桌面虚拟化是指将计算机的桌面进行虚拟化，用户可以通过任何终端设备，不受地点和时间限制，访问在网络上的属于个人的桌面系统。桌面虚拟化是一种基于服务器的计算模型，同时借用了传统的瘦客户端模型。桌面虚拟化具备两个方面的特点，一是将所有桌面虚拟机在数据中心进行托管并统一管理，二是用户能够获得完整的计算机使用体验。由于桌面虚拟化技术本身是一种利用网络、动态可伸缩的虚拟化资源计算模式，符合云计算的特点，所以也经常称桌面虚拟化技术为桌面云技术。

近年来，虚拟化桌面系统已逐步应用于各领域，特别是教育、金融等行业应用最为广泛。通过桌面虚拟化，将逐渐脱离传统的、静态的计算模式，转而迁移到动态的、灵活的、可扩展的基础架构，这种架构可轻松应对业务需求变化，还能够能大幅节约成本。

桌面虚拟化技术提升管理效率

随着服务器虚拟技术的逐步成熟，桌面虚拟化技术也经历了一个发展过程。第一代桌面虚拟化技术，将远程桌面的远程访问能力与虚拟操作系统结合了起来，使得桌面虚拟化的应用成为可能。第二代桌面虚拟化技术进一步将桌面系统的运行环境与安装环境拆分、应用与桌面拆分、配置文件拆分，从而大大降低了管理复杂度与成本，提高了管理效率。

VDI虚拟桌面架构是基于早期的RDP协议和瘦客户机逐步演变而来的，也是VMware等国外虚拟化厂商采用的模式。VDI旨在为智能分布式计算带来较好的响应能力和定制化的用户体验，并通过基于服务器的模式提供管理和安全。

VOI 虚拟桌面构架的实现，从桌面应用提升到了操作系统层面，与传统的VDI 设计不同之处在于终端对本机系统资源的充分利用不再依靠于GPU 虚拟化，而是直接在I/O 层实现对物理存储介质的数据重定向，以达到虚拟化的操作系统完全工作于本机物理硬件之上，从驱动程序、应用程序到各种设备均不存在远程端口映射关系，而是直接的内部地址。

OSV智能桌面虚拟化，是基于X86标准计算机系统下实现桌面的集中管理、控制、存储、维护的桌面虚拟化技术。OSV与VDI最大的区别在于前者使用集中管理、分布运算机制，而后者采用的是集中管理、集中计算，后者对于服务器的依赖要远远超过前者。

远程托管桌面

多台终端使用客户端软件登录到服务器，而用户在终端的显示器上获得服务器端用户的桌面图像，以及来回传送键盘和鼠标的输入信号。多用户之间共享应用程序和操作系统实例，以及磁盘空间等资源。

远程虚拟应用程序

与共享桌面不同的地方是，它只需要浏览器和标准的Web协议(HTTP、HTTPS和SSL)来创建安全连接、传输图像和数据。最终用户的机器可能处理应用程序的一些逻辑或图形，也可能只打开显示器、向服务器发送鼠标点击，具体取决于应用程序的设计。

远程托管专用虚拟桌面

用户在服务器上使用的虚拟桌面并不与其他的用户共享文件目录或应用程序，而是在该用户才能访问的虚拟桌面里面有一套独立的系统。虚拟机可以在服务器上运行，与其他专用的虚拟机共享资源;也可以在刀片PC上独自运行。既可以远程托管，也可以流式传送。

本地虚拟应用程序

应用程序从服务器下载到客户机，然后在客户机上运行，使用本地内存和处理功能。但应用程序在"沙箱"(sandbox)里面运行，而沙箱为本地机器可以进行什么操作、可连接至什么设备制定了一套规则。

本地虚拟操作系统

分为两种方式，第一种方式虚拟机管理程序可以在笔记本电脑或台式机上创建一个虚拟机，虚拟机可充当一个完全独立的单元，与虚拟机之外的客户机上的软硬件隔离开来。第二种方式，虚拟机管理程序在机器的BIOS上运行，允许用户运行多个操作系统。

桌面虚拟化存在的安全风险

通过桌面虚拟化技术实现了多样的接入方式和方便的管理模式，桌面系统的灵活性、安全性、可控制和可管理性得到了有效的保障。但从虚拟化桌面系统的整体安全角度来看，从接入层面、传输层面、管理与服务层面、数据存储层面和用户层面等各个方面，都会产生安全风险，忽略任何一个细节都会导致全局的安全问题。

对虚拟化安全的认知

桌面虚拟化技术的使用，解决了传统桌面系统固有的安全风险，使得分散的桌面系统易于管理、易于配置。但大多数用户并未意识到虚拟环境的安全性问题，也没有意识到虚拟化技术同样可以带来安全风险。桌面虚拟化技术在带来大量安全性的同时，将不安全性更加隐藏起来，使得用户更难以发现桌面虚拟化技术背后深层次的安全问题。

接入层面的安全问题

在桌面虚拟化技术的应用环境中，只要有访问权限，任何智能终端都可以访问服务端的桌面环境，即随时随地的系统访问。如果单纯的依靠用户名和口令作为合法用户身份认证，一旦用户名和口令泄露就意味着非授权用户可以在任何位置访问到桌面系统，并获取相关数据。

传输层面的安全问题

由于虚拟桌面需要在网络上进行大量的文件迁移，文件迁移过程使得在局域网内的用户容易产生信息泄露。同时大量的文件系统迁移对网络性能要求很高，还使得在迁移过程中的不确定性被增加了。

同时用户在进行远程桌面系统调用时，并非所有的智能终端都支持相应的VPN技术。

管理与服务层面的安全问题

在桌面虚拟化技术的架构中，后台服务器端通常会采用横向扩展的方式，在大并发的使用环境下，系统前端会使用负载均衡器，将用户的连接请求发送给当前仍有剩余计算能力的服务器处理，这种架构很容易遭到分布式拒绝攻击。

由于采用虚拟化技术集中了核心数据资源，使得管理员认为只关注核心数据资源就可以保障虚拟化桌面的整体安全，但是由于没有集中审计和访问控制措施，使得每个虚拟化桌面客户端没有权限的差别，在这种工作环境中，不得不考虑的风险就是低级别的虚拟化桌面越过权限访问高级别的虚拟化桌面数据空间。

(责任编辑：安博涛)