終端雲安全問題

　　數據洩露防護（Data leakage prevention， DLP），又稱為“數據丟失防護”（Data Loss prevention， DLP）是指通過IT技術方式，防止企業指定的數據信息的非法被策略規定以外的第三方獲取。目前Symantec、Macafee等國際企業，以及中軟、 伊時代、聖博潤等國內廠商都有相應的數據防洩密產品方案。

　　同時，根據諸多IT調研機構的報告顯示，該市場在2010年至2020年將保持20%以上高速增長。然而隨著桌面虛擬化技術（VDI）興起，不 少人會認為通過桌面虛擬化將終端用戶的信息整合在後端進行統一管理，就可以達到數據防洩密的效果。殊不知在虛擬桌面的整體系統角度來看，客戶端、傳輸網 絡、服務器端、存儲端等各個方面，都會產生安全風險。忽略任何一個細節都會導致整個系統的信息漏洞。

　　客戶端：在虛擬桌面的應用環境中，只要有訪問權限，任何智能終端都可以訪問雲端的桌面環境，即許多虛擬桌面供應商宣稱的隨時隨地的系統訪問。但 是如果訪問權限不可靠怎麼辦？如果使用單純的用戶名密碼作為身份認證，那麼其洩露就意味著對方可以在任何位置訪問你的桌面系統，並獲取相關數據。傳統的桌 面可以采用物理隔離的方式，其他人無法進安全控制區域竊取資料；而在虛擬桌面環境下，這種安全保障就不復存在了。

　　這就要求有更加嚴格的終端身份認證機制。好比原來辦理銀行業務都需要本人攜身份證去銀行，要“偷”別人賬戶中的錢首先就過不了身份認證這一關。 現在有網銀了，如果仍然還是卡號加密碼的方式，那儲戶賬戶中的資金就太不安全了。此外，通過MAC地址對於允許訪問雲端的客戶端進行一個范圍限定也是不錯 的辦法。雖然犧牲了一定靈活性，比如終端用戶從網吧等公共設備上無法訪問雲端，但這種方式可以大幅提升客戶端的可控性。

　　傳輸網絡：絕大部分企業級用戶都會為遠程接入設備提供安全連接點，供在防火牆保護以外的設備遠程接入，但是並非所有的智能終端都支持相應的VPN技術。智能手機等設備一般可采用專業安全廠商提供的定制化VPN方案。企業內部的終端和雲端的通訊可以通過SSL協議進行傳輸加密，確保整體傳輸過程中的安全性。

　　而對於采用公有雲服務的小型企業和個人用戶，雲服務商會提供相應的傳輸加密途徑，而雲服務商一般也會將這一選項算作增值服務，計入最終用戶的租賃成本中。

　　服務器端： 在虛擬桌面的整體方案架構中，後台服務器端架構通常會采用橫向擴展的方式。這樣一方面通過增強冗余提升了系統的高可用性；另一方面可以根據用戶數量逐步增 加計算能力。在大並發的使用環境下，系統前端會使用負載均衡器，將用戶的連接請求發送給當前仍有剩余計算能力的服務器處理。