重新思考桌面环境的安全问题

以PC机为主的计算环境经过长时间发展，安全问题层出不穷，用户在不断抱怨的同时，也在认真反思，尤其是“勒索病毒”爆发之后，传统分布式PC计算环境的安全问题引起了更多思考。“勒索病毒”一夜之间成为朋友圈的刷屏话题，各大安全厂商使出浑身解数化“危”为“机”。在“勒索病毒”面前，不仅企业巨额的安全投入形同虚设，更重要的是企业的核心数据资产也面临重大安全风险，主要体现在如下几个方面：

1、现有的计算环境极易形成木桶效应，“短板”决定企业安全整体水平，但是在安全事故发生之前没人知道谁是“肉鸡”…

2、现有的计算环境“安内”与“攘外”的安全防护模型无法有效并存，企业通过“透明加密”保障数据不被内部人员窃取，但核心数据却被来自外部的病毒二次加密…

3、现有的计算环境无法快速响应事故，依赖用户自身安全意识与技术水平，安全遵从无法有效落地…

面对0日攻击以及APT攻击的双重压力下，现有的计算环境下的安全防护手段已经成为高级黑客的基本逾越门槛，道高一尺魔高一丈的博弈已经无法从根本上解决安全问题，新的防护手段有效期在不断缩短，用户的信息安全得不到根本保障。

虚拟化技术带来新的希望

传统Wintel的计算模式是将操作系统直接运行在Ring0层，实现对主机硬件的直接访问。这种访问方式极大的提高了软件的功能、性能，但安全性却存在天然隐患。一旦操作系统被攻破，黑客就可以获得极大的控制权，对已入侵主机以及网络中其它主机的攻击都是灾难性的。

虚拟化技术将运行系统分为宿主机以及虚拟机两个层面，用户操作系统运行在虚拟机层面，不能直接访问硬件，由宿主机提供的各种虚拟服务模拟物理硬件为虚拟机提供服务，即便是虚拟机被攻破，如果采取比较好的隔离手段，防止虚拟机逃逸，这种黑客行为对系统的影响也是有限的。

虚拟化技术的另外一个特征就是集中提供服务。桌面虚拟化在数据中心端为用户提供整体计算环境，到达用户桌面的仅仅是影像，本地用户对运行数据没有直接控制的权限，这样就极大的减小了数据失窃的可能性，减小了企业数据失窃的风险。

　　虚拟化技术还具备快速响应的特点。传统PC机在运行过程中出现了安全事故，只能通过“救火”方式进行，仅仅能在减小损失层面上进行补救。而虚拟化技术可以进行更快捷的“熔断”响应，将事故系统完整的保留下来，一旦找出解决方案，再激活并快速修复系统。比如勒索病毒会加密用户数据，但密钥在内存中却是明文，这时管理员只要将系统暂停，通过反汇编找到密钥的所在地，将密钥取出，即可实现解密。更重要的是这种操作可以无限重复，就像月光宝盒一样，直到彻底找到应对措施。

避实就“虚”· 随“域”而安

针对传统分布式计算的固有问题以及虚拟化技术的先进特性，中标易云推出基于云计算与桌面虚拟化的vWall™数据安全解决方案，该方案以企业核心数据为防护对象，通过云计算与桌面虚拟化技术构造了集中管控的安全计算环境，创建了企业事前预防、事中防护、事后响应的PPR（ Prevent ，Protect，Respond  ）企业数据安全防护模型，实现了企业核心数据的全生命周期的安全管理，确保企业核心数据不被外部黑客及内部员工非法破坏与窃取。

　　中标易云基于虚拟化环境打造出比实体环境更全面的预防机制、更完善的防护手段以及更快速的事故响应，具备更强大的安全免疫能力，确保企业核心数据资产不被外部黑客及内部员工破坏与窃取。

方案概述

　　中标易云vWall™数据安全解决方案是采用桌面虚拟化技术、数据安全防护技术、安全云存储技术、主机审计技术等打造出来的数据集中管控整体安全解决方案，为用户构建软硬一体的计算环境、存储环境、安全防护环境以及用户终端环境。用户在这种集中计算环境下数据安全性以及运维便捷性都会得到大幅度的提高。

功能体系

　　中标易云vWall数据安全解决方案提供身份鉴别、安全接入、环境安全、文件管理、数据保护、日志审计、系统管理等七大安全功能。

产品组成

　　中标易云vWall数据安全解决方案是由虚拟桌面子系统、安全云存储子系统、桌面安全子系统及终端接入子系统组成，既支持有源光纤（AOC）又支持RJ45网线连接，为用户提供多种连接方式。

全生命周期的数据安全管理

 　中标易云vWall数据安全解决方案关注数据全生命周期的安全，从存储、使用、传输、共享、归档等多环节实现安全管控，确保企业核心数据安全。

部署效果

　　中标易云vWall™数据安全解决方案集身份认证鉴别、准入控制、用户角色、权限分配、环境安全、访问控制、安全存储、共享归档于一体的数据安全防护体系。

客户收益

　　中标易云vWall数据安全解决方案是构建“四防三用”客户收益体系，解决用户数据安全的同时让用户的业务效率得到提升，完美体现安全为业务服务的宗旨。

      •      用户风险分析

某建筑设计院数据安全风险分析如下：

1、企业核心数据分散到员工手中，防护与治理无从谈起。

2、主机系统维护依赖员工自身计算机技能，安全遵从无法落地。

3、企业核心数据随意外发，安全审计困难重重。

4、员工对企业核心数据知悉范围太大，离职后数据存在违规泄漏风险。

5、内外网隔离影响工作效率，业务与安全处于两难境地。

•      安全解决方案

为某设计院定制的方案概述如下：

1、采用虚拟化技术将用户桌面放入数据中心，实现本地数据不落地。

2、为每个用户提供设计与办公两个桌面环境，设计桌面不连外网，办公桌面可连外网，采取双网隔离机制。

3、为企业核心数据构建私有云存储，并实现双网隔离交换功能，杜绝企业核心数据外流，实现高密低流防护。

4、终端采用双网瘦客户端，可同时访问两个桌面，并对瘦客户端的接口进行细粒度管控，实现移动存储设备的安全管控。

5、加强员工行为审计，确保安全合规。

•      安全收益分析

方案实施后，客户安全收益如下：

1、数据安全得到保障，终端不留密，个人不存密，避免内部员工对数据的滥用与窃取。

2、桌面安全得到提升，统一安全桌面模板、开机还原等机制确保企业不会遭到外部黑客的攻击。

3、安全策略遵从得到落实，实时的安全防护机制，确保系统运行安全。

4、安全响应得到加强，先进的桌面熔断机制，保护核心资产减值。

5、业务效率得到提高，随时随地对核心数据的安全访问，提高企业办公效率。

小结

在新的计算环境安全思路下，中标易云通过构建集中管控的安全计算环境，实现企业核心数据的安全，确保不被外部黑客以及内部员工的非法侵害，成为新一代的安全防护的最佳实践。