向左走—走傳統(tǒng)的桌面管理模式，向右走—邁向桌面虛擬化。向左還是向右？看過對比分析后來決定。

　　隨著移動云計算時代的到來，對“云+端”的安全管控已成為業(yè)界的熱點和重點。在終端安全方面，用戶所面臨的威脅同PC時代已不可同日而語：各種各樣的層出不窮的終端和操作系統(tǒng)，不斷推陳出新的安全威脅方式，迫使用戶要認識到自身面臨著哪些終端安全問題，需要采取什么樣的解決方案來應對。

　　在企業(yè)當前的IT系統(tǒng)中，各種類型的終端數(shù)量越來越多，終端管理也是越來越復雜。很多負責終端管理IT人員，一說起終端管理，眉頭必然會皺成一團。一方面，上有壓力，企業(yè)對終端的配置標準、補丁、外設等安全管理有嚴格的要求；另一方面，數(shù)量眾多，地理分散，機器運行狀態(tài)千奇百怪。難于管理，又不得不管理，因為終端也是IT業(yè)務系統(tǒng)中重要環(huán)節(jié)。簡單的說，每一次企業(yè)應用版本升級和變化，都有可能要求終端應用軟件的重新部署和升級。然而，終端一旦管理不善，將導致病毒、信息泄露等安全事件發(fā)生，終端又成為影響業(yè)務穩(wěn)定性的根源。

　　終端管理的理想模型應該將操作系統(tǒng)、應用軟件、系統(tǒng)設置、用戶數(shù)據(jù)進行控制或分離，并能保持用戶的體驗不變。同時能夠快速地進行應用分發(fā)，且嚴格限制用戶安裝任何應用程序，當系統(tǒng)崩潰時可以快速地系統(tǒng)和應用恢復。

　　由此，標準化的終端管理需要考慮三方面的因素：操作系統(tǒng)、應用軟件和用戶數(shù)據(jù)。

　　要素1：標準化的操作系統(tǒng)

　　能夠根據(jù)不同的機型，制作統(tǒng)一的標準化鏡像文件，快速部署；
　　進行統(tǒng)一的標準化的系統(tǒng)和安全配置；
　　自動化的殺毒和補丁升級管理。

　　要素2：受控的應用軟件管理

　　通過軟件服務器為用戶分發(fā)經(jīng)驗證的合規(guī)應用軟件；
　　禁止用戶私自安裝任何受控的應用軟件；
　　監(jiān)測終端上應用軟件的使用情況。

　　要素3：用戶數(shù)據(jù)安全

　　備份終端用戶的關鍵數(shù)據(jù)，能夠快速恢復數(shù)據(jù)和系統(tǒng)；
　　能夠控制終端用戶的外設和網(wǎng)絡訪問；
　　當終端試圖泄露這些機密信息時予以阻斷。

　　因此企業(yè)終端管理方案及產(chǎn)品也基本上圍繞以上三個因素所展開。從目前的市場情況來看，終端管理軟件種類繁多，主要有桌面運維類、安全防護類、監(jiān)控審計類、文檔防泄密類、準入控制類、桌面虛擬化（VDI）等大類。各類軟件在終端管理上都有自己的特點，功能上也有很大區(qū)別。

　　從管理手段來看，可以把終端管理軟件分為傳統(tǒng)終端管理和桌面虛擬化（VDI）兩種模式，二者在管理模式和架構(gòu)差異很大，因此，很多企業(yè)終端管理者也是難以取舍。

　　一、傳統(tǒng)終端管理模式

　　首先來看傳統(tǒng)桌面管理針對操作系統(tǒng)、應用軟件、數(shù)據(jù)安全幾個層面的管理方法：

　　第一個層面是標準化的操作系統(tǒng)，意味著操作系統(tǒng)安裝、升級、重裝、修復，批量分發(fā)補丁等自動化維護。任何一個企業(yè)都面臨這樣的問題，每臺PC均需要人工安裝操作系統(tǒng)并進行升級，但對于規(guī)模較大的企業(yè)來說這無疑使一件非常繁瑣的工作。盡管微軟以及第三方廠商也提出了許多的解決方案，例如：Windows 部署服務、微軟SCCM、Symentec Ghost、Acronis Trueimage Server等等，但各個方案都存在這一定的局限性，如只支持Windows以及對網(wǎng)絡等均有一定要求（必須是園區(qū)網(wǎng)，廣域網(wǎng)環(huán)境下無法遠程部署）。此外，還需要考慮病毒的感染或者系統(tǒng)的損壞，嚴重者還必須重新安裝系統(tǒng)。而企業(yè)統(tǒng)一的系統(tǒng)配置或者安全策略，最常見的辦法就是加入Windows AD域，通過AD域策略可以對終端桌面進行統(tǒng)一的配置管理。但是這種方式也面臨一個問題，終端用戶無法自動加入AD域甚至拒絕加入AD域，從而游離于企業(yè)標準化配置之外。而對于殺毒軟件和系統(tǒng)補丁的管理，雖然很多企業(yè)部署了企業(yè)版的殺毒軟件和補丁管理軟件實現(xiàn)企業(yè)終端的統(tǒng)一安全防護和升級，但也面臨一個問題就是，由于網(wǎng)絡因素、員工出差等原因，無法強制讓終端用戶的系統(tǒng)升級到指定的最新版本。當然，網(wǎng)絡準入控制（NAC）系統(tǒng)是一個很好的輔助手段。

