一知安全山河安全工作空间_零信任企业安全工作空间_企业终端数据安全防护系统-云巴巴

立即咨询

立即试用

商务合作

一知安全山河安全工作空间

一知安全山河安全工作空间，是专业的零信任企业安全工作空间，深度融合企业终端数据安全防护系统能力。基于零信任架构，实现终端数据全生命周期防护，严格管控访问权限。支持多场景安全办公，有效抵御数据泄露风险，为企业打造安全、高效的数字化办公环境。

立即咨询

端侧及业务系统面临的核心数据泄密及安全隐患 icon

外部攻击导致数据泄密

1、终端电脑容易被勒索病毒攻击，加密电脑本地文件，导致数据无法使用
2、本地终端电脑感染病毒之后，通过公司内网横向扩散，导致业务瘫痪
3、本地终端电脑感染病毒后，作为肉鸡直接攻击业务系统，导致业务瘫痪
4、企业服务暴露在公网:可能被暴力破解、SQL注入、0Day攻击

内部员工存在多种有意无意泄密风险

1、拍照、截屏、录屏等方式将设计图纸或研发数据外发，导致公司利益受损
2、文件打印缺乏管控，重要文件被外带，导致重要数据产生泄露。
3、U盘在终端可以随意拷贝，产生泄密，且难以溯源定责。
4、微信、邮件等通讯工具通过互联网外发，导致数据泄密。

山河安全工作空间架构图 icon

角色

全体，软件客户端，符合所有办公人员预期

终端

支持windows，macOS，linux、国产化操作系统、安卓、鸿蒙、IOS等全系列办公终端设备。

业务

不降低终端性能，支持远程访问、一机两用、权限划分等多种数字化办公模式。

打造安全的终端环境：安全空间，终端数据隔离防护 icon

应用隔离

应用黑/白名单管控
域内安装的应用，本地无法嗅探

网络隔离

网络黑/白名单管控
域内网络加密传输，提供VPN远程接入能力

数据隔离

剪切板隔离、禁止截录屏
外设管控、打印管控
空间磁盘加密，文件无法在本地查看

文件流转

通过审批或审计方式控制文件流转

环境隔离离

将文件、网络、外设、服务、RPC调动、命名对象、缓
存、I0、协议栈等进行模拟，和本机操作系统的相应部
分完全隔离

打造安全的接入与访问（零信任） icon

服务隐身

防止暴力破解、0Day攻击、SQL注入等

实现端到端的全链路安全保护

（1）缩小信任边界
（2）精细化控制访问权限
（3）持续验证，摒弃一次静态验证
（4）全程零信任加密传输;

方案效果

通过安全工作空间技术，打造一个业务及数据的访问安全域。

互联网沙箱方案效果

通过安全工作空间技术，打造一个可以上外网且不影响本地的环境。

产品能力图谱

山河数字化安全工作空间是一款原生安全、极致体验、轻量敏捷的工作平台。以自研的内核半虚拟化技术为核心、采用零信任接入手段、保障终端使用体验、实现终端数据安全的数字化工作空间。

完美使用体验

首创内核级半虚拟化工作空间
性能接近0损失，应用基本全兼容
与终端一致的使用体验，员工学习成本低

终端数据安全

工作空间数据加密安全使用，配置限制外发策略，实现数据防泄漏
访问业务中心过程加密通道防护，采用零信任模式接入阻止不可信访问
可防止勒索病毒，勒索病毒无法遍历到我们的文件
数据销毁，数据安全审计功能，实现数据使用全生命周期安全

定制化方案设计

始终围绕客户业务价值为企业制定一站式智能客服解决方案。

产品原生安全

空间做了写保护，保障空问内安全
无虚拟网卡生成，减少暴露面，实现工作空间全隐身
空间与个人电脑内核级隔离，个人电脑任何安全问题对空间无影响

零信任身份权限管理

统一身份管理
细粒度权限划分
动态鉴权，持续认证
SSO单点登录。

制度软件化

借助软件平台，让全局安全办公制度落地运行。

内核级半虚拟化（与市面上所有沙箱产品采用的应用态沙箱技术路线对比） icon

传统方案建设对比

针对传统方案进行对比选择，从五个层面针对性进行了分析：

经过评估对比，安全工作空间为数据访问安全建设的最优选择。

工作空间形态-窗口模式 icon

终端数据隔离防护：工作空间数据加密控制 icon

防止勒索病毒等恶意感染

内核级的文件隔离，由于勒索病毒是通过磁盘文件遍历的方式获取对应格式的文件进行加密，写入沙箱文件系统的文件被隔离保护，在个人桌面无法搜索查看，即使个人桌面感染勒索病毒也不影响工作空间的文件

数据全生命周期加密保护

山河客户端会对在工作空间内新建、下载、接收、编辑文件时，产生的所有数据进行自动加密，且访问安全空间内数据的速度与访问本地磁盘数据的速度无明显差异。加密算法已得到权威认证机构认证

