資源獨(dú)立
安全策略
細(xì)顆粒度權(quán)限管理
安全審計(jì)
可信增強(qiáng)
文件審批 目前,黨政機(jī)關(guān)、企事業(yè)單位內(nèi)外網(wǎng)間部分采用物理隔離,使用U盤進(jìn)行內(nèi)外網(wǎng)之間的文件傳遞,不僅工作效率低而且容易引發(fā)較大的安全風(fēng)險(xiǎn)。此外,等保2.0安全通信網(wǎng)絡(luò)中要求;應(yīng)避免將重要網(wǎng)絡(luò)區(qū)域部署在邊界處,重要網(wǎng)絡(luò)區(qū)域與其他網(wǎng)絡(luò)區(qū)域之間應(yīng)采取可靠的技術(shù)隔離手段。
針對(duì)上述問題和要求,金電網(wǎng)安在可信計(jì)算基礎(chǔ)上將安全隔離技術(shù)與私有云盤技術(shù)進(jìn)行有機(jī)地整合,推出“金電網(wǎng)安文件管理與交換系統(tǒng)ODSV2.0”(以下簡(jiǎn)稱“網(wǎng)盤”),可以在保證內(nèi)部重要網(wǎng)絡(luò)與外部其他網(wǎng)絡(luò)安全隔離的基礎(chǔ)上,實(shí)現(xiàn)了網(wǎng)絡(luò)間的安全文件交換,為黨政機(jī)關(guān)、企事業(yè)單位的內(nèi)網(wǎng)提供全面的安全防護(hù)。
系統(tǒng)架構(gòu)
網(wǎng)盤由文件管理模塊、隔離交換模塊兩部分組成,整個(gè)網(wǎng)盤架構(gòu)如下圖:
文件管理模塊
文件管理模塊是網(wǎng)盤最主要的模塊,可支持虛擬化部署。文件管理模塊采用多層架構(gòu)模型:訪問層,視圖層,控制層,服務(wù)層,數(shù)據(jù)層。文件管理模塊可分為:內(nèi)網(wǎng)管理模塊和外網(wǎng)管理模塊,其結(jié)構(gòu)如下圖所示:
隔離交換模塊
隔離交換模塊由內(nèi)端機(jī)、外端機(jī)、數(shù)據(jù)遷移控制單元三部分組成,采用“21”架構(gòu),機(jī)架式部署。內(nèi)端機(jī)和外端機(jī)具有獨(dú)立的存儲(chǔ)和運(yùn)算單元,并具有獨(dú)立總線,內(nèi)外端機(jī)之間采用了具有互斥效果的數(shù)據(jù)遷移控制單元進(jìn)行連接,其結(jié)構(gòu)如下圖所示:
總體流程
網(wǎng)盤是由內(nèi)網(wǎng)文件管理模塊,隔離交換模塊,外網(wǎng)文件管理模塊組成。內(nèi)外網(wǎng)文件管理模塊通過隔離交換模塊進(jìn)行協(xié)同工作,用戶可自行定義文件的流轉(zhuǎn)和分發(fā)途徑,從而完成文件在內(nèi)外網(wǎng)之間的共享。
網(wǎng)盤總體流程示意圖如下:
產(chǎn)品特點(diǎn)
1、文件資源獨(dú)立
內(nèi)外網(wǎng)的文件資源獨(dú)立存放,各自讀取,從而避免核心文件資源暴露于外網(wǎng)的風(fēng)險(xiǎn)。
2、文件交換與共享
內(nèi)外網(wǎng)同一關(guān)聯(lián)賬號(hào),可對(duì)符合安全策略文件進(jìn)行共享發(fā)送,實(shí)現(xiàn)內(nèi)外網(wǎng)文件交換和分享。
3、安全策略
管理員可以對(duì)用戶設(shè)定安全策略,對(duì)文件格式、類型等進(jìn)行過濾。此外,還可對(duì)上傳的文件進(jìn)行病毒和木馬的查殺,保證系統(tǒng)安全。
4、多樣化文件管理
用戶可對(duì)文件進(jìn)行上傳、下載、交換、在線預(yù)覽、在線編輯、群組分享等操作。
5、日志與審計(jì)
普通用戶可查看操作記錄,關(guān)鍵操作時(shí),系統(tǒng)保留操作記錄;關(guān)鍵數(shù)據(jù)上,系統(tǒng)保留數(shù)據(jù)的創(chuàng)建者,修改者,刪除者的記錄等供管理員進(jìn)行查看,并可與SYSLOG日志服務(wù)器對(duì)接。
6、細(xì)粒度用戶權(quán)限管理
系統(tǒng)管理員可以為用戶組分配不同的授權(quán)角色,然后在用戶組里可以添加不同的用戶,以達(dá)到對(duì)用戶權(quán)限的控制。
7、可信增強(qiáng)
系統(tǒng)各模塊基于可信增強(qiáng)技術(shù),系統(tǒng)內(nèi)核到應(yīng)用模塊加載,構(gòu)建統(tǒng)一的信任鏈,并在系統(tǒng)啟動(dòng)和運(yùn)行可信度量,確保系統(tǒng)自身的高安全性。
8、用戶身份認(rèn)證
支持本地認(rèn)證方式、AD域、LDAP和RADIUS認(rèn)證方式,內(nèi)外網(wǎng)文檔管理系統(tǒng)的認(rèn)證方式可混合使用。
