桌面云助力企業(yè)信息安全

1、桌面云助力企業(yè)信息安全數(shù)據(jù)安全篇徐耀文System Engineer Manager企業(yè)企業(yè)主要保護對象主要保護對象制造業(yè)設(shè)計圖紙、價格體系、商業(yè)計劃、客戶資料、財務(wù)預(yù)算、市場宣傳計劃、采購成本、合同定單、物流信息、管理制度等。 設(shè)計類機構(gòu)設(shè)計圖、設(shè)計方案、策劃文案、客戶信息、軟件程序等。 序號行業(yè)客戶數(shù)量比例（%）合同金額比例（%）1制造業(yè)70402設(shè)計研發(fā)57數(shù)據(jù)保護先要回答的幾個問題數(shù)據(jù)保護先要回答的幾個問題要怎么做才能要怎么做才能更好地防止數(shù)據(jù)丟失？更好地防止數(shù)據(jù)丟失？敏感數(shù)據(jù)如何被使用敏感數(shù)據(jù)如何被使用和傳輸？和傳輸？敏感數(shù)據(jù)敏感數(shù)據(jù)在哪里？在哪里？Symantec 4該如何選擇正確

2、的方向該如何選擇正確的方向虛擬桌面技術(shù)虛擬桌面技術(shù)Digital Right Mgmt EncryptData Loss Prevention技術(shù)上，用戶通常有兩種選擇：強控制技術(shù)強審計技術(shù)加密/EDRM是強控制強控制的代表文件加密標記文件的權(quán)限，例如誰能訪問？能否讀、寫、打印、拷貝粘貼以及時效性等等DLP是強審計強審計的代表通過對內(nèi)容進行深度分析，按照策略來識別、監(jiān)控和保護靜態(tài)存儲的、使用中或動態(tài)傳輸?shù)臄?shù)據(jù)傳統(tǒng)安全手段，傳統(tǒng)安全手段，100%的數(shù)據(jù)安全依舊難以實現(xiàn)的數(shù)據(jù)安全依舊難以實現(xiàn)Presentation Identifier Goes Here5信息傳播信息傳播信息存放、訪問信息存放、

3、訪問郵件外發(fā)、上網(wǎng)郵件外發(fā)、上網(wǎng)第三方第三方數(shù)據(jù)庫數(shù)據(jù)庫交流交流移動媒體移動媒體信息使用信息使用木馬木馬文件服務(wù)器文件服務(wù)器信息產(chǎn)生信息產(chǎn)生 文件類型眾多，版本眾多，很多常見的設(shè)計類文檔格式尚不支持 無法與客戶的業(yè)務(wù)系統(tǒng)無縫結(jié)合，如制造類企業(yè)中存在著品種復(fù)雜的PLM、PDM系統(tǒng)。 目前還不能對所有敏感信息操作和傳送渠道進行完整全面的檢查, 如紅外，藍牙，拆卸硬盤進行拷貝等 不符合用戶日常使用習(xí)慣，使用不便 穩(wěn)定性差，資源占用率高。經(jīng)常導(dǎo)致相關(guān)應(yīng)用程序無法正常使用 管理流程過于復(fù)雜，難以操作基于策略檢查-當(dāng)信息歸屬部門眾多的時候，如何制定策略？制定哪些策略？事件誰來管理？基于文檔加密授權(quán)-對現(xiàn)有

4、的業(yè)務(wù)流程有什么影響？文檔加密以后，我們?nèi)绾魏涂蛻?、合作伙伴交互文檔？不同的分公司、業(yè)務(wù)部門之間是否要限制使用？文件又如何流轉(zhuǎn)？普通員工知道哪些文檔需要加密嗎？加密的文件哪些人可以使用呢？誰能對文件進行解密操作？解密需要什么樣的審批、審計流程呢？Citrix Confidential - Do Not Distribute傳統(tǒng)安全手段的弊端傳統(tǒng)安全手段的弊端當(dāng)沒有一種技術(shù)完當(dāng)沒有一種技術(shù)完美美時時信息泄漏防信息泄漏防護規(guī)護規(guī)劃劃 重要敏感信息發(fā)現(xiàn) 泄露行為檢查 泄漏事件響應(yīng) 基于用戶或信息的全面報告審計數(shù)據(jù)泄露數(shù)據(jù)泄露防護防護加密加密處處理理電電子文檔子文檔安全控制安全控制 文檔加密 U盤加密

