福田云桌面安全管控系統(tǒng)建設(shè)項(xiàng)目整體解決方案

標(biāo)書(shū)模版福田虛擬云桌面安全管控系統(tǒng)建設(shè)項(xiàng)目整體解決方案聯(lián)想（北京）有限公司2018年8月虛擬云桌面安全管控系統(tǒng)建設(shè)項(xiàng)目整體解決方案目錄第1章產(chǎn)品簡(jiǎn)介 1第2章方案概況 22.1客戶(hù)背景 22.2需求分析 22.3傳統(tǒng)技術(shù)在解決上述問(wèn)題的局限性 32.4安全隱患 52.4.1內(nèi)網(wǎng)數(shù)據(jù)泄密風(fēng)險(xiǎn)高 52.4.2終端用戶(hù)非法操作 52.4.3管理員無(wú)法及時(shí)了解網(wǎng)絡(luò)結(jié)構(gòu)，處置突發(fā)情況 62.4.4管理員無(wú)法有效了解計(jì)算機(jī)的運(yùn)行狀況與潛在漏洞 62.4.5終端維護(hù)問(wèn)題較多，占用網(wǎng)絡(luò)管理人員太多精力 62.4.6管理制度缺乏依據(jù)，無(wú)法取證，安全策略無(wú)法有效落實(shí) 72.5安全隱患可能帶來(lái)的影響 72.6安全隱患產(chǎn)生的原因 72.7企業(yè)機(jī)構(gòu)內(nèi)網(wǎng)安全對(duì)策 82.7.1建立和健全內(nèi)網(wǎng)安全管理體系 82.7.2使用強(qiáng)審計(jì)的理念和工具，強(qiáng)化內(nèi)部監(jiān)控、審計(jì)機(jī)制 82.7.3使用網(wǎng)絡(luò)安全管理軟硬件 92.7.4使用數(shù)據(jù)加密軟件，保護(hù)圖檔安全，杜絕圖檔外泄 9第3章方案原則、依據(jù)及目標(biāo) 103.1方案原則 103.2方案依據(jù) 113.3方案目標(biāo) 123.3.1信息安全目標(biāo) 13第4章終端安全管控系統(tǒng)整體解決方案 154.1聯(lián)想虛擬化桌面結(jié)構(gòu)及部署 154.1.1聯(lián)想虛擬化桌面架構(gòu) 154.1.2系統(tǒng)功能 154.1.3部署方式 164.2聯(lián)想虛擬化桌面在客戶(hù)的應(yīng)用分析 174.2.1內(nèi)網(wǎng)數(shù)據(jù)的根本防護(hù) 174.2.2操作系統(tǒng)安全 184.2.3集中、統(tǒng)一化運(yùn)維 184.2.4良好的應(yīng)用體驗(yàn) 194.2.5部署簡(jiǎn)單 194.2.6合理的投資回報(bào) 194.3聯(lián)想虛擬化桌面在客戶(hù)科技部署后的預(yù)期效果 204.3.1內(nèi)網(wǎng)數(shù)據(jù)安全得到根本保護(hù) 204.3.2系統(tǒng)及應(yīng)用安全得到根本保護(hù) 204.3.3簡(jiǎn)捷的運(yùn)維管理 204.3.4良好的應(yīng)用體驗(yàn) 214.3.5輕松部署 214.4邊界防護(hù)解決方案 214.4.1細(xì)粒度的高性能網(wǎng)絡(luò)訪問(wèn)控制 214.4.2完善的應(yīng)用控制 224.5云存儲(chǔ)解決方案 234.5.1總體技術(shù)方案 234.5.2系統(tǒng)安全機(jī)制 254.5.3系統(tǒng)性能 264.5.4系統(tǒng)維護(hù) 264.6數(shù)據(jù)防泄密解決方案 274.6.1文件外發(fā)功能 284.6.2移動(dòng)辦公應(yīng)用 294.6.3DLP方案主要功能 294.7安全審計(jì)、網(wǎng)絡(luò)行為管理解決方案 314.7.1強(qiáng)大的行為管理 314.7.2全面的行為審計(jì)記錄 314.7.3實(shí)時(shí)的行為報(bào)警跟蹤 314.7.4應(yīng)用價(jià)值 324.8移動(dòng)存儲(chǔ)設(shè)備管理解決方案 324.8.1精細(xì)化存儲(chǔ)設(shè)備權(quán)限管理 324.8.2詳盡的移動(dòng)存儲(chǔ)設(shè)備應(yīng)用審計(jì) 334.8.3應(yīng)用價(jià)值 33第5章專(zhuān)業(yè)快速的技術(shù)服務(wù) 34產(chǎn)品簡(jiǎn)介聯(lián)想虛擬化桌面是聯(lián)想專(zhuān)家團(tuán)隊(duì)在多年虛擬化應(yīng)用技術(shù)的研究積累上，深入理解廣大用戶(hù)對(duì)終端管理和安全管理的需求，結(jié)合行業(yè)經(jīng)驗(yàn)自主研發(fā)而成。聯(lián)想虛擬化桌面與國(guó)際當(dāng)今先進(jìn)的虛擬化技術(shù)同步，以終端系統(tǒng)管理為中心，從虛擬安全、桌面管理、行為控制等多個(gè)角度構(gòu)建完整的終端系統(tǒng)管理體系，預(yù)防終端異常事件的發(fā)生，并全面貫徹落實(shí)企業(yè)終端管理策略。聯(lián)想虛擬化桌面部署簡(jiǎn)單，支持各種網(wǎng)絡(luò)環(huán)境，兼容原有終端工作站，可針對(duì)不同的工作部門(mén)、工種類(lèi)型、工作需要指定專(zhuān)用的虛擬操作系統(tǒng)。在驅(qū)動(dòng)層全面實(shí)現(xiàn)對(duì)流量異常、USB等外設(shè)接口的控制，采用最新的惡意網(wǎng)站動(dòng)態(tài)防護(hù)技術(shù)，無(wú)需對(duì)客戶(hù)端升級(jí)即可避免惡意網(wǎng)站的侵害。支持域環(huán)境，終端可直接登錄到指定的域中，根據(jù)用戶(hù)的需要，將個(gè)人數(shù)據(jù)加密存儲(chǔ)在服務(wù)器上，可以在任意終端上隨時(shí)調(diào)用?；趶?qiáng)大的虛擬化技術(shù)，圖云聯(lián)想虛擬化桌面真正從根本上解決了病毒感染、軟件沖突、系統(tǒng)崩潰、補(bǔ)丁升級(jí)和流量異常等終端問(wèn)題，保持業(yè)務(wù)可持續(xù)性，讓終端管理更便捷。方案概況客戶(hù)背景本方案為客戶(hù)提出云平臺(tái)云桌面綜合解決方案，爭(zhēng)取為其打造一套智能化云平臺(tái)，將其應(yīng)用系統(tǒng)整合在一起，實(shí)現(xiàn)統(tǒng)一的生產(chǎn)監(jiān)控和桌面辦公管理。據(jù)初步了解，該公司待廠房和全光纖網(wǎng)絡(luò)基礎(chǔ)設(shè)施搭建好以后，主要有如下業(yè)務(wù)應(yīng)用系統(tǒng)：OA系統(tǒng)、ERP系統(tǒng)、監(jiān)控系統(tǒng)、門(mén)禁系統(tǒng)等。需求分析根據(jù)前期與客戶(hù)的初步交流情況來(lái)看，他們對(duì)智能化廠房、移動(dòng)辦公，遠(yuǎn)程監(jiān)控、數(shù)據(jù)安全、統(tǒng)一管理維護(hù)等功能的實(shí)現(xiàn)較為感興趣。此次項(xiàng)目將依照目前福田云桌面安全管控系統(tǒng)的建設(shè)情況，為客戶(hù)搭建一套更為完善的虛擬桌面安全管控系統(tǒng)。全面的數(shù)據(jù)保護(hù)因?yàn)閮?nèi)網(wǎng)存儲(chǔ)涉密數(shù)據(jù)及信息，因此如何防止內(nèi)部網(wǎng)與外網(wǎng)連通，如何防止內(nèi)部網(wǎng)絡(luò)連入Internet通過(guò)網(wǎng)絡(luò)泄密，如何防止內(nèi)部網(wǎng)終端通過(guò)移動(dòng)存儲(chǔ)、光驅(qū)、打印機(jī)等設(shè)備甚至拆卸硬盤(pán)進(jìn)行泄密是客戶(hù)面臨的主要問(wèn)題?？煽康南到y(tǒng)安全目前的操作系統(tǒng)和應(yīng)用程序或多或少存在安全漏洞，這些安全漏洞可能造成重大安全事故。