陳曉玲

摘要：隨著移動互聯(lián)網(wǎng)信息技術和云計算技術的快速發(fā)展，現(xiàn)在越來越多的企事業(yè)單位也紛紛邁入“互聯(lián)網(wǎng)+”時代，在企業(yè)內(nèi)網(wǎng)部署桌面虛擬化系統(tǒng)來代替?zhèn)鹘y(tǒng)的計算機終端。與傳統(tǒng)計算機運維模式相比，桌面虛擬化技術更利于集中管理和維護，在數(shù)據(jù)的安全性和保密性方面都有較大的提高。但是，在實際運維和使用過程中，桌面虛擬化的使用也存在一定的網(wǎng)絡安全隱患，值得我們重視。本文簡單介紹了桌面虛擬化技術的優(yōu)勢，對其安全性進行了分析，并針對安全性問題提出了建議與對策。

關鍵字：虛擬化技術;信息安全;防護

一、桌面虛擬化技術的優(yōu)勢

虛擬化技術包括服務器虛擬化、存儲虛擬化、網(wǎng)絡虛擬化、應用虛擬化和桌面虛擬化。桌面虛擬化是一種基于服務器的計算模型，是繼服務器虛擬化和存儲虛擬化之后出現(xiàn)的一種新技術。在虛擬化環(huán)境里，用戶側(cè)只需部署一套瘦客戶端和顯示器、鼠標鍵盤，用于顯示從遠端桌面虛擬化平臺推送過來的用戶桌面，所有涉及到的操作系統(tǒng)、應用程序、用戶數(shù)據(jù)等等，都是集中部署在桌面虛擬化平臺里，用戶終端不再存儲數(shù)據(jù)，也不做計算處理。桌面虛擬化技術的廣泛應用，改變了過去分散、獨立的桌面環(huán)境，給企業(yè)的辦公帶來了前所未有的優(yōu)勢。

1、用戶虛擬機系統(tǒng)部署簡單快速，維護方便。在桌面虛擬化平臺搭建成功后，管理員可以創(chuàng)建一臺虛擬機，預先安裝好企業(yè)日常辦公所需要的各類應用軟件和管理軟件，并更新操作系統(tǒng)補丁，將其封裝成虛擬機模板。在創(chuàng)建用戶虛擬機系統(tǒng)時，就可以通過使用預先封裝好的虛擬機模板，同時批量創(chuàng)建多臺用戶虛擬機，實現(xiàn)用戶桌面系統(tǒng)的快速部署。與傳統(tǒng)的桌面微機、筆記本電腦相比，安裝操作系統(tǒng)要快得多，且無需考慮硬件驅(qū)動等兼容性問題。用戶虛擬機的硬件（如CPU、內(nèi)存、磁盤、網(wǎng)卡等）擴容也非常簡單，可以直接在平臺上操作，無需拆卸機箱增加硬件，可隨時隨地滿足用戶的個性化需求。

2、桌面虛擬化的應用大大降低了企事業(yè)單位IT資產(chǎn)的采購和維修成本。對比傳統(tǒng)的桌面微機和筆記本電腦，瘦客戶端選型比較單一，價格比較透明且更加便宜，硬件維護性能好且使用周期較長，硬件故障現(xiàn)象同比傳統(tǒng)終端，幾乎可以忽略不計，無需頻繁維修和開展硬件擴容，從長遠看，有利于降低企事業(yè)單位整體的采購和維修成本。

3、用戶虛擬機系統(tǒng)由桌面虛擬化平臺統(tǒng)一管理，統(tǒng)一調(diào)度，大大提高了系統(tǒng)資源的利用率;所有的數(shù)據(jù)都存儲在遠端的平臺數(shù)據(jù)中心，安全可靠，確保信息不泄漏。

二、桌面虛擬化安全性分析

桌面虛擬化技術的廣泛應用，給企事業(yè)單位辦公帶來了極大的便利，但是在日常運維和使用中也存在一定的問題，值得我們重視。

1）用戶虛擬機系統(tǒng)的身份認證主要來自于本單位AD域系統(tǒng)，管理員在創(chuàng)建用戶賬號時，一般都采用相同的密碼，而用戶虛擬機正式運行后，用戶往往會忽略域用戶密碼的修改，從而會導致用戶密碼被多數(shù)人所知曉。

2）瘦客戶端本身不存儲任何數(shù)據(jù)，所有的數(shù)據(jù)都集中存儲在桌面虛擬化平臺里。但在日常工作中，瘦客戶端的USB接口是不作封堵的，如果企業(yè)沒有啟用U盤管控策略，同樣會存在數(shù)據(jù)泄漏風險。

