网站首页 公司业务 产品中心 解决方案 服务中心 关于创想 联系我们
创想云系列产品 增值服务 网络集成
创想云产品 华为产品 H3C产品 Symantec产品 CISCO产品
创想云解决方案 政府部门 企业单位 电力系统 医疗机构 广电行业
技术支持 维保服务 租赁业务
公司介绍 招贤纳士 公司新闻
方案类别
创想云解决方案
政府部门
企业单位
电力系统
医疗机构
广电行业
产品系列
创想云产品
华为产品
Symantec产品
CISCO产品
解决方案
面向信息安全的桌面创想云平台
发布日期:2017-03-08     浏览次数:1600

1    中小企业桌面信息安全
1-1    中小企业的信息安全挑战

根据FBI对近500家公司调查显示:面对来自于公司内部的信息安全威胁,85%的安全损失是由企业内部原因造成的。对那些来自公司内部的安全问题,不是靠单纯的安装杀毒软件和防火墙就能解决的。

如何面对桌面进行统一的管理,已经成为大多数公司IT管理的必要手段。其中包括:

n  统一的软件和应用程序安装;

n  统一规范桌面等级(分红、黄、绿不同的办公区域);

n  统一终端设备接入办公网络的准入规则;

n  严格规范信息数据在不同等级桌面之间的流动等等。

中小企业的内部信息网络一般由终端、服务器、网络设施以及各种ERP、OA、设计和生产系统组成。除了常规的安装防病毒和防火墙软件之外,他们主要面临的桌面安全威胁有:

n  PC办公系统,磁盘损坏,桌面信息数据丢失;

n  非法设备接入网络,盗取信息资产;

n  移动介质(如U盘)通过桌面PC盗取信息资产;

n  内网设备连接互联网,通过邮件,上载,共享等手段,盗取信息资产;

中小企业在面临这些信息安全问题的时候,通常面临资金投入的压力,传统的桌面安全监控软件,上网行为管理软件等等,价格相对比较昂贵,而且软件配置复杂,只能解决部分问题。

同时传统的信息安全手段,通常是以牺牲员工和外界(互联网)联络为代价的。让员工的工作环境变成了孤岛,既不利于员工创造性的发挥,也不利于资料查询和实时的信息获取。


信息安全风险是IT管理人员关注的焦点


1-2  简单、实用的安全桌面云系统

通过桌面云平台构建信息安全的桌面办公系统,为中小企业提供了一种低成本的,高强度安全的桌面解决方案。该系统主要通过以下几个技术手段为桌面信息安全提供保障:

ü  基于桌面云的Windows办公桌面系统,数据保存在数据中心,有RAID级别的数据可靠性保障;

ü  面向桌面云的数据备份策略,确保数据得到冗余保存;

ü  基于桌面云的方案,提供了统一的软件安装和应用发布手段;

ü  通过划分红、黄、绿不同的网络,实现信息资产与互联网和非法接入终端的隔离;

ü  通过实施802.1x的终端设备接入认证,确保终端的合法接入;

ü  通过使用禁止U盘读写的嵌入式云终端,堵住信息资产通过办公桌席流出的通道;

ü  通过双网口的云终端,确保员工的办公坐席,能同时能访问相互隔离的红区和绿区的远程桌面;实现一边安全办公一边上网冲浪的体验。

ü  企业级的虚拟化平台(VMware、Hyper-V),相对其它开源的虚拟化平台,提供更加高强度的企业级可靠性。

 

多重手段保证信息安全


1-3    务必使用企业级的虚拟化平台

处于基础设施层面的虚拟化操作系统,是保证企业应用能7x24小时稳定运行的关键因素。虽然目前大量的机构投入了人力物力发展和包装开源的虚拟化系统,但笔者仍然极力向中小企业主们推荐企业级的虚拟化操作系统,以确保服务的连续性。目前VMwareESXi和微软的Hyper-V是使用最广泛的企业级虚拟化平台,企业市场的占有率在90%以上,而且都有免费版本供用户选择。面向中小企业信息安全的方案就是基于Hyper-VVMware的虚拟化操作系统部署。

 

