更新時間:2022年1月7日
1. 概述
安全網(wǎng)盤又稱為網(wǎng)絡(luò)U盤�、網(wǎng)絡(luò)硬盤,是基于網(wǎng)絡(luò)的在線存儲服務(wù)���,常用于互聯(lián)網(wǎng)用戶存儲日常生活使用文件(視頻����、照片、文件等)��。隨著企業(yè)����、事業(yè)、政府機(jī)關(guān)單位在日常辦公中��,文件傳遞存儲經(jīng)常出現(xiàn)丟失被盜取現(xiàn)象��,因此需要實現(xiàn)將辦公文件集中在線存儲���,方便內(nèi)部共享和查閱����。建立用戶之間文件共享通道����,降低文件外發(fā)泄露幾率,促進(jìn)企事業(yè)單位辦公效率�;在線協(xié)作辦公發(fā)展與安全網(wǎng)盤的結(jié)合,預(yù)示著在不久的未來����,將會有更廣闊的應(yīng)用前景�。
1.1. 范圍
1.2. 背景
北信源安全網(wǎng)盤管理系統(tǒng)是網(wǎng)絡(luò)時代的企事業(yè)單位優(yōu)選辦公應(yīng)用軟件��,是專注辦公使用的內(nèi)外部文件集中存儲傳輸工具,旨在幫助企事業(yè)單位安全高效的實現(xiàn)網(wǎng)絡(luò)化管理文件��,提高工作的質(zhì)量和效率����。
相對互聯(lián)網(wǎng)網(wǎng)盤工具而言�,私有化企業(yè)級網(wǎng)盤更加強(qiáng)調(diào)安全性、實用性��、穩(wěn)定性�,協(xié)同性??筛玫墓芸厥褂萌恕⑹褂每臻g�����、使用權(quán)限�,文件存儲設(shè)備,不易將文件泄露�。
1.3. 產(chǎn)品定位
安全網(wǎng)盤是網(wǎng)絡(luò)時代的企事業(yè)單位優(yōu)選辦公應(yīng)用軟件,支持私有云服務(wù)及獨立部署���,主要提供基于公共空間�、個人空間、回收站�、權(quán)限細(xì)粒度管控的服務(wù)。致力于打造網(wǎng)絡(luò)文件在線存儲辦公��,組織及有權(quán)限用戶可共同協(xié)作管理文檔文件���,提升工作效率和效能���。
并且采用一文一密的加密方式,來保障文件在線存儲的安全和私密性�����。
1.4. 產(chǎn)品簡介
安全網(wǎng)盤是北信源打造的 “新一代互聯(lián)網(wǎng)及內(nèi)部網(wǎng)絡(luò)安全文檔文件在線存儲應(yīng)用軟件”����。旨在用于文檔的全生命周期管理,通過結(jié)合客戶端對文檔的整理�、利用、處置等過程進(jìn)行管控����,達(dá)到規(guī)范管理�����、長期保存��、安全保密�����、高效利用的目標(biāo)。同時建立全生命周期審計日志系統(tǒng)���,對文件的安全流轉(zhuǎn)進(jìn)行全程監(jiān)控����。通過對技術(shù)和管理手段的有效配合����,使用行為進(jìn)行真實、全面�����、完整的記錄�,并成為有效的電子證據(jù)����,從而實現(xiàn)文檔文件安全防護(hù)使用���。
主要功能為文件存儲��、備份�、傳輸���、共享�����、上傳�、下載��、權(quán)限管控�。既是安全網(wǎng)盤,更是為信息化辦公提供基線性��、基礎(chǔ)性的電子文件安全管理一體化服務(wù)設(shè)施����。
我們提供統(tǒng)一集中網(wǎng)絡(luò)文件存儲��、團(tuán)隊辦公高效協(xié)作���、組織成員權(quán)限管控、三權(quán)多角色安全管理的服務(wù)��,為單位用戶的文件安全保駕護(hù)航���。因此��,“安全網(wǎng)盤”完全不同于互聯(lián)網(wǎng)網(wǎng)盤����,不僅僅是高安全的文件集中存儲���、交換、共享的應(yīng)用系統(tǒng)���,更主要是解決文件安全保密問題的重要安全基礎(chǔ)設(shè)施����。
