金山云存储安全办公解决方案_v

金山云存储安全办公解决方案_v内容摘要：

? 信道通信协议的安全 客户端与云服务端的 API 调用通过云存储专有的数据协议进行，为了进一步的保护 TCP 开放层的通信安全，通讯协议可采用 Https（ SSL）确保传输过程不被窃听。 ? 服务器端安全存储技术介绍 云存储服务器端是数据存储的核心位置。 服务器端通过客户端的身份认证后，开始进行双向的数据同步。 云存储服务器端文件存储方式 服务器端的数据安全技术介绍如下： 首先金山安全云存储服务端使用 Centos 操作系统 ，没有操作系统权限的人员无法接触到服务端数据，而且操作系统的稳定性也提供极高的安全保障。 其次，服务器端存储的都是密文数据，无法破解还原。 对于上传到服务器的数据来说，接收到客户端的分块数据，已经是加密的密文数据，经过数据去金山云存储安全办公解决方案 10 重过滤，再按照专门的分布策略分别存储在磁盘的不同区域。 对于服务器向客户端传输的数据，则采用反向的方式，将加密的数据块传输到客户端，再在客户端进行解密合成最终的原始文件。 加密技术采用 AES256 技术，结合严密的密钥管理体系，黑客拿到密文也无法破解开。 每个用户上传的文件，都严格分区保 管，都采用密文的数据块形式分散存放，必须经过专有的身份认证后才能还原。 用户的登录帐户及密码信息都采用多重加密算法处理后存储保存，这种加密信息是不可逆，因此系统后台管理人员也无法通过登录操作系统查看到每个用户存储的文件信息。 金山安全云存储的云端安全技术，可以保证即使在作系统权限泄漏、数据库、文件系统暴露，仍可以防止数据泄漏。 因此可以有效的防护来自互联网黑客的攻击。 . 利用共享及群组功能实现文档分类授权访问 ? 问题场景 ? 企业不同项目的文档需要只能在项目组中的人有访问权限，其他人员要严格限制，不能访问，该如何 实现。 ? 不同部门的文件，只希望在本部门内部共享，而不希望对外共享。 ? 企业个人用户的私有文档，如何能快速的共享给企业其他用户。 ? 企业原先的文档都采用 Windows 文件服务器保存，采用 Windows 的共享文件夹方式共享，金山企业云存储相比这种共享方式有何技术优势。 ? 云存储文件共享安全解决方案介绍 ? 利用群组功能实现多人（部门、项目小组等）文件共享 金山企业云存储系统客户端文件是采用个人数据和群组数据分离的管理方式。 个人数据盘和群组数据盘中的文件都可以提供共享功能。 ? 个人盘文件共享方式 存储在个人盘中的文件属于用户 私有文件，但是用户可通过对文件或文件夹的右键菜单选择共享功能，实现对企业组织架构用户的共享选择。 ? 群组盘共享方式 金山云存储安全办公解决方案 11 群组盘是专门用来存放群组范围内用户共享的文件空间。 系统可通过后台的系统管理权限赋予一些用户具有创建群组的功能。 这些具有“群组”设置权限的用户可以在“群组协同盘”中自行开设群组目录，并设置这个群组中访问用户，以及每个用户的可创建、可读、可编辑、可删除等访问权限。 群组设立者还可指定其他的“管理员”，从而实现多个人对同一群组的用户管理。 利用群组提供的文件目录分类访问授权功能，可快速实现企业很多现实中 的文件管理问题。 如对每个项目设立群组，就可以实现项目文档的分类访问控制。 对群组目录设置分类访问授权权限 ? 云存储群组共享对比 Windows 共享文件夹的技术优势 企业利用 Windows 共享文件夹共享文件，通常都是把文件集中保存在Windows 文件服务器上，再利用共享文件夹共享。 这种情况下保存在服务器端的文件都是明文方式，具有服务器操作系统访问权限的管理用户就可以查看到所有用户的文件内容，无法阻止管理员主动泄密的问题。 而金山云存储系统服务端采用密文存储，管理员无法查看到用户的任何文件信息，从而可以避免管 理员泄密问题。 利用 Windows 文件服务器方式共享文件，难于设立一个符合企业组织架构的用户列表，每个文件夹的访问授权的权限设置都不方便。 而金山企业云存储系统具有组织架构设置功能，每个用户设置群组共享用户时，都可以方便的从树型组织架构中选择用户，并且可以分别设置每个用户的增、删、编等权限，访问授权情况清晰、便捷。 金山云存储安全办公解决方案 12 利用 Windows 文件服务器方式共享文件，需要对共享文件发布的用户设置 Windows 操作系统登陆账户及权限，对操作系统的直接授权容易造成系统级的安全访问问题。 而金山云存储系统由系统的账户及 权限系统提供群组文件的共享能力，不会危及到操作系统的安全。 利用金山云存储系统实现共享文件，还可以自动记录文档的每一次编辑变化，即具有文档的历史版本管理功能，用户能查询到每一次变更的版本。 而Windows 共享文件夹无法提供类似功能。 . 基于 WPS 实现 Office 文档透明加密安全方案 ? 问题场景 ? 