硬件级加密

在设备硬件支持的情况下，可利用CPU芯片可信计算模块，构建终端信任根，基于硬件层面实现沙箱内数据存储与计算的保密性，实现数据的加解密过程、密钥管理均在硬件层面隔离完成

终端数据隔离防护：安全审计 icon

1、系统持续对用户行为、进程行为、网络行为、文件行为等进行监控，提供多维度的安全审计功能

网络访问拦截日志:记录安全域中访问非白名单网络地址得行为
数据外发日志：记录安全域内所有数据外发日志
应用程序拦截日志：记录安全域内启动应用黑名单进程的行为
用户行为日志:针对无客户端方案，可记录用户特定应用的具体操作，如命令行、屏幕截图等日志

操作日志：记录所有用户对系统的操作日志

安全域内行为审计：持续监控安全域内网络连接、创建子进程、模块加载、注册表读写、文件操作等行为

2、非法日志推送（定期推送每周推送一次，做运维的每周看一次，同时给用户和领导推送一次，多方推送;报表可视化）
3、从工作空间发出去的文件本地留档，定期删除。

终端一致的使用体验-性能 icon

终端一致的使用体验-软件、外设 icon

软件兼容性（重测800多个研发/设计类软件，不对单个软件做适配。）

外设兼容性：适配市面常见主流外设:U盘，转接器、扫描仪、摄像头，刷卡器，打印机等，非主流外设可做定制适配。

安全工作空间方案建设关键点 icon

关键点1：建立了一个内网虚拟安全域，建立一套终端安全管理体系。

PC终端针对集团的业务系统访问和数据下载使用均收敛在安全空间运行，受集团安全策略管理，有效保障集团业务安全和数据安全

关键点2：构建一个安全的终端环境，有效避免网络
全及数据安全事件发生。

安全空间与个人空间隔离，并有严格策略管控，避免数据泄露。互联网侧威胁和终端个人桌面出现的安全问题对集团业务无任何影响

关键点3：业务改造小，上线速度快，投入及运维
成本低。

针对无需投入大量硬件设备，统一下发轻量化客户端。网络结构无大改动。后期无需投入大量运维人员

方案价值

与操作系统无关、与应用形态无关、与用户性质无关的数字化基础设施。

自由使用

数字化基础设施
快速上线,开箱即用
全流程数据可量化、可数字化
让数据顺畅地流转起来，充分
释放数据价值，同时保证流转
的安全随时随地安全地接入内网系统，同时落地到终端的数据也得到安全保障

安全可信

解决所有安全问题
全场景闭环，全场景覆盖的
的安全架构同时解决终端防泄密、防攻击
隐藏攻击入口，收敛检测和
响应边界
更轻量、更安全、更高性能
的数据安全组件。

极致体验

真正的统一办公入口
用户无需改变操作习惯，使
用体验与平常无差异
对终端的性能消耗很小，使
用流畅。

降本增效

最小的成本完成基础设施升级
基于业务需求匹配成本最低
的访问模式
将已建设的安全及办公基础
设施纳入统一办公体系中，
业务改造小
低成本完成数据安全改造。

山河使用场景

远程办公

重构终端环境（防止本地桌面
病毒蔓延扩散）
替换VPN保护业务系统
终端数据防护（防泄密、防攻
击、防丢失）
对BYOD（自带设备办公）场
景比较友好
一机两用。

第三方运维/开发

限制第三方访问权限、终端
数据防护、对BYOD（自带
设备办公）场景比较友好。

内网安全办公

业务保护，权限划分、终端
数据保护（防泄密、防攻击、
防丢失）一机两用。

统一安全办公

综合性解决方案，一体化解
决公司数据泄露问题。

安全互联网

安全空间进行上网，本地进行
安全办公，不影响业务进展

研发设计

不影响业务进展的前提下
进行数据保护。

多分支门店接入

重构终端环境（防止本地桌面
病毒蔓延扩散）、替换VPN保
护业务系统、终端数据防护。

跨组织数据流通

对于流转出去的数据同样进行保护。

统一安全办公（统一办公入口，外网+内网） icon

远程办公

远程办公导致办公环境变得复杂，数据更容易泄密

终端环境更复杂：从内网的Windows台式机，变成员工个人终端（Windows、Mac）、移动智能终端（iOS、安卓）等
网络位置更复杂:从封闭的单位内网，变成家庭网络、公共WiFi、4/5G、酒店WiFi等
使用场景更复杂:从纯办公使用，变成办公业务和个人上网娱乐混用一台终端

远程办公场景下，传统安全方案难以应对

VPN方案不具备数据落地后的保护:现在远程办公一般都是VPN，用户访问系统后可以通过下载、截图等把数据存在本地，这样就很容易在终端上发生泄密了，比如终端中毒了、网络备份、员工有意外发等。
个人终端缺乏统一安全防护手段:个人终端往往无法强制安装公司统一的安全软件，且个人使用习惯各异，一旦终端干扰恶意程序就会影响终端上的企业数据、也可能以个人终端作为跳板入侵企业内网。
传统DLP方案不适用于远程办公场景:远程访问的设备大多数是员工个人终端，传统桌管/DLP方案重，偏管控，用户使用体验差;单纯使用桌管/DLP也不具备远程接入能力，还得额外配合VPN使（要不就只能暴露到互联网）不支持移动终端。
桌面云方案建设成本高且依赖网络:采用远程桌面跳板机或者VDI方案，虽然数据不落地，但建设成本高，后端得准备大量服务器，而且对网络的依赖性大，网质量不好就没法使用