在日常應(yīng)用中我們經(jīng)常遇到電腦藍(lán)屏死機(jī)以及病毒木馬的威脅和影響，使得正常的工作受到很大影響，如何能夠避免此類(lèi)問(wèn)題或者出現(xiàn)問(wèn)題后能夠迅速的恢復(fù)成為保障終端系統(tǒng)安全的關(guān)鍵?？焖俚慕K端運(yùn)維在電腦終端眾多的網(wǎng)絡(luò)內(nèi)終端的日常運(yùn)維非常繁瑣復(fù)雜；如統(tǒng)一安裝軟件、打補(bǔ)丁、重新安裝系統(tǒng)及應(yīng)用、處理各種網(wǎng)絡(luò)及應(yīng)用問(wèn)題、新加入電腦的系統(tǒng)及應(yīng)用交付等，同時(shí)網(wǎng)絡(luò)內(nèi)終端硬件種類(lèi)不同、操作系統(tǒng)不同及應(yīng)用的多樣化也給終端的日常運(yùn)維帶來(lái)更多的問(wèn)題，如何能夠?qū)崿F(xiàn)終端的集中、統(tǒng)一化管理是終端運(yùn)維面臨的主要考驗(yàn)。良好的應(yīng)用體驗(yàn)承擔(dān)著多種科研、實(shí)驗(yàn)及生產(chǎn)任務(wù)，在日常應(yīng)用中必然涉及許多大型設(shè)計(jì)軟件及專(zhuān)業(yè)應(yīng)用軟件，這些軟件的應(yīng)用感受直接影響著研究院的日?？蒲修k公及生產(chǎn)。同時(shí)，作為日常辦公工具的計(jì)算機(jī)終端應(yīng)保持用戶(hù)一貫的使用習(xí)慣；無(wú)需終端用戶(hù)被動(dòng)適應(yīng)終端變化。簡(jiǎn)單的安裝部署客戶(hù)網(wǎng)絡(luò)環(huán)境及終端配置優(yōu)良，新的信息化及安全平臺(tái)應(yīng)最大化的融入客戶(hù)現(xiàn)有環(huán)境；要求網(wǎng)絡(luò)及終端無(wú)需任何改變且新的管理平臺(tái)部署簡(jiǎn)捷。合理的投資回報(bào)要從客戶(hù)目前及未來(lái)長(zhǎng)期的信息化建設(shè)和運(yùn)營(yíng)成本進(jìn)行全面分析；從人力、硬件、軟件等各個(gè)方面深入控制。傳統(tǒng)技術(shù)在解決上述問(wèn)題的局限性?xún)?nèi)網(wǎng)安全管理軟件內(nèi)網(wǎng)安全管理系統(tǒng)無(wú)法阻止用戶(hù)自行安裝軟件導(dǎo)致出現(xiàn)的網(wǎng)絡(luò)濫用行為，也無(wú)法防止各種最新病毒木馬的侵入。同時(shí)，對(duì)于操作系統(tǒng)本身出現(xiàn)的驅(qū)動(dòng)沖突更是無(wú)能為力。SMS是微軟公司用于解決終端計(jì)算機(jī)自動(dòng)升級(jí)問(wèn)題和系統(tǒng)管理的軟件，然而在實(shí)際使用過(guò)程中，終端計(jì)算機(jī)使用者總是由于操作不當(dāng)或者網(wǎng)絡(luò)故障等多種原因無(wú)法保持操作系統(tǒng)始終處于最新補(bǔ)丁狀態(tài)。在計(jì)算機(jī)數(shù)量眾多的單位，信息技術(shù)人員也無(wú)法及時(shí)發(fā)現(xiàn)?；赩DI模式的桌面虛擬化\o"虛擬桌面基礎(chǔ)設(shè)施的最新文章"虛擬桌面基礎(chǔ)設(shè)施(VirtualDesktopInfrastructure，簡(jiǎn)稱(chēng)\o"VDI的最新文章"VDI)特指使桌面虛擬化成為可能的服務(wù)器計(jì)算模型。在該模式下，桌面操作系統(tǒng)和應(yīng)用程序運(yùn)行在數(shù)據(jù)中心的虛擬服務(wù)器端，用戶(hù)可以通過(guò)網(wǎng)絡(luò)從PC機(jī)、瘦客戶(hù)機(jī)等各種終端設(shè)備上訪問(wèn)虛擬桌面和應(yīng)用程序。桌面虛擬化曾經(jīng)在6、7年前以瘦客戶(hù)機(jī)模式出現(xiàn)風(fēng)靡一時(shí)，但由于其種種缺陷而逐步消失。其存在的問(wèn)題主要包括：1、硬件投入大。由于是通過(guò)服務(wù)器進(jìn)行硬件仿真和程序運(yùn)算，因此對(duì)服務(wù)器的配置要求很高，而且一臺(tái)服務(wù)器通常只能支持60-70臺(tái)終端；2、軟件兼容性差?；赩DI的桌面虛擬化和身份認(rèn)證系統(tǒng)、終端安全審計(jì)系統(tǒng)、內(nèi)網(wǎng)安全管理系統(tǒng)等產(chǎn)品大多數(shù)無(wú)法兼容，而這些安全軟件往往是內(nèi)網(wǎng)所必須的；3、硬件兼容性差?；赩DI的桌面虛擬化無(wú)法有效利用終端的硬件資源（例如高端顯卡），同時(shí)對(duì)打印機(jī)、掃描儀等外設(shè)只能通過(guò)通用驅(qū)動(dòng)加載，對(duì)很多型號(hào)的外設(shè)不支持；4、性能較低?；赩DI的桌面虛擬化無(wú)法支持大量終端計(jì)算機(jī)同時(shí)運(yùn)行類(lèi)似AUTOCAD、PRO/E、ANSYS、3DSMAX等大型工業(yè)軟件，或者讀取高清影像和進(jìn)行視頻會(huì)議；5、管理復(fù)雜。VDI是一套大型的虛擬化架構(gòu)，需要部署眾多的軟件系統(tǒng)和服務(wù)器，管理復(fù)雜程度很高，對(duì)大多數(shù)用戶(hù)而已只能使用基本功能。一旦桌面虛擬化系統(tǒng)發(fā)生故障，通常是束手無(wú)策，只能長(zhǎng)時(shí)間等待，很可能?chē)?yán)重影響業(yè)務(wù)?，F(xiàn)有和終端管理相關(guān)的技術(shù)都只解決了終端問(wèn)題的一部分，導(dǎo)致許多單位花費(fèi)大量資金購(gòu)買(mǎi)了各種終端管理設(shè)備進(jìn)行部署。但由于各軟件之間無(wú)法很好的兼容整合，終端管理問(wèn)題始終是信息化建設(shè)中的最大的風(fēng)險(xiǎn)因素。安全隱患根據(jù)對(duì)數(shù)千家客戶(hù)內(nèi)網(wǎng)安全隱患的分析，認(rèn)為：企業(yè)機(jī)構(gòu)在內(nèi)網(wǎng)安全管理上主要存在如下幾個(gè)方面的問(wèn)題：內(nèi)網(wǎng)數(shù)據(jù)泄密風(fēng)險(xiǎn)高通常的安全策略的一個(gè)基本假設(shè)是：網(wǎng)絡(luò)的一邊即外部的所有人是不可信任的，另一邊即內(nèi)部的所有人是可信任的。通常認(rèn)為黑客、病毒以及各種蠕蟲(chóng)的攻擊大都來(lái)自外部的侵襲。但是，根據(jù)美國(guó)FBI的統(tǒng)計(jì)，各種計(jì)算機(jī)網(wǎng)絡(luò)、存儲(chǔ)數(shù)據(jù)遭受的攻擊和破壞，80％是內(nèi)部人員所為。來(lái)自?xún)?nèi)部的數(shù)據(jù)失竊和破壞，遠(yuǎn)遠(yuǎn)高于外部黑客的攻擊。傳統(tǒng)的安全解決方案比如防火墻、入侵檢測(cè)、防病毒在網(wǎng)絡(luò)安全中起到非常重要的作用。由于現(xiàn)在網(wǎng)絡(luò)邊界的概念逐漸模糊，通過(guò)VPN、無(wú)線上網(wǎng)、遠(yuǎn)程撥號(hào)等方式連接到內(nèi)部網(wǎng)絡(luò)變得非常普遍，內(nèi)網(wǎng)上各種信息濫用、誤用、惡用行為增加，嚴(yán)重影響內(nèi)網(wǎng)安全。對(duì)于以上安全問(wèn)題，傳統(tǒng)安全技術(shù)顯得力不從心，導(dǎo)致數(shù)據(jù)泄密?chē)?yán)重。終端用戶(hù)非法操作如有關(guān)數(shù)據(jù)顯示，90%的局域網(wǎng)攻擊來(lái)自?xún)?nèi)部。