某著名企业新一代无边界安全办公解决方案

安全防线：零信任终端实时检测确保接入安全公司配发自带设备公司配发外部认证扫码OTP令牌支持多因素支持第三方认证平台(企微、某著名企业、竹云IAM）桌面云网关零信任网关公司内公司外用户身份接入IP访问IP软件合规系统合规终端令牌接入时间接入位置设备ID系统版本准入检查风险评分数据中心区桌面云条件策略联动分布式防火墙联动基于接入身份业务访问禁止桌面资源访问规则业务应用联动策略安全规则联动PDM服务器

（图纸、代码）研发应用，可基于IP、端口进行访问隔离认证LDAPOAuth2SAML基于条件自适应启用多因素认证VMVMVMSBCSBCSBC业务访问分析资源显示联动业务联动分析分布式墙以用户为中心，实现从接入到业务访问的全流程动态安全感知终端区安全防线：零信任联动桌面云实现基于业务的动态访问通过aDesk内置的动态访问控制权限等策略，实现精细化的颗粒度授权，保护桌面使用安全不同用户，不同终端位置，匹配不同的安全访问策略桌面云与零信任联动效果视频OFFON多种元素匹配用户身份网络位置终端资源环境感知健康状态接入位置设备类型接入时间接入方式条件策略临时策略多因素认证本地文件访问剪切板交互外设管控安全审计OFF只读/读写OFF单双向OFFONOFFONOFFON云桌面云桌面云桌面云桌面分布式防火墙业务系统生产业务办公业务运维业务零信任联动桌面云分布式防火墙安全防线：零信任联动桌面云安全访问DEMO国内只有某著名企业可以提供零信任访问云桌面、虚拟应用，同时联动防火墙控制云桌面内业务级别访问AIO一体化客户端、支持SSO；环境发生变化自动阻断云桌面内业务访问AIO一体化客户端整合(一个终端集成Atrust+AC+EDR+VDI）桌面云安全策略联动视频(实时检测、用不信任）某著名企业新一代无边界安全办公方案价值总结数据不出云（桌面云基座）风险不过界（零信任动态评估）操作必留痕（XDLP安全审计）「三位一体」安全哲学多维动态评分：用户身份、设备、环境、行为合规等实时监测分析，实时调整权限等级。动态权限：通过零信任动态权限，让安全域随人、随设备、随场景自动伸缩，​业务无界，安全无虞。设计图纸/代码零落地：用户仅接收加密像素流，所有数据存储于云端，终端设备无任何数据留存。数据流转全记录：云桌面到终端，内网到外网，数据安装流转过程全审计，敏感文件自动阻断；文件外发全生命计：文件外发前所有操作可视化溯源风险实时拦截：检测到敏感行为、敏感数据自动阻断外发我们相信，安全建设不应让企业‘带着镣铐跳舞’，而应让数据自由流动但永不失控——这就是桌面云天生安全的力量！与传统数据安全方案对比防护维度​传统数据安全方案​某著名企业新一代方案​边界防御❌网闸/防火墙物理隔离，内网外网一刀切，使用切换繁琐✅外网PC+云桌面内网，可实现一个终端同时访问内外网，安全又边界​数据管控❌数据本地存储+加密软件，数据在本地容发绕过破解✅数据存储云端，用户接触不到数据，泄密事件降低为0​权限管理❌静态分级授权（如IP白名单），权限变更需人工干预✅零信任持续环境评估+动态降权，泄密拦截率提升92%​外发控制❌事事审批最后变成审而不批。数据外发后无法回溯。✅数据外发默认审计，触发特定条件自动阻断或审批。数据操作全流程图示。​合规审计❌多系统日志人工汇总，泄密溯源需3人天+✅XDLP泄密事件回溯，分钟级定位责任人。合规审计耗时降低90%终端影响❌多安全软件叠加，尤其是加密软件，影响业务软件兼容性（部分变成软件结合加密软件容）与终端性能✅无感审计、无需加密，不影响业务软件兼容性与桌面性能与传统数据安全的成本对比​成本类别​传统PC​某著名企业桌面云+AIO+XDLP某省市金额某省市比例​硬件成本102.0112.8-10.8--初始采购240×3500元/台=​84万元112.8-28.8--硬件更新/维护240×150元（零部件维护/年）×5年=​18万元瘦终端无需更新18.0-​软件与安全成本330.00.0330.0100%-安全软件授权240×350元/年×5年=​42万元0.042.0100%-数据风险年均泄密损失约288万元​0.0288.0100%​运维与人力成本72.036.036.050%-IT人力72.036.036.050%​能耗成本168.525.0143.585%​总成本（5年）​672.5​173.8​498.7​74%硬件成本对比（5年，240用户对比）​计算规则：桌面云硬件+VDI软件+零信任软件+XDLP软件整体合算在硬件成本中，按照5年期服务。普通PC，安全软件授权按照桌管软件+数据加密软件

