VSP防泄密安全桌面方案资料.docVIP

深信服VSP防泄密安全桌面 应用背景 随着社会信息化进程的加快，政府、金融、企业等多个行业均将信息化建设提升到了发展战略的重要位置上，信息化水平成为衡量行业现代化建设和综合竞争力的重要标志。网络的普及让信息的获取、共享和传播 更加方便，同时也带来了更多的安全风险，包括外部的入侵威胁以及内 部的数据泄密威胁。人们往往注重网络外部的安全防护，部署防火墙、入侵检测等产品以防止外部入侵威胁，但对于内部泄密行为，如通过 Mail 或 U 盘将一些敏感文件发送给其他人等安全威胁，没有采用相应 的措施进行防范。 近年来泄密事件频发，企事业单位内网安全威胁正在逐年增加。据调查 显示，有超过 85%的安全威胁来自组织内部。研发的开发代码、企业的 决策信息等轻易流失在外，给企业带来巨大的经济损失；泄密事件导致 企事业单位公众形象下降，甚至招致法律风险。因此，对企业重要效益来源的内网核心机密数据的管控尤为重要。  随着内网泄密事件的频繁发生，内网安全受到了越来越多的关注。各类不同的内网防泄密方案层出不穷，如物理隔离、DLP技术、防水墙、全盘加密、DRM技术、虚拟化方式等。但这些方案都存在着诸多不足之处： 物理隔离：针对终端对业务数据的访 问，采用物理隔离方式，可以将办公网 和互联网分开，但需要跨网使用时，频 繁的环境切换带来不便；同时此方式，必须采购两套设备，建设、管理、维护 成本高。 DLP 技术：通过文件数据内容特征匹 配算法，建立起一套匹配规则来定义不 同安全等级的文档，进而对不同安全等 级的文档进行全方位防护的安全技术，但在实际测试过程中的误报率普遍都 偏高，测试效果不佳。 防水墙：针对防止内部信息泄漏而设 计的安全方案，防护范围覆盖了网络、外设接口、存储介质和打印机构成信息泄漏的全部途径，与防病毒产品、外部安全产品一起构成较为完整的网络安全体系，但是无法实现对不同涉密系统的访问权限控制和数据区分。 全盘加密：通常采用磁盘级动态加解密技术，通过拦截操作系统或应用软件对磁盘数据的读写请求，实现对全盘数据的实时加解密，从而保护磁盘中所有文件的存储和使用安全，但是这种方式会将所有数据进行加密存储，一旦软件系统损坏，所有的数据都将无法正常访问。 DRM技术：实现了针对具体文档的具体用户，具体访问权限进行细粒度的控制，保护范围覆盖了数据文档的完整生命周期和传播方式。但这种技术无法对权限的设定者进行控制，完全依赖于文档作者的自觉性。 桌面、应用虚拟化：通过桌面虚拟化、应用虚拟化的方式，实现对业务系统的隔离防护，安全性较高。然而采用这种方案，后台需要大量服务器，成本投入很高；需要改变现网结构， 部署较为繁杂。 VSP（VirtualizationSecurity Platform） 是深信服最具前瞻性的虚拟化安全平台。该平台以完美契合客户业务流程为 设计出发点，借助虚拟化技术在用户的 默认桌面生成一个虚拟面，通过此桌面访问业务系统，构建一套与风险完全隔离的、最具效率和性价比的核心业务网络，避免业务流程中核心业务数据泄漏的风险，最大化保障组织信息安全。 VSP 通过单一设备的强认证、主从绑定、权限划分等功能来实现整个业务流程中各个环节的用户访问控制，再借助安全桌面来实现核心业务系统和本机计算机、外设、以及其他网络之间的完全隔离，不影响用户办公操作， 具有更高的性价比和业务可行性。  对于安全性要求较高的政府、金融等 行业客户，深信服 VSP 结合上网安全桌面 SD 推出了安全桌面统一终端虚拟化方案，针对不用的业务系统，可以采用不同的安全功能的安全桌面进 行访问： 互联网业务：采用上网安全桌面SD访问互联网，实现病毒隔离，防止互联网的风险进入内网。 内部系统业务： 采用防泄密安全桌面 VSP 访问内部的ERP、OA 的核心业务系统，实现内部 数据的防泄密，防止数据落地到终端后通过各种方式泄密。   通过不同的安全桌面访问不同的业务系统，实现在终端的多业务风险隔离，确保了终端的安全性；同时也满足了监管部门对信息化安全的要求，保障办公网涉密系统数据的安全性，规范员工的互联网访问行为，保障终端计算机系统和内部网络免受互联网病毒和木马的威胁，提高行业信息化安全管理制度的落实和执行。 系统访问保护 VSP部署于重要的系统服务器前面，终端访问核心业务必须先登录VSP。用户经过认证之后在防泄密安全桌面中访问业务系统，业务数据无法到达真是的物理终端，从而对重要的业务系统及数据都起到了保护作用。 泄密操作拦截 对可能泄密的操作进行拦截，重要的工作数据只能放在防泄密安 全