山河安全工作空间方案介绍

山河安全工作空间解决方案零信任·内核半虚拟化·数据访问安全域目录/CONTENTS1数字化办公面临的安全挑战2安全工作空间建设思路3山河安全工作空间解决方案4产品应用场景及案例PartOne数字化办公面临的安全挑战1数字化背景下，多元化办公模式兴起在数字化转型的过程中，随着随时随地、多终端的多元化办公模式兴起。各个工作和访问数据的环节均需要满足高效、安全、敏捷的要求，数字化工作空间应运而生，成为企业数字化转型发展的基座。多元化数字办公的技术要求随着组织的数字化转型和业务发展，组织员工拥有了更加灵活的工作模式，也为组织带来了更加敏捷的业务处理速度，同时改变了原有传统的办公模式。业务需要组织采取更加灵活、高效、安全的办公方式以满足降本增效的要求。数字化转型促使了办公模式的改变远程与移动办公等多元化模式由组织的选择变为必然，但是如何契合高效、安全，具备更高的生产力是需要考虑的。如何选择一种安全、高效、体验好的办公模式多终端接入、办公使用体验、终端数据流转均是办公模式需要解决的问题。最近的安全事件8月30日（周一）×友出现0Day漏洞，被攻击，中了勒索病毒9月2日

×的，沙箱（应用态）被绕过，100多G数据被窃取，网信办督促整改。8月30日（周一）×安信官网被篡改8月17日700个政府和企业办公系统被勒索。核心数据泄密及安全隐患（客户信息、研发代码等机密数据）3.U盘在终端可以随意拷贝，产生泄密，且难以溯源定责。1.拍照、截屏、录屏等方式将设计图纸或研发数据外发，导致公司利益受损2.文件打印缺乏管控，重要文件被外带，导致重要数据产生泄露。内部泄密外部攻击4.微信、邮件等通讯工具通过互联网外发，导致数据泄密。1.终端电脑容易被勒索病毒攻击，加密电脑本地文件，导致数据无法使用。2.本地终端电脑感染病毒之后，通过公司内网横向扩散，导致业务瘫痪。3.本地终端电脑感染病毒后，作为肉鸡直接攻击业务系统，导致业务瘫痪。4.企业服务暴露在公网：可能被暴力破解、SQL注入、0Day攻击。PartTwo安全工作空间建设思路2办公安全传统解决方案的问题如何保证安全与工作效率如何实现数据的保护及访问控制如何实现成本的最小化传统解决方案的问题桌管/DLP方案桌面云等虚拟化方案防止不了终端数据被破坏容易被绕过研发等场景难满足加解密影响源数据侵入性强软硬件及网络成本高依赖网络/带宽3D，嵌入式场景难满足个人空间安全空间第一步：打造安全的终端环境勒索病毒、黑客劫持等防止拷贝、外发、拍照、截屏录屏等防攻击防泄密第二步：打造安全的接入与访问安全工作空间的建设思路接入、身份、权限、访问安全零信任业务资源邮箱OA财务HR终端设备用户PartThree山河安全工作空间建设方案3个人空间安全空间双向认证隧道加密SPA服务隐身屏蔽非法访问网络隔离禁止个人空间访问内部网络文件工作站，前端进行编辑与查看，数据保存在后端安全可靠。企业应用发布中心，统一下发办公应用，员工办公环境快捷部署。可信设备通过安全通道链接，保证业务系统安全可靠。云文档应用集市业务中心山河零信任安全网关可信代理SSL隧道业务准入山河策略控制中心身份认证信任评估策略中心山河安全工作空间架构图个人空间安全空间打造安全的终端环境：安全空间，终端数据隔离防护（演示）空间内操作行为日志上传拦截审计剪切板内容不能随意复制到外允许/禁止截图或者截图带有水印文件不能随意拷贝到外行为控制本地桌面中了勒索病毒也无法访问安全空间防勒索即使劫持本地电脑，也看不到安全桌面的应用和数据防黑客劫持禁止/允许使用特定应用禁止/允许访问特定网络应用授权、网络授权等个人空间安全空间双向认证隧道加密SPA服务隐身屏蔽非法访问网络隔离禁止个人空间访问内部网络文件工作站，前端进行编辑与查看，数据保存在后端安全可靠。企业应用发布中心，统一下发办公应用，员工办公环境快捷部署。可信设备通过安全通道链接，保证业务系统安全可靠。打造安全的接入与访问（零信任）云文档应用集市业务中心山河零信任安全网关可信代理SSL隧道业务准入山河策略控制中心身份认证信任评估策略中心服务隐身：防止暴力破解、0Day攻击、SQL注入等实现端到端的全链路安全保护：

