維創信息技術 — 桌面虛擬化解決方案服務專家　　桌面虛擬化是指將計算機的桌面進行虛擬化，用戶可以通過任何終端設備，不受地點和時間限制，訪問在網絡上的屬于個人的桌面系統。

　　桌面虛擬化是一種基于服務器的計算模型，同時借用了傳統的瘦客戶端模型。

桌面虛擬化具備兩個方面的特點，一是將所有桌面虛擬機在數據中心進行托管并統一管理，二是用戶能夠獲得完整的計算機使用體驗。

由于桌面虛擬化技術本身是一種利用網絡、動態可伸縮的虛擬化資源計算模式，符合云計算的特點，所以也經常稱桌面虛擬化技術為桌面云技術。

　　近年來，虛擬化桌面系統已逐步應用于各領域，特別是教育、金融等行業應用最為廣泛。

通過桌面虛擬化，將逐漸脫離傳統的、靜態的計算模式，轉而遷移到動態的、靈活的、可擴展的基礎架構，這種架構可輕松應對業務需求變化，還能夠能大幅節約成本。

桌面虛擬化技術提升管理效率　　隨著服務器虛擬技術的逐步成熟，桌面虛擬化技術也經歷了一個發展過程。

第一代桌面虛擬化技術，將遠程桌面的遠程訪問能力與虛擬操作系統結合了起來，使得桌面虛擬化的應用成為可能。

第二代桌面虛擬化技術進一步將桌面系統的運行環境與安裝環境拆分、應用與桌面拆分、配置文件拆分，從而大大降低了管理復雜度與成本，提高了管理效率。

　　VDI虛擬桌面架構是基于早期的RDP協議和瘦客戶機逐步演變而來的，旨在為智能分布式計算帶來較好的響應能力和定制化的用戶體驗，并通過基于服務器的模式提供管理和安全。

　　VOI 虛擬桌面構架的實現，從桌面應用提升到了操作系統層面，與傳統的VDI 設計不同之處在于終端對本機系統資源的充分利用不再依靠于GPU 虛擬化，而是直接在I/O 層實現對物理存儲介質的數據重定向，以達到虛擬化的操作系統完全工作于本機物理硬件之上，從驅動程序、應用程序到各種設備均不存在遠程端口映射關系，而是直接的內部地址。

遠程托管桌面　　多臺終端使用客戶端軟件登錄到服務器，而用戶在終端的顯示器上獲得服務器端用戶的桌面圖像，以及來回傳送鍵盤和鼠標的輸入信號。

多用戶之間共享應用程序和操作系統實例，以及磁盤空間等資源。

遠程虛擬應用程序　　與共享桌面不同的地方是，它只需要瀏覽器和標準的Web協議(HTTP、HTTPS和SSL)來創建安全連接、傳輸圖像和數據。

最終用戶的機器可能處理應用程序的一些邏輯或圖形，也可能只打開顯示器、向服務器發送鼠標點擊，具體取決于應用程序的設計。

遠程托管專用虛擬桌面　　用戶在服務器上使用的虛擬桌面并不與其他的用戶共享文件目錄或應用程序，而是在該用戶才能訪問的虛擬桌面里面有一套獨立的系統。

虛擬機可以在服務器上運行，與其他專用的虛擬機共享資源;也可以在刀片PC上獨自運行。

既可以遠程托管，也可以流式傳送。

本地虛擬應用程序　　應用程序從服務器下載到客戶機，然后在客戶機上運行，使用本地內存和處理功能。

但應用程序在"沙箱"(sandbox)里面運行，而沙箱為本地機器可以進行什么操作、可連接至什么設備制定了一套規則。

本地虛擬操作系統　　分為兩種方式，第一種方式虛擬機管理程序可以在筆記本電腦或臺式機上創建一個虛擬機，虛擬機可充當一個完全獨立的單元，與虛擬機之外的客戶機上的軟硬件隔離開來。

