如何保证设计图纸的安全性的的经典方案！

devonit2011

传统台式工作站使用现状

台式工作站所面临的挑战
1. 安全性较低
传统工作站部署在用户桌面，保持对单个桌面工作站中存储的数据和信息的控制，几乎是不 可能的。当数据驻留在本地时，知识产权或敏感信息丢失的问题始终是一个重大隐患，机密 数据或存储介质（如硬盘等）的丢失可能会使企业蒙受巨大损失，并且面临诉讼的危险。虽 然可以依靠数据加密等方式做到一定程度的数据保护，但在打开大容量装配图纸及修改保存 时其解密 / 加密的时间令人难以忍受，极大的影响工作效率。
2.桌面运营成本过高
桌面的总体拥有成本中有 70% 以上耗费在与管理桌面设备有关的运营活动中：管理最终用户 、维护和维修硬件、部署和升级桌面设备、以及安装各种软件。由于企业中传统工作站部署 极为分散， IT 部门不得不耗费大量精力来跟踪这些设备，不断对它们进行修补和更新。
3.易用性较差
用户通常必须固定使用某一设备才能访问他们的桌面。因此，用户往往必须坐在同一台工作 站前访问工作所需的应用程序和数据。这会使企业的变化情况（例如移动、添加和更改）更 趋复杂，并会对用户的灵活性造成限制。
4.工作环境难以保证
当办公室内多台工作站一起工作时，其发出的噪声、热量及辐射量惊人，员工工作环境不够 理想。

HC12 远程图形工作站

可支持的处理器： 2 颗 Intel Xeon Quad Core CPU
可支持的内存： 12 个内存插槽 / 最大 48GB 内存
可支持的存储器： 8 个 SATA 硬盘托架
可支持的图形卡： nVidia Quadro FX 570 256MB nVidia Quadro FX 1700 512MB nVidia Quadro FX 4600 768MB

HC12 远程图形工作站是什么
1.Devon IT 的HC12 远程工作站是一种高性能远程机架式工作站，它提供了卓越的图形 / 图像处理能力，内置图像压缩卡，向桌面的 CP20/TC10 终端设备传输屏幕画面，是 适用于 CAD/CAM 设计， 3D 动画编辑、视频监控、医学影像等多种应用的理想之选。
2.HC12 远程工作站可统一部署于信息中心机房内，设计人员通过瘦客户终端 CP20/TC10 ，连接到信息中心机房中的 HC12 远程工作站上进行日常设计工作，而屏幕刷新、运行速度等性能体验和传统的台式工作站完全一样。 HC12 远程图形工作站克服了传统台式工作站的缺点，集中部署、集中存储、绿色环保，为工作人员提供了简洁安静的工作环境。
3.图纸等高敏感度或高机密等级的数据集中存储于数据中心而不是客户端桌面系统设备中，为用户保护自己的商业机密和知识产权提供了强有力的技术手段。
HC12 远程图形工作站如何工作
Devon IT 的HC12远程工作站中通过内置的图形压缩卡，将远程工作站的显卡显示信息加密传输至使用者桌面的CP20/TC10终端上，同时返回用户端 CP20 / TC10 的键盘鼠标操作信息，而 关键设计资料、图纸等业务数据则保留在信息中心，以满足数据保护的需求。同时， CP20/TC10 终端可对桌面 USB 设备种类和权限进行控制，可禁止除了键盘、鼠标、手写板之外 的任何 USB 存储设备的接入，获得更大的数据安全性。

各行业客戶对解決方案的需求

方案建议
CATIAPRO/E 等高要求三维设计，使用HC12 B/C 远程工作站
保证高端图形工作站所要求的卓越性能；
保证数据在后台 , 保护数据的安全；
CAD等普通图形设计，使用 HC12“双子星”远程工作站
保证数据在后台 , 保护数据的安全；
每台 HC12 “ 双子星 ” 远程工作站可提供两个独立的远程会话；

HC12 远程工作站方案体系结构 及其 软 硬 组 件

图形传输与加密

硬件适配器：不需要设备驱动和特殊软件 IGTA 被视为操作系统的监视器 ( 支持 DDC) IGTA 也被视为通过 PCI 连接的 USB 集线器 不需要软件和驱动
图象输出直接传送给 IGTA
IGTA 硬件压缩图像并通过网络传输图像。
为了减少网络和带宽的消耗， IGTA 只发送与前一帧不同的部分。
如果网络比较繁忙则进一步压缩图像。
USB 接口信号的透明传送给HC12
加密的 USB 接口信号在 CP20 和 HC12 之间透明传输。
所有传输的数据自动的加密
控制和 USB 信号128 位 SSL
视频128 位 IPSec AES
IGTA 协议：作为 VESA 标准的一种规范