3）在桌面虛擬化平臺里，不同用戶虛擬機之間的交互是通過平臺的虛擬網(wǎng)絡完成，無需經(jīng)過物理網(wǎng)絡，傳統(tǒng)的網(wǎng)絡安全防護措施將不再適用，難以防范虛擬機之間的網(wǎng)絡攻擊和病毒傳播等。

4）桌面虛擬化技術的應用，在網(wǎng)絡可達的情況下，用戶可以通過任何設備，在任何地點，任何時間通過網(wǎng)絡訪問屬于個人的桌面系統(tǒng)。這是一種優(yōu)勢，同樣也存在安全隱患。一旦用戶賬號密碼被截取或破解，同樣會存在數(shù)據(jù)泄漏風險。

5）桌面虛擬化安全的應對措施

針對桌面虛擬化應用可能存在的上述問題，我們應該認真分析，從實際出發(fā)，制定切實可行的應對措施，以保證桌面虛擬化系統(tǒng)的正常運作，為用戶提供一個安全、可靠的辦公環(huán)境。

1、企事業(yè)單位應根據(jù)自身業(yè)務需求，在桌面虛擬化平臺的網(wǎng)絡環(huán)境中部署防火墻、入侵檢測、防病毒以及數(shù)據(jù)安全防泄漏等安全管控軟硬件，啟用U盤管控策略，統(tǒng)一推送用戶虛擬機操作系統(tǒng)補丁，關閉高危端口和服務，從而達到預防各用戶虛擬機系統(tǒng)之間的病毒傳播、網(wǎng)絡攻擊及用戶信息泄漏，必要時可開啟虛擬機與數(shù)字證書的多重認證。

2、開展針對性的網(wǎng)絡安全培訓，提升用戶的網(wǎng)絡安全意識和防范能力。告知用戶應妥善保管好個人秘鑰，密碼需滿足復雜度策略;專用U盤等存儲介質(zhì)應及時做好U盤管控標簽，及時備份個人虛擬機系統(tǒng)里的重要數(shù)據(jù)，切勿將虛擬機系統(tǒng)當成大容量存儲介質(zhì)使用。

3、通過AD域系統(tǒng)推送終端安全基線配置，增強用戶虛擬機系統(tǒng)的安全設置。對于無移動辦公需求的大部分用戶，應及時在桌面虛擬化平臺里設置用戶名與瘦客戶端綁定策略，限制他人從其他設備非法訪問。

4、組織運維人員開展桌面云平臺技術培訓，逐步提升運維人員的技術技能水平和職業(yè)素養(yǎng)，實現(xiàn)持證上崗。同時對桌面虛擬化平臺開展精細化運維，監(jiān)控平臺資源調(diào)度，整合系統(tǒng)資源，以保證用戶虛擬機的正常工作，提升用戶體驗。

5、桌面虛擬化平臺運行了大量的用戶虛擬機系統(tǒng)，我們要確保平臺系統(tǒng)的穩(wěn)定運行。在涉及軟硬件升級時，應提前收集平臺系統(tǒng)相關信息，落實硬件板卡間的兼容性測試，確保新增硬件在平臺系統(tǒng)的兼容性列表里;同時要密切聯(lián)系原廠技術服務人員，切實做好實施方案的編制及審核工作，落實網(wǎng)絡安全風險預控措施;平臺升級實施前還應組織相關技術人員開展論證推演工作，逐一落實應急回退機制，避免在平臺系統(tǒng)升級過程中出現(xiàn)問題而導致整個平臺崩潰。同時還應做好平臺系統(tǒng)數(shù)據(jù)的備份，及時發(fā)布公告，提醒用戶保存好個人信息，避免數(shù)據(jù)丟失。

結(jié)束語：桌面虛擬化因其技術、管理和成本等方面的優(yōu)勢，得到了越來越多企事業(yè)單位的青睞，紛紛在內(nèi)網(wǎng)環(huán)境中部署。通過部署桌面虛擬化系統(tǒng)，實現(xiàn)了企事業(yè)單位對數(shù)據(jù)的集中管控，用戶桌面系統(tǒng)的統(tǒng)一配置，為業(yè)務系統(tǒng)的訪問提供了高可靠的保證。盡管桌面虛擬化的使用也帶來了一些安全隱患，但是通過采取有效的措施，制定最優(yōu)的解決方案，可以使桌面虛擬化更好的為企事業(yè)單位服務。

參考文獻

[1]鄭志勇，呂遠大，王毅.虛擬桌面系統(tǒng)應用安全性分析與對策.網(wǎng)絡安全技術與應用，2012.10

[2]劉繼平.桌面虛擬化技術的安全性分析與對策.信息系統(tǒng)工程，2017.4E4F7AEE0-3121-4976-A213-BFF79D0DA64F