桌面云助力企业信息安全

桌面云助力企业信息安全数据安全篇徐耀文SystemEngineerManager企业主要保护对象制造业设计图纸、价格体系、商业计划、客户资料、财务预算、市场宣传计划、采购成本、合同定单、物流信息、管理制度等。设计类机构设计图、设计方案、策划文案、客户信息、软件程序等。序号行业客户数量比例（%）合同金额比例（%）1制造业70402设计研发57数据保护先要回答的几个问题要怎么做才能更好地防止数据丢失？敏感数据如何被使用和传输？敏感数据在哪里？Symantec4该如何选择正确的方向技术上，用户通常有两种选择：•强控制技术•强审计技术加密/EDRM是强控制的代表•文件加密•标记文件的权限，例如谁能访问？能否读、写、打印、拷贝粘贴以及时效性等等DLP是强审计的代表•通过对内容进行深度分析，按照策略来识别、监控和保护静态存储的、使用中或动态传输的数据传统安全手段，100%的数据安全依旧难以实现PresentationIdentifierGoesHere5信息传播信息存放、访问邮件外发、上网第三方数据库交流移动媒体信息使用木马文件服务器信息产生•文件类型众多，版本众多，很多常见的设计类文档格式尚不支持•无法与客户的业务系统无缝结合，如制造类企业中存在着品种复杂的PLM、PDM系统。•目前还不能对所有敏感信息操作和传送渠道进行完整全面的检查,如红外，蓝牙，拆卸硬盘进行拷贝等•不符合用户日常使用习惯，使用不便•稳定性差，资源占用率高。经常导致相关应用程序无法正常使用•管理流程过于复杂，难以操作•基于策略检查--当信息归属部门众多的时候，如何制定策略？制定哪些策略？事件谁来管理？•基于文档加密授权--对现有的业务流程有什么影响？文档加密以后，我们如何和客户、合作伙伴交互文档？不同的分公司、业务部门之间是否要限制使用？文件又如何流转？普通员工知道哪些文档需要加密吗？加密的文件哪些人可以使用呢？谁能对文件进行解密操作？解密需要什么样的审批、审计流程呢？CitrixConfidential-DoNotDistribute传统安全手段的弊端当没有一种技术完美时…信息泄漏防护规划•重要敏感信息发现•泄露行为检查•泄漏事件响应•基于用户或信息的全面报告审计数据泄露防护加密处理电子文档安全控制•文档加密•U盘加密•邮件加密•硬盘加密•文档加密•文档授权、访问控制•基于用户或文档的专题报告审计桌面管理不可承受之重U盘管理•U盘注册•U盘加密9为什么防泄密这么难？因为数据无处不在EndpointSocialEngineeringData-In-MotionData-At-RestPhysicalDataLossLaptop/DesktopServerCD/DVDUSBiPodMemoryStickPCMCIAMemoryCardReadersCommunicationBluetoothInfraredFirewireSerial/ParallelPortsVirtualMachineOtherThreatVectorsScreenScrapersTrojansKeyLoggersPhishing/SpearPhishingPiggybackingDumpster(Skip)DivingContractorsRoadAppleEavesdroppingE-MailHTTP/SSSHFTPIMVoIPP2PBlogsDatabasesFileSystemsFileServersNASSANs/iSCSIStorageVoiceMailVideoSurveillancePrintersBackupTapes/CD/DVDLaptop/Desktop/ServerFaxPhotocopierMobilePhone/PDADigitalCamera(incl.MobilePhoneCameras)IncorrectDisposalPrintedReports社会工程服务器获取网络获取物理途径终端获取安全源自好的设计用户信息桌面虚拟化将使用和运行分开桌面设备桌面和数据上收到数据中心12DesktopWorkload(OS,Apps,Data)桌面的存储和执行（包括操作系统、应用程序和用户数据）都集中在数据中心的虚拟机上用户界面使用远程协议（例如ICA）传输到用户的终端设备上桌面虚拟化——数据永远不离开数据中心•任何设备、任何系统均可以按需接入•高性能网络传输，允许您透过任何链路、在任何地方接入鼠标点击和键盘信息传递到数据中心端数据和应用执行100%在服务器屏幕变化传送到客户端设备应用服务器Citrix协议优势鼠标与键盘输入信号发送到服务器，没有字符等可显示数据应用或桌面在服务器端运行用户界面推送到客户端设备用户虚拟化平台ICA协议传输图像变化和设备支持，含有32个虚拟通道，分别传输不同信息传输键盘扫描码、鼠标事件和打印数据等，没有真实业务数据服务器端获得信息实现对屏幕的操控，传输图像变化在客户端显示可对用户所有操作进行录像审计，提高安全监控级别用户体验与使用本地系统基本一致，每个客户端平均只需30Kbps带宽TCPICAAUDIOCLIPBOARDDRIVEPRINTINGVIDEOCOM网络15与传统数据交换方式比较1服务请求Data2业务数据业务系统用户终端4远程屏幕图片1按键信号鼠标位置2服务请求Data3业务数据业务系统虚拟化平台用户终端（瘦终端或一般PC）传统数据交互虚拟化后的数据交互15CitrixConfidential-DoNotDistribute3DHDXPro+GPUPassThroughSolutionOverviewDellR5500RackServer4xNVIDIAQuadro20003xNVIDIAQuadro4000XenServerVMVMVMVMHDX3DReadyThinClientDell-H/WSpecification•Model:DellR5500•CPU:IntelX56906Core*2