2015Gartner的虚拟化平台分类


2    面向信息安全的云桌面方案

2-1    总体方案

是面向中小企业的云桌面解决方案,如下图所示,在网络划分上主要由红区、黄区和绿区组成。云桌面的用户分为黄区用户和绿区用户。

黄区内的办公坐席用户使用云终端可以安全操作红区内的云桌面和访问关键的信息资产(例如ERP、OA或者生产系统等)?;魄耐缃换换?、服务器和云终端等,都支持802.1x网络身份认证功能,云终端的USB外设的读写功能被禁止?;魄谖锢砩嫌肫渌绾突チ衾?。

绿区内的办公坐席用户使用云终端可以直接访问绿区内的云桌面,绿区内的云桌面可以自由访问互联网。绿区内的办公坐席用户如果需要使用云终端访问红区内的云桌面,需要经过桌面云网关才能够访问。桌面云网关具有单通的功能,可以禁止信息资产从黄区(红区)流向绿区。

还有一种办公坐席是使用双网口的云终端设备,一个网口连接黄区,另一个网口连接绿区。云终端通过两个网口同时连接红区的云桌面和绿区的云桌面。用户可以同时在两个云桌面上操作。实现安全办公和网络冲浪两不误的工作模式。双网口云终端的USB设备读写功能被禁止。

 

 

面向信息安全的云桌面解决方案示意图

面向信息安全的云桌面云解决方案的关键角色包括:

n  红区:通常是指受控的企业数据中心或者IT机房,部署了企业信息系统和桌面云服务器,红区是指被严格管理的物理场所,只有授权用户才能进入的区域,通常它也会作为黄区的一部分存在。

n  黄区:是指对网络接入设备全部实施安全认证的网络区域,物理上黄区通常是和外界隔离的,是一个信息孤岛。只有在部署了桌面云网关的时候,才可能允许信息单向流入,黄区内的办公桌席只使用受控的云终端设备。

n  绿区:是指网络上允许任何设备接入,也允许访问互联网的办公区域。绿区的用户,可以使用云终端或者PC办公,通过桌面云网关接入红区的远程桌面,再访问受?;さ男畔⒆什?。

n  桌面云服务器:是创想云桌面云服务器,当它部署在红区,它发布的云桌面就可以方案关键信息资产,如果部署在绿区,通常是给需要访问互联网的用户使用。

n  云终端:是每个办公桌席访问云桌面的终端设备。通常是嵌入式设备,本地不存储任何数据,只是作为远程云桌面的显示设备以及键盘鼠标的输入设备,云终端的USB读写功能可以被禁止,防止通过U盘等设备拷贝数据。云终端也可以是云客户端程序。

n  双网口的云终端:是指具有两个网口的云终端设备,可以同时连接两个不同网段的云桌面。

n  802.1x网络认证:是一种标准的网络设备接入认证协议,一个启用了802.1x网络身份认证功能的区域,需要交换机设备,服务器、云终端等所有网络节点支持802.1x认证协议。

n  桌面云网关:客户端和云桌面处于两个相互隔离的网络时,需要桌面云网关提供远程桌面的跨网段访问功能,同时桌面云网关可以设置只允许数据单向导通的文件共享服务。


2-2    极简单的桌面云服务器

众所周知,桌面云的部署一直是令IT人员的头痛的一项工作,比如XenDesktop、Microsoft RDS、Vmware View等桌面解决方案,通常需要很强的背景知识,操作步骤繁琐,容易出错;中小企业很难有配套的人员实施和维护。相比之下,创想云桌面云解决方案将系统简化到极致,所有的桌面云管理??楸患傻搅艘桓鲂槟饣?,桌面云的部署成为了服务器虚拟化上的虚拟机导入工序,简单易用。如下图:

 

一体化的系统架构

当前兼容Hyper-VVMwareESXi两大企业级虚拟化系统。在Hyper-V平台上,有完全自动化的安装导航,在VMware的系统部署创想云服务器也只需要导入管理节点的虚拟机即可。IT管理员可以在半小时内完成创想云软件的安装和配置。

