基于KBOX、KDOC、KWS的文檔存儲管理安全一體化在企業內部的實踐,本方案為組合方案涉及到終端安全產品、加解密產品、網絡管控產品的組合,讀者可以根據企業自身實際遇到的困難和需要重點解決的問題進行產品的組合選擇.
大綱如下:
- 研發資料安全管理的建設背景
- 六邊形企業核心數據安全管理
- 通過RYG分區模式隔離網絡管理
- 企業數據安全管理建設的4個級別
- 企業文檔系統建設維度標準參考
- 一粒云解決方案主要功能清單
- 一粒云方案產品組成
- 客戶案例
1 : 研發資料安全管理的建設背景
1、重要性:企業研發資料安全的對于企業的重要性不言而喻,隨著技術的進步和開放,研發資料已成為企業的資產之一。客戶資料的丟失或泄露,不僅會導致企業的財務損失,而且更可能引起客戶的不滿、法律責任等問題。同時對企業內部傷害更大,可能導致核心技術與競爭力丟失,大量的研發成本與時間為他人做嫁衣,讓企業逐漸失去市場競爭力。
2、面臨的問題:企業成長多年研發資料多,與客戶有關的文件數量龐大,很難管理。而傳統的存儲方案,共享服務器,無法提供足夠的安全性和穩定性。同時,一旦文件共享和協作出現問題,就會導致企業生產力的損失。
因此企業需要采取多個維度的措施,以保護自身研發資料安全,客戶工程的資料安全和完整性。
除了數據存儲、安全等基礎功能外,針對研發資料的管理根據行業不同對數據安全的管理程度也不同。
接下來我們根據一粒云的調研結果,講解市場上兩種常見的企業研發數據管理方法:六邊形管理法與RYG分區管理法(名字為一粒云調研過程中產生,在各個行業可能叫法不一致)
2: 六邊形企業核心數據安全管理
本方法主要來自:從員工日常工作與習慣中,尋找引發安全問題的來源
六邊形管理法主要針對人員在日常辦公過程中分階段識別風險,并且針對風險做好防護。核心是對每一個環節做事前、事中、事后最好管控,具體規則明細可以找一粒云工作人員獲取詳細資料。此外我們在下述表格列舉兒了對應功能與部分一粒云所再范疇的產品;
| 階段 | 關鍵因子 | 一粒云產品 |
|---|---|---|
| 1、身份驗證 | 域賬戶、多因子、令牌、Ukey | |
| 2、終端安全 | 系統加固、外設管理、外接管理、介質管理、系統安全 | |
| 3、文件管控 | 權限管理、共享范圍、加解密、出入網安全、病毒防護 | 統一文檔云Kbox、隔離網文件交換KWS、分布式存儲ESS、加解密軟件 |
| 4、設備安全 | cndb、存儲安全、運維監控 | |
| 5、特權管理 | 解密特權、審計特權、訪問特權 | |
| 6、審計監控 | 流程審批、日志追溯、出入網反審 |
3: 通過RYG分區模式隔離網絡管理
接下來我們介紹基于RYG分區的信息安全管理,RYG分區的核心是對人員與物理活動位置,物理網絡做規范話的管理,需要強制度輔佐接入,此方式主要在半導體行業盛行以及后來的生物醫藥的高精尖科技企業;RYG分區信息安全管理法中,結合了企業的組織架構針對R&D人員活動、日常工作管控事項做得非常細致,具體資料可以找一粒云工作人員獲取,這里我們提供幾張圖片作為展示;
當然在很多場景中是采用了六邊形管理+RYG分區實現;
4: 企業數據安全管理建設的四個級別
一粒云整理了以下四個安全管理級別,供客人參考;
上述信息安全管理方法中,一粒云科技主要提供產品為分布式存儲ESS、企業網盤KBox、統一文檔云的建設KDOC,隔離網文件交換KWS,文件加解密;從基礎的文檔存儲到一般性管理需求,到大型分布式
| 級別 | 管理手段 | 管控內容 | 主要訴求 | 行業 |
| 第一級 | 基礎級 | 文件存儲安全、是否有備份、能共享是否方便查找 | 購買存儲設備,多地備份 (NAS) | 通用 |
| 第二級 | ISO管控級 | 1級 + 是否有權限管理(包括原子權限分配)+擴展協同訴求+外發流程等 | 購買共享管理系統,網盤協同工具 (網盤KBOX) | 通用 |
| 第三級 | 六邊形管理級 | 2級 + 文件落地是否需要加密 | 購買終端管理與文檔加密系統 (DLP) | 生產、研發 |
| 第四級 | RYG綜合級 | 3級 + 是否配套網絡隔離 | 等保、網絡安全、隔離網文件擺渡產品等 (KWS) | 研發 |