企業(yè)內(nèi)個(gè)別對(duì)計(jì)算機(jī)知識(shí)掌握較多的工作人員，處于好奇還是其他原因，通過(guò)黑客軟件非法獲取數(shù)據(jù)庫(kù)訪問(wèn)密碼，安裝編程開(kāi)發(fā)工具非法訪問(wèn)企業(yè)核心數(shù)據(jù)庫(kù)，對(duì)信息安全造成非常大的隱患。一旦發(fā)生蓄意破壞，這將給企業(yè)信息系統(tǒng)帶來(lái)毀滅性的打擊，造成無(wú)可挽回的損失。部分終端用戶(hù)出于非法牟利的目的，利用自己在內(nèi)網(wǎng)訪問(wèn)的權(quán)限或者竊取他人賬號(hào)訪問(wèn)內(nèi)網(wǎng)，盜取內(nèi)部信息數(shù)據(jù)資料，諸如：企業(yè)內(nèi)部的機(jī)密信息、商業(yè)機(jī)密……；部分內(nèi)部人員出于對(duì)企業(yè)不滿或者其他原因，而惡意破壞內(nèi)網(wǎng)數(shù)據(jù)。管理員無(wú)法及時(shí)了解網(wǎng)絡(luò)結(jié)構(gòu)，處置突發(fā)情況對(duì)于比較復(fù)雜的網(wǎng)絡(luò)，了解其拓?fù)浣Y(jié)構(gòu)是一件費(fèi)力的工作，往往依賴(lài)于網(wǎng)絡(luò)管理員的手工繪制，也很難得到及時(shí)的更新。在面臨黑客入侵、病毒爆發(fā)等突發(fā)意外情況時(shí)，面對(duì)與過(guò)期的網(wǎng)絡(luò)拓?fù)鋱D大相徑庭的實(shí)際情況，網(wǎng)絡(luò)管理員無(wú)法及時(shí)有效地處置有問(wèn)題的機(jī)器，將其從網(wǎng)絡(luò)中斷開(kāi)，保護(hù)內(nèi)網(wǎng)中的其他計(jì)算機(jī)。管理員無(wú)法有效了解計(jì)算機(jī)的運(yùn)行狀況與潛在漏洞主機(jī)的性能是否在合理的范圍內(nèi)？服務(wù)器提供的服務(wù)是否在正常工作？一臺(tái)計(jì)算機(jī)打開(kāi)了哪些偵聽(tīng)端口？這些都是管理員判斷內(nèi)網(wǎng)是否安全，是否遭受攻擊的重要參考依據(jù)。但管理員時(shí)間、精力有限，很難對(duì)內(nèi)網(wǎng)的計(jì)算機(jī)做到24小時(shí)全天候的監(jiān)控，發(fā)現(xiàn)并記錄問(wèn)題。終端維護(hù)問(wèn)題較多，占用網(wǎng)絡(luò)管理人員太多精力由于企業(yè)內(nèi)的人員的相對(duì)學(xué)歷較高，在管理上有一定的難度，但其計(jì)算機(jī)知識(shí)較為匱乏，遇到問(wèn)題就需要信息中心進(jìn)行維護(hù)，由于信息中心人員配備少，而問(wèn)題終端較為分散，造成信息中心維護(hù)人員疲于奔命，常識(shí)性的問(wèn)題維護(hù)量占據(jù)維護(hù)人員的大量工作時(shí)間，而造成疏于對(duì)網(wǎng)絡(luò)安全管理工作。管理制度缺乏依據(jù)，無(wú)法取證，安全策略無(wú)法有效落實(shí)盡管安全管理制度早已制定，但只能依靠工作人員的工作責(zé)任心，無(wú)法有效地杜絕問(wèn)題；通過(guò)原始方式：貼封條、定期檢查等相對(duì)松散的管理機(jī)制，沒(méi)有有效靈活實(shí)時(shí)的手段保障，即使出現(xiàn)問(wèn)題，也不能提供取證依據(jù)，部分非法人員逃避企業(yè)制度約束，逍遙規(guī)章之外。安全隱患可能帶來(lái)的影響網(wǎng)絡(luò)安全是一個(gè)十分重要的問(wèn)題。網(wǎng)絡(luò)出現(xiàn)故障將造成：企業(yè)無(wú)法開(kāi)展正常的業(yè)務(wù)活動(dòng)。因?yàn)槟壳捌髽I(yè)的業(yè)務(wù)活動(dòng)是建立在計(jì)算機(jī)網(wǎng)絡(luò)基礎(chǔ)上的，網(wǎng)絡(luò)出現(xiàn)問(wèn)題就造成很多業(yè)務(wù)活動(dòng)無(wú)法正常開(kāi)展。造成人民群眾情緒激動(dòng)，容易發(fā)生過(guò)激行為，甚至出現(xiàn)群體性行為。造成數(shù)據(jù)丟失。企業(yè)數(shù)據(jù)是十分重要的，很多數(shù)據(jù)丟失后將無(wú)法恢復(fù)。丟失數(shù)據(jù)將給企業(yè)造成無(wú)法估量的損失。從某種意義上說(shuō)，數(shù)據(jù)是至關(guān)重要的。工作時(shí)間（特別是夜間）的上網(wǎng)行為，影響到工作人員的工作效率和工作情緒，造成內(nèi)部人員工作上的懈怠，輕則降低管理、企業(yè)的信譽(yù)丟失，重則引起糾紛、法律問(wèn)題或社會(huì)問(wèn)題。安全隱患產(chǎn)生的原因?qū)σ陨戏N種安全隱患進(jìn)行深入分析，并結(jié)合成功實(shí)施數(shù)千家企業(yè)內(nèi)網(wǎng)安全項(xiàng)目的經(jīng)驗(yàn)的基礎(chǔ)上，發(fā)現(xiàn)形成如此眾多的內(nèi)部安全威脅主要原因有以下幾點(diǎn)：“殘缺意識(shí)，殘疾制度，管理殘疾”一是部分內(nèi)部人員存在僥幸心理，認(rèn)為不規(guī)范的行為不會(huì)影響網(wǎng)絡(luò)，不會(huì)影響工作；二是，雖然建立了完善的管理制度，但是得不到貫徹執(zhí)行；三是沒(méi)有有效的工具去發(fā)現(xiàn)并杜絕這些違規(guī)行為；缺乏對(duì)內(nèi)網(wǎng)接入安全的管理和技術(shù)手段；缺乏對(duì)內(nèi)網(wǎng)客戶(hù)端的安全管理和監(jiān)控；缺乏對(duì)內(nèi)部人員訪問(wèn)網(wǎng)絡(luò)權(quán)限的管理；缺乏對(duì)分散終端的集中管理和審計(jì)；企業(yè)機(jī)構(gòu)內(nèi)網(wǎng)安全對(duì)策針對(duì)以上問(wèn)題我們應(yīng)采取相應(yīng)的措施加以解決。建立和健全內(nèi)網(wǎng)安全管理體系制定符合企業(yè)網(wǎng)絡(luò)安全管理的相關(guān)規(guī)定，強(qiáng)化對(duì)內(nèi)網(wǎng)終端設(shè)備使用的管理教育。培養(yǎng)并強(qiáng)化內(nèi)部人員在內(nèi)網(wǎng)使用中的規(guī)范意識(shí)、安全意識(shí)；相關(guān)重點(diǎn)的安全使用責(zé)任到部門(mén)。形成信息中心和業(yè)務(wù)部門(mén)齊抓共管的聯(lián)合管控體系。使用強(qiáng)審計(jì)的理念和工具，強(qiáng)化內(nèi)部監(jiān)控、審計(jì)機(jī)制通過(guò)使用相關(guān)的技術(shù)軟件，對(duì)內(nèi)網(wǎng)終端進(jìn)行監(jiān)控和審計(jì)，做到內(nèi)網(wǎng)安全管理上的“事前預(yù)防、事中控制、事后溯源”。這就好像，我們?cè)陂_(kāi)車(chē)過(guò)程中，要注意公路上的各類(lèi)安全提醒標(biāo)志，不要超速、不要闖紅燈等等，使用工作的目的不在于管控任何人，而在于保障一個(gè)完整、健康的網(wǎng)絡(luò)工作環(huán)境，同時(shí)，通過(guò)軟件能夠找出違規(guī)人員，保障企業(yè)的各類(lèi)系統(tǒng)的正常運(yùn)行。使用網(wǎng)絡(luò)安全管理軟硬件既然有上述的渠道和行為使物理邊界的突破成為可能的事實(shí)，已經(jīng)在保障外網(wǎng)安全中發(fā)揮行之有效作用的產(chǎn)品及解決方案，也應(yīng)拿到內(nèi)網(wǎng)中有針對(duì)性的延用，如信息安全產(chǎn)品的“老三樣”（防火墻、殺毒軟件、入侵檢測(cè)產(chǎn)品），可以考慮在內(nèi)網(wǎng)中繼續(xù)使用。同時(shí)應(yīng)當(dāng)考慮使用內(nèi)網(wǎng)安全保護(hù)系統(tǒng)。