維創(chuàng)信息技術(shù) — 桌面虛擬化解決方案服務(wù)專家　　桌面虛擬化是指將計(jì)算機(jī)的桌面進(jìn)行虛擬化，用戶可以通過(guò)任何終端設(shè)備，不受地點(diǎn)和時(shí)間限制，訪問(wèn)在網(wǎng)絡(luò)上的屬于個(gè)人的桌面系統(tǒng)。

　　桌面虛擬化是一種基于服務(wù)器的計(jì)算模型，同時(shí)借用了傳統(tǒng)的瘦客戶端模型。

桌面虛擬化具備兩個(gè)方面的特點(diǎn)，一是將所有桌面虛擬機(jī)在數(shù)據(jù)中心進(jìn)行托管并統(tǒng)一管理，二是用戶能夠獲得完整的計(jì)算機(jī)使用體驗(yàn)。

由于桌面虛擬化技術(shù)本身是一種利用網(wǎng)絡(luò)、動(dòng)態(tài)可伸縮的虛擬化資源計(jì)算模式，符合云計(jì)算的特點(diǎn)，所以也經(jīng)常稱桌面虛擬化技術(shù)為桌面云技術(shù)。

　　近年來(lái)，虛擬化桌面系統(tǒng)已逐步應(yīng)用于各領(lǐng)域，特別是教育、金融等行業(yè)應(yīng)用最為廣泛。

通過(guò)桌面虛擬化，將逐漸脫離傳統(tǒng)的、靜態(tài)的計(jì)算模式，轉(zhuǎn)而遷移到動(dòng)態(tài)的、靈活的、可擴(kuò)展的基礎(chǔ)架構(gòu)，這種架構(gòu)可輕松應(yīng)對(duì)業(yè)務(wù)需求變化，還能夠能大幅節(jié)約成本。

桌面虛擬化技術(shù)提升管理效率　　隨著服務(wù)器虛擬技術(shù)的逐步成熟，桌面虛擬化技術(shù)也經(jīng)歷了一個(gè)發(fā)展過(guò)程。

第一代桌面虛擬化技術(shù)，將遠(yuǎn)程桌面的遠(yuǎn)程訪問(wèn)能力與虛擬操作系統(tǒng)結(jié)合了起來(lái)，使得桌面虛擬化的應(yīng)用成為可能。

第二代桌面虛擬化技術(shù)進(jìn)一步將桌面系統(tǒng)的運(yùn)行環(huán)境與安裝環(huán)境拆分、應(yīng)用與桌面拆分、配置文件拆分，從而大大降低了管理復(fù)雜度與成本，提高了管理效率。

　　VDI虛擬桌面架構(gòu)是基于早期的RDP協(xié)議和瘦客戶機(jī)逐步演變而來(lái)的，旨在為智能分布式計(jì)算帶來(lái)較好的響應(yīng)能力和定制化的用戶體驗(yàn)，并通過(guò)基于服務(wù)器的模式提供管理和安全。

　　VOI 虛擬桌面構(gòu)架的實(shí)現(xiàn)，從桌面應(yīng)用提升到了操作系統(tǒng)層面，與傳統(tǒng)的VDI 設(shè)計(jì)不同之處在于終端對(duì)本機(jī)系統(tǒng)資源的充分利用不再依靠于GPU 虛擬化，而是直接在I/O 層實(shí)現(xiàn)對(duì)物理存儲(chǔ)介質(zhì)的數(shù)據(jù)重定向，以達(dá)到虛擬化的操作系統(tǒng)完全工作于本機(jī)物理硬件之上，從驅(qū)動(dòng)程序、應(yīng)用程序到各種設(shè)備均不存在遠(yuǎn)程端口映射關(guān)系，而是直接的內(nèi)部地址。

遠(yuǎn)程托管桌面　　多臺(tái)終端使用客戶端軟件登錄到服務(wù)器，而用戶在終端的顯示器上獲得服務(wù)器端用戶的桌面圖像，以及來(lái)回傳送鍵盤和鼠標(biāo)的輸入信號(hào)。

多用戶之間共享應(yīng)用程序和操作系統(tǒng)實(shí)例，以及磁盤空間等資源。

遠(yuǎn)程虛擬應(yīng)用程序　　與共享桌面不同的地方是，它只需要瀏覽器和標(biāo)準(zhǔn)的Web協(xié)議(HTTP、HTTPS和SSL)來(lái)創(chuàng)建安全連接、傳輸圖像和數(shù)據(jù)。

最終用戶的機(jī)器可能處理應(yīng)用程序的一些邏輯或圖形，也可能只打開(kāi)顯示器、向服務(wù)器發(fā)送鼠標(biāo)點(diǎn)擊，具體取決于應(yīng)用程序的設(shè)計(jì)。

