信息安全现状
根据fbi对近500家公司调查显示:面对来自于公司内部的信息安全威胁,85%的安全损失是由企业内部原因造成的。对那些来自公司 内部的安全问题,不是靠单纯的安装杀毒软件和防火墙就能解决的。
如何面对桌面进行统一的管理,已经成为大多数公司it管理的必要手段。其中包括:
统一的软件和应用程序安装;
统一规范桌面等级(分红、黄、绿不同的办公区域);
统一终端设备接入办公网络的准入规则;
严格规范信息数据在不同等级桌面之间的流动等等。
中小企业的内部信息网络一般由终端、服务器、网络设施以及各种erp、oa、设计和生产系统组成。除了常规的安装防病毒软件之外,他们主要面临的桌面安全威胁有:
pc办公系统,磁盘损坏,桌面信息数据丢失;
非法设备接入网络,盗取信息资产;
移动介质(如u盘)通过桌面pc盗取信息资产;
内网设备连接互联网,通过邮件,上载,共享等手段,盗取信息资产。
中小企业在面临这些信息安全问题的时候,通常面临资金投入的压力,传统的桌面安全监控软件,上网行为管理软件等等,价格相对比较昂贵,而且软件配置复杂, 只能解决部分问题。同时传统的信息安全手段,通常是以牺牲员工和外界(互联网)联络为代价的。让员工的工作环境变成了孤岛,既不利于员工创造性的发挥,也不利于资料查询和实时的信息获取。
本方案优点
众所周知,桌面云的部署一直是令it人员头痛的一项工作,比如xendesktop、microsoft rds、vmware view等桌面凯发k8国际首页的解决方案,通常需要很强的背景知识, 操作步骤繁琐,容易出错;中小企业很难有配套的人员实施和维护。相比之下,vramdesk桌面云凯发k8国际首页的解决方案将系统简化到极致,所有的桌面云管理模块被集成到了一个虚拟机中, 桌面云的部署成为了服务器虚拟化上的虚拟机导入工序,简单易用。
办公桌面被虚拟化在桌面云服务器,员工通过云终端访问桌面,数据全部在机房(红区)。
云桌面服务采用企业级硬盘和raid10或raid5的数据存储模式,提高可靠性。
红区与外网隔离,避免的病毒的侵扰和黑客的攻击。
黄区的交换机设备支持802.1x网络接入认证(使用mac地址绑定的方式,面临mac地址欺诈的入侵风险,存在较大的安全漏洞)。
黄区内所有的网络设备支持802.1x接入身份认证,只有经过授权的设备才能进入黄区网络。
云终端的802.1x认证信息用户不可见,由管理系统设置。
云终端恢复出厂设置,802.1x身份认证信息自动清除。
云终端支持证书管理,无合法证书的终端管理系统不能管理黄区的云终端。
黄区的云终端usb端口,设置为禁止数据文件的读和写。
云终端usb端口的读写设置,非授权用户不可见,也不可修改。
绿区的用户连接红区的云桌面,只能通过桌面云网关,桌面云网关提供远程桌面协议的桥接和数据文件单向流动的服务。红区的数据只能进不能出。
双网口的嵌入式云终端,usb读写功能被禁止。
双网口的嵌入式云终端接黄区的网口,持有合法的802.1x认证信息。
使用双网口的嵌入式云终端的用户,可一边访问红区的云桌面,同时访问绿区的云桌面。
双网口的嵌入式云终端,可以提供双远程桌面连接服务,同时保证两个云桌面网络和数据的隔离。
部署方案
简介:最简单的部署方案,只包含黄区和红区,甚至最小系统场景下,只包含红区。这种方案适合小型化用户,对信息安全的需要比较简单粗糙。
特点:办公桌席的数量比较少
员工办公不允许上互联网
办公网络与外界完全隔离
802.1x的认证数据库内置在交换机中
数据中心(服务器)只能由管理员操作
涉及的主要网络设备包括:
支持802.1x的云终端
普通网络交换机
支持802.1x的网络交换机
桌面云服务器
简介:包含红、黄、绿区的部署方案,主要是解决企业内部既有需要保护的核心信息资产,又有部分员工通过访问互联网办公的需要。
特点:办公桌席种类比较多
802.1x的认证数据库内置在交换机中
数据中心(服务器)只能由管理员操作
办公区域分不同的部门,部门之间的保密级别不同
绿区部署有云桌面服务器,提供允许访问互联网的桌面
黄区的云终端
绿区的云终端
路由器
红区的桌面云服务器
绿区的交换机
绿区的pc设备
双网口桌面云网关
红区的支持802.1x的网络交换机
绿区的云桌面服务器
绿区的普通网络交换机
红区的普通网络交换机
简介:采用双网口云终端的部署方案,员工可以实现,主要是解决企业内部既有需要保护的核心信息资产,员工又有上网需要的场景。
特点:绿区部署云桌面服务器
办公坐席可以同时访问红区和绿区
黄区的云终端
路由器
红区的桌面云服务器
绿区的交换机
双网口桌面云网关
红区的支持802.1x的网络交换机
绿区的云桌面服务器
红区的普通网络交换机