使用數(shù)據(jù)加密軟件，保護(hù)圖檔安全，杜絕圖檔外泄基于上述對(duì)行業(yè)及客戶(hù)需求的簡(jiǎn)要分析，結(jié)合在數(shù)據(jù)泄露防護(hù)領(lǐng)域多年信息安全項(xiàng)目建設(shè)經(jīng)驗(yàn)，針對(duì)企業(yè)行業(yè)的數(shù)據(jù)安全體系提出數(shù)據(jù)管理、數(shù)據(jù)加密、用戶(hù)認(rèn)證、數(shù)據(jù)權(quán)限管理、數(shù)據(jù)使用時(shí)限管理、數(shù)據(jù)日志審計(jì)管理等方案建議。方案原則、依據(jù)及目標(biāo)方案原則為保證方案的能夠最終達(dá)到客戶(hù)規(guī)定的相關(guān)保密要求,在設(shè)計(jì)方案時(shí)遵循如下的設(shè)計(jì)原則:方案先進(jìn)原則：內(nèi)網(wǎng)中部署的聯(lián)想虛擬化桌面要求功能完善、技術(shù)先進(jìn)、安全可靠、服務(wù)領(lǐng)先；系統(tǒng)安全原則：管理系統(tǒng)自身安全包括物理安全、系統(tǒng)安全、數(shù)據(jù)安全和運(yùn)行安全等；可擴(kuò)展原則：統(tǒng)一規(guī)劃，兼顧長(zhǎng)遠(yuǎn)，既要滿足現(xiàn)有的需求，又要兼顧系統(tǒng)的可擴(kuò)展性，保證分布實(shí)施的延續(xù)性。系統(tǒng)在結(jié)構(gòu)、規(guī)模、應(yīng)用能力等各個(gè)方面都必須具備很強(qiáng)的擴(kuò)展能力；按照GB17859-1999《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》的要求建設(shè)；可靠性原則。執(zhí)行ISO9002質(zhì)量認(rèn)證體系要求，確保安全保密設(shè)備的高可靠性和穩(wěn)定性；經(jīng)濟(jì)性原則。聯(lián)想虛擬化桌面的建設(shè)、運(yùn)行維護(hù)以及將來(lái)的擴(kuò)展建設(shè)，必須符合經(jīng)濟(jì)性原則；易操作原則。聯(lián)想虛擬化桌面的使用、維護(hù)、管理、發(fā)行等方面要易操作；高效原則。聯(lián)想虛擬化桌面的處理能力要求能滿足現(xiàn)階段的實(shí)際需求，保證系統(tǒng)的高效運(yùn)行，并能根據(jù)系統(tǒng)的發(fā)展進(jìn)行不斷提升；功能完整原則。聯(lián)想虛擬化桌面的功能完整，應(yīng)用安全擴(kuò)展系統(tǒng)功能完整；靈活性原則。聯(lián)想虛擬化桌面的系統(tǒng)擴(kuò)展、應(yīng)用安全建設(shè)方面都必須滿足靈活性要求。方案依據(jù)本設(shè)計(jì)方案的主要依據(jù)是國(guó)家保密局文件“涉及國(guó)家秘密的計(jì)算機(jī)信息系統(tǒng)安全保密方案設(shè)計(jì)指南”（BMZ2-2001），同時(shí)，還參考了以下標(biāo)準(zhǔn)和法規(guī)、文件：國(guó)家標(biāo)準(zhǔn)GB2887-2000《電子計(jì)算機(jī)場(chǎng)地通用規(guī)范》；國(guó)家標(biāo)準(zhǔn)GB9254-1998《信息技術(shù)設(shè)備的無(wú)線電騷擾限值和測(cè)量方法》；國(guó)家標(biāo)準(zhǔn)GB9361-1998《計(jì)算站場(chǎng)地安全要求》；國(guó)家標(biāo)準(zhǔn)GB17859-1999《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》；國(guó)家標(biāo)準(zhǔn)GB50174-1993《電子計(jì)算機(jī)機(jī)房設(shè)計(jì)規(guī)范》；國(guó)家軍用標(biāo)準(zhǔn)GJB3433-1998《軍用計(jì)算機(jī)網(wǎng)絡(luò)安全體系結(jié)構(gòu)》；國(guó)家公共安全和保密標(biāo)準(zhǔn)GGBB1-1999《信息設(shè)備電磁泄漏發(fā)射限值》；國(guó)家保密標(biāo)準(zhǔn)BMB2-1998《使用現(xiàn)場(chǎng)的信息設(shè)備電磁泄漏發(fā)射檢查測(cè)試方法和安全判據(jù)》；國(guó)家保密標(biāo)準(zhǔn)BMB3-1999《處理涉密信息的電磁屏蔽室的技術(shù)要求和測(cè)試方法》國(guó)家保密標(biāo)準(zhǔn)BMB4-2000《電磁干擾器技術(shù)要求和測(cè)試方法》；國(guó)家保密標(biāo)準(zhǔn)BMB5-2000《涉密信息設(shè)備使用現(xiàn)場(chǎng)的電磁泄漏發(fā)射防護(hù)要求》；國(guó)家保密指南BMZ1-2000《涉及國(guó)家秘密的計(jì)算機(jī)信息系統(tǒng)保密技術(shù)要求》；國(guó)家保密指南BMZ2-2001《涉及國(guó)家秘密的計(jì)算機(jī)信息系統(tǒng)安全保密方案設(shè)計(jì)指南》國(guó)家保密指南BM23-2000《涉及國(guó)家秘密的計(jì)算機(jī)信息系統(tǒng)安全保密測(cè)評(píng)指南》；PR22信息技術(shù)設(shè)備—無(wú)線電干擾特征—極限值和測(cè)量方法；PR24信息技術(shù)設(shè)備—免疫性特征—極限值和測(cè)量方法；國(guó)務(wù)院令147號(hào)《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》；國(guó)務(wù)院令195號(hào)《中華人民共和國(guó)計(jì)算機(jī)信息網(wǎng)絡(luò)國(guó)際聯(lián)網(wǎng)管理暫行規(guī)定》；中華人民共和國(guó)公安部令32號(hào)《計(jì)算機(jī)信息系統(tǒng)安全專(zhuān)用產(chǎn)品檢測(cè)和銷(xiāo)售許可證管理辦法》；國(guó)家保密局文件《計(jì)算機(jī)信息系統(tǒng)保密管理暫行規(guī)定》（國(guó)保發(fā)[1998]1號(hào)）；中央保密委員會(huì)辦公室、國(guó)家保密局文件《涉及國(guó)家秘密的通信、辦公自動(dòng)化和計(jì)算機(jī)信息系統(tǒng)審批暫行辦法》（中保辦發(fā)[1998]6號(hào)）；中共中央辦公廳國(guó)務(wù)院辦公廳關(guān)于轉(zhuǎn)發(fā)《中共中央保密委員會(huì)辦公室、國(guó)家保密局關(guān)于國(guó)家秘密載體保密管理的規(guī)定》的通知（廳字[2000]58號(hào)）。方案目標(biāo)客戶(hù)科技信息化辦公環(huán)境要求最大可能的保護(hù)其內(nèi)部網(wǎng)絡(luò)、系統(tǒng)資源與數(shù)據(jù)可以得到充分的信任和保護(hù)，獲得良好的管理。本項(xiàng)目的總體目標(biāo)是在不影響信息化辦公環(huán)境網(wǎng)絡(luò)正常工作的前提下，從虛擬安全、桌面管理、行為控制等多個(gè)角度構(gòu)建一套完整的終端系統(tǒng)管理體系，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)的全面安全加固，最終達(dá)到客戶(hù)的相關(guān)保密要求。主要達(dá)到以下目標(biāo)：保護(hù)內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)安全性保護(hù)網(wǎng)絡(luò)及系統(tǒng)服務(wù)的連續(xù)性防范入侵者及病毒的惡意攻擊與破壞實(shí)現(xiàn)網(wǎng)絡(luò)的簡(jiǎn)捷、安全與靈活管理。