遠(yuǎn)程托管專用虛擬桌面　　用戶在服務(wù)器上使用的虛擬桌面并不與其他的用戶共享文件目錄或應(yīng)用程序，而是在該用戶才能訪問(wèn)的虛擬桌面里面有一套獨(dú)立的系統(tǒng)。

虛擬機(jī)可以在服務(wù)器上運(yùn)行，與其他專用的虛擬機(jī)共享資源;也可以在刀片PC上獨(dú)自運(yùn)行。

既可以遠(yuǎn)程托管，也可以流式傳送。

本地虛擬應(yīng)用程序　　應(yīng)用程序從服務(wù)器下載到客戶機(jī)，然后在客戶機(jī)上運(yùn)行，使用本地內(nèi)存和處理功能。

但應(yīng)用程序在"沙箱"(sandbox)里面運(yùn)行，而沙箱為本地機(jī)器可以進(jìn)行什么操作、可連接至什么設(shè)備制定了一套規(guī)則。

本地虛擬操作系統(tǒng)　　分為兩種方式，第一種方式虛擬機(jī)管理程序可以在筆記本電腦或臺(tái)式機(jī)上創(chuàng)建一個(gè)虛擬機(jī)，虛擬機(jī)可充當(dāng)一個(gè)完全獨(dú)立的單元，與虛擬機(jī)之外的客戶機(jī)上的軟硬件隔離開(kāi)來(lái)。

第二種方式，虛擬機(jī)管理程序在機(jī)器的BIOS上運(yùn)行，允許用戶運(yùn)行多個(gè)操作系統(tǒng)。

如何保障桌面虛擬化的安全？　　深圳維創(chuàng)信息科技 — 桌面虛擬化服務(wù)，加強(qiáng)安全保障。

加強(qiáng)用戶身份認(rèn)證　　為保障用戶接入的安全，虛擬化桌面系統(tǒng)需具備更加嚴(yán)格的終端身份認(rèn)證機(jī)制，需支持豐富的認(rèn)證、鑒權(quán)模式。

虛擬化桌面系統(tǒng)采用LDAP等實(shí)現(xiàn)用戶身份認(rèn)證，并與上網(wǎng)行為管理系統(tǒng)相結(jié)合，實(shí)現(xiàn)基于用戶、用戶組、地址段等的用戶訪問(wèn)互聯(lián)網(wǎng)行為的監(jiān)管。

同時(shí)，桌面虛擬化系統(tǒng)支持用戶通過(guò)瘦終端、物理PC等，采用外接智能卡方式，實(shí)現(xiàn)用戶遠(yuǎn)程接入的身份認(rèn)證。

　　此外，通過(guò)限定MAC地址對(duì)允許訪問(wèn)虛擬化桌面系統(tǒng)的客戶端進(jìn)行一個(gè)范圍限定，雖然犧牲了一定靈活性，但可以大幅提升用戶的可控性。

建立健全的訪問(wèn)控制機(jī)制　　在虛擬機(jī)的內(nèi)部和外部建立完善的權(quán)限和訪問(wèn)控制機(jī)制，建立集中和合理化訪問(wèn)控制方法，以減少冗余和效率低下。

提供細(xì)化的訪問(wèn)控制粒度，以適應(yīng)虛擬資源類型、用戶角色和訪問(wèn)控制協(xié)議。

進(jìn)一步保證每個(gè)虛擬機(jī)的權(quán)限和資源訪問(wèn)能力，應(yīng)該建立基于虛擬機(jī)的程序控制列表，使得每臺(tái)虛擬化桌面可以訪問(wèn)不同的應(yīng)用程序，可以獲得不同的虛擬化桌面。

　　虛擬化桌面系統(tǒng)盤支持差分模式和獨(dú)立運(yùn)行模式，差分模式允許用戶在共享系統(tǒng)盤的基礎(chǔ)上，保留自己的私有數(shù)據(jù)，包括應(yīng)用和系統(tǒng)數(shù)據(jù);獨(dú)立運(yùn)行模式不允許用戶修改系統(tǒng)盤，所有的修改在虛擬桌面重啟后均會(huì)丟失。

任何人員(包括管理員)無(wú)法訪問(wèn)他人虛擬桌面鏡像文件中的用戶數(shù)據(jù)信息。

實(shí)現(xiàn)傳輸通道的安全保護(hù)　　可以通過(guò)硬件建立虛擬桌面的加密傳輸通道，保證系統(tǒng)在遷移的過(guò)程中不會(huì)被“整盤拷貝”。

為遠(yuǎn)程接入設(shè)備提供安全連接點(diǎn)，供在防火墻保護(hù)以外的設(shè)備遠(yuǎn)程接入，智能終端等設(shè)備一般可采用專業(yè)安全廠商提供的定制化VPN技術(shù)。

