桌面虛擬化是指將計算機的桌面進行虛擬化，用戶可以通過任何終端設備，不受地點和時間限制，訪問在網絡上的屬于個人的桌面系統。桌面虛擬化是一種基于服務器的計算模型，同時借用了傳統的瘦客戶端模型。桌面虛擬化具備兩個方面的特點，一是將所有桌面虛擬機在數據中心進行托管并統一管理，二是用戶能夠獲得完整的計算機使用體驗。由于桌面虛擬化技術本身是一種利用網絡、動態可伸縮的虛擬化資源計算模式，符合云計算的特點，所以也經常稱桌面虛擬化技術為桌面云技術。

近年來，虛擬化桌面系統已逐步應用于各領域，特別是教育、金融等行業應用最為廣泛。通過桌面虛擬化，將逐漸脫離傳統的、靜態的計算模式，轉而遷移到動態的、靈活的、可擴展的基礎架構，這種架構可輕松應對業務需求變化，還能夠能大幅節約成本。

桌面虛擬化技術提升管理效率

隨著服務器虛擬技術的逐步成熟，桌面虛擬化技術也經歷了一個發展過程。第一代桌面虛擬化技術，將遠程桌面的遠程訪問能力與虛擬操作系統結合了起來，使得桌面虛擬化的應用成為可能。第二代桌面虛擬化技術進一步將桌面系統的運行環境與安裝環境拆分、應用與桌面拆分、配置文件拆分，從而大大降低了管理復雜度與成本，提高了管理效率。

VDI虛擬桌面架構是基于早期的RDP協議和瘦客戶機逐步演變而來的，也是VMware等國外虛擬化廠商采用的模式。VDI旨在為智能分布式計算帶來較好的響應能力和定制化的用戶體驗，并通過基于服務器的模式提供管理和安全。

VOI 虛擬桌面構架的實現，從桌面應用提升到了操作系統層面，與傳統的VDI 設計不同之處在于終端對本機系統資源的充分利用不再依靠于GPU 虛擬化，而是直接在I/O 層實現對物理存儲介質的數據重定向，以達到虛擬化的操作系統完全工作于本機物理硬件之上，從驅動程序、應用程序到各種設備均不存在遠程端口映射關系，而是直接的內部地址。

OSV智能桌面虛擬化，是基于X86標準計算機系統下實現桌面的集中管理、控制、存儲、維護的桌面虛擬化技術。OSV與VDI最大的區別在于前者使用集中管理、分布運算機制，而后者采用的是集中管理、集中計算，后者對于服務器的依賴要遠遠超過前者。

遠程托管桌面

多臺終端使用客戶端軟件登錄到服務器，而用戶在終端的顯示器上獲得服務器端用戶的桌面圖像，以及來回傳送鍵盤和鼠標的輸入信號。多用戶之間共享應用程序和操作系統實例，以及磁盤空間等資源。

遠程虛擬應用程序

與共享桌面不同的地方是，它只需要瀏覽器和標準的Web協議(HTTP、HTTPS和SSL)來創建安全連接、傳輸圖像和數據。最終用戶的機器可能處理應用程序的一些邏輯或圖形，也可能只打開顯示器、向服務器發送鼠標點擊，具體取決于應用程序的設計。

遠程托管專用虛擬桌面

用戶在服務器上使用的虛擬桌面并不與其他的用戶共享文件目錄或應用程序，而是在該用戶才能訪問的虛擬桌面里面有一套獨立的系統。虛擬機可以在服務器上運行，與其他專用的虛擬機共享資源;也可以在刀片PC上獨自運行。既可以遠程托管，也可以流式傳送。

本地虛擬應用程序

應用程序從服務器下載到客戶機，然后在客戶機上運行，使用本地內存和處理功能。但應用程序在"沙箱"(sandbox)里面運行，而沙箱為本地機器可以進行什么操作、可連接至什么設備制定了一套規則。

本地虛擬操作系統

分為兩種方式，第一種方式虛擬機管理程序可以在筆記本電腦或臺式機上創建一個虛擬機，虛擬機可充當一個完全獨立的單元，與虛擬機之外的客戶機上的軟硬件隔離開來。第二種方式，虛擬機管理程序在機器的BIOS上運行，允許用戶運行多個操作系統。