（1）缩小信任边界；

（2）精细化控制访问权限；

（3）持续验证，摒弃一次静态验证；

（4）全程零信任加密传输；交换机朗国重要业务系统Gateway安全网关Controller策略控制器现有网络架构策略控制个人电脑桌面安全空间PC个人电脑桌面安全空间PC员工安全工作域员工个人域安全业务域加密隧道业务系统访问，业务数据交换均在域内安全流转个人电脑桌面的安全问题,如病毒等，无法侵入安全空间安全空间与个人电脑桌面完全隔离，数据未经允许不得流出朗国员工需要访问的重要系统全部都在安全工作空间访问方案效果通过安全工作空间技术，打造一个业务及数据的访问安全域交换机山河安全工作空间框架图山河安全工作空间远程办公第三方运维源代码保护内网安全办公安全的终端环境零信任行为动态鉴权组件全流量网络行为组件防截屏、录屏组件终端行为分析组件数据外发管控引擎水印组件无网卡加密隧道组件流量终端联合分析组件隐藏式文件加密组件被动资产识别组件SD-WAN数据治理IAM态势感知威胁情报基础组件核心要素使用场景生态设计图纸保护VDI替换统一安全办公安全的接入与访问山河数字化安全工作空间产品能力图谱终端数据安全工作空间数据加密安全使用，配置限制外发策略，实现数据防泄漏访问业务中心过程加密通道防护，采用零信任模式接入阻止不可信访问可防止勒索病毒，勒索病毒无法遍历到我们的文件数据销毁，数据安全审计功能，实现数据使用全生命周期安全产品原生安全空间内置原生EDR防护模块，保障空间内安全无虚拟网卡生成，减少暴露面，实现工作空间全隐身空间与个人电脑内核级隔离，个人电脑任何安全问题对空间无影响零信任身份权限管理统一身份管理细粒度权限划分动态鉴权，持续认证SSO单点登录完美使用体验首创内核级半虚拟化工作空间性能接近0损失，应用基本全兼容与终端一致的使用体验，员工学习成本低制度软件化借助软件平台，让全局安全办公制度落地运行山河数字化安全工作空间是一款原生安全、极致体验、轻量敏捷的工作平台。以自研的内核半虚拟化技术为核心、采用零信任接入手段、保障终端使用体验、实现终端数据安全的数字化工作空间。内核级半虚拟化个人空间安全空间硬件层

应用层系统内核层传统钩子方案内核半虚拟化方案应用态安全空间：在应用层，通过Hook钩子，将进程和数据强行重定向到虚拟磁盘，通过欺骗操作系统将数据进程落到虚拟磁盘，用的技术都是基于国外开源的sandboxie去做的。（基于底层的工具可以把钩子摘掉；重定向，必须有路径，没有路径的无法重定向，都会成为安全洼地，被攻击的薄弱环节）山河安全工作空间（内核态安全空间）：深入到操作系统内核，将操作系统的“关键子系统”都模拟出来了（进程、网络、数据、文件、注册表、IO、外设、命名对象等等），和本地操作系统并列。内核级半虚拟化（核心优势）二、性能体验1.对比VDI桌面云：复用终端物理PC性能，CPU、内存、显卡、网卡等，可直接运行二维、三维设计软件、视频剪辑软件（VDI用后端服务器群，设计难以满足）。2.对比加解密软件：对磁盘空间加密，不对文件加密，大型设计文件、大型代码文件使用体验更好（传统的加密软件对文件加密效率低，体验差，容易损坏文件）。3.对比传统沙箱：3.1

