企业文档知识库建设，数据安全如何保障？

随着现代市场经济的高速发展，企业的竞争优势越来越多体现在人才和科技的优势。而随着员工流动率的提升，随之流失的则是员工积累多年的宝贵工作经验，如果缺乏有效的内部知识库的建设和管理，企业的竞争优势将难以维系。「企业网盘」作为留存和共享员工宝贵知识资产的重要工具之一，越来越多的得到了企业管理层的重视，而随着网络安全形势越来越严峻，「企业文档数据安全」这个话题，则成了企业高层领导、IT部门的重要关注和考量点。

2017年席卷全球的WannaCry勒索病毒让很多办公族心有余悸，数据一旦被病毒加密了，必须支付昂贵的比特币才能恢复，一度让国内无数企业真的「Wanna cry（想哭）」。连知名的台积电都曾中招，一名技术员将优盘插上电脑操作，结果导致某个工厂的Windows主机全都感染勒索病毒，导致工厂停工多日。不光是企业员工电脑出现了红屏勒索信，就连社区ATM机器甚至政府单位的官网也纷纷中招，让全民上了一堂生动的网络安全普及课。那么作为企业私有网盘市场的后起之秀，丰盘ECM又有哪些机制来守护企业的文档数据安全呢？

WannaCry勒索病毒入侵加油站ATM机

公共云盘服务 vs 私有部署系统

使用公共云盘如企业微信的微盘、钉钉上的钉盘等，无需自行维护服务器，是非常便利的。从技术角度来说，我们也不认为公共云盘的安全性就不如私有部署系统。事实上，敢做公共托管云盘服务的大厂，如阿里云、腾讯，都是自建庞大的安全团队，每年企业在安全上的投入巨大，迄今也没出现过一例数据安全泄露事故，所以如果企业可以接受公共云存储服务，我们都是强烈推荐选择互联网大厂的平台，不用担心网络安全，但若选择非大厂的产品，则需要自己掂量掂量一下，绝大多数都不会有专业的运维安全团队，对多数企业来说，安全投入是一个利润无底洞，国内企业在这块的投入普遍较低。

而私有部署的文档系统，在数据安全上能让企业决策层放心和可控。私有部署在企业内网里，由于与外网之间多了一道物理隔离，并且实施方法也已历经几十年的检验了，早已有很多成熟的IT实践和配套的产品来保障这种安全了，即使产品层面存在一定的安全漏洞，也不会是致命的。想象一下，如果黑客都攻入企业内网了，那么应该担心的就绝不仅仅是单一产品的问题了。

再者，私有部署内网，与企业成熟的IT实践更契合，更加可控。例如企业想要对数据库以及文件数据做备份，基本都能找到很多可选的免费或收费技术方案；又比如企业已经有一套Windows域账号或LDAP系统做单点登录了，购买个云服务还得多管理一套账户体系，而内部系统则可以无缝对接。

专注Linux服务器部署运维

丰盘系统的服务端推荐的生产安装环境是Linux服务器，我们不提供原生的Windows安装包（但客户仍可以在Windows和MacOS上面部署丰盘的演示评估环境），这和很多同类产品试图兼容更多服务器环境的市场策略不太一样，显得有些异类。

Linux系统因开放源代码而被广泛视为比Windows更安全的操作系统，但这并非事实。2014年的时候，Linux因为底层使用OpenSSL实现加密通讯而出现「心血漏洞（Heartbleed）」，影响了半个互联网圈子。这就是Linux开放性的代价。Linux最早是从替代Unix服务器起家，直到今天，Linux市场份额居高的仍是服务器环境，而非桌面系统（就连Linus本人也承认Windows桌面要比Linux好用多了），所以Linux从一开始就是面向开放网络、面向多人共用服务器的环境设计的，这使得Linux遭遇的网络攻击更早被发现、更快被修复。

而Windows系统是从个人消费者桌面环境发展来的，并不是面向互联网设计的，即使现在有专门的用于服务器环境的Windows Server，甚至还有剔除GUI界面、适合远程管理的Windows Server Core版本，但其内核代码以及大量组件都是复用的，因此漏洞自然也是相通的，历史包袱非常重。而过去几十年由于利益驱使，针对Windows桌面系统的病毒研究及黑客攻击远超其他操作系统，「WannaCry」勒索病毒也是针对Windows操作系统漏洞实施的一次全球攻击。

linux-vs-windows

这里并非试图贬低Windows来彰显开源Linux系统的安全性。事实上，在做好专业的安全配置的情况下，现代Windows Server和Linux服务器系统的安全性应该是不分伯仲的，按照国际组织的评级，这两者的安全等级也是相同的。

但丰盘面向的客户主要是中小企业，这些企业大多数没有配备专业的安全运维团队，他们往往对于Windows由于太熟悉了导致使用过于随意，甚至把桌面系统当成内部网络服务器使用。Windows系统上通常会预装很多界面化的组件服务，而使用Linux时，反而会清晰意识到和自己的办公电脑是不同的，默认安装也是最小系统，连GUI桌面都没有，不会安装太多不相干的服务。根据网络安全领域的一般常识，当系统部署组件越多越复杂时，出现安全漏洞的概率越大。因此在这种情况下，我们认为Linux的安全系数会相对更高一些。而专注Linux环境的部署和运维，也会让我们更专注地做好产品的安全防护。

