資源獨立
安全策略
細顆粒度權限管理
安全審計
可信增強
文件審批 近年發生的“微軟黑屏門”、“微軟操作系統停更”、“棱鏡門”、“中興華為”等安全事件,敲響了我國 IT 產業的警鐘,建立由我國主導的 IT 產業生態尤為迫切。對此,我國信息技術應用創新行業乘勢而起,國產化替代,旨在通過對 IT 軟硬件各個環節的重構,建立我國自主可控的IT產業標準和生態,逐步實現各環節的“去美化”。在國家間科技競爭和地緣政治沖突加劇的背景下,國產替代已經成為中國保障供應鏈安全、實現技術獨立和保護自身利益的必要手段。隨著國家對于自主可控和國產替代的重視、以及政策扶持的力度不斷加大,我國創新技術也在不斷加強。
“自主”成為各大政策的高頻詞匯。2022 年 6 月,國務院印發《關于加強數字政府建設的指導意見》,提出“加快數字政府建設領域關鍵核心技術攻關,強化安全可靠技術和產品應用,切實提高自主可控水平”。8 月 23 日,國資委召開中央企業關鍵核心技術攻關大會,提出“集中力量攻克一批關鍵核心技術產品”,“全力保障重點產業鏈供應鏈安全穩定”,會議指出“不斷提升自主創新能力。“十四五”規劃中,明確指出到2025年行政辦公及電子政務系統要全部完成國產化替代。2022年9月底國資委下發79號文,全面指導并要求國央企落實信息化系統的信創國產化改造,要求秉持“全面替換”、“應替就替”、“能替就替”的原則,央企、國企、地方國企全面落實信創國產化。
目前,黨政機關、企事業單位內外網間部分采用物理隔離,使用U盤進行內外網之間的文件傳遞,不僅工作效率低而且容易引發較大的安全風險。此外,等保2.0安全通信網絡中要求;應避免將重要網絡區域部署在邊界處,重要網絡區域與其他網絡區域之間應采取可靠的技術隔離手段。
針對上述問題和要求,金電網安在可信計算基礎上將安全隔離技術與私有云盤技術進行有機地整合,推出“金電網安文件管理與交換系統ODS V2.0-G”(以下簡稱“網盤”),可以在保證內部重要網絡與外部其他網絡安全隔離的基礎上,實現了網絡間的安全文件交換,為黨政機關、企事業單位的內網提供全面的安全防護。
系統架構
網盤由文件管理模塊、隔離交換模塊兩部分組成,整個網盤架構如下圖:
文件管理模塊
文件管理模塊是網盤最主要的模塊,可支持虛擬化部署。文件管理模塊采用多層架構模型:訪問層,視圖層,控制層,服務層,數據層。文件管理模塊可分為:內網管理模塊和外網管理模塊,其結構如下圖所示:
隔離交換模塊
隔離交換模塊由內端機、外端機、數據遷移控制單元三部分組成,采用“21”架構,機架式部署。內端機和外端機具有獨立的存儲和運算單元,并具有獨立總線,內外端機之間采用了具有互斥效果的數據遷移控制單元進行連接,其結構如下圖所示:
總體流程
網盤是由內網文件管理模塊,隔離交換模塊,外網文件管理模塊組成。內外網文件管理模塊通過隔離交換模塊進行協同工作,用戶可自行定義文件的流轉和分發途徑,從而完成文件在內外網之間的共享。
網盤總體流程示意圖如下:
產品特點
1、文件資源獨立
內外網的文件資源獨立存放,各自讀取,從而避免核心文件資源暴露于外網的風險。
2、文件交換與共享
內外網同一關聯賬號,可對符合安全策略文件進行共享發送,實現內外網文件交換和分享。
3、安全策略
管理員可以對用戶設定安全策略,對文件格式、類型等進行過濾。此外,還可對上傳的文件進行病毒和木馬的查殺,保證系統安全。
4、多樣化文件管理
用戶可對文件進行上傳、下載、交換、在線預覽、在線編輯、群組分享等操作。
5、日志與審計
普通用戶可查看操作記錄,關鍵操作時,系統保留操作記錄;關鍵數據上,系統保留數據的創建者,修改者,刪除者的記錄等供管理員進行查看,并可與SYSLOG日志服務器對接。
6、細粒度用戶權限管理
系統管理員可以為用戶組分配不同的授權角色,然后在用戶組里可以添加不同的用戶,以達到對用戶權限的控制。
7、可信增強
系統各模塊基于可信增強技術,系統內核到應用模塊加載,構建統一的信任鏈,并在系統啟動和運行可信度量,確保系統自身的高安全性。
8、用戶身份認證
支持本地認證方式、AD域、LDAP和RADIUS認證方式,內外網文檔管理系統的認證方式可混合使用。