5、 郵件加密 硬盤加密 文檔加密 文檔授權(quán)、訪問控制 基于用戶或文檔的專題報告審計桌桌面面管理不可承受之重管理不可承受之重U盤盤管理管理 U盤注冊 U盤加密9為什么防泄密這么難？因為數(shù)據(jù)無為什么防泄密這么難？因為數(shù)據(jù)無處不在處不在EndpointSocial EngineeringData-In-MotionData-At-RestPhysicalD Da at ta a L Lo os ss sLaptop / DesktopServerCD / DVDUSBiPodMemory StickPCMCIAMemory Card ReadersCommunicationBluetoothInfra

6、redFirewireSerial / Parallel PortsVirtual MachineOther Threat VectorsScreen ScrapersTrojansKey LoggersPhishing / Spear Phishing PiggybackingDumpster (Skip) DivingContractorsRoad AppleEavesdroppingE-MailHTTP/SSSHFTPIMVoIPP2PBlogsDatabasesFile SystemsFile ServersNASSANs / iSCSI StorageVoice MailVideo

7、SurveillancePrintersBackup Tapes / CD / DVDLaptop / Desktop / ServerFaxPhotocopierMobile Phone / PDADigital Camera (incl. Mobile Phone Cameras)Incorrect DisposalPrinted Reports社會工程服務(wù)器獲取網(wǎng)絡(luò)獲取物理途徑終端獲取安全源自好的設(shè)計安全源自好的設(shè)計用戶信息桌面虛擬化桌面虛擬化 桌面桌面 設(shè)備設(shè)備桌面和數(shù)據(jù)上收到數(shù)據(jù)中心12Desktop Workload(OS, Apps, Data)桌面的存儲和執(zhí)行（包括操作系統(tǒng)、桌

8、面的存儲和執(zhí)行（包括操作系統(tǒng)、應(yīng)用程序和用戶數(shù)據(jù)）都集中在數(shù)據(jù)應(yīng)用程序和用戶數(shù)據(jù)）都集中在數(shù)據(jù)中心的虛擬機上中心的虛擬機上用戶界面使用遠程協(xié)議（例如用戶界面使用遠程協(xié)議（例如ICA）傳）傳輸?shù)接脩舻慕K端設(shè)備上輸?shù)接脩舻慕K端設(shè)備上桌面虛擬化桌面虛擬化數(shù)據(jù)永遠不離開數(shù)據(jù)中心數(shù)據(jù)永遠不離開數(shù)據(jù)中心 任何任何設(shè)備設(shè)備、任何系、任何系統(tǒng)統(tǒng)均可以按需均可以按需接入接入 高性能網(wǎng)高性能網(wǎng)絡(luò)傳輸絡(luò)傳輸，允，允許許您透您透過過任任何何鏈鏈路、在任何地方接入路、在任何地方接入鼠標點擊和鍵盤信息傳遞到數(shù)據(jù)中心端數(shù)據(jù)和應(yīng)用執(zhí)行100%在服務(wù)器屏幕變化傳送到客戶端設(shè)備應(yīng)用服務(wù)器Citrix協(xié)議優(yōu)勢鼠標與鍵盤輸入信號發(fā)送

9、到服務(wù)器，沒有字符等可顯示數(shù)據(jù)應(yīng)用或桌面在服務(wù)器端運行用戶界面推送到客戶端設(shè)備用戶虛擬化平臺 ICA 協(xié)議傳輸圖像變化和設(shè)備支持， 含有32 個虛擬通道，分別傳輸不同信息 傳輸鍵盤掃描碼、鼠標事件和打印數(shù)據(jù)等，沒有真實業(yè)務(wù)數(shù)據(jù) 服務(wù)器端獲得信息實現(xiàn)對屏幕的操控， 傳輸圖像變化在客戶端顯示 可對用戶所有操作進行錄像審計，提高安全監(jiān)控級別 用戶體驗與使用本地系統(tǒng)基本一致， 每個客戶端平均只需30Kbps帶寬網(wǎng)絡(luò)網(wǎng)絡(luò)與傳統(tǒng)數(shù)據(jù)交換方式比較1 服務(wù) 請求Data2 業(yè)務(wù) 數(shù)據(jù)業(yè)務(wù)系統(tǒng)用戶終端4 遠程屏 幕圖片1 按鍵信號 鼠標位置2 服務(wù)請求Data3 業(yè)務(wù)數(shù)據(jù)業(yè)務(wù)系統(tǒng)虛擬化平臺 用戶終端（瘦終端或一

