更新時間:2022年1月7日
1. 概述
安全網盤又稱為網絡U盤��、網絡硬盤�,是基于網絡的在線存儲服務���,常用于互聯網用戶存儲日常生活使用文件(視頻��、照片���、文件等)���。隨著企業��、事業����、政府機關單位在日常辦公中���,文件傳遞存儲經常出現丟失被盜取現象����,因此需要實現將辦公文件集中在線存儲���,方便內部共享和查閱���。建立用戶之間文件共享通道���,降低文件外發泄露幾率���,促進企事業單位辦公效率�����;在線協作辦公發展與安全網盤的結合����,預示著在不久的未來�,將會有更廣闊的應用前景���。
1.1. 范圍
1.2. 背景
北信源安全網盤管理系統是網絡時代的企事業單位優選辦公應用軟件�,是專注辦公使用的內外部文件集中存儲傳輸工具����,旨在幫助企事業單位安全高效的實現網絡化管理文件��,提高工作的質量和效率�����。
相對互聯網網盤工具而言����,私有化企業級網盤更加強調安全性�����、實用性��、穩定性�,協同性����?�?筛玫墓芸厥褂萌?、使用空間���、使用權限���,文件存儲設備���,不易將文件泄露����。
1.3. 產品定位
安全網盤是網絡時代的企事業單位優選辦公應用軟件��,支持私有云服務及獨立部署�����,主要提供基于公共空間�����、個人空間���、回收站�、權限細粒度管控的服務���。致力于打造網絡文件在線存儲辦公�����,組織及有權限用戶可共同協作管理文檔文件�����,提升工作效率和效能����。
并且采用一文一密的加密方式����,來保障文件在線存儲的安全和私密性��。
1.4. 產品簡介
安全網盤是北信源打造的 “新一代互聯網及內部網絡安全文檔文件在線存儲應用軟件”����。旨在用于文檔的全生命周期管理���,通過結合客戶端對文檔的整理�、利用��、處置等過程進行管控�,達到規范管理�、長期保存����、安全保密���、高效利用的目標�����。同時建立全生命周期審計日志系統�,對文件的安全流轉進行全程監控����。通過對技術和管理手段的有效配合�����,使用行為進行真實��、全面�、完整的記錄��,并成為有效的電子證據�,從而實現文檔文件安全防護使用�。
主要功能為文件存儲���、備份�、傳輸����、共享����、上傳����、下載�、權限管控����。既是安全網盤�����,更是為信息化辦公提供基線性���、基礎性的電子文件安全管理一體化服務設施����。
我們提供統一集中網絡文件存儲����、團隊辦公高效協作�、組織成員權限管控�����、三權多角色安全管理的服務���,為單位用戶的文件安全保駕護航����。因此��,“安全網盤”完全不同于互聯網網盤�����,不僅僅是高安全的文件集中存儲�����、交換�����、共享的應用系統���,更主要是解決文件安全保密問題的重要安全基礎設施����。
綜上所述���,“安全網盤”不僅滿足了用戶多場景多需求的方案���,與此同時為網絡辦公提供了高效便捷服務����,以及信息化建設網絡安全保障�。
2. 產品架構
2.1. 設計理念
產品的定位要求服務器可以在獨立的硬件服務上進行部署和運行����,以滿足用戶私有化使用的需求��。產品的主要核心理念為數據和文件的安全性�。主要體現在數據的傳輸加密�,文件存儲加密和細粒度的權限管控等���。
2.2. 技術架構
系統服務采用多層設計模式�����,分為接入層�����,業務層和存儲層�����。
接入層����,負責接入用戶的請求連接��,保持心跳����;
業務層���,負責實現安全網盤業務邏輯功能�����;
數據層���,負責數據的查詢和持久化���。
網關接入層�����,提供接口路由���、接口聚合����、協議轉換���、身份認證�����、負載均衡等工作��。
業務邏輯層�,提供解釋安全網盤系統的各個業務邏輯�,包括登陸����、鑒權�、文件上傳/下載����、復制�、在線編輯/預覽等服務�����。
數據存儲層����,提供業務數據存儲能力����。根據系統的需要�,這部分通常會保護數據庫�、文件存儲服務���、緩存服務�����、索引服務等���。
