向左走—走傳統(tǒng)的桌面管理模式，向右走—邁向桌面虛擬化。向左還是向右？看過對(duì)比分析后來決定。

　　隨著移動(dòng)云計(jì)算時(shí)代的到來，對(duì)“云+端”的安全管控已成為業(yè)界的熱點(diǎn)和重點(diǎn)。在終端安全方面，用戶所面臨的威脅同PC時(shí)代已不可同日而語：各種各樣的層出不窮的終端和操作系統(tǒng)，不斷推陳出新的安全威脅方式，迫使用戶要認(rèn)識(shí)到自身面臨著哪些終端安全問題，需要采取什么樣的解決方案來應(yīng)對(duì)。

　　在企業(yè)當(dāng)前的IT系統(tǒng)中，各種類型的終端數(shù)量越來越多，終端管理也是越來越復(fù)雜。很多負(fù)責(zé)終端管理IT人員，一說起終端管理，眉頭必然會(huì)皺成一團(tuán)。一方面，上有壓力，企業(yè)對(duì)終端的配置標(biāo)準(zhǔn)、補(bǔ)丁、外設(shè)等安全管理有嚴(yán)格的要求；另一方面，數(shù)量眾多，地理分散，機(jī)器運(yùn)行狀態(tài)千奇百怪。難于管理，又不得不管理，因?yàn)榻K端也是IT業(yè)務(wù)系統(tǒng)中重要環(huán)節(jié)。簡(jiǎn)單的說，每一次企業(yè)應(yīng)用版本升級(jí)和變化，都有可能要求終端應(yīng)用軟件的重新部署和升級(jí)。然而，終端一旦管理不善，將導(dǎo)致病毒、信息泄露等安全事件發(fā)生，終端又成為影響業(yè)務(wù)穩(wěn)定性的根源。

　　終端管理的理想模型應(yīng)該將操作系統(tǒng)、應(yīng)用軟件、系統(tǒng)設(shè)置、用戶數(shù)據(jù)進(jìn)行控制或分離，并能保持用戶的體驗(yàn)不變。同時(shí)能夠快速地進(jìn)行應(yīng)用分發(fā)，且嚴(yán)格限制用戶安裝任何應(yīng)用程序，當(dāng)系統(tǒng)崩潰時(shí)可以快速地系統(tǒng)和應(yīng)用恢復(fù)。

　　由此，標(biāo)準(zhǔn)化的終端管理需要考慮三方面的因素：操作系統(tǒng)、應(yīng)用軟件和用戶數(shù)據(jù)。

　　要素1：標(biāo)準(zhǔn)化的操作系統(tǒng)

　　能夠根據(jù)不同的機(jī)型，制作統(tǒng)一的標(biāo)準(zhǔn)化鏡像文件，快速部署；
　　進(jìn)行統(tǒng)一的標(biāo)準(zhǔn)化的系統(tǒng)和安全配置；
　　自動(dòng)化的殺毒和補(bǔ)丁升級(jí)管理。

　　要素2：受控的應(yīng)用軟件管理

　　通過軟件服務(wù)器為用戶分發(fā)經(jīng)驗(yàn)證的合規(guī)應(yīng)用軟件；
　　禁止用戶私自安裝任何受控的應(yīng)用軟件；
　　監(jiān)測(cè)終端上應(yīng)用軟件的使用情況。

　　要素3：用戶數(shù)據(jù)安全

　　備份終端用戶的關(guān)鍵數(shù)據(jù)，能夠快速恢復(fù)數(shù)據(jù)和系統(tǒng)；
　　能夠控制終端用戶的外設(shè)和網(wǎng)絡(luò)訪問；
　　當(dāng)終端試圖泄露這些機(jī)密信息時(shí)予以阻斷。

　　因此企業(yè)終端管理方案及產(chǎn)品也基本上圍繞以上三個(gè)因素所展開。從目前的市場(chǎng)情況來看，終端管理軟件種類繁多，主要有桌面運(yùn)維類、安全防護(hù)類、監(jiān)控審計(jì)類、文檔防泄密類、準(zhǔn)入控制類、桌面虛擬化（VDI）等大類。各類軟件在終端管理上都有自己的特點(diǎn)，功能上也有很大區(qū)別。

　　從管理手段來看，可以把終端管理軟件分為傳統(tǒng)終端管理和桌面虛擬化（VDI）兩種模式，二者在管理模式和架構(gòu)差異很大，因此，很多企業(yè)終端管理者也是難以取舍。

