资源独立
安全策略
细颗粒度权限管理
安全审计
可信增强
文件审批 目前,党政机关、企事业单位内外网间部分采用物理隔离,使用U盘进行内外网之间的文件传递,不仅工作效率低而且容易引发较大的安全风险。此外,等保2.0安全通信网络中要求;应避免将重要网络区域部署在边界处,重要网络区域与其他网络区域之间应采取可靠的技术隔离手段。
针对上述问题和要求,金电网安在可信计算基础上将安全隔离技术与私有云盘技术进行有机地整合,推出“金电网安文件管理与交换系统ODSV2.0”(以下简称“网盘”),可以在保证内部重要网络与外部其他网络安全隔离的基础上,实现了网络间的安全文件交换,为党政机关、企事业单位的内网提供全面的安全防护。
系统架构
网盘由文件管理模块、隔离交换模块两部分组成,整个网盘架构如下图:
文件管理模块
文件管理模块是网盘最主要的模块,可支持虚拟化部署。文件管理模块采用多层架构模型:访问层,视图层,控制层,服务层,数据层。文件管理模块可分为:内网管理模块和外网管理模块,其结构如下图所示:
隔离交换模块
隔离交换模块由内端机、外端机、数据迁移控制单元三部分组成,采用“21”架构,机架式部署。内端机和外端机具有独立的存储和运算单元,并具有独立总线,内外端机之间采用了具有互斥效果的数据迁移控制单元进行连接,其结构如下图所示:
总体流程
网盘是由内网文件管理模块,隔离交换模块,外网文件管理模块组成。内外网文件管理模块通过隔离交换模块进行协同工作,用户可自行定义文件的流转和分发途径,从而完成文件在内外网之间的共享。
网盘总体流程示意图如下:
产品特点
1、文件资源独立
内外网的文件资源独立存放,各自读取,从而避免核心文件资源暴露于外网的风险。
2、文件交换与共享
内外网同一关联账号,可对符合安全策略文件进行共享发送,实现内外网文件交换和分享。
3、安全策略
管理员可以对用户设定安全策略,对文件格式、类型等进行过滤。此外,还可对上传的文件进行病毒和木马的查杀,保证系统安全。
4、多样化文件管理
用户可对文件进行上传、下载、交换、在线预览、在线编辑、群组分享等操作。
5、日志与审计
普通用户可查看操作记录,关键操作时,系统保留操作记录;关键数据上,系统保留数据的创建者,修改者,删除者的记录等供管理员进行查看,并可与SYSLOG日志服务器对接。
6、细粒度用户权限管理
系统管理员可以为用户组分配不同的授权角色,然后在用户组里可以添加不同的用户,以达到对用户权限的控制。
7、可信增强
系统各模块基于可信增强技术,系统内核到应用模块加载,构建统一的信任链,并在系统启动和运行可信度量,确保系统自身的高安全性。
8、用户身份认证
支持本地认证方式、AD域、LDAP和RADIUS认证方式,内外网文档管理系统的认证方式可混合使用。
