Chinasec（安元）桌面云数据安全解决方案
1.背景介绍
随着云计算与虚拟化技术的不断成熟，桌面云(Desktop Cloud)作为优化传统办
公模式的解决方案而被广泛采用。桌面云是可以通过瘦客户端或者其他任何与网络相连的设
备例如PAD来访问跨平台的应用程序。桌面云的用户桌面环境都是托管在企业的数据中心，
本地终端只是一个显示设备而已，所有的数据都是集中存储在企业数据中心。这样可以提高
数据的集中应用，减少企业对硬件采购费用，减少运维人员的工作量。但是同时也提高了数
据外泄的几率，对企业数据中心中的数据安全提出了更高的要求。

2.风险分析

 ♦虚拟化终端使用过程中，由于账户成为了控制资源是否允许使用的唯一控制方式，
通过身份冒用可以越权使用非授权信息，造成涉密信息的泄密。
 ♦采用虚拟化技术的云终端，数据统一归档存储在核心存储设备上，数据集中存储后，
敏感数据均存储在服务器上（云端），存在非授权使用和非法访问等安全隐患。
 ♦在虚拟化的IT构架下，企业内部不通过本地进行数据存储和调用，统一将数据存
储在云端进行存储，这种情况下，减少了数据在存储层面造成的数据泄露风险，但是增加了
数据的内部泄密情况的发生。
 ♦ 同时通过统一桌面云进行后台存储和管理，无法通过传统交换机方式实现VLAN的
逻辑划分，对于部门之间或者工作组之间的隔离无法完成。同时，网络作为一个开放性的交
互手段，数据交互存在很大的便利性，同时对于数据的外泄也是一个巨大的风险点。

3.解决方案
现有桌面云产品并没有完全解决企业信息泄密问题，传统的信息在存储、传输
和使用过程中的安全风险在虚拟化环境中依然存在。明朝万达结合Chinasec（安元）数据
安全产品，推出桌面云数据安全解决方案：
 ♦ 通过桌面虚拟镜像数据加密功能，解决云端数据集中存储带来的管理员优先访问
权与虚拟机逃逸带来的隐患，防止桌面云使用者的私有数据泄密。
 ♦结合PKI技术的双因子云终端身份认证，避免云终端身份冒认使用风险，提升远程
使用云终端的安全性。
 ♦ 以云终端为识别依据的安全域划分，取缔传统PC终端依赖物理端口划分虚拟安全
域的机制，符合云终端跨区域使用的特性，加强云终端之间数据传输安全管控。
♦数据动态边界自动加密功能实现云中部门间数据可控交互，防止云终端数据通
过邮件、网页或即时通讯工具等造成的泄密。

4.方案特点
♦通过加密手段将统一存储的风险进行分摊。对用户虚拟磁盘空间或者后台真实
数据存储空间进行加密，实现对非授权用户在访问磁盘空间和管理员非法访问虚拟机存储空
间的管控。
♦针对桌面云瘦终端的数据安全，完全杜绝外发途径，能够有效的管控终端用户
使用邮件、即时聊天工具等网络传播途径，避免数据泄露。同时还能审计终端用户的外发数
据，能做到事后溯源查询。
♦Chinasec从网络层进行的传输控制，针对网卡封装的数据包进行加密，使得
同组内具有相同秘钥的云桌面可以进行透明解密。通过该方式可以实现桌面云环境下的虚拟
终端隔离，通过软件方式实现虚拟安全域的划分。
 ♦在统一的平台上可支持对普通PC终端、云桌面及虚拟化终端、移动智能终端和物联
网终端等多种终端网络的协同管理，可以有效应对企业IT架构的快速变革与延伸，构建全
IT架构协同联动的数据安全体系。