　　一、傳統(tǒng)終端管理模式

　　首先來看傳統(tǒng)桌面管理針對(duì)操作系統(tǒng)、應(yīng)用軟件、數(shù)據(jù)安全幾個(gè)層面的管理方法：

　　第一個(gè)層面是標(biāo)準(zhǔn)化的操作系統(tǒng)，意味著操作系統(tǒng)安裝、升級(jí)、重裝、修復(fù)，批量分發(fā)補(bǔ)丁等自動(dòng)化維護(hù)。任何一個(gè)企業(yè)都面臨這樣的問題，每臺(tái)PC均需要人工安裝操作系統(tǒng)并進(jìn)行升級(jí)，但對(duì)于規(guī)模較大的企業(yè)來說這無疑使一件非常繁瑣的工作。盡管微軟以及第三方廠商也提出了許多的解決方案，例如：Windows 部署服務(wù)、微軟SCCM、Symentec Ghost、Acronis Trueimage Server等等，但各個(gè)方案都存在這一定的局限性，如只支持Windows以及對(duì)網(wǎng)絡(luò)等均有一定要求（必須是園區(qū)網(wǎng)，廣域網(wǎng)環(huán)境下無法遠(yuǎn)程部署）。此外，還需要考慮病毒的感染或者系統(tǒng)的損壞，嚴(yán)重者還必須重新安裝系統(tǒng)。而企業(yè)統(tǒng)一的系統(tǒng)配置或者安全策略，最常見的辦法就是加入Windows AD域，通過AD域策略可以對(duì)終端桌面進(jìn)行統(tǒng)一的配置管理。但是這種方式也面臨一個(gè)問題，終端用戶無法自動(dòng)加入AD域甚至拒絕加入AD域，從而游離于企業(yè)標(biāo)準(zhǔn)化配置之外。而對(duì)于殺毒軟件和系統(tǒng)補(bǔ)丁的管理，雖然很多企業(yè)部署了企業(yè)版的殺毒軟件和補(bǔ)丁管理軟件實(shí)現(xiàn)企業(yè)終端的統(tǒng)一安全防護(hù)和升級(jí)，但也面臨一個(gè)問題就是，由于網(wǎng)絡(luò)因素、員工出差等原因，無法強(qiáng)制讓終端用戶的系統(tǒng)升級(jí)到指定的最新版本。當(dāng)然，網(wǎng)絡(luò)準(zhǔn)入控制（NAC）系統(tǒng)是一個(gè)很好的輔助手段。

　　第二個(gè)層面是受控的應(yīng)用軟件管理。這個(gè)層面常常采用桌面管理類軟件來支持，如微軟的SMS、LANDesk以及Symantec Altiris等。桌面管理軟件能夠自動(dòng)給指定的或全部終端計(jì)算機(jī)批量分發(fā)及安裝應(yīng)用軟件包，保證終端計(jì)算機(jī)始終處于最佳工作狀態(tài)，大大減輕了管理員批量部署程序的負(fù)擔(dān)。但是這類桌面管理軟件的軟件分發(fā)也有一個(gè)問題，就是必須在終端計(jì)算機(jī)上安裝客戶端，一旦用戶沒有安裝或者卸載，這種軟件分發(fā)就毫無作用。在對(duì)應(yīng)用軟件的控制上，企業(yè)常常采用“黑白名單”方式，并通過桌面管理軟件定期統(tǒng)計(jì)、匯總企業(yè)內(nèi)部各種終端軟件的安裝、使用情況，產(chǎn)生統(tǒng)計(jì)報(bào)告。及時(shí)發(fā)現(xiàn)黑白軟件的安裝和使用情況，以便及時(shí)采取措施，一方面可以減少相應(yīng)的法律風(fēng)險(xiǎn)，另一方面又可以減少安全隱患，提高系統(tǒng)安全。除了定期統(tǒng)計(jì)匯總的方式外，還可以與網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)相結(jié)合，一旦發(fā)現(xiàn)終端上的應(yīng)用軟件為黑名單，可以通過自動(dòng)網(wǎng)絡(luò)隔離下線方式終止其使用。

