银行业虚拟化安全桌面解决方案.docx

金融行业虚拟化安全桌面解决方案一、 概述近年来，数据泄漏事件随着经济的繁荣发展而层出不穷，回顾近期的IT新闻热点，我们会发现有关数据泄漏的报道始终居于榜首。VISA数百万信用卡数据泄露；英特尔前雇员偷走了价值数亿美元的公司文件；索尼失窃客户数据信息和信用卡资料；某银行职员非法出售个人银行信息等等。由于金融行业的特殊性和信息敏感性，金融行业的数据泄漏事件尤其让人关注和担忧。波耐蒙研究所近期的一项调查显示，在调查中有超过78%的受访者表示，在过去两年中企业发生过至少一起数据泄露事件，并归咎于员工的故意或意外行为。随着劳动力市场流动性的增强、移动数据承载设备的推广，IT的消费化趋势，以及在工作场所使用社交网络等因素，员工和公司内部人员所构成的数据泄漏威胁会变得越来越普遍。二、 金融行业数据安全风险分析金融行业在信息安全方面一直以来非常重视，在数据中心安全方面投入巨大，特别是在防止外部攻击、防黑客入侵方面已做的比较完善和成熟。但是如何防范员工和其他相关人员从内部泄密，相比较外部防护而言，长期以来处于被忽视的状态，反而逐渐成为金融行业数据泄漏的主要途径。金融行业数据安全现状分析如下：1. 网络边界、以及数据中心的信息安全硬件建设投入巨大，对于来自外部的信息安全威胁有着成熟的防护体系；2. 数据泄密事件越来越多的由内部人员实施，目前已成为金融业数据泄漏的主要途径；3. 内部人员泄密行为发生在内部网络，耗巨资打造的外部防护体系对此类泄密无能为力，需建立独立的安全防护体系；4. 内部的数据防泄漏工作缺乏整体的评估、分析，并指定相应完整的解决方案；5. 由于工作需要，员工终端设备（如工作电脑、打印机等）往往也可以连接数据中心，接触到机密数据，但终端设备的信息安全管理普遍比较薄弱，反而成为最容易出问题的环节；6. 外包人员和第三方工作人员一般在各类银行都大量存在，当他们的终端设备因合作需要而接入到内网，若管理不当也会成为安全漏洞之一； 传统内网管理方案的不足为了实现终端对核心业务数据进行单独的安全访问，传统上曾经采用网络安全隔离卡、安全隔离网闸、双网络系统等物理隔离的办法，但物理隔离在实际的使用中，存在着诸多不足。1. 易用性差，现代办公对网络应用更加的依赖，在保证信息安全的情况下，则不能方便的进行其它文件跨网使用、移动办公、外网邮件、IM即时通讯等应用;2. 扩展性差，后期扩展必须增加两套设备;再次是IT成本高，包括建设、管理、维护。3. 安全性差，稍微具有IT专业知识背景的人员即可采用仿冒等手段破解物理隔离防护措施。基于物理隔离以上的使用特点，我们可以看到：传统的隔离方式已经不能更好的适应金融信息化的快速发展。这时能否出现一些前瞻性的解决方案提供商，对金融信息安全的建设进行引导，将显得至关重要。三、 金融行业内网数据保护需求为了防止内部人员有意或者无意识的，通过用户终端电脑将机密数据泄露出去，必须采取完整而强有力的安全系统，确保桌面终端有更高的安全性；安全系统应该易于部署，而且不会影响员工的工作效率。根据银行网络安全等级划分，银行网络可分为三个部分：核心机密数据网络、普通业务网络、外部网络，分别连接数据中心、员工业务终端电脑、互联网。终端电脑安全防护系统需求如下：1. 员工的终端电脑应该与核心机密数据网络隔离，但不影响员工使用数据中心中的数据；2. 员工的终端电脑与互联网隔离，但应给员工提供访问互联网的手段；3. 终端电脑不存放任何机密数据；4. 员工的工作应该不受影响，无论是业务功能还是效率；5. 安全系统应易于使用，员工在不同安全级别的工作环境之间可以很方便的切换；6. 