主板：Intel 5600芯片组             CPU：1-2颗Intel Xeon Quad Core CPU
内存：12个内存插槽 / 最大96GB内存  GPU：nVidia高性能专业显卡
高性价比
单个2U机箱，双节点设计  每个节点独立工作  独立的电源、主板
Intel Core 2 CPU        Intel Q35芯片组   4GB Memory
1×SATA HD             独立专业显卡（nVidia 2000 / 4000）  IGTA压缩卡


HC12远程工作站的安全特性
HC12远程工作站集中部署在受到严密保护的数据中心，使用者无法直接接触。
使用者通过一个受控的桌面设备（TC-10终端）使用后台的HC12工作站
设计图纸等业务数据始终保存在数据中心，无法被保存至用户的桌面设备。
数据中心网络与桌面上连接TC10终端的专用网络彼此隔离，使用者无法通过笔记本电脑等移动设备访问到HC12或数据中心网络上的任何保密数据。
管理员可通过策略定义TC10终端上USB端口的权限，如:只允许接入USB键盘、鼠标、手写板等输入设备；禁止U盘、移动硬盘、手机等输出设备。
TC10终端没有高级操作系统，不会被病毒/木马攻击。
TC10终端没有存储设备，也没有任何可拆卸部件，即使丢失或损毁也不会造成数据泄漏或丢失的风险。
HC12的网络隔离是如何实现的
HC12远程图形工作站上的网卡类型分为主机网卡（eth0/1）与压缩卡网卡（IGTA卡）。
其中，主机网卡连接数据中心网络的核心工作网络，在工作站需要联网工作时使用。保密图纸等业务数据通过主机网卡传输至工作网络上的存储设备、应用系统等服务器上。
压缩卡网卡则连接至单独的交换机，与员工桌面的TC-10终端相连接，构成专用的图像传输网络。HC12工作站显示卡的图像变化、音频信号等信息与TC10终端的键盘、鼠标等输入信息通过该网卡进行交换。
两个网络在物理上是相互隔离的，而用户在HC12工作站系统内无法访问到压缩卡使用的图像传输专用网络；在专用网络中接入其他的PC、便携式电脑，也同样无法访问HC12工作站和HC12工作站主机网卡所在的核心工作网络。
这种网络隔离的技术将从根本上解决困扰企业的安全问题。

Devon HC12远程工作站的特点
安全保障
数据安全
HC12远程工作站将业务关键数据集中存储在受到严密保护的数据中心，用户桌面设备不再存储任何数据，以满足数据保护的需求。
网络隔离
HC12远程工作站将用户桌面与信息中心的核心工作网络物理隔离，保护后台服务器以及网络的安全。
USB设备权限控制
用户桌面的TC10终端没有任何存储设备，可根据管理策略来管控USB设备的访问。
集中管控
设备集中部署
HC12远程工作站主机集中部署在数据中心，便于相关人员进行维护，减少服务响应，节约维护成本。
数据集中存储
保密图纸等业务数据保存在集中部署在数据中心的HC12远程工作站上，或通过HC12主机网卡传输至工作网络上的存储设备、应用系统等服务器，未经授权的用户无法将其保存至桌面设备。

“延迟”决定HC12/TC10方案是主机-终端模式的最佳选择
这里所说的延迟为网络延迟+系统响应延迟，我们建议系统的最大延迟应限制在40msec以内。统计结果显示，当延迟达到60msec，系统仍然是可用的，但将会严重影响工作效率，特别是使用关键应用的专业用户（如CAD图形设计师）；当延迟超过100msec，用户就会感到“反感”，正常操作无法进行。
在符合要求的网络情况下，采用IGTA图像压缩卡的HC12远程工作站不会让用户感受到任何的延迟，性能体验与使用桌面式工作站完全相同。
而在相同的网络条件下，由于虚拟化技术为代表的方案传输图像依靠RDP等协议完成，当屏幕图像变化剧烈时（如进行三维模型旋转等），传输效率极为低下，加之硬件配置上的巨大差异，虚拟化方案的延迟将超过80msec，由此带来的影响是鼠标、键盘等输入设备反应异常迟钝，光标不能按照用户理想的状态选取对象；同时在模型进行旋转等操作时，用户无法准确控制模型状态，以至于无法进行正常工作。




该贴已经同步到 devonit2011的微博

devonit2011

太不给力了，为什么不给顶下呀

ΙΧΘΥΣ

楼主想表达什么?

devonit2011

ΙΧΘΥΣ 发表于 2011-10-5 13:51
楼主想表达什么?

一个创新的安全方案！

yangpan19890326

vbird661

看起来不错，不知道真的有传说中的那么好吗？

vbird661

我有一个朋友公司现在在用着呢，听说好像不错，谢谢分享