VSP防泄密安全桌面方案_防触电桌面推演方案
VSP防泄密安全桌面方案由刀豆文库小编整理,希望给你工作、学习、生活带来方便,猜你可能喜欢“防触电桌面推演方案”。
政府、金融、随着社会信息化进程的加快,企业等多个行业均将信息化建设提升到了发展战略的重要位置上,信息化水平成为衡量行业现代化建设和综合竞争力的重要标志。网络的普及让信息的获取、共享和传播 更加方便,同时也带来了更多的安全风险,包括外部的入侵威胁以及内 部的数据泄密威胁。人们往往注重网络外部的安全防护,部署防火墙、入侵检测等产品以防止外部入侵威胁,但对于内部泄密行为,如通过 Mail 或 U 盘将一些敏感文件发送给其他人等安全威胁,没有采用相应 的措施进行防范。近年来泄密事件频发,企事业单位内网安全威胁正在逐年增加。据调查 显示,有超过 85%的安全威胁来自组织内部。研发的开发代码、企业的 决策信息等轻易流失在外,给企业带来巨大的经济损失;泄密事件导致 企事业单位公众形象下降,甚至招致法律风险。因此,对企业重要效益来源的内网核心机密数据的管控尤为重要。
应用背景
深信服VSP防泄密安全桌面
随着内网泄密事件的频繁发生,内网安全受到了越来越多的关注。各类不同的内网防泄密方案层出不穷,如物理隔离、DLP技术、防水墙、全盘加密、DRM技术、虚拟化方式等。但这些方案都存在着诸多不足之处:
物理隔离:针对终端对业务数据的访 问,采用物理隔离方式,可以将办公网 和互联网分开,但需要跨网使用时,频 繁的环境切换带来不便;同时此方式,必须采购两套设备,建设、管理、维护 成本高。
DLP 技术:通过文件数据内容特征匹 配算法,建立起一套匹配规则来定义不 同安全等级的文档,进而对不同安全等 级的文档进行全方位防护的安全技术,但在实际测试过程中的误报率普遍都 偏高,测试效果不佳。
防水墙:针对防止内部信息泄漏而设 计的安全方案,防护范围覆盖了网络、外设接口、存储介质和打印机构成信息泄漏的全部途径,与防病毒产品、外部安全产品一起构成较为完整的网络安全体系,但是无法实现对不同涉密系统的访问权限控制和数据区分。
全盘加密:通常采用磁盘级动态加解密技术,通过拦截操作系统或应用软件对磁盘数据的读写请求,实现对全盘数据的实时加解密,从而保护磁盘中所有文件的存储和使用安全,但是这种方式会将所有数据进行加密存储,一旦软件系统损坏,所有的数据都将无法正常访问。
DRM技术:实现了针对具体文档的具体用户,具体访问权限进行细粒度的控制,保护范围覆盖了数据文档的完整生命周期和传播方式。但这种技术无法对权限的设定者进行控制,完全依赖于文档作者的自觉性。
桌面、应用虚拟化:通过桌面虚拟化、应用虚拟化的方式,实现对业务系统的隔离防护,安全性较高。然而采用这种方案,后台需要大量服务器,成本投入很高;需要改变现网结构,部署较为繁杂。
VSP(VirtualizationSecurity Platform)
是深信服最具前瞻性的虚拟化安全平台。该平台以完美契合客户业务流
程为 设计出发点,借助虚拟化技术在用户的 默认桌面生成一个虚拟
面,通过此桌面访问业务系统,构建一套与风险完全隔离的、最具效率
和性价比的核心业务网络,避免业务流程中核心业务数据泄漏的风险,最大化保障组织信息安全。
VSP 通过单一设备的强认证、主从绑定、权限划分等功能来实现整个业
务流程中各个环节的用户访问控制,再借助安全桌面来实现核心业务系
统和本机计算机、外设、以及其他网络之间的完全隔离,不影响用户办
公操作,具有更高的性价比和业务可行性。
对于安全性要求较高的政府、金融等 行业客户,深信服 VSP 结
合上网安全桌面 SD 推出了安全桌面统一终端虚拟化方案,针对不用的业务系统,可以采用不同的安全功能的安全桌面进 行访问:
