深信服SDP零信任工作空间_全终端数据防泄密解决方案

深信服SDP零信任工作空间

零信任工作空间是aTrust产品中的一个增值模块，为windows、Mac、uOS、iOS、android、HarmonyOS系统平台提供安全沙箱能力。以数据保护为核心，覆盖全终端的零信任工作空间。通过程序管控功能设置只允许在工作空间内运行的程序列表，当终端用户运行列表外的程序时会被阻断并提示。

立即咨询

首页 > 产品中心 > 终端安全 > 深信服SDP零信任工作空间

终端数据防泄密建设的关键挑战 icon

传统桌管/DLP方案：存在过度防护，不能区分个人和企业数据，一定程度上制约信息化发展及业务便利性。过度的策略制约无法很好的适应复杂及多样的业务场景与使用习惯。桌面云等虚拟化方案：网络要求高，在弱网或离线环境难适用，远程办公体验差。

传统桌管/DLP方案：无法针对用户进行访问权限权限可控制，不适用于外部/供应商等第三方人员接入，不支持VPN接入，不适用用远程办。桌面云等虚拟化方案：无法进行应用系统粒度的访问控制。

传统桌管/DLP方案：对终端进行强管控，往往需要统一配发终端，使用成本高。不区分个人应用和工作应用，场景适配复杂，运维管理成本高。桌面云等虚拟化方案：方案重、建设成本较高，远程访问还需投入大量宽带运营费用。

产品定位：以数据保护为核心，覆盖全终端的零信任工作空间 icon

零信任工作空间是aTrust产品中的一个增值模块，为windows、Mac、uOS、iOS、android、HarmonyOS系统平台提供安全沙箱能力。工作原理为：在终端上创建一个与个人环境完全逻辑隔离的安全工作空间，在工作空间中运行的软件（应用）具备SSL通信加密、落地文件加密、内外网络访问隔离、剪切板控制、外设管控、程序管控、文件外发管控、屏幕水印等数据保护功能。零信任沙箱是aTrust产品客户端的一个插件，无独立客户端，根据aTrust控制中心策略可针对用户按需开启。

零信任工作空间解决方案整体架构 icon

零信任工作空间五大核心能力 icon

工作空间形态-窗口模式 icon

数据可信：工作空间文件隔离与加密 icon

透明加解密：在工作空间内新建、下载、接收、编辑文件时，文件自动加密存储在沙箱环境。“一文一密”，双密钥机制，即使相同的文件加密后的内容不同（防暴力破解密钥）。文件级加密，兜底机制，即使沙箱被破壳，攻击者拿到了文件，也是密文。业内已知唯一具备文件级加密的沙箱产品，驱动级的文件隔离，可以防勒索病毒，即使个人桌面感染勒索病毒也不影响工作空间的文件。

数据可信：工作空间网络隔离 icon

工作空间进程和个人空间进程可访问的目标地址范围默认相互隔离，即工作空间进程只能通过零信任网关访问该用户关联的隧道应用，其他请求会被拦截；而个人空间进程只能通过本地网卡访问本地网络可达的地址。

数据可信：沙箱外设隔离 icon

为防止使用外设可能造成的数据泄露风险，工作空间可以对不同类型的外设基于分类进行安全隔离和管理。为满足特殊外设需求，也支持外设黑白名单，将某一外设在工作空间内强制放行或拒绝使用。外设安全隔离仅对工作空间生效，不影响个人空间！BYOD场景体验优于传统桌管/DLP方案的外设管控。

