一、概述 云宏自主研发的政务云盘是一款基于、符合单位办公习惯的文件管理协作共享平台,具备文件集中管理,文档安全备份、在线协作、多级权限管控、移动办公等功能,满足改造过程中以及对文档数据资源的安全存储和办公需求,实现文件安全高效管理,降低存储与沟通成本,提升办公效率 二、方案背景 产业,即产业。它包括了一个庞大的 IT 基础设施体系: (1)IT 基础设施:CPU 芯片、服务器、存储等; (2)基础软件:操作系统、中间件、数据库等; (3)信息安全和应用软件:OA、ERP、办公软件、政务应用、边界安全产品、终端安全产品等; 过去,我国 IT 产业的底层标准、架构、产品、生态大多数都由IT 巨头制定的,并导致潜在的安全和被的风险。近年来,世界范围内的贸易摩擦已由经贸领域向科技领域延伸,从实体名单不断扩大到针对特定企业的制裁且力度持续升级。因此,通过发展产业逐步构建自己的IT产业标准和生态,使得 IT 产品和技术安全,摆脱对特定 IT 标准的依赖,是保证必经之路。 随着国家对的大力支持,目前我国更新生态圈基本建成。满足日常办公场景已有比较完善的解决方案。但是在更新过程中,也遇到了一些问题,主要体现在以下方面: l(1)更新过程中,个人电脑数据迁移备份到电脑工作量大、效率低、成本高,甚至也可能造成数据丢失,使用U盘拷贝,一旦丢失可能造成数据外泄; l(2)换了电脑后,由于操作系统不稳定,硬件故障率高,将会导致工作过程中突然的大量数据丢失、工作成果损失,造成用户情绪,影响换代效果; l(3)个人数据不希望别人看到,部门或单位的公共文件能实时共享查询使用; l(4)形成大量的邮件附件、办公文档、资讯类文件有没有办法在环境中快速查找到; l(5)新旧办公环境共存时,如何使数据互联互通实时同步; l(6)更新,首先要完成政府部门的OA办公自动化系统的换代改造,确保政务数据的安全,不泄露。 为了满足用户在环境中日常文档备份、共享协作的需要,云宏的政务云盘可提供一个便捷、合规的文件协作共享平台,助力用户的改造。 三、适配平台 政务云盘基于云宏自研的存储虚拟化技术,在研发阶段即考虑云盘本身需要实现的兼容适配能力。从底层架构上看,云宏专注于虚拟化层的稳定、安全、好用,衔接云计算产业链上下游,通过开放整合生态伙伴来帮助客户实现灵活的解决方案,是生态适配范围最广、数量最多的厂商,云盘已实现互认证的品牌包括但不限于: | | | 鲲鹏(kunpeng 920) 飞腾(FT2000+/64) 龙芯(3AR3) | | 飞腾(FT2000+/64)、鲲鹏、龙芯(3A4000、3B4000系列)、中科曙光(H620/H650/H520/H420系列) | | | | | | |
从应用层面来看,云宏政务云盘同时支持Windows客户端、ios手机端、Android手机端以及网页端多种登陆形式,并且各种方式均能做到全功能支持,能最大程度为用户在改造过程中及改造完成后提供便捷的接入方式,在任何时候都可以管理、处理紧要任务文件。同时云宏政务云盘支持对接主流社交系统第三方分享/转存接口,如微信、QQ等,在保护数据安全的同时兼顾用户使用体验。 四、方案介绍 1、方案架构 (1)系统架构 云宏政务云盘采用先进、成熟、稳定、可扩展的软硬件技术,可与办公套件结合,提升用户办公体验,也可扩展连接适配后的其他业务系统(如OA系统),其架构如下图所示:
