應用虛擬化保衛數據安全

由于智能手機和平板電腦等新型移動終端增加了視頻通話、大容量數據存儲及處理等功能，并集手機、攝像機、掌上電腦于一體，它們正在被越來越多的企業所青睞，成為移動辦公中被廣泛使用的利器。但在它們帶來便利的同時，也使得泄密渠道明顯增多，失泄密風險明顯加大，為各類竊密活動提供了可乘之機。要將移動辦公落到實處，解決接入的安全瓶頸難題已是當務之急。

新法規規范企業

為了方便出差在外的業務人員隨時隨地登陸企業內部系統，中石油北京天然氣管道有限公司（以下簡稱“北京管道公司”）引入移動辦公系統，通過整合信息技術、傳感技術等物聯網技術，實現了在線監控和遠程服務，可以實時進行數據的接收、發送及維護管理。但各種終端的爆發式普及以及工作地點、員工類型和接入方式的激增，傳統安全戰略逐漸不堪重負。

隨著北京管道公司在陜甘寧至北京沿線、跨省市等多個地區的業務規模擴大，管理人員和工程師在外辦公時間顯著增長，因此，對快速接入公司的辦公網絡、對系統在長距離傳輸的安全性都提出了新的挑戰。

以處在陜西偏遠辦公地點的員工為例，當地網絡信號極其不穩定，一是安裝ActiveX控件，只能通過接入網絡后由系統后臺自動安裝，在網絡信號極差的情況下，控件是無法安裝成功的；二是ERP系統為客戶端結構，由于本機系統配置低，可能導致客戶端的安裝失敗；這些都可能導致延誤信息的獲取及事務的呈報，同時由于遠距離傳輸，在數據交互的情況下安全性難以保證。

北京管道公司的遠程接入應用主要有兩大瓶頸——網絡安全系數低和傳輸速度較慢。系統漏洞、網絡黑客攻擊及移動終端的存儲介質都使得數據安全性嚴重缺乏保障。而一般情況下，傳輸數據需要占用相當大的帶寬資源，而且要花費大量時間來等待網絡傳輸的數據，尤其是在數據經過延遲較高或受帶寬限制的網絡(如Internet)傳輸時，等待時間將更加漫長。

2010年底，我國正式發布新《保密法》并開始施行，其中明確指出“機關、單位應當加強對涉密信息系統的管理，任何組織和個人不得在未采取防護措施的情況下，在涉密信息系統與互聯網及其他公共信息網絡之間進行信息交換”。為確保國家秘密安全，涉密企業必須按照更嚴格的標準，加強對移動終端的信息保密管理。

遠程接入的全新模式

應用虛擬化是一種全新的應用模式，它可以為員工提供適當級別的安全訪問和協作功能，同時最有效地控制和保護企業數據、應用和基礎架構，讓移動辦公徹底擺脫網絡速度和安全的制約。

應用虛擬化集中了服務器上應用程序的安裝、運行、部署和管理環節，使用戶可以通過任何網絡、任何設備訪問它們。只有擊鍵、鼠標點擊和屏幕刷新等信息在網絡中傳輸，用戶看到的和操作的是圖形界面。在外出差的移動辦公員工可以利用任何設備、操作系統和連接方式(包括低帶寬連接和無線網絡連接)不間斷地持續接入服務器。同時，所需網絡帶寬大大降低。

通過部署應用虛擬化，將OA系統控件及ERP客戶端在應用虛擬化服務器上安裝完畢，在陜西現場的員工就能快速訪問OA、ERP等系統，而無需安裝系統控件及客戶端，在低帶寬狀態下訪問效果與訪問真實系統一樣。我們分部在全國各地的員工可以使用任何類型的終端來訪問虛擬桌面和應用：從PC到平板電腦和智能手機，安全性都得到了加強。

應用虛擬化可幫助企業集中管理數據，確保只有經過授權的用戶可以連接到企業資源。信息部門可以快速為任何地點上的任何用戶提供對特定資源的安全訪問。

管道地質災害監測評估系統結合物聯網技術，在地質災害頻發區域管道上及其附近埋設傳感器，在無人值守的情況下，實時監測、顯示管道設備的應力和應變狀態，并記錄所有參數和數據，傳輸地質活動及管道變形情況，當監測數值超過規定值時自動報警。通過應用虛擬化的部署，管理人員能夠在任何地點都能及時掌握現場管道情況，保證數據傳輸安全的同時，保障管道的安全。

全方位保衛信息安全

通過項目的實施，桌面、應用和數據集中保存在數據中心并受到有效保護，從各個環節防止了安全漏洞的產生。

通過在數據中心集中控制，信息部門不必再擔心用戶將數據保存在可移動終端介質上、在用戶間通過電子郵件發送、打印出來或以其他方式傳播，造成數據丟失或被盜，即使用戶終端丟失或被盜的情況下也可以確保安全性。用戶也只需登錄就可以訪問具有相關權限虛擬應用的虛擬桌面——這些應用可以按需交付到任何終端上，免去了為確保信息安全所執行的繁瑣操作。

在這種模式下，用戶每次退出后，他們的虛擬桌面都會刷新，恢復到初始模板。當用戶下一次重新登錄虛擬桌面時，他們看到的是一個從基本模板上生成的干凈的環境。

由于桌面、應用和數據只以虛擬形式交付到終端設備上，與設備上的任何個人數據或應用完全隔離開來，而且不能移動到集中控制的數據倉庫之外。即使病毒感染了終端設備，企業的隔離虛擬桌面也不會受到病毒影響。

沒有任何一種技術可以一勞永逸地保證信息安全。在出現安全事件或配置錯誤的情況下，集中管理可以讓信息部門快速采取行動。第一道防線是使用虛擬化來隔離敏感的應用和數據，最大限度地減小單一組件安全事件的影響；瀏覽器也可以通過相同的方式得到保護和隔離，防止安全事件造成大面積危害。

如果用戶環境的完整性受到破壞，如在零時差攻擊的情況下，信息部門可以快速使該用戶的環境進入離線狀態，并通過黃金鏡像來將它恢復到未受攻擊前的正常狀態。通過在每一臺虛擬機上部署并實施安全保護措施，可防止攻擊危害擴散到環境中的其它系統中，做到一察覺問題，就能快速更新整個環境中的訪問策略。