数据可信：工作空间运行程序管控 icon

通过程序管控功能设置只允许在工作空间内运行的程序列表，当终端用户运行列表外的程序时会被阻断并提示。避免沙箱内随意运行应用程序从而带来安全风险。

数据可信：工作空间文件导入导出控制和审计 icon

可以通过策略限制工作空间和个人空间的文件导入导出操作，对工作空间导出到个人空间的文件支持审计（暂不支持文件内容审计）。

数据可信：工作空间之剪切板隔离与审计 icon

剪切板隔离可以通过策略配置单向或双向隔离，如只允许个人空间拷贝到工作空间；剪贴板精细化管理，仅允许拷贝N字节的字符串，例如外包催收场景下可以限制只允许拷贝手机号码出来；允许拷贝至个人空间时，对拷贝内容进行审计个人桌面内拷贝粘贴不受限制；

数据可信：工作空间屏幕水印、截屏/录屏限制 icon

个人空间的截屏/录屏工具无法获取到工作空间内的画面工作空间内截屏/录屏工具截屏后的内容无法拿出工作空间工作空间内可以通过运行程序管控限制运行截屏/录屏工具

身份可信：多种认证方式实现流量身份化 icon

环境可信：多维度终端环境检测 icon

提供灵活的跨平台终端准入控制，在登录时、访问业务过程中持续检测终端环境，不满足安全基线时，及时注销登录或阻断业务访问，确保只有符合安全条件的终端才能登录并访问业务系统。检测环境检测（支持Windows、Mac） - 无需其他组件：要求终端必需安装防病毒软件；要求终端必需打齐操作系统补丁；要求终端必需安装指定软件才允许访问报销系统；要求终端必需加入域控、必须在内网上才允许访问财务系统。

环境可信：终端应用进程检测 icon

1. 先开启采集，终端通过aTrust客户端代理访问业务系统的进程会上报到aTrust控制器；2. 管理员基于进程的可信程度（使用人数、是否有签名等）设定应用白名单，并开启阻断；3. 开启阻断后，只允许白名单应用通过aTrust隧道访问业务系统，避免恶意应用渗透内网；

环境可信：联动EDR，增强终端环境感知能力（可选） icon

权限可信：静态权限管理+动态访问控制 icon

动态访问控制：基于身份、环境、行为多源信任评估结果，动态调整访问权限，对于明确风险行为进行阻断，对于疑似风险行为进行挑战认证/告警，应对已知和未知威胁。

权限可信：异常访问灰度处置 icon

如果身份、环境异常存在安全隐患时，在访问业务系统时自动进行阻断或增强认证。当用户使用弱密码登录时，访问业务必需进行增强认证。当用户在异地登录时，访问业务必需进行增强认证。当用户在异常时间段登录时，访问业务必需进行增强认证。当用户在访问行为存在异常时，访问业务必需进行增强认证。一旦账号在非授信终端或异地登录，可以强制二次认证或阻止用户访问，避免账号盗用后带来的业务风险。

业务可信：安全发布，隐藏业务暴露面 icon

业务隐藏在零信任网关之后，只允许身份合法且有权限的用户访问到业务系统，缩小暴露面；从“先访问再认证”到“先认证再访问”，过滤掉大量攻击行为。

业务可信：安全发布，隐藏业务暴露面 - 第三代SPA icon

基于UDP+TCP SPA混合模式的第三代服务隐藏技术，服务端默认关闭所有端口，正常用户访问前客户端需要发含有身份凭证的UDP SPA敲门包，验证成功后更新本地防火墙规则临时放行很短的时间窗口允许指定源IP对443端口的访问，后续的连接建立过程中遵循TCP SPA流程完成TLS会议协商。

相比第一代UDP敲门和第二代TCP SPA第三代SPA

更安全，立体化隐身：在有效防止TCP SYN DDO、恶意嗅探、网络扫描等网络攻击同时，有效解决客户侧源IP地址相同（SNAT）情况下一个终端敲门，全网终端可以访问的风险。

更细化，按需开放：相比传统UDP敲门成功了开放8个小时的机制，新一代的SPA单包授权，客户端敲门成功，只开放很小的窗口时间，如30S，30S后重新闭。结合新一代的隧道传输技术实现按连接开门，合法用户在无访问流量时快速关闭，进一步提升安全性。