綜上所述����,“安全網(wǎng)盤”不僅滿足了用戶多場景多需求的方案��,與此同時為網(wǎng)絡(luò)辦公提供了高效便捷服務(wù)�,以及信息化建設(shè)網(wǎng)絡(luò)安全保障��。
2. 產(chǎn)品架構(gòu)
2.1. 設(shè)計理念
產(chǎn)品的定位要求服務(wù)器可以在獨立的硬件服務(wù)上進(jìn)行部署和運行�����,以滿足用戶私有化使用的需求����。產(chǎn)品的主要核心理念為數(shù)據(jù)和文件的安全性。主要體現(xiàn)在數(shù)據(jù)的傳輸加密��,文件存儲加密和細(xì)粒度的權(quán)限管控等�。
2.2. 技術(shù)架構(gòu)
系統(tǒng)服務(wù)采用多層設(shè)計模式,分為接入層���,業(yè)務(wù)層和存儲層�����。
接入層�,負(fù)責(zé)接入用戶的請求連接,保持心跳�����;
業(yè)務(wù)層��,負(fù)責(zé)實現(xiàn)安全網(wǎng)盤業(yè)務(wù)邏輯功能�;
數(shù)據(jù)層,負(fù)責(zé)數(shù)據(jù)的查詢和持久化��。
網(wǎng)關(guān)接入層�����,提供接口路由���、接口聚合、協(xié)議轉(zhuǎn)換�、身份認(rèn)證、負(fù)載均衡等工作��。
業(yè)務(wù)邏輯層��,提供解釋安全網(wǎng)盤系統(tǒng)的各個業(yè)務(wù)邏輯,包括登陸�����、鑒權(quán)�����、文件上傳/下載��、復(fù)制�����、在線編輯/預(yù)覽等服務(wù)�����。
數(shù)據(jù)存儲層�����,提供業(yè)務(wù)數(shù)據(jù)存儲能力�����。根據(jù)系統(tǒng)的需要,這部分通常會保護(hù)數(shù)據(jù)庫�、文件存儲服務(wù)、緩存服務(wù)��、索引服務(wù)等�。
運維監(jiān)控層,提供對系統(tǒng)的運維監(jiān)控能力�����。確保服務(wù)運行正常���。
3. 產(chǎn)品功能
3.1. 功能列表
安全網(wǎng)盤管理系統(tǒng)具備完整的權(quán)限配置和完善的管理能力�,如權(quán)限細(xì)粒度�����、公共空間�、個人空間等功能,與此同時還為用戶提供了許多特色的功能����。
l 安全存儲:文件加密并網(wǎng)絡(luò)集中存儲于公司獨立定制服務(wù)器��,安全私密;
l 安全防護(hù):所有電子文件進(jìn)行單獨加密�����,“一文一密”保護(hù)源文件����,且支持備份還原;
l 安全授權(quán):靈活賦權(quán)和設(shè)置授權(quán)時間����,權(quán)限精細(xì)化劃分,保證數(shù)據(jù)安全���;
l 安全協(xié)同:公共空間����,針對組織團(tuán)體�、單位、企業(yè)等多場景辦公協(xié)同�,高效辦公;
l 安全下載:采用明密文方式保護(hù)文件��,密文下載成功后需輸入密鑰方可訪問文件��;
l 安全監(jiān)管:管理系統(tǒng)通過系統(tǒng)管理員、安全保密員�����、安全審計員三角色三權(quán)分權(quán)制衡權(quán)限�,監(jiān)管和守護(hù)安全網(wǎng)盤;
3.2. 功能界面詳解
3.2.1. 最近
最近所有操作記錄列表����,包括傳輸完成、上傳成功�、下載成功的文件記錄,也可一鍵點擊清空和刷新文件列表��;
3.2.2. 公共空間&文件夾權(quán)限
公共空間用于存放組織/企業(yè)/機(jī)關(guān)等公共文件存儲和使用�����,并且方便用戶進(jìn)行協(xié)同���;用戶可在公共空間對文件以及文件夾進(jìn)行組織/單位成員授予權(quán)限����,后臺可根據(jù)具體權(quán)限(預(yù)覽�、創(chuàng)建�、上傳�����、下載��、刪除����、復(fù)制����、移動、重命名�、轉(zhuǎn)讓、權(quán)限管理�����、只讀)進(jìn)行組合權(quán)限模板����,管理員可對成員進(jìn)行授權(quán)時間操作以及更改權(quán)限配置操作。
