桌面虚拟化及数据安全解决方案

IDV
集中管理和高安全 与传统PC使用体验相同 可以脱离企业网络运行 对服务器和网络要求低
优势
劣势
• • •
终端硬件要求高 方案的知名度低 终端硬件的维护量相对瘦客户机较高
使用 场景
•
知识性使用者 (办公人员、研发人员, 设计师，金融工作者)
19
我们希望能够从客户需求出发，认真分析业务情况，探 讨最佳的虚拟化解决方案和运维方案，保障桌面虚拟化项 目的顺利推广，为企业业务平台的稳定运行提供良好的 服务器环境和桌面环境保障
保证安全：加密文档没有密钥、授权无法打开；
符合规范：算法体系通过国家认证； 注重感受：透明加解密，不改变用户使用习惯； 技术先进：驱动层与应用层结合，文件加密与应用控制结合；
35
加密方式
36
终端防护-手动加密
手动加密 文件加密后会自动上锁 密文文件属性
合法用户透明化使用
37
加密格式
8
比VDI更先进
典型场景
电子教室 知识型办公 环境
设计工作室
特点： 1、需要支持多业务 2、对运算及显示性能要求高 3、同时运行多个桌面环境 4、快速切换及恢复 4、有时需要脱网使用 5、数据保密性要求高
9
桌面虚拟化行业IDV的发展趋势
10
桌面虚拟化解决方案
“燕瘦环肥” 胖瘦因你而定
根据用户的需求，我司分别为用户提供瘦终端和胖终端的桌 面虚拟化解决方案，满足各种业务环境需求
Vmware 桌面虚拟 化解决方案
Citrix桌面虚拟化 解决方案
智能桌面虚拟化 解决方案
VDI
IDV
11
智能桌面虚拟化解决方案
智能桌面虚拟化是一种集中管控、分布运行的桌面虚拟化解决方案，利用客户端虚 拟化实现，可以为用户提供简单、便捷的桌面低风险实现方案，充分利用现有设备， 实现基于虚拟化的桌面集中标准化管控，实现桌面数据的安全防护，从而为企业业 务平台的稳定运行提供良好的桌面环境
6
典型场景
呼叫中心 银行窗口
电信营业厅
特点： 1、业务单一 2、对性能要求不高 3、占用带宽少 3、办公空间小 4、多人共用一台电脑 5、需要快速部署 6、数据保密性要求高
7
IDV的优势及劣势
集中管理 安全 桌面环境部署的灵活性 IT人员工作量降低 不需要改变现有的服务器和网络架构
与VDI相同
与原有的PC使用体验相同 对网络的要求较低，可以允许在脱离网络环境的情况下使用 由于本地显卡的参与多媒体体验较好 兼容各种I/O设备 如果不适应可以随时退出 知名度不如VDI厂商 终端的投入比瘦客户大 终端的设备维护工作量相比瘦客户机要大一些
集中管理 安全 桌面环境部署的灵活性 IT人员工作量降低
与VDI相同
不需要改变现有的服务器和网络架构 与原有的PC使用体验相同 对网络的要求较低，可以允许在脱离网络环境的情况下使用 由于本地显卡的参与多媒体体验较好 兼容各种I/O设备
比VDI更贴合 客户需求
具有灵活的项目后备方案
14
智能桌面虚拟化用户体验优势
1.
桌面虚拟化的发展 Executive Summary
桌面虚拟化已经兴起并将不断发展下去
• 42%的大企业客户正在实施, 到2014年40%的商用PC将被虚拟化 • 客户采用虚拟化的主要原因为集中管理、数据安全以及业务灵活性
• 投资桌面虚拟化会增加IT投入，但是从长期来看会降低企业整体运维成本
VDI
虚拟桌面架构
IDV
智能桌面虚拟化
− 桌面用户使用习惯的 影响 − 网络依赖
− 易推广
4
VDI和IDV的不同桌面虚拟化实现方式
VDI – 集中存储和运算
IDV – 集中存储和本地运算
5
VDI的优势及劣势
集中管理 安全 桌面环境部署的灵活性 IT人员工作量降低 性能相对较低，使用体验差或者达到高性能的成本较高 需要时时在线对网络极度依赖 改变了使用者固有的使用习惯 服务器、存储及网络等IT基础设施投入成本较高 多媒体体验差 I/O设备的兼容性差 退出机制的门槛及成本高
对离线、外发出去的电子文件进行全生命周期的安全防护技术 （包括时间、权限、次数、密码、传播等多维控制方式）
