數據泄露防護（Data leakage prevention, DLP），又稱為“數據丟失防護”（Data Loss prevention, DLP）是指通過IT技術方式，防止企業指定的數據信息的非法被策略規定以外的第三方獲取。目前Symantec、Macafee等國際企業，以及中軟、伊時代、圣博潤等國內廠商都有相應的數據防泄密產品方案。

同時，根據諸多IT調研機構的報告顯示，該市場在2010年至2020年將保持20%以上高速增長。然而隨著桌面虛擬化技術（VDI）興起，不少人會認為通過桌面虛擬化將終端用戶的信息整合在后端進行統一管理，就可以達到數據防泄密的效果。殊不知在虛擬桌面的整體系統角度來看，客戶端、傳輸網絡、服務器端、存儲端等各個方面，都會產生安全風險。忽略任何一個細節都會導致整個系統的信息漏洞。

客戶端：在虛擬桌面的應用環境中，只要有訪問權限，任何智能終端都可以訪問云端的桌面環境，即許多虛擬桌面供應商宣稱的隨時隨地的系統訪問。但是如果訪問權限不可靠怎么辦？如果使用單純的用戶名密碼作為身份認證，那么其泄露就意味著對方可以在任何位置訪問你的桌面系統，并獲取相關數據。傳統的桌面可以采用物理隔離的方式，其他人無法進安全控制區域竊取資料；而在虛擬桌面環境下，這種安全保障就不復存在了。

這就要求有更加嚴格的終端身份認證機制。好比原來辦理銀行業務都需要本人攜身份證去銀行，要“偷”別人賬戶中的錢首先就過不了身份認證這一關。現在有網銀了，如果仍然還是卡號加密碼的方式，那儲戶賬戶中的資金就太不安全了。此外，通過MAC地址對于允許訪問云端的客戶端進行一個范圍限定也是不錯的辦法。雖然犧牲了一定靈活性，比如終端用戶從網吧等公共設備上無法訪問云端，但這種方式可以大幅提升客戶端的可控性。

傳輸網絡：絕大部分企業級用戶都會為遠程接入設備提供安全連接點，供在防火墻保護以外的設備遠程接入，但是并非所有的智能終端都支持相應的VPN技術。智能手機等設備一般可采用專業安全廠商提供的定制化VPN方案。企業內部的終端和云端的通訊可以通過SSL協議進行傳輸加密，確保整體傳輸過程中的安全性。

而對于采用公有云服務的小型企業和個人用戶，云服務商會提供相應的傳輸加密途徑，而云服務商一般也會將這一選項算作增值服務，計入最終用戶的租賃成本中。

服務器端：在虛擬桌面的整體方案架構中，后臺服務器端架構通常會采用橫向擴展的方式。這樣一方面通過增強冗余提升了系統的高可用性；另一方面可以根據用戶數量逐步增加計算能力。在大并發的使用環境下，系統前端會使用負載均衡器，將用戶的連接請求發送給當前仍有剩余計算能力的服務器處理。

這種架構很容易遭到分布式拒絕攻擊，因此需要在前端的負載均衡器上配置安全控制組件，或者在防火墻的后端設置安全網關進行身份鑒定授權。

存儲端：采用虛擬桌面方案之后，所有的信息都會存儲在后臺的磁盤陣列中，為了滿足文件系統的訪問需要，一般會采用NAS架構的存儲系統。這種方式的優勢在于企業只需要考慮保護后端磁盤陣列的信息防泄漏，原本前端客戶端可能引起的主動式的信息泄密幾率大為減少。但是，如果系統管理員，或者是具有管理員權限的非法用戶想要獲取信息的話，這種集中式的信息存儲方式正中其下懷。

如果使用普通的文件系統機制，系統管理員作為超級用戶具有打開所有用戶目錄，獲取數據的權限。這意味著所有客戶端的信息都會被十分簡便地獲取、檢索、修改。這種威脅有時也會成為阻礙虛擬桌面為前端用戶所接受的原因之一。

在虛擬桌面的環境中，一般采用專業的加密設備進行加密存儲的方式，并且為了滿足合規規范的要求，加密算法應當可以有前端用戶指定。同時，在數據管理上需要考慮三權分立的措施，及需要系統管理員、數據外發審核員和數據所有人同時確認也能夠允許信息的發送。這樣可以實現主動防泄密。此外，還需要通過審計方式確保所有操作的可追溯性。