隨著桌面虛擬化技術(VDI)興起，人們通常認為通過桌面虛擬化將終端用戶的信息整合在后端進行統(tǒng)一管理，就可以達到數(shù)據(jù)防泄密的效果。然而從虛擬桌面的整體系統(tǒng)角度來看，客戶端、傳輸網(wǎng)絡、服務器端、訪問控制等各個環(huán)節(jié)，忽略任何一個細節(jié)都會產(chǎn)生信息漏洞。本文將以方物軟件自主研發(fā)的虛擬桌面交付平臺(FDP)為主線解析桌面安全的若干方面。

客戶端:在虛擬桌面的應用環(huán)境中，只要有訪問權限，任何智能終端都可以訪問云端的桌面環(huán)境，即許多虛擬桌面供應商宣稱的隨時隨地的系統(tǒng)訪問。如果使用單純的用戶名密碼作為身份認證，那么一旦泄露就意味著對方可以在任何位置訪問你的桌面系統(tǒng)，并獲取相關數(shù)據(jù)。

這就要求有更加嚴格的終端身份認證機制。方物虛擬桌面系統(tǒng)采用了多因子交叉認證方式確定用戶身份(包括桌面虛擬化客戶端認證、操作系統(tǒng)認證、AD域認證、電子令牌等多種方式)，此外，F(xiàn)DP還支持域控智能卡模式進行身份認證，并且可以實現(xiàn)用戶名與計算機綁定。雖然犧牲了一定靈活性，比如終端用戶從網(wǎng)吧等公共設備上無法訪問云端，但這種方式可以大幅提升客戶端的可控性。

另一方面，用戶的應用程序通過方物FVA(應用虛擬化套件)集中發(fā)布，細分權限控制，即使有非法用戶登陸到桌面，想要訪問應用和業(yè)務數(shù)據(jù)仍然需要獨立認證才能獲得權限，大大提高了虛擬桌面的終端安全性。

網(wǎng)絡傳輸：VDI方式在客戶端與服務器之間本身沒有數(shù)據(jù)傳輸，通過FAP協(xié)議僅傳輸操作指令和屏幕變化信息，用戶并不用擔心，在網(wǎng)絡傳輸過程中有人截獲數(shù)據(jù)，但是從安全角度出發(fā)，雖然不能截獲數(shù)據(jù)但是仍會存在鏈路風險，因此方物FAP協(xié)議采用了傳輸效率高，安全性能好的SSL方式進行網(wǎng)絡傳輸，解決了網(wǎng)絡傳輸?shù)陌踩珕栴}。

服務器端：在虛擬桌面的整體方案架構中，后臺服務器端架構通常會采用橫向擴展的方式。這樣一方面通過增強冗余提升了系統(tǒng)的高可用性;另一方面可以根據(jù)用戶數(shù)量逐步增加計算能力。在大并發(fā)的使用環(huán)境下，系統(tǒng)前端會使用集群調度程序，將用戶的連接請求發(fā)送給當前仍有剩余計算能力的服務器處理。

訪問控制:FDP提供了多種資源訪問控制策略，管理員可以基于時間、IP、應用類型、外設類型、桌面類型等多重維度對用戶的訪問權限進行控制，大大細化了管理策略的精細程度，增強了訪問控制管理的強度，保證用戶核心數(shù)據(jù)的安全。

綜述：桌面虛擬化給用戶帶來便捷與實惠的同時，也給IT管理帶來了新的挑戰(zhàn)。方物軟件在系統(tǒng)設計伊始就充分的考慮到了安全性，在虛擬桌面的各個環(huán)節(jié)層層防護，縝密設計為用戶提供了盡可能安全可靠的桌面環(huán)境。