企业重要部门（财务部等）有些非常重要的 Office 文件，只希望在小范围决策领导之间传阅，如果防止这些重要文件不被个别人对外泄露。 ? 企业中要的客户信息保存在 xls 数据文件中，需要员工日常跟踪并修改客户的跟踪状态，但又 不希望员工带走这些客户信息。 ? 希望用户对常用的 Office 类型的文档，不要进行频繁的加密加密操作，希望能象编辑普通文档一样编辑加密文件，又能较高的安全性 ? 解决方案介绍 Office 系统已经成为企业用户日常最重要的文件编辑系统。 Office 文件也成为各类企业使用最频繁的文件。 金山云存储系统提供了对重要 Office 文件的防扩散功能，如果企业在部署云存储系统的同时，部署 Office 防扩散模块，就可以实现解决上述典型防扩散问题的功能。 下面介绍实现 Office 文件防扩散的技术原理。 金山云存储系统的防扩散模块会在 WPS Office 系统中安装一个文件读写控制插件，用户在云存储系统的虚拟驱动磁盘中，可以设置当前目录为防扩散目录，由云存储客户端自动监测该目录中的文件编辑过程。 所有进入防扩散目录中的文件，在编辑时，都启用 WPS Office系统进行编辑，由防扩散模块控制 WPS 的 IO 读写过程，如下图所示： 在用 WPS 读入防扩散文件的数据时，读入数据模块自动进行解密操作，解密后的文件再进入 WPS Office 字处理应用中，同时写数据模块会控制 WPS 不能把当前数据另存到防扩散目录之外的位置，也不能通过复制、粘贴把数据拷贝到金山云存储安全办公解决方案 13 Window 系统剪贴板中，当用 WPS 保存文件时，通过插件的写模块会把数据加密后写入虚拟盘的目录中。 “防扩散”目录中的文件存储的都是经过结合用户身份的专有加密的密文，如果用户把这类文件复制到其他非“防扩散”目录中，用WPS（或微软 Office 等）打开都会失效，从而实现重要文档的防扩散功能。 透明加密文件的共享及防扩展访问过程 上述示意图说明了结合 WPS 应用实现 Office 重要文档的防扩散原理。 基于该技术，用户仍可对具有“防扩散”功能的文件进行共享设置，系统将根据自动根据共享用户的列表，设置对应用户的“防扩散”文 件标识。 从而实现仅在用户指定范围内，并且仅在部署了“防扩散”客户端的用户中正常使用“防扩散”文件。 基于上述技术的“防扩散”文件的种类为 WPS Office 能识别和保存的文件种类，包括： doc、 xls、 ppt、 txt、 cvs、 pdf、 rtf、 html 等。 . 利用服务端冗余存储技术实现数据安全备份 ? 问题场景 金山云存储安全办公解决方案 14 ? 存储在服务器端的数据，如果因为磁盘物理性损坏，造成数据丢失，也是一种不安全的隐患，如何防范。 ? 冗余存储技术解决方案介绍 为了防止服务端系统在存储磁盘硬件故障下的数据丢失问题，实现存储系统的高可靠性保障，需 要提高数据的冗余能力。 就是说如果系统通过将一份数据冗余性的存储在 2 个或 3 个不同的磁盘上，这样当一份数据的磁盘发生损坏时，系统就会给出报警，管理人员即可更换硬盘，由于系统有 2 倍以上冗余存储，所以可有效预防磁盘故障引发的数据丢失。 根据经验测算，如果用户采用了 3 倍存储冗余的技术方案，可实现 %的高可靠性服务，基本可认为是能实现全年不停机服务，基本也可以认为存入的数据永不丢失。 . 对文档数据有较高保密要求解决方案 —— 文件加密方案 . 通用文件加密方案 ? 问题场景 ? 企业内部具有很多有价值的文档资源，如设计图纸、重 要项目计划等等。 希望这些文档只局限在小范围用户访问，并且对一些重要文档的访问过程，希望能有一个审批的过程，同时希望对文档的访问历史进行审计查看 . 解决方案介绍 . 无需授权即可访问的密文 ? 应用目标： 该类型可统称为 A 类文档。 A 类文档定义为安全级别最低的文档。 所有标为“ A 类”密文的文档，是任何员工都可以访问的文档，而且是无需授权即可访问。 对这类文档的保护，主要防范无意识的外发。 系统将记录 A 类文档的所有被访问的行为，即安全文档的所有操作日志，金山云存储安全办公解决方案 15 可通过事后追查的方式，查询所有文档被访问的记录，如何时被何人察看、被何人编辑等，为事后追责提供访问依据。 ? 应用说明 用户对文档的每个操作，都须经过系统定义的文档操作菜单完成。 即系统将文档安全操作的每个环境都定义成菜单指令，用户通过这些菜单指令完成对文档的各项操作。 用户每次请求访问 A 类密文文档，系统都将执行解密操作，并提供一个较短的访问时限，如 10 分钟的访问时限。 在这个访问时限内，用户可以像操作普通文件一样进行各项操作。 在时限到后，系统将自动重新将文档关闭，进入“加密”保护状态。 如果用户希望继续访问，则再次执行“打开”操作。 ? 设计目的说明 通过明确的文档操作菜单，系统 后台服务器能记。