连用网间文件安全摆渡解决方案v5.1

网间文件安全摆渡解决方案让数据在流动中创造价值2023-01深圳市连用科技有限公司目录contents需求背景01解决方案02能力介绍03公司简介0301需求背景网间文件安全摆渡需求背景

安全需要，各网络相互隔离为避免敏感数据泄露、病毒等攻击带来的安全风险，通常会将网络划分为多个相互独立的区域。自身安全需要法律、法规要求业务需要，跨网络进行文件交换大文件、多文件高效传输安全传输（可管控、可审计、可追溯）生产数据借用、应用版本升级、文件外发、分支机构文件传输等场景下，传统的文件传输方式很难满足传输效率，以及安全管控要求。网间文件安全摆渡常见的需求场景内、外网物理隔离，内网环境的大文件分发给供应链的合作伙伴。交换前、后文件安全管理，文件归档存证。不同部门/团队间，跨网络进行文件分发协作，运维

业务，测试

运维…为保障数据流转的安全合规，对跨网传输数据进行审批流程管控。生产环境敏感数据跨网安全分发传输生产/业务系统的导出、报表数据安全传输到办公网或者分发到营业网点。内部超大文件跨网对外安全分发跨网数据留痕、审计、追溯数据跨网络、跨部门协作跨网数据合规审核审批网间文件安全摆渡需解决的问题合规安全可管可控多场景适用网络安全法等保要求行业监管......安全存储、访问敏感信息识别数据防泄漏防病毒数据责任人是谁谁可以上传谁可以接收谁来审批敏感文件阻断数据流向管控用户行为审计文件流转追溯不同方式的隔离网络间交换传输(物理隔离，防火墙、Vlan、虚拟桌面等逻辑均可)多个不同部门，可采用不同的交换策略，策略可归属到部门，甚至用户级多样化流程管控，多样化审批人(按部门/按角色/专职…)、多样化审批模式(逐级/会签/或签)……02解决方案网间文件安全摆渡的建设思路保持现有网络隔离状态文件交换传输可管、可控、可审计网闸/交换区合规检查审核审批病毒扫描人工审核机器阻断敏感定级文件云系统文件云系统安全防泄漏流转可管控行为可审计…….安全防泄漏流转可管控行为可审计…….内、外网系统独立+网闸+审核审批+敏感定级+防病毒外网内网方案逻辑架构-建立可信安全的公司内部、外部协作渠道外部协作公共文档空间个人文档空间邮件空间团队协作空间数据安全交换公司内网（研发网、生产网、管理网）外部网络（互联网）内网资料经合规检查、人工审批等安全流程后传输至互联网；支持云端数据与内网终端电脑自动同步；进入、出去的交换数据可控制、可管理、可审计；合作伙伴、供应商、客户共享、分发在线预览编辑不落地访问评论批注安全水印日志审计访问安全管控支持一体机产品形态–降低交付复杂度连用文件安全交换一体机（内置安盟网闸）外网物理服务器（预装文件云系统）内网物理服务器（预装文件云系统）内嵌安盟网闸外网电脑内网电脑内外数据隔离双子星架构服务器应用场景-证券行业应用场景客户需求：上报证监会材料需要人工脱网以后进行上报(效率低，时效性差)业务数据分发到各营业网点，原有FTP方式无法审计、无法验证用户身份运营数据等重要数据外发缺少必要的审批管理解决方案：内外网系统独立部署+自动/人工审批+网闸+杀毒+防泄密多重安全保障。用户身份认证、交换文件审批、行为安全审计，有效降低敏感数据泄露的风险。客户价值：安全管控融入用户正常的业务数据摆渡过程，确保业务的合规，避免敏感数据泄露；借助智能化的设计，减少审批工作量，提高工作效率；同时保证过程可控、事后可查、责任可溯应用场景-医疗行业应用场景病案约查系统FC5网闸医护人员患者内网外网微信公众号病案系统存储在医院各信息化系统中的检验检查报告、电子病历仅提供在线预览，无法让患者通过微信公众号直接下载，避免排队等待、集中打印的情况；病案约查系统FC5如何加强“以患者为中心，为患者提供人文化、个性化服务”是每个医院急待思考的问题；改善就医环境提升品牌影响力提升资源利用率提高运营效率优质的就医体验减少就医茫目性改进治疗效果客户价值：医院患者应用场景-研发型企业、制造业应用场景需求背景：在相互隔离的办公内网电脑与互联网电脑之间传输文件，通过传统方式如U盘、邮件以及刻录光盘等方式，往往会面临难以实现对交换数据防泄密、防扩散以及审计、追责等文件安全管控的困境。客户价值：通过文件云系统一个既安全高效，又能满足日益频繁外界业务交互的网间数据交换平台。各类业务数据、办公文件的跨网高效交换传输保障数据交换的安全可控，让跨网间文件交换可事前风险预警，事中审核审批，事后审计追溯等多维度的监管，有效防止业务数据扩散泄露。网间文件安全摆渡方案的核心卖点物理隔离采用2+1系统架构，由内网节点、外网节点及安全网闸三个部分组成，数据完全物理隔离……应用隔离采用模块化的应用解码，内外网节点分别独立完成与客户会话交互、提取安全数据等待数据交换……全文方位的协作共享实现员工间、部门间、团队间协作，从文件发送、检测、审批、接收、共享、审计的全流程管控，大幅提升工作效率……灵活的摆渡方式支持文件方式+邮件方式交换，提供微应用自定义文件交换审批流程……健全的文件安全合规管控，防止敏感数据外泄灵活的交换审批策略，以及自动存证归档，支持光盘库和磁带库离线归档存证；基于内容的安全管控；交换文件自动归档存证；详细日志记录所有访问/操作，满足网络安全隔离的等保要求和数据交换的合规性问题……实施简便，易扩展软硬件一体化交付，内置安全网闸，支持单机、堆叠两种模式，配置灵活，操作简单、易用……03能力介绍架构能力：基于云容器微服务架构，实现按需部署、弹性扩展第三方应用平台API网关平台基础管理用户管理单点登录管理消息中心系统日志……

