企业研发资料安全解决方案

基于KBOX、KDOC、KWS的文档存储管理安全一体化在企业内部的实践,本方案为组合方案涉及到终端安全产品、加解密产品、网络管控产品的组合,读者可以根据企业自身实际遇到的困难和需要重点解决的问题进行产品的组合选择,本方案仅供参考,本文发布于《计算机世界》,引用或者转发请注明出处




1、重要性:企业研发资料安全的对于企业的重要性不言而喻,随着技术的进步和开放,研发资料已成为企业的资产之一。客户资料的丢失或泄露,不仅会导致企业的财务损失,而且更可能引起客户的不满、法律责任等问题。同时对企业内部伤害更大,可能导致核心技术与竞争力丢失,大量的研发成本与时间为他人做嫁衣,让企业逐渐失去市场竞争力。

2、面临的问题:企业成长多年研发资料多,与客户有关的文件数量庞大,很难管理。而传统的存储方案,共享服务器,无法提供足够的安全性和稳定性。同时,一旦文件共享和协作出现问题,就会导致企业生产力的损失。

因此企业需要采取多个维度的措施,以保护自身研发资料安全,客户工程的资料安全和完整性。

除了数据存储、安全等基础功能外,针对研发资料的管理根据行业不同对数据安全的管理程度也不同。

接下来我们根据一粒云的调研结果,讲解市场上两种常见的企业研发数据管理方法:六边形管理法与RYG分区管理法(名字为一粒云调研过程中产生,在各个行业可能叫法不一致)

六边形企业核心数据安全管理

本方法主要来自:从员工日常工作与习惯中,寻找引发安全问题的来源

六边形管理法主要针对人员在日常办公过程中分阶段识别风险,并且针对风险做好防护。核心是对每一个环节做事前、事中、事后最好管控,具体规则明细可以找一粒云工作人员获取详细资料。此外我们在下述表格列举儿了对应功能与部分一粒云所再范畴的产品;

阶段关键因子一粒云产品
1、身份验证域账户、多因子、令牌、Ukey
2、终端安全系统加固、外设管理、外接管理、介质管理、系统安全
3、文件管控权限管理、共享范围、加解密、出入网安全、病毒防护统一文档云Kbox、隔离网文件交换KWS、分布式存储ESS、加解密软件
4、设备安全cndb、存储安全、运维监控
5、特权管理解密特权、审计特权、访问特权
6、审计监控流程审批、日志追溯、出入网反审

接下来我们介绍基于RYG分区的信息安全管理,RYG分区的核心是对人员与物理活动位置,物理网络做规范话的管理,需要强制度辅佐接入,此方式主要在半导体行业盛行以及后来的生物医药的高精尖科技企业;RYG分区信息安全管理法中,结合了企业的组织架构针对R&D人员活动、日常工作管控事项做得非常细致,具体资料可以找一粒云工作人员获取,这里我们提供几张图片作为展示;

当然在很多场景中是采用了六边形管理+RYG分区实现;

一粒云整理了以下四个安全管理级别,供客人参考;

上述信息安全管理方法中,一粒云科技主要提供产品为分布式存储ESS、企业网盘KBox、统一文档云的建设KDOC,隔离网文件交换KWS,文件加解密;从基础的文档存储到一般性管理需求,到大型分布式

级别管理手段管控内容主要诉求行业
第一级基础级文件存储安全、是否有备份、能共享是否方便查找购买存储设备,多地备份 (NAS)通用
第二级ISO管控级1级 + 是否有权限管理(包括原子权限分配)+扩展协同诉求+外发流程等购买共享管理系统,网盘协同工具 (网盘KBOX)通用
第三级六边形管理级2级 + 文件落地是否需要加密购买终端管理与文档加密系统 (DLP)生产、研发
第四级RYG综合级3级 + 是否配套网络隔离等保、网络安全、隔离网文件摆渡产品等 (KWS)研发
资料管理 四级 行业安全标注规范 (一粒云调研提供)