3.2.3. 個人空間
個人空間為所有個人新建和已上傳文件以及文件夾的列表��,可對文件和文件夾進(jìn)行操作(移動、復(fù)制����、刪除、重命名����、屬性);同時可上傳文件和及新建文件夾����。
3.2.4. 回收站
已刪除文件和文件夾會暫存在回收站,點擊清空回收站或點擊刪除���,文件會被徹底刪除�;并且可恢復(fù)已刪除個人空間數(shù)據(jù)以及公共空間數(shù)據(jù)���;
3.2.5. 傳輸列表
傳輸列表可查看全部文件操作記錄�,包括正在上傳���、正在下載和已完成文件����;同時,一下載文件點擊可支持本地打開���;
3.3. 管理中心功能列表
安全網(wǎng)盤后臺管理系統(tǒng)通過使用三權(quán)管理員功能���,初始預(yù)置三個管理員:系統(tǒng)管理員(sysadm)�、安全保密管理員(secadm)、安全審計管理員(auditadm)�;系統(tǒng)管理員負(fù)責(zé)管理系統(tǒng)的基本配置和組織機(jī)構(gòu)、人員的管理��;安全保密員負(fù)責(zé)安全類的設(shè)置�;安全審計員負(fù)責(zé)查看審計日志;三個管理員互相監(jiān)督����、互相制約,共同管理安全網(wǎng)盤后臺管理系統(tǒng)�。
3.3.1. 系統(tǒng)管理員
包括對部門用戶進(jìn)行管理、以及系統(tǒng)設(shè)置和系統(tǒng)維護(hù)功能�����;
3.3.1.1. 部門管理
部門用戶管理具體包括對部門����、系統(tǒng)用戶(二級管理員)以及普通用戶的新增�、刪除��、修改��、查詢以及重置密碼等�;
3.3.1.2. 系統(tǒng)管理
對系統(tǒng)的設(shè)置包括基礎(chǔ)設(shè)置(設(shè)置ip白名單以及文件服務(wù)器監(jiān)控ip地址);
3.3.1.3. 系統(tǒng)設(shè)置
系統(tǒng)維護(hù)包括數(shù)據(jù)庫備份��、定時任務(wù)��、定時任務(wù)日志以及運行日志����;
3.3.2. 安全保密管理員
包括對部門用戶進(jìn)行管理、系統(tǒng)設(shè)置����、空間管理以及審計日志功能;
3.3.2.1. 部門用戶管理
對部門用戶管理包括系統(tǒng)管理員成功創(chuàng)建二級系統(tǒng)用戶和普通用戶后進(jìn)行啟用激活����,以及對于群組空間管理包括對群組的增刪改查以及群組存儲空間更改;
3.3.2.2. 系統(tǒng)設(shè)置
系統(tǒng)設(shè)置包括安全策略以及權(quán)限模板管理,權(quán)限模板為根據(jù)具體權(quán)限(預(yù)覽����、創(chuàng)建、上傳�、下載、刪除�、復(fù)制、移動���、重命名、轉(zhuǎn)讓���、權(quán)限管理����、只讀)進(jìn)行組合權(quán)限模板����,并且對已創(chuàng)建模板進(jìn)行管理;
3.3.2.3. 空間管理
空間管理包括對總空間����、公共空間、個人空間以及回收站空間的修改;
3.3.2.4. 審計日志
審計日志則包括三種管理員和普通用戶的操作進(jìn)行審計���、查詢和導(dǎo)出功能��;
3.3.3. 安全審計管理員
包括對安全保密管理員設(shè)置訪問web頁面的ip白名單以及審計日志功能�����;
3.3.3.1. 系統(tǒng)設(shè)置
對安全保密管理員設(shè)置訪問web頁面的ip白名單
3.3.3.2. 系統(tǒng)設(shè)置
審計日志包括三種系統(tǒng)管理員的操作(系統(tǒng)管理員��、安全保密管理員����、安全審計管理員)記錄���、高級查詢以及表格導(dǎo)出功能�����;
4. 安全機(jī)制
為了保護(hù)通信鏈路和數(shù)據(jù)安全�,系統(tǒng)建立一套完善的鑒權(quán)和密鑰管理系統(tǒng)����。