场景业务价值

1、同时满足远程接入和终端数据防泄密需求

2、完整的数据防泄密能力，兼容性强

3、对个人终端无侵犯，适配BYOD，不降低体验

4、方案轻量、运维简单，建设成本低

VDI替换

场景分析

VDI桌面云影响办公
1、VDI桌面云利用后端资源进行计算，性能匹配不了办公需求。
2、VDI架构前端只进行图像呈现，依赖网络连接后端服务器进行计
算与存储，在网络比较差的时候使用体验比较差，无法进行离线
办公。
VDI桌面云方案重
VDI桌面云重复购买办公设备，利旧差，需要购买服务器资源，价
格比较高。

方案价值

1、性能体验:对终端资源消耗几乎为0，不影响终端性能，使用体
验与终端PC一致，满足各种办公场景需求。
2、轻量级部署:利旧终端办公设备，不涉及网络改造，建设成本
低。
3、可靠办公:直接在终端PC构建内核级半虚拟化工作空间，对网
络依赖程度低，支持离线办公。
4、方案灵活:对于不同机密程度部门以及有特殊使用需求部门可
以采用VDI+安全工作空间站方案，降低成本，匹配应用需求。

跨组织部门协作场景

客户案例：珠海某某公司 icon

场景描述

远程办公接入：正常业务开展需要开放远程办公，出差时候工作人员需要在不可信的终端上访问公司业务系统，使用公司数据。可能造成业务系统被攻击。同时对于核心人员，开放远程办公意味着数据不受控，会脱离安全边界。
高性能研发设计：为保护公司核心数据资产，之前上过加解密产品，同时部分成员在使用桌面云。终端性能下降严重，造成卡顿，有时甚至无法办公，无法满足正常业务需求。
海外办公：客户海外办事处目前只有少量几个人，对于这部分终端以及接入，需要花费大量成本进行管理与维护

一知安全解决方案

山河安全工作空间
采用零信任架构，提供SPA担保授权的认证方式，隐藏所有TCP端口，提供安全的远程接入；
采用内核级隔离安全工作空间，终端数据防泄密，同时防止黑客等通过劫持终端，将终端做为跳板攻击后端业务系统；
与本机一致的使用体验，不额外消耗终端性能，空间内办公与本地PC流畅度保持一致，不改变员工使用习惯。

使用效果

员工可以进行随时随地的敏捷办公、进行核心数据保护的同时进行高效办公、低成本完成海外成员终端管理。

客户案例：广某某某

场景描述

远程办公接入：4S门店电脑需要接入业务系统进行使用，终端环境更复杂，从可触及内网电脑，变成门店终端、甚至包括移动智能终端（iOS、安卓）等；网络位置更复杂，从封闭的公司内网，变成了门店开放网络;使用场景更复杂，从内网办公电脑专人使用，变成多人公用一台电脑，并且使用习惯非常不好，容易造成中毒或数据泄露。对于4S门店终端进行管理，需要进行全方位建设，可能包括防火墙、行为审计、VPN、桌管、数据防泄密等产品，并且需要投入专人进行运维。成本非常高，并且使用体验不好

一知安全解决方案

使用效果

后端业务系统进行隐藏、同一台电脑分离不同使用环境，方便溯源审计与追责、不可信终端本地环境病毒无法进入内网进行蔓延和扩散、业务系统下载的数据落地可新环境进行保护、低成本完成4S门店成员终端管理。

部分资质

产品推荐

中软国际智慧医院解决方案

中软国际以综合集成平台为核心，拉通医院安防、后勤、医疗业务，构建N种应用，实现统一化、可视化与数据化的管理与决策，全方位助力医院实现智慧管理。

免费试用

查看详情

融云多方音视频SDK

融云多方音视频SDK提供多人会议、千人会议、互动白板、屏幕共享、服务端录像能力,实现多方实时音视频通话,适用于在线教育、智慧医疗、远程服务、多方会议等场景。

免费试用

查看详情

i2Active结构化数据同步

在复杂环境下实现结构化数据容灾、主库任务分摊等

免费试用

查看详情

博云AI模型一体机

博云AI 模型一体机是针对 AI 模型训练面临的硬件选型复杂、系统搭建繁琐、应用发布和监控缺乏统一手段等难题而设计的。它集多种硬件、系统软件及应用模型于一体，为客户提供开箱即用的图形化操作界面，为模型推理、精调、智能体应用发布提供基础环境，为AI模型运行、AI智能体应用开发和运行、仿真和渲染应用GPU环境提供良好的基础保障，有效降低IT技术支撑难度。

免费试用

查看详情