更可用，SPA封装改进：为了解决UDP传输丢包问题，我们尝试将SPA授权包隐藏在标准的ICMP/DNS请求中，可以比较好的规避广域网传输丢包的问题。

业务可信：访问行为全面审计 icon

业务访问流量全部都过代理网关，无论内网、外网访问，无论网页、移动APP还是PC端访问，都能做到所有访问能被记录、可溯源（到用户、到终端），避免丢失访问日志。

业务可信：联动SIP，异常威胁实时检测（可选） icon

基于业务密级和终端可信程度的安全办公方案 icon

典型方案：低敏业务或者特定账号/终端，使用接入客户端或免客户端访问，中高敏业务使用工作空间客户端访问。

远程办公场景

场景方案价值：同时满足远程接入和终端数据防泄密需求。完整的数据防泄密能力，兼容性高、适配全终端。对个人终端无侵犯，适配BYOD，不降低体验。极简部署，支持分布式部署，超大并发。方案轻量、运维简单，建设成本低。

远程办公导致办公环境变得复杂，数据更容易泄密

终端环境更复杂：从内网的Windows台式机，变成员工个人终端（Windows、Mac）、移动智能终端（iOS、安卓）等。网络位置更复杂：从封闭的单位内网，变成家庭网络、公共WiFi、4/5G、酒店WiFi等。使用场景更复杂：从纯办公使用，变成办公业务和个人上网娱乐混用一台终端。

远程办公场景下，传统安全方案难以应对

VPN方案不具备数据落地后的保护：现在远程办公一般都是用VPN，用户访问系统后可以通过下载、截图等把数据存在本地，这样就很容易在终端上发生泄密了，比如终端中毒了、网络备份、员工有意外发等。个人终端缺乏统一安全防护手段：个人终端往往无法强制安装公司统一的安全软件，且个人使用习惯各异，一旦终端干扰恶意程序就会影响终端上的企业数据、也可能以个人终端作为跳板入侵企业内网。传统DLP方案不适用于远程办公场景：远程访问的设备大多数是员工个人终端，传统桌管/DLP方案重，偏管控，用户使用体验差；单纯使用桌管/DLP也不具备远程接入能力，还得额外配合VPN使用（要不就只能暴露到互联网）；不支持移动终端。桌面云方案建设成本高且依赖网络：采用远程桌面跳板机或者VDI方案，虽然数据不落地，但建设成本高，后端得准备大量服务器，而且对网络的依赖性大，网质量不好就没法使用。

开发/设计场景

场景描述

大量物理PC或桌面云用于软件开发、设计制图，但缺少足够的防泄密能力。有组建虚拟项目组需求，多个人临时需要一个统一的、独立的网络和数据协作空间。

场景方案价值

文件加密，防止拆硬盘泄密。沙箱数据隔离，防止网络、外设等手段泄密。不降低体验，保障生产力。极简部署，支持分布式部署，超大并发。

场景分析

内网终端上网有安全风险：内网终端访问互联网会带来安全风险，如下载恶意程序后终端可能作为跳板渗透到内网，一些勒索病毒也常用水坑攻击方式，终端访问互联网时很容易中招；传统方案不能很好解决：对能访问互联网的终端，传统方案一般是在终端上做杀毒和管控，然后通过上网行为管理来做上网权限控制，但像现在很多新的0day、APT攻击，除非杀毒软件每次都准确识别，不然还是会有不小的安全隐患。对不允许访问互联网的终端一般采用桌管+DLP对终端进行管控，限制终端随意连接网络、安装应用、USB拷贝，限制了办公的便捷性。

第三方外包场景

场景描述

什么是第三方外包场景，很多客户会存在部分业务外包给第三方来完成，例如运营商的客服业务、银行的催收业务等，外包人员在日常工作中需要访问客户内部业务系统、会接触到内部敏感数据，尤其是服务外包时，外包人员不驻场，外包人员经常离职更好、使用的终端是外包公司或外包人员个人的，安全管理难。

