应用虚拟化保卫数据安全

由于智能手机和平板电脑等新型移动终端增加了视频通话、大容量数据存储及处理等功能，并集手机、摄像机、掌上电脑于一体，它们正在被越来越多的企业所青睐，成为移动办公中被广泛使用的利器。但在它们带来便利的同时，也使得泄密渠道明显增多，失泄密风险明显加大，为各类窃密活动提供了可乘之机。要将移动办公落到实处，解决接入的安全瓶颈难题已是当务之急。

新法规规范企业

为了方便出差在外的业务人员随时随地登陆企业内部系统，中石油北京天然气管道有限公司（以下简称“北京管道公司”）引入移动办公系统，通过整合信息技术、传感技术等物联网技术，实现了在线监控和远程服务，可以实时进行数据的接收、发送及维护管理。但各种终端的爆发式普及以及工作地点、员工类型和接入方式的激增，传统安全战略逐渐不堪重负。

随着北京管道公司在陕甘宁至北京沿线、跨省市等多个地区的业务规模扩大，管理人员和工程师在外办公时间显著增长，因此，对快速接入公司的办公网络、对系统在长距离传输的安全性都提出了新的挑战。

以处在陕西偏远办公地点的员工为例，当地网络信号极其不稳定，一是安装ActiveX控件，只能通过接入网络后由系统后台自动安装，在网络信号极差的情况下，控件是无法安装成功的；二是ERP系统为客户端结构，由于本机系统配置低，可能导致客户端的安装失败；这些都可能导致延误信息的获取及事务的呈报，同时由于远距离传输，在数据交互的情况下安全性难以保证。

北京管道公司的远程接入应用主要有两大瓶颈――网络安全系数低和传输速度较慢。系统漏洞、网络黑客攻击及移动终端的存储介质都使得数据安全性严重缺乏保障。而一般情况下，传输数据需要占用相当大的带宽资源，而且要花费大量时间来等待网络传输的数据，尤其是在数据经过延迟较高或受带宽限制的网络(如Internet)传输时，等待时间将更加漫长。

2010年底，我国正式新《保密法》并开始施行，其中明确指出“机关、单位应当加强对信息系统的管理，任何组织和个人不得在未采取防护措施的情况下，在信息系统与互联网及其他公共信息网络之间进行信息交换”。为确保国家秘密安全，企业必须按照更严格的标准，加强对移动终端的信息保密管理。

远程接入的全新模式

应用虚拟化是一种全新的应用模式，它可以为员工提供适当级别的安全访问和协作功能，同时最有效地控制和保护企业数据、应用和基础架构，让移动办公彻底摆脱网络速度和安全的制约。

应用虚拟化集中了服务器上应用程序的安装、运行、部署和管理环节，使用户可以通过任何网络、任何设备访问它们。只有击键、鼠标点击和屏幕刷新等信息在网络中传输，用户看到的和操作的是图形界面。在外出差的移动办公员工可以利用任何设备、操作系统和连接方式(包括低带宽连接和无线网络连接)不间断地持续接入服务器。同时，所需网络带宽大大降低。

通过部署应用虚拟化，将OA系统控件及ERP客户端在应用虚拟化服务器上安装完毕，在陕西现场的员工就能快速访问OA、ERP等系统，而无需安装系统控件及客户端，在低带宽状态下访问效果与访问真实系统一样。我们分部在全国各地的员工可以使用任何类型的终端来访问虚拟桌面和应用：从PC到平板电脑和智能手机，安全性都得到了加强。

应用虚拟化可帮助企业集中管理数据，确保只有经过授权的用户可以连接到企业资源。信息部门可以快速为任何地点上的任何用户提供对特定资源的安全访问。

管道地质灾害监测评估系统结合物联网技术，在地质灾害频发区域管道上及其附近埋设传感器，在无人值守的情况下，实时监测、显示管道设备的应力和应变状态，并记录所有参数和数据，传输地质活动及管道变形情况，当监测数值超过规定值时自动报警。通过应用虚拟化的部署，管理人员能够在任何地点都能及时掌握现场管道情况，保证数据传输安全的同时，保障管道的安全。

全方位保卫信息安全

通过项目的实施，桌面、应用和数据集中保存在数据中心并受到有效保护，从各个环节防止了安全漏洞的产生。

通过在数据中心集中控制，信息部门不必再担心用户将数据保存在可移动终端介质上、在用户间通过电子邮件发送、打印出来或以其他方式传播，造成数据丢失或被盗，即使用户终端丢失或被盗的情况下也可以确保安全性。用户也只需登录就可以访问具有相关权限虚拟应用的虚拟桌面――这些应用可以按需交付到任何终端上，免去了为确保信息安全所执行的繁琐操作。

在这种模式下，用户每次退出后，他们的虚拟桌面都会刷新，恢复到初始模板。当用户下一次重新登录虚拟桌面时，他们看到的是一个从基本模板上生成的干净的环境。

由于桌面、应用和数据只以虚拟形式交付到终端设备上，与设备上的任何个人数据或应用完全隔离开来，而且不能移动到集中控制的数据仓库之外。即使病毒感染了终端设备，企业的隔离虚拟桌面也不会受到病毒影响。

没有任何一种技术可以一劳永逸地保证信息安全。在出现安全事件或配置错误的情况下，集中管理可以让信息部门快速采取行动。第一道防线是使用虚拟化来隔离敏感的应用和数据，最大限度地减小单一组件安全事件的影响；浏览器也可以通过相同的方式得到保护和隔离，防止安全事件造成大面积危害。

如果用户环境的完整性受到破坏，如在零时差攻击的情况下，信息部门可以快速使该用户的环境进入离线状态，并通过黄金镜像来将它恢复到未受攻击前的正常状态。通过在每一台虚拟机上部署并实施安全保护措施，可防止攻击危害扩散到环境中的其它系统中，做到一察觉问题，就能快速更新整个环境中的访问策略。