中标易云：汽车制造业数据安全风险与解决方案

汽车制造业数据安全风险

随着汽车制造企业业务的不断发展，大量技术、专利、图纸以及财务等核心数据信息在不同的组织结构、不同的信息环境中产生、使用与流转，给核心数据的安全保障提出了更高的挑战。汽车制造行业面临的数据安全风险如下：

企业规模大，分支机构多，信息安全管理难度大；

企业应用复杂，对计算环境要求高；

产业链较长，大量企业核心数据要在多部门、多供应商间交换；

数据安全防护与计算效率方面难以平衡；

数据安全防护成本过高。

数据安全成为汽车制造行业的关注重点，保障企业的数据安全，确保企业核心竞争力，成为汽车制造企业信息安全的核心工作。

汽车制造业安全防护现状

汽车制造业经过多年的信息化建设，安全防护措施也经历了从端口防护到透明加密，再到整体防护的历程，安全防护的基本现状如下：

一般从安全准入、行为管控、桌面安全、数据安全、安全审计等几个层面进行整体防护；

用户对监控类软件抵触较大，产品部署维护困难较大；

数据安全采用透明加密技术完成本地数据加密，外发数据采用权限管理等进行防护，可能会存在一定的兼容性与稳定性的问题。

总体来说，在已建设完成的汽车制造行业的安全防护体系中，防护力度以及运维成本均未达到非常理想的状态。

汽车制造业安全防护问题

在传统计算环境下，汽车制造行业通过一系列的安全防护措施来保障核心数据的安全，由于传统分布式计算环境的特点，不可避免的存在如下问题：

现有的计算环境极易形成木桶效应，“短板”决定企业安全整体水平，但是在安全事故发生之前没人知道谁是“肉鸡”…

现有的计算环境 “安内”与“攘外”的安全防护模型无法有效并存，企业通过“透明加密” 保障数据不被内部人员窃取，但核心数据却被来自外部的病毒二次加密…

现有的计算环境无法快速响应事故，依赖用户自身安全意识与技术水平，安全遵从无法有效落地…

汽车制造行业的数据安全问题具有鲜明的代表性，传统分布式计算环境的固有问题是无法完全通过防护技术完全弥补的，只有全新的技术革新，才有可能更好的解决问题。

中标易云数据安全防护总体思路

针对汽车制造行业业务现状以及传统计算环境固有的问题，中标易云提出了全新的集中计算的安全防护思路：

采用虚拟化技术为用户构建集中管控的计算环境，确保核心数据在计算过程中“不落地”。

采用安全云存储技术为用户打造异构环境下的存储空间，确保核心数据在存储、使用过程的安全。

采用桌面安全技术统一管理用户的操作行为以及桌面环境的合规，具体来说，对用户的上网、邮件、聊天以及运行进程进行全面管控。

采用终端准入技术确保网络边界的安全合规，实现未知终端的准入控制、安全健康检查以及终端身份与权限管理。

中标易云基于虚拟化环境打造出比实体环境更全面的预防机制、更完善的防护手段以及更快速的事故响应，具备更强大的安全免疫能力，确保企业核心数据资产不被外部黑客及内部员工破坏与窃取。

中标易云数据安全防护总体目标

基于汽车制造行业的业务目标，其安全目标可以定义为6“不”，具体如下：

进不来。通过访问控制以及权限管理，防止黑客的侵入。

拿不走。对于核心数据，要集中存放，安全保管，内部与外部人员都无法拿走。

改不了。通过完整性校验措施确保系统核心组件无法被非法篡改，保障系统的完整性。

看不懂。利用加密手段确保数据的机密性。

跑不了。建立完整的安全审计体系，跟踪记录违规行为。

瘫不了。确保业务连续性。

中标易云数据安全防护基础模型

针对传统分布式计算的固有问题以及虚拟化技术的先进特性，中标易云推出基于云计算与桌面虚拟化的vWall数据安全解决方案，该方案以企业核心数据为防护对象，通过云计算与桌面虚拟化技术构造了集中管控的安全计算环境，创建了企业事前预防、事中防护、事后响应的PPR（ Prevent ，Protect，Respond ）企业数据安全防护模型，实现了企业核心数据的全生命周期的安全管理，确保企业核心数据不被外部黑客及内部员工非法破坏与窃取。

