公司内部网络实现文件共享,要求能控制账号访问权限,比较特殊一点的是要求能编辑文档,但是不允许复制出来?

从技术角度讨论下这个需求

内网实现文件共享,控制账号访问权限,不允许复制文件….这个大多数企业网盘都能做到。

巴别鸟能做到仅允许用户在线编辑文件,就是某个权限的用户仅可以在线编辑文件,他不能下载文件,可以阻止预览模式下的文件内容被复制,也可以加水印。

但是,编辑模式下阻止复制文件的内容,这个就很难做到。因为复制、粘贴是文档编辑操作的一部分,就是日常编辑文档时,复制粘贴也是使用最频繁的基操。我们可以从禁止右键、禁止键盘ctrl+c的思路去阻止用户复制文件内容,但这是典型的治标不治本,肯钻研的用户只要有编辑权限一定有的是办法获取到文件内容。譬如:稍微有点技术的可以靠浏览器工具直接获取到文件文本信息复制,(因为用户要在线编辑某个文件,所以浏览器里一定有文件的文本缓存)。没技术不怕麻烦的可以拍照然后OCR(现在OCR实现成本很低,截屏发到微信就可以获取到图片上的文本)。

预览可以阻止复制的原理是显示图形化和预览解析的文件加密(譬如用加密PDF),但只要能编辑意味着文件内容就是能被获取的(复制)。

所以,要实现保证文件内容不被复制传播,只能在设备上想办法。目前我们的客户会用如下几个方案保护绝密数据

1.使用远程桌面+巴别鸟工作。远程桌面可以理解为一个沙盒,它的对外端口是可以控制的,也不存在插入优盘copy数据的可能,即使复制内容,也可以做到复制的信息只能在远程桌面内使用,封掉邮箱、微信等外网传播手段,文件共享和传输都用巴别鸟企业网盘,通过权限控制就可以做到数据不外泄和不落地。

2.使用特定的设备。员工的电脑由企业管理,封掉能外传数据的端口。使用巴别鸟mac地址绑定让账号仅能在特定设备使用。即使复制了信息,也传递不出去。

3.纯内网部署网盘和设备纯内网使用。没有办法对外传输数据。需要传输数据要使用数据摆渡把数据传输到非密区。

4.安装文件加密或内容监控平台,阻止关键内容外传。(但复制的文件内容很难阻止,譬如粘贴到微信上。即使能监控社交软件外发信息,关键字判断内容是否能发送也只能事后追责)

综上,其他的办法个人觉得都是治标不治本,就是说,从技术实现原理上讲,目前没有一个好的办法阻止有编辑权限的人去获取(复制)文件内容的,我们只能想办法阻止他把内容传输出去。

如有好的方法,欢迎在评论区指出,我们也可以尝试找找看漏洞。

 

发表评论

电子邮件地址不会被公开。 必填项已用*标注