前言：

最近因客户项目的原因接触到了几个国内厂商的基于沙盒（sandbox）技术的防泄密安全桌面（VSP）产品，看到客户经常混淆防泄密安全桌面和虚拟桌面之间的关系，因本人也对于信息防泄密、虚拟桌面等技术做过一些研究，现将业界比较常用的虚拟桌面产品（Citrix Xendesktop）和深信服防泄密安全桌面（VSP）做了技术对比，与大家共勉。

几点需要声明的是：

首先，需要说明虽然虚拟桌面产品的功能可以帮助用户解决一些安全问题，例如信息防泄密等，但是虚拟桌面产品的厂商（不管是Citrix还是VMware、微软）都不将虚拟桌面称为一个安全产品，所以本次对比并不仅限于对比两个产品能够实现的安全功能，而是从应用和数据交付架构、访问方式、数据保护方式等用户实际使用及管理的角度进行了对比。

其次，需要说明本对比仅代表本人的观点，不代表公司的观点。

第一部分：产品简介

VSP（Virtualization SecurityPlatform）

是深信服最具前瞻性的虚拟化安全平台。该平台以完美契合客户业务流程为设计出发点，借助虚拟化技术在用户的默认桌面生成一个虚拟桌面，通过此桌面访问业务系统，构建一套与风险完全隔离的、最具效率和性价比的核心业务网络，避免业务流程中核心业务数据泄漏的风险，最大化保障组织信息安全。

VSP通过单一设备的强认证、主从绑定、权限划分等功能来实现整个业务流程中各个环节的用户访问控制，再借助安全桌面来实现核心业务系统和本机计算机、外设、以及其他网络之间的完全隔离，不影响用户办公操作，具有更高的性价比和业务可行性。

对于安全性要求较高的政府、金融等行业客户，深信服VSP结合上网安全桌面SD推出了安全桌面统一终端虚拟化方案，针对不用的业务系统，可以采用不同的安全功能的安全桌面进行访问。

Citrix Xendesktop

Citrix XenDesktop可将Windows桌面转变为一种任何用户、任何设备、任何地点都可以使用的按需服务。XenDesktop可以快速、安全地向所有PC、Mac、平板电脑、智能电话、笔记本电脑和瘦客户端交付任何类型的虚拟桌面或Windows、Web和SaaS应用 — 而且都能够为用户带来高清的体验。

Citrix FlexCast交付技术可以帮助IT员工跨越VDI，向任何类型的用户提供虚拟桌面，包括任务型员工、移动员工、知识型员工和合同型员工。

XenDesktop可以通过简化桌面交付并支持用户自助服务，帮助IT员工快速适应各种业务计划，如外包、运营管理和分支机构扩展等。其开放、可扩展和经过验证的架构可以大幅简化虚拟桌面的管理、支持和系统集成工作，优化性能，提高安全性，降低成本。

第二部分：对比分析

1、应用和数据交付架构

从交付架构角度，可以看出两个产品所代表的本地计算和集中计算架构决定了交付架构上的差异。

• VSP允许数据下载到本地，之后通过沙盒技术进行防护；相反，Citrix Xendesktop将所有数据都集中到数据中心，而将数据的图像传送到了本地，既实现了“数据不落地”。

• 同时从数据产生的“源泉”-应用的角度，Citrix的集中应用交付架构可以实现应用部署、维护、更新都在数据中心集中进行，大大减少管理开销。而VSP还是依照传统的方式，需要将应用安装到每个用户设备中。

VSP基于本地计算的交付架构：

Citrix基于云计算的应用和数据交付架构

2、访问方式

在目前智能终端飞速发展的年代，用户对于应用和数据的访问方式的灵活性要求越来越高，所以访问方式也做为一个重要的考虑因素。

• 目前，VSP仅支持windows系统的设备，同时因为应用和数据需要存在本地计算机，用户和设备之间不可避免的是一个“紧耦合”的关系，既A用户不能用B用户的设备访问自己的数据。

• Citrix本身倡导的是一个“在任何地点、任何时间，通过任何设备都可以访问到自己的应用和数据”的理念，通过应用和数据在云端的集中和支持各种智能设备和系统的客户端实现了用户和设备之间的“松耦合”关系。

