向左走—走傳統的桌面管理模式，向右走—邁向桌面虛擬化。向左還是向右？看過對比分析后來決定。

　　隨著移動云計算時代的到來，對“云+端”的安全管控已成為業(yè)界的熱點和重點。在終端安全方面，用戶所面臨的威脅同PC時代已不可同日而語：各種各樣的層出不窮的終端和操作系統，不斷推陳出新的安全威脅方式，迫使用戶要認識到自身面臨著哪些終端安全問題，需要采取什么樣的解決方案來應對。

　　在企業(yè)當前的IT系統中，各種類型的終端數量越來越多，終端管理也是越來越復雜。很多負責終端管理IT人員，一說起終端管理，眉頭必然會皺成一團。一方面，上有壓力，企業(yè)對終端的配置標準、補丁、外設等安全管理有嚴格的要求；另一方面，數量眾多，地理分散，機器運行狀態(tài)千奇百怪。難于管理，又不得不管理，因為終端也是IT業(yè)務系統中重要環(huán)節(jié)。簡單的說，每一次企業(yè)應用版本升級和變化，都有可能要求終端應用軟件的重新部署和升級。然而，終端一旦管理不善，將導致病毒、信息泄露等安全事件發(fā)生，終端又成為影響業(yè)務穩(wěn)定性的根源。

　　終端管理的理想模型應該將操作系統、應用軟件、系統設置、用戶數據進行控制或分離，并能保持用戶的體驗不變。同時能夠快速地進行應用分發(fā)，且嚴格限制用戶安裝任何應用程序，當系統崩潰時可以快速地系統和應用恢復。

　　由此，標準化的終端管理需要考慮三方面的因素：操作系統、應用軟件和用戶數據。

　　要素1：標準化的操作系統

　　能夠根據不同的機型，制作統一的標準化鏡像文件，快速部署；
　　進行統一的標準化的系統和安全配置；
　　自動化的殺毒和補丁升級管理。

　　要素2：受控的應用軟件管理

　　通過軟件服務器為用戶分發(fā)經驗證的合規(guī)應用軟件；
　　禁止用戶私自安裝任何受控的應用軟件；
　　監(jiān)測終端上應用軟件的使用情況。

　　要素3：用戶數據安全

　　備份終端用戶的關鍵數據，能夠快速恢復數據和系統；
　　能夠控制終端用戶的外設和網絡訪問；
　　當終端試圖泄露這些機密信息時予以阻斷。

　　因此企業(yè)終端管理方案及產品也基本上圍繞以上三個因素所展開。從目前的市場情況來看，終端管理軟件種類繁多，主要有桌面運維類、安全防護類、監(jiān)控審計類、文檔防泄密類、準入控制類、桌面虛擬化（VDI）等大類。各類軟件在終端管理上都有自己的特點，功能上也有很大區(qū)別。

　　從管理手段來看，可以把終端管理軟件分為傳統終端管理和桌面虛擬化（VDI）兩種模式，二者在管理模式和架構差異很大，因此，很多企業(yè)終端管理者也是難以取舍。

　　一、傳統終端管理模式

　　首先來看傳統桌面管理針對操作系統、應用軟件、數據安全幾個層面的管理方法：

　　第一個層面是標準化的操作系統，意味著操作系統安裝、升級、重裝、修復，批量分發(fā)補丁等自動化維護。任何一個企業(yè)都面臨這樣的問題，每臺PC均需要人工安裝操作系統并進行升級，但對于規(guī)模較大的企業(yè)來說這無疑使一件非常繁瑣的工作。盡管微軟以及第三方廠商也提出了許多的解決方案，例如：Windows 部署服務、微軟SCCM、Symentec Ghost、Acronis Trueimage Server等等，但各個方案都存在這一定的局限性，如只支持Windows以及對網絡等均有一定要求（必須是園區(qū)網，廣域網環(huán)境下無法遠程部署）。此外，還需要考慮病毒的感染或者系統的損壞，嚴重者還必須重新安裝系統。而企業(yè)統一的系統配置或者安全策略，最常見的辦法就是加入Windows AD域，通過AD域策略可以對終端桌面進行統一的配置管理。但是這種方式也面臨一個問題，終端用戶無法自動加入AD域甚至拒絕加入AD域，從而游離于企業(yè)標準化配置之外。而對于殺毒軟件和系統補丁的管理，雖然很多企業(yè)部署了企業(yè)版的殺毒軟件和補丁管理軟件實現企業(yè)終端的統一安全防護和升級，但也面臨一個問題就是，由于網絡因素、員工出差等原因，無法強制讓終端用戶的系統升級到指定的最新版本。當然，網絡準入控制（NAC）系統是一個很好的輔助手段。