子系统可以独立安装应用软件，应用可以双开、多开，可在空间里运行各类软件。3.2

工作空间内使用软件与物理机处于一样的逻辑，对于软件不需要再做额外适配，可以直接使用，兼容超过98%应用软件。4.空间/数据隔离：个人空间和工作空间隔离，个人数据和工作数据相隔离；个人空间安全空间硬件层

应用层系统内核层传统钩子方案内核半虚拟化方案一、安全1.无法绕过：山河客户端在内核层面实现对进程、网络、数据、文件、注册表的完全隔离，隔离效果更好，无法被绕过，保护工作数据安全（传统沙箱火绒剑可扫描）。2.避免被嗅探：空间对外无虚拟网卡，避免新增虚拟网卡带来的数据包被嗅探的可能，采用无虚拟网卡，管理人员无需维护路由规则、访问控制列表。大大减轻了管理和维护成本。三、成本1.避免批量采购：利旧原有电脑，不用再大批量地采购电脑或桌面云等硬件设备。2.省电脑、省授权。工作空间形态-窗口模式工作空间内数据自动加密、执行安全防护策略，个人空间无管控措施，不受影响；建立安全的传输通道，采用零信任理念，动态开放业务端口；精细化管控空间内的数据/应用/业务等访问和使用权限；可针对空间内特定的软件进行管控；审计空间内的所有操作行为，方便事后追责；空间内运行软件，软件窗口呈现文字水印，窗口右下角显示当前安全域标识符限制安全空间内使用的应用程序禁止、允许访问网络文件不能随意拷贝到安全空间外剪切版内容不能随意剪切到安全空间外安全空间内截图时，截图窗口自动消失，且无法完成截图操作安全空间内操作行为日志记录并上传安全空间内日常办公，安全空间外日常娱乐均不受影响特点轻量化、便捷适用场景经常切换空间，内外拷贝数据功能特点安全管控个人空间版本5.11安全工作空间版本6.3个人空间版本2021.3.4安全工作空间版本2022.2.1本地PS安全工作空间PS工作空间形态-全屏桌面模式安全桌面内数据自动加密、执行安全防护策略，个人桌面无管控措施，不受影响；建立安全的传输通道，采用零信任理念，动态开放业务端口；精细化管控安全桌面内的数据/应用/业务等访问和使用权限；可针对安全桌面内特定的软件进行管控；审计安全桌面内的所有操作行为，方便事后追责；安全桌面内运行软件，软件窗口呈现文字水印，窗口右下角显示当前安全域标识符特点多桌面随意切换，各个桌面相互隔离，互不影响适用场景沉浸式工作环境体验功能特点终端数据隔离防护：工作空间数据加密控制本地存储区工作空间存储区加密存储写入读取文件隔离山河客户端会对在工作空间内新建、下载、接收、编辑文件时，产生的所有数据进行自动加密，且访问安全空间内数据的速度与访问本地磁盘数据的速度无明显差异。加密算法已得到权威认证机构认证。数据全生命周期加密保护在设备硬件支持的情况下，可利用CPU芯片可信计算模块，构建终端信任根，基于硬件层面实现沙箱内数据存储与计算的保密性，实现数据的加解密过程、密钥管理均在硬件层面隔离完成。硬件级加密内核级的文件隔离，由于勒索病毒是通过磁盘文件遍历的方式获取对应格式的文件进行加密，写入沙箱文件系统的文件被隔离保护，在个人桌面无法搜索查看，即使个人桌面感染勒索病毒也不影响工作空间的文件防止勒索病毒等恶意感染读取写入读取终端数据隔离防护：安全审计1.系统持续对用户行为、进程行为、网络行为、文件行为等进行监控，提供多维度的安全审计功能网络访问拦截日志：记录安全域中访问非白名单网络地址得行为数据外发日志：记录安全域内所有数据外发日志应用程序拦截日志：记录安全域内启动应用黑名单进程的行为用户行为日志：针对无客户端方案，可记录用户特定应用的具体操作，如命令行、屏幕截图等日志操作日志：记录所有用户对系统的操作日志安全域内行为审计：持续监控安全域内网络连接、创建子进程、模块加载、注册表读写、文件操作等行为