场景方案价值

建设成本低，无需专用终端或者桌面云。完整的数据防泄密能力，兼容性高、适配全终端。支持远程接入，满足非驻场外包场景的使用。部署简单，无需提前预装，访问业务时引导安装。

场景分析

第三方外包场景数据安全挑战：业务外包场景下外包人员和终端不受控：外包人员不驻场，终端是外包公司或外包人员个人的，无法统一安装桌管/DLP软件；桌面云方案成本高，且对网络依赖性高。传统方案建设和维护成本高：传统桌管/DLP方案必须配合专用终端，要给每一个外部人员专门配置电脑，终端采购和运维成本大，且方案重，偏管控，用户使用体验也不好；采用桌面云方案，虽然运维更简单了，但建设成本更高，后端得准备大量服务器。

移动安全办公场景（EMM） icon

防主动泄密

防拍照：通过屏幕水印来威慑和追溯拍照泄密行为。防截屏：通过禁用安全域内的应用截屏APl，来防止截屏。防复制：通过为安全域创建独立剪切板，防止数据被复制粘贴到个人域。防分享：通过限制只允许在安全域内分享，防止数据被分享到个人域。防网络外发：通过网络隔离，防止安全域应用访问互联网。防拷贝：通过文件加密和文件隔离来防止USB/TF拷贝。防离职带离数据：通过远程擦除安全数据，来防止员工离职带离数据。

防被动泄密

防恶意代码防APP漏洞：过网络隔离，防止安全域应用在存在恶意代码/漏洞时外传数据。防病毒防木马：通过文件加密和文件隔离来防止病毒、木马窃取安全域数据。防恶意WIFI劫持：通过传输加密来防止WIFI劫持。

方案优势 - SDP+ 安全沙箱双重零信任，重新定义安全边界 icon

基于SDP网关的零信任：重建访问安全边界，从终端、身份、权限、行为到业务发布，实现全流程访问安全。基于沙箱的零信任：重建数据安全边界，将传统数据保护从面向终端到面向工作界面，实现防护粒度最小化

方案优势 - 业内唯一支持全终端安全沙箱的零信任产品 icon

全终端适配：支持Windows、MacOS、iOS、安卓、鸿蒙、国产化OS等终端。

方案优势 - 资源前置，节约建设投入 icon

工作空间无需额外资源，直接在用户终端上运行，节省建设时资源投入成本；工作空间内程序运行时CPU、内存无额外开销，所以程序运行、画面帧率等流畅度体验无变化；因为工作空间内具备文件加密特性，程序在做文件操作时会有少量额外开销，表现在文件创建、打开、编辑、删除操作。详细实测数据如下：

方案优势 - 业内广泛认可的零信任厂商 icon

成功案例：某城商行远程办公/内网办公终端防泄密 icon

需求背景 1. 远程办公背景下，运维和信息安全主管需要完成的任务？确保员工可在公司外部无障碍接入内网办公，提升生产效率，从而提高企业效益，但是又要保证内部的资料不会被泄密，以及员工不能把病毒等威胁传播到内网 2. 当前的替代方案或权宜之计？ 1）使用SSL VPN进行远程办公；（2）使用桌面云产品进行远程办公、研发；（3）要求员工必须安装桌管/加密软件，再使用vpn产品 3. 数据安全防泄密，终端不留存本次整体零信任安全接入，如何保障终端接入行内行外数据的安全性；以前行内人员离职以后交接工作不到位，包括行内管理制度和技术维度桌管\USB封堵针对行内机器并不完善，如何有效解决该问题。 4. 原有行内环境集成方案，不是单一适配性方案行内当前针对部分生产和办公场景下，需要通过Xenapp访问exchange和OA；同时，针对全国的分行，希望把该方案也整合融入进去；如何规划和考虑？