通過以上對研發資料管理的訴求得知,企業在建設研發資料安全的這個技術方案投入方面,不單單是一款或者幾款產品能全面覆蓋都企業的需求;因此一粒云很多時候用企業文檔云(KDoc)建設來定義對資料安全管理管控的訴求。
KDODC 是一個綜合性的企業統一文檔云建設方案,除了對核心數據的安全保護外,還有一下的幾個建設維度的標準。
5: 企業文檔系統建設維度標準參考
1、存儲層:存儲在未來企業中是基礎中的基礎,根據業務不同可選擇性的范圍很大,有基礎NAS存儲,也有云端對象存儲或者本地私有統一存儲,支持的越多功能越強,容量越大,安全級別越高,對應的價格越貴,因此企業可以選擇要給適合自己的存儲,如果只是做企業文檔管理可以購買云盤一體機等專用設備,獲得更高的性價比與更加穩定的性能。
2、權限細粒度:企業文檔系統的權限控制應該具備細粒度的功能,可以控制用戶對文檔的訪問、編輯、刪除等操作,例如實現可查看不可下載,在線查看覆蓋水印,下載覆蓋水印。此外,企業文檔系統還應該支持角色權限的定義,以便管理者可以根據企業的實際情況進行權限管理。
3、云端支持:隨著企業的不斷發展,員工之間的協作和文檔共享也越來越重要。因此,企業文檔系統需要具備云端支持的功能,可以實現跨地域的文檔共享和協作。同時,企業文檔系統還應該支持多種設備系統的接入(WEB、H5、PC),以便企業可以根據自己的實際情況進行選擇。
4、業務關聯性:企業文檔系統應該具備良好的業務關聯性,可以將文檔與企業的業務審批流程和系統進行關聯。同時支持與釘釘、企業微信、OA、協同編輯、知識庫等系統賬戶關聯,這樣可以實現文檔管理與業務流程的有機結合,提高企業的工作效率和協作能力。
5、使用便捷性:企業文檔系統的使用應該簡單、易懂,讓用戶可以快速上手并熟練操作。此外,企業文檔系統還應該具備友好的界面設計和操作邏輯,提高用戶的使用體驗。支持PC同步、備份、手機端等便捷性功能。
6、數據安全性:企業文檔系統需要具備高度的數據安全性,確保文檔數據不會被惡意篡改、泄露或丟失。因此采用分布式存儲會導致系統安全性更高,企業文檔系統應該具備完善的數據備份和恢復機制,支持加密傳輸和存儲,以及監控和防護等安全措施。
6: 一粒云解決方案主要功能清單
私有化部署
一粒云采用私有云的部署方式,對研發人員資料進行集中授權管控。對研發版本與版本升級發布,進行發布版本管控。
出入網流程管理
部署kws,針對源碼外出調試,進行外發審批管理,確保外出的代碼合適的代碼與針對調試后的程序與源碼進行回收,并歸檔。
集成加解密軟件
一粒云通過集成加解密軟件對落地到用戶電腦的數據進行安全管理,實現自動透明加密,流程審批解密,業務就流程回收等。
存儲擴展、性能擴展
代碼、圖紙、工程項目等研發資料在開發過程中存儲一定的泄密風險,針對圖紙、工程文檔初創型研發企業往往沒有整體的思路全方位的對企業高精端技術與知識進行全方位的安全管控
審批流程與業務關聯性
面對研發員工既需要上外網查詢資料,又需要防止內部代碼安全不泄露,沒有辦法。或者造成效率大大降低,不好實施,甚至導致高端研發人員流失。
數據收集歸類提醒
面對外出實施項目的技術人員,需要對外發資料包進行管控又需要回收客戶現場調試后的包,便于后期維護往往沒有成套的方案解決。
7: 一粒云方案產品組成
| 部署產品 | 部署方式 | 作用 | 主要體現 |
|---|---|---|---|
| 云盤系統 | 私有化 | 提供文檔、權限、流程、與業務看板來統籌研發資料存儲與收發情況。 | 軟硬一體/軟件 |
| 跨網文件交換系統 | 私有化 | 提供內網文件外發與外網文件入網的安全、審批事項。 | |
| 加解密軟件 | 私有化 | 提供內網文件的透明加解密,實現最后一層保護 | |
| 終端安全 | 私有化 | 提供終端安全管控與電腦設備行為監控功能 | |
| 隔離設備 | 設備 | 網閘\光閘 |
套件清單
8: 客戶案例
一粒云KDoc 為 某些半導體一粒云 Kbox + KWS +加解密+流程系統對接等復雜應用,下述客戶有的是部分采用,有的是整體采用。
一粒云為某些研發企業\能源單位建設的流程審批
