深信服 SSL VPN_EC防泄密-国家信息中心 解决方案.docxVIP

深信服虚拟化解决方案前言目前政府面对挑战：如何保证政府数据安全，避免数据泄露？随着“信息化”的发展，数据安全对政府显得犹为重要。传统方式中，大部分数据都存在用户的个人PC中，如何有效的备份这些重要的数据；另外，据调查90%以上的泄密，都源于内部的泄密，如何避免用户泄密，这些给政府带来了挑战。网络隔离仍需采用物理隔离？很多政府为了保证数据安全，采用物理隔离方式，即一个用户配两台PC，一台办公用：设置很多的安全策略；一台上网用，供用户在互联网上查询相关资料；同时也配置两套网络，一条专用办公网络，一条专用上网的网络。这种方法可以有效的保证数据安全，但投资成本过大，能否降低成本而有效的保证数据安全？政务外网机构不断扩张，如何将应用、桌面交付给远程用户，并且保证良好的用户体验？随着政府的不断扩容，分支机构的不断增加，用户和应用的距离越来越远，如何将应用（特别是C/S架构的应用）交付给远程用户，而且保证良好的用户体验。传统方式只能不断增加带宽，这对政府来说增加了不少成本。如何保证移动用户高效的访问政府数据资源？目前，政府越来越多的用户由于出差等原因需要移动办公，访问政府内部的数据。大多情况下只能将C/S架构的应用转换为B/S架构，无疑又增加了很多成本，同时难以保证数据的安全。如何简化传统部署、维护方式？为了保证业务的高效运行，“信息化”对政府显得越来越重要，随之而来的是需要部署大量的应用服务器和客户端，给IT部门带来了巨大压力，一个项目往往需要部署3-4周，或者更长时间。而用户（客户端）的不断增加，又带来了巨大的维护工作量。如何简化传统部署和维护方式，成为政府面临的一大难题。实现目标数据保护将用户数据统一存放在数据机房，用户只能看到数据的图像，而无法获得真实数据，以保证数据安全性。网络隔离采用逻辑隔离方式，即办公应用采用独立的网段，数据只在服务器端传递，维护终端上无法获得任何业务数据。终端可连接真INTERNET，以查询资料和收发邮件等。对两个网段之间交互的做到灵活管控，远程交付实现远程分支机构通过WAN或LAN的方式访问政府应用，并保证其良好的用户体验。移动办公用户可以使用任何设备（如ThinClient、智能手机、PC、Laptop等），在任何时间、任何地点访问政府应用，并保证其具有良好的用户体验。集中管理可将应用程序客户端进行集中部署和管理，可以将应用按需交付给用户，以简化应用的环境配置及部署要求。深信服解决方案介绍深信服EasyConnect防泄密解决方案深信服EasyConnect防泄密解决方案中心利用政务外网普遍存在的网络连接，将政府各种类型的应用甚至融入了安全的、简便的信息远程接入。整体而言，深信服完整的交付政务办公所需的所有应用，它让用户实现在一台电脑上，即满足访问公共区域--共享的系统，专业区域--垂直体系系统，互联网。又实现网络隔离。图表1深信服EasyConnect防泄密解决方案中心示意图以安全为出发点设计深信服交付中心是以安全为出发点设计的，是提供安全接入的基础，而非事后的弥补。应用都集中在深信服EasyConnect 应用发布服务器上，而IT用户则完全掌控接入控制权。基于策略的控制让IT部门能轻松地限制什么人能接入哪些信息以及什么时候接入。信息是虚拟化的并且是以加密的方式进行传输的，使用户能安全利用非信任网络。最终，深信服能高效管理经由多种接入网关传输的验证过程，从而有效防护任何资源的前门。总而言之，这种安全手段为那些希望扩展接入的机构提供了恰当的保护等级，而没有泄密安全。采用深信服接入基础架构的产品和服务，管理员可以设置端到端的接入策略，指定每种特定接入情境下可接入哪些内容。接入策略可以考虑用户、群组、设备类型、网络位置和端点安全性。通过创建接入策略，管理员能更轻松地控制对敏感数据的接入。应用访问深信服EasyConnect Server提供的应用虚拟化功能，使所有应用执行都发生在数据中心，本地接入设备仅作为演示平台用。这为端点环境、应用执行和信息控制的集中化政府控制提供了独特的机会。该技术利用SRAP协议，SRAP协议连接了运行在深信服服务器上的应用进程和远端客户端设备，通过SRAP的虚拟通道（包括鼠标、键盘、图像、声音、端口、打印等等），运行在中心服务器上的应用进程的输入输出数据重新定向到远端客户端机器的输入输出设备上，因此虽然应用客户端软件并没有运行在客户端设备上，但是用户使用起来和在客户端安装运行客户端软件相比，没有感觉任何操作上的改变。深信服虚拟化应用发布原理如下图所示：图表2深信服最佳应用虚拟化示意图EasyConnect实现了对应用、文件、打印机和数据的集中化部署和管理，允许政府在数据中心管理用户环境的关键特征。集中化使政府能更轻松、更可靠地实现综合控制，对需求变化的适应性更快速、更灵活和更经济实