世纪大选希拉里与川普的PK，最终宣告“白左”的落败，引发全球热议。而在其中，希拉里被川普反复揪住的小辫子，就是其不光彩的“邮件门”事件。伴随邮件的逐步曝光，事件展现出的惊天内幕让“纸牌屋”的编剧也自愧不如。

3月，希拉里团队里最重要的一名成员，竞选经理John Podesta，在最错误的时间，点了一封最错误的邮件。这是一封黑客发给他的钓鱼邮件，他无意间泄露了自己的密码，由此，他的邮箱很快就被黑客翻了个遍，之后，黑客把战果全部交给了维基解密。

维基解密组织得到了近两万封邮件，分别来自民主党委员会的公关主任，财务总监，高级顾问等7位民主党的重要官员，这些邮件主要讨论的内容是怎么把希拉里捧上总统宝座。

于是我们知道：

希拉里早就知道卡塔尔和沙特一直在资助ISIS。早在2014年，希拉里在给JohnPodesta的邮件中，就承认卡塔尔和沙特是为ISIS以及该地区其他逊尼派激进组织提供财政和后勤支持的大金主。

虽然我们像看戏一样看着美国大选的种种烧脑剧情，但必须强调的是终端的安全至关重要，试想如果那位中招的竞选成员不给黑客可乘之机，在当时使用的是内外网隔离环境，使用内网邮件服务器来处理如此重要的信息，那么现在的美国总统会是谁呢。

历史不能假设，我们只能以史为鉴，加强安全防护。我们常用的桌面终端系统是不是可能存在如下问题呢？

外部的信息安全威胁：例如，攻击者通过漏洞扫描软件探测到系统漏洞后，直接使用攻击工具窃取信息或破坏系统；攻击者通过内嵌木马病毒的电子邮件、文档、音视频文件进行攻击；攻击者通过在应用软件甚至操作系统中嵌入木马病毒，等待合适的机会或者在设定的时间进行攻击等。内部的信息安全威胁：各种调查显示，大部分信息泄露事件都是由内部员工造成的（例如希拉里的竞选经理），只有少部分是因为外部黑客造成的。内部员工有意或无意违反保密管理制度，突破内网监控和物理隔离机制，不正确地处理和获取信息。或是离职员工、间谍以及对公司不满的员工的恶意窃取信息行为。或是保密意识淡薄、疏忽大意导致泄密事件的发生，常见的是笔记本电脑和存储介质丢失导致泄密。

传统模式下用户内部会使用两套物理隔离的网络，以隔绝各种威胁，单位员工每人桌面都有两台主机和两台显示器，分别连接内外网资源。但问题在于，传统PC也会存在数据泄密风险，桌面本地化数据存储让安全机制只能分散化配置，管理复杂度高，且防泄密效果差；另外，用户连接外网时必须使用另一台主机，虽然有严格的内外网隔离保障了内网安全，但2套桌面设备的管理与运行给IT管理员带来了成倍的维护工作量。

如何防止上述的威胁呢？

浪潮推荐使用桌面云产品，既能解决桌面系统的安全问题，又能统一管理和简化运维。

　　桌面虚拟化系统架构图

用户只需要一台瘦客户机，每台瘦客户机分配两个独立的虚拟桌面系统，一套用于访问内网，一套用于访问外网。其优势在于实现一机多用，并且可以同时访问内外网桌面，可以做到无缝切换，而所有桌面资源都通过虚拟桌面平台来发布，便于统一管理。

　　虚拟桌面双网隔离架构

除了单终端双桌面的隔离方案外，整体方案还提供以下机制保护数据安全：

终端安全

a) 集成本地认证、短信认证、动态令牌、数字证书、第三方认证等身份认证机制；

b) 基于灵活策略设置USB端口使用权限（允许、禁止、单向传输）；

c) 提供集中的细粒度的策略控制用户的授权访问桌面/应用；

传输安全

a) 对传输加密通道进行基于IP、服务的访问控制策略；

b) 采用DES、3DES、AES、国密办等加密算法；

c) 启用企业级防火墙模块，提供状态包过滤和基本安全保护。

平台安全

a) CPU调度、内存、网络访问、磁盘IO、存储空间的隔离，保证虚拟机隔离安全；

b) 个人数据盘的加密访问，保障用户数据安全；

c) 集群HA架构设计，提升系统可靠性，热迁移保证虚拟桌面的不间断访问；

d) 不同管理员角色，授予合适的管辖权限范围，并保存操作日志。

从用户体验上来看，整体方案为用户的各种应用场景进行性能调优，使用高效传输协议提升6倍以上的速度，将访问带宽降至最低，达到与传统PC一致的访问体验。并且利用瘦终端架构内置的高清视频协议处理器可流畅播放1080P高清视频。

　　优化的云桌面体验

优化后的虚拟桌面基本感觉不出有卡顿的现象，且对带宽占用极低，用户在局域网环境和互联网环境下都可以高效办公。

浪潮桌面云系统不仅为用户提供了安全的桌面办公环境，与传统PC一致的用户体验，还为用户缩短了80%的桌面上线周期，加快至少8倍的故障排查速度，极大地减少整体运维成本。从能耗上来说，传统PC+显示器每小时耗电量为250W，而瘦客户机+显示器每小时仅为60W，每0.66元一度电折算成电力费用，每年至少可节省10万元，是真正的无污染、无噪音、绿色的桌面办公环境。

本文转自d1net（转载）