近年来，不断出现的内网泄密及病毒等安全事件都让很多企业开始着手构筑安全的内网。但由于技术上的瓶颈，许多安全管理措施难以有效落实，对终端PC的未授权使用、软件安装、网络连接都可能导致病毒、木马在系统中传播和破坏，而终端的USB和网络等设备接口非法复制或窃取敏感数据的事件也屡有发生。

为此，国内领先的应用安全解决方案与服务商国路安（GLA）以“云纵深防御”为基础，推出了集“白名单、动态映射、安全控制网关、安全存储系统、全程审计”为一体的安全桌面虚拟化解决方案，帮助信息化管理者在可信平台上推进内网安全进程。

“黑名单”下的虚拟化难防数据泄露

在网络安全实践的道路上，企业为防止数据泄露倾尽全力，并为此付出了极大的时间成本与效率代价，但在安全建设成本成倍增长之后，网络传输和运维效率反而越来越低。比如终端安全防护类软件、非法联机监控系统、上网行为管理系统、防数据泄密系统等，但是这些技术和产品都存在成本高、管理难、效果差、性能低等难点问题。除此以外，我们还发现，很多企业防数据泄露项目失败的原因就是因为项目实施周期过长，动辄几个月、甚至一年，这产生了防止数据泄露的“空档期”。

随着桌面虚拟化技术兴起，许多企业利用其将终端用户的信息整合在后端进行统一管理，以为这样就可以达到数据防泄密的效果。但在一些核心且特殊的业务部门，如开发、产品、销售等，传统的虚拟化桌面方案都无法防止员工通过移动设备和网络接口窃取核心资料。而据国际调查机构KuppingerCole的调研结果显示，84.4%的管理者正在因为安全问题，减缓了采用虚拟化和云计算平台的进程。

对此，国路安研发总监林顺东认为：企业越来越意识到虚拟化技术的益处，但在虚拟桌面项目实施之后，管理者会发现，客户端、传输网络、服务器端、存储端等各个方面，仍会产生安全风险漏洞，忽略任何一个细节都会再次导致信息泄密事件的发生。这是因为，在传统的虚拟化桌面方案中缺少有效的安全产品支撑，即使在虚拟环境中部署了安全产品，却仍然只能依赖“黑名单”技术，但这种“黑名单”机制在识别和阻止安全攻击时存在明显的局限性。在数据挖掘和事件关联等人工智能理论及相关领域还亟待发展的今天，从根本上改善“黑名单”机制的安全效率和安全效果还不太现实。

“白名单”权限控制抵御病毒

虚拟化桌面只有卸下数据泄露的“包袱”，才能真正让其价值在企业内网安全建设中发挥出来。为此，国路安（GLA）创新性的提出了“云纵深防御”解决方案，并采用领先的“白名单”技术帮助企业建立安全桌面虚拟化系统。

与个人系统不同，在企业应用或生产系统中，管理者为确保安全只希望为用户赋予最小权限，并实现统一管理。因此，国路安在云纵深防御体系中的终端安全保护方面采用了“白名单”安全机制。由于包括应用终端、服务器在内的整体应用系统都部署在安全可控的“云端”，物理临近或修改引导方式等攻击不再可能，因此对一般应用和生产系统，作为“白名单”安全机制基础的“可信根”不必采用专门的硬件体系结构和设备，这可以避免大量更新升级硬件设备带来的巨额成本。

其次，在病毒防护方面，“白名单”安全机制下的用户不可能在应用终端上安装和运行未经允许的程序，更不可能由于非法访问和无意识的非安全操作给系统带来病毒和木马等恶意代码。另外，由于应用终端的配置和管理都不再受操作人员控制，因此系统可以通过审计系统对用户的应用操作行为及其网络活动进行全程审计，审计结果也更加直接。

“动态安全映射”阻断数据外流

在云安全架构方面，采用了“按需连接”的动态安全控制方式，只有内部用户需要访问应用系统时，这种连接方式才被允许和建立。而外部环境中，数据可以通过“专用信息交换设备”或“安全受控的设备映射机制”实现应用系统与外部环境之间的安全数据交换。虚拟桌面中的用户身份通过“云应用系统”动态的映射到U盘等移动存储设备，通过设备读写控制实现了信息共享的单向性，即信息只能由“云应用系统”外部流向系统内部，而不能由内部流向系统外部。

安全可信的国路安安全桌面虚拟化系统，完全满足了企业简单部署、高效运维、统一防毒、集中审计等各项需求，破除了防数据泄露在时间和效率上的瓶颈。在“云纵深防御”解决方案中的“动态安全映射”和“白名单技术”的双重保障下，隔离了险恶的外部环境，实现了全程监管的内部访问机制。因此，企业无需在内部虚拟桌面（应用终端）上安装防数据泄密软件、终端准入控制系统，也不需要在“云应用系统”内部部署行为审计类安全产品。而采用用户名/口令字+证书（USB key）的双因子身份认证方式，不但满足了身份及权限设定，还可以为更多行业用户支撑多种类型的CA证书。