目前，PC安全防護弱是企業(yè)信息資產(chǎn)丟失的源頭。據(jù)國家互聯(lián)網(wǎng)應(yīng)急中心統(tǒng)計， 僅2012年2月境內(nèi)感染網(wǎng)絡(luò)病毒的PC約為900萬臺，對我國的信息安全構(gòu)成嚴重的威脅。同時黑客、病毒等攻擊手段呈現(xiàn)多樣化、工具化、自動化的特點，大量多樣化、自動化、高集成度的攻擊工具，可通過互聯(lián)網(wǎng)下載，降低了網(wǎng)絡(luò)攻擊的技術(shù)門檻。用戶端不經(jīng)意的下載，就可能“引狼入室”。

面對這樣的狀況，一些企業(yè)采用無盤系統(tǒng)、內(nèi)外網(wǎng)隔離、物理隔離卡等手段，但都存在著易用性差、擴展性差等劣，并且在對付病毒等方面“后知后覺”，即使亡羊補牢，損失已是巨大。“傳統(tǒng)方法治標不治本，變革傳統(tǒng)的IT架構(gòu)才是關(guān)鍵。”席明賢說，“從目前來看，桌面云是最佳的信息安全管理手段。它實現(xiàn)了終端與信息分離，本地無任何存儲數(shù)據(jù)，桌面數(shù)據(jù)在后臺集中計算、存儲和管理，而傳輸?shù)浇K端顯示的僅是屏幕的刷新。只要在數(shù)據(jù)中心端把控好，病毒、黑客等將無路可入。”

華為桌面云的五不法則

席明賢表示，除了桌面云模式帶來的天生的安全性外，華為桌面云還從桌面終端、接入/傳輸、網(wǎng)絡(luò)/系統(tǒng)、管理等方面加以嚴控，以確保讓企業(yè)放心的云安全。

在終端層面，華為打造了一體化、多層次、全方位的終端安全方案，包括無硬盤的設(shè)計、TC硬件認證、支持USB端口配置禁用存儲設(shè)備、后臺服務(wù)器統(tǒng)一對終端進行安全認證等。

在接入控制、數(shù)據(jù)傳輸層面，華為桌面云具有完善的接入機制，采用了安全接入控制網(wǎng)關(guān)、主機防火墻、802.1x接入控制等組合手段，確保接入和數(shù)據(jù)傳輸層面的安全。此外，華為桌面云還配備了豐富的運維管理工具。例如，系統(tǒng)自動化診斷工具通過自動的系統(tǒng)健康狀態(tài)檢查，及時發(fā)現(xiàn)故障并預(yù)警，確保虛擬機可運營可管理；“黑匣子”記錄系統(tǒng)異常日志，便于快速定位異常引發(fā)根因。

基于以上手段的采用，華為桌面云具備了“進不來，拿不走，打不開，賴不掉，丟不了”的特點。“進不了”就是對用戶的接入采用認證的方式，支持多級認證、混合認證等，系統(tǒng)對用戶進行授權(quán)才能訪問，同時接受監(jiān)控審計。此外，管理員對設(shè)備和業(yè)務(wù)的管理采用“分權(quán)分域管理模式”，它遵循NIST標準的RBAC模型，支持靈活的創(chuàng)建角色和管理員，使得管理員不能越權(quán)管理。

“拿不走”指的是信息在云中集中管控。華為桌面云的終端與信息分離，桌面和數(shù)據(jù)在后臺集中存儲和處理，傳輸?shù)浇K端的僅是桌面屏幕圖像和鍵盤/鼠標指令，無用戶數(shù)據(jù)，且傳輸是加密的。同時對瘦客戶機USB端口進行精細化控制，可實現(xiàn)僅支持鍵盤鼠標指令，及指定型號的USB key和指紋儀，做到用戶無法拷出數(shù)據(jù)。華為還對傳輸通道加密，防止監(jiān)聽竊取。

“打不開”則是指桌面云采用華為文檔安全管理解決方案，它通過實時權(quán)限控制，提供安全授權(quán)下的機密信息共享，使信息所有者能夠定義信息的訪問者、訪問方式和時間等，并記錄文檔操作日志，助力企業(yè)構(gòu)建安全可控的文檔安全管理平臺。

“賴不掉”就是對用戶行為進行監(jiān)控與審計。華為桌面云里部署了堡壘主機，統(tǒng)一運維入口且操作記錄日志，實現(xiàn)對系統(tǒng)管理人員的審計。

“丟不了”指對虛擬機剩余信息徹底清除和用戶數(shù)據(jù)盤加密。系統(tǒng)進行資源回收時，對邏輯卷的每一個物理Bit位進行清“零”覆寫，保證磁盤空間重新分配給其他租戶時不能通過軟件方式恢復(fù)其原有數(shù)據(jù)。

正是由于有足夠的安全機制以及高效、靈活等特點，華為桌面云已經(jīng)覆蓋了中國、東南亞、中亞、歐洲、非洲、拉美、北美等國內(nèi)外廣大地區(qū)。截至2011年12月，華為桌面云已經(jīng)在33個國家成功應(yīng)用，服務(wù)于超過10萬的用戶。

xuzhenxin