陳曉玲

摘要：隨著移動(dòng)互聯(lián)網(wǎng)信息技術(shù)和云計(jì)算技術(shù)的快速發(fā)展，現(xiàn)在越來越多的企事業(yè)單位也紛紛邁入“互聯(lián)網(wǎng)+”時(shí)代，在企業(yè)內(nèi)網(wǎng)部署桌面虛擬化系統(tǒng)來代替?zhèn)鹘y(tǒng)的計(jì)算機(jī)終端。與傳統(tǒng)計(jì)算機(jī)運(yùn)維模式相比，桌面虛擬化技術(shù)更利于集中管理和維護(hù)，在數(shù)據(jù)的安全性和保密性方面都有較大的提高。但是，在實(shí)際運(yùn)維和使用過程中，桌面虛擬化的使用也存在一定的網(wǎng)絡(luò)安全隱患，值得我們重視。本文簡(jiǎn)單介紹了桌面虛擬化技術(shù)的優(yōu)勢(shì)，對(duì)其安全性進(jìn)行了分析，并針對(duì)安全性問題提出了建議與對(duì)策。

關(guān)鍵字：虛擬化技術(shù);信息安全;防護(hù)

一、桌面虛擬化技術(shù)的優(yōu)勢(shì)

虛擬化技術(shù)包括服務(wù)器虛擬化、存儲(chǔ)虛擬化、網(wǎng)絡(luò)虛擬化、應(yīng)用虛擬化和桌面虛擬化。桌面虛擬化是一種基于服務(wù)器的計(jì)算模型，是繼服務(wù)器虛擬化和存儲(chǔ)虛擬化之后出現(xiàn)的一種新技術(shù)。在虛擬化環(huán)境里，用戶側(cè)只需部署一套瘦客戶端和顯示器、鼠標(biāo)鍵盤，用于顯示從遠(yuǎn)端桌面虛擬化平臺(tái)推送過來的用戶桌面，所有涉及到的操作系統(tǒng)、應(yīng)用程序、用戶數(shù)據(jù)等等，都是集中部署在桌面虛擬化平臺(tái)里，用戶終端不再存儲(chǔ)數(shù)據(jù)，也不做計(jì)算處理。桌面虛擬化技術(shù)的廣泛應(yīng)用，改變了過去分散、獨(dú)立的桌面環(huán)境，給企業(yè)的辦公帶來了前所未有的優(yōu)勢(shì)。

1、用戶虛擬機(jī)系統(tǒng)部署簡(jiǎn)單快速，維護(hù)方便。在桌面虛擬化平臺(tái)搭建成功后，管理員可以創(chuàng)建一臺(tái)虛擬機(jī)，預(yù)先安裝好企業(yè)日常辦公所需要的各類應(yīng)用軟件和管理軟件，并更新操作系統(tǒng)補(bǔ)丁，將其封裝成虛擬機(jī)模板。在創(chuàng)建用戶虛擬機(jī)系統(tǒng)時(shí)，就可以通過使用預(yù)先封裝好的虛擬機(jī)模板，同時(shí)批量創(chuàng)建多臺(tái)用戶虛擬機(jī)，實(shí)現(xiàn)用戶桌面系統(tǒng)的快速部署。與傳統(tǒng)的桌面微機(jī)、筆記本電腦相比，安裝操作系統(tǒng)要快得多，且無需考慮硬件驅(qū)動(dòng)等兼容性問題。用戶虛擬機(jī)的硬件（如CPU、內(nèi)存、磁盤、網(wǎng)卡等）擴(kuò)容也非常簡(jiǎn)單，可以直接在平臺(tái)上操作，無需拆卸機(jī)箱增加硬件，可隨時(shí)隨地滿足用戶的個(gè)性化需求。