客户端、APP、虚拟盘、Web、H5小程序前端交付统一存储管理公有云存储分布式文件系统光盘库/磁带库对象存储NAS/SAN存储池管理存储加密管理分级存储管理内容管理Docker容器/K8s/SpringCloud网络基础层个人空间资料库空间大邮箱空间协同组空间CEE内容交换引擎BigMail大邮箱WOMWebOffice管理安全中心CSCE内容安全合规引擎DLPM数据防泄露管理防病毒引擎终端访问管理OAERPPDM…容灾管理内容空间SCM主题库管理后台管理空间FFE格式转换引擎PRE图片识别引擎知识图谱管理BSE大数据检索引擎NLPE自然语义AI训练引擎内容计算CDM内容发布门户管理ICC内容即时协同PAM预归档管理联邦存储管理流程引擎内容协同服务中心网络流量控制数据质量监控中心数据库主机SSM安全共享协同管理FSM文件交换管理存储能力：存储湖、提高存储管理效能基于BSM构建的存储湖，可提供如同湖泊的存储能力，汇聚多来源的数据统一存储。BSM存储湖负责数据的读写，一致性校验等存储管理任务，不仅可释放应用层对数据存储管理的性能开销，也可大大提升数据读写性能。海量存储+横向扩展能力用户各取所需自动分级存储可纳管多个异构存储设备支持跨区数据同步和容灾加密存储、重复数据删除……存储湖北京存储区域深圳存储区域存储池A存储池B存储池C存储池….存储池A存储池B存储池C存储池A存储池B存储池C可兼用对象存储、NAS/SAN、分布式存储、离线磁带库、光盘库……S3NAS磁带库对象存储HDFSGFS传输能力：智能高效传输断点续传中心-边缘CDN加速传输加密增量传输网络加速技术动态分片基于高速传输协议，传输数据时充分利用带宽资源智能结合网络环境、待传输文件情况综合判断，动态调整分片大小，提高传输效率支持传输加密，保障传输过程中数据安全可控传输前进行判断，仅传输增量数据，降低网络压力通过断点续传，实现网络不稳定或人为中断后的快速重传文件高效传输总部部署中心节点，分支机构部署边缘节点，实现数据就近访问数据安全能力：细粒度的文件权限管控支持对文件夹授权（文件默认继承文件夹权限）支持对单个文件授权支持按部门授权支持按工作组授权支持按用户授权12种用户权限快速预设权限数据安全能力：动态水印，有效震慑拍照/截屏等泄密行为文件云（FC5）文件下载水印文件在线预览水印基于水印/指纹技术快速定位数据泄漏责任人、数据泄漏源头；以数据文件名为基本单元，对数据基于时间的反向追溯；水印包含用户名、访问终端IP、访问时间等关键要素，并支持水印内容，水印数量、水印角度、明暗等自定义配置；重点分析源头的相关操作，综合评估数据泄漏影响结果！应用水印视频播放水印数据安全能力：文档使用不落地，用户本地不留痕在线预览在线编辑无需考虑格式差异，无需下载，通过浏览器即可在线预览文件即使需编辑文件，也无需下载，通过浏览器在线编辑，本地不留痕迹文件云（FC5）通过浏览器可无损预览多种格式办公文件。自动添加水印，避免文件被拍照、截屏后无法溯源。支持Windows/iOS/Android/Linux等多种终端访问。支持常见办公文档在线编辑。支持常见办公文档多人在线协同编辑，例如共同完成一份报告的不同章节。文件在线访问，无需下载，本地不缓存，有效防止数据扩散泄密。数据安全能力：终端访问安全管控对访问设备的IP地址的管控，可实现控制访问系统的用户或者设备。访问限制支持允许或者禁止列表两种模式，即白名单/黑名单。数据安全能力：防病毒引擎实现文件安全防护上传扫描存储池扫描存储池定时自动扫描定时对已存的文档数据进行全面扫描（病毒库更新后，对全局文件进行再次安全扫描）。可选择对接客户已有杀毒软件，或者采用其他杀毒软件，进行对比扫描检查。已对集成过的知名商用杀毒软件瑞星有赛门铁克，360天擎、安天等。文件上传过程实时扫描在用户上传资料时对文件进行扫描，对病毒进行拦截，确保文件的上传安全。杀毒引擎文件云（FC5）数据合规能力：分级、分类及合规脱敏管理内容安全合规引擎（ContentSecurityComplianceEngine，简称CSCE）对自动提取、识别的文件内容、标签、名称等，根据数据定级策略自动对文件进行安全定级。配合安全级别进行分级安全管控，并可通过敏感数据全视图，全局化掌控敏感数据概况。根据文件级别，进行个性化的文件内容安全合规脱敏处理。安全定标策略安全定标规则+安全定标级别安全脱敏引擎安全脱敏策略脱敏角色+安全脱敏规则+脱敏场景安全定标引擎定标结果脱敏文件数据合规能力：建立用户级别与文件级别的关系，设定文件可见范围重要涉密用户一般涉密用户普通用户公开文件内部文件机密文件秘密文件商密文件数据资产自动发现敏感数据自动识别数据资产分类分级数据资产分布状态全局可视数据资产分类分级可视数据资产访问热力图数据资产的统一管理、分类分级，数据安全治理的基石！数据合规能力：通过内容脱敏防止敏感信息泄漏根据用户权限以及脱敏规则，对文件中的敏感信息进行变形/遮挡/替换字符等方式处理后生成PDF文件，提供用户线预览、打印或下载，保护文件中的敏感及隐私信息。支持多种格式文件办公文件MSOffice、WPS、PDF音视频文件包含文字的图片脱敏文件流转管控能力：流程审批，敏感信息可管可控，防泄漏连用文件云敏感内容检测网闸等交换设备/介质内网文件云系统用户发起交换请求内容检测人工审核文件加密、打包添加认证信息…外网文件云系统内容涉密否是