同時(shí)虛擬化桌面和服務(wù)端的通訊可以通過(guò)SSL協(xié)議進(jìn)行傳輸加密，確保整體傳輸過(guò)程中的安全性。

提高數(shù)據(jù)集中存儲(chǔ)的安全性　　桌面虛擬化技術(shù)中對(duì)集中存儲(chǔ)的保護(hù)是最重要的部分，一旦集中存儲(chǔ)遭到破壞，整個(gè)虛擬架構(gòu)就會(huì)受到嚴(yán)重的影響。

在虛擬桌面的環(huán)境中，一般采用專業(yè)的加密設(shè)備進(jìn)行加密存儲(chǔ)的方式，并且為了滿足合規(guī)規(guī)范的要求，加密算法應(yīng)當(dāng)可以由用戶指定。

同時(shí)，在數(shù)據(jù)管理上需要考慮三權(quán)分立的措施，即需要系統(tǒng)管理員、安全審核員和數(shù)據(jù)所有人同時(shí)確認(rèn)才能夠允許信息的發(fā)送，這樣可以實(shí)現(xiàn)主動(dòng)防泄密。

此外，還需要通過(guò)審計(jì)方式確保所有操作的可追溯性。

加強(qiáng)運(yùn)維管理的安全性　　建立完善的管理員配置審計(jì)和用戶日志審計(jì)手段，使得管理員的行為和用戶的行為都有詳細(xì)的審計(jì)記錄，從而保證每個(gè)用戶的行為有據(jù)可查。

　　桌面虛擬化技術(shù)應(yīng)支持兩類系統(tǒng)管理員的管理，一類是系統(tǒng)業(yè)務(wù)維護(hù)管理員，負(fù)責(zé)進(jìn)行創(chuàng)建虛擬化桌面，附加和解除用戶關(guān)系，修改、注銷、查看虛擬桌面，桌面資源計(jì)算等工作。

另一類是系統(tǒng)日志管理員，負(fù)責(zé)對(duì)用戶和系統(tǒng)業(yè)務(wù)維護(hù)管理員使用桌面虛擬化系統(tǒng)的日志記錄的查看、審計(jì)等工作;　　要求兩類管理員嚴(yán)格獨(dú)立，系統(tǒng)業(yè)務(wù)維護(hù)管理員的任何操作均需產(chǎn)生日志，并由系統(tǒng)日志管理員統(tǒng)一管理。

提高系統(tǒng)運(yùn)行的可靠性　　虛擬化桌面系統(tǒng)的穩(wěn)定運(yùn)行主要依靠服務(wù)器、存儲(chǔ)系統(tǒng)、業(yè)務(wù)網(wǎng)絡(luò)、系統(tǒng)軟件和虛擬桌面資源池的可靠性進(jìn)行保障。

具體的可靠性保障包括：　　服務(wù)器和存儲(chǔ)系統(tǒng)均需具備電信級(jí)的可靠性。

　　通過(guò)網(wǎng)絡(luò)架構(gòu)和路由協(xié)議，保證系統(tǒng)的網(wǎng)絡(luò)可靠性，包括：無(wú)單點(diǎn)故障、有豐富的路由、有相應(yīng)安全技術(shù)保障等。

　　所有軟件系統(tǒng)均需采用負(fù)載均衡、主/備份等方式實(shí)現(xiàn)，單個(gè)部件故障對(duì)業(yè)務(wù)無(wú)影響。

　　虛擬桌面以資源池的方式進(jìn)行管理，單個(gè)主機(jī)/部件發(fā)生故障時(shí)，在其上使用的用戶只需重新登錄，即可重新進(jìn)行資源分配，實(shí)現(xiàn)用戶的遷移。

　　系統(tǒng)管理軟件運(yùn)行在虛擬機(jī)上，并實(shí)現(xiàn)HA功能，虛擬機(jī)發(fā)生故障時(shí)可自動(dòng)進(jìn)行遷移。

　　當(dāng)前虛擬化技術(shù)主要包括服務(wù)器虛擬化、應(yīng)用虛擬化和桌面虛擬化等，其中桌面虛擬化技術(shù)是當(dāng)前發(fā)展最快、最具應(yīng)用前景的技術(shù)。

桌面虛擬化技術(shù)可以在數(shù)據(jù)中心集中應(yīng)用軟件，從而簡(jiǎn)化治理、充分利用硬件資源以及盡量減少軟件沖突等。

由于桌面在數(shù)據(jù)中心運(yùn)行，因此管理員可以更輕松地對(duì)其進(jìn)行部署、管理和維護(hù)。

用戶可以靈活訪問(wèn)與普通桌面功能相同的虛擬桌面。

　　桌面虛擬化技術(shù)在帶來(lái)極大便利的同時(shí)，也悄然的引進(jìn)了不安全性，作為用戶是極難去發(fā)現(xiàn)和了解。

因此,加強(qiáng)虛擬化桌面系統(tǒng)的安全保障措施的實(shí)施，提升虛擬化桌面系統(tǒng)的信息安全保障能力是政府部門、企事業(yè)單位的當(dāng)務(wù)之急。