系统级Docker沙盒隔离

KVM、Vmware、微软HyperV、Oracle Virtualbox等虚拟机技术已经广泛应用在企业内部IT环境，而Docker作为一种新的更流行的轻量级虚拟隔离技术，因为实实在在的解决了大量IT运维的环境配置灾难，并大幅提升了单机的资源利用率（单机可以轻松部署上千个容器）进而降低企业成本从而被企业广泛采用。如果您之前对Docker不太了解，可以阅读这篇文章：为什么丰盘要构建在DOCKER技术之上。

docker-vs-vm

丰盘系统基于Docker容器技术进行构建，我们可以把Docker容器简单地理解为一套「安全沙盒Sandbox」，可以隔离丰盘沙盒与宿主机（物理机或者虚拟机）的软件之间的相互访问，也可以隔离不同应用软件沙盒之间的相互访问，相较于将所有服务组件都直接安装在同一台主机上，使用Docker隔离技术相对会更安全，也不容易互相影响。不管是宿主机还是丰盘容器被病毒攻击了，都不太容易相互传染。我们还在宿主机上面为丰盘创建了专用的虚拟封闭网络，所有丰盘的容器进程都运行在这个网络里，主机之外的局域网机器也只能访问丰盘系统的开放端口，无法直接接触丰盘的内部组件。

开源Nginx流量网关及HTTPS加密

2021年开源Nginx软件的市场份额首次超越Apache HTTP Server登顶全世界最流行的Web服务器。Nginx被广泛用于架设Web服务以及反向流量代理，避免将众多内部组件的端口暴露在外。除了优异的性能表现之外，Nginx的安全性也是非常可靠的，由于市占率第一，所以问题更容易被及时发现和修复。丰盘系统的流量网关是基于开源Nginx技术服务构建的，用户通过浏览器访问丰盘系统时，所有流量都是通过Nginx传给后端服务。同时我们也做了一些安全加固的工作，可以拦截掉部分恶意访问流量，可以降低内网恶意软件的攻击风险。

nginx反向代理

网络流量嗅探及挟持是一个常见的网络攻击手段。2016年苹果强制要求AppStore应用使用HTTPS通讯，同年谷歌Chrome浏览器宣布对未开启HTTPS的网站做了不安全标记，至此之后HTTPS逐渐成为了网站的标配，值得一提的是，国内一度非常流行的网页挟持弹窗广告现象，也随之「神奇地」消亡了。

企业内网环境虽然比公共互联网要安全很多，但如果员工使用网络流量嗅探软件或者黑客软件在后台监听网络流量，那么也会对丰盘系统的访问构成信息泄露的风险，而启用HTTPS加密可以彻底断绝网络流量嗅探及恶意挟持。我们对繁琐的HTTPS证书配置做了大量的流程优化，使到系统管理员简单到只需要执行「替换两个证书密钥文件」并「重启流量网关」两个步骤，即可实现HTTPS加密访问，整个操作过程最快用时不到30秒。

启用HTTPS还有一个额外的性能优势。我们的流量网关是默认支持HTTP v2.0协议的，只有开启HTTPS才能支持http2。如果使用HTTP v1版本，则浏览器会限制网站并发请求数量，大约是3-5个，而http2协议是复用TCP连接的，性能提升非常显著。当用户在网盘里查看图片文件夹的时候，网盘系统会同时发起大量的缩略图并发请求，或者用户同时上传几百上千个文件到系统上的时候，此时可以感受到非常明显的性能差异。

外网分享资料的专有端口及接口安全隔离

企业使用私有网盘存储内部资料的时候，偶尔也会有与外部供应商或客户交换资料的场景，例如市场部门需要将资料共享给各个外部经销商，经销商客户又不适合直接开通企业内部员工账号。如果将网盘直接部署暴露在互联网上，而没有做好专业的安全配置或购买第三方网络安全防护软件的话，很容易导致系统被黑客或恶意软件入侵。而如果将资料副本传到公共云盘上，又面临维护两套系统的麻烦。

应对此问题，丰盘专门推出了外网分享的功能插件（详见新版本v24.1发布，私有网盘也能创建互联网对外分享链接了），将内外网文件的接口进行了拆分隔离，并通过专用端口访问外网系统，相较于直接将系统部署在公网上，这种方式的安全性会强很多。

外网分享架构示意图

内部及外网分享链接权限保护及自动过期

丰盘系统支持创建仅内网账号可访问的分享链接，也可以创建企业对外可通过密码或邮箱验证等方式访问的互联网链接。这些分享链接可以非常方便的限制访问者的权限，例如只允许在线预览，不允许下载或删除。同时链接也支持自动过期，到期之后，用户不需要手工删除分享，系统会自动销毁分享链接。

