半导体EDA行业研发安全管控产品方案

zshield

至安盾部署于研发服务器和办公区域PC端之间的位置，通过至安盾实现不同服务器组与办公区域之间的内网数据安全保护，至盾除了提供标准的服务同时提供标准的VDI安全桌面用于研发人员使用。

1）至安盾部署说明：

      A．安全环境硬隔离：至安盾把企业内部网络分成两个区域：终端区（如研发区、办公区）和保护区（如机房、数据中心）。敏感数据置于保护区之内。位于终端区的用户通过至安盾网关来访问位于保护区中的数据。

功能模块设计

l 用户管理

用户管理模块支持内建本地用户，也支持常见用户数据库导入（如LDAP、AD、NIS），支持通过关联角色来分配权限，支持多用户同时登录使用。角色可以自定义，分为：普通用户（访问数据），审批员（文件操作审批），审计员（行为日志审计）。一个员工对应一个用户身份，一个用户身份可以对应单一角色也可以身兼多个角色。

l 数据管控

在数据管控模块的监管下，数据文件可以在该系统安全区域内的工作桌面和本地终端桌面之间交互，或者在安全区域内不同工作桌面之间交互。文件交互过程需要进行审批，且都有日志记录、文件备份。用户的文件交互权限可以单独授权，也可以根据用户组进行授权。

l  安全云桌面远程接入

       至安盾系统基于先进的数据安全理念与领先的安全桌面技术，将VDI和微虚拟化技术与内嵌防火墙、安全策略、认证笛略数据管控宏全分析，安全审计等安全机制相结合，为用户提供了安全的、可控的、现了数据不落地的业务环境。

l 跨网 审批系统

针对文件交互过程设立审批系统，审批流程可以自定义，包括自动审批、人工审批（支持串审、并审、会审）以及自动和人工相结合的审批方式。自动审批可对特定要素自定义限制策略，包括：待交互数据格式，待交互数据大小，可进行数据交换的用户角色，数据交互时间，不同保护区间的数据交互等。

l 终端隔离

用户必须登录系统安全桌面并通过桌面才可以访问服务器上的数据。系统为每个登录用户建立基于微虚拟机的桌面。通过基于容器的微虚拟隔离管控，系统确保用户无法获取平台的物理信息如CPU、内存、物理网络端口地址和个数等；登录用户也无法感知其他用户的存在，无法获取其他用户的信息及文件。用户在终端上只能得到从后端工作服务器传输到安全桌面的影像；敏感数据不传输到用户终端，不会从终端泄露出去。

l 网络防护

该系统网络构建模块应能同时管理多个安全区，并严格隔离各个安全区。用户的ZS-ISP桌面对安全区的访问可以动态分配、动态管理。

l 网络资源管理及授权

该系统网络资源管理模块应能够针对其所保护的网络资源（包括：Linux/Unix服务器，Windows服务器，数据库服务器，数据库软件等）进行统一的管理及授权。配置管理员可以基于用户/用户组、设备/设备组、系统帐号、协议类型、登录规则来灵活设置访问控制规则，确保操作人员只能登陆到他有权限访问的目标资源。操作人员访问目标网络资源时，实现访问的特权账号的密码代填，保证特权账号的密码安全。

l 运维安全审计

该系统应对图形及字符会话，进行实时记录，内置审计管理员能够通过审计web页面，回放运维全过程。针对字符操作，确保精准记录各种常规命令操作，并实现操作命令回放；针对图形会话，除了做到标准的屏幕录像之外，还支持对图形会话过程中的键盘输入等内容的深度记录和同步显示。

l 数据分析和审计报表

该系统应能自动记录日志，包括系统操作日志、用户登录日志、数据管控日志、审批操作和流程日志等，然后可以通过“日志审计”工具查看和分析日志记录，查询状态、追溯事件。

l 报警系统

该系统应实时监控用户在安全桌面的操作。发现违规操作，如多次非法尝试连接等会立刻触发报警，系统随之采取阻断等相关措施。