汽车行业内部数据安全的特点

☆企业规模大，分支机构多，信息安全管理难度大；

☆企业应用复杂，对计算环境要求高；

☆产业链较长，大量企业核心数据要在多部门、多供应商间交换；

☆数据安全防护与计算效率方面难以平衡；

☆数据安全防护成本过高。

综上所述，汽车制造行业作为大型企业，在日常运营当中涉及到的数据信息安全组织结构数量种类庞大，意味着与之相应的数据信息泄露的渠道必定数量巨大。随着汽车制造企业业务的不断发展，大量核心技术、专利、图纸以及财务等核心数据信息在不同的组织结构、不同的信息环境当中大量产生。

数据安全成为汽车行业的关注重点，保障汽车企业的数据安全，确保汽车企业核心竞争力，成为汽车企业信息安全的核心工作。

汽车行业的数据安全目标–6“不”

汽车行业安全防护现状

信息化建设经过多年的发展，汽车行业的安全防护措施也经历了端口防护、透明加密、整体防护等过程，基本现状如下：

☆一般安全准入、行为管控、桌面安全、数据安全、安全审计等几个层面进行防护；

☆用户对监控类软件抵触较大，产品部署维护困难较大；

☆数据安全采用透明加密技术完成本地数据加密，外发数据权限管理等功能，对计算资源消耗大，兼容性及稳定性随着业务的发展永远在完善中。

总体来说，在已建设完成的车企安全防护体系中，防护力度以及运维成本均未达到非常理想的状态。

汽车行业安全防护的问题

汽车行业拥有大量的企业核心数据，数据机密性防护成为汽车防护的重点，但也存在如下问题：

☆现有的计算环境极易形成木桶效应，“短板”决定企业安全整体水平，但是在安全事故发生之前没人知道谁是“肉鸡”…

☆现有的计算环境“安内”与“攘外”的安全防护模型无法有效并存，企业通过“透明加密”保障数据不被内部人员窃取，但核心数据却被来自外部的病毒二次加密…

☆现有的计算环境无法快速响应事故，依赖用户自身安全意识与技术水平，安全遵从无法有效落地…

　　汽车行业的安全问题具有鲜明的代表性，传统分布式计算环境的固有问题是无法完全通过防护技术进行弥补的，只有全新的技术革新，才有可能更好的解决问题。

中标易云数据安全总体思路

针对车企业务现状以及总体安全目标，中标易云提出了全新的集中计算的安全防护思路：

☆采用虚拟化技术为用户构建集中管控的计算环境，确保核心数据在计算过程中“不落地”。

☆采用安全云存储技术为用户打造异构环境的存储空间，确保核心数据在存储、使用过程的安全。

☆采用桌面安全技术统一管理用户的操作行为以及桌面环境的合规，具体来说，对用户的上网、邮件、聊天以及运行进程进行管控。

☆采用终端准入技术确保网络边界的安全合规，实现未知终端的准入控制、安全健康检查以及终端身份与权限管理。

中标易云基于虚拟化环境打造出比实体环境更全面的预防机制、更完善的防护手段以及更快速的事故响应，具备更强大的安全免疫能力，确保企业核心数据资产不被外部黑客及内部员工破坏与窃取。

中标易云安全模型

　　针对传统分布式计算的固有问题以及虚拟化技术的先进特性，中标易云推出基于云计算与桌面虚拟化的vWall™数据安全解决方案，该方案以企业核心数据为防护对象，通过云计算与桌面虚拟化技术构造了集中管控的安全计算环境，创建了企业事前预防、事中防护、事后响应的PPR（ Prevent ，Protect，Respond  ）企业数据安全防护模型，实现了企业核心数据的全生命周期的安全管理，确保企业核心数据不被外部黑客及内部员工非法破坏与窃取。

　　中标易云基于虚拟化环境打造出比实体环境更全面的预防机制、更完善的防护手段以及更快速的事故响应，具备更强大的安全免疫能力，确保企业核心数据资产不被外部黑客及内部员工破坏与窃取。

方案概述

中标易云vWall数据安全解决方案是采用桌面虚拟化技术、数据安全防护技术、安全云存储技术、主机审计技术等打造出来的数据集中管控整体安全解决方案，为用户构建软硬一体的计算环境、存储环境、安全防护环境以及用户终端环境。用户在这种集中计算环境下数据安全性以及运维便捷性都会得到大幅度的

产品组成

中标易云vWall数据安全解决方案是由虚拟桌面子系统、安全云存储子系统、桌面安全子系统及终端接入子系统组成，既支持有源光纤（AOC）又支持RJ45网线连接，为用户提供多种连接方式。