桌面虛擬化存在的安全風險

通過桌面虛擬化技術實現了多樣的接入方式和方便的管理模式，桌面系統的靈活性、安全性、可控制和可管理性得到了有效的保障。但從虛擬化桌面系統的整體安全角度來看，從接入層面、傳輸層面、管理與服務層面、數據存儲層面和用戶層面等各個方面，都會產生安全風險，忽略任何一個細節都會導致全局的安全問題。

對虛擬化安全的認知

桌面虛擬化技術的使用，解決了傳統桌面系統固有的安全風險，使得分散的桌面系統易于管理、易于配置。但大多數用戶并未意識到虛擬環境的安全性問題，也沒有意識到虛擬化技術同樣可以帶來安全風險。桌面虛擬化技術在帶來大量安全性的同時，將不安全性更加隱藏起來，使得用戶更難以發現桌面虛擬化技術背后深層次的安全問題。

接入層面的安全問題

在桌面虛擬化技術的應用環境中，只要有訪問權限，任何智能終端都可以訪問服務端的桌面環境，即隨時隨地的系統訪問。如果單純的依靠用戶名和口令作為合法用戶身份認證，一旦用戶名和口令泄露就意味著非授權用戶可以在任何位置訪問到桌面系統，并獲取相關數據。

傳輸層面的安全問題

由于虛擬桌面需要在網絡上進行大量的文件遷移，文件遷移過程使得在局域網內的用戶容易產生信息泄露。同時大量的文件系統遷移對網絡性能要求很高，還使得在遷移過程中的不確定性被增加了。

同時用戶在進行遠程桌面系統調用時，并非所有的智能終端都支持相應的VPN技術。

管理與服務層面的安全問題

在桌面虛擬化技術的架構中，后臺服務器端通常會采用橫向擴展的方式，在大并發的使用環境下，系統前端會使用負載均衡器，將用戶的連接請求發送給當前仍有剩余計算能力的服務器處理，這種架構很容易遭到分布式拒絕攻擊。

由于采用虛擬化技術集中了核心數據資源，使得管理員認為只關注核心數據資源就可以保障虛擬化桌面的整體安全，但是由于沒有集中審計和訪問控制措施，使得每個虛擬化桌面客戶端沒有權限的差別，在這種工作環境中，不得不考慮的風險就是低級別的虛擬化桌面越過權限訪問高級別的虛擬化桌面數據空間。

數據存儲層面的安全問題

采用桌面虛擬化技術之后，所有的信息都會存儲在后臺的磁盤陣列中，為了滿足文件系統的訪問需要，一般會采用NAS架構的存儲系統。這種數據存儲方式使得管理員對核心數據的控制力度過大，以前需要從多臺電腦上獲得的數據現在較容易就可以獲得了，而且數據是集中存儲的。管理員的權限增加帶來的風險使得管理員進行泄密和破壞的成本降到最低，即便是數據進行了加密，管理員也可以將整盤數據進行拷貝，然后再進行破解。

用戶層面的安全問題

使用桌面虛擬化技術后，用戶的桌面特性被統一化和定制化，但在很多情況下各個用戶的軟件需求不同，各個業務部門的軟件需求也不同，虛擬化的桌面特性只能滿足部分人員和部門的需求。如果滿足所有用戶的需求就需要盡可能的增加鏡像文件的容量，管理員將面臨著虛擬主機的快速增長，造成對虛擬化桌面系統的管理非常困難，同時虛擬機的利用率也有很大程度的降低，每個用戶面對的多數是自己無用的程序。

保障桌面虛擬化的安全

鑒于桌面虛擬化存在多個層面的安全問題，可以從以下幾個方面加強桌面虛擬化的安全保障。

加強用戶身份認證

為保障用戶接入的安全，虛擬化桌面系統需具備更加嚴格的終端身份認證機制，需支持豐富的認證、鑒權模式。虛擬化桌面系統采用LDAP等實現用戶身份認證，并與上網行為管理系統相結合，實現基于用戶、用戶組、地址段等的用戶訪問互聯網行為的監管。同時，桌面虛擬化系統支持用戶通過瘦終端、物理PC等，采用外接智能卡方式，實現用戶遠程接入的身份認證。

