如何打造“虚拟化”桌面的安全措施？

维创信息技术 — 桌面虚拟化解决方案服务专家　　桌面虚拟化是指将计算机的桌面进行虚拟化，用户可以通过任何终端设备，不受地点和时间限制，访问在网络上的属于个人的桌面系统。

　　桌面虚拟化是一种基于服务器的计算模型，同时借用了传统的瘦客户端模型。

桌面虚拟化具备两个方面的特点，一是将所有桌面虚拟机在数据中心进行托管并统一管理，二是用户能够获得完整的计算机使用体验。

由于桌面虚拟化技术本身是一种利用网络、动态可伸缩的虚拟化资源计算模式，符合云计算的特点，所以也经常称桌面虚拟化技术为桌面云技术。

　　近年来，虚拟化桌面系统已逐步应用于各领域，特别是教育、金融等行业应用最为广泛。

通过桌面虚拟化，将逐渐脱离传统的、静态的计算模式，转而迁移到动态的、灵活的、可扩展的基础架构，这种架构可轻松应对业务需求变化，还能够能大幅节约成本。

桌面虚拟化技术提升管理效率　　随着服务器虚拟技术的逐步成熟，桌面虚拟化技术也经历了一个发展过程。

第一代桌面虚拟化技术，将远程桌面的远程访问能力与虚拟操作系统结合了起来，使得桌面虚拟化的应用成为可能。

第二代桌面虚拟化技术进一步将桌面系统的运行环境与安装环境拆分、应用与桌面拆分、配置文件拆分，从而大大降低了管理复杂度与成本，提高了管理效率。

　　VDI虚拟桌面架构是基于早期的RDP协议和瘦客户机逐步演变而来的，旨在为智能分布式计算带来较好的响应能力和定制化的用户体验，并通过基于服务器的模式提供管理和安全。

　　VOI 虚拟桌面构架的实现，从桌面应用提升到了操作系统层面，与传统的VDI 设计不同之处在于终端对本机系统资源的充分利用不再依靠于GPU 虚拟化，而是直接在I/O 层实现对物理存储介质的数据重定向，以达到虚拟化的操作系统完全工作于本机物理硬件之上，从驱动程序、应用程序到各种设备均不存在远程端口映射关系，而是直接的内部地址。

远程托管桌面　　多台终端使用客户端软件登录到服务器，而用户在终端的显示器上获得服务器端用户的桌面图像，以及来回传送键盘和鼠标的输入信号。

多用户之间共享应用程序和操作系统实例，以及磁盘空间等资源。

远程虚拟应用程序　　与共享桌面不同的地方是，它只需要浏览器和标准的Web协议(HTTP、HTTPS和SSL)来创建安全连接、传输图像和数据。

最终用户的机器可能处理应用程序的一些逻辑或图形，也可能只打开显示器、向服务器发送鼠标点击，具体取决于应用程序的设计。

远程托管专用虚拟桌面　　用户在服务器上使用的虚拟桌面并不与其他的用户共享文件目录或应用程序，而是在该用户才能访问的虚拟桌面里面有一套独立的系统。

虚拟机可以在服务器上运行，与其他专用的虚拟机共享资源;也可以在刀片PC上独自运行。

既可以远程托管，也可以流式传送。

本地虚拟应用程序　　应用程序从服务器下载到客户机，然后在客户机上运行，使用本地内存和处理功能。

但应用程序在"沙箱"(sandbox)里面运行，而沙箱为本地机器可以进行什么操作、可连接至什么设备制定了一套规则。

本地虚拟操作系统　　分为两种方式，第一种方式虚拟机管理程序可以在笔记本电脑或台式机上创建一个虚拟机，虚拟机可充当一个完全独立的单元，与虚拟机之外的客户机上的软硬件隔离开来。