2、桌面虛擬化的應(yīng)用大大降低了企事業(yè)單位IT資產(chǎn)的采購(gòu)和維修成本。對(duì)比傳統(tǒng)的桌面微機(jī)和筆記本電腦，瘦客戶端選型比較單一，價(jià)格比較透明且更加便宜，硬件維護(hù)性能好且使用周期較長(zhǎng)，硬件故障現(xiàn)象同比傳統(tǒng)終端，幾乎可以忽略不計(jì)，無需頻繁維修和開展硬件擴(kuò)容，從長(zhǎng)遠(yuǎn)看，有利于降低企事業(yè)單位整體的采購(gòu)和維修成本。

3、用戶虛擬機(jī)系統(tǒng)由桌面虛擬化平臺(tái)統(tǒng)一管理，統(tǒng)一調(diào)度，大大提高了系統(tǒng)資源的利用率;所有的數(shù)據(jù)都存儲(chǔ)在遠(yuǎn)端的平臺(tái)數(shù)據(jù)中心，安全可靠，確保信息不泄漏。

二、桌面虛擬化安全性分析

桌面虛擬化技術(shù)的廣泛應(yīng)用，給企事業(yè)單位辦公帶來了極大的便利，但是在日常運(yùn)維和使用中也存在一定的問題，值得我們重視。

1）用戶虛擬機(jī)系統(tǒng)的身份認(rèn)證主要來自于本單位AD域系統(tǒng)，管理員在創(chuàng)建用戶賬號(hào)時(shí)，一般都采用相同的密碼，而用戶虛擬機(jī)正式運(yùn)行后，用戶往往會(huì)忽略域用戶密碼的修改，從而會(huì)導(dǎo)致用戶密碼被多數(shù)人所知曉。

2）瘦客戶端本身不存儲(chǔ)任何數(shù)據(jù)，所有的數(shù)據(jù)都集中存儲(chǔ)在桌面虛擬化平臺(tái)里。但在日常工作中，瘦客戶端的USB接口是不作封堵的，如果企業(yè)沒有啟用U盤管控策略，同樣會(huì)存在數(shù)據(jù)泄漏風(fēng)險(xiǎn)。

3）在桌面虛擬化平臺(tái)里，不同用戶虛擬機(jī)之間的交互是通過平臺(tái)的虛擬網(wǎng)絡(luò)完成，無需經(jīng)過物理網(wǎng)絡(luò)，傳統(tǒng)的網(wǎng)絡(luò)安全防護(hù)措施將不再適用，難以防范虛擬機(jī)之間的網(wǎng)絡(luò)攻擊和病毒傳播等。

4）桌面虛擬化技術(shù)的應(yīng)用，在網(wǎng)絡(luò)可達(dá)的情況下，用戶可以通過任何設(shè)備，在任何地點(diǎn)，任何時(shí)間通過網(wǎng)絡(luò)訪問屬于個(gè)人的桌面系統(tǒng)。這是一種優(yōu)勢(shì)，同樣也存在安全隱患。一旦用戶賬號(hào)密碼被截取或破解，同樣會(huì)存在數(shù)據(jù)泄漏風(fēng)險(xiǎn)。

5）桌面虛擬化安全的應(yīng)對(duì)措施

針對(duì)桌面虛擬化應(yīng)用可能存在的上述問題，我們應(yīng)該認(rèn)真分析，從實(shí)際出發(fā)，制定切實(shí)可行的應(yīng)對(duì)措施，以保證桌面虛擬化系統(tǒng)的正常運(yùn)作，為用戶提供一個(gè)安全、可靠的辦公環(huán)境。

1、企事業(yè)單位應(yīng)根據(jù)自身業(yè)務(wù)需求，在桌面虛擬化平臺(tái)的網(wǎng)絡(luò)環(huán)境中部署防火墻、入侵檢測(cè)、防病毒以及數(shù)據(jù)安全防泄漏等安全管控軟硬件，啟用U盤管控策略，統(tǒng)一推送用戶虛擬機(jī)操作系統(tǒng)補(bǔ)丁，關(guān)閉高危端口和服務(wù)，從而達(dá)到預(yù)防各用戶虛擬機(jī)系統(tǒng)之間的病毒傳播、網(wǎng)絡(luò)攻擊及用戶信息泄漏，必要時(shí)可開啟虛擬機(jī)與數(shù)字證書的多重認(rèn)證。