互联网业务:采用上网安全桌面SD访问互联网,实现病毒隔离,防止
互联网的风险进入内网。
内部系统业务:
采用防泄密安全桌面 VSP 访问内部的ERP、OA 的核心业务系统,实现
内部 数据的防泄密,防止数据落地到终端后通过各种方式泄密。
通过不同的安全桌面访问不同的业务系统,实现在终端的多业务风
险隔离,确保了终端的安全性;同时也满足了监管部门对信息化安全的要求,保障办公网涉密系统数据的安全性,规范员工的互联网访问行
为,保障终端计算机系统和内部网络免受互联网病毒和木马的威胁,提
高行业信息化安全管理制度的落实和执行。
系统访问保护
VSP部署于重要的系统服务器前面,终端访问核心业务必须先登录VSP。
用户经过认证之后在防泄密安全桌面中访问业务系统,业务数据无法到
达真是的物理终端,从而对重要的业务系统及数据都起到了保护作用。
泄密操作拦截
对可能泄密的操作进行拦截,重要的工作数据只能放在防泄密安
全桌面中进行编辑、查看等操作、无法把个种业务数据拷贝到默认桌
面,无法使用各种外设进行拷贝泄密,防泄密安全桌面与互联网隔
离,在安全桌面中也无法通过截屏、录屏等方式获取业务系统中的资
料,有效地保证了数据的安全性。
数据加密保存
部分用户需要保留VSP桌面内数据,VSP会对数据行高度的加密保存在默 认的桌面内,以便于用户下次再开启安全桌面环境内自动解密后继续上
次未完成的文档操作等。此时就算将文档拷贝到其他计算机业无法获取
文件信息,且由于防泄密安全桌面进行加密的密钥时绑定用户的,因此
该文件在其他用户的防泄密的安全桌面内也无法打开,提高了数据的安
全性。
自动删除数据
业务系统访问完毕后,退出防泄密安全桌面时,其中遗留的业务文件将
会被自动清除。留在原有硬盘文件中的机密信息,也会被自动清除,有
效降低了业务系统的安全风险。
支持离线访问
部分用户在出差或是无法访问网络的情况下,由于无法访问VSP,因而不
能进行登录。出于灵活办公的需要,VSP提供了离线访问的功能。深信服
通过提供离线登录U-Key来实现离线访问,其中保存有防泄密安全桌面环
境、用户ID、用户的密钥、U-Key使用总时长以及授权策略等信息。当用
户在无法访问网络或VSP时,可以使用深信服的U-Key轻松打开本地的数
据,使用便捷,满足用户灵活办公的需要。
支持明文导出
一些研究或企业开发部门需要将防泄密安全桌面内的开发的文件再回
传至业务系统,进行工作组中的共享或者需要与外部客户进行文档交
换,而防泄密安全桌面内的加密文档是不方便用户间的信息流转的。
VSP虚拟化安全平台支持将文件明文导出至物理桌面,通过解密的明文
文档在用户之间流转,且支持明文导出的审计或审批,实现用户和行
为的课追溯,从而完美满足了用户需求。
完善的数据安全措施
1.完全逻辑隔离,保障核心业务系统及数据的安全;
2.安全接入、安全传输、安全访问多维度安全控制手段;
3.安全桌面内的数据加密保存于默认桌面内;
4.灵活的数据安全策略调控;
轻量级虚拟化方案
1.10%以下的CPU占用率(单核),521M内存的电脑即可运行;
2.支持旁路、网关方式部署,对现有网络没有影响,易于快速实现上
线部署;
3.支持win 32位、64位系统的管理员及USER权限下对防泄密安全桌面的操作;
4.支持自动监控、自动恢复、实时告警,便捷管理的维护及升级;
卓越的用户体验
1.对用户使用习惯影响小,易用性高; 2.对网络依赖小,支持离线访问;
3.轻松实现默认桌面、安全桌面的切换;
4.支持明文导出,方便业务交互;
较高的性价比
1.利用现有设备,无需额外采购服务器; 2.用户并发数性能高;
3.支持非对称集群,保护前期投资;
4.日常维护量小,降低运维成本
