OSV智能桌面虚拟化军工企业解决方案

项目需求

军事单位的特殊性，决定了其需要建立一个集中化的可随时响应新业务需求的架构，以方便提供与时俱进的研发平台和业务平台，从接入到存储的一套完整的接入，认证的安全体系。做到数据安全的三防原则：防偷，防泄，防毒。在进行桌面虚拟化方案选择时时，参考了市面上流行的托管式桌面虚拟化解决方案（VDI），其特点是TCO较高，并且存在兼容性风险和性能较底的特点，对此，选择了《OSV智能桌面虚拟化》产品，进行桌面虚拟化部署。

实施要点

OSV智能桌面虚拟化在进行部署时对接入，存储，控制的处理：?? 接入：当用户通过交换机进行联网，就要进行认证，并进行审记。?? 存储：本地无存储设备，包括硬盘，U盘，凡是可以存储的设备，不允许有，所有数据均要集中存储于服务器上。?? 控制：可以批量管理终端，批量下发操作系统，批量下发应用程序，并能做到能对终端问题的快速响应，对此，OSV采用了802.1X进入接入认证，客户端在启动时，首先会引导一断已写在主板BIOS中的OSV BOOT程序，通过OSV BOOT 引导用户进行802.1X认证，认证时，要求用户输入用户名，密码进行接入审计，正常审计过后，连接网络，在网络上进行操作系统的启动和应用数据的下载。OSV智能桌面虚拟化是如何实现数据的三防一存（防偷，防泄，防毒，存储）机制的实现：???防偷：OSV智能桌面虚拟化在运行时，将桌面流数据，以缓存的形式，派发至客户端的本地磁盘上进行运行，在派发至本地磁盘时，采用了分散式加密的方法，当客户端硬盘被带出时，看到的，只是一个未格式化的磁盘而已，而很难恢复出有用的数据。当然也可以采用本地无存储的模式进行部署，就更没有硬盘被带走的风险了。???防泄：数据的泄密的过程是可以反推出来的，互联网，存储外设，都可能会成为数据泄密的通道。那么屏蔽这些元素，就可以防止数据的外泄。OSV智能桌面虚拟化在低层拦截USB存储驱动过程，可有效防止在USB外设引起的数据安全问题，并且在原理上，OSV驱动无法破解，磁盘是无法进行穿透的。???防毒：OSV通过还原机制，保护系统的安全，在原理上，这种模式本来就不易被破解，防止了磁盘被穿透的可能，即使MBR病毒感染的风险也很小。???存储：通过个性化功能，重定向用户的数据，即使在还原模式中，用户的数据仍然是可以保存在OSV服务器。

实施过程：

802.1X?认证过程OSV 进行部署时，主要面对二类终端：台式机，笔记本电脑，对于台式机，可以外插8169 的网卡，网卡上外插OSV ROM 芯片，来完成802.1X接入认证。对于笔记本用户，外接网卡不实现，所以选择把OSV ROM直接写进硬盘，创造开机启动项，当笔记本被带出去时，可以使用笔记本自带硬盘启动私人系统，进行工作。当用户回到网络中，在开机启动中，选择 OSV 启动时，会触发OSV的802.1X认证，认证通过后，启动内网的标准桌面环境，并有权限访问内网上的数据。当认证失败时，无权限访问内网数据，并且无法启动内网标准的桌面环境。

台式电脑的处理：

上图8169网卡，红框处可以外插OSV ROM?进行操作系统的引导，可完成802。1X认证台式电脑采用外插8169网卡，8169网卡上外插一块OSV ROM 的芯片，在终端进行开机时，会自动加载网卡上的OSV ROM，OSV ROM 进行802.1X的认证，并进行网络引导进行启动。台式电脑采用刷改主板BIOS也可以安装OSV ROM至主板中，但实施时，难度比外插网卡难度大。同一类型的终端进行实施时，难度要小一点，配置越多，实施难度就越大。

笔记本用户：

笔记本用户可以选择在原有系统上安装OSV BOOT Menu来实现802.1X环境认证和使用，当用户笔记本带入网内时，必须选择802.1X认证并进行启动才能进入标准的桌面环境进行使用，否则只能使用笔记本的系统进行使用，且不能使用内网的资源。

用户的数据处理

用户所有的我的文档，桌面数据，均采用OSV的个性化功能，重定向至OSV服务器上进行存储，OSV后端挂载磁盘柜，进行数据的存储和备份，保障了用户的数据安全。用户的桌面环境由OSV智能桌面虚拟化管理平台进行统一派发和管理，并进行保护，用户无权限删除，更改虚拟桌面上所安装的软件和应用程序。同时也防止了终端电脑中毒的可能，技术原理上，也能防止客户端磁盘被穿透的可能。

802.1X 的加密处理

非法使用802.1X客户端进行使用，或者进行二级代理时，也给数据安全造成比较大的威胁，对此，我们对OSV的帐户信息进行了处理，用户得不到正确的用户名和密码，所以在其他客户端中，无法进行正常的认证。

方案总结

OSV智能桌面虚拟化，在保证了桌面统一管理的同时，也实现了对数据的安全管控，802.1X认证环境中，实现了操作系统的启动审计，保证了电脑使用的安全。对比VDI方案，其建设成本更底，效能更高，安全性更高。