保持良好的應(yīng)用體驗(yàn)深入的成本控制信息安全目標(biāo)安全理念：準(zhǔn)入控制保護(hù)，掌控網(wǎng)絡(luò)終端，規(guī)范網(wǎng)絡(luò)行為，杜絕信息外泄，全面內(nèi)網(wǎng)安全。以?xún)?nèi)網(wǎng)準(zhǔn)入控制保護(hù)為中心，強(qiáng)調(diào)應(yīng)用體驗(yàn)和價(jià)值，提供滿足客戶(hù)時(shí)間的軟硬件結(jié)合的全面內(nèi)網(wǎng)安全策略的需求，從內(nèi)網(wǎng)的所有安全隱患及可能發(fā)生信息泄露的途徑全面監(jiān)控、審計(jì)內(nèi)網(wǎng)終端的網(wǎng)絡(luò)行為。為客戶(hù)建立事前預(yù)防、事中監(jiān)督、事后溯源追查的一體化安全體系，夯實(shí)網(wǎng)絡(luò)、終端等的統(tǒng)一安全和集中管控，實(shí)現(xiàn)最低總擁有成本（TCO）。內(nèi)網(wǎng)安全管理系統(tǒng)具有簡(jiǎn)單易用、可操作性強(qiáng)；功能靈活、安全加固終端；實(shí)施方便、可擴(kuò)展性強(qiáng)的特點(diǎn)。作為國(guó)產(chǎn)內(nèi)網(wǎng)安全軟件，產(chǎn)品通過(guò)國(guó)際、國(guó)內(nèi)相關(guān)檢測(cè)，而且在國(guó)內(nèi)企業(yè)行業(yè)已經(jīng)有了眾多的成功案例，比較成熟、專(zhuān)業(yè)。系統(tǒng)還具有完善的監(jiān)控設(shè)置，多樣化的管理形式和豐富的記錄功能。這套系統(tǒng)設(shè)計(jì)完善，性能穩(wěn)定，實(shí)施方便、實(shí)用易用，滿足企業(yè)機(jī)構(gòu)信息中心當(dāng)前和將來(lái)對(duì)其網(wǎng)絡(luò)系統(tǒng)進(jìn)行24小時(shí)的相關(guān)監(jiān)測(cè)和性能管理的需求。針對(duì)企業(yè)行業(yè)的內(nèi)網(wǎng)安全管理，在解決方案的設(shè)計(jì)上認(rèn)為需要體現(xiàn)下面一種管理思想：集中管理：將分散的終端集中管理保障應(yīng)用：確保系統(tǒng)的正常運(yùn)行威脅管理：防范非法接入、防止內(nèi)網(wǎng)環(huán)境感染病毒行為管理：提高工作效率，提升企業(yè)形象終端安全管控系統(tǒng)整體解決方案聯(lián)想虛擬化桌面是基于云計(jì)算環(huán)境下的全新終端管理系統(tǒng)，其整合最新的虛擬安全技術(shù)，以終端系統(tǒng)管理為中心出發(fā)點(diǎn)，從虛擬防護(hù)、桌面管理、行為控制等多個(gè)角度構(gòu)建一套完整的終端系統(tǒng)管理體系，防御各種終端異常事件，通過(guò)技術(shù)手段全面貫徹落實(shí)各單位的終端管理策略。聯(lián)想虛擬化桌面結(jié)構(gòu)及部署針對(duì)客戶(hù)對(duì)終端管理及安全提出的功能和性能要求，客戶(hù)為了有效地滿足內(nèi)網(wǎng)環(huán)境下的管理需求，故提出以虛擬終端產(chǎn)品作為基礎(chǔ)建設(shè)安全管理系統(tǒng)的構(gòu)想，從系統(tǒng)、網(wǎng)絡(luò)及應(yīng)用安全三個(gè)方面為客戶(hù)內(nèi)網(wǎng)提供一套完整的安全管控解決方案。聯(lián)想虛擬化桌面架構(gòu)聯(lián)想虛擬化桌面分為客戶(hù)端和策略管理中心兩個(gè)部分，其中策略管理中心為服務(wù)器端；通過(guò)建立用戶(hù)定制的操作系統(tǒng)鏡像文件及提供虛擬防護(hù)、桌面管理及行為控制等的策略管理，為客戶(hù)端提供多方面的系統(tǒng)及策略服務(wù)?？蛻?hù)端通過(guò)PXE網(wǎng)絡(luò)啟動(dòng)的方式通過(guò)網(wǎng)絡(luò)加載服務(wù)及信息。系統(tǒng)功能虛擬防護(hù)：遠(yuǎn)程虛擬化管理網(wǎng)關(guān)控制病毒庫(kù)同步驅(qū)動(dòng)防火墻個(gè)性化安全磁盤(pán)桌面管理資產(chǎn)管理補(bǔ)丁管理軟件群發(fā)遠(yuǎn)程支持行為控制外設(shè)控制應(yīng)用軟件控制上網(wǎng)監(jiān)控行為監(jiān)控部署方式聯(lián)想虛擬化桌面安裝部署非常簡(jiǎn)單方便，只需要在服務(wù)器上安裝好服務(wù)器端程序，建立用戶(hù)定制的操作系統(tǒng)鏡像文件，然后將所有客戶(hù)機(jī)的開(kāi)機(jī)啟動(dòng)順序改為從網(wǎng)絡(luò)啟動(dòng)即可管理，不需要逐一安裝客戶(hù)端代理軟件。如下圖：聯(lián)想虛擬化桌面在客戶(hù)的應(yīng)用分析本章將針對(duì)聯(lián)想虛擬化桌面的虛擬防護(hù)、桌面管理、行為控制等模塊針對(duì)客戶(hù)的需求進(jìn)行具體的功能分析。內(nèi)網(wǎng)數(shù)據(jù)的根本防護(hù)聯(lián)想虛擬化桌面能夠控制工作主機(jī)在啟動(dòng)時(shí)從服務(wù)器端的虛擬磁盤(pán)進(jìn)行引導(dǎo)，由系統(tǒng)服務(wù)器上直接讀取操作系統(tǒng)及應(yīng)用鏡像文件，終端數(shù)據(jù)可集中、加密存儲(chǔ)于服務(wù)端也可存儲(chǔ)于終端本地硬盤(pán)；如數(shù)據(jù)存儲(chǔ)于本地硬盤(pán)，聯(lián)想虛擬化桌面將對(duì)本地硬盤(pán)做加密處理；如本地硬盤(pán)或終端離開(kāi)用戶(hù)本身的內(nèi)網(wǎng)環(huán)境硬盤(pán)將無(wú)法讀寫(xiě)。虛擬終端管理平臺(tái)中，內(nèi)部網(wǎng)的計(jì)算機(jī)如果拔下內(nèi)網(wǎng)網(wǎng)線，插入外網(wǎng)網(wǎng)線，內(nèi)網(wǎng)電腦將因無(wú)法與服務(wù)端通訊而導(dǎo)致系統(tǒng)無(wú)法使用且本地硬盤(pán)無(wú)法讀寫(xiě)，從而杜絕了用戶(hù)私自拔插內(nèi)外網(wǎng)網(wǎng)線的情況。聯(lián)想虛擬化桌面也可利用自身安全策略限制終端連入Internet,禁止終端的外設(shè)應(yīng)用；包括移動(dòng)存儲(chǔ)設(shè)備、光驅(qū)、軟驅(qū)、打印機(jī)等，全方位保障內(nèi)部網(wǎng)絡(luò)數(shù)據(jù)安全?？紤]到在工作中，內(nèi)部數(shù)據(jù)在允許的情況下需要進(jìn)行交互，聯(lián)想虛擬化桌面為每個(gè)終端提供“個(gè)性化加密磁盤(pán)”，用戶(hù)可通過(guò)用戶(hù)名及密碼訪問(wèn)各自的加密磁盤(pán)空間并進(jìn)行內(nèi)部數(shù)據(jù)共享，解決了禁用U盤(pán)后的數(shù)據(jù)交換問(wèn)題。操作系統(tǒng)安全聯(lián)想虛擬化桌面可實(shí)現(xiàn)客戶(hù)端重啟恢復(fù)的功能；該功能可根據(jù)虛擬磁盤(pán)分區(qū)進(jìn)行設(shè)置，客戶(hù)端每次重新啟動(dòng)后都會(huì)得到純凈、安全的系統(tǒng)和應(yīng)用，可從根本保護(hù)終端的操作系統(tǒng)及應(yīng)用。無(wú)論因誤操作或是病毒等影響出現(xiàn)系統(tǒng)及應(yīng)用故障，只需要重新啟動(dòng)電腦即可得到解決。通過(guò)數(shù)據(jù)緩存和高強(qiáng)度通信壓縮功能，聯(lián)想虛擬化桌面大大降低終端應(yīng)用對(duì)網(wǎng)絡(luò)及服務(wù)器的壓力，確保在千兆環(huán)境下操作系統(tǒng)和應(yīng)用軟件的運(yùn)行速度不亞于本地計(jì)算機(jī)，并實(shí)現(xiàn)了斷網(wǎng)后再次接入時(shí)終端計(jì)算機(jī)能正?