在本地计算设备上,虚拟化出完全工作于本机物理硬件之上的操作系统,服务器端负责管理和分发操作系统镜像。

三种桌面云架构对比

本标准主要基于虚拟桌面架构提出安全技术要求,针对智能桌面虚拟化架构和虚拟操作系统架构,除第7章内容外,可根据架构的变化,选择性参考本标准。

桌面云部署场景

本节以不同的部署模型为例来描述桌面云的使用场景。

私有桌面云

私有桌面系统是指基于虚拟化技术的、面向企业内部用户的虚拟桌面,用户可以通过能联网的PC机、便携计算机、数字移动电话机、瘦终端等设备,在企业规定的范围内访问自己的云桌面。员工通过安装在桌面系统中的办公软件(如通用办公软件、内部系统等)来进行正常的办公活动,例如处理邮件、编辑文档等。传统的私有桌面系统以独立、分散的PC环境为主。这种方式的优点是桌面性能好,个性化能力强。但也存在例如管理维护困难、企业或组织数据安全无法保证、无法融入企业或组织数据中心容灾体系等问题。

私有桌面云能够为用户提供托管式桌面服务。相对于本地的独立桌面系统而言,托管式桌面通过虚拟化技术集中部署在集中数据中心,用户端仅需要一个连接和显示的终端设备就可以通过网络显示并运行一个托管于数据中心的桌面系统,包括完整的独立操作系统和用户所需要用到的各种办公软件。这种网络访问的方式为用户提供了非常灵活的工作处理能力和移动办公的能力。

私有桌面云和私有云类似,是单独为某个企业或组织建立的。私有桌面云的托管式桌面系统,与传统的独立桌面系统,在用户使用上并没有任何区别。但是集中化部署的托管式桌面在保证了桌面性能和个性化能力的基础上很好地解决了管理维护和企业数据安全的问题。

公共桌面云

公共桌面云是基于虚拟化技术的、面向大众或大型工业组织的虚拟桌面,用户可以通过能联网的PC机、便携计算机、数字移动电话机、瘦终端等设备,随时随地访问自己的云桌面。该场景与私有桌面云不同之处在于,公共桌面云的基础设施为某个云服务厂商所有。一般来说,公共桌面云的运维和管理在服务提供商的数据中心中实现,该数据中心通过配置动态资源为各种类型的用户提供虚拟桌面服务。

公共桌面云使得公共用户不必在一个固定的场所,不用在指定的台式设备上就可以直接访问云服务,直接调配、使用在公有云上的文档、应用、数据、计算和存储资源。公共桌面云可以为用户提供更灵活的接入方式,以及更容易操作、安全和高性能的桌面体验。

桌面云域场景

本节以域场景为例来描述桌面云的使用场景。

单域桌面云

在单域桌面云场景中,一个终端设备仅能访问一个安全域。

桌面平台层安全随手记录,安全,网络,数据库

图A1单域桌面云示意图

多域桌面云

在多域桌面云场景中,一个终端设备可以访问多个安全域。

桌面平台层安全随手记录,安全,网络,数据库

图A2多域桌面云示意图

B. 缩略语

基本输入输出系统 BIOS(Basic Input Output System)

中央处理器 CPU(Central Processing Unit)

网络之间互连的协议 IP(Internet Protocol)

输入/输出 I/O(Input/Output)

虚拟局域网 VLAN(Virtual Local Area Network)

扩展虚拟局域网 VxLAN(Virtual Extensible LAN)

物理地址 MAC(Media Access Control)

身份 ID(IDentity)

通用串行总线 USB(Universal Serial Bus)

因特网协议 IP(Internet Protocol)

媒体访问控制 MAC(Media Access Control)

虚拟局域网 VLAN(Virtual Local Area Network)

[]{#BKCKWX .anchor}参 考 文 献

  1. GB/T 32399—2015 信息技术 安全技术云计算 参考架构

  2. GB/T 22239—2008 信息安全技术 信息系统安全等级保护基本要求

_________________________________

延伸阅读

更多内容 可以 桌面云安全技术要求. 进一步学习

联系我们

DB2201-T 18-2022 政务数据安全管理责任指南 长春市.pdf文章来源地址https://www.toymoban.com/news/detail-694840.html

到了这里,关于桌面平台层安全随手记录的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • Openssl数据安全传输平台016:在QT中的数据库操作+在项目中的设计与实现