知库企业云盘系统架构分为存储层和服务层。 ①存储层 数据存储分为元数据存储和文件存储,元数据存储采用MySQL数据库,非结构数据存储支持本地存储、NFS网络存储、GlusterFS、OpenStack Swift对象存储、标准S3接口。 知库企业云盘非结构化数据存储,推荐使用知库企业云盘默认提供的分布式存储系统,该系统具有强大的横向扩展能力,可支持数PB存储容量和数千客户端,通过Infiniband RDMA 或Tcp/Ip 方式将许多廉价的x86 主机,通过网络互联成一个并行的网络文件系统。具有可扩展性、高性能、高可用性等特点。 ②服务层 服务层基于spring cloud 构建微服务架构,提供服务注册与发现、配置服务、服务网关、消息总线等基础组件,存储服务、服务管理平台服务、全文检索服务、预览服务、网盘服务等业务组件。每个组件都是可以单独运行的服务,并能够开启多个服务实例满足业务负载,从而实现整个知库企业云盘平台的负载均衡和线性扩展。 (2)分布式存储架构
政务云盘基于分布式存储系统,具有强大的横向扩展能力,可支持数PB存储容量和数千客户端,通过Infiniband RDMA 或Tcp/Ip 方式将许多廉价的x86 主机,通过网络互联成一个并行的网络文件系统。通过多副本加热备盘机制,当磁盘损坏时数据不丢失并由热备盘自动换代,故障磁盘换代所有过程都可以带业务进行,不需要停机停止业务,就可以完成故障磁盘的换代,数据重建,确保数据高可靠和业务连续性。 (3)微服务架构
政务云盘微服务架构是通过将一个个服务独立开来,通过增加多个相同服务,来形成服务集群,以达到整个集群内高可用,确保服务的稳定性。服务间的高可用,可以在一定程度上达到以下作用: ①在单个服务出现宕机的情况下,可以不影响当前服务的总体正常运行 ②当云盘访问量激增,可以承受住高并发量的访问以及海量数据的吞吐 ③部署维护过程中,可以使用热部署的方式,不影响现有系统的正常运行 (4)负载均衡架构
政务云盘所有的网络流量,都是通过负载均衡处理的,所有入口请求都经由负载均衡策略分发和相应限制,此处的负载均衡可以起到以下作用: ①入口流量限制,确保负载的稳定性 ②备灾机制,确保单一服务,机器损坏,可以及时切换备机 ③安全、稳定,确保高并发,大吞吐量的稳定性 2、应用场景 (1)构建统一文档中心。围绕环境文档管理建设统一的文档中心,集中管理所有的文档数据可对上传的非结构化数据建立索引,方便用户查找。解决数据管理孤岛化、办公地域限制问题,实现用户在各个地区访问数据,文档在各区域员工间高效流转。 (2)多维度存储空间。一个平台统一管理,根据组织架构、分支机构、成员、项目类型、业务形态等多种维度,创建独立存储空间。同时开放全员空间,单位内重要发文、政策文件、办公资源等行政资料,可根据文件性质配置不同的权限管控向全员空间推送,成员可随时下载查看,文件政策极速传达到位。 (3)桌面办公数据安全备份与同步。云宏政务云盘提供多种同步模式,适应多种同步场景,用户可主动备份电脑中的重要文件。对环境迁移过程中出现硬盘损坏、电脑中毒/丢失等故障发生时让办公文件可恢复,保障核心数据资产不丢失,同时也提供回收站和版本管理,误删除、误修改有保障。 (4)大文件快速分享。云宏政务云盘提供GB级单一文件、百万级海量文件一键快速共享,传输无压力。 (5)跨部门、跨组织的文件共享协作。支持按人员、部门、群组空间的协作管理模式,各工作空间逻辑隔离,互不影响,可独立开展文件管理和安全管控;同时文件实时同步,实现跨部门、跨地域的文件协作共享,提升办公效率。实现对文件进行集中回收,管理人员可直接访问云盘获取最新数据,无需人工进行汇总整理下发。 (6)多人在线协作。通过云盘在线编辑实现多人同时在线编辑一份文档,减少上传下载步骤,改动即更新。