10、般PC）傳統(tǒng)數(shù)據(jù)交互 虛擬化后的數(shù)據(jù)交互 Citrix Confidential - Do Not Distribute3D HDX Pro + GPU PassThrough Solution OverviewDell R5500 Rack Server4 x NVIDIA Quadro 20003 x NVIDIA Quadro 4000XenServerVMVMVMVMHDX 3D Ready Thin ClientDell - H/W Specification Model : Dell R5500 CPU : Intel X5690 6 Core * 2EA 3.47 Ghz RAM

11、 : 96GB HDD : SAS 146G * 4EA 15k RPM VGA : nVidia Q6000 * 2EALocal vs. VDIViewsetLocalVDI%Catia44.8540.4590%Maya108.6898.1690%Pro*e8.137.6894% AutoCAD 2012 AutoCAD Architecture 2012 AutoCAD MEP 2012 AutoCAD Mechanical 2012 AutoCAD Raster Design 2012 AutoCAD Revit MEP Suite 2012 Revit Architecture 20

12、12 Revit Structure 2012 Revit MEP 2012 AutoCAD Map 3D AutoCAD Map 3D Enterprise Autodesk Design Review 2012虛擬環(huán)境下設(shè)計開發(fā)類軟件支持清單虛擬環(huán)境下設(shè)計開發(fā)類軟件支持清單HDX 3D Pro is NOT application-dependent 再再回答一次這幾個問題回答一次這幾個問題要怎么做才能要怎么做才能更好地防止數(shù)據(jù)丟失？更好地防止數(shù)據(jù)丟失？敏感數(shù)據(jù)如何被使用敏感數(shù)據(jù)如何被使用和傳輸？和傳輸？敏感數(shù)據(jù)敏感數(shù)據(jù)在哪里？在哪里？為什么桌面集中會更安全？為什么桌面集中會更安全？個人的

13、數(shù)據(jù)集中存儲在數(shù)據(jù)中心，個人只能訪問被授權(quán)的數(shù)據(jù)數(shù)據(jù)集中的備份管理防止數(shù)據(jù)因個人設(shè)備損失而丟失簡化的外設(shè)管理，防止數(shù)據(jù)泄露統(tǒng)一的安全策略（防火墻，防病毒，系統(tǒng)補丁，文件權(quán)限等），管理一臺服務(wù)器遠比管理100臺PC機要容易得多管理員的操作也是可以審計的用戶通過加密的連接訪問到桌面22有且只有有且只有“虛擬桌面虛擬桌面”才能做到百分百的安全才能做到百分百的安全場景與案例高科技制造業(yè)主要應(yīng)用場景高科技制造業(yè)主要應(yīng)用場景數(shù)據(jù)安全協(xié)作式設(shè)計簡化桌面管理遠程提速綠色IT移動辦公中航工業(yè)研究所中航工業(yè)研究所301所項目需求所項目需求(1) 實現(xiàn)整個301所辦公數(shù)據(jù)的集中存儲及管理(2) 實現(xiàn)301所設(shè)計及產(chǎn)

14、品研發(fā)人員的數(shù)據(jù)安全(3) 用戶通過USBKEY（智能卡）認證后可以方便的登錄個人桌面系統(tǒng)辦公，辦公體驗應(yīng)用現(xiàn)有PC機接近；(4) 系統(tǒng)管理員作為計算機資源的分配者，未用戶按照需求分配計算機資源，用戶完全變?yōu)橛嬎銠C資源的使用者，提高整體資源的利用率；(5) 由系統(tǒng)管理員統(tǒng)一負責(zé)發(fā)布、管理和維護用戶的桌面，集中進行補丁升級、系統(tǒng)殺毒、添加應(yīng)用等工作；(6) 當(dāng)桌面故障時，系統(tǒng)能快速恢復(fù)用戶桌面的正常使用；(7) 用戶數(shù)據(jù)集中管理，由專門管理員負責(zé)管理，用戶不必擔(dān)心出現(xiàn)故障后用戶數(shù)據(jù)丟失、泄露的風(fēng)險。中國航空工業(yè)集團公司組織結(jié)構(gòu)中國航空工業(yè)集團公司組織結(jié)構(gòu)負責(zé)整個中國航空工業(yè)集團IT產(chǎn)品相關(guān)選型