　　第二個層面是受控的應用軟件管理。這個層面常常采用桌面管理類軟件來支持，如微軟的SMS、LANDesk以及Symantec Altiris等。桌面管理軟件能夠自動給指定的或全部終端計算機批量分發(fā)及安裝應用軟件包，保證終端計算機始終處于最佳工作狀態(tài)，大大減輕了管理員批量部署程序的負擔。但是這類桌面管理軟件的軟件分發(fā)也有一個問題，就是必須在終端計算機上安裝客戶端，一旦用戶沒有安裝或者卸載，這種軟件分發(fā)就毫無作用。在對應用軟件的控制上，企業(yè)常常采用“黑白名單”方式，并通過桌面管理軟件定期統(tǒng)計、匯總企業(yè)內(nèi)部各種終端軟件的安裝、使用情況，產(chǎn)生統(tǒng)計報告。及時發(fā)現(xiàn)黑白軟件的安裝和使用情況，以便及時采取措施，一方面可以減少相應的法律風險，另一方面又可以減少安全隱患，提高系統(tǒng)安全。除了定期統(tǒng)計匯總的方式外，還可以與網(wǎng)絡準入控制系統(tǒng)相結(jié)合，一旦發(fā)現(xiàn)終端上的應用軟件為黑名單，可以通過自動網(wǎng)絡隔離下線方式終止其使用。

　　第三個層面是用戶數(shù)據(jù)的安全。不僅是防止終端數(shù)據(jù)的泄露，還要保障用戶數(shù)據(jù)的安全備份和還原。數(shù)據(jù)泄露防護是終端管理一個特殊領域，稱之為DLP（Data Leakage Prevention）。終端數(shù)據(jù)泄露的途徑有3點：外設、網(wǎng)絡、終端丟失。針對終端數(shù)據(jù)的泄露防護，各類終端管理或安全廠商也是絞盡腦汁，提供了各式各樣的手段，如文檔加密、外設控制、防內(nèi)網(wǎng)外聯(lián)、郵件審計、網(wǎng)絡行為控制等等。相對于外設控制、內(nèi)網(wǎng)外聯(lián)、網(wǎng)絡控制等單層面防護，文檔加密系統(tǒng)似乎是一個比較全面徹底的數(shù)據(jù)防泄漏手段，因為無論是外設泄漏還是網(wǎng)絡泄漏抑或終端丟失，只要文件全面加密，相應的企業(yè)核心數(shù)據(jù)就不會丟失。而在實際使用上，文檔加密系統(tǒng)的缺點也很明顯：不能針對所有文檔進行加密、無法脫離企業(yè)內(nèi)網(wǎng)使用、加密服務器一旦崩潰，所有文檔無法正常打開。所以，DLP終端數(shù)據(jù)泄露領域發(fā)展了很多年，并沒有一個完美的解決方案可以解決用戶的實際問題。此外，對于用戶數(shù)據(jù)的安全備份和還原，也依賴于終端用戶通過U盤或移動硬盤進行備份，或者依賴于存儲備份軟件，如Symantec Backup Exec、HP DataProtection等進行終端數(shù)據(jù)的備份工作。但是這類軟件往往價格偏高，大規(guī)模部署成本較高。同時，新興的云網(wǎng)盤軟件跨平臺、價格低廉等特性也吸引了一大批用戶將其作為自己的數(shù)據(jù)備份手段。但云網(wǎng)盤上數(shù)據(jù)是否絕對的安全可靠，也是終端用戶心底揮之不去的疑問。

　　從以上三個層面分析傳統(tǒng)的桌面管理，可以清楚地發(fā)現(xiàn)，要想實現(xiàn)企業(yè)終端統(tǒng)一、安全、標準地管理，傳統(tǒng)桌面管理需要借助于大量的桌面管理或者安全、備份工具，企業(yè)終端管理者要從多方面入手才能解決企業(yè)終端的管理問題。

　　二、桌面虛擬化（VDI）模式

　　桌面虛擬化（VDI）與傳統(tǒng)終端管理架構(gòu)上差異很大，桌面虛擬化將操作系統(tǒng)及應用程序統(tǒng)一存放在數(shù)據(jù)中心的服務器及存儲設備中，后臺建立虛擬機池，交付給不同用戶和不同終端統(tǒng)一可控的標準化操作系統(tǒng)。在桌面虛擬化解決方案里，管理是集中化的，IT 工程師通過控制中心管理成百上千的虛擬桌面，所有的更新、打補丁都只需要更新一個“基礎鏡像”就可以。管理維護也非常簡單，只需要根據(jù)企業(yè)部門的不同配置幾個基礎的鏡像，然后不同部門的員工可以分別連接到這些不同的基礎鏡像，要做任何修改，只需要在這幾個基礎鏡像上進行就可以了。重啟虛擬桌面，企業(yè)員工就可以看到所有的更新，這樣就大大節(jié)約了管理成本。