方案价值 1. 零信任整合解决方案能力，在广域网接入和内网接入统一零信任的前提下，针对终端环境通过安全沙箱实现数据的不落地，提升终端环境的安全性。2. 全行统一整合，通过搭配我司AC\SG做捆绑，内部联动闭环，针对外网沙箱上网审计实现管理和审计。无需单独联开发，客户相对省心。4. 较强大的开发能力。客户不喜欢定制版，测试中可以通过定制版解决一些功能体验。但是研发团队，就客户的10+功能，在年度的版本规划中，做了相应的调整。根据时间节点，有8个功能在今年完善迭代出来，剩余两个在明年的大版本规划中。整体给与客户的感觉，功能出的比较快，愿意投入。

方案设计 1.外网内网和生产环境共计3套，一期第一包先采购外网远程办公替换，VPN；2台HCI+2套atrust虚拟化，HCI用于承载零信任。2.二期把提数和生产环境进行采购，同样是一套，且此方案需要支持联动SBC和Xenapp，沙箱需要满足多沙箱功能。

成功案例：某全球500强制造业终端防泄密 icon

需求背景

XX集团是全球领先的美好生活解决方案服务商，目前XX集团使用信息化系统办公的员工约4万余名，分布在全球，员工的办公终端数据安全防护成为XX集团安全建设一大难题：1、大部分应用系统都在内网，需要实现全球各地员工的安全远程安全接入；2、XX有大量高科技设计的文件及数据，如何避免员工通过办公终端泄露；3、XX集团有大量的信息系统需要外包及运维人员维护调试，如何管理外包和运维人员，避免帐号滥用，保障接入终端合规；XX集团当前也采用了一些技术手段来解决上述问题，比如通过通过桌管来管理接入的终端，保障终端合规性，避免终端数据泄露。随着业务规模不断扩大、安全管控要求不断升级，原有桌管方式存在使用繁琐，终端问题频繁等问题，已经无法满足业务增速的需求。综上，XX集团急需寻找一种新的解决方案，更简单、更安全实现办公终端数据安全防护，做到事前授权、事中管控、事后可审计，零信任成为XX集团安全建设的重点方向。

解决方案

结合XX集团的需求，深信服提出基于零信任的双域隔离方案。通过在DMZ区域旁路部署零信任aTrust +10000aTrust接入授权+10000UEM终端授权，为XX集团开提供了完整的办公数据终端安全防护方案。1、通过在总部MDZ区域的核心交换机旁路部署零信任控制器+零信任代理网关，提供远程接入功能，满足全球各大洲员工安全远程接入访问内网应用系统的需求。2、深信服零信任UEM方案在PC端，以Windows驱动层沙箱技术构建双域隔离的安全工作桌面，让移动办公应用在工作桌面内使用，数据在工作桌面落地加密隔离，限制向个人桌面复制粘贴，限制截屏、增加屏幕水印，进行网络隔离；即使个人桌面感染勒索病毒，也不会影响工作域安全应用，保护了PC端数据安全。3、所有安全策略基于双域隔离沙箱实现，不影响员工PC正常使用、不干涉员工隐私，让员工在使用移动办公时拥有与个人应用一致的使用体验。

产品推荐查看更多>>

敏捷科技终端安全DSM

是敏捷科技信息资产保护安全解决方案的有机组成部分，能够实现企业级实时资产管理、控制终端以外的安全威胁、监视和控制终端用户的行为。可与文件透明加密系统、数据主动备份系统、外发文件控制系统相结合，能够对企业的信息资产提供全方位的保护。

功能完备

安全可靠

立即咨询查看详情

奇安信天擎终端安全管理系统

奇安信天擎终端安全管理系统，终端用户可自动强制登录、设备资产可视化呈现、多条件组合筛选，资产责任人清晰明了。融合了机器学习等人工智能技术，脱离了对具体漏洞、文件特征、行为特征的依赖。支持多种类型的感知配置，根据环境风险对终端的影响程度自定义不同的模板。

准入合规

来源可控

精细控制

病毒防护