　　第二個層面是受控的應用軟件管理。這個層面常常采用桌面管理類軟件來支持，如微軟的SMS、LANDesk以及Symantec Altiris等。桌面管理軟件能夠自動給指定的或全部終端計算機批量分發(fā)及安裝應用軟件包，保證終端計算機始終處于最佳工作狀態(tài)，大大減輕了管理員批量部署程序的負擔。但是這類桌面管理軟件的軟件分發(fā)也有一個問題，就是必須在終端計算機上安裝客戶端，一旦用戶沒有安裝或者卸載，這種軟件分發(fā)就毫無作用。在對應用軟件的控制上，企業(yè)常常采用“黑白名單”方式，并通過桌面管理軟件定期統計、匯總企業(yè)內部各種終端軟件的安裝、使用情況，產生統計報告。及時發(fā)現黑白軟件的安裝和使用情況，以便及時采取措施，一方面可以減少相應的法律風險，另一方面又可以減少安全隱患，提高系統安全。除了定期統計匯總的方式外，還可以與網絡準入控制系統相結合，一旦發(fā)現終端上的應用軟件為黑名單，可以通過自動網絡隔離下線方式終止其使用。

　　第三個層面是用戶數據的安全。不僅是防止終端數據的泄露，還要保障用戶數據的安全備份和還原。數據泄露防護是終端管理一個特殊領域，稱之為DLP（Data Leakage Prevention）。終端數據泄露的途徑有3點：外設、網絡、終端丟失。針對終端數據的泄露防護，各類終端管理或安全廠商也是絞盡腦汁，提供了各式各樣的手段，如文檔加密、外設控制、防內網外聯、郵件審計、網絡行為控制等等。相對于外設控制、內網外聯、網絡控制等單層面防護，文檔加密系統似乎是一個比較全面徹底的數據防泄漏手段，因為無論是外設泄漏還是網絡泄漏抑或終端丟失，只要文件全面加密，相應的企業(yè)核心數據就不會丟失。而在實際使用上，文檔加密系統的缺點也很明顯：不能針對所有文檔進行加密、無法脫離企業(yè)內網使用、加密服務器一旦崩潰，所有文檔無法正常打開。所以，DLP終端數據泄露領域發(fā)展了很多年，并沒有一個完美的解決方案可以解決用戶的實際問題。此外，對于用戶數據的安全備份和還原，也依賴于終端用戶通過U盤或移動硬盤進行備份，或者依賴于存儲備份軟件，如Symantec Backup Exec、HP DataProtection等進行終端數據的備份工作。但是這類軟件往往價格偏高，大規(guī)模部署成本較高。同時，新興的云網盤軟件跨平臺、價格低廉等特性也吸引了一大批用戶將其作為自己的數據備份手段。但云網盤上數據是否絕對的安全可靠，也是終端用戶心底揮之不去的疑問。

　　從以上三個層面分析傳統的桌面管理，可以清楚地發(fā)現，要想實現企業(yè)終端統一、安全、標準地管理，傳統桌面管理需要借助于大量的桌面管理或者安全、備份工具，企業(yè)終端管理者要從多方面入手才能解決企業(yè)終端的管理問題。