運維監控層�����,提供對系統的運維監控能力���。確保服務運行正常����。
3. 產品功能
3.1. 功能列表
安全網盤管理系統具備完整的權限配置和完善的管理能力���,如權限細粒度����、公共空間���、個人空間等功能����,與此同時還為用戶提供了許多特色的功能���。
l 安全存儲:文件加密并網絡集中存儲于公司獨立定制服務器�,安全私密�����;
l 安全防護:所有電子文件進行單獨加密�����,“一文一密”保護源文件�,且支持備份還原�����;
l 安全授權:靈活賦權和設置授權時間����,權限精細化劃分�����,保證數據安全�;
l 安全協同:公共空間���,針對組織團體���、單位��、企業等多場景辦公協同�����,高效辦公�����;
l 安全下載:采用明密文方式保護文件�,密文下載成功后需輸入密鑰方可訪問文件���;
l 安全監管:管理系統通過系統管理員�����、安全保密員�����、安全審計員三角色三權分權制衡權限����,監管和守護安全網盤�;
3.2. 功能界面詳解
3.2.1. 最近
最近所有操作記錄列表����,包括傳輸完成�����、上傳成功���、下載成功的文件記錄�,也可一鍵點擊清空和刷新文件列表�����;
3.2.2. 公共空間&文件夾權限
公共空間用于存放組織/企業/機關等公共文件存儲和使用�����,并且方便用戶進行協同����;用戶可在公共空間對文件以及文件夾進行組織/單位成員授予權限���,后臺可根據具體權限(預覽��、創建���、上傳�、下載�����、刪除�����、復制�、移動����、重命名�����、轉讓�、權限管理�、只讀)進行組合權限模板�����,管理員可對成員進行授權時間操作以及更改權限配置操作�����。
3.2.3. 個人空間
個人空間為所有個人新建和已上傳文件以及文件夾的列表�����,可對文件和文件夾進行操作(移動����、復制�����、刪除�、重命名����、屬性)�;同時可上傳文件和及新建文件夾�。
3.2.4. 回收站
已刪除文件和文件夾會暫存在回收站�����,點擊清空回收站或點擊刪除�,文件會被徹底刪除�;并且可恢復已刪除個人空間數據以及公共空間數據�;
3.2.5. 傳輸列表
傳輸列表可查看全部文件操作記錄�,包括正在上傳���、正在下載和已完成文件�����;同時�,一下載文件點擊可支持本地打開����;
3.3. 管理中心功能列表
安全網盤后臺管理系統通過使用三權管理員功能�,初始預置三個管理員:系統管理員(sysadm)����、安全保密管理員(secadm)���、安全審計管理員(auditadm)�;系統管理員負責管理系統的基本配置和組織機構����、人員的管理��;安全保密員負責安全類的設置�;安全審計員負責查看審計日志�;三個管理員互相監督���、互相制約���,共同管理安全網盤后臺管理系統�。
3.3.1. 系統管理員
包括對部門用戶進行管理����、以及系統設置和系統維護功能�;
3.3.1.1. 部門管理
部門用戶管理具體包括對部門����、系統用戶(二級管理員)以及普通用戶的新增���、刪除�����、修改�、查詢以及重置密碼等����;
3.3.1.2. 系統管理
對系統的設置包括基礎設置(設置ip白名單以及文件服務器監控ip地址)�;
3.3.1.3. 系統設置
系統維護包括數據庫備份�、定時任務����、定時任務日志以及運行日志�����;
3.3.2. 安全保密管理員
包括對部門用戶進行管理����、系統設置���、空間管理以及審計日志功能���;
3.3.2.1. 部門用戶管理
對部門用戶管理包括系統管理員成功創建二級系統用戶和普通用戶后進行啟用激活���,以及對于群組空間管理包括對群組的增刪改查以及群組存儲空間更改�����;
3.3.2.2. 系統設置
系統設置包括安全策略以及權限模板管理�,權限模板為根據具體權限(預覽���、創建�、上傳��、下載���、刪除����、復制�、移動��、重命名���、轉讓�����、權限管理�、只讀)進行組合權限模板�,并且對已創建模板進行管理�;