此外，通過限定MAC地址對允許訪問虛擬化桌面系統的客戶端進行一個范圍限定，雖然犧牲了一定靈活性，但可以大幅提升用戶的可控性。

建立健全的訪問控制機制

需要在虛擬機的內部和外部建立完善的權限和訪問控制機制，建立集中和合理化訪問控制方法，以減少冗余和效率低下。提供細化的訪問控制粒度，以適應虛擬資源類型、用戶角色和訪問控制協議。進一步保證每個虛擬機的權限和資源訪問能力，應該建立基于虛擬機的程序控制列表，使得每臺虛擬化桌面可以訪問不同的應用程序，可以獲得不同的虛擬化桌面。

虛擬化桌面系統盤支持差分模式和獨立運行模式，差分模式允許用戶在共享系統盤的基礎上，保留自己的私有數據，包括應用和系統數據;獨立運行模式不允許用戶修改系統盤，所有的修改在虛擬桌面重啟后均會丟失。任何人員(包括管理員)無法訪問他人虛擬桌面鏡像文件中的用戶數據信息。

實現傳輸通道的安全保護

可以通過硬件建立虛擬桌面的加密傳輸通道，保證系統在遷移的過程中不會被“整盤拷貝”。為遠程接入設備提供安全連接點，供在防火墻保護以外的設備遠程接入，智能終端等設備一般可采用專業安全廠商提供的定制化VPN技術。同時虛擬化桌面和服務端的通訊可以通過SSL協議進行傳輸加密，確保整體傳輸過程中的安全性。

提高數據集中存儲的安全性

桌面虛擬化技術中對集中存儲的保護是最重要的部分，一旦集中存儲遭到破壞，整個虛擬架構就會受到嚴重的影響。在虛擬桌面的環境中，一般采用專業的加密設備進行加密存儲的方式，并且為了滿足合規規范的要求，加密算法應當可以由用戶指定。同時，在數據管理上需要考慮三權分立的措施，即需要系統管理員、安全審核員和數據所有人同時確認才能夠允許信息的發送，這樣可以實現主動防泄密。此外，還需要通過審計方式確保所有操作的可追溯性。

加強運維管理的安全性

建立完善的管理員配置審計和用戶日志審計手段，使得管理員的行為和用戶的行為都有詳細的審計記錄，從而保證每個用戶的行為有據可查。

桌面虛擬化技術應支持兩類系統管理員的管理，一類是系統業務維護管理員，負責進行創建虛擬化桌面，附加和解除用戶關系，修改、注銷、查看虛擬桌面，桌面資源計算等工作。另一類是系統日志管理員，負責對用戶和系統業務維護管理員使用桌面虛擬化系統的日志記錄的查看、審計等工作;

要求兩類管理員嚴格獨立，系統業務維護管理員的任何操作均需產生日志，并由系統日志管理員統一管理。

提高系統運行的可靠性

虛擬化桌面系統的穩定運行主要依靠服務器、存儲系統、業務網絡、系統軟件和虛擬桌面資源池的可靠性進行保障。具體的可靠性保障包括：

服務器和存儲系統均需具備電信級的可靠性。

通過網絡架構和路由協議，保證系統的網絡可靠性，包括：無單點故障、有豐富的路由、有相應安全技術保障等。

所有軟件系統均需采用負載均衡、主/備份等方式實現，單個部件故障對業務無影響。

虛擬桌面以資源池的方式進行管理，單個主機/部件發生故障時，在其上使用的用戶只需重新登錄，即可重新進行資源分配，實現用戶的遷移。

系統管理軟件運行在虛擬機上，并實現HA功能，虛擬機發生故障時可自動進行遷移。

當前虛擬化技術主要包括服務器虛擬化、應用虛擬化和桌面虛擬化等，其中桌面虛擬化技術是當前發展最快、最具應用前景的技術。桌面虛擬化技術可以在數據中心集中應用軟件，從而簡化治理、充分利用硬件資源以及盡量減少軟件沖突等。由于桌面在數據中心運行，因此管理員可以更輕松地對其進行部署、管理和維護。用戶可以靈活訪問與普通桌面功能相同的虛擬桌面。

桌面虛擬化技術在帶來極大便利的同時，也悄然的引進了不安全性，作為用戶是極難去發現和了解。因此,加強虛擬化桌面系統的安全保障措施的實施，提升虛擬化桌面系統的信息安全保障能力是政府部門、企事業單位的當務之急。