也可以将文件分发给各部门人员,多人在线填写,无需人工进行n次收集转发,提升内容整合能力。 (7)提供精细化的权限设计。根据实际场景,提供精细化的权限设计,能根据不同的岗位职能设置不同的访问权限:如开发人员只能查看开发文件夹目录;哪些成员允许上传、哪些成员只能下载、哪些成员无访问权限均可对应设置。 (8)文件安全外发。对需要外发的文件赋予权限管控,非法用户无法获取安全外发包内任意数据信息,杜绝文件二次传播风险,保护文件流转的全链路安全,发生文件安全事件易追溯。 (9)数据操作日志监控。后台记录针对密文文件所做的操作行为记录,记录操作人IP地址、账户名、操作时间、操作行为,管理员可以通过后台操作日志监控文件的操作作行为,提供审计、追溯功能,成员所做任何操作均有迹可循。 (10)文件安全交换。通过安全网闸,提供近物理隔离的高安全隔离体系,深度防泄漏,深度防病毒将安全的数据交换至另一侧,实现两网数据的安全交换,并提供全流程的交换管控。 (11)智能检测引擎。安全问题也是建设中重点关注的问题。上传至云宏政务云盘上的文件需经过文件内容检测,高效识别检测文件敏感内容,杜绝涉密文件出现在云盘上,避免信息泄露发生;也可自动对上传文件进行病毒特征码和位置信息检验所上传文件是否具备病毒,并且用户也可以全盘对云盘的文件进行病毒扫描。 3、技术特点 (1)产品特性。区别于目前市面上的各种云存储产品,云宏政务云盘主要致力于为建设打造安全智能的文件管理与协作共享云存储平台。其具有以下几个特点: ①组织专有。政务云盘结合组织架构分配专有存储空间,为每个成员和部门都分配独立的存储空间,空间分为个人文件库、部门文件库、群组文件库和协作文件库,可配合不同的单位组织架构。 ②协作便利。云宏政务云盘提供了丰富的协作共享手段,为文档在组织流动提供了便利,可以快速将文件通过发起邀请协作选择部门和成员作为协作对象。 ③多平台同步。政务云盘提供了多平台客户端,包括Android、iPhone、web端和PC客户端,用户无论是通过个人电脑、平板还是只能手机都可以访问云盘,轻松获取工作文档,实现移动办公。 ④安全。政务云盘采用各种安全措施,为单位的知识财产保驾护航,包括完善的组织架构、文件多点备份、文件水印、用户访问权限、文件协作权限、文件密级策略、文件共享审批、操作日志审计、病毒防护、敏感词过滤等。 (2)功能特性。云宏政务云盘为了真正实现海量文件存储,进行了深度优化和设计,具体的功能特点有以下几个方面: ①文件去重。支持网盘重复数据文件去重功能,减少冗余数据叠加,降低硬件投入成本。 ②文件秒传。政务云盘pc客户端支持文件秒传功能,上传的文件与云端服务器中的文件进行比对,若云端存在相同文件,则将直接把文件保存到云端服务器,大大节省了上传时间。 ③在线预览。政务云盘支持图片和文件的在线预览功能,支持的格式包括:jpg、png、txt、pdf、doc/docx、ppt/pptx、xls/xlsx等主流的图片和办公文档格式;同时支持网页版视频在线播放,支持格式包括:mkv、mp4、wmv、rmvb、avi、flv、mov等。 ④群组功能。用户可以根据项目或团队特点动态创建群组,实现部门与虚拟团队的矩阵管理 ⑤消息实时推送。云盘包含推送模块,提供消息中心模块汇聚各应用的消息,审批消息、评论、审阅、协作、群组和部门的消息实时推送,并显示新消息标识,用户可通过消息入口快速处理工作 ⑥多重备份。云存储底层为每个文件保存2个以上的副本,确保不会因为物理机故障导致数据丢失。 (3)安全特性。