中标易云基于虚拟化环境打造出比实体环境更全面的预防机制、更完善的防护手段以及更快速的事故响应，具备更强大的安全免疫能力，确保企业核心数据资产不被外部黑客及内部员工破坏与窃取。

中标易云数据安全防护方案概述

中标易云vWall数据安全解决方案是采用桌面虚拟化技术、数据安全防护技术、安全云存储技术、主机审计技术等打造出来的数据集中管控整体安全解决方案，为用户构建软硬一体的计算环境、存储环境、安全防护环境以及用户终端环境。用户在这种集中计算环境下数据安全性以及运维便捷性都会得到大幅度的提高。

中标易云数据安全防护方案组成

中标易云数据安全解决方案是由虚拟桌面子系统、安全云存储子系统、桌面安全子系统及终端接入子系统组成，既支持有源光纤（AOC）又支持RJ45网线连接，为用户提供多种连接方式。

全面的安全防护功能

中标易云vWall数据安全解决方案提供身份鉴别、安全接入、环境安全、文件管理、数据保护、日志审计、系统管理等七大安全功能。

支持云端图站应用

中标易云vWall适配AMD专有硬件虚拟化技术,支持最多32用户切分，并可以按照不同的应用程序进行弹性调节。

基于硬件的显卡虚拟化方案，多用户技术提供可预测的性能。

功能齐全GPU硬件加速，支持OpenGL/DirectX/OpenCL，用户能够获得完整的ISV认证工作站级别体验。

不同与软件显卡虚拟化技术，保证数据安全，防范黑客入侵。

易于设置及使用，只需要极小的驱动配置，便可以进行管理，支持Horizon/XenDesktop/Teradici 等远程桌面平台。

支持多种安全部署方式

汽车企业具备业务复杂、网络庞杂、产业链长等特点，结合这些特点，中标易云为汽车企业规划出四种安全隔离的部署方式，以应对汽车企业的业务柔性。

双网双线双终端物理隔离的高安全部署方式

双网双线单终端逻辑隔离的安全部署方式

双网单线单终端逻辑隔离的柔性安全部署方式

主机双域安全隔离的充分利旧安全部署方式

汽车企业可以根据安全投入的大小以及安全防护的重点，呼应重点防护、分级保护的安全原则。

案例分析

用户风险分析

某汽车设计院数据安全风险分析如下：

企业核心数据分散到员工手中，防护与治理无从谈起。

主机系统维护依赖员工自身计算机技能，安全遵从无法落地。

企业核心数据随意外发，安全审计困难重重。

员工对企业核心数据知悉范围太大，离职后数据存在违规泄漏风险。

内外网隔离影响工作效率，业务与安全处于两难境地。

安全解决方案

为某汽车设计院定制的方案概述如下：

采用虚拟化技术将用户桌面放入数据中心，实现本地数据不落地。

为每个用户提供设计与办公两个桌面环境，设计桌面不连外网，办公桌面可连外网，采取双网隔离机制。

为企业核心数据构建私有云存储，并实现双网隔离交换功能，杜绝企业核心数据外流，实现高密低流防护。

终端采用双网瘦客户端，可同时访问两个桌面，并对瘦客户端的接口进行细粒度管控，实现移动存储设备的安全管控。

加强员工行为审计，确保安全合规。

安全收益分析

方案实施后，客户安全收益如下：

数据安全得到保障，终端不留密，个人不存密，避免内部员工对数据的滥用与窃取。

桌面安全得到提升，统一安全桌面模板、开机还原等机制确保企业不会遭到外部黑客的攻击。

安全策略遵从得到落实，实时的安全防护机制，确保系统运行安全。

安全响应得到加强，先进的桌面熔断机制，保护核心资产减值。

业务效率得到提高，随时随地对核心数据的安全访问，提高企业办公效率。

部署效果

中标易云vWall据安全解决方案集身份认证鉴别、准入控制、用户角色、权限分配、环境安全、访问控制、安全存储、共享归档于一体的数据安全防护体系。

客户收益

中标易云vWall数据安全解决方案是构建“四防三用”客户收益体系，解决用户数据安全的同时让用户的业务效率得到提升，完美体现安全为业务服务的宗旨。

小结

在新的计算环境安全思路下，中标易云通过构建集中管控的安全计算环境，实现企业核心数据的安全，确保不被外部黑客以及内部员工的非法侵害，成为新一代的安全防护的最佳实践。