本發明公開了一種虛擬云桌面的安全管理方法，包括以下安全管理方法中的一種或多種；虛擬機管理器安全管理：獲取虛擬桌面管理服務器中預設種類的監控和審計日志信息，并根據監控和審計日志信息生成防篡改審計信息；虛擬機安全隔離：分別對虛擬機、存儲設備和網絡進行安全隔離；虛擬機殘余數據保護：分別對虛擬機內存和虛擬機磁盤的殘余數據進行清除；虛擬機安全通信管理：對虛擬化平臺系統的各子系統之間的數據傳輸進行加密；虛擬機抗拒絕服務攻擊：為每個虛擬機分配一個獨立的虛擬交換機，每個虛擬機交換機綁定一個物理網絡端口。本發明提高了虛擬云桌面的安全性能。

技術領域

本發明涉及一種虛擬云桌面的安全管理方法。

背景技術

在計算機應用領域中，桌面PC是最普遍也是最重要的辦公設備。在實際運轉中，越來越暴露出其安全和管理上的弊端，主要表現為：1)安全邊界難以防護；2)數據泄漏難以防范；3)安全漏洞層出不窮；4)總體擁有成本高；5)資源利用效率低。

發明內容

本發明的目的在于克服現有技術的不足，提供一種虛擬云桌面的安全管理方法。

本發明的目的是通過以下技術方案來實現的：一種虛擬云桌面的安全管理方法，包括虛擬機管理器安全管理、虛擬機安全隔離、虛擬機殘余數據保護、虛擬機安全通信管理和虛擬機抗拒絕服務攻擊中的一種或多種；

虛擬機管理器安全管理：獲取虛擬桌面管理服務器中預設種類的監控和審計日志信息，并根據監控和審計日志信息生成防篡改審計信息；

虛擬機安全隔離：分別對虛擬機、存儲設備和網絡進行安全隔離；

虛擬機殘余數據保護：分別對虛擬機內存和虛擬機磁盤的殘余數據進行清除；

虛擬機安全通信管理：對虛擬化平臺系統的各子系統之間的數據傳輸進行加密；

虛擬機抗拒絕服務攻擊：為每個虛擬機分配一個獨立的虛擬交換機，每個虛擬機交換機綁定一個物理網絡端口。

優選的，所述虛擬機管理器安全管理包括：

讀取強制訪問控制的日志文件后抽取強制訪問控制越權信息；

讀取系統用戶登錄日志文件形成審計日志；

調用虛擬機監視器的接口獲取運行監控數據；

調用虛擬機監視器的接口獲取其版本和特征值信息，然后生成防篡改審計信息。

優選的，所述虛擬機安全隔離包括：

虛擬機運行隔離：對于在同一物理主機上創建的多個虛擬機，分別為每個虛擬機分配獨立的物理資源；

虛擬機CPU隔離：虛擬化平臺系統使虛擬機操作系統運行在CPU的Ring1上，其虛擬處理器指令的執行和上下文切換由虛擬化平臺系統進行統一調度；

虛擬機內存隔離；虛擬化平臺系統設置為只使用內存獨占模式；

虛擬機網絡隔離：對同一物理主機上不同虛擬機間進行網絡隔離；

虛擬機存儲隔離：虛擬機設置為只能訪問分配給該虛擬機的存儲空間，一個虛擬機磁盤同一時刻只能被一個虛擬機掛載。

優選的，所述虛擬機殘余數據保護包括：

內存殘余數據清除：在一個虛擬機停止或者遷移后，且其內存空間被釋放或再分配給其它虛擬機前，對該虛擬機的內存空間進行復位清除；

磁盤殘余數據清除：在一個虛擬機被刪除后，在該虛擬機的磁盤存儲空間被釋放或再分配給其它虛擬機前，對該虛擬機的磁盤存儲空間進行寫零清除。

優選的，虛擬云桌面的安全管理方法還包括虛擬機安全遷移管理：