2.非法日志推送（定期推送——每周推送一次，做运维的每周看一次，同时给用户和领导推送一次，多方推送；报表可视化）3.从工作空间发出去的文件本地留档，定期删除终端一致的使用体验-性能网络性能对比计算性能对比测试项目无沙箱沙箱内上传文件(124MB)11.01s11.27s下载文件(106MB)下载时间：73.72s速度：1.22MB/s下载时间：75.35s速度：1.40MB/s沙箱内速度损耗2.36%2.78%测试项目无沙箱沙箱内拷贝文件（100MB)32.10s34.30s计算圆周率52.67s53.40s时间增加百分比6.85%1.38%环境参数OS版本windows10专业版系统类型x64-basePC处理器Intel(R)Core(TM)i5-6300UCPU@3.60GHz内存8GB显卡Intel(R)HDGraphics620终端一致的使用体验-软件、外设山河数字化安全工作空间操作系统版本软件类型常用软件名称Windows7、10、11开发nodejs，python，SublimeText，VisualStudio，goland，qtcreater，cmake，Git，TortoiseGit，SVN，TortoiseSVN，apifox，Maya，blender，PROE，UG，中望CAD，中望3D，中望结构仿真，delmiaV5R20，simulia，EDA，ue4，avatary...办公工具Chrome，360浏览器，MicrosoftEdge浏览器，双核浏览器，AXure，WinRAR，好压-2345，7zip，office，WPS，sumatrapdf，typora（Markdown编辑器），福昕阅读器，iWebPDF，teamviewer，ssr，Foxmail，剪影，Ps...软件兼容性(此处所列仅为常用软件，对于Windows平台支持超过98%的软件兼容在安全工作空间内运行)外设兼容性：适配市面常见主流外设：U盘，转接器、扫描仪、摄像头，刷卡器，打印机等，非主流外设可做定制适配。数字化安全工作空间的目标良好体验员工办公接入可不受区域和网络的限制身份认证与权限控制严格又不失灵活性用户使用体验和日常习惯没有明显差异良好体验保证办公环境软硬件能够满足信创要求保证办公环境演进过程与信创的兼容性保证办公环境具备内外双网隔离的能力合规保障合规保障最大限度减少业务和数据系统的暴露面不同用户的工作空间应该彼此隔离独立数据尽可能使用加密存储防止非法窃取办公环境的网络访问行为可审计可追溯安全可信安全可信能够简单高效的进行账号与权限的分配轻松发布新业务和应用，上线即可使用能方便风险研判、故障诊断和异常恢复高效运维高效运维PartFour产品应用场景4代码仓库/编译调试环境研发、设计制图等桌面云数据不落地低密级WEB业务系统门户网站等中高密级办公系统邮件、IM、CRM、销管等安全接入访问办公电脑桌面远程运维、应急办公等移动办公业务内网APP、H5等多入口负载均衡HS-Gateway山河安全网关HS-Controller山河策略控制器统一安全办公（外网+内网）外网用户（个人电脑按需安装山河工作空间访问公司业务）内网用户（公司电脑统一安装山河工作空间）典型方案：低敏业务或者特定账号/终端，采用统一安全策略访问中高敏业务使用工作空间客户端特殊安全策略访问根据业务需求，随需设置用户访问权限远程办公远程办公导致办公环境变得复杂，数据更容易泄密终端环境更复杂：从内网的Windows台式机，变成员工个人终端（Windows、Mac）、移动智能终端（iOS、安卓）等网络位置更复杂：从封闭的单位内网，变成家庭网络、公共WiFi、4/5G、酒店WiFi等使用场景更复杂：从纯办公使用，变成办公业务和个人上网娱乐混用一台终端远程办公场景下，传统安全方案难以应对VPN方案不具备数据落地后的保护：现在远程办公一般都是用VPN，用户访问系统后可以通过下载、截图等把数据存在本地，这样就很容易在终端上发生泄密了，比如终端中毒了、网络备份、员工有意外发等。