边界交换待审核文件敏感信息预警提醒须人工审核是否增加机器自动审核，提高工作效率文件流转管控能力：灵活细致的文件摆渡策略管理哪些用户可以使用本策略文件可以传输给谁文件传输到哪个网络哪些用户可以审批采用何种审批模式文件流转管控能力：待审文件相关信息一目了然，提高审批工作效率待审文件无需下载，一键在线查看流程表单，快速了解传输需求审批节点及进度文件流转管控能力：支持自定义审批流程，满足差异化的安全审批需求图形化表单设计器，可快速建立各种业务表单，以及审批流程中审批人的设定。流程管理拖拽式完成审批流程的配置，多种流转条件设置，支持并发、子流程等多种流程类型。任务查看、任务办理、任务查询、催办、强制结束、删除等多种管理操作。流程配置流程表单设计通过点击和拖拽即可实现对各类审批流程的高效、灵活创建与管理文件流转管控能力：支持邮件方式交换文件内部用户邮件内容空间发邮件：内容安全合规可审批收邮件：附件防病毒可扫描内部用户外部用户邮件跨网交换外网/DMZ区内网邮件中的链接访问附件邮件及附件均在文件云的邮件空间流转内部邮件空间附件以链接形式安全分发外部邮件空间操作简便、高效