云宏政务云盘的信息资源安全主要从以下三个层面去考量和设计: ①文件不会因为硬件环境故障而被意外丢失。政务云盘底层采用分布式存储,将一个文件分成若干小片,并分散存储在多个服务器上,而且一个文件会保留2个副本。保证了信息文档不会因为某台服务器硬件故障的原因导致的数据丢失。 ②文件不会被人员越权访问。政务云盘支持为各级部门组织设置权限,各部门成员能针对每个协作对象进行协作权限分配,从而确保了单位的信息安全。根据文件的级别设定密级策略,保密文件禁止发起共享;限定文件发起链接分享时,需要获取管理员审批;公开文件无共享限制,通过多重安全保障为环境文件和敏感信息保驾护航。 ③文件不会被外部人员窃取。政务云盘产品形态是私有部署模式,在权限的控制下,确保文件仅限于在可控范围内流通,从而保证关键信息不会外泄。传输方面,使用安全套接字层(SSL)保护数据传输,建立一个与网银同样高级别的AES 256位加密保护的安全隧道,确保数据无法被网络监听而泄露。 (4)技术特性。 ①数据存储的持久性。以概率而言,政务云盘每月对象文件的持久性为99.99%,即每月用户存储100000个文件,数据不丢失的概率为99.99%,每月仅有丢失1个文件的可能性。 ②数据可销毁性。在用户执行删除数据操作后,系统数据关系删除,底层分片存储的对象文件三个月后彻底从数据库删除,并无法复原。在设备弃置和/或转售前,云宏将采取高级清零的操作方式彻底删除用户所有数据,且硬盘报废时将作消磁处理。 ③数据可迁移性。数据层主要采用分布式存储数据库,该数据库数据可使用分布式数据库自带工具mongodump迁出数据,通过mongorestore在远端迁入数据,数据格式为BSON。迁入的数据跟用户现有数据百分百吻合。 ④数据安全性。政务云盘使用安全套接字层(SSL)保护数据传输,建立一个AES 256位加密保护的安全隧道,确保数据无法被网络监听而泄露。并使用登录身份识别技术,须填写正确的登录名、密码和验证码后才能进入帐户。密码存储方式采用扰乱字符串+原始密码+md5的方式进行加密,扰乱字符串的格式是三十二位的数字加字母(区分大小写),加密后无法反解密。服务商无法查看用户系统数据,运维人员的相关操作在服务器均有记录。 ⑤故障恢复能力。政务云盘应用服务器是采用双机热备模式,即有两台或以上的应用服务器在工作,当所有应用服务器运行正常时,它们可根据策略进行负载均衡。当某台设备出现故障的时候,其他正常运行的应用服务器就会自动侦测到,并完全接管。业务数据库服务器采用的是主从备份模式,即每个数据库服务器都有一个备份机器,时刻保持着数据同步,当主服务器出现故障的时候,从服务器就会自动激活变成主服务器运行工作,确保数据层面业务不中断。 4、核心优势 (1)全融合架构,基于基础环境,实现从云到端适配芯片、操作系统等架构。 (2)私有部署,结合组织架构分配存储空间,公私分明。在统一平台及用户界面,同时满足个人私密文件、部门共享文件,群组协作文件的存储需求。 (3)易运维,一键快速安装部署、可以与OA或AD域中的组织架构及账号同步。无需人工操作管理起来更简单。 (4)更安全,提供数据全生命周期安全保障,例如:丰富的文件权限控制、防病毒、非法内容管控、水印以及使用日志审计等。 (5)在易用性及协作方面有很大优势,帮助用户轻松实现文件备份、分享和移动访问,取代复杂的FTP,多种功能融合于一体,安全存储与共享文件,实现便捷高效的协同办公。 (6)推动更新进程,降低实施成本,提升工程效率,增强更新效果;实现环境文件统一规范化管理,降低文件存储管理成本。
|