个人终端缺乏统一安全防护手段：个人终端往往无法强制安装公司统一的安全软件，且个人使用习惯各异，一旦终端干扰恶意程序就会影响终端上的企业数据、也可能以个人终端作为跳板入侵企业内网。传统DLP方案不适用于远程办公场景：远程访问的设备大多数是员工个人终端，传统桌管/DLP方案重，偏管控，用户使用体验差；单纯使用桌管/DLP也不具备远程接入能力，还得额外配合VPN使用（要不就只能暴露到互联网）；不支持移动终端。桌面云方案建设成本高且依赖网络：采用远程桌面跳板机或者VDI方案，虽然数据不落地，但建设成本高，后端得准备大量服务器，而且对网络的依赖性大，网质量不好就没法使用同时满足远程接入和终端数据防泄密需求完整的数据防泄密能力，兼容性强对个人终端无侵犯，适配BYOD，不降低体验方案轻量、运维简单，建设成本低Internet上下游供应链零信任网关业务系统场景分析场景业务价值员工远程接入多分支门店开发设计场景研发组测试组UI设计组工作环境A工作环境B场景描述：1.开发设计使用大量PC终端，终端环境难以保证，权限划分比较复杂，所涉及源代码、美工方案等资源非常重要，一旦泄露会造成使企业产品竞争力下降，利益受损，严重时要承担法律后果。2.开发设计工作过程中存在大量交互，需要临时构建一个统一的工作环境，保证数据与网络的流通。零信任网关场景分析：1.重要数据存放在终端，数据外发或者通过存储介质泄密情况难以管控，一旦遭受外部攻击很容易沦陷为肉鸡电脑威胁业务系统。2.对于数据流转使用过程中管控比较困难，无法限制主动或被动的泄密行为。3.传统解决方案诸如DLP、VDI、桌管存在无法保证全生命周期的数据安全，影响办公体验，降低办公效率等问题。方案价值：1.终端安全：内核级终端隔离原生安全工作空间对网络、文件、进程、用户会话、外设完全隔离，有效进行数据防护，保障数据不被泄露。2.访问安全：细粒度信任认证，收敛权限，只有可信访问才可以通过安全通道链接业务系统，还可提供溯源与审计功能。3.性能体验：不降低终端性能，应用适配多，与终端PC一致的使用体验，员工学习、适应成本低。4.办公效率：极简部署，快速上线。策略、应用统一下发，快速构建办公环境。外包运维场景业务价值同时满足远程接入和终端数据防泄密需求完整的数据防泄密能力，兼容性高、适配全终端对个人终端无侵犯，适配BYOD，不降低体验极简部署，支持分布式部署，超大并发方案轻量、运维简单，建设成本低第三方外包场景很多客户会存在部分业务外包给第三方来完成，例如运营商的客服业务、银行的催收业务等。外包人员在日常工作中需要访问客户内部业务系统、会接触到内部敏感数据，尤其是服务外包时，外包人员不驻场，外包人员流动性大，存在使用的终端是外包公司或外包人员个人的，安全管理难。第三方外包场景数据安全挑战业务外包场景下外包人员和终端不受控：外包人员不驻场，终端是外包公司或外包人员个人的，无法统一安装桌管/DLP软件；桌面云方案成本高，且对网络依赖性高。传统方案建设和维护成本高：传统桌管/DLP方案必须配合专用终端，要给每一个外部人员专门配置电脑，终端采购和运维成本大，且方案重，偏管控，用户使用体验也不好；采用桌面云方案，虽然运维更简单了，但建设成本更高，后端得准备大量服务器企业拥有的数据资产A外包团队内部独享B外包团队HS-ControllerHS-GatewayHS-RISA外包团队内部员工B外包团队VDI补充和替换PS桌面云服务器业务中心404零信任网关业务中心场景分析VDI桌面云影响办公1.VDI桌面云利用后端资源进行计算，性能匹配不了办公需求。2.VDI架构前端只进行图像呈现，依赖网络连接后端服务器进行计算与存储，在网络比较差的时候使用体验比较差，无法进行离线办公。