虚拟化和云计算的迅速崛起使海量数据涌入数据中心，虚拟化应用也越来越广泛，桌面虚拟化以其增率节能、灵活办公的特性受到企业和员工追捧。用户可以通过任何设备，在任何地点，任何时间访问在网络上的属于个人的桌面系统，在这个过程中保证安全性和稳定性成为关注焦点。

虚拟桌面泄密危机四伏

虚拟桌面终端连接着含有企业所有敏感信息的数据中心，如果没有合理的对终端桌面进行安全管控，非常容易发生泄密事件。在实际工作中存在诸多问题：

安全性保障差：敏感数据的关键业务系统和互联网交互流通，数据在办公终端落地后极易泄露，或者通过上网出口外发引起泄漏的风险；

易用性差：有些企业已经应用云桌面工作模式，基于敏感文件安全管控的需要，真实桌面只能上传文件到虚拟桌面服务器，不能下载文件到真实桌面。但用户的实际业务流程中需要从虚拟桌面中导出数据到真实桌面，下载的数据不能进行安全管控，易用性很差；

兼容性问题：企业安全建设完善的另一个弊端就是不能形成整体方案，相互之间不兼容，易出现宕机等现象；

维护成本高：为防止内部数据外泄，很多企业采用专机专用方式，包括建设、管理和维护在内的IT成本费用高。

桌面虚拟化的数据安全对策

由上文可以看出，桌面虚拟化实施完成后应该做相应的安全优化，这些优化具体转化为几个落实点：访问控制，审计和日志，传输通道加密、存储加密和保护等。从以下四个方面阐述：

(1) 建立访问控制体系：需要在虚拟机内和虚拟机外建立完善的权限和访问控制体系，保证每个虚拟机的权限和能力，应该独立与虚拟机之外具有程序控制列表，使得每台虚拟桌面可以访问不同的应用程序，可以获得不同的虚拟桌面。
(2) 配置的审计和日志审计：建立完善的管理员配置审计和用户日志审计体系，使得管理员的行为和用户的行为都有详细的审计记录，从而保证每个用户的行为有据可查。
(3) 传输通道加密：可以通过硬件建立虚拟桌面的加密传输通道，保证系统在迁移的过程中不会被“整盘拷贝”，否则就和采用虚拟桌面的初衷背道而驰。
(4) 虚拟存储的保护：虚拟桌面服务器的保护是最重要的部分，一旦虚拟桌面服务器遭到破坏，整个虚拟架构就会破损，可以采用多种方法进行虚拟桌面服务器的保护。

明朝万达虚拟桌面安全解决之道

北京明朝万达数据安全专家表示：“在虚拟桌面的环境中，最核心保护数据的方式就是加密存储，加密算法采用国密，满足合规规范的要求。同时，在数据管理上需要考虑三权分立的措施，及需要系统管理员、数据外发审核员和数据所有人同时确认也能够允许信息的发送，或根据实际需求多权管理设置，这样可以实现主动防泄密。此外，还需要通过审计方式确保所有操作的可追溯性。”

明朝万达自主研发的Chinasec(安元)数据安全管理平台–虚拟安全桌面系统基于国产密码数据加密技术，对安全桌面与本地真实桌面的网络、外设、数据等进行隔离，实现数据安全管控，在不影响用户办公操作，提供高可用性、扩展性强的终端安全桌面建设方案。

· 通过桌面虚拟镜像数据加密功能，解决云端数据集中存储带来的管理员优先访问权与虚拟机逃逸带来的隐患，防止桌面云使用者的私有数据泄密。
· 结合PKI技术的双因子云终端身份认证，避免云终端身份冒认使用风险，提升远程使用云终端的安全性。
· 以云终端为识别依据的安全域划分，取缔传统PC终端依赖物理端口划分虚拟安全域的机制，符合云终端跨区域使用的特性，加强云终端之间数据传输安全管控。
· 数据动态边界自动加密功能实现云中部门间数据可控交互，防止云终端数据通过邮件、网页或即时通讯工具等造成的泄密。

明朝万达的虚拟桌面数据安全方案在中国人寿保险（集团）公司得到了有效印证。为了配合自身信息化建设规划，中国人寿早已展开云桌面工作模式，实现对敏感数据的管控，但是在云计算IT建设过程中遇到了一些需要解决的问题：虚拟桌面中的数据下载到本地桌面的过程中如何进行安全管控；如何确保数据流程过程中的安全审计。明朝万达经过对中国人寿IT现状的深度调研，紧密结合其数据风险现状，解决中国人寿虚拟安全桌面数据安全问题，保证了云桌面项目的顺利推广。目前该技术已经在中信银行、邮储银行、国家开发银行等多家金融企业应用，帮助用户减少数据泄露风险，提高管理效率，助力用户打造安全可信的灵活办公环境。