　　桌面虛擬化是基于虛擬化和云計算理念發(fā)展起來的終端管理方法，它完全顛覆了傳統(tǒng)意義上的終端管理概念；在某種意義上它剝離了計算機終端軟件與硬件之間的聯(lián)系，將系統(tǒng)和服務集中在服務器端，網(wǎng)絡管理人員不必再將維護的重點放在分散的個人終端上，只要維護和加固服務器端便可以實現(xiàn)全網(wǎng)絡終端便捷的維護和高安全。桌面虛擬化的基礎鏡像類似以往的物理機GHOST鏡像，管理員可以在基礎鏡像中安裝大眾化的應用程序，當需要對應用程序進行更新時，只需要更新系統(tǒng)模板，用戶即可以得到一個全新的桌面。對于一些非大眾化的應用程序或控件，管理員可以能過與桌面虛擬化結(jié)合的應用虛擬化產(chǎn)品進行虛擬化打包，并通過統(tǒng)一的管理控制臺進行虛擬應用的分發(fā)。用戶登錄虛擬桌面后，即可像使用直接安裝的應用一樣正常使用應用程序。當虛擬應用程序出現(xiàn)故障或損壞時，管理員或用戶可自助的完成應用程序的復位操作。

　　在數(shù)據(jù)安全性方面，由于所有計算、數(shù)據(jù)的存儲都是在云端，客戶端不保存用戶的數(shù)據(jù)，在終端和桌面虛擬化系統(tǒng)的OS通信時，網(wǎng)絡傳輸?shù)膬H僅是屏幕位圖的變化，并沒有實際用戶的數(shù)據(jù)傳遞到客戶端，所以不需要擔心服務器端傳遞過來的數(shù)據(jù)被竊取。此外，桌面虛擬化系統(tǒng)可以提供細粒度的訪問控制，管理員可以根據(jù)安全策略開放或者關閉接入終端的USB、打印機端口等。這些 USB 端口還可以分等級控制，保證連接在上面的掃描儀、智能卡等可以正常使用，但是大容量存儲盤被禁止使用，確保敏感數(shù)據(jù)不會通過 U 盤泄露出去，又保證了業(yè)務的正常進行。特別是接入終端采用瘦客戶機的情況下，瘦客戶機沒有硬盤，也不需要擔心別有用心的用戶把敏感數(shù)據(jù)復制到本地硬盤再通過其他路徑竊取出去，從而保證企業(yè)數(shù)據(jù)的真正安全。桌面虛擬化系統(tǒng)的數(shù)據(jù)備份，可以將各種桌面的、服務器端的所有相關的數(shù)據(jù)集中起來，實施統(tǒng)一的數(shù)據(jù)保護、備份、恢復，不僅如此，數(shù)據(jù)可以被統(tǒng)一的加密、去重和內(nèi)容感知，既降低存儲的空間，也可以更好的保護數(shù)據(jù)，支持企業(yè)的內(nèi)部控制和審計。

　　可以看出桌面虛擬化管理系統(tǒng)完全不同于傳統(tǒng)的終端管理軟件，集中化和虛擬化的特點不僅僅會大大增強內(nèi)部系統(tǒng)及網(wǎng)絡的安全性，同時也因此減少了網(wǎng)絡運維的復雜程度和運維成本。但是，目前其綜合成本相對于傳統(tǒng)桌面管理仍較高，且對網(wǎng)絡帶寬有了更高的要求，在廣域網(wǎng)、終端高性能計算等場景還不是太適用。

　　三、結(jié)束語

　　通過對傳統(tǒng)桌面管理和桌面虛擬化（VDI）的分析對比，對于終端管理模式，到底是向左走還是向右走，需要每個企業(yè)IT管理者根據(jù)自己的應用場景和預算來綜合判斷。從目前市場上看，很多企業(yè)已經(jīng)采購了傳統(tǒng)終端管理類軟件，考慮到成本因素，一般會額外采購文檔加密、網(wǎng)絡準入控制系統(tǒng)等等產(chǎn)品來加固企業(yè)終端安全管理。而對于終端管理比較復雜的場景（如學校機房、培訓教室等），或終端比較分散、應用單一的場景（如分支機構(gòu)或營業(yè)廳等），則開始逐步采用桌面虛擬化模式來統(tǒng)一管理，另外還有很多企業(yè)考慮到信息安全等因素，也在逐步通過桌面虛擬化方案替代傳統(tǒng)終端管理模式。