VDI桌面云方案重VDI桌面云重复购买办公设备，利旧差，需要购买服务器资源，价格比较高。方案价值1.性能体验：对终端资源消耗几乎为0，不影响终端性能，使用体验与终端PC一致，满足各种办公场景需求。2.轻量级部署：利旧终端办公设备，不涉及网络改造，建设成本低。3.可靠办公：直接在终端PC构建内核级半虚拟化工作空间，对网络依赖程度低，支持离线办公。4.方案灵活：对于不同机密程度部门以及有特殊使用需求部门可以采用VDI+安全工作空间站方案，降低成本，匹配应用需求。财务精算大数据BI资运保险证券医疗数据养老社保客服热线内部代码隔离软件外包开发外部厂商协作业务场景覆盖广泛（20+）跨组织合作的同时保证企业数据不被泄漏各方工作地点不受限制，灵活安排内部人员通过多个安全域参与多个项目合作结束可自动销毁数据跨组织部门协作场景数据提供方数据接收方山河策略控制中心身份认证策略控制日志存储山河安全网关动态负载故障降级可信链接动态策略数据传输数据传输认证授权认证授权轻量客户端内核隔离引擎、EDR安全空间环境隔离加密安全通道轻量客户端内核隔离引擎、EDR安全空间环境隔离部分典型案例（××车企）运维需求：10万人在用他们的系统，4S店、上下游供应链；不想管终端（终端数量太多，种类太复杂、版本、补丁，太多，管不过来——资源不匹配，IT人少），要实现不管什么终端都能用；安全需求：要保证即使有人恶意入侵本地桌面（友商、黑客、恶意组织、护网行动），也能防住，同时保证业务系统自身的安全；运维：到时下发一个操作手册，让供应链的安装一个客户端，再接进来；安全：构建一个安全的终端环境（保证无法从终端发起攻击）数据自动加密，在山河安全空间产生的所有类型数据自动加密，不影响正常办公操作习惯，使用无感知，且不能随意复制粘贴与拷贝半虚拟化沙箱技术，通过网络通道隔离，沙箱内无法访问本地运行的网络服务，本地程序也无法直接访问沙箱内的网络服务，保障安全空间内的网络通信安全内外网访问数据安全保障，通过网络隔离，用户不能直接将内网数据传输到外网，也能操作使用内网资源全面防护，隐藏核心业务端口，用户权限精细化管控，用户操作行为日志记录，事后审计项目背景项目成果虚拟安全域普通电脑桌面山河安全网关山河策略控制器业务环境互联网环境加密隧道业务访问受控访问直接访问策略控制部分典型案例（XX运营商）1/机密文件以传播至外部无法使用2/合规出口通过合规审批进行审计3/终端外设网络多途径全面管控机密信息外泄可控系统稳定高效内部信息充分共享业务场景支持度高1/部署灵活且无风险，可行性高2/应用系统集成无缝对接3/移动办公、离线办公高度支持1/加密系统安全高效，保证可用性2/系统冗余部署实现灾备的高恢复性3/系统配置脱机故障机制，保证业务不中断1/内部文件流转畅通无阻2/支持移动、离线场景使用3/不改变原有工作习惯项目背景随着国家颁布《数据安全法》，某运营商高度重视数据信息安全，针对日常文档产生、网络接入、数据安全管理等办法，高层积极研究和探索数据安全管控方案。通过建立可信的安全访问空间，实现业务系统的安全访问，对产生的数据及研发代码自动加密且不落地的安全防护，提高工作效率，对VPN开始寻求替代，选择更安全的交付模式。项目成果细粒度的安全接入管控，交互平台根据客户终端的位置（安全或非安全区域），合规情况等情况访问企业资源的权限支持离线工作模式，通过网络接入与隔离，安全检测分析，满足在外办公人员进行离线办公内外网访问数据安全保障，通过网络隔离，用户不能直接将内网数据传输到外网提升桌面运维效率，管理员可以对用户进行应用、桌面统一管理运维，简化故障排查、补丁更新、软件安装与升级等各项操作，简化了客户端的运维管理工作可信工业空间跨组织数据流通（深圳数据交易所、信通院、一知安全等）针对装备研发，CAD模型数据的安全可信传输是一个关键难题。通常，CAD数据解密出库后,就进入了技术上不受控的阶段，为了保