　　二、桌面虛擬化（VDI）模式

　　桌面虛擬化（VDI）與傳統終端管理架構上差異很大，桌面虛擬化將操作系統及應用程序統一存放在數據中心的服務器及存儲設備中，后臺建立虛擬機池，交付給不同用戶和不同終端統一可控的標準化操作系統。在桌面虛擬化解決方案里，管理是集中化的，IT 工程師通過控制中心管理成百上千的虛擬桌面，所有的更新、打補丁都只需要更新一個“基礎鏡像”就可以。管理維護也非常簡單，只需要根據企業(yè)部門的不同配置幾個基礎的鏡像，然后不同部門的員工可以分別連接到這些不同的基礎鏡像，要做任何修改，只需要在這幾個基礎鏡像上進行就可以了。重啟虛擬桌面，企業(yè)員工就可以看到所有的更新，這樣就大大節(jié)約了管理成本。

　　桌面虛擬化是基于虛擬化和云計算理念發(fā)展起來的終端管理方法，它完全顛覆了傳統意義上的終端管理概念；在某種意義上它剝離了計算機終端軟件與硬件之間的聯系，將系統和服務集中在服務器端，網絡管理人員不必再將維護的重點放在分散的個人終端上，只要維護和加固服務器端便可以實現全網絡終端便捷的維護和高安全。桌面虛擬化的基礎鏡像類似以往的物理機GHOST鏡像，管理員可以在基礎鏡像中安裝大眾化的應用程序，當需要對應用程序進行更新時，只需要更新系統模板，用戶即可以得到一個全新的桌面。對于一些非大眾化的應用程序或控件，管理員可以能過與桌面虛擬化結合的應用虛擬化產品進行虛擬化打包，并通過統一的管理控制臺進行虛擬應用的分發(fā)。用戶登錄虛擬桌面后，即可像使用直接安裝的應用一樣正常使用應用程序。當虛擬應用程序出現故障或損壞時，管理員或用戶可自助的完成應用程序的復位操作。

　　在數據安全性方面，由于所有計算、數據的存儲都是在云端，客戶端不保存用戶的數據，在終端和桌面虛擬化系統的OS通信時，網絡傳輸的僅僅是屏幕位圖的變化，并沒有實際用戶的數據傳遞到客戶端，所以不需要擔心服務器端傳遞過來的數據被竊取。此外，桌面虛擬化系統可以提供細粒度的訪問控制，管理員可以根據安全策略開放或者關閉接入終端的USB、打印機端口等。這些 USB 端口還可以分等級控制，保證連接在上面的掃描儀、智能卡等可以正常使用，但是大容量存儲盤被禁止使用，確保敏感數據不會通過 U 盤泄露出去，又保證了業(yè)務的正常進行。特別是接入終端采用瘦客戶機的情況下，瘦客戶機沒有硬盤，也不需要擔心別有用心的用戶把敏感數據復制到本地硬盤再通過其他路徑竊取出去，從而保證企業(yè)數據的真正安全。桌面虛擬化系統的數據備份，可以將各種桌面的、服務器端的所有相關的數據集中起來，實施統一的數據保護、備份、恢復，不僅如此，數據可以被統一的加密、去重和內容感知，既降低存儲的空間，也可以更好的保護數據，支持企業(yè)的內部控制和審計。

　　可以看出桌面虛擬化管理系統完全不同于傳統的終端管理軟件，集中化和虛擬化的特點不僅僅會大大增強內部系統及網絡的安全性，同時也因此減少了網絡運維的復雜程度和運維成本。但是，目前其綜合成本相對于傳統桌面管理仍較高，且對網絡帶寬有了更高的要求，在廣域網、終端高性能計算等場景還不是太適用。

　　三、結束語

　　通過對傳統桌面管理和桌面虛擬化（VDI）的分析對比，對于終端管理模式，到底是向左走還是向右走，需要每個企業(yè)IT管理者根據自己的應用場景和預算來綜合判斷。從目前市場上看，很多企業(yè)已經采購了傳統終端管理類軟件，考慮到成本因素，一般會額外采購文檔加密、網絡準入控制系統等等產品來加固企業(yè)終端安全管理。而對于終端管理比較復雜的場景（如學校機房、培訓教室等），或終端比較分散、應用單一的場景（如分支機構或營業(yè)廳等），則開始逐步采用桌面虛擬化模式來統一管理，另外還有很多企業(yè)考慮到信息安全等因素，也在逐步通過桌面虛擬化方案替代傳統終端管理模式。