操作方式和邮件相同，支持邮件群发

通过邮件的标题、正文，更有效传递业务消息

支持与用户企业邮箱无缝集成安全合规外发邮件支持审批、收邮件支持防病毒扫描，实现邮件在隔离网络间进行安全收发提供附件链方式，实现附件仅可在线预览，不能下载、打印，附件不留存互联网平台中，避免数据外发泄漏风险。文件流转管控能力：文件使用痕迹监督审计每一个文件访问操作都有详细日志记录，以及图形化的文件流转踪迹展示，每一个文件都可以被追踪到流转的一切踪迹，何时，何人对文档做了哪些动作（共享、访问、修改、下载等）。智能识别和展示敏感数据的分布和流转，呈现数据地图与数据血缘。数据内容管理能力：文件格式管理提供100+种格式文件（如MSOffice、WPS、设计图纸、音视频等）的在线浏览、编辑、安全预览等服务。多种文件处理引擎，Linkappoffice、FFE-PDF、WPSonline、CADViewerX等。用户无需关注文档存储、转码、在线浏览等技术细节的情况下，快速搭建安全可靠、高可定制的文档处理平台，助力企业OA\ERP\财务\HR等应用系统的功能升级。文档原样呈现强大的文档转码、渲染技术，将文档原始完美呈现，不再变样，客户端软件中是什么样，浏览器中就是什么样多端访问支持支持PC/WAP浏览器、Android、iOS主流平台，内容根据不同终端自适应流式重排。仅加载当前页内容，节省流量先进架构分布式架构，能承受高并发、高可用。现成接口，拿来即用，节省开发成本，让您腾出更多的精力去专注您的业务丰富的处理功能支持100+种文档格式，提供文档信息提取、缩略图生成、目标格式选择、文档权限设置、离线浏览等丰富功能高效安全的预览安全水印、密标、内容脱敏，有效的保护文件预览是的安全。多人协同编辑，提高工作效率无缝对接易集成提供系统对接、上传、预览全套SDK，您可以根据实际业务需求将文档服务无缝对接到自己的业务系统中数据内容管理能力：使用浏览器在线预览，无需购买和安装终端软件领先的文档处理技术，通过浏览器可原样预览几乎所有的办公文件。无需购买本机软件，降低许可成本。自动添加水印，避免文件被拍照、截屏后无法溯源。数据内容管理能力：移动端跨平台预览Word文档PDF文档PPT文档Excel文档CAD文档视频文件支持Windows/iOS/Android/Linux主流移动操作系统根据不同终端的屏幕分辨率、性能，自适应流式重排，确保良好的呈现效果。根据用户操作，仅加载当前显示页文档内容，有效节省流量。数据内容管理能力：图像内容智能识别

图像识别引擎PRE(PhotoRecognitionEngine)提供综合性的图像理解、识别等服务，由图像分类和图像文件识别(OCRE)两大模块组成。PRE可与用户业务应用无缝集成，快速搭建安全可靠、高可用的图像分类和文字识别平台。图像分类涵盖人物、票据(增值税发票、火车票、的士票等)、证照(身份证、护照、银行、营业执照等(3个大类，能准确读懂图片内容，应用于智能相册管理、图片分类图像文字识别面向图片印刷体识别的功能模块，通俗来说是将图片、照片上的文字内容识别出来，直接转换为可编辑和二次使用文本的功能。数据内容管理能力：大数据全文搜索Big

Search

Engine(BSE)是基于Elasticsearch(ES)构建的高可用、可伸缩的非结构化数据全文搜索服务。BSE在原ES的基础上，增加了IKanalyzer分词插件和垂直行业词库，既有连用科技在非结构化数据方面的计算、存储、安全等领域的技术优势，又保持了Elasticsearch本身的兼容与开放，能够为客户提供稳定、弹性可扩展的搜索服务，帮助客户聚焦业务本身。BSE可以单机或集群的形式部署在私有网络内，可以很方便的和已有业务系统集成。BSE数据检索集群DSE节点DSE节点DSE节点非结构化/半结构化数据知识库流程附件业务数据……企业档案邮件附件全文检索移动应用检索系统内嵌企业检索数据汇聚传输RESTful

API连用网间文件安全摆渡的优势内、外网服务器物理隔离；内、外网用户数据物理隔离；可选网闸安全摆渡；01.真正的安全隔离机器自动对文件内容进行敏感识别，并进行阻断退回，非敏感文件自动放行，大大减轻审批工作量，提升网间交换安全性的同时，保障传输效率。03.机器自动审核嵌入审批流程个人文件交换传输；公共文件交换传输；业务系统文件自动交换传输；灵活可配的审批流程管理；02.覆盖绝大部分文件交换场景基于内容的安全管控；文件不落地、安全水印等防泄密保护；文件流转轨迹追踪；审计日志详细记录所有访问