VSP防泄密安全桌面专项方案.doc

1、深信服VSP防泄密安全桌面应用背景 伴随社会信息化进程加紧，政府、金融、企业等多个行业均将信息化建设提升到了发展战略关键位置上，信息化水平成为衡量行业现代化建设和综合竞争力关键标志。网络普及让信息获取、共享和传输 愈加方便，同时也带来了更多安全风险，包含外部入侵威胁和内 部数据泄密威胁。大家往往重视网络外部安全防护，布署防火墙、入侵检测等产品以预防外部入侵威胁，但对于内部泄密行为，如经过 Mail 或 U 盘将部分敏感文件发送给其它人等安全威胁，没有采取对应 方法进行防范。 多年来泄密事件频发，企机关内网安全威胁正在逐年增加。据调查 显示，有超出 85%安全威胁来自组织内部。研发开发代码、企业

2、 决议信息等轻易流失在外，给企业带来巨大经济损失；泄密事件造成 企机关公众形象下降，甚至招致法律风险。所以，对企业关键效益起源内网关键机密数据管控尤为关键。 伴随内网泄密事件频繁发生，内网安全受到了越来越多关注。各类不一样内网防泄密方案层出不穷，如物理隔离、DLP技术、防水墙、全盘加密、DRM技术、虚拟化方法等。但这些方案全部存在着很多不足之处：物理隔离：针对终端对业务数据访 问，采取物理隔离方法，能够将办公网 和互联网分开，但需要跨网使用时，频 繁环境切换带来不便；同时此方法，必需采购两套设备，建设、管理、维护 成本高。DLP 技术：经过文件数据内容特征匹 配算法，建立起一套匹配规则来定义不

3、 同安全等级文档，进而对不一样安全等 级文档进行全方位防护安全技术，但在实际测试过程中误报率普遍全部 偏高，测试效果不佳。防水墙：针对预防内部信息泄漏而设 计安全方案，防护范围覆盖了网络、外设接口、存放介质和打印机组成信息泄漏全部路径，和防病毒产品、外部安全产品一起组成较为完整网络安全体系，不过无法实现对不一样涉密系统访问权限控制和数据区分。全盘加密：通常采取磁盘级动态加解密技术，经过拦截操作系统或应用软件对磁盘数据读写请求，实现对全盘数据实时加解密，从而保护磁盘中全部文件存放和使用安全，不过这种方法会将全部数据进行加密存放，一旦软件系统损坏，全部数据全部将无法正常访问。DRM技术：实现了针对

4、具体文档具体用户，具体访问权限进行细粒度控制，保护范围覆盖了数据文档完整生命周期和传输方法。但这种技术无法对权限设定者进行控制，完全依靠于文档作者自觉性。桌面、应用虚拟化：经过桌面虚拟化、应用虚拟化方法，实现对业务系统隔离防护，安全性较高。然而采取这种方案，后台需要大量服务器，成本投入很高；需要改变现网结构， 布署较为繁杂。VSP（VirtualizationSecurity Platform） 是深信服最具前瞻性虚拟化安全平台。该平台以完美契适用户业务流程为 设计出发点，借助虚拟化技术在用户 默认桌面生成一个虚拟面，经过此桌面访问业务系统，构建一套和风险完全隔离、最具效率和性价比关键业务网络

5、，避免业务步骤中关键业务数据泄漏风险，最大化保障组织信息安全。 VSP 经过单一设备强认证、主从绑定、权限划分等功效来实现整个业务步骤中各个步骤用户访问控制，再借助安全桌面来实现关键业务系统和本机计算机、外设、和其它网络之间完全隔离，不影响用户办公操作， 含有更高性价比和业务可行性。 对于安全性要求较高政府、金融等 行业用户，深信服 VSP 结合上网安全桌面 SD 推出了安全桌面统一终端虚拟化方案，针对不用业务系统，能够采取不一样安全功效安全桌面进 行访问：互联网业务：采取上网安全桌面SD访问互联网，实现病毒隔离，预防互联网风险进入内网。内部系统业务：采取防泄密安全桌面 VSP 访问内部ERP

