文档介绍:分布式虚拟桌面解决方案——高安全场景高IT安全管理场景的管理现状在社会高度信息化的今天,信息安全成为一个必须正视的课题。3G上网卡、智能手机、平板电脑等各种设备的不断涌现,以及越来越强大的病毒软件,正不断冲击着企业的信息安全,给企业IT管理部门带来了巨大的压力。对银行、电力、军工等牵涉国家安全的机构来说,其要求得到更高级别的IT安全管理。这种场景所面临的主要安全问题如下:经由终端的数据泄密用户通过将终端连接优盘、移动硬盘、USB光驱等设备,将资料复制出来;用户将硬盘拆卸后带出安全环境,通过另一台终端将数据导出;用户通过终端登录互联网,将资料泄露出去。登陆互联网的方式可以是未经管控的网线、WiFi,也可以通过插入3G上网卡或借由智能手机的无线热点功能实现上网。非终端导致的数据泄密数据在网络传输过程中遭到网络侦听;通过非法接入或直接盗取后台存储,造成数据泄密;病毒入侵造成的数据泄密。数据损毁终端、后台存储等硬件设备故障造成的数据损毁;病毒入侵造成的数据损毁。管理方面的安全管理员监守自盗造成的系统安全;用户私装软件造成的系统安全隐患;高级用户密码被盗造成的数据安全。系统稳定性服务器宕机造成的业务系统瘫痪;存储介质故障造成的业务系统瘫痪。巨恒的解决方案在高安全场景下,我们可采用分布式虚拟桌面解决方案,通过引入了USBKey多因子身份认证系统,整合了HA高可用、存储加密以及远程灾备,配合USB禁用、网络隔离、桌面加密、过期锁闭、远程删除等丰富安全功能,实现高级别的系统安全。用户的桌面系统运行于终端的虚拟层软件上,用户登录时,必须插入USBKey,输入密钥,安全认证系统校验数字证书,通过后,授权用户进入对应虚拟机;(数字证书由独立的离线CA发证系统提供)通过授权的用户,可以通过安全网站,与镜像中心服务器进行通信。镜像中心服务器采用HA高可用设计,单台服务器宕机,另一台服务器自动接管;所有数据存储于高可用存储中,并经过了加密交换机的加密处理;(巨恒光纤加密交换机,通过专门的密钥管理软件及UMA用户认证管理软件,支持标准的可靠的AES-256加密算法)存储中所有数据无法被窃取;用户终端与管理平台的整条链路的重要通信通过SSL加密后传输,确保不被侦听;系统高可用存储连接远方的IDC远程灾备中心,防止重大灾害发生时的数据安全。解决方案的安全性说明需求对策终端数据泄密的防范巨恒分布式虚拟桌面解决方案可在后台设置“USB禁用”策略,从Hypervisor层面禁用USB驱动。策略生效后,用户的优盘、移动硬盘和USB光驱等所有设备都无法显示;后台可对用户数据盘进行加密,物理硬盘拆卸至另一台终端上无法识别;系统可对3G上网卡、WiFi等无线功能实行禁用,杜绝用户通过无线上网以致泄露重要数据的可能;巨恒可通过后台设置网络隔离策略,禁止用户访问互联网或内网特定网段;“远程锁闭”功能,可设置终端在与管理服务器失去通信后的一定时间后自动锁闭,用户无法使用终端;“远程删除”功能,可允许管理员远程删除特定的用户虚拟桌面,配合“远程锁闭”功能,用户不联网则无法使用终端,联网则系统自动删除,最大程度保障数据安全。非终端数据泄密的防范巨恒的通信链路均通过SSL加密,防止数据传输遭侦听;后台存储经过加密交换机的加密,离开整个系统环境数据不可用,即便后台存储发生遗失,也能保证数据安全;办公模式下,系统