2、開展針對(duì)性的網(wǎng)絡(luò)安全培訓(xùn)，提升用戶的網(wǎng)絡(luò)安全意識(shí)和防范能力。告知用戶應(yīng)妥善保管好個(gè)人秘鑰，密碼需滿足復(fù)雜度策略;專用U盤等存儲(chǔ)介質(zhì)應(yīng)及時(shí)做好U盤管控標(biāo)簽，及時(shí)備份個(gè)人虛擬機(jī)系統(tǒng)里的重要數(shù)據(jù)，切勿將虛擬機(jī)系統(tǒng)當(dāng)成大容量存儲(chǔ)介質(zhì)使用。

3、通過AD域系統(tǒng)推送終端安全基線配置，增強(qiáng)用戶虛擬機(jī)系統(tǒng)的安全設(shè)置。對(duì)于無移動(dòng)辦公需求的大部分用戶，應(yīng)及時(shí)在桌面虛擬化平臺(tái)里設(shè)置用戶名與瘦客戶端綁定策略，限制他人從其他設(shè)備非法訪問。

4、組織運(yùn)維人員開展桌面云平臺(tái)技術(shù)培訓(xùn)，逐步提升運(yùn)維人員的技術(shù)技能水平和職業(yè)素養(yǎng)，實(shí)現(xiàn)持證上崗。同時(shí)對(duì)桌面虛擬化平臺(tái)開展精細(xì)化運(yùn)維，監(jiān)控平臺(tái)資源調(diào)度，整合系統(tǒng)資源，以保證用戶虛擬機(jī)的正常工作，提升用戶體驗(yàn)。

5、桌面虛擬化平臺(tái)運(yùn)行了大量的用戶虛擬機(jī)系統(tǒng)，我們要確保平臺(tái)系統(tǒng)的穩(wěn)定運(yùn)行。在涉及軟硬件升級(jí)時(shí)，應(yīng)提前收集平臺(tái)系統(tǒng)相關(guān)信息，落實(shí)硬件板卡間的兼容性測(cè)試，確保新增硬件在平臺(tái)系統(tǒng)的兼容性列表里;同時(shí)要密切聯(lián)系原廠技術(shù)服務(wù)人員，切實(shí)做好實(shí)施方案的編制及審核工作，落實(shí)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)預(yù)控措施;平臺(tái)升級(jí)實(shí)施前還應(yīng)組織相關(guān)技術(shù)人員開展論證推演工作，逐一落實(shí)應(yīng)急回退機(jī)制，避免在平臺(tái)系統(tǒng)升級(jí)過程中出現(xiàn)問題而導(dǎo)致整個(gè)平臺(tái)崩潰。同時(shí)還應(yīng)做好平臺(tái)系統(tǒng)數(shù)據(jù)的備份，及時(shí)發(fā)布公告，提醒用戶保存好個(gè)人信息，避免數(shù)據(jù)丟失。

結(jié)束語：桌面虛擬化因其技術(shù)、管理和成本等方面的優(yōu)勢(shì)，得到了越來越多企事業(yè)單位的青睞，紛紛在內(nèi)網(wǎng)環(huán)境中部署。通過部署桌面虛擬化系統(tǒng)，實(shí)現(xiàn)了企事業(yè)單位對(duì)數(shù)據(jù)的集中管控，用戶桌面系統(tǒng)的統(tǒng)一配置，為業(yè)務(wù)系統(tǒng)的訪問提供了高可靠的保證。盡管桌面虛擬化的使用也帶來了一些安全隱患，但是通過采取有效的措施，制定最優(yōu)的解決方案，可以使桌面虛擬化更好的為企事業(yè)單位服務(wù)。

參考文獻(xiàn)

[1]鄭志勇，呂遠(yuǎn)大，王毅.虛擬桌面系統(tǒng)應(yīng)用安全性分析與對(duì)策.網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2012.10

[2]劉繼平.桌面虛擬化技術(shù)的安全性分析與對(duì)策.信息系統(tǒng)工程，2017.4