32
解决思路
1
个人终端文档防护
（个人数据）
对个人计算机重要数据进行加密，根据不同的需求设定不同的加密方式， 包括（手动加密、自动加密、扫描加密等）。非法用户、无权限用户无 法使用。对重要行为进行控制（阅读、编辑、打印、复制、截屏）。 2 业务系统数据&共享文档防护 （集中数据）
电子办公类
Office系列、Wps系 列、AdobePDF系 列、FoxitPDF、书 生、Apabi
图形图像类
Acdsee、Windows 图片浏览器、 Photoshop
音频视频类
wmplayer、 QQPlayer、 baiduPLayer…
工程设计类 根据企业实际要求 设定加密文件及加 密的类型 Autocad、UG、 ProE、Catia、 CorelDraw、 Microstation
41
解决思路
1
个人终端文档防护
（个人数据）
对个人计算机重要数据进行加密，根据不同的需求设定不同的加密方式， 包括（手动加密、自动加密、扫描加密等）。非法用户、无权限用户无 法使用。对重要行为进行控制（阅读、编辑、打印、复制、截屏）。 2 业务系统数据&共享文档防护 （集中数据）
15
智能桌面虚拟化成本优势
• 风险点
– 数据中心需要较大投入，每桌面数据中心投 入大约为3000元甚至更高 – 数据中心的运维难度增大，需要较高能力的 运维成本 VDI IDV
• 智能桌面虚拟化解决方案
– 智能桌面虚拟化的数据中心5～8台服务器 可支持超过3000个桌面，平均每桌面数据 中心投入低于500元 – 运维管理非常简单，可沿用原有桌面运维管 理人员
如OA、ERP、PLM、共享存储等，通过系统集成功能、为业务系统提供加解 密服务，实现对关键文件的安全防护及细粒度授权使用 3 离线外发文档防护 （离线数据）
对离线、外发出去的电子文件进行全生命周期的安全防护技术 （包括时间、权限、次数、密码、传播等多维控制方式）
33
数据防泄密平台建设
34
数据加密-透明加解密
• 风险点
– 高负载应用体验较差，如复杂办公、图片展示、3D展示、 音视频 – 外设兼容性，只有与VDI解决方案验证过的才能使用 – 用户使用习惯的改变（瘦客户机）
• 智能桌面虚拟化解决方案
– 虚拟机位于本地运行，具有非常好的运行体验 – 几乎可以兼容所有外设，并基于策略，可以实现对外设 的管控 – 用户使用习惯上几乎没有改变（胖客户机）
集中管理平台 本地执行 Live PC
管理服务器 互联网 公司网络
用户数据及设置 用户应用程序 企业标准镜像 硬件/操作系统
主镜像
策略
与Vmware/Citrix不同点在于“集中管控、集中运行”
12
智能桌面虚拟化主要功能
云端控制
离线使用
跨平台
个人
安全保护 自我修复 备份恢复
企业
13
智能桌面虚拟化的优势
系统安全
坚不可摧的底层虚拟化技术，从 CPU层面屏蔽各种恶意行为
数据安全
符合国际标准的AES算法，整个磁 盘完整加密，无法向外复制
18
VDI vs. IDV
VDI
• • • • • • • • • • 集中管理及高安全 终端硬件要求低(瘦客户机,) 硬件的使用寿命延长 终端维护简单 由于延迟造成使用者体验较差 TCO相对较高，对网络的依赖度高 对多媒体及I/O设备的支持较差 服务器建设成本和维护成本高 退出机制的门槛和成本较高 单一功能使用者 (呼叫中心, 窗口行业,前台) • • • •
（个人数据）
对个人计算机重要数据进行加密，根据不同的需求设定不同的加密方式， 包括（手动加密、自动加密、扫描加密等）。非法用户、无权限用户无 法使用。对重要行为进行控制（阅读、编辑、打印、复制、截屏）。 2 业务系统数据&共享文档防护 （集中数据）
如OA、ERP、PLM、共享存储等，通过系统集成功能、为业务系统提供加解 密服务，实现对关键文件的安全防护及细粒度授权使用 3 离线外发文档防护 （离线数据）
16
智能桌面虚拟化快速故障处理及恢复
物理或逻辑损坏

