华为资深专家解密华为桌面云的安全之道-DOIT-数据产业媒体与服务平台

在日前举办的“无忧云，赢未来”的华为桌面云论坛上，华为IT产品线营销工程部的资深专家席明贤向DOIT记者解读了华为桌面云的安全之道。

“华为桌面云的安全之道，说白了就是‘进不来，拿不走，打不开，赖不掉，丢不了’。”席明贤说，“华为正是从这五个方面来保障桌面云的安全。”

桌面云：有效应对安全威胁

据权威机构对484家大企业进行的信息安全专项调查，结果显示：超过85%的安全威胁来自公司内部。在损失金额上，由于内部人员泄密导致的损失是黑客造成损失的16倍。而员工保密意识薄弱正是造成信息内部泄密的关键原因。

华为IT产品线营销工程部资深专家席明贤

目前，PC安全防护弱是企业信息资产丢失的源头。据国家互联网应急中心统计，仅2012年2月境内感染网络病毒的PC约为900万台，对我国的信息安全构成严重的威胁。同时黑客、病毒等攻击手段呈现多样化、工具化、自动化的特点，大量多样化、自动化、高集成度的攻击工具，可通过互联网下载，降低了网络攻击的技术门槛。用户端不经意的下载，就可能“引狼入室”。

面对这样的状况，一些企业采用无盘系统、内外网隔离、物理隔离卡等手段，但都存在着易用性差、扩展性差等劣，并且在对付病毒等方面“后知后觉”，即使亡羊补牢，损失已是巨大。“传统方法治标不治本，变革传统的IT架构才是关键。”席明贤说，“从目前来看，桌面云是最佳的信息安全管理手段。它实现了终端与信息分离，本地无任何存储数据，桌面数据在后台集中计算、存储和管理，而传输到终端显示的仅是屏幕的刷新。只要在数据中心端把控好，病毒、黑客等将无路可入。”

华为桌面云的五不法则

席明贤表示，除了桌面云模式带来的天生的安全性外，华为桌面云还从桌面终端、接入/传输、网络/系统、管理等方面加以严控，以确保让企业放心的云安全。

在终端层面，华为打造了一体化、多层次、全方位的终端安全方案，包括无硬盘的设计、TC硬件认证、支持USB端口配置禁用存储设备、后台服务器统一对终端进行安全认证等。

在接入控制、数据传输层面，华为桌面云具有完善的接入机制，采用了安全接入控制网关、主机防火墙、802.1x接入控制等组合手段，确保接入和数据传输层面的安全。此外，华为桌面云还配备了丰富的运维管理工具。例如，系统自动化诊断工具通过自动的系统健康状态检查，及时发现故障并预警，确保虚拟机可运营可管理；“黑匣子”记录系统异常日志，便于快速定位异常引发根因。

基于以上手段的采用，华为桌面云具备了“进不来，拿不走，打不开，赖不掉，丢不了”的特点。“进不了”就是对用户的接入采用认证的方式，支持多级认证、混合认证等，系统对用户进行授权才能访问，同时接受监控审计。此外，管理员对设备和业务的管理采用“分权分域管理模式”，它遵循NIST标准的RBAC模型，支持灵活的创建角色和管理员，使得管理员不能越权管理。

“拿不走”指的是信息在云中集中管控。华为桌面云的终端与信息分离，桌面和数据在后台集中存储和处理，传输到终端的仅是桌面屏幕图像和键盘/鼠标指令，无用户数据，且传输是加密的。同时对瘦客户机USB端口进行精细化控制，可实现仅支持键盘鼠标指令，及指定型号的USB key和指纹仪，做到用户无法拷出数据。华为还对传输通道加密，防止监听窃取。