创想云桌面云解决方案,同时推荐使用ARM-Linux的云终端设备,免安装、免维护,开机即用。在面向企业用户的应用场景,创想云还提供一下的软件功能:

n  外设重定向功能,兼容绝大多数外部设备。

n  提供PC客户端,充分利用现有PC资源。

n  虚拟设备映射功能,解决大流量的摄像头和高拍仪的应用问题。

n  功能强大的终端管理软件,轻松实现云终端的集中管控。


2-3    数据存储的安全可靠

n  办公桌面被虚拟化在桌面云服务器,员工通过云终端访问桌面,数据全部在机房(红区)。

n  云桌面服务采用企业级硬盘和RAID10RAID5的数据存储模式,提高可靠性。

n  红区与外网隔离,避免的病毒的侵扰和黑客的攻击。


2-4    网络接入层的安全保障

n  黄区的交换机设备支持802.1x网络接入认证(使用MAC地址绑定的方式,面临MAC地址欺诈的入侵风险,存在较大的安全漏洞)。

n  黄区内所有的网络设备支持802.1x接入身份认证,只有经过授权的设备才能进入黄区网络。

n  云终端的802.1x认证信息用户不可见,由管理系统设置。

n  云终端恢复出厂设置,802.1x身份认证信息自动清除。

n  云终端支持证书管理,无合法证书的终端管理系统不能管理黄区的云终端。


2-5    数据访问的安全保证

n  黄区的云终端USB端口,设置为禁止数据文件的读和写。

n  云终端USB端口的读写设置,非授权用户不可见,也不可修改。

n  绿区的用户连接红区的云桌面,只能通过桌面云网关,桌面云网关提供远程桌面协议的桥接和数据文件单向流动的服务。红区的数据只能进不能出。


2-6    双网隔离的办公模式

n  双网口的嵌入式云终端,可以提供双远程桌面连接服务,同时保证两个云桌面网络和数据的隔离。

n  使用双网口的嵌入式云终端的用户,可一边访问红区的云桌面,同时访问绿区的云桌面。

n  双网口的嵌入式云终端接黄区的网口,持有合法的802.1x认证信息。

n  双网口的嵌入式云终端,USB读写功能被禁止。


3    最简单的部署方案

最简单的部署方案,只包含黄区和红区,甚至最小系统场景下,只包含红区。这种方案适合小型化用户,对信息安全的需要比较简单粗糙。具有以下特点:

n  办公桌席的数量比较少

n  员工办公不允许上互联网

n  办公网络与外界完全隔离

n  数据中心(服务器)只能由管理员操作

n  802.1x的认证数据库内置在交换机中

 

最简单部署方案

最简单的部署方案,涉及的主要网络设备包括:

n  桌面云服务器(支持802.1x认证。红区还可能包含业务服务器和网络打印机,如果使用动态IP策略,需要DHCP服务器)。

n  支持802.1x的网络交换机,内置Radius认证信息数据库(也可以在红区部署专用的Radius服务器)。

n  普通网络交换机(可?。?/span>,只用于红区内的互联,不需要支持802.1认证功能。

n  支持802.1x的云终端,云终端的USB端口禁止读写数据。



4    包含红、黄、绿区的部署方案

包含红、黄、绿区的部署方案,主要是解决企业内部既有需要?;さ暮诵男畔⒆什?,又有部分员工通过访问互联网办公的需要。具有以下特点:

n  办公桌席种类比较多,例如研发,生产型员工,属于黄区;销售、售后服务型员工,处于绿区,他们既可以选择通过桌面云网关,登录红区的云桌面,访问核心信息资产,也可以直接访问部署在绿区的云桌面办公。

n  办公区域分不同的部门,部门之间的保密级别不同。

n  数据中心(服务器)只能由管理员操作。

n  802.1x的认证数据库内置在交换机中。

n  绿区部署有云桌面服务器,提供允许访问互联网的桌面。

 

包含红、黄、绿区的部署方式(网关模式)