企业网盘和个人网盘最大的差异就在于权限控制体系。个人网盘通常只有单一用户，不需要复杂的权限控制，即使是分享功能，权限管理也是比较简单有限。而企业内部由于规模不同、流程不同、业务不同，都会造成对文档的权限管理需求的差异。这个时候就需要文档管理系统对权限的管理要非常灵活、可以根据实际情况自由定制。

丰盘系统引入「文档空间」的概念，每个文档空间的管理员都可以自行配置权限，互相独立，也不必经由超级管理员，业务部门的自由度非常高，相对会更加愿意接纳。

丰盘系统的权限矩阵配置非常精细化，可以单独控制文件的预览、下载、移动、删除等等十几项权限。而且与Windows、FTP类似，权限默认是继承的，但空间管理员可以在子目录级别切断父级继承关系，重新配置一套新的权限。
在这里插入图片描述

空间管理-角色权限配置

RBAC角色权限模型
当文档空间成员较多、或者变动较频繁的时候，如果每添加一位用户都要勾选一遍权限矩阵表的话，管理员肯定要累死了。丰盘系统支持RBAC角色权限模型，空间管理员可以创建自定义的「角色」，例如如「销售经理」、「部门助理」、「新入职」，然后提前分配好各项权限，后续添加成员的时候，只需要将对应的「角色」标签绑定到成员身上，就可以实现权限配置，大幅减少了管理员的操作负担。

销售资料角色配置

销售成员角色绑定

安全审计日志记录账号的访问及操作记录

安全审计日志是企业合规运营及保障数据安全的重要日志，丰盘系统的安全审计功能可以记录下用户账号在系统上面的文件浏览记录以及操作记录。当需要追踪企业核心资料泄密或者账号异常问题时，通过审计日志可以深入分析和洞察。

审计日志

数字水印提升员工保密意识

大多数企业由于在网络安全方面的投入不太大，所以员工的安全意识普遍不高，很容易对内部保密的文档资料随意进行截图或传播。通过「数字水印功能」可用于增强用户保密意识并防范因用户截图传播文档造成的信息泄露风险。当数字水印插件启用后，用户在线预览文档时将会在文档界面呈现数字水印，水印信息默认包括用户姓名和登录账号。系统管理员也可以在后台配置界面修改水印包含的信息。

在线预览数字水印

强密码约束

再精密设计的安全防御系统，若是用户设置了易被猜解的简单密码如 abcd1234、 123456等，所有防御手段都将彻底失效。丰盘系统在创建账号时默认使用「临时随机密码」，并且强制要求用户首次登录必须修改密码才可登录系统。同时，丰盘系统对密码的强度做了约束，必须满足一定的长度要求、以及包含若干特殊字符才允许设置。对于习惯使用等简单密码的用户来说，这个约束显得不太友好，但对系统整体安全能带来较大的改善。

单点登录认证以及企微、钉钉免密码集成
很多企业内部都有众多IT系统，若让员工为每套系统维护和记忆不同的账号密码，显得非常的繁琐，当员工想要更改密码的时候，就会变得极其麻烦。为此，丰盘支持了企业IT部门最常用的Windows域控以及LDAP身份认证机制，用户只需要在企业内部的统一身份认证系统里修改自己的密码，即可实现一套账号密码登入不同IT系统。

对于使用企业微信或者钉钉平台的企业，还可以使用我们的企业微信以及钉钉集成认证、免密码登录的方式，将丰盘系统集成到这些互联网平台的工作台里，员工只需要点击工作台丰盘应用，即可唤醒企微或钉钉的授权系统，全程不用输入密码，非常便捷，安全方面也有大厂的技术实力做保障。

账号冻结与权限锁定

当员工离职，或者账号发现异常时，系统管理员可以对账号进行锁定，而无需删除账号，资料可以得到永久保存；也不必修改该账号在各个文档空间里的权限配置，后续解除冻结后权限即可原样恢复。

员工安全意识培训及数据备份

最后我们想说的是，企业文档数据安全不纯粹是技术问题，也是一个特殊的管理问题，具有非常明显的短板效应。也就是说，评价一个企业的安全做得怎么样，不是看其引入多么昂贵的安全设备，也不是看做得最好的部门团队，而是看表现最差的地方，对整个企业能构成怎么样的破坏。即使是微软研发几十年的Windows，或者全球超过几千家公司参与贡献的Linux系统，如果运维管理不当，也很容易出现由于硬件或者人为因素导致的数据损坏，威胁企业的数据安全。

因此我们推荐企业内部应该定期做好员工的信息安全培训，同时对于内部运营系统及数据，务必做好定期的备份计划。丰盘系统采取经典的数据和应用分离的架构设计，即使所有的软件容器都销毁了，系统数据也都不会丢失。系统管理员可使用其熟悉信赖的数据库及文件系统备份工具，对丰盘系统使用的PG数据库以及/opt/xpan/ 数据目录进行完整或增量备份。当出现灾难性的损坏时，系统管理员只需要将备份数据传输至还原主机，运行我们的安装脚本，即可恢复系统的数据和正常运行。