按照5年分摊，每年350元计算核心结论：​短期投入：桌面云初期硬件成本高10.8万元，但通过旧设备利旧​（如淘汰PC改云终端）可压缩差距。​长期回报：5年综合成本降低87%，主要得益于隐性成本规避​（停工损失、泄密风险）和运维集约化。客户交流前请注意该部分桌面云价格核对成功案例某头部电池企业-代码开发场景落地实践代码开发场景业务需求系统数据安全：客户作为世界500强企业，其IT系统一直是境内外恶意势力的重点攻击对象，且作为一个科技型公司，其研发数据是公司核心竞争力，是立身之本。因此客户对于数据安全相关建设极其重视，十分关注桌面云整体解决方案能提供的安全能力，需要桌面云平台能够保证能抵御外部攻击同时保证数据安全，避免数据破坏或事件发生。业务访问需求：研发人员代码开发要在内网环境进行，需要满足上网和访问高密级业务数据提取需求，业务访问流程需要做到管控；最小化权限需求：研发经常需要安装各类开发相关组件，如果开放系统管理权限又过大，造成软件安装混乱的情况，需要对系统做最小化权限控制，同时需要对研发访问的业务系统实现最小化权限控制；外网接入安全性需求：研发出差需要访问内网研发桌面，需要对接入终端实现合规性基线检测，通过才可访问内网研发桌面，避免勒索病毒在内网传播

解决方案介绍分级分域：依据数据安全保护等级，将云桌面业务分为互联网区、研发区、高密数据区三个逻辑隔离区域，三个区域间禁止数据流转；文件摆渡：针对研发需要将部分互联网下载数据传回研发桌面本地使用的需求，通过提供数据摆渡系统，实现数据跨区传输同时进行防毒检测保证传输到研发区的数据安全性；数据控制：研发区主要运行开发桌面，满足研发用户相关软件系统开发需求，用户笔记本接入终端仅允的文字和截图数据可以单向剪切板拷入开发桌面内，在实现数据不落地同时方便用户从终端本地传输必要数据开展工作；应用管控：针对开发场景研发经常需要安装各类开发相关组件和保证用户桌面账户权限最小化以保证桌面环境安全性两个相互存在冲突的需求，桌面云平台通过提供软件商店组件，管理员可将开发常用软件包统一上传软件商店并设置权限控制可使用的用户；虚拟应用SBC：互联网区主要满足研发上网资料查询需求，高密数据区主要供做数据分析的研发提供业务数据访问和分析工作环境，由于均是单一应用需求场景，因此采用虚拟应用交付到用户研发桌面，提升云桌面平台计算资源利用率降低服务器硬件投资的同时，实现用户在一套桌面环境即可完成所有工作任务，避免需要在多个桌面环境切换使用的麻烦，优化用户使用体验；SBC应用数据漫游：为保证用户的虚拟应用使用体验，采用UPM技术将用户应用个性化配置与数据集中存放在网络文件存储上，从而保证用户接入任意一台应用服务器均能获得一致的工作体验某头部电池企业-代码开发场景落地实践客户案例：某头部车企5.6万研发设计桌面云XX大型车企创立于1995年，业务横跨汽车、轨道交通、新能源和电子等领域。在新能源汽车板块成果斐然，多款畅销车型远销海外，掌握电池核心科技，推动行业变革。同时，其云轨、云巴等创新交通方案某省市出行赋能，是极具影响力的民族企业。作为电动汽车的领导者，一直以来对数据安全极为重视，在23年以前已经建设了上万点规模桌面云，随着自身在全球范围内的迅速扩张，以及汽车新能源行业竞争加剧，XX大型车企在24年初决定进一步扩展桌面云规模；用户体验：工程院分是3D设计、渲染等场景，图纸较大且复杂，对安全、效率要求较高。是XX大型车企的核心业务部门，是公司发展的动力，因此客户将用户体验作为选择厂商的第一考虑点，不能为了安全而影响效率，重点测试软件打开渲染的速度，操作的流畅度等维度和电脑进行对比。安全风险：客户对公司核心资产的数据安全极为重视，整体方案需要从接入访问，使用过程，数据存储，用户隔离等多维度考虑安全防护；管理复杂：由于需求规模庞大（一期8000点，远期5w点），因此客户比较重视整体的管理能力，如应用、桌面、策略、数据等维度的管理能力；