；謴?fù)運(yùn)行，內(nèi)存數(shù)據(jù)不丟失。另外，支持多服務(wù)器負(fù)載均衡和冗余熱備；網(wǎng)絡(luò)中的多臺(tái)服務(wù)器可實(shí)現(xiàn)負(fù)載均衡以保障終端順暢運(yùn)行，在某臺(tái)服務(wù)器出現(xiàn)故障時(shí)其他服務(wù)器會(huì)即時(shí)接管以保障終端用戶(hù)不受影響。以上這些可充分保障終端用戶(hù)的業(yè)務(wù)連續(xù)性。集中、統(tǒng)一化運(yùn)維聯(lián)想虛擬化桌面能夠控制工作主機(jī)在啟動(dòng)時(shí)從虛擬磁盤(pán)進(jìn)行引導(dǎo)，由系統(tǒng)服務(wù)器上直接讀取操作系統(tǒng)鏡像文件，這使得網(wǎng)絡(luò)中終端的軟件安裝、補(bǔ)丁升級(jí)、病毒庫(kù)升級(jí)等工作可實(shí)現(xiàn)集中完成且成功率100%，整個(gè)網(wǎng)絡(luò)的運(yùn)維工作大大簡(jiǎn)化。聯(lián)想虛擬化桌面可良好的支持多種硬件、操作系統(tǒng)及應(yīng)用程序共存，充分發(fā)揮終端硬件資源，可根據(jù)客戶(hù)辦公網(wǎng)的具體環(huán)境進(jìn)行靈活部署。良好的應(yīng)用體驗(yàn)聯(lián)想虛擬化桌面可輕松支持各種大型設(shè)計(jì)軟件如AutoCAD、3Dmax及工業(yè)軟件Mathematica、StartAnsys等，同時(shí)不改變終端用戶(hù)原有的使用習(xí)慣；用戶(hù)環(huán)境及數(shù)據(jù)可進(jìn)行平滑遷移，終端計(jì)算機(jī)的系統(tǒng)用戶(hù)名和密碼、桌面壁紙、IE收藏夾、我的文檔、桌面上的各種文件等個(gè)性化數(shù)據(jù)均能自動(dòng)保留，無(wú)需手工設(shè)置，真正實(shí)現(xiàn)個(gè)性化管理。在圖云VEMS應(yīng)用環(huán)境中，能夠良好的兼容各種軟硬件，流暢運(yùn)行藍(lán)光高清、視頻會(huì)議、高清圖像等多媒體應(yīng)用，從開(kāi)機(jī)到應(yīng)用到關(guān)機(jī)，用戶(hù)終端環(huán)境和普通PC計(jì)算機(jī)環(huán)境毫無(wú)差異，使用者甚至感覺(jué)不到已經(jīng)部署了聯(lián)想虛擬化桌面。部署簡(jiǎn)單聯(lián)想虛擬化桌面的部署無(wú)需更改客戶(hù)現(xiàn)有網(wǎng)絡(luò)環(huán)境及終端，單一硬件配置環(huán)境下只需一臺(tái)終端安裝圖云客戶(hù)端軟件及上傳系統(tǒng)鏡像后，其他終端開(kāi)啟網(wǎng)絡(luò)啟動(dòng)即可。部署輕松簡(jiǎn)捷。合理的投資回報(bào)聯(lián)想虛擬化桌面部署后因利用虛擬化集中、統(tǒng)一管理模式，所以可大大減少網(wǎng)絡(luò)運(yùn)維人員的數(shù)量，減少了人力成本。由于終端計(jì)算機(jī)的穩(wěn)定可靠，大大減少了因終端故障而引起的業(yè)務(wù)損失，聯(lián)想虛擬化桌面只需要采用普通1萬(wàn)元級(jí)別的服務(wù)器即可支持150臺(tái)以上的終端計(jì)算機(jī)，可以繼續(xù)使用客戶(hù)原有的PC機(jī)，所以在硬件投入上可比其他桌面虛擬化系統(tǒng)大大節(jié)省。另外，集中的運(yùn)行模式也可極大的減少用戶(hù)軟件授權(quán)費(fèi)用。聯(lián)想虛擬化桌面在客戶(hù)科技部署后的預(yù)期效果內(nèi)網(wǎng)數(shù)據(jù)安全得到根本保護(hù)內(nèi)網(wǎng)終端無(wú)法利用外網(wǎng)網(wǎng)線連接Internet,也無(wú)法通過(guò)3G等其他途徑上網(wǎng)。內(nèi)網(wǎng)終端在未經(jīng)允許的情況下無(wú)法利用移動(dòng)存儲(chǔ)設(shè)備、光驅(qū)、軟驅(qū)或打印等方式拷貝、泄露內(nèi)網(wǎng)數(shù)據(jù)，即使拆卸帶走硬盤(pán)也不會(huì)導(dǎo)致數(shù)據(jù)泄露。內(nèi)網(wǎng)數(shù)據(jù)信息得到根本的保護(hù)。系統(tǒng)及應(yīng)用安全得到根本保護(hù)系統(tǒng)及應(yīng)用可實(shí)現(xiàn)重啟恢復(fù)，無(wú)論因誤操作還是病毒木馬造成的系統(tǒng)及應(yīng)用問(wèn)題都會(huì)在重啟后瞬間得到恢復(fù)。所有的終端計(jì)算機(jī)的安全補(bǔ)丁和系統(tǒng)補(bǔ)丁都能夠及時(shí)得到更新，系統(tǒng)管理可以快速實(shí)現(xiàn)所有終端操作系統(tǒng)的安全加固工作?？梢灶A(yù)期的是，客戶(hù)所有的終端計(jì)算機(jī)從此告別了系統(tǒng)重裝，實(shí)現(xiàn)了100%的操作系統(tǒng)可用性。簡(jiǎn)捷的運(yùn)維管理系統(tǒng)管理員無(wú)需再為終端重新安裝操作系統(tǒng)及繁多的應(yīng)用，新機(jī)器加入1分鐘即可交付應(yīng)用環(huán)境。軟件安裝、補(bǔ)丁升級(jí)全網(wǎng)一次完成且成功率100%。良好的應(yīng)用體驗(yàn)大型軟件及高清視頻可流暢運(yùn)行，日常應(yīng)用完全和普通PC相同，用戶(hù)可完全保持原有的使用習(xí)慣。同時(shí)，在安全性可用性上會(huì)有大幅度提高；電腦長(zhǎng)時(shí)間使用不會(huì)變慢，不會(huì)因系統(tǒng)及應(yīng)用問(wèn)題導(dǎo)致業(yè)務(wù)及應(yīng)用中斷，“個(gè)人加密磁盤(pán)”使個(gè)人文件存取更加方便。使用者滿意度的提升有利于整套信息管理系統(tǒng)的長(zhǎng)期穩(wěn)定運(yùn)行。輕松部署聯(lián)想虛擬化桌面可在3-5小時(shí)內(nèi)部署100臺(tái)終端，且可保留用戶(hù)原有桌面數(shù)據(jù)及應(yīng)用習(xí)慣，用戶(hù)可在不經(jīng)意間開(kāi)始應(yīng)用虛擬化平臺(tái)并接受終端管理系統(tǒng)的管理。邊界防護(hù)解決方案細(xì)粒度的高性能網(wǎng)絡(luò)訪問(wèn)控制通過(guò)深度防護(hù)規(guī)則實(shí)現(xiàn)網(wǎng)絡(luò)訪問(wèn)控制，深度防護(hù)規(guī)則包含源地址、目的地址、源端口、源MAC、流入網(wǎng)口、流出網(wǎng)口、訪問(wèn)控制、時(shí)間調(diào)度、服務(wù)、是否為長(zhǎng)連接、深度防護(hù)策略等多個(gè)控制子選項(xiàng)，對(duì)于不符合規(guī)則的訪問(wèn)，系統(tǒng)可以攔截并發(fā)出日志告警。支持基于物理接口、源IP地址、目的IP地址、MAC地址、域名、端口或協(xié)議、時(shí)間、用戶(hù)的訪問(wèn)控制。支持狀態(tài)檢測(cè)功能，支持連接狀態(tài)非優(yōu)先匹配和連接狀態(tài)優(yōu)先匹配兩種狀態(tài)檢測(cè)模式；不僅支持基于源IP地址、目的IP地址、MAC地址、域名、端口或協(xié)議、時(shí)間、用戶(hù)的訪問(wèn)控制，還支持基于的訪問(wèn)控制。支持基于策略的HTTP、FTP、TELNET、SMTP、POP3、SOCKS、DNS、ICMP等協(xié)議的透明代理，支持自定義端口的透明代理功能，支持基于透明代理的深度內(nèi)容過(guò)濾；支持FTP多線程透明代理控制。