數(shù)據(jù)泄露防護(hù)（Data leakage prevention, DLP），又稱為“數(shù)據(jù)丟失防護(hù)”（Data Loss prevention, DLP）是指通過IT技術(shù)方式，防止企業(yè)指定的數(shù)據(jù)信息的非法被策略規(guī)定以外的第三方獲取。目前Symantec、Macafee等國際企業(yè)，以及中軟、伊?xí)r代、圣博潤等國內(nèi)廠商都有相應(yīng)的數(shù)據(jù)防泄密產(chǎn)品方案。

同時，根據(jù)諸多IT調(diào)研機構(gòu)的報告顯示，該市場在2010年至2020年將保持20%以上高速增長。然而隨著桌面虛擬化技術(shù)（VDI）興起，不少人會認(rèn)為通過桌面虛擬化將終端用戶的信息整合在后端進(jìn)行統(tǒng)一管理，就可以達(dá)到數(shù)據(jù)防泄密的效果。殊不知在虛擬桌面的整體系統(tǒng)角度來看，客戶端、傳輸網(wǎng)絡(luò)、服務(wù)器端、存儲端等各個方面，都會產(chǎn)生安全風(fēng)險。忽略任何一個細(xì)節(jié)都會導(dǎo)致整個系統(tǒng)的信息漏洞。

客戶端：在虛擬桌面的應(yīng)用環(huán)境中，只要有訪問權(quán)限，任何智能終端都可以訪問云端的桌面環(huán)境，即許多虛擬桌面供應(yīng)商宣稱的隨時隨地的系統(tǒng)訪問。但是如果訪問權(quán)限不可靠怎么辦？如果使用單純的用戶名密碼作為身份認(rèn)證，那么其泄露就意味著對方可以在任何位置訪問你的桌面系統(tǒng)，并獲取相關(guān)數(shù)據(jù)。傳統(tǒng)的桌面可以采用物理隔離的方式，其他人無法進(jìn)安全控制區(qū)域竊取資料；而在虛擬桌面環(huán)境下，這種安全保障就不復(fù)存在了。

這就要求有更加嚴(yán)格的終端身份認(rèn)證機制。好比原來辦理銀行業(yè)務(wù)都需要本人攜身份證去銀行，要“偷”別人賬戶中的錢首先就過不了身份認(rèn)證這一關(guān)?，F(xiàn)在有網(wǎng)銀了，如果仍然還是卡號加密碼的方式，那儲戶賬戶中的資金就太不安全了。此外，通過MAC地址對于允許訪問云端的客戶端進(jìn)行一個范圍限定也是不錯的辦法。雖然犧牲了一定靈活性，比如終端用戶從網(wǎng)吧等公共設(shè)備上無法訪問云端，但這種方式可以大幅提升客戶端的可控性。

傳輸網(wǎng)絡(luò)：絕大部分企業(yè)級用戶都會為遠(yuǎn)程接入設(shè)備提供安全連接點，供在防火墻保護(hù)以外的設(shè)備遠(yuǎn)程接入，但是并非所有的智能終端都支持相應(yīng)的VPN技術(shù)。智能手機等設(shè)備一般可采用專業(yè)安全廠商提供的定制化VPN方案。企業(yè)內(nèi)部的終端和云端的通訊可以通過SSL協(xié)議進(jìn)行傳輸加密，確保整體傳輸過程中的安全性。

而對于采用公有云服務(wù)的小型企業(yè)和個人用戶，云服務(wù)商會提供相應(yīng)的傳輸加密途徑，而云服務(wù)商一般也會將這一選項算作增值服務(wù)，計入最終用戶的租賃成本中。

服務(wù)器端：在虛擬桌面的整體方案架構(gòu)中，后臺服務(wù)器端架構(gòu)通常會采用橫向擴展的方式。這樣一方面通過增強冗余提升了系統(tǒng)的高可用性；另一方面可以根據(jù)用戶數(shù)量逐步增加計算能力。在大并發(fā)的使用環(huán)境下，系統(tǒng)前端會使用負(fù)載均衡器，將用戶的連接請求發(fā)送給當(dāng)前仍有剩余計算能力的服務(wù)器處理。

這種架構(gòu)很容易遭到分布式拒絕攻擊，因此需要在前端的負(fù)載均衡器上配置安全控制組件，或者在防火墻的后端設(shè)置安全網(wǎng)關(guān)進(jìn)行身份鑒定授權(quán)。

存儲端：采用虛擬桌面方案之后，所有的信息都會存儲在后臺的磁盤陣列中，為了滿足文件系統(tǒng)的訪問需要，一般會采用NAS架構(gòu)的存儲系統(tǒng)。這種方式的優(yōu)勢在于企業(yè)只需要考慮保護(hù)后端磁盤陣列的信息防泄漏，原本前端客戶端可能引起的主動式的信息泄密幾率大為減少。但是，如果系統(tǒng)管理員，或者是具有管理員權(quán)限的非法用戶想要獲取信息的話，這種集中式的信息存儲方式正中其下懷。

如果使用普通的文件系統(tǒng)機制，系統(tǒng)管理員作為超級用戶具有打開所有用戶目錄，獲取數(shù)據(jù)的權(quán)限。這意味著所有客戶端的信息都會被十分簡便地獲取、檢索、修改。這種威脅有時也會成為阻礙虛擬桌面為前端用戶所接受的原因之一。

在虛擬桌面的環(huán)境中，一般采用專業(yè)的加密設(shè)備進(jìn)行加密存儲的方式，并且為了滿足合規(guī)規(guī)范的要求，加密算法應(yīng)當(dāng)可以有前端用戶指定。同時，在數(shù)據(jù)管理上需要考慮三權(quán)分立的措施，及需要系統(tǒng)管理員、數(shù)據(jù)外發(fā)審核員和數(shù)據(jù)所有人同時確認(rèn)也能夠允許信息的發(fā)送。這樣可以實現(xiàn)主動防泄密。此外，還需要通過審計方式確保所有操作的可追溯性。