第二种方式，虚拟机管理程序在机器的BIOS上运行，允许用户运行多个操作系统。

如何保障桌面虚拟化的安全？　　深圳维创信息科技 — 桌面虚拟化服务，加强安全保障。

加强用户身份认证　　为保障用户接入的安全，虚拟化桌面系统需具备更加严格的终端身份认证机制，需支持丰富的认证、鉴权模式。

虚拟化桌面系统采用LDAP等实现用户身份认证，并与上网行为管理系统相结合，实现基于用户、用户组、地址段等的用户访问互联网行为的监管。

同时，桌面虚拟化系统支持用户通过瘦终端、物理PC等，采用外接智能卡方式，实现用户远程接入的身份认证。

　　此外，通过限定MAC地址对允许访问虚拟化桌面系统的客户端进行一个范围限定，虽然牺牲了一定灵活性，但可以大幅提升用户的可控性。

建立健全的访问控制机制　　在虚拟机的内部和外部建立完善的权限和访问控制机制，建立集中和合理化访问控制方法，以减少冗余和效率低下。

提供细化的访问控制粒度，以适应虚拟资源类型、用户角色和访问控制协议。

进一步保证每个虚拟机的权限和资源访问能力，应该建立基于虚拟机的程序控制列表，使得每台虚拟化桌面可以访问不同的应用程序，可以获得不同的虚拟化桌面。

　　虚拟化桌面系统盘支持差分模式和独立运行模式，差分模式允许用户在共享系统盘的基础上，保留自己的私有数据，包括应用和系统数据;独立运行模式不允许用户修改系统盘，所有的修改在虚拟桌面重启后均会丢失。

任何人员(包括管理员)无法访问他人虚拟桌面镜像文件中的用户数据信息。

实现传输通道的安全保护　　可以通过硬件建立虚拟桌面的加密传输通道，保证系统在迁移的过程中不会被“整盘拷贝”。

为远程接入设备提供安全连接点，供在防火墙保护以外的设备远程接入，智能终端等设备一般可采用专业安全厂商提供的定制化VPN技术。

同时虚拟化桌面和服务端的通讯可以通过SSL协议进行传输加密，确保整体传输过程中的安全性。

提高数据集中存储的安全性　　桌面虚拟化技术中对集中存储的保护是最重要的部分，一旦集中存储遭到破坏，整个虚拟架构就会受到严重的影响。

在虚拟桌面的环境中，一般采用专业的加密设备进行加密存储的方式，并且为了满足合规规范的要求，加密算法应当可以由用户指定。

同时，在数据管理上需要考虑三权分立的措施，即需要系统管理员、安全审核员和数据所有人同时确认才能够允许信息的发送，这样可以实现主动防泄密。

此外，还需要通过审计方式确保所有操作的可追溯性。

加强运维管理的安全性　　建立完善的管理员配置审计和用户日志审计手段，使得管理员的行为和用户的行为都有详细的审计记录，从而保证每个用户的行为有据可查。

　　桌面虚拟化技术应支持两类系统管理员的管理，一类是系统业务维护管理员，负责进行创建虚拟化桌面，附加和解除用户关系，修改、注销、查看虚拟桌面，桌面资源计算等工作。

另一类是系统日志管理员，负责对用户和系统业务维护管理员使用桌面虚拟化系统的日志记录的查看、审计等工作;　　要求两类管理员严格独立，系统业务维护管理员的任何操作均需产生日志，并由系统日志管理员统一管理。

提高系统运行的可靠性　　虚拟化桌面系统的稳定运行主要依靠服务器、存储系统、业务网络、系统软件和虚拟桌面资源池的可靠性进行保障。

具体的可靠性保障包括：　　服务器和存储系统均需具备电信级的可靠性。

　　通过网络架构和路由协议，保证系统的网络可靠性，包括：无单点故障、有丰富的路由、有相应安全技术保障等。

　　所有软件系统均需采用负载均衡、主/备份等方式实现，单个部件故障对业务无影响。

　　虚拟桌面以资源池的方式进行管理，单个主机/部件发生故障时，在其上使用的用户只需重新登录，即可重新进行资源分配，实现用户的迁移。

　　系统管理软件运行在虚拟机上，并实现HA功能，虚拟机发生故障时可自动进行迁移。

　　当前虚拟化技术主要包括服务器虚拟化、应用虚拟化和桌面虚拟化等，其中桌面虚拟化技术是当前发展最快、最具应用前景的技术。

桌面虚拟化技术可以在数据中心集中应用软件，从而简化治理、充分利用硬件资源以及尽量减少软件冲突等。

由于桌面在数据中心运行，因此管理员可以更轻松地对其进行部署、管理和维护。

用户可以灵活访问与普通桌面功能相同的虚拟桌面。

　　桌面虚拟化技术在带来极大便利的同时，也悄然的引进了不安全性，作为用户是极难去发现和了解。

因此,加强虚拟化桌面系统的安全保障措施的实施，提升虚拟化桌面系统的信息安全保障能力是政府部门、企事业单位的当务之急。