1、安全虚拟桌面解决方案Array Networks网络安全 物理 隔离 背景 根据安全 级别 的不同,一般 银 行内部都会有三个网 络 ,内部 办 公网络 、 业务 网、互 联 网 网 络 之 间 采取物理隔离等方式将流量 进 行隔离,防止泄密、网 络 攻 击和病毒 扩 散 上互 联 网的 终 端必 须 和其他 终 端 进行隔离,避免涉密内容流失 在 业务 网上 进 行 业务处 理 时 ,不能将相 应 的文件 传输 到互 联 网上业务 服 务 器用户需求 基本需求 描述 单 台 PC上运行多虚 拟 桌面通 过 桌面虚 拟 化的方式在 单 台 PC上虚 拟 出多个桌面,每个人只使用一台 PC机即可
2、接入多个网 络 , 节约 PC机成本和 电 力消耗 文件隔离真 实 桌面、 办 公虚 拟 桌面和互 联 网虚 拟 桌面之 间 的文件和数据是完全隔离的,虚 拟 桌面的文件存 储 在硬 盘 上是加密的 网 络 隔离真 实 桌面和虚 拟 桌面之 间 的网 络访问 是完全隔离的,各个桌面有各自的网 络设 置,虚拟 桌面的网 络 流量是加密的,网卡抓包无法 获 取其他桌面的真 实 网 络 数据解决方案 - Array安全虚拟桌面 解决方案 用 户 要 访问 互 联 网 资 源的 时 候,启 动 本地虚 拟 桌面,加密 连 接到Array设备进 行 访问 。 虚 拟 桌面的文件在真 实 桌面上以加密的方
3、式存在,不会将病毒、恶 意程序等 扩 散 真 实 桌面和虚 拟 桌面将会运行在不同的网 络环 境下,并且可以自定 义 配置运行 访问 网 络 的 进 程和网段。网 络 数据使用 SSL加密通 讯业务 服 务 器 Array安全虚 拟 桌面 介 绍 用 户 登 录 Array安全网关后,会 在 终 端上 生成 一 个虚 拟 的安全 桌面 , 可以指定 访问业务 服 务 器或互 联 网使用此虚 拟 桌面 在安全桌面下不能与真 实 桌面 进 行通信 ,也不能互相 访问 和拷 贝 文件,确保涉密内容的安全 可以 设 置在用 户 退出安全虚 拟 桌面后 , 虚 拟 桌面内生成和修改的文件是否生效 详细
4、的安全策略 设 置,可以禁止 USB、剪 贴 板,截屏等功能,防止涉密内容的泄漏 安全 虚 拟 桌面与用 户 真 实 桌面完全隔离,任何一个桌面的运行的程序都不会影响到另一个桌面 在 虚 拟 安全桌面中,可以 设 定只能运行固定的 应 用程序,或者禁止运行指定的 应 用程序解决方案 - Array安全虚拟桌面方案效果办 公网 用 户 Array安全网关 访问 互 联网登 陆 安全虚 拟 桌面访问 互 联 网 服 务 器退出安全虚 拟 桌面用户使用体验 高性能,支持大并 发 同 时访问 ,安全虚 拟 桌面在用 户 端的 PC上运行,基本不占用 Array设备 的 资 源 用 户 可以在真 实 桌
5、面和虚 拟 桌面之 间进 行高速切 换 安全控制策略由 Array设备统 一 进 行下 发 ,用 户 端虚 拟 桌面的安全行 为 可控 可 设 置保留用 户 上次登 录 虚 拟 桌面的状 态还 是生成新的桌面 虚 拟 桌面存 储 在本地的文件可以 选 用多 级删 除算法, 彻 底清除虚 拟 桌面的遗 留的痕迹 详细 的网 络访问 策略, 严 格 规 定用 户 的虚 拟 桌面可以 访问 的网 络 ,并且虚拟 桌面的网 络访问 流量均由 Array进 行代理技术原理案例 介绍 某 银行办 公内网 互 联 网区域Internet 公共区域网 是一个开放的网 络环 境,可以 连 接 Internet并
6、 访问 各种网 络应 用,没有 权限限制 安全性要求 较 低,属于不可信 区域 办 公内网 是 一个相 对 封 闭 的局域网,只能 进 行本地 办 公操作以及 访问 本 局域网内资 源 ,与公共 区域在 逻辑 上是隔离的 不能 够 直接 访问 到互 联 网 安全性要求 较 高背景:两网隔离案例介绍 用户需求 用 户 需求: 办 公 内网中的用 户 ,可以 安全的 访问 Internet资 源 用 户访问 互 联 网 资 源前,需要 进 行一次身份 认证 使用虚 拟环 境 进 行 访问 互 联 网, 该环 境与用 户 真 实环 境隔离,互不影响。退出虚 拟环 境后,所有的操作均自 动 失效,以防止病毒侵入内网 能 够 精确限定用 户权 限,例如可以 设 定只能使用 浏览 器来 访 网 络资 源等