中标易云vWall提供全面的安全防护功能

中标易云vWall数据安全解决方案提供身份鉴别、安全接入、环境安全、文件管理、数据保护、日志审计、系统管理等七大安全功能。

中标易云vWall支持云端图站应用

中标易云vWall适配AMD专有硬件虚拟化技术,支持最多32用户切分，并可以按照不同的应用程序进行弹性调节。

☆基于硬件的显卡虚拟化方案，多用户技术提供可预测的性能。

☆功能齐全GPU硬件加速，支持OpenGL/DirectX/OpenCL，用户能够获得完整的ISV认证工作站级别体验。

☆不同与软件显卡虚拟化技术，保证数据安全，防范黑客入侵。

☆易于设置及使用，只需要极小的驱动配置，便可以进行管理，支持Horizon/XenDesktop/Teradici等远程桌面平台。

中标易云vWall提供多种部署方式

汽车企业具备业务复杂、网络庞杂、产业链长等特点，结合这些特点，中标易云为汽车企业规划出四种安全隔离的部署方式，以应对汽车企业的业务柔性。

☆双网双线双终端物理隔离的高安全部署方式

☆双网双线单终端逻辑隔离的安全部署方式

☆双网单线单终端逻辑隔离的柔性安全部署方式

☆主机双域安全隔离的充分利旧安全部署方式

汽车企业可以根据安全投入的大小以及安全防护的重点，呼应重点防护、分级保护的安全原则。

部署方案-双网双线双终端物理隔离

对于对涉密安全级别要求高的企事业单位，且已建立了双网络布线基础网络结构，中标易云vWall可建立双网独立的桌面云，实现物理全隔离。并可通过双终端实现办公区域的安全隔离，以达到最高的安全级别。用户通过两个终端分别连接不同物理域的虚拟机，完美实现物理隔离。

部署方案-双网双线单终端逻辑隔离

对于对涉密安全级别要求较高的企事业单位，且已建立了双网络布线基础网络结构，中标易云vWall可建立双网独立的桌面云，实现物理全隔离。并可通过双网单终端实现办公区域的安全隔离，以达到较高的安全级别。双网隔离接入终端可实现双屏异显的应用效果，用户可以通过单套鼠标键盘，两个显示器分别连接两个网络同时办公。

部署方案-双网单线单终端逻辑隔离

　　对于安全要求一般的网络环境，在单布线模式下，借助中标易云vWall虚拟交换机技术实现双网逻辑隔离，可限定某个划分的vLan不可访问外网，仅访问企业内网资源，与可以访问Internet的vLan之间做逻辑隔离，达到一定的安全需求。

部署方案-主机双域安全隔离

　　充分利用原有设备中标易云vWall借助本地资源实现的双域隔离方案。终端可访外网，通过终端访问的桌面云内虚拟桌面则是内网环境不可与Internet连接，最终实现单布线下双域安全逻辑。

案例分析

　　用户风险分析

某建筑设计院数据安全风险分析如下：

1、企业核心数据分散到员工手中，防护与治理无从谈起。

2、主机系统维护依赖员工自身计算机技能，安全遵从无法落地。

3、企业核心数据随意外发，安全审计困难重重。

4、员工对企业核心数据知悉范围太大，离职后数据存在违规泄漏风险。

5、内外网隔离影响工作效率，业务与安全处于两难境地。

安全解决方案

为某设计院定制的方案概述如下：

1、采用虚拟化技术将用户桌面放入数据中心，实现本地数据不落地。

2、为每个用户提供设计与办公两个桌面环境，设计桌面不连外网，办公桌面可连外网，采取双网隔离机制。

3、为企业核心数据构建私有云存储，并实现双网隔离交换功能，杜绝企业核心数据外流，实现高密低流防护。

4、终端采用双网瘦客户端，可同时访问两个桌面，并对瘦客户端的接口进行细粒度管控，实现移动存储设备的安全管控。

5、加强员工行为审计，确保安全合规。

安全收益分析

方案实施后，客户安全收益如下：

1、数据安全得到保障，终端不留密，个人不存密，避免内部员工对数据的滥用与窃取。

2、桌面安全得到提升，统一安全桌面模板、开机还原等机制确保企业不会遭到外部黑客的攻击。

3、安全策略遵从得到落实，实时的安全防护机制，确保系统运行安全。

4、安全响应得到加强，先进的桌面熔断机制，保护核心资产减值。

5、业务效率得到提高，随时随地对核心数据的安全访问，提高企业办公效率。

部署效果

　　中标易云vWall数据安全解决方案集身份认证鉴别、准入控制、用户角色、权限分配、环境安全、访问控制、安全存储、共享归档于一体的数据安全防护体系。

客户收益

　　中标易云vWall数据安全解决方案是构建“四防三用”客户收益体系，解决用户数据安全的同时让用户的业务效率得到提升，完美体现安全为业务服务的宗旨。

小结

在新的计算环境安全思路下，中标易云通过构建集中管控的安全计算环境，实现企业核心数据的安全，确保不被外部黑客以及内部员工的非法侵害，成为新一代的安全防护的最佳实践。