　　第三個(gè)層面是用戶數(shù)據(jù)的安全。不僅是防止終端數(shù)據(jù)的泄露，還要保障用戶數(shù)據(jù)的安全備份和還原。數(shù)據(jù)泄露防護(hù)是終端管理一個(gè)特殊領(lǐng)域，稱之為DLP（Data Leakage Prevention）。終端數(shù)據(jù)泄露的途徑有3點(diǎn)：外設(shè)、網(wǎng)絡(luò)、終端丟失。針對(duì)終端數(shù)據(jù)的泄露防護(hù)，各類終端管理或安全廠商也是絞盡腦汁，提供了各式各樣的手段，如文檔加密、外設(shè)控制、防內(nèi)網(wǎng)外聯(lián)、郵件審計(jì)、網(wǎng)絡(luò)行為控制等等。相對(duì)于外設(shè)控制、內(nèi)網(wǎng)外聯(lián)、網(wǎng)絡(luò)控制等單層面防護(hù)，文檔加密系統(tǒng)似乎是一個(gè)比較全面徹底的數(shù)據(jù)防泄漏手段，因?yàn)闊o論是外設(shè)泄漏還是網(wǎng)絡(luò)泄漏抑或終端丟失，只要文件全面加密，相應(yīng)的企業(yè)核心數(shù)據(jù)就不會(huì)丟失。而在實(shí)際使用上，文檔加密系統(tǒng)的缺點(diǎn)也很明顯：不能針對(duì)所有文檔進(jìn)行加密、無法脫離企業(yè)內(nèi)網(wǎng)使用、加密服務(wù)器一旦崩潰，所有文檔無法正常打開。所以，DLP終端數(shù)據(jù)泄露領(lǐng)域發(fā)展了很多年，并沒有一個(gè)完美的解決方案可以解決用戶的實(shí)際問題。此外，對(duì)于用戶數(shù)據(jù)的安全備份和還原，也依賴于終端用戶通過U盤或移動(dòng)硬盤進(jìn)行備份，或者依賴于存儲(chǔ)備份軟件，如Symantec Backup Exec、HP DataProtection等進(jìn)行終端數(shù)據(jù)的備份工作。但是這類軟件往往價(jià)格偏高，大規(guī)模部署成本較高。同時(shí)，新興的云網(wǎng)盤軟件跨平臺(tái)、價(jià)格低廉等特性也吸引了一大批用戶將其作為自己的數(shù)據(jù)備份手段。但云網(wǎng)盤上數(shù)據(jù)是否絕對(duì)的安全可靠，也是終端用戶心底揮之不去的疑問。

　　從以上三個(gè)層面分析傳統(tǒng)的桌面管理，可以清楚地發(fā)現(xiàn)，要想實(shí)現(xiàn)企業(yè)終端統(tǒng)一、安全、標(biāo)準(zhǔn)地管理，傳統(tǒng)桌面管理需要借助于大量的桌面管理或者安全、備份工具，企業(yè)終端管理者要從多方面入手才能解決企業(yè)終端的管理問題。

　　二、桌面虛擬化（VDI）模式

　　桌面虛擬化（VDI）與傳統(tǒng)終端管理架構(gòu)上差異很大，桌面虛擬化將操作系統(tǒng)及應(yīng)用程序統(tǒng)一存放在數(shù)據(jù)中心的服務(wù)器及存儲(chǔ)設(shè)備中，后臺(tái)建立虛擬機(jī)池，交付給不同用戶和不同終端統(tǒng)一可控的標(biāo)準(zhǔn)化操作系統(tǒng)。在桌面虛擬化解決方案里，管理是集中化的，IT 工程師通過控制中心管理成百上千的虛擬桌面，所有的更新、打補(bǔ)丁都只需要更新一個(gè)“基礎(chǔ)鏡像”就可以。管理維護(hù)也非常簡(jiǎn)單，只需要根據(jù)企業(yè)部門的不同配置幾個(gè)基礎(chǔ)的鏡像，然后不同部門的員工可以分別連接到這些不同的基礎(chǔ)鏡像，要做任何修改，只需要在這幾個(gè)基礎(chǔ)鏡像上進(jìn)行就可以了。重啟虛擬桌面，企業(yè)員工就可以看到所有的更新，這樣就大大節(jié)約了管理成本。

　　桌面虛擬化是基于虛擬化和云計(jì)算理念發(fā)展起來的終端管理方法，它完全顛覆了傳統(tǒng)意義上的終端管理概念；在某種意義上它剝離了計(jì)算機(jī)終端軟件與硬件之間的聯(lián)系，將系統(tǒng)和服務(wù)集中在服務(wù)器端，網(wǎng)絡(luò)管理人員不必再將維護(hù)的重點(diǎn)放在分散的個(gè)人終端上，只要維護(hù)和加固服務(wù)器端便可以實(shí)現(xiàn)全網(wǎng)絡(luò)終端便捷的維護(hù)和高安全。桌面虛擬化的基礎(chǔ)鏡像類似以往的物理機(jī)GHOST鏡像，管理員可以在基礎(chǔ)鏡像中安裝大眾化的應(yīng)用程序，當(dāng)需要對(duì)應(yīng)用程序進(jìn)行更新時(shí)，只需要更新系統(tǒng)模板，用戶即可以得到一個(gè)全新的桌面。對(duì)于一些非大眾化的應(yīng)用程序或控件，管理員可以能過與桌面虛擬化結(jié)合的應(yīng)用虛擬化產(chǎn)品進(jìn)行虛擬化打包，并通過統(tǒng)一的管理控制臺(tái)進(jìn)行虛擬應(yīng)用的分發(fā)。用戶登錄虛擬桌面后，即可像使用直接安裝的應(yīng)用一樣正常使用應(yīng)用程序。當(dāng)虛擬應(yīng)用程序出現(xiàn)故障或損壞時(shí)，管理員或用戶可自助的完成應(yīng)用程序的復(fù)位操作。