项目背景挑战与痛点保障用户体验:整个项目建设需充分保证用户体验无较大损失，不影响用户研发效率。增强数据安全:利用桌面云的安全特性，实现研发、设计等数据归集不落地，建立完整的数据流转可视化闭环，加强公司敏感信息的保护，防止数据。简化运维管理:通过桌面云的

用户自服务+管理员批量与远程式维护

等特性实现终端故障率降低，缩短终端故障率与故障处理时间，提升集团整体研发用户终端使用体验与研发效率；满足灵活扩展:通过桌面云构建一个底层+上层均可弹性伸缩的IT环境，桌面虚拟机可按需调整配置以满足不同项目不同场景使用需求。业务目标客户案例：某头部车企5.6万研发设计桌面云应用场景：3D设计，代码开发，硬件开发等；部署规模：SZ、XA两个数据中心总计部署5.6万用户；安全设计：安全域：划分终端域、VDI接入域、VDI桌面域（办公、研发）、业务域（基于业务划分）。域间隔离：所有研发、设计数据存储、业务访问均在数据中心，终端域仅可访问VDI接入域。域内隔离：VDI桌面间、用户间，VDI到业务通过分布式墙实现微隔离。数据交互：所有数据默认只进不出解决方案NASSZ

DC统一接入XADC（规划）研发/设计桌面研发内网普通业务高密业务动态访问控制管理网存储网业务网VDI接入网分布式墙微隔离NAS研发/设计桌面普通业务高密业务动态访问控制管理网存储网业务网VDI接入网分布式墙微隔离全局统一地址Vdi.xxx全局统一管理统一管理统一授权统一监控仅允接入网专线本部某著名企业分支终端用户aTrust零信任零信任隧道+双因子认证内网安全策略分支安全策略某著名企业安全策略数据只进不出剪切板：只读本地盘：只读数据不进不出剪切板：禁用本地盘：禁用数据只进不出剪切板：只读本地盘：只读整车设计部件设计电子电气智能网联仿真验证商安全研发云桌面商是全球领先的人工智能公司，长期投入于原创技术研究，为保护核心技术，商计划采用“桌面云”+“双网隔离”架构来构建的终端安全平台。