• 对于离线办公的需求，VSP可以通过提供离线登陆U-Key来实现离线访问，其中保存有防泄密安全桌面环境、用户ID、用户的密钥、U-Key使用总时长以及授权策略等信息。

Citrix可以通过本地虚拟机（XenClient）的方式实现，不需要任何U-Key，具体实现如图：

Citrix XenClient实现安全的离线工作环境

3、数据保护

在数据加密、外设控制方面两家产品都能够满足需求。

• 通常VSP产品在数据防泄密的功能中，较为独特的是其“数字水印”功能，通过该功能，确实可对尝试泄密者一个警示作用，在泄密后可以作为事后追查的手段，但前提是被泄密者通过一些渠道得到了印有数字水印的信息。

但，我们通常了解的数字水印过程是向被保护的数字对象（如静止图像、视频、音频等）嵌入某些能证明版权归属或跟踪侵权行为的信息，可以是作者的序列号、公司标志、有意义的文本等等。可以看到数字水印实际上实现的版权保护功能和VSP“数字水印”宣称的敏感信息防泄露的概念有一些重叠，但不完全一样，版权保护主要是防止该对象在非授权的情况下大量的用于再出版、再发行、再播放；而敏感信息防泄露关心的是信息本身被非授权的其他人拿到，通过该信息得到非法利益，但其获利途径并非是通过大量的传播。

举一个例子，如某公司的商业机密如并购信息、股权调整信息等敏管信息被泄露时，拿到该商业机密的其他公司或个人并不需要通过出版一本说明该机密内容的书籍来进行获利，得到该商业机密本身，并为自身的下一步商业行为进行指导，既可直接获利。当然，此时“数字水印”功能真的仅仅只剩下了对泄露者的警示作用了。

• 我们再看一下数据外传需求，可以看到对于传统数据防泄露（DLP）产品的最基本的数据传输时的内容扫描功能，两个产品都不支持。所以对于有内容扫描需求的用户，还需要再增加传统的DLP产品。

• 在外传文件的审计方面，VSP可以文件明文导出至物理桌面，通过解密的明文文档在用户之间流转，如果客户有审计的需求，可通过VSP设备自带的外置数据中心，客户端导出文件成功后将发送×××用户名、导出文件名及导出文件MD5值这些信息到数据中心做审计。

• 在应用操作审计方面，Citrix可以通过视频录像功能将用户对虚拟应用的操作进行录屏，以供后续审计。

• 在外传文件的审批方面，两个产品都需要进行定制开发才能够实现。

• 在内部文件交换（明文和密文交换）方面，两个产品都仅支持明文交换，这个会产生的安全漏洞是，当一个文件从用户A明文导出，拷贝给用户B，再通过用户B泄露时，即便是拥有导出审计的VSP，也只能查到用户A，而查不到真正泄露的用户B。如果用户既有内部文件交换的需求，又不允许该文件传到外部人员，则必须增加数据加密产品（DRM）。

• 最后，对于整个数据防泄密范围中工作量最大的PC本地已存储的敏感数据防泄密方面，VSP完全不支持，必须配合具备端点内容扫描功能的DLP产品；Citrix的做法是通过将本地数据上传到数据中心的存储中，再配合存储级的DLP产品实现，相对来讲数据保护的边界远远小于VSP的端点保护方式。

第三部分：总结

根据以上对比分析，我们可以得到以下结论：

1、在应用和数据交付架构方面，Citrix代表基于云计算的新一代交付架构，可实现真正的“数据不落地”、管理更加高效，使用更加灵活。

2、在应用和数据访问方式上，Citrix能够实现“在任何地点、任何时间，通过任何设备都可以访问到自己的应用和数据”的理念，实现了更加方便的用户访问途径。

3、在数据保护方面，在加密、审计方面，VSP和Citrix各有优势，基本满足用户需求。在外传扫描、文件交换、本地文件扫描等方面两个产品都需要其他DLP或DRM产品的配合才能达到用户需求。

根据以上结论，建议用户在进行信息防泄露产品选型时，应先对企业应用交付架构、用户访问方式进行整体规划，并充分考虑各家产品和企业现有数据保护产品之间的集成方法，再得出最后的结论。

附录：

参考文档出处：

http://www.sangfor.com.cn/edm/vsp/

http://www.citrix.com