15、金航數(shù)碼是中航工業(yè)研究所旗下的第三產(chǎn)，他是整個IT產(chǎn)品選型的執(zhí)行者中航工業(yè)中航工業(yè)研究所關(guān)鍵軟件一覽表研究所關(guān)鍵軟件一覽表飛天USB Key格爾證書格式格爾PC網(wǎng)盾北信源終端控制文件加密工具瑞星防病毒軟件三合一設(shè)備三維圖形設(shè)計軟件 使用部門使用部門 3D軟件軟件：GPU Passthrough桌面上，主要的幾類3D軟件性能通過優(yōu)化以后，用戶體驗效果為8分，但是CADWORX在打開100M左右的大項目文件時，依然存在較卡的現(xiàn)象，這是物理機也無法避免的，只是在虛擬機上問題更明顯。 2D軟件軟件：普通虛擬桌面上，Auto CAD2008和2011兩個版本用戶給予了7-8分的性能評價，雖然性能和效率上

16、有損失，但是可以使用。 普通辦公：普通辦公：與之前過的，配置偏低的臺式機相比，在虛擬桌面內(nèi)辦公更順暢，速度更快 IT部門部門 綜合評測多家產(chǎn)品后，Citrix產(chǎn)品功能更為完善，尤其是在圖形圖像設(shè)計領(lǐng)域優(yōu)勢明顯 測試中，虛擬桌面和現(xiàn)有安全防護軟件出現(xiàn)沖突，在解決沖突過程中，Citrix廠商本地研發(fā)介入，協(xié)助第三方解決，態(tài)度更積極用用戶評價戶評價中國空間技術(shù)研究院中國空間技術(shù)研究院西安分院西安分院( (西安空間無線電技術(shù)研究所西安空間無線電技術(shù)研究所) ) Citrix VDI +HDX Citrix VDI +HDX 案例案例客戶名稱：客戶名稱：中國航天科技集團公司第五研究院第五0四所 (西安空

17、間無線電技術(shù)研究所)項目類別：項目類別：1）工作站虛擬化；2）桌面虛擬化客戶客戶需求需求： 1）1000個節(jié)點的桌面虛擬化，本期（一期）實施200點，主要應(yīng)用為辦公； 2）逐步推向全院的工作站虛擬化，本期部署30個虛擬工作站； 主要應(yīng)用為Pro/Engineer、HFSS等三維造型和仿真軟件?？蛻敉袋c客戶痛點：應(yīng)用效率有待提高，可隨時隨地、任何網(wǎng)絡(luò)環(huán)境進行訪問安全性問題，防患終端設(shè)備遺失、數(shù)據(jù)被盜等事件內(nèi)部人員竊取重要資料和外部惡意入侵終端設(shè)備損壞影響工作辦公環(huán)境大規(guī)模病毒爆發(fā)Pro/Engineer、HFSS等三維造型和仿真軟件更新所需更新增工作站導(dǎo)致采購成本顯著增加減少維護和管理工作量解決

18、方案：解決方案： 1）4臺戴爾服務(wù)器R910搭載Citrix XenDesktop提供200個虛擬桌面的辦公系統(tǒng) （整合比1:50）； 2）15臺戴爾工作站R5500通過Citrix HDX虛擬化3D穿透技術(shù)實現(xiàn)了1:2的整合比， 成功部署30個虛擬工作站滿足3D設(shè)計。 桌面虛擬化和工作站虛擬化充分體現(xiàn)了戴爾服務(wù)器和工作站的卓越性能和Citrix桌面虛擬化和工作站虛擬化的優(yōu)勢（特別是ICA協(xié)議和HDX高清使用體驗技術(shù)以及顯卡穿越技術(shù)）Citrix VDI + HDX Citrix VDI + HDX 方案簡介方案簡介通用多團隊協(xié)作式的產(chǎn)品開發(fā)通用多團隊協(xié)作式的產(chǎn)品開發(fā)KoreaGermanyB

19、razilAustraliaUnited StatesIndiaChina 每天同步30,000 CAD 文件或者 70 GB數(shù)據(jù) 跨越26個設(shè)計中心 (30,000+ 用戶) 跨越16個國家 費時兩個周末同步所有代碼 更多挑戰(zhàn)來自于4,000+ 供應(yīng)商和合作伙伴多團隊協(xié)作式開發(fā)的真實案例多團隊協(xié)作式開發(fā)的真實案例集中的桌面和應(yīng)用交付集中的桌面和應(yīng)用交付數(shù)據(jù)保留在數(shù)據(jù)中心，增強了協(xié)作效率并節(jié)省帶寬數(shù)據(jù)保留在數(shù)據(jù)中心，增強了協(xié)作效率并節(jié)省帶寬R & DManufacturing& LogisticsSales & MarketingSupplierSupportQAR & D為什么能提升訪問為什么能提升訪問速度并節(jié)省帶寬？速度并節(jié)省帶寬？ClientApplicationWANSQL command and data