甲方问的第一个问题,往往决定了整个项目的生死。
去年我们接触了一个 2000 人规模的制造业客户,信息安全部的周主任开门见山:「我们要求等保三级,必须支持国密算法,核心研发数据物理隔离,其他部门走逻辑隔离,能做吗?」
这不是招标要求,这是入场券。做不了,连竞标资格都没有。
私有化部署已经不是”大企业才需要考虑”的可选项。对于涉及核心知识产权、图纸、研发数据的制造企业和设计院,数据主权是底线,不是加分项。而等保三级 + 国密算法 + 物理隔离,是国内私有化企业云盘的三块硬骨头,每一块都有真实的踩坑记录。
一、等保三级:不是买一套系统,是通过一场考试
等保三级(GB/T 22239-2019)全称是”网络安全等级保护三级”,对企业云盘而言,最核心的三个要求是:
日志留存 ≥ 180 天。不是 30 天,不是 90 天,是 180 天。这意味着你的日志系统必须能扛住 200 人团队半年的写入量,不能丢失、不能篡改、不能漏记。某省级设计院在等保复测时被发现日志只留存了 90 天,整改花了 6 周,重新购买存储设备加日志审计系统,额外支出了 40 多万。
操作可归因。每一个文件访问、下载、外发行为,必须能追溯到具体的人。不是”某个部门的某个人”,是身份证号级别的实名认证记录。这要求企业云盘在账号体系和权限变更日志上做大量底层改造,不是简单加个”操作日志”开关就完了。
敏感操作二次验证。超过 5MB 的文件外发、跨部门共享、权限提升——这些行为必须触发二次认证,可以是短信验证码,可以是生物识别,可以是硬件 Key,但必须有。
等保三级评测有一个特别容易踩的坑:评测机构会实测,不是看文档。他们会模拟内部人员尝试越权访问,会检查日志是否真的不可篡改,会验证备份恢复流程。有家汽车零部件厂商第一次评测失败,原因是日志系统用的是普通数据库,没有做防篡改机制,评测员直接在测试报告里写了”日志可被应用层删除”——这条评语让整个安全体系评分降了一档。
等保三级的通过周期,通常是 3 到 6 个月。建设期 1 到 2 个月,评测机构排队 1 到 3 个月,整改 1 到 2 个月。如果有人说”两个月包过”,要么是忽悠,要么是在评测前做了大量预沟通。
二、国密算法:SM2/SM3/SM4 不是可选项
国密算法是国家密码管理局认定的商用密码算法体系,企业云盘私有化部署只要涉及政府、央企、地方国企,等保三级测评里必然要过 SM 算法这一关。
SM2 是非对称加密算法,类似于 RSA,但密钥更短(256 位),安全性相当,主要用于数字签名和密钥交换。SM3 是哈希算法,类似于 SHA-256,用于消息完整性校验。SM4 是对称加密算法,类似于 AES,用于文件内容的实际加密。
实际部署时最大的坑是:性能。
SM4 的软件实现比 AES 慢 30% 到 50%,在大文件场景下这个差距会被放大。一家媒体公司在测试时发现,500MB 的视频文件加密时间从 8 秒飙升到 23 秒,用户完全无法接受。后来他们加装了带 SM4 硬件加速卡的服务器,加密时间压回了 9 秒——但每台服务器多了 8000 块硬件成本。
SM2 的签名验签性能也是瓶颈。在高并发场景下(500 用户同时操作),SM2 的 RSA 等比加密验签耗时会成为 CPU 的主要负载。如果不做专门的密码服务集群(Crypto Service Provider),单台服务器的 TPS 会从 3000 跌到 800。
国密算法的正确部署架构,通常是这样的:
应用层(SM4 文件加密)→ 密码服务集群(3节点主备)→ HSM 硬件安全模块(密钥存储)
HSM(Hardware Security Module)是必须采购的设备,用来存储 SM2 私钥,不能放在普通服务器内存里。等保三级评测会检查 HSM 的使用情况,这是硬件层面的硬性要求。
选型时还有一个细节:很多国内云盘厂商说”支持国密”,但实际只在传输层做了 TLS 加密,存储层还是用的 AES。一定要问清楚文件内容是否在存储层做了 SM4 加密,这个区别在等保测评里会被单独测试。
三、物理隔离:网络层隔离是最容易出纰漏的地方
物理隔离的核心逻辑很简单:核心数据不能和其他业务共享网络通道,不能走同一个交换机,不能在同一个子网。
但实际部署时,物理隔离的边界比想象中复杂得多。
第一个纰漏点:运维通道。