第二種方式，虛擬機管理程序在機器的BIOS上運行，允許用戶運行多個操作系統。

如何保障桌面虛擬化的安全？　　深圳維創信息科技 — 桌面虛擬化服務，加強安全保障。

加強用戶身份認證　　為保障用戶接入的安全，虛擬化桌面系統需具備更加嚴格的終端身份認證機制，需支持豐富的認證、鑒權模式。

虛擬化桌面系統采用LDAP等實現用戶身份認證，并與上網行為管理系統相結合，實現基于用戶、用戶組、地址段等的用戶訪問互聯網行為的監管。

同時，桌面虛擬化系統支持用戶通過瘦終端、物理PC等，采用外接智能卡方式，實現用戶遠程接入的身份認證。

　　此外，通過限定MAC地址對允許訪問虛擬化桌面系統的客戶端進行一個范圍限定，雖然犧牲了一定靈活性，但可以大幅提升用戶的可控性。

建立健全的訪問控制機制　　在虛擬機的內部和外部建立完善的權限和訪問控制機制，建立集中和合理化訪問控制方法，以減少冗余和效率低下。

提供細化的訪問控制粒度，以適應虛擬資源類型、用戶角色和訪問控制協議。

進一步保證每個虛擬機的權限和資源訪問能力，應該建立基于虛擬機的程序控制列表，使得每臺虛擬化桌面可以訪問不同的應用程序，可以獲得不同的虛擬化桌面。

　　虛擬化桌面系統盤支持差分模式和獨立運行模式，差分模式允許用戶在共享系統盤的基礎上，保留自己的私有數據，包括應用和系統數據;獨立運行模式不允許用戶修改系統盤，所有的修改在虛擬桌面重啟后均會丟失。

任何人員(包括管理員)無法訪問他人虛擬桌面鏡像文件中的用戶數據信息。

實現傳輸通道的安全保護　　可以通過硬件建立虛擬桌面的加密傳輸通道，保證系統在遷移的過程中不會被“整盤拷貝”。

為遠程接入設備提供安全連接點，供在防火墻保護以外的設備遠程接入，智能終端等設備一般可采用專業安全廠商提供的定制化VPN技術。

同時虛擬化桌面和服務端的通訊可以通過SSL協議進行傳輸加密，確保整體傳輸過程中的安全性。

提高數據集中存儲的安全性　　桌面虛擬化技術中對集中存儲的保護是最重要的部分，一旦集中存儲遭到破壞，整個虛擬架構就會受到嚴重的影響。

在虛擬桌面的環境中，一般采用專業的加密設備進行加密存儲的方式，并且為了滿足合規規范的要求，加密算法應當可以由用戶指定。

同時，在數據管理上需要考慮三權分立的措施，即需要系統管理員、安全審核員和數據所有人同時確認才能夠允許信息的發送，這樣可以實現主動防泄密。

此外，還需要通過審計方式確保所有操作的可追溯性。

加強運維管理的安全性　　建立完善的管理員配置審計和用戶日志審計手段，使得管理員的行為和用戶的行為都有詳細的審計記錄，從而保證每個用戶的行為有據可查。

　　桌面虛擬化技術應支持兩類系統管理員的管理，一類是系統業務維護管理員，負責進行創建虛擬化桌面，附加和解除用戶關系，修改、注銷、查看虛擬桌面，桌面資源計算等工作。

另一類是系統日志管理員，負責對用戶和系統業務維護管理員使用桌面虛擬化系統的日志記錄的查看、審計等工作;　　要求兩類管理員嚴格獨立，系統業務維護管理員的任何操作均需產生日志，并由系統日志管理員統一管理。

提高系統運行的可靠性　　虛擬化桌面系統的穩定運行主要依靠服務器、存儲系統、業務網絡、系統軟件和虛擬桌面資源池的可靠性進行保障。

具體的可靠性保障包括：　　服務器和存儲系統均需具備電信級的可靠性。

　　通過網絡架構和路由協議，保證系統的網絡可靠性，包括：無單點故障、有豐富的路由、有相應安全技術保障等。

　　所有軟件系統均需采用負載均衡、主/備份等方式實現，單個部件故障對業務無影響。

　　虛擬桌面以資源池的方式進行管理，單個主機/部件發生故障時，在其上使用的用戶只需重新登錄，即可重新進行資源分配，實現用戶的遷移。

　　系統管理軟件運行在虛擬機上，并實現HA功能，虛擬機發生故障時可自動進行遷移。

　　當前虛擬化技術主要包括服務器虛擬化、應用虛擬化和桌面虛擬化等，其中桌面虛擬化技術是當前發展最快、最具應用前景的技術。

桌面虛擬化技術可以在數據中心集中應用軟件，從而簡化治理、充分利用硬件資源以及盡量減少軟件沖突等。

由于桌面在數據中心運行，因此管理員可以更輕松地對其進行部署、管理和維護。

用戶可以靈活訪問與普通桌面功能相同的虛擬桌面。

　　桌面虛擬化技術在帶來極大便利的同時，也悄然的引進了不安全性，作為用戶是極難去發現和了解。

因此,加強虛擬化桌面系統的安全保障措施的實施，提升虛擬化桌面系統的信息安全保障能力是政府部門、企事業單位的當務之急。