VSP防泄密安全桌面方案

1、深信服VSP防泄密安全桌面应用背景 随着社会信息化进程的加快，政府、金融、企业等多个行业均将信息化建设提升到了发展战略的重要位置上，信息化水平成为衡量行业现代化建设和综合竞争力的重要标志。网络的普及让信息的获取、共享和传播 更加方便，同时也带来了更多的安全风险，包括外部的入侵威胁以及内 部的数据泄密威胁。人们往往注重网络外部的安全防护，部署防火墙、入侵检测等产品以防止外部入侵威胁，但对于内部泄密行为，如通过 Mail 或 U 盘将一些敏感文件发送给其他人等安全威胁，没有采用相应 的措施进行防范。 近年来泄密事件频发，企事业单位内网安全威胁正在逐年增加。据调查 显示，有超过 85%的安全威胁来自

2、组织内部。研发的开发代码、企业的 决策信息等轻易流失在外，给企业带来巨大的经济损失；泄密事件导致 企事业单位公众形象下降，甚至招致法律风险。因此，对企业重要效益来源的内网核心机密数据的管控尤为重要。 随着内网泄密事件的频繁发生，内网安全受到了越来越多的关注。各类不同的内网防泄密方案层出不穷，如物理隔离、DLP技术、防水墙、全盘加密、DRM技术、虚拟化方式等。但这些方案都存在着诸多不足之处：物理隔离：针对终端对业务数据的访 问，采用物理隔离方式，可以将办公网 和互联网分开，但需要跨网使用时，频 繁的环境切换带来不便；同时此方式，必须采购两套设备，建设、管理、维护 成本高。DLP 技术：通过文件数

3、据内容特征匹 配算法，建立起一套匹配规则来定义不 同安全等级的文档，进而对不同安全等 级的文档进行全方位防护的安全技术，但在实际测试过程中的误报率普遍都 偏高，测试效果不佳。防水墙：针对防止内部信息泄漏而设 计的安全方案，防护范围覆盖了网络、外设接口、存储介质和打印机构成信息泄漏的全部途径，与防病毒产品、外部安全产品一起构成较为完整的网络安全体系，但是无法实现对不同涉密系统的访问权限控制和数据区分。全盘加密：通常采用磁盘级动态加解密技术，通过拦截操作系统或应用软件对磁盘数据的读写请求，实现对全盘数据的实时加解密，从而保护磁盘中所有文件的存储和使用安全，但是这种方式会将所有数据进行加密存储，一旦

4、软件系统损坏，所有的数据都将无法正常访问。DRM技术：实现了针对具体文档的具体用户，具体访问权限进行细粒度的控制，保护范围覆盖了数据文档的完整生命周期和传播方式。但这种技术无法对权限的设定者进行控制，完全依赖于文档作者的自觉性。桌面、应用虚拟化：通过桌面虚拟化、应用虚拟化的方式，实现对业务系统的隔离防护，安全性较高。然而采用这种方案，后台需要大量服务器，成本投入很高；需要改变现网结构， 部署较为繁杂。VSP（VirtualizationSecurity Platform） 是深信服最具前瞻性的虚拟化安全平台。该平台以完美契合客户业务流程为 设计出发点，借助虚拟化技术在用户的 默认桌面生成一个虚

5、拟面，通过此桌面访问业务系统，构建一套与风险完全隔离的、最具效率和性价比的核心业务网络，避免业务流程中核心业务数据泄漏的风险，最大化保障组织信息安全。 VSP 通过单一设备的强认证、主从绑定、权限划分等功能来实现整个业务流程中各个环节的用户访问控制，再借助安全桌面来实现核心业务系统和本机计算机、外设、以及其他网络之间的完全隔离，不影响用户办公操作， 具有更高的性价比和业务可行性。 对于安全性要求较高的政府、金融等 行业客户，深信服 VSP 结合上网安全桌面 SD 推出了安全桌面统一终端虚拟化方案，针对不用的业务系统，可以采用不同的安全功能的安全桌面进 行访问：互联网业务：采用上网安全桌面SD访

6、问互联网，实现病毒隔离，防止互联网的风险进入内网。内部系统业务：采用防泄密安全桌面 VSP 访问内部的ERP、OA 的核心业务系统，实现内部 数据的防泄密，防止数据落地到终端后通过各种方式泄密。 通过不同的安全桌面访问不同的业务系统，实现在终端的多业务风险隔离，确保了终端的安全性；同时也满足了监管部门对信息化安全的要求，保障办公网涉密系统数据的安全性，规范员工的互联网访问行为，保障终端计算机系统和内部网络免受互联网病毒和木马的威胁，提高行业信息化安全管理制度的落实和执行。系统访问保护VSP部署于重要的系统服务器前面，终端访问核心业务必须先登录VSP。用户经过认证之后在防泄密安全桌面中访问业务系

7、统，业务数据无法到达真是的物理终端，从而对重要的业务系统及数据都起到了保护作用。泄密操作拦截对可能泄密的操作进行拦截，重要的工作数据只能放在防泄密安 全桌面中进行编辑、查看等操作、无法把个种业务数据拷贝到默认桌面，无法使用各种外设进行拷贝泄密，防泄密安全桌面与互联网隔离，在安全桌面中也无法通过截屏、录屏等方式获取业务系统中的资料，有效地保证了数据的安全性。 数据加密保存部分用户需要保留VSP桌面内数据，VSP会对数据行高度的加密保存在默认的桌面内，以便于用户下次再开启安全桌面环境内自动解密后继续上次未完成的文档操作等。此时就算将文档拷贝到其他计算机业无法获取文件信息，且由于防泄密安全桌面进行加

8、密的密钥时绑定用户的，因此该文件在其他用户的防泄密的安全桌面内也无法打开，提高了数据的安全性。 自动删除数据 业务系统访问完毕后，退出防泄密安全桌面时，其中遗留的业务文件将会被自动清除。留在原有硬盘文件中的机密信息，也会被自动清除，有效降低了业务系统的安全风险。支持离线访问部分用户在出差或是无法访问网络的情况下，由于无法访问VSP，因而不能进行登录。出于灵活办公的需要，VSP提供了离线访问的功能。深信服通过提供离线登录U-Key来实现离线访问，其中保存有防泄密安全桌面环境、用户ID、用户的密钥、U-Key使用总时长以及授权策略等信息。当用户在无法访问网络或VSP时，可以使用深信服的U-Key轻

9、松打开本地的数据，使用便捷，满足用户灵活办公的需要。 支持明文导出一些研究或企业开发部门需要将防泄密安全桌面内的开发的文件再回传至业务系统，进行工作组中的共享或者需要与外部客户进行文档交换，而防泄密安全桌面内的加密文档是不方便用户间的信息流转的。VSP虚拟化安全平台支持将文件明文导出至物理桌面，通过解密的明文文档在用户之间流转，且支持明文导出的审计或审批，实现用户和行为的课追溯，从而完美满足了用户需求。 完善的数据安全措施1. 完全逻辑隔离，保障核心业务系统及数据的安全；2. 安全接入、安全传输、安全访问多维度安全控制手段；3. 安全桌面内的数据加密保存于默认桌面内；4. 灵活的数据安全策略调控；轻量级虚拟化方案1.10%以下的CPU占用率（单核），521M内存的电脑即可运行；2.支持旁路、网关方式部署，对现有网络没有影响，易于快速实现上线部署；3支持win 32位、64位系统的管理员及USER权限下对防泄密安全桌面的操作；4支持自动监控、自动恢复、实时告警，便捷管理的维