很多企业做了生产网和办公网的物理隔离,但忘了留运维通道。等保三级要求管理员能远程运维,但运维通道必须独立于业务网络。有一家设计院在第一次等保评测时被测出”运维通道与业务网络共用接入交换机”,评测员直接截图记录,整改方案是重新采购两台独立接入交换机,并部署独立的运维管理网段,整改周期三周。
第二个纰漏点:备份网络。
备份是物理隔离方案里最容易被攻击的短板。备份数据如果走业务网络,等于在物理隔离墙上开了一个口子。正确的做法是:备份走独立网络通道,或在备份链路层做独立加密,备份存储也放在独立物理区域。
第三个纰漏点:内部互联互通。
很多企业的核心研发网和普通办公网之间,有意无意会有一些”便利通道”——测试环境的共享存储、跨部门文件传输用的临时 SFTP 服务器。这些通道如果没被发现,等保测评时会直接成为扣分项。有一家医疗器械公司被测出 4 个未登记的跨网数据交换通道,评测结论是”网络安全域隔离不完整”,整整改了两个月。
物理隔离的完整架构,通常需要四张网:
- 核心研发网(完全物理隔离)
- 办公业务网(逻辑隔离)
- 运维管理网(独立通道)
- 备份数据网(独立通道)
四网分离的建设成本不低,但等保三级的物理隔离测评是逐项检查的,任何一个遗漏点都会导致整体评分下降。
四、巴别鸟私有化方案的核心设计
我们在给客户做私有化部署时,有几个硬性设计原则:
日志系统独立部署。日志服务单独部署在独立服务器上,不和应用共享数据库,通过 Syslog 协议接收日志数据,日志写入后通过只读 API 对外提供查询,禁止应用层删除和修改日志。这是通过等保三级评测的基础条件,不是可选项。
SM2/SM3/SM4 全栈支持。存储层文件加密用 SM4,传输层 TLS 握手用 SM2,完整性校验用 SM3。密码服务集群做 3 节点部署,主备自动切换,HSM 硬件存储私钥。文件分片加密,每个分片独立密钥,分片密钥由主密钥加密存储,泄露任何一个分片密钥不会影响其他分片。
四网分离架构。核心研发网、办公业务网、运维管理网、备份数据网各自独立交换机和路由,核心网的出口防火墙单独配置,不和其他网络共享任何网络设备。
等保合规包。包含完整的制度文档、等保测评配合、漏洞扫描报告、安全加固建议。客户不需要自己去研究等保测评流程,我们提供一站式合规交付包,减少客户的实施工作量。
五、真实踩坑案例:一家省级设计院的 18 个月
有一家省级设计院,2019 年开始规划私有化部署,最初的方案是”在现有虚拟化平台上搭一套开源云盘”。项目负责人低估了等保三级的复杂度。
第一年:上线了一套开源云盘,测试时发现没有完整的操作日志,没有国密支持,权限粒度只能到文件夹。等保三级差距太大,推倒重来。
第二年:换了一套商业云盘,这次有了日志和权限,但日志存在应用数据库里,评测机构用测试账号直接删掉了自己三个月前的操作日志。评测失败,整改。
第三年:找到了我们,重新做物理隔离方案和日志架构。18 个月后,等保三级测评通过。
这个案例里最核心的教训是:等保三级不是买一套功能齐全的系统,是建立一套可评测的安全体系。很多厂商卖的是”功能”,但等保三级要求的是”证据”——你能证明你的系统满足每一项要求,而不是只是功能上有这个模块。
六、私有化部署的选型检查清单
如果你正在评估私有化企业云盘,以下几个问题可以直接问供应商,能答上来的继续谈,答不上来的可以直接过滤:
-
等保三级测评你们配合过几次?最近一次是什么时候?有没有测评报告样本?(看有没有真实落地经验)
-
日志存储是否独立于应用数据库?是否支持 Syslog 协议?日志是否防篡改?(这三个问题能过滤掉 80% 的不专业供应商)
-
SM2/SM3/SM4 是软件实现还是硬件加速?HSM 你们用哪个品牌?(硬件加速是性能底线,HSM 是等保三级硬性要求)
-
物理隔离方案是几网分离?运维通道怎么设计?(四网分离是基本要求,三网都不到的可以直接跳过)
-
你们的密码服务集群是几节点?主备切换时间多少?(99.9% 的可用性需要多节点集群支撑,单点密码服务在等保评测里是扣分项)
问完这五个问题,供应商的底牌基本清楚了。能答清楚的,有真实安全建设经验;答不清楚的,大概率是贴牌产品或纯软件定制,没有底层安全架构能力。
数据主权这件事,做对了不加分,做错了是灾难。私有化部署不是把系统装在本地服务器就完了,它是一套涉及密码学、网络架构、安全合规、运维体系的系统工程。等保三级、国密算法、物理隔离,这三块硬骨头没有一块是靠功能列表就能解决的,必须看底层架构和真实交付案例。
找到对的人,比找到对的系统更重要。