3.3.2.3. 空間管理
空間管理包括對總空間�����、公共空間�����、個人空間以及回收站空間的修改�����;
3.3.2.4. 審計日志
審計日志則包括三種管理員和普通用戶的操作進行審計���、查詢和導出功能����;
3.3.3. 安全審計管理員
包括對安全保密管理員設置訪問web頁面的ip白名單以及審計日志功能����;
3.3.3.1. 系統設置
對安全保密管理員設置訪問web頁面的ip白名單
3.3.3.2. 系統設置
審計日志包括三種系統管理員的操作(系統管理員����、安全保密管理員���、安全審計管理員)記錄���、高級查詢以及表格導出功能����;
4. 安全機制
為了保護通信鏈路和數據安全�,系統建立一套完善的鑒權和密鑰管理系統�。
系統密鑰
4.1. 服務端
(1) 根據業務需要配置系統防火墻�����,有效防止惡意的掃描和攻擊�����。
(2) 客戶端上傳的文件�,加密保存��。
(3) 數據庫帳號�、密碼加密存儲�����。
4.2. 客戶端
(1) 客戶端核心數據庫加密存儲��。
(2) 權限細粒度管控�����。
(3) 在線編輯預覽文件本地不留痕����。
4.3. 傳輸通道
客戶端和服務器采用HTTPS進行數據傳遞���,防止數據被竊取���。
4.4. 加密算法
文件加密算法支持AES對稱加密的ECB模式+pkcs7��。
服務器端關鍵數據支持MD5或AES/ECB+pkcs7算法加密�。
5. 運行環境
5.1. 硬件環境
內存:不低于16G���。
CPU:8核及以上�,架構包含x86�����、arm����、mips����、sw_64等���。
磁盤陣列: RAID 10�����、RAID5�����、RAID6等避免使用單塊盤或兩塊盤做Raid 0��。
根分區(/): >=100G�����,建議使用LVM管理,便于空間管理�。
數據分區(/data): >=500G�����,建議使用裸盤(優先選擇SSD)����。
網絡交換機:建議使用千兆��。
5.2. 軟件環境
操作系統:
標準版為:centos7.6��、centos7.7����、centos7.8�、centos7.9等�����。
國產版為:中科方德���、銀河麒麟��、中標麒麟等�����。
操作系統需確保是干凈的系統�����、防止沖突�。
服務器組件:
包含:JDK �����、Redis ��、Tomcat�����、Python����、Zookeeper���、Nginx���、Bubbo��。
數據庫:
可兼容:mysql�����、達夢�、金倉����、Mariadb等�����。
中間件:
可兼容:東方通�����、金蝶等�����。
5.3. 網絡環境
支持多種網絡環境及場景�����,包括但不限于互聯網�����、企業內網�����、涉密專網�����、政務網等�����。
6. 部署方式
安全網盤系統服務端可靈活部署在私有服務器或云服務器中�����,支持小到幾十�,大到上億用戶的不同規模�����。支持集團跨地域多級部署���,不同行業互通互聯�?����?梢詫崿F真正意義上的數據物理隔離�。安全網盤支持多種部署方式�,根據終端數量及客戶實際應用需求的不同���,可以選擇相應的部署方案��,以更好為用戶提供服務���。
6.1. 單機方式
所有服務部署在一臺服務器上����。
適用群體:測試�����、演示(1000人以下)��。
6.2. 集群方式
服務分散部署在多臺服務器上��、每一個服務有多份��,進行冗余備份及負載均衡�����。
針對用戶數量有不同的部署方案���。
適用群體:個人團隊����、企事業單位
6.3. 資源要求
端口要求
安全網盤服務器推薦配置資源清單
(風險提示:網盤服務器切勿與其他應用服務器使用同一臺服務器)
6.3.1. 測試環境部署方案(不具備災難恢復)
6.3.2. 正常使用部署方案
6.4. 軟件部署以及配置信息
6.4.1. 非集群部署示意圖
6.4.2. 集群部署示意圖