支持透明DNS代理服務(wù)，支持DNS二級(jí)服務(wù)器的透明代理；支持IP/MAC地址綁定，支持IP/MAC地址對(duì)的自動(dòng)探測(cè)和唯一性檢查；支持IP/MAC的批量綁定。支持基于客戶(hù)端的本地認(rèn)證、遠(yuǎn)程Web認(rèn)證，以及Radius等第三方認(rèn)證；支持基于USBKEY的證書(shū)方式認(rèn)證。可以根據(jù)IP、協(xié)議、網(wǎng)絡(luò)接口、時(shí)間定義、端口、P2P應(yīng)用的帶寬分配策略；支持最小保證帶寬和最大限制帶寬；支持多種帶寬定義，包括最小保證帶寬和最大限制帶寬；支持分層帶寬控制，可分4層進(jìn)行控制，保證細(xì)粒度管理水平；支持帶寬優(yōu)先級(jí)管理，可為不同用戶(hù)、應(yīng)用、策略分配不同的優(yōu)先級(jí)。完善的應(yīng)用控制下一代防火墻不僅具有網(wǎng)絡(luò)入侵防御和網(wǎng)絡(luò)病毒防御功能，同時(shí)還具有豐富的應(yīng)用監(jiān)控功能?？梢愿鶕?jù)不同的時(shí)間、群組，來(lái)對(duì)即時(shí)聊天軟件、網(wǎng)游、P2P軟件等下達(dá)嚴(yán)格的管理策略。下一代防火墻對(duì)應(yīng)用的識(shí)別基于應(yīng)用行為和數(shù)據(jù)特征，而不是基于端口號(hào)，有效地提升了應(yīng)用的識(shí)別率，避免了誤判。尤其對(duì)P2P應(yīng)用中的加密傳輸，下一代防火墻基于應(yīng)用行為識(shí)別與主動(dòng)探測(cè)相結(jié)合的方式，有效地克服了加密后無(wú)法識(shí)別的業(yè)內(nèi)難題。通過(guò)精確的識(shí)別，下一代防火墻對(duì)IM軟件實(shí)現(xiàn)了細(xì)粒度的控制，不但可以控制登陸，而且對(duì)文字聊天，文件傳輸，音頻、視頻都可以實(shí)現(xiàn)分類(lèi)控制。能夠基于軟件行為、數(shù)據(jù)內(nèi)容，而不是基于協(xié)議端口號(hào)，來(lái)識(shí)別常見(jiàn)的P2P和IM軟件應(yīng)用?？勺R(shí)別、控制BT、Edonkey等常見(jiàn)P2P下載軟件?？勺R(shí)別、控制PPlive等常見(jiàn)P2P視頻軟件。不但可識(shí)別、控制而且可限流、可控制會(huì)話數(shù)、可限值帶寬、可審計(jì)。內(nèi)建檢測(cè)加密P2P的模塊，可以阻擋加密P2P軟件。根據(jù)不同需求，進(jìn)行多層次IM軟件控制，不僅可禁止實(shí)時(shí)聊天程序，還可對(duì)它的。登陸、聊天、傳輸文件、實(shí)時(shí)語(yǔ)音、實(shí)時(shí)視頻等進(jìn)行分項(xiàng)管理。網(wǎng)絡(luò)管理者可以依據(jù)源地址、目的地址、VLAN群組等設(shè)定P2P、IM策略。云存儲(chǔ)解決方案總體技術(shù)方案“云存儲(chǔ)”采用元/流分開(kāi)技術(shù)模型，元數(shù)據(jù)存儲(chǔ)在數(shù)據(jù)庫(kù)中、流數(shù)據(jù)加密并混淆存在的硬盤(pán)介質(zhì)上。云盤(pán)采用Nginx服務(wù)器負(fù)載均衡方案以及Mysql冗余備份方案，確保系統(tǒng)高可靠性與數(shù)據(jù)庫(kù)的高可用性。系統(tǒng)架構(gòu)主要功能自動(dòng)同步體驗(yàn)Windows客戶(hù)端在指定目錄下添加、修改、刪除文件或目錄，這種狀態(tài)將會(huì)自動(dòng)同步到云端。如果云端任意一個(gè)文件被添加、修改、刪除，也會(huì)自動(dòng)同步到當(dāng)前Windows電腦。選擇性同步用戶(hù)不需要把云端所有的文件都同步到Windows電腦中，可根據(jù)需要，在Windows客戶(hù)端進(jìn)行選擇性同步。選擇一個(gè)或多個(gè)子目錄進(jìn)行同步。完善的文件共享提供目錄共享，企業(yè)成員可在共享目錄編輯文件后，可自動(dòng)同步到對(duì)方目錄中。提供文件外鏈與文件分享，成員可將文件進(jìn)行外部分享?？焖俜奖愕牟渴鹜ㄟ^(guò)單一安裝文件完成，自動(dòng)獲取安裝所需信息，無(wú)需用戶(hù)干預(yù)。自主創(chuàng)新的文件歷史版本恢復(fù)用戶(hù)多次編輯文件后，可根據(jù)時(shí)間找到以前的版本，并可恢復(fù)。應(yīng)用廣泛“云存儲(chǔ)”具有很好的兼容性，可以廣泛應(yīng)用于科研、教育、石油勘探、氣象預(yù)報(bào)、生物醫(yī)藥等各個(gè)領(lǐng)域。系統(tǒng)安全機(jī)制Ipad自帶存儲(chǔ)，采用無(wú)線存儲(chǔ)技術(shù)，在通訊過(guò)程中，由于無(wú)線信道的開(kāi)放性，每個(gè)合法用戶(hù)與服務(wù)網(wǎng)絡(luò)之間沒(méi)有固定的線路連接，所以只能依靠數(shù)據(jù)的加密來(lái)保證數(shù)據(jù)的安全性。目前，無(wú)線問(wèn)題在安全上還存在著或多或少的缺陷和漏洞（如WiMAX只能提供單向認(rèn)證等）。云存儲(chǔ)系統(tǒng)提供更高的安全機(jī)制，安全數(shù)據(jù)保障由數(shù)據(jù)隔離、數(shù)據(jù)加密傳輸存儲(chǔ)、冗余存儲(chǔ)和備份恢復(fù)等幾部分組成。數(shù)據(jù)隔離私有云存儲(chǔ)服務(wù)器部署在企業(yè)內(nèi)部，并進(jìn)行嚴(yán)格的安全加固，保護(hù)數(shù)據(jù)的安全性。訪問(wèn)控制只有注冊(cè)用戶(hù)才能訪問(wèn)，系統(tǒng)采用高強(qiáng)度（含字母、數(shù)字及特殊字符）的賬戶(hù)口令系統(tǒng)，每個(gè)用戶(hù)設(shè)有單獨(dú)的用戶(hù)名和密碼，用戶(hù)必須輸入用戶(hù)名和密碼才能夠訪問(wèn)相關(guān)數(shù)據(jù)。另外系統(tǒng)可擴(kuò)展支持雙因素令牌認(rèn)證。數(shù)據(jù)加密采用企業(yè)級(jí)的加解密技術(shù)，保障用戶(hù)數(shù)據(jù)安全，支持網(wǎng)絡(luò)銀行SSL加密技術(shù)，文件加密存儲(chǔ)和傳輸。256位SSL（安全套結(jié)字層技術(shù)）保證了客戶(hù)的數(shù)據(jù)不被攻擊和盜用。用戶(hù)可對(duì)制定目錄和文件進(jìn)行加密后保存，實(shí)現(xiàn)敏感數(shù)據(jù)存儲(chǔ)和傳送過(guò)程中的機(jī)密性保護(hù)。分布式文件系統(tǒng)后臺(tái)采用分布式文件系統(tǒng)，實(shí)現(xiàn)備份級(jí)、系統(tǒng)級(jí)、部署級(jí)一體的多級(jí)容災(zāi)機(jī)制。冗余存儲(chǔ)和備份恢復(fù)通過(guò)數(shù)據(jù)冗余、災(zāi)難備份及自動(dòng)恢復(fù)技術(shù)，為企業(yè)提供數(shù)據(jù)安全保障。系統(tǒng)性能千兆網(wǎng)絡(luò)情況下，每秒可達(dá)50M傳輸速度。單節(jié)點(diǎn)數(shù)據(jù)規(guī)模達(dá)到1千萬(wàn)，系統(tǒng)可正常運(yùn)轉(zhuǎn)。系統(tǒng)維護(hù)在進(jìn)行了云存儲(chǔ)的部署以后，要持續(xù)保障一個(gè)動(dòng)態(tài)網(wǎng)絡(luò)的可靠性，持之以恒的安全管理和專(zhuān)業(yè)的外部咨詢(xún)顧問(wèn)是必不可少的。一個(gè)固定的長(zhǎng)期合作伙伴，就像企業(yè)的常年法律顧問(wèn)和管理顧問(wèn)一樣，直接高效的幫助企業(yè)完成終端管理目標(biāo)，降低安全及管理代價(jià)，從而使企業(yè)能更專(zhuān)心地運(yùn)行其主要業(yè)務(wù)，獲得更好的收益。