项目背景

挑战与需求代码编译未管控：研发人员在代码编译环节会涉及到从代码库/编译服务器下载代码到电脑终端，此环节暂未管控，可直接下载到笔记本；代码外泄风险：商源计划，开发人员存在复制代码到开源社区，此行为也未管控；双网未管控：部分开发人员可申请另外一台电脑进行上网，上网和开发电脑间未进行管控；桌管体验不达预期：尝试过桌管软件，但实际使用中存在占用资源高影响开发效率，审批繁琐等问题。商安全研发云桌面业务与数据资源池研发云桌面研发服务器代码库上海总部云桌面网关监控维护安全审计文件存储文件流转（内网）笔记本台式机办公网研发网上海总部笔记本台式机分支机构文件流转（办公网）专线内网访问零信任文件同步安全审计条件审批总体设计构建覆盖全国所有研发、办公场景的“商终端云”，整体采用“双网、多业务区”的安全架构，当前一期的整体设计为：双网隔离（研发网、办公外网）：所有研发、核心办公业务（如财务）全部定义为研发内网，研发内网禁止访问互联网，部分特殊应用通过防火墙开通特定端口访问（仅限API、IDE工具的插件更新等API非直接操作类）。多业务区桌面：根据本部研发、外包研发、财务、普通办公等在双网基础上进一步区分业务区，各业务区之间默认通过分布式防火墙隔离。研发多桌面：每个研发分配一个研发云桌面用于日常开发，原有笔记本处理日常上网（未来笔记本淘汰后分配办公外网云桌面），研发网域办公外网禁止直接传输数据。必须通过部署的“跨网文件流转”平台，默认所有数据传输自动审计无需审批，针对特殊用户开启审批策略。整体方案架构设计商终端云公司开发人员主要采用物理PC进行开发与测试工作，开发人员在办公PC上完成代码编译后，统一上传到北京分公司的gitlab代码开发平台进行协同编译，随后由Jenkins打包服务器导出可执行进程件至员工办公PC，最后在导入不同测试环境下进行测试验。在数据流转过程存在较大的数据安全风险：开发源代码泄密PC无法有效管控源代码/重要文档在的流转范围和访问权限，开发过程某著名企业存储、IM软件、邮件传输现象普遍缺乏体系化的数据安全方案Pc设备老化，数据存储在本地，因硬盘损坏造成数据丢失现象频发3.管理运维难多分支，设备数量多，维护难4.开发环境固定化，无法安全远程办公，不能快速适应业务变化开发环境固定在工位，特殊时期或外出支持项目，无法快速获取开发文档，影响项目进度。某软件开发公司数据防泄密案例基于零信任+云桌面的数据防泄密设计1、将开发整体环境纳入管控域，代码开发操作通过VDI完成，仅允桌面访问代码平台，实现源代码（加密传输）上传到gitlab平台2、将企业云盘独立划分网段，不允许VDI网段上传文件（避免源代码上传）；3、将企业云盘挂载给Jenkins打包服务器，作为企业开发管控域“最后一棒”，需要交付的可执行文件从Jenkins打包的文件直接上传企业云盘，存储到项目组的目录下；4、个人PC可以通过零信任访问项目组目录下的交付文件包，并在企业云盘内通过审批流程后才能下载（项目组目录下的文件可通过URL进行共享，然后通过零信任发布出来，有零信任进行权限管控；全流程可对接LDAP，做到单点登录）通过零信任进入VDI开发环境开发/上传源码操作打包操作上传可执行文件企业云盘访问项目组目录下的文件结合审批流程，导出可执性文件开发管控域用户认证与鉴权零信任平台Jenkins服务器Gitlab服务器开发VDI集群禁止外网PC直接访问开发平台禁止本地办公PC直接访问开发平台禁止数据导出仅允桌面访问（加密传输）通过零信任加密隧道访问本地上网桌面开发VDIAIO本地办公PC本地上网桌面开发VDIAIO外网PC背景与需求其他案例序号客户名称应用场景用户授权数据防泄密需求1头部电池

代码开发场景4300方案设计要点：安全域：云桌面分为互联网区、研发区、高密数据区三个逻辑区域；研发区：2D独享桌面互联网区：上网虚拟应用（Chrome）高密区：数据分析虚拟应用（JMP）数据交互：通过数据摆渡系统，实现数据跨区传输同时进行防毒检测保证传输到研发区的数据安全性2头部汽车3D图形设计场景56000方案设计要点：安全域：划分终端域、VDI接入域、VDI桌面域（办公、研发）、业务域（基于业务划分）。域间隔离：所有研发、设计数据存储、业务访问均在数据中心，终端域仅可访问VDI接入域。域内隔离：VDI桌面间、用户间，VDI到业务通过分布式墙实现微隔离。数据交互：所有数据默认只进不出3某著名企业厂区办公开发测试6150方案设计要点：快速上线：厂区新建，办公环境快速上线；安全隔离：虚拟机之间微隔离、USB外设管控；4中国电建集团成都勘测设计研究院安全办公3000方案设计要点：内外网隔离：云桌面满足上网需求，与办公桌面逻辑隔离零信任沙箱：结合零信任沙箱建立数字化办公空间5中国能源建设集团某著名企业安全办公1200方案设计要点：平滑替换：思杰桌面用户数据平滑迁移域间隔离：VDI桌面间、用户间，VDI到业务通过分布式墙实现微隔离。6中车集团各二级单位安全办公5000+方案设计要点：某著名企业办公：接入终端灵活，随时随地办公；安全隔离：虚拟机之间微隔离、USB外设管控；7某著名企业内网办公互联网办公10000+方案设计要点：某著名企业办公：云应用安全接入集团重要应用，收缩业务暴露面；安全隔离：虚拟机之间微隔离、USB外设管控；8天合光能研发设计办公370方案设计要点：红区策略（高安全要求，严格管控：研发设计、财务、外包人员）黄区策略（中安全要求，一般某省市场、生产、仓储、职能办公等部门）绿区策略（低安全要求，弱管控：后勤部门等）数据防泄密，要考虑哪些点用户角色研发职能市场临时雇员供应商使用设备公司派发个人设备临时设备接入位置时间方式设备状态补丁\病毒库\软