EA3.47Ghz•RAM:96GB•HDD:SAS146G*4EA15kRPM•VGA:nVidiaQ6000*2EALocalvs.VDIViewsetLocalVDI%Catia44.8540.4590%Maya108.6898.1690%Pro*e8.137.6894%•AutoCAD®2012•AutoCAD®Architecture2012•AutoCAD®MEP2012•AutoCAD®Mechanical2012•AutoCAD®RasterDesign2012•AutoCAD®RevitMEPSuite2012•Revit®Architecture2012•Revit®Structure2012•Revit®MEP2012•AutoCAD®Map3D•AutoCAD®Map3DEnterprise•Autodesk®DesignReview2012虚拟环境下设计开发类软件支持清单HDX3DProisNOTapplication-dependentExamplesofapplicationstestedwithHDX3DProGraphics:CAD/CAM/CAE,CollaborationCATIA,Delmia,EnoviaPTCPro-E/CreoSiemensNX,TeamCenterAutodeskInventor,RevitAutodeskMAYA,AutoCADJT2GoSolidworksBlenderApplicationFurnPlanAdobe3DGISGoogleEarthISRO–BhuvanArcGISExplorerMultimediaHDVideosinYouTubeWindowsMediaPlayerVLCMediaPlayeretc.MedicalApplicationFiatLuxTestApplicationsNEHEAppsforOpenGLDirectXSDKCUDASDKGLViewBenchmarkandDemoRealtimeHDRTurbineDemoSpecViewPerfCineBenchWPFApplicationsMixMePhotoShuruVisual3DOfficeApplicationsandWin7Gadgets再回答一次这几个问题要怎么做才能更好地防止数据丢失？敏感数据如何被使用和传输？敏感数据在哪里？为什么桌面集中会更安全？•个人的数据集中存储在数据中心，个人只能访问被授权的数据•数据集中的备份管理•防止数据因个人设备损失而丢失•简化的外设管理，防止数据泄露•统一的安全策略（防火墙，防病毒，系统补丁，文件权限等），管理一台服务器远比管理100台PC机要容易得多•管理员的操作也是可以审计的•用户通过加密的连接访问到桌面22有且只有“虚拟桌面”才能做到百分百的安全场景与案例高科技制造业主要应用场景数据安全协作式设计简化桌面管理远程提速绿色IT移动办公中航工业研究所301所项目需求(1)实现整个301所办公数据的集中存储及管理(2)实现301所设计及产品研发人员的数据安全(3)用户通过USBKEY（智能卡）认证后可以方便的登录个人桌面系统办公，办公体验应用现有PC机接近；(4)系统管理员作为计算机资源的分配者，未用户按照需求分配计算机资源，用户完全变为计算机资源的使用者，提高整体资源的利用率；(5)由系统管理员统一负责发布、管理和维护用户的桌面，集中进行补丁升级、系统杀毒、添加应用等工作；(6)当桌面故障时，系统能快速恢复用户桌面的正常使用；(7)用户数据集中管理，由专门管理员负责管理，用户不必担心出现故障后用户数据丢失、泄露的风险。中国航空工业集团公司组织结构负责整个中国航空工业集团IT产品相关选型•金航数码是中航工业研究所旗下的第三产，他是整个IT产品选型的执行者中航工业研究所关键软件一览表•飞天USBKey•格尔证书格式•格尔PC网盾•北信源终端控制•文件加密工具•瑞星防病毒软件•三合一设备•三维图形设计软件•使用部门•3D软件：GPUPassthrough桌面上，主要的几类3D软件性能通过优化以后，用户体验效果为8分，但是CADWORX在打开100M左右的大项目文件时，依然存在较卡的现象，这是物理机也无法避免的，只是在虚拟机上问题更明显。•2D软件：普通虚拟桌面上，AutoCAD2008和2011两个版本用户给予了7-8分的性能评价，虽然性能和效率上有损失，但是可以使用。•普通办公：与之前过的，配置偏低的台式机相比，在虚拟桌面内办公更顺畅，速度更快•IT部门•综合评测多家产品后，Citrix产品功能更为完善，尤其是在图形图像设计领域优势明显•测试中，虚拟桌面和现有安全防护软件出现冲突，在解决冲突过程中，Citrix厂商本地研发介入，协助第三方解决，态度更积极用户评价中国空间技术研究院西安分院(西安空间无线电技术研究所)CitrixVDI+HDX案例客户名称：中国航天科技集团公司第五研究院第五0四所(西安空间无线电技术研究所)项目类别：1）工作站虚拟化；2）桌面虚拟化客户需求：1）1000个节点的桌面虚拟化，本期（一期）实施200点，主要应用为办公；2）逐步推向全院的工作站虚拟化，本期部署30个虚拟工作站；主要应用为Pro/Engineer、HFSS等三维造型和仿真软件。客户痛点：•应用效率有待提高，可随时随地、任何网络环境进行访问•安全性问题，防患终端设备遗失、数据被盗等事件•内部人员窃取重要资料和外部恶意入侵•终端设备损坏影响工作•办公环境大规模病毒爆发•Pro/Engineer、HFSS等三维造型和仿真软件更新所需更新增工作站导致采购成本显著增加•减少维护和管理工作量解决方案：1）4台戴尔服务器R910搭载CitrixXenDesktop提供200个虚拟桌面的办公系统（整合比1:50）；2）15台戴尔工作站R5500通过CitrixHDX虚拟化3D穿透技术实现了1:2的整合比，成功部署30个虚拟工作站满足3D设计。桌面