為了較好的保障持續(xù)性的網(wǎng)絡(luò)服務(wù)，以合理的費(fèi)用保障較高的技術(shù)支持級(jí)別，我公司提供了如下基本的服務(wù)方式和支持指標(biāo)。主要內(nèi)容包括：迅速和完備的現(xiàn)場(chǎng)和非現(xiàn)場(chǎng)服務(wù)支持本地緊急響應(yīng)：遠(yuǎn)程應(yīng)急響應(yīng)：2小時(shí)內(nèi)響應(yīng)日常支持5x8小時(shí)熱線支持無(wú)限次Email或傳真支持不定期的通告復(fù)查和外部監(jiān)督提供全方位的技術(shù)顧問(wèn)與咨詢(xún)提供不限次數(shù)的產(chǎn)品與技術(shù)問(wèn)題咨詢(xún)提供對(duì)技術(shù)人員的培訓(xùn)計(jì)劃針對(duì)網(wǎng)管和技術(shù)人員的初級(jí)培訓(xùn)針對(duì)網(wǎng)管和技術(shù)人員的中級(jí)培訓(xùn)數(shù)據(jù)防泄密解決方案基于上述對(duì)行業(yè)及客戶(hù)需求的簡(jiǎn)要分析，結(jié)合我公司在數(shù)據(jù)泄露防護(hù)領(lǐng)域多年信息安全項(xiàng)目建設(shè)經(jīng)驗(yàn)，針對(duì)企業(yè)的數(shù)據(jù)安全體系提出以下方案建議：數(shù)據(jù)管理：構(gòu)建文檔安全管理體系的前提。如果沒(méi)有數(shù)據(jù)的集中管理，很難實(shí)現(xiàn)數(shù)據(jù)的權(quán)限管理、發(fā)布管理等。數(shù)據(jù)加密：是保證數(shù)據(jù)安全性的基本手段，分為數(shù)據(jù)物理載體加密和數(shù)據(jù)傳播加密兩個(gè)部分。用戶(hù)認(rèn)證：主要是指用戶(hù)的身份管理。其可以用于控制用戶(hù)的訪問(wèn)，同時(shí)與數(shù)據(jù)權(quán)限管理和數(shù)據(jù)使用的審計(jì)管理相結(jié)合。數(shù)據(jù)權(quán)限管理：用于實(shí)現(xiàn)數(shù)據(jù)的受控訪問(wèn)及操作。數(shù)據(jù)權(quán)限管理包括訪問(wèn)權(quán)限管理和操作權(quán)限管理兩部分。數(shù)據(jù)使用時(shí)限管理：是指用戶(hù)對(duì)于數(shù)據(jù)的使用要具備時(shí)效性，即根據(jù)數(shù)據(jù)密級(jí)和類(lèi)型的不同，數(shù)據(jù)在用戶(hù)手中可使用的時(shí)限不同。當(dāng)超出使用時(shí)限后，該數(shù)據(jù)應(yīng)自動(dòng)失效。數(shù)據(jù)日志審計(jì)管理：記錄所有用戶(hù)的全部操作日志，如文件新建、復(fù)制、剪切、刪除、打印、通過(guò)網(wǎng)絡(luò)外發(fā)、移動(dòng)存儲(chǔ)設(shè)備拷貝等日志。文件外發(fā)功能由于外部交往頻繁，對(duì)于部分重要文件有時(shí)需要對(duì)外發(fā)文件進(jìn)行控制。根據(jù)控制的緊密程度，可以有多種選擇：申請(qǐng)解密：通過(guò)定義的解密申請(qǐng)流程申請(qǐng)文件解密，審核負(fù)責(zé)人在確認(rèn)文件安全性以后同意將文件解密，客戶(hù)端便會(huì)將這個(gè)文件變?yōu)槊魑?，這樣只要在規(guī)定的時(shí)間內(nèi)將這個(gè)明文發(fā)出去就可以了。與此同時(shí)，相關(guān)解密操作會(huì)在服務(wù)器形成記錄日志。郵件外發(fā)解密：我們可以將一些通過(guò)企業(yè)責(zé)任部門(mén)確認(rèn)的一些安全可信的客戶(hù)郵箱錄入系統(tǒng)中，這些郵箱發(fā)送的郵件都可以自動(dòng)解密，并且在系統(tǒng)中自動(dòng)記錄發(fā)送的郵件副本以及發(fā)送信息。文件外發(fā)權(quán)限控制：當(dāng)需要將一些重要的文件外發(fā)給企業(yè)外部的人員時(shí)，可控制文件在外部的使用時(shí)間、過(guò)期自動(dòng)銷(xiāo)毀、打開(kāi)次數(shù)、修改權(quán)限、截屏控制、另存為等可能泄密行為的控制；移動(dòng)辦公應(yīng)用對(duì)需要出差或移動(dòng)辦公的人員可申請(qǐng)?jiān)O(shè)置離線模式，允許離線使用；通過(guò)設(shè)置離線模式只能在有效時(shí)間內(nèi)可以打開(kāi)密文；延續(xù)時(shí)間安裝包、離線時(shí)間延長(zhǎng)短信序列號(hào)，方便延長(zhǎng)出差時(shí)間；DLP方案主要功能實(shí)現(xiàn)技術(shù)：采用穩(wěn)定可靠的磁盤(pán)加密技術(shù)對(duì)存儲(chǔ)設(shè)備設(shè)置保密卷實(shí)現(xiàn)數(shù)據(jù)的強(qiáng)制透明加解密，保護(hù)數(shù)據(jù)只能在單位內(nèi)部使用，數(shù)據(jù)帶出單位內(nèi)部需要申請(qǐng)外發(fā)、外帶授權(quán)；使用過(guò)程中不影響終端打開(kāi)加密文件的速度，對(duì)100G文件加密打開(kāi)0延遲；終端密鑰管理：靈活設(shè)置各部門(mén)加密密鑰，控制部門(mén)之間是否可以互訪加密數(shù)據(jù)，并可以控制加密的數(shù)據(jù)的讀寫(xiě)權(quán)限。加密權(quán)限管理：針對(duì)客戶(hù)實(shí)際情況靈活設(shè)置需要加密的涉密文檔的格式，設(shè)置進(jìn)程對(duì)加密盤(pán)的訪問(wèn)權(quán)限，可以設(shè)置是否控制移動(dòng)、復(fù)制、拖拽、剪切板等內(nèi)容。手動(dòng)加解密管理：手動(dòng)對(duì)客戶(hù)端的涉密數(shù)據(jù)進(jìn)行加解密操作。災(zāi)難數(shù)據(jù)恢復(fù)：控制臺(tái)便捷解密功能，加密數(shù)據(jù)可在控制臺(tái)所在機(jī)器通過(guò)該功能進(jìn)行解密。移動(dòng)外發(fā)管理：可以授信郵箱發(fā)送涉密數(shù)據(jù)，授信的郵箱發(fā)送的加密文檔自動(dòng)解密，提供出差人員離線訪問(wèn)加密盤(pán)的時(shí)間限制。移動(dòng)外發(fā)權(quán)限控制：可控制文件在外部的使用時(shí)間、生成離線策略包、生成離線策略序列號(hào)，過(guò)期自動(dòng)銷(xiāo)毀、打開(kāi)次數(shù)、外部使用時(shí)間臨時(shí)延長(zhǎng)、修改權(quán)限、截屏控制、另存為控制；外發(fā)流程審批：設(shè)置涉密數(shù)據(jù)在外發(fā)時(shí)需要經(jīng)過(guò)審批的流程；解密審核日志：供管理員處理客戶(hù)端提交的文檔解密請(qǐng)求。共享審核日志：供管理員處理客戶(hù)端文件夾共享請(qǐng)求。終端保密卷配置：遠(yuǎn)程創(chuàng)建客戶(hù)端的加密盤(pán)符，所有涉密數(shù)據(jù)均在加密盤(pán)下打開(kāi)、修改等操作。終端加密配置：定義加密的屬性，像是否啟用加密圖標(biāo)、最大斷網(wǎng)離線運(yùn)行時(shí)間、離線時(shí)間到期后采取的措施、是否啟用自動(dòng)加密、是否授信客戶(hù)端自定義外發(fā)包。文檔權(quán)限控管：定制終端用戶(hù)機(jī)器的某些文檔或目錄禁止被剪切、復(fù)制、刪除、重命名，從而保障文檔的安全性，不被誤刪除或非法刪除。遠(yuǎn)程文件管理：管理員可遠(yuǎn)程操作客戶(hù)端硬盤(pán)上的所有文件，包括下載、上傳、刪除、查看、遠(yuǎn)程執(zhí)行等操