6、、OA 关键业务系统，实现内部 数据防泄密，预防数据落地到终端后经过多种方法泄密。 经过不一样安全桌面访问不一样业务系统，实现在终端多业务风险隔离，确保了终端安全性；同时也满足了监管部门对信息化安全要求，保障办公网涉密系统数据安全性，规范职员互联网访问行为，保障终端计算机系统和内部网络免受互联网病毒和木马威胁，提高行业信息化安全管理制度落实和实施。系统访问保护VSP布署于关键系统服务器前面，终端访问关键业务必需先登录VSP。用户经过认证以后在防泄密安全桌面中访问业务系统，业务数据无法到达真是物理终端，从而对关键业务系统及数据全部起到了保护作用。泄密操作拦截对可能泄密操作进行拦截，关键工作数据只

7、能放在防泄密安 全桌面中进行编辑、查看等操作、无法把个种业务数据拷贝到默认桌面，无法使用多种外设进行拷贝泄密，防泄密安全桌面和互联网隔离，在安全桌面中也无法经过截屏、录屏等方法获取业务系统中资料，有效地确保了数据安全性。 数据加密保留部分用户需要保留VSP桌面内数据，VSP会对数据行高度加密保留在默认桌面内，方便于用户下次再开启安全桌面环境内自动解密后继续上次未完成文档操作等。此时就算将文档拷贝到其它计算机业无法获取文件信息，且因为防泄密安全桌面进行加密密钥时绑定用户，所以该文件在其它用户防泄密安全桌面内也无法打开，提升了数据安全性。 自动删除数据 业务系统访问完成后，退出防泄密安全桌面时，其

8、中遗留业务文件将会被自动清除。留在原有硬盘文件中机密信息，也会被自动清除，有效降低了业务系统安全风险。支持离线访问部分用户在出差或是无法访问网络情况下，因为无法访问VSP，所以不能进行登录。出于灵活办公需要，VSP提供了离线访问功效。深信服经过提供离线登录U-Key来实现离线访问，其中保留有防泄密安全桌面环境、用户ID、用户密钥、U-Key使用总时长和授权策略等信息。当用户在无法访问网络或VSP时，能够使用深信服U-Key轻松打开当地数据，使用便捷，满足用户灵活办公需要。 支持明文导出部分研究或企业开发部门需要将防泄密安全桌面内开发文件再回传至业务系统，进行工作组中共享或需要和外部用户进行文档

9、交换，而防泄密安全桌面内加密文档是不方便用户间信息流转。VSP虚拟化安全平台支持将文件明文导出至物理桌面，经过解密明文文档在用户之间流转，且支持明文导出审计或审批，实现用户和行为课追溯，从而完美满足了用户需求。 完善数据安全方法1. 完全逻辑隔离，保障关键业务系统及数据安全；2. 安全接入、安全传输、安全访问多维度安全控制手段；3. 安全桌面内数据加密保留于默认桌面内；4. 灵活数据安全策略调控；轻量级虚拟化方案1.10%以下CPU占用率（单核），521M内存电脑即可运行；2.支持旁路、网关方法布署，对现有网络没有影响，易于快速实现上线布署；3支持win 32位、64位系统管理员及USER权限下对防泄密安全桌面操作；4支持自动监控、自动恢复、实时告警，便捷管理维护及升级；卓越用户体验1.对用户使用习惯影响小，易用性高；2.对网络依靠小，支持离线访问；3.轻松实现默认桌面、安全桌面切换；4.支持明文导出，方便业务交互；较高性价比1.利用现有设备，无需额外采购服务器；2.用户并发数性能高；3.支持非对称集群，保护前期投资；4.日常维护量小，降低运维成本