    在Qt中进行数据库操作需要使用的类: QSqlDataBase 属于的模块: sql 使用这个类可以创建出一个连接数据库服务器的实例 单例

    2024年02月06日
    浏览(50)
  • 某高品质房产企业:借助NineData平台,统一数据库访问权限,保障业务安全

    该企业是中国领先的优质房产品开发及生活综合服务供应商。在 2022 年取得了亮眼的业绩表现,销售额市场占有率跻身全国前五。业务涵盖房产开发、房产代建、城市更新、科技装修等多个领域。 2023 年,该企业和玖章算术(浙江)科技有限公司达成合作,通过玖章算术的

    2024年02月04日
    浏览(44)
  • 网络安全等保:Oracle数据库测评

    以下结果以Oracle 11g为例,通过PL/SQL进行管理,未进行任何配置、按照等保2.0标准,2021报告模板,三级系统要求进行测评。 a) 应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换; sysdba是Oracle数据库的最高权限管理员。通常使

    2024年02月13日
    浏览(41)
  • 《网络安全》- 3.1 - Redis数据库详细教程

    「作者简介」: CSDN top100、阿里云博客专家、华为云享专家、网络安全领域优质创作者 「订阅专栏」: 此文章已录入专栏《网络安全入门到精通》

    2023年04月08日
    浏览(40)
  • 网络安全 Day22-mariadb数据库用户管理

    用户的格式: 用户@主机范围 合起来才算一个用户 授权主机范围 只能从本机访问: localhost 或 127.0.0.1 或 10.0.0.166 (指定IP) 授权整个网段: 授权10.0.0.1–10.0.0.254: 10.0.0.0/24 或 10.0.0.% 授权192.168.0.1—192.168.254.254: 192.168.% 严令 禁止 直接使用 % 用户增删改查 创建用户 语法: create user b

    2024年02月14日
    浏览(33)
  • 网络安全进阶学习第十二课——SQL手工注入3(Access数据库)

    判断数据库类型 —— 判断表名 —— 判断列名 —— 判断列名长度 —— 查出数据。 asp的网站,常用数据库为access、sqlserver。 and exsits (select * from msysobjects)0 access and exsits (select * from sysobjects)0 sqlserver 上述语句 会返回1或者0 。 msysobjects是access的默认数据库 , sysobjects是sqlserv

    2024年02月11日
    浏览(53)
  • 网络安全全栈培训笔记(56-服务攻防-数据库安全&H2&Elasticsearch&CouchDB&Influxdb复现)

    知识点: 1、服务攻防数据库类型安全 2、influxdb,.未授权访问wt验证 3、H2 database-未授权访问-配置不当 4、CouchDB-权限绕过配合RCE-漏洞 5、ElasticSearch-文件写入RCE-漏洞 #章节内容: 常见服务应用的安全测试: 1、配置不当-未授权访问 2、安全机制特定安全漏洞 3、安全机制弱口令

    2024年01月23日
    浏览(50)
  • 网络安全全栈培训笔记(55-服务攻防-数据库安全&Redis&Hadoop&Mysqla&未授权访问&RCE)

    知识点: 1、服务攻防数据库类型安全 2、RedisHadoopMysql安全 3、Mysql-CVE-2012-2122漏洞 4、Hadoop-配置不当未授权三重奏RCE漏洞 3、Redis-配置不当未授权三重奏RCE两漏洞 #章节内容: 常见服务应用的安全测试: 1、配置不当-未授权访问 2、安全机制特定安全漏洞 3、安全机制弱口令爆

    2024年01月23日
    浏览(45)
  • 【网络安全---sql注入(2)】如何通过SQL注入getshell?如何通过SQL注入读取文件或者数据库数据?一篇文章告诉你过程和原理。

    分享一个非常详细的网络安全笔记,是我学习网安过程中用心写的,可以点开以下链接获取: 超详细的网络安全笔记 本篇博客主要是通过piakchu靶场来讲解如何通过SQL注入漏洞来写入文件,读取文件。通过SQL输入来注入木马来getshell等,讲解了比较详细的过程; 如果想要学习

    2024年02月07日
    浏览(51)
  • 远程桌面连接报错(CredSSP加密数据库修正)解决方案

    远程桌面连接报错(CredSSP加密数据库修正)解决方法如下: 远程桌面连接的时候有时出现“出现身份验证错误。要求的函数不受支持 如下图: 这可能是由于CredSSP 加密数据库修正”的提示 ,解决方法如下: 运行 gpedit.msc ,如下图所示: 本地组策略: 计算机配置管理模板系统

    2024年02月11日
    浏览(46)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包