虛擬化和云計算的迅速崛起使海量數據涌入數據中心，虛擬化應用也越來越廣泛，桌面虛擬化以其增率節能、靈活辦公的特性受到企業和員工追捧。用戶可以通過任何設備，在任何地點，任何時間訪問在網絡上的屬于個人的桌面系統，在這個過程中保證安全性和穩定性成為關注焦點。

虛擬桌面泄密危機四伏

虛擬桌面終端連接著含有企業所有敏感信息的數據中心，如果沒有合理的對終端桌面進行安全管控，非常容易發生泄密事件。在實際工作中存在諸多問題：

安全性保障差：敏感數據的關鍵業務系統和互聯網交互流通，數據在辦公終端落地后極易泄露，或者通過上網出口外發引起泄漏的風險；

易用性差：有些企業已經應用云桌面工作模式，基于敏感文件安全管控的需要，真實桌面只能上傳文件到虛擬桌面服務器，不能下載文件到真實桌面。但用戶的實際業務流程中需要從虛擬桌面中導出數據到真實桌面，下載的數據不能進行安全管控，易用性很差；

兼容性問題：企業安全建設完善的另一個弊端就是不能形成整體方案，相互之間不兼容，易出現宕機等現象；

維護成本高：為防止內部數據外泄，很多企業采用專機專用方式，包括建設、管理和維護在內的IT成本費用高。

桌面虛擬化的數據安全對策

由上文可以看出，桌面虛擬化實施完成后應該做相應的安全優化，這些優化具體轉化為幾個落實點：訪問控制，審計和日志，傳輸通道加密、存儲加密和保護等。從以下四個方面闡述：

(1)建立訪問控制體系：需要在虛擬機內和虛擬機外建立完善的權限和訪問控制體系，保證每個虛擬機的權限和能力，應該獨立與虛擬機之外具有程序控制列表，使得每臺虛擬桌面可以訪問不同的應用程序，可以獲得不同的虛擬桌面。

(2)配置的審計和日志審計：建立完善的管理員配置審計和用戶日志審計體系，使得管理員的行為和用戶的行為都有詳細的審計記錄，從而保證每個用戶的行為有據可查。

(3)傳輸通道加密：可以通過硬件建立虛擬桌面的加密傳輸通道，保證系統在遷移的過程中不會被“整盤拷貝”，否則就和采用虛擬桌面的初衷背道而馳。

(4)虛擬存儲的保護：虛擬桌面服務器的保護是最重要的部分，一旦虛擬桌面服務器遭到破壞，整個虛擬架構就會破損，可以采用多種方法進行虛擬桌面服務器的保護。

明朝萬達虛擬桌面安全解決之道

北京明朝萬達數據安全專家表示：“在虛擬桌面的環境中，最核心保護數據的方式就是加密存儲，加密算法采用國密，滿足合規規范的要求。同時，在數據管理上需要考慮三權分立的措施，及需要系統管理員、數據外發審核員和數據所有人同時確認也能夠允許信息的發送，或根據實際需求多權管理設置，這樣可以實現主動防泄密。此外，還需要通過審計方式確保所有操作的可追溯性。”

明朝萬達自主研發的Chinasec(安元)數據安全管理平臺--虛擬安全桌面系統基于國產密碼數據加密技術，對安全桌面與本地真實桌面的網絡、外設、數據等進行隔離，實現數據安全管控，在不影響用戶辦公操作，提供高可用性、擴展性強的終端安全桌面建設方案。

通過桌面虛擬鏡像數據加密功能，解決云端數據集中存儲帶來的管理員優先訪問權與虛擬機逃逸帶來的隱患，防止桌面云使用者的私有數據泄密。

結合PKI技術的雙因子云終端身份認證，避免云終端身份冒認使用風險，提升遠程使用云終端的安全性。

以云終端為識別依據的安全域劃分，取締傳統PC終端依賴物理端口劃分虛擬安全域的機制，符合云終端跨區域使用的特性，加強云終端之間數據傳輸安全管控。

數據動態邊界自動加密功能實現云中部門間數據可控交互，防止云終端數據通過郵件、網頁或即時通訊工具等造成的泄密。

明朝萬達的虛擬桌面數據安全方案在中國人壽保險（集團）公司得到了有效印證。為了配合自身信息化建設規劃，中國人壽早已展開云桌面工作模式，實現對敏感數據的管控，但是在云計算IT建設過程中遇到了一些需要解決的問題：虛擬桌面中的數據下載到本地桌面的過程中如何進行安全管控；如何確保數據流程過程中的安全審計。明朝萬達經過對中國人壽IT現狀的深度調研，緊密結合其數據風險現狀，解決中國人壽虛擬安全桌面數據安全問題，保證了云桌面項目的順利推廣。目前該技術已經在中信銀行、郵儲銀行、國家開發銀行等多家金融企業應用，幫助用戶減少數據泄露風險，提高管理效率，助力用戶打造安全可信的靈活辦公環境。