Rejuvenate (一键恢复)
或者
互联网 企业内网

公司标准客户端镜像 恢复！ 互联网 企业内网 办公电脑 公司标准客户端镜像
丢失或偷盗

便携式客户端*
病毒

最终用户

17
用户可以自助选择恢复当系 统出现问题的时候，系统会 提示重启

客户端镜像可以通过互联网或者 企业内网自动下载，同样适用于 个人系统镜像
内网管理 软件
磁盘加密 硬件加密
国外数据 泄露防护 （DLP）
数据加密 管理 （DSM）
文档加密全生命周 期管理 外部入侵窃密 内部有意泄密 无意泄密
限制USB口 限制互联网 行为管理
磁盘加密软件 特有行业
外部入侵窃密 内部无意泄密
23
数据防泄密产品要求
为重要文档提供全生命周期的防护 实现业务系统的重要文档防护 文档的分级防护与多级授权使用 对工作习惯改变小 对工作效率影响小 安全可靠、简单易用
24
业务背景
企业信息化应用规模不断扩大——办公进入计算机时代，业务系统、 内部外部连通的网络、数据载体、移动办公；
风险增加——信息操作行为存在隐患（主动泄密、人为失误）、网络 环境存在威胁（黑客、木马等）；
25
需要防护的数据
26
文档面临着安全隐患
内部员工
离职雇员 离职时打包 批量带走公 司重要文档
其他类型 Winrar、Winzip、7z 、360zip、
38
权限控制
• 基本权 限 • 编辑控 制 • 打印输 出
阅读
编辑
• 内容复 制
打印
• 截屏录 屏
复制
39
截屏
权限管理
40
细粒度多文档权限控制
只读控制 （精确到权限菜单）
细粒度的多文档权限控制功能 嵌入应用的控制方式在提升安全性之上， 让终端用户体验更加友好。
2. 两种主流虚拟化技术:
虚拟桌面架构(VDI) vs. 智能桌面虚拟化(IDV)
• VDI是目前较为流行的虚拟化技术，由传统的服务器及服务器虚拟化厂商主导 • IDV是一种新的桌面虚拟化技术，由传统PC厂商主导(以intel、AMD等厂商为主导。)
3
桌面虚拟化的主要考虑因素
− 整体投入成本 − 桌面体验
屏幕拷贝 屏幕拍摄
28
黑客木马
需要防护的数据类型
• Word • WPS • PDF
公文
• Word • PPT • Excel
商务文件
• Autocad • 三维软 件 设计图纸 • 图片
• Excel • WORD
财务报表
29
• 各类格 式
个人信息
面临问题
终端文档 安全 应用系统 文档安全
离线文档 安全
1、如何保护终端的重要文档？
2、如何对OA、档案系统、知识库中的文档进行离线防护？
3、如何实现保证离线文档的安全？ 4、如何实现分档的分级防护？ 5、如何对文档使用进行精确控制？
文档分级防护
30
权限精确控制
整体解决思路
数据安全 整体解决方案
管理功能 结合企业管理制度
31
解决思路
1
个人终端文档防护
20
安全行业发展
基础设施
• 雷击、防水、机房监 控
网络边界
• 内容过滤、入侵检测
服务器应用
• 主机保护、数据库审 计、数据备份、身份 认证
内网安全
• 流量分析、安全准入、 漏洞扫描、身份认证
桌Leabharlann Baidu安全
• 数据安全、行为管理、 行为监控、系统管理、 防病毒、身份认证
22
数据防泄密发展趋势
非机构化数据安全
合作伙伴 合作期间保 留大量外发 文档
竞争对手
竞争对手高 价购买产品
黑客木马
主动或无意
间泄露单位
机密或第敏 感信息
病毒、木马、 黑客窃取企 业大量重要 信息
资料、财务
数据、设计 图纸
27
文档面临着安全隐患
复制/粘贴/打印/ 截屏等危险操作
文档非法外发外带 主动泄密
离线文档泄密 二次泄密
知识产权
存储介质 丢失被盗

如果用户电脑丢失或者被盗，只需通 过USB磁盘连接到家庭电脑或公用电 脑即可
可同步企业标准镜像和用户数据用户数据 同步为可选方案

当拔出USB磁盘时镜 像立即删除
智能桌面虚拟化数据安全机制
物理安全
防止接触到未经授权带出公司的笔 记本电脑等
• 验证设备的有效使用期限，有 效期终止后，必须连接公司内 网的认证服务器进行身份确认， 否则自动锁定本机 • 锁定期满一定时间后，自动销 毁磁盘数据 • 每次重启后自动还原到干净的 镜像，拒绝病毒、木马侵袭 • 防止恶意卸载管理Agent • 最终用户可一键恢复至干净的 磁盘镜像 • AES256位硬件加密，现有技 术无法穷举破解，不怕丢失， 不怕被盗 • 系统环境无法被复制 • 非授权的设备禁止接入网络