　　在數(shù)據(jù)安全性方面，由于所有計(jì)算、數(shù)據(jù)的存儲(chǔ)都是在云端，客戶端不保存用戶的數(shù)據(jù)，在終端和桌面虛擬化系統(tǒng)的OS通信時(shí)，網(wǎng)絡(luò)傳輸?shù)膬H僅是屏幕位圖的變化，并沒有實(shí)際用戶的數(shù)據(jù)傳遞到客戶端，所以不需要擔(dān)心服務(wù)器端傳遞過來的數(shù)據(jù)被竊取。此外，桌面虛擬化系統(tǒng)可以提供細(xì)粒度的訪問控制，管理員可以根據(jù)安全策略開放或者關(guān)閉接入終端的USB、打印機(jī)端口等。這些 USB 端口還可以分等級(jí)控制，保證連接在上面的掃描儀、智能卡等可以正常使用，但是大容量存儲(chǔ)盤被禁止使用，確保敏感數(shù)據(jù)不會(huì)通過 U 盤泄露出去，又保證了業(yè)務(wù)的正常進(jìn)行。特別是接入終端采用瘦客戶機(jī)的情況下，瘦客戶機(jī)沒有硬盤，也不需要擔(dān)心別有用心的用戶把敏感數(shù)據(jù)復(fù)制到本地硬盤再通過其他路徑竊取出去，從而保證企業(yè)數(shù)據(jù)的真正安全。桌面虛擬化系統(tǒng)的數(shù)據(jù)備份，可以將各種桌面的、服務(wù)器端的所有相關(guān)的數(shù)據(jù)集中起來，實(shí)施統(tǒng)一的數(shù)據(jù)保護(hù)、備份、恢復(fù)，不僅如此，數(shù)據(jù)可以被統(tǒng)一的加密、去重和內(nèi)容感知，既降低存儲(chǔ)的空間，也可以更好的保護(hù)數(shù)據(jù)，支持企業(yè)的內(nèi)部控制和審計(jì)。

　　可以看出桌面虛擬化管理系統(tǒng)完全不同于傳統(tǒng)的終端管理軟件，集中化和虛擬化的特點(diǎn)不僅僅會(huì)大大增強(qiáng)內(nèi)部系統(tǒng)及網(wǎng)絡(luò)的安全性，同時(shí)也因此減少了網(wǎng)絡(luò)運(yùn)維的復(fù)雜程度和運(yùn)維成本。但是，目前其綜合成本相對(duì)于傳統(tǒng)桌面管理仍較高，且對(duì)網(wǎng)絡(luò)帶寬有了更高的要求，在廣域網(wǎng)、終端高性能計(jì)算等場(chǎng)景還不是太適用。

　　三、結(jié)束語

　　通過對(duì)傳統(tǒng)桌面管理和桌面虛擬化（VDI）的分析對(duì)比，對(duì)于終端管理模式，到底是向左走還是向右走，需要每個(gè)企業(yè)IT管理者根據(jù)自己的應(yīng)用場(chǎng)景和預(yù)算來綜合判斷。從目前市場(chǎng)上看，很多企業(yè)已經(jīng)采購了傳統(tǒng)終端管理類軟件，考慮到成本因素，一般會(huì)額外采購文檔加密、網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)等等產(chǎn)品來加固企業(yè)終端安全管理。而對(duì)于終端管理比較復(fù)雜的場(chǎng)景（如學(xué)校機(jī)房、培訓(xùn)教室等），或終端比較分散、應(yīng)用單一的場(chǎng)景（如分支機(jī)構(gòu)或營(yíng)業(yè)廳等），則開始逐步采用桌面虛擬化模式來統(tǒng)一管理，另外還有很多企業(yè)考慮到信息安全等因素，也在逐步通過桌面虛擬化方案替代傳統(tǒng)終端管理模式。