如上图所示,涉及的主要网络设备包括:

n  红区的桌面云服务器(支持802.1x认证。红区还可能包含业务服务器和网络打印机,如果使用动态IP策略,需要DHCP服务器)。

n  红区的支持802.1x的网络交换机,内置Radius认证信息数据库(也可以在红区部署专用的Radius服务器)。

n  红区的普通网络交换机(可?。?/span>,只用于红区内的互联。

n  黄区的云终端,启用802.1x认证功能,云终端的USB端口禁止读写数据。

n  双网口桌面云网关,接黄区的网口支持802.1x身份认证,另一个网口接绿区的交换机。桌面云网关提供单向的文件共享服务,黄区的用户只能从网关下载数据,绿区的用户可以上传数据。

n  绿区的交换机,不需要支持802.1x接入认证。

n  绿区的云桌面服务器(可?。?/span>,为绿区的办公人员提供云桌面服务。

n  绿区的云终端(可?。?/span>,绿区的办公人员用于连接远程桌面服务,不需要支持802.1x接入认证。如果连接红区的远程桌面,需要通过桌面云网关。

n  绿区的PC设备(可?。?/span>,用于绿区人员办公,可以安装远程桌面客户端软件,通过桌面云网关访问红区的远程桌面。

n  绿区的普通网络交换机,用于绿区内的网络互连,不需要支持802.1x认证功能。

n  路由器,用于连接互联网,实现上网功能。



5    双网口云终端的部署方案

采用双网口云终端的部署方案,员工可以实现,主要是解决企业内部既有需要?;さ暮诵男畔⒆什?,员工又有上网需要的场景。双网口方案也可以和上述方案综合部署,具有以下特点:

n  办公坐席可以同时访问红区和绿区,有两根网线到达办公坐席,通过双网口双显示端口的嵌入式云终端实现,接黄区的网口设置802.1x身份认证,接绿区的网口不需要认证。

n  绿区部署云桌面服务器,如果员工上网需求比较简单,可以在绿区配置共享云桌面服务器。

 

使用双网口云终端的部署方式(无桌面云网关)

如上图所示,涉及的主要网络设备包括:

n  红区的桌面云服务器(支持802.1x认证。红区还可能包含业务服务器和网络打印机,如果使用动态IP策略,需要DHCP服务器)。

n  红区的支持802.1x的网络交换机,内置Radius认证信息数据库(也可以在红区部署专用的Radius服务器)。

n  红区的普通网络交换机(可?。?/span>,只用于红区内的互联。

n  黄区的云终端,启用802.1x认证功能,云终端的USB端口禁止读写数据。

n  绿区的云桌面服务器,为办公人员提供联通外网的云桌面服务。

n  绿区的交换机,不需要支持802.1x接入认证。

n  路由器,用于连接互联网,实现上网功能。



6    基本配置清单

6-1    硬件配置清单(50办公型用户)


设备名称

子项目

技术性能指标

数量

创想云

云服务器

服务器硬件

1、19英寸工业标准2U机架式服务器;

2、芯片组:Intel C612芯片组;

3、处理器≥2Intel Xeon E5-2650 v3(12/2.3GHz);

4、内存插槽≥16个内存插槽;

5、总硬盘插槽≥8SATA/SAS硬盘插槽;

6、网卡≥4个千兆网口;

7、其他接口≥1COM;≥2USB;≥1VGA;

8、配置1+1冗余电源。

9、内存:待定

10、存储:待定

1

桌面云网关

PC服务器

-

1

网络设备

802.1x交换机

-

2

交换机

-

-

网线

-

-

路由器

-

-

办公坐位

云终端

ARM-Linux云终端

50

显示器

-

-

键盘、鼠标

-

50

*未列出机房、布线,强电等相关物料。


6-2    软件配置清单(50办公型用户)

编号

名称

技术性能指标

数量

1

虚拟化软件

Hyper-V Server 2012R2 或者 VMware ESXi 6.0

1

2

桌面云管理软件

创想云桌面虚拟化软件系统授权

50

3

终端管理软件

TCManager 2.0

1

4

桌面云网关系统软件

Gateway

1

5

虚拟设备映射软件

VirtualDevicer

-

* 基础设施清单中未包含Windows桌面操作系统,建议Windows7以上版本。

 
关于创想 | 联系我们 | 后台管理 Copyright © 深圳创想信通科技有限公司 2011-2012  粤ICP备12024635号
创想信通科技
点击这里给我发消息
点击这里给我发消息