下一代云桌面如何应对来自终端的安全挑战

（文章来源：云端计算）

终端安全防护通常包括病毒/木马防范、补丁管理、准入控制、外设管控等。目前常见的防护措施是通过防病毒软件来阻止病毒/木马等恶意文件破坏桌面操作系统或用户数据，通过桌面管理软件和准入系统来实现补丁的统一分发、准入控制以及各种移动介质的管控。

从防护原理上来说，现有的终端安全措施都是施加在终端原有操作系统之上，针对已知的病毒/木马或已知的攻击手段而进行的防御措施。在实际应用中，传统的终端安全防护存在着以下的弊端：

终端的操作系统为单机安装，无法保证操作系统的一致性，存在系统级别的安全性和稳定性的隐患；无法100%保证终端的操作系统补丁及应用软件补丁处于最新状态；终端的应用软件杂乱，无统一管理，存在应用的安全性和稳定性问题；一旦遭遇未知病毒/木马或新型的攻击行为，现有防护措施束手无策；遭遇类似勒索病毒的攻击时，硬盘中的文件被加密，用户数据丢失，影响正常业务。

针对当前终端面临的安全挑战，和信下一代云桌面技术从部署、运维、应用、安全等方面提供了全面解决方案：

结合各行业的终端安全管理要求，在操作系统镜像模板的制作、应用软件的安装、补丁的升级、安全防护软件的安装、安全策略的配置、外设管控策略的配置等方面确保终端系统的一致性，使之达到预定的安全加固要求，安全合规，满足上级部门及行业内部制定的各项规章制度和行为规范。

根据各业务部门的不同需求及终端所应用的不同管理系统进行定制化服务，按具体需求推送对应的操作系统镜像，实现操作系统及软件的统一部署，形成多套标准化的终端业务应用模式，确保终端的操作系统和软件运行稳定。改变传统分散的终端管理模式，管理员可以对各部门终端系统及应用软件进行集中部署、统一下发、快速更新，让终端管理更加简单、便捷，使得终端安全加固不存在盲区，实现100%的补丁安装率。

当终端电脑出现故障影响业务运作时，只需一键重启即可恢复正常的操作系统，且能完整保存终端原有数据，无需运维人员到现场支持维护，保障业务的正常持续运行。采用云存储平台实现用户数据的集中存放，即便用户终端硬盘故障或因恶意攻击事件而导致本地数据丢失，也不会影响用户存放在云存储平台中的数据。

在云终端统一操作系统的基础上，结合终端安全防护的传统手段（防病毒、桌面管理软件等），进一步提高终端整体安全性。

以近年横行肆虐的勒索病毒为例，采用下一代云桌面部署的云终端能够从系统级别、应用级别、数据级别等维度加以防范。在云终端遭受攻击而导致系统、应用、数据无法使用的极端场景下，下一代云桌面可以提供以下快速恢复机制：

操作系统无法使用——云终端机的操作系统采用还原模式，用户只需要重启终端机即可快速恢复操作系统并正常使用；应用程序无法使用——云终端机的应用软件采用还原模式，用户只需要重启终端机即可快速恢复应用程序并正常使用；用户数据无法使用——一旦用户本机数据遭受破坏，可以通过云储存平台快速恢复其数据，保证用户数据的高可用性。

下一代云桌面使各行业在桌面终端的运维效率、系统&数据安全性、维护成本等方面收到良好的效果：管理集中统一、高效。通过下一代云桌面管理平台对终端机进行集中、统一的管理，完全改变传统分散的终端管理模式，管理员只需要维护少量的镜像模板实现对全网终端操作系统的管理。

提升操作系统安全性及用户数据安全性，下一代云桌面的部署，使得用户终端采用统一的镜像模板，确保所有终端的操作系统都打上最新的安全补丁、配置最佳的安全策略；同时通过安全管理策略，如“外设管理”控制终端的移动存储设备、光驱、软驱、打印机等外设的使用，控制内网数据信息的泄露，“上网行为监控”可审计终端的上网行为，“流量控制”功能可限制终端内外网上传及下载的流量等，从而保障企业办公网的安全性和合规性。

结合云储存技术，将原先分散在终端的用户数据集中存放至后端云储存平台，避免因人为操作失误和恶意攻击行为而导致的用户数据丢失，大大提高了办公网数据的安全性和可用性。
      （责任编辑：fqj）