資源獨立
安全策略
細顆粒度權(quán)限管理
安全審計
可信增強
文件審批 目前,黨政機關(guān)、企事業(yè)單位內(nèi)外網(wǎng)間部分采用物理隔離,使用U盤進行內(nèi)外網(wǎng)之間的文件傳遞,不僅工作效率低而且容易引發(fā)較大的安全風險。此外,等保2.0安全通信網(wǎng)絡(luò)中要求;應避免將重要網(wǎng)絡(luò)區(qū)域部署在邊界處,重要網(wǎng)絡(luò)區(qū)域與其他網(wǎng)絡(luò)區(qū)域之間應采取可靠的技術(shù)隔離手段。
針對上述問題和要求,金電網(wǎng)安在可信計算基礎(chǔ)上將安全隔離技術(shù)與私有云盤技術(shù)進行有機地整合,推出“金電網(wǎng)安文件管理與交換系統(tǒng)ODSV2.0”(以下簡稱“網(wǎng)盤”),可以在保證內(nèi)部重要網(wǎng)絡(luò)與外部其他網(wǎng)絡(luò)安全隔離的基礎(chǔ)上,實現(xiàn)了網(wǎng)絡(luò)間的安全文件交換,為黨政機關(guān)、企事業(yè)單位的內(nèi)網(wǎng)提供全面的安全防護。
系統(tǒng)架構(gòu)
網(wǎng)盤由文件管理模塊、隔離交換模塊兩部分組成,整個網(wǎng)盤架構(gòu)如下圖:
文件管理模塊
文件管理模塊是網(wǎng)盤最主要的模塊,可支持虛擬化部署。文件管理模塊采用多層架構(gòu)模型:訪問層,視圖層,控制層,服務(wù)層,數(shù)據(jù)層。文件管理模塊可分為:內(nèi)網(wǎng)管理模塊和外網(wǎng)管理模塊,其結(jié)構(gòu)如下圖所示:
隔離交換模塊
隔離交換模塊由內(nèi)端機、外端機、數(shù)據(jù)遷移控制單元三部分組成,采用“21”架構(gòu),機架式部署。內(nèi)端機和外端機具有獨立的存儲和運算單元,并具有獨立總線,內(nèi)外端機之間采用了具有互斥效果的數(shù)據(jù)遷移控制單元進行連接,其結(jié)構(gòu)如下圖所示:
總體流程
網(wǎng)盤是由內(nèi)網(wǎng)文件管理模塊,隔離交換模塊,外網(wǎng)文件管理模塊組成。內(nèi)外網(wǎng)文件管理模塊通過隔離交換模塊進行協(xié)同工作,用戶可自行定義文件的流轉(zhuǎn)和分發(fā)途徑,從而完成文件在內(nèi)外網(wǎng)之間的共享。
網(wǎng)盤總體流程示意圖如下:
產(chǎn)品特點
1、文件資源獨立
內(nèi)外網(wǎng)的文件資源獨立存放,各自讀取,從而避免核心文件資源暴露于外網(wǎng)的風險。
2、文件交換與共享
內(nèi)外網(wǎng)同一關(guān)聯(lián)賬號,可對符合安全策略文件進行共享發(fā)送,實現(xiàn)內(nèi)外網(wǎng)文件交換和分享。
3、安全策略
管理員可以對用戶設(shè)定安全策略,對文件格式、類型等進行過濾。此外,還可對上傳的文件進行病毒和木馬的查殺,保證系統(tǒng)安全。
4、多樣化文件管理
用戶可對文件進行上傳、下載、交換、在線預覽、在線編輯、群組分享等操作。
5、日志與審計
普通用戶可查看操作記錄,關(guān)鍵操作時,系統(tǒng)保留操作記錄;關(guān)鍵數(shù)據(jù)上,系統(tǒng)保留數(shù)據(jù)的創(chuàng)建者,修改者,刪除者的記錄等供管理員進行查看,并可與SYSLOG日志服務(wù)器對接。
6、細粒度用戶權(quán)限管理
系統(tǒng)管理員可以為用戶組分配不同的授權(quán)角色,然后在用戶組里可以添加不同的用戶,以達到對用戶權(quán)限的控制。
7、可信增強
系統(tǒng)各模塊基于可信增強技術(shù),系統(tǒng)內(nèi)核到應用模塊加載,構(gòu)建統(tǒng)一的信任鏈,并在系統(tǒng)啟動和運行可信度量,確保系統(tǒng)自身的高安全性。
8、用戶身份認證
支持本地認證方式、AD域、LDAP和RADIUS認證方式,內(nèi)外網(wǎng)文檔管理系統(tǒng)的認證方式可混合使用。