安全系统应易于实施部署，日后的维护工作也应该非常简单；四、 达龙虚拟化安全桌面解决方案上海达龙信息科技有限公司结合金融行业机密数据防泄漏的实际需求，利用虚拟化技术研发出具有创新意义的上网安全桌面系统和业务安全桌面系统，实现了在同一台终端设备连接不同安全等级的网络、从事不同安全等级的工作，同时各网络之间相互隔离；很好的兼顾了严格的数据保护和工作便利性，为客户提供了一个完整、坚固的整体内部信息风险管理系统。上网安全桌面系统和业务安全桌面系统是达龙信息科技根据同一套核心技术所研发的不同应用场景的安全设备。其核心都是利用虚拟化技术，由服务器为每个用户生成一个安全桌面，并由用户从终端电脑上登录使用。安全桌面是一个相对孤立的环境，本地桌面与安全桌面不能进行数据交互，即访问终端不能把任何资料或文件保留在本地;在安全桌面中禁止和外网、本地局域网的任何地址进行通讯，数据不能通过即时通讯和邮件等工具进行发送，也不能连接到打印机进行打印；用户在默认桌面和安全桌面间可以自由切换，在安全桌面中，用户可以获得与默认桌面一致的用户体验，具有良好的易用性。1. 上网安全桌面系统：为了隔离互联网风险，用户在终端电脑上通过上网安全桌面系统提供的的虚拟化“上网安全桌面”访问互联网，即使病毒和恶意攻击突破了边界防护，互联网病毒也只能存在于虚拟的安全桌面环境里，无法对本机默认系统造成危害，更无法从隔离的虚拟环境下窃取到本机任何信息；内网用户访问互联网的内容、应用、操作行为都会受到管控，有效防范了人为风险。l 管理员集中管理上网安全桌面中的应用程序、空间等用户配置；l 支持内建账号、域账号同步等用户认证方式；l 用户在上网安全桌面中的上网行为受集中管控和记录；l 提供文件从虚拟桌面下载到本地电脑功能，并对下载文件进行病毒查杀；l 图形化显示上网安全桌面使用情况，并可生成报表提供管理层；2. 业务安全桌面系统：为确保机密数据和业务系统的安全，用户在终端电脑上通过业务安全桌面系统所提供的安全桌面来访问核心机密网络；在业务安全桌面内，可使用所有必须的业务系统，并可查看、修改机密数据，但无法将机密数据从安全桌面内转移到本地电脑上来。l 管理员集中设置安全桌面使用权限，配置用户在安全桌面中可使用的业务系统，可操作的机密数据等；l 支持内建账号、域账号同步等用户认证方式；l 彻底堵截使用网络传输泄密，包括使用各种方式进行的文件、信息传输方式泄密；l 防止使用截屏、录屏等方式进行信息拷贝泄密；l 提供文件审批/过滤机制，当有必须的机密文件外发行为时，文件将会通过审批流程由相关领导确认后再进行外发；l 如有必要，外发的文件可自动被加密，提供限时、限次数的访问控制功能；产品价值： 操作简便：安全桌面中和普通的默认桌面具有一致性，使用者甚至不需要进行对于的使用培训就可以自如使用。因此可以有效地让用户的操作习惯得以保留，推行实施本隔离改造方案遇到的阻力也会减少。 性能影响小：安全桌面全部由硬件设备生成，全部的运算工作全部在硬件设备中完成，仅仅将图形界面传输到用户本地电脑上，因此本地电脑的资源几乎不被占用，局域网性能也几乎不受影响。 性价比高：实现金融行业务网络虚拟化隔离，只需要部署上网安全桌面系统或业务安全桌面系统硬件设备一套，加上客户端接入授权，就可以实现整个内部网络的虚拟化。对比起物理隔离，能节约大量的网络投资，在实现安全的前提下，是最具性价比的解决方案。 实施维护方便：传统物理隔离需要搭建两套物理网络，维护工作量大。达龙安全桌面系统实施周期短，支持集中管理，统一下发策略，减轻运维工作量；同时支持非对称集群，银行可以按需部署设备，与业务发展保持同步。五、 安全桌面方案部署六、 典型案例某地方商业银行的成功案例 已成功完成第一期项目某分行的实施，得到了分行和总行信息中心