系統(tǒng)密鑰
4.1. 服務(wù)端
(1) 根據(jù)業(yè)務(wù)需要配置系統(tǒng)防火墻���,有效防止惡意的掃描和攻擊。
(2) 客戶端上傳的文件��,加密保存�。
(3) 數(shù)據(jù)庫帳號、密碼加密存儲����。
4.2. 客戶端
(1) 客戶端核心數(shù)據(jù)庫加密存儲。
(2) 權(quán)限細(xì)粒度管控���。
(3) 在線編輯預(yù)覽文件本地不留痕��。
4.3. 傳輸通道
客戶端和服務(wù)器采用HTTPS進(jìn)行數(shù)據(jù)傳遞,防止數(shù)據(jù)被竊取��。
4.4. 加密算法
文件加密算法支持AES對稱加密的ECB模式+pkcs7��。
服務(wù)器端關(guān)鍵數(shù)據(jù)支持MD5或AES/ECB+pkcs7算法加密�����。
5. 運行環(huán)境
5.1. 硬件環(huán)境
內(nèi)存:不低于16G���。
CPU:8核及以上��,架構(gòu)包含x86���、arm���、mips、sw_64等�。
磁盤陣列: RAID 10、RAID5����、RAID6等避免使用單塊盤或兩塊盤做Raid 0。
根分區(qū)(/): >=100G�,建議使用LVM管理,便于空間管理。
數(shù)據(jù)分區(qū)(/data): >=500G����,建議使用裸盤(優(yōu)先選擇SSD)。
網(wǎng)絡(luò)交換機(jī):建議使用千兆�。
5.2. 軟件環(huán)境
操作系統(tǒng):
標(biāo)準(zhǔn)版為:centos7.6、centos7.7����、centos7.8����、centos7.9等��。
國產(chǎn)版為:中科方德��、銀河麒麟��、中標(biāo)麒麟等��。
操作系統(tǒng)需確保是干凈的系統(tǒng)����、防止沖突。
服務(wù)器組件:
包含:JDK ����、Redis 、Tomcat��、Python�、Zookeeper����、Nginx����、Bubbo�。
數(shù)據(jù)庫:
可兼容:mysql、達(dá)夢�、金倉、Mariadb等�。
中間件:
可兼容:東方通、金蝶等����。
5.3. 網(wǎng)絡(luò)環(huán)境
支持多種網(wǎng)絡(luò)環(huán)境及場景,包括但不限于互聯(lián)網(wǎng)����、企業(yè)內(nèi)網(wǎng)、涉密專網(wǎng)����、政務(wù)網(wǎng)等。
6. 部署方式
安全網(wǎng)盤系統(tǒng)服務(wù)端可靈活部署在私有服務(wù)器或云服務(wù)器中�����,支持小到幾十���,大到上億用戶的不同規(guī)模�����。支持集團(tuán)跨地域多級部署�����,不同行業(yè)互通互聯(lián)����。可以實現(xiàn)真正意義上的數(shù)據(jù)物理隔離����。安全網(wǎng)盤支持多種部署方式,根據(jù)終端數(shù)量及客戶實際應(yīng)用需求的不同�����,可以選擇相應(yīng)的部署方案�,以更好為用戶提供服務(wù)。
6.1. 單機(jī)方式
所有服務(wù)部署在一臺服務(wù)器上���。
適用群體:測試�����、演示(1000人以下)�����。
6.2. 集群方式
服務(wù)分散部署在多臺服務(wù)器上�、每一個服務(wù)有多份�,進(jìn)行冗余備份及負(fù)載均衡。
針對用戶數(shù)量有不同的部署方案���。
適用群體:個人團(tuán)隊����、企事業(yè)單位
6.3. 資源要求
端口要求
安全網(wǎng)盤服務(wù)器推薦配置資源清單
(風(fēng)險提示:網(wǎng)盤服務(wù)器切勿與其他應(yīng)用服務(wù)器使用同一臺服務(wù)器)
6.3.1. 測試環(huán)境部署方案(不具備災(zāi)難恢復(fù))
6.3.2. 正常使用部署方案
6.4. 軟件部署以及配置信息
6.4.1. 非集群部署示意圖
6.4.2. 集群部署示意圖