通过以上对研发资料管理的诉求得知,企业在建设研发资料安全的这个技术方案投入方面,不单单是一款或者几款产品能全面覆盖都企业的需求;因此一粒云很多时候用企业文档云(KDoc)建设来定义对资料安全管理管控的诉求。

KDODC 是一个综合性的企业统一文档云建设方案,除了对核心数据的安全保护外,还有一下的几个建设维度的标准。




企业文档系统建设维度标准参考

1、存储层:存储在未来企业中是基础中的基础,根据业务不同可选择性的范围很大,有基础NAS存储,也有云端对象存储或者本地私有统一存储,支持的越多功能越强,容量越大,安全级别越高,对应的价格越贵,因此企业可以选择要给适合自己的存储,如果只是做企业文档管理可以购买云盘一体机等专用设备,获得更高的性价比与更加稳定的性能。

2、权限细粒度:企业文档系统的权限控制应该具备细粒度的功能,可以控制用户对文档的访问、编辑、删除等操作,例如实现可查看不可下载,在线查看覆盖水印,下载覆盖水印。此外,企业文档系统还应该支持角色权限的定义,以便管理者可以根据企业的实际情况进行权限管理。

3、云端支持:随着企业的不断发展,员工之间的协作和文档共享也越来越重要。因此,企业文档系统需要具备云端支持的功能,可以实现跨地域的文档共享和协作。同时,企业文档系统还应该支持多种设备系统的接入(WEB、H5、PC),以便企业可以根据自己的实际情况进行选择。

4、业务关联性:企业文档系统应该具备良好的业务关联性,可以将文档与企业的业务审批流程和系统进行关联。同时支持与钉钉、企业微信、OA、协同编辑、知识库等系统账户关联,这样可以实现文档管理与业务流程的有机结合,提高企业的工作效率和协作能力。

5、使用便捷性:企业文档系统的使用应该简单、易懂,让用户可以快速上手并熟练操作。此外,企业文档系统还应该具备友好的界面设计和操作逻辑,提高用户的使用体验。支持PC同步、备份、手机端等便捷性功能。

6、数据安全性:企业文档系统需要具备高度的数据安全性,确保文档数据不会被恶意篡改、泄露或丢失。因此采用分布式存储会导致系统安全性更高,企业文档系统应该具备完善的数据备份和恢复机制,支持加密传输和存储,以及监控和防护等安全措施。




解决方案主要功能清单


私有化部署

一粒云采用私有云的部署方式,对研发人员资料进行集中授权管控。对研发版本与版本升级发布,进行发布版本管控。

出入网流程管理

部署kws,针对源码外出调试,进行外发审批管理,确保外出的代码合适的代码与针对调试后的程序与源码进行回收,并归档。

集成加解密软件

一粒云通过集成加解密软件对落地到用户电脑的数据进行安全管理,实现自动透明加密,流程审批解密,业务就流程回收等。

存储扩展、性能扩展

代码、图纸、工程项目等研发资料在开发过程中存储一定的泄密风险,针对图纸、工程文档初创型研发企业往往没有整体的思路全方位的对企业高精端技术与知识进行全方位的安全管控

审批流程与业务关联性

面对研发员工既需要上外网查询资料,又需要防止内部代码安全不泄露,没有办法。或者造成效率大大降低,不好实施,甚至导致高端研发人员流失。

数据收集归类提醒

面对外出实施项目的技术人员,需要对外发资料包进行管控又需要回收客户现场调试后的包,便于后期维护往往没有成套的方案解决。





方案产品组成


部署产品部署方式作用主要体现
云盘系统私有化提供文档、权限、流程、与业务看板来统筹研发资料存储与收发情况。软硬一体/软件
跨网文件交换系统私有化提供内网文件外发与外网文件入网的安全、审批事项。
加解密软件私有化提供内网文件的透明加解密,实现最后一层保护

套件清单


客户案例

一粒云KDoc 为 一粒云 Kbox + KWS +加解密+流程系统对接等复杂应用,下述客户有的是部分采用,有的是整体采用。

交换过程中,文件安全的识别项目