楔子

對(duì)于企業(yè)來(lái)說(shuō)，數(shù)據(jù)安全無(wú)疑是商業(yè)生命周期中極為重要的一環(huán)。

前段時(shí)間有朋友和我聊起公司下設(shè)的銷售門店被突擊檢查，所有電腦的所有數(shù)據(jù)被完全拷走了，由此引起了公司高層對(duì)企業(yè)數(shù)據(jù)安全的擔(dān)憂。

恰逢群暉發(fā)布全新的25系列塔式NAS，奶爸也是第一時(shí)間拿到了剛剛發(fā)布的DS925+，就順便來(lái)聊一聊企業(yè)、團(tuán)隊(duì)如何借助群暉NAS來(lái)實(shí)現(xiàn)全企業(yè)數(shù)據(jù)集中管理，如何保證企業(yè)數(shù)據(jù)的安全性。

企業(yè)的需求

1. 防止數(shù)據(jù)泄露：避免員工離職時(shí)帶走公司核心數(shù)據(jù)（如客戶資料、報(bào)價(jià)單、銷售合同等），防止數(shù)據(jù)被競(jìng)爭(zhēng)對(duì)手獲??；

2.數(shù)據(jù)不落地：所有工作文件統(tǒng)一存放在公司NAS，員工電腦不保存重要數(shù)據(jù)，確保數(shù)據(jù)集中管理；

3.權(quán)限精細(xì)化管理：根據(jù)員工的職位和職責(zé)，分配不同的數(shù)據(jù)訪問(wèn)權(quán)限。例如，總經(jīng)理可訪問(wèn)全部文件，普通員工僅能訪問(wèn)本部門文件夾，外包人員僅能訪問(wèn)特定項(xiàng)目文件夾。

4.操作記錄全程追蹤：對(duì)員工在NAS上的所有操作（如下載、刪除文件）進(jìn)行記錄，確保行為可追溯。

5.異常行為預(yù)警：對(duì)異常操作（如短時(shí)間內(nèi)大量下載文件）進(jìn)行自動(dòng)預(yù)警，及時(shí)發(fā)現(xiàn)潛在風(fēng)險(xiǎn)。

6.外發(fā)文件監(jiān)管：禁止NAS文件直接分享到微信、QQ等社交工具，外發(fā)文件需提交申請(qǐng)并自動(dòng)添加水印，以便追溯責(zé)任人。

功能演示用設(shè)備，群暉DS925+

▼群暉DS925+從正面看幾乎看不出來(lái)與DS923+的差別，依舊是群暉經(jīng)典的家族式設(shè)計(jì)，甚至硬盤籠也是通用的。在設(shè)備的正面可以看到電源按鈕、一個(gè)USB 3.2Gen1 以及設(shè)備狀態(tài)指示燈。

▼群暉DS925+相較于DS923+，CPU從AMD R1600 升級(jí)到了DS1621+同款處理器AMD V1500B，上代更高規(guī)格產(chǎn)品處理器下放到稍低定位產(chǎn)品可以說(shuō)是群暉NAS的傳統(tǒng)藝能了。

▼AMD V1500B與AMD R1600相比，主要提升在于多核性能，提升幅度達(dá)到了40.8%，從一定程度上講，DS925+的性能還是有比較明顯的提升，更加能勝任同時(shí)在線人數(shù)較多、日常使用負(fù)載較高的企業(yè)辦公環(huán)境。

▼來(lái)到設(shè)備的背面，相較DS923+還是有比較明顯的差別的，雙千兆rj45網(wǎng)絡(luò)接口升級(jí)到了雙2.5G網(wǎng)絡(luò)接口，同時(shí)取消掉了PCIe萬(wàn)兆擴(kuò)展接口。一般場(chǎng)景下受限于成本以及連接NAS的PC設(shè)備，相對(duì)來(lái)說(shuō)雙2.5G網(wǎng)絡(luò)接口的實(shí)際應(yīng)用場(chǎng)景是優(yōu)于萬(wàn)兆的。連接硬盤擴(kuò)展柜的e-SATA接口也升級(jí)成了Type-C接口，硬盤擴(kuò)展柜型號(hào)也從DX517升級(jí)到了DX525。

▼產(chǎn)品搭載4GB ECC內(nèi)存，支持自行擴(kuò)展，設(shè)計(jì)有兩個(gè)MVMe插槽，可以用來(lái)做存儲(chǔ)也可以用來(lái)做緩存。

▼25Plus系列設(shè)備群暉搭配使用群暉原廠硬盤，我這里演示使用的是群暉Plus系列硬盤HAT3300-4T，價(jià)格上與希捷酷狼硬盤差不了多少，優(yōu)勢(shì)在于企業(yè)可以進(jìn)行【一站式質(zhì)?！浚瑴p少未配備專業(yè)運(yùn)維人員企業(yè)的維護(hù)煩惱。

畢竟作為ToB端服務(wù)，群暉的目標(biāo)始終是提供最可靠和安全的存儲(chǔ)體驗(yàn)，存儲(chǔ)硬盤是體系中最重要的組件之一，也是歷來(lái)NAS“故障”常見(jiàn)來(lái)源之一（有時(shí)其實(shí)是硬盤故障，但有可能誤以為是NAS故障），進(jìn)而可能導(dǎo)致診斷延遲和服務(wù)中斷，如果企業(yè)使用的是群暉 NAS +群暉硬盤，那只要通過(guò)群暉統(tǒng)一的售后窗口，就可以快速進(jìn)行排障，對(duì)企業(yè)來(lái)說(shuō)不僅降低了溝通成本，更是大幅減少了宕機(jī)時(shí)間。

▼目前群暉DS925+最新的系統(tǒng)版本是7.2.2-72806 Upodate，這一點(diǎn)倒是與群暉DS923+保持一致。

▼用戶感知最為明顯的大概就是千兆網(wǎng)口到2.5G網(wǎng)口的升級(jí)了，我不大喜歡做拆解什么的，不過(guò)我有個(gè)小伙伴喜歡，等他拆了以后大家就可以指導(dǎo)群暉DS925+搭載的是什么網(wǎng)卡了。

▼使用CrystalDiskMark進(jìn)行讀寫性能測(cè)試，最后獲得了順序讀取296.48MB/s，順序?qū)懭?35.55MB/s，隨機(jī)讀取34.83MB/s，隨機(jī)寫入22.15MB/s的數(shù)據(jù)，講道理理論測(cè)試結(jié)果還是很讓人滿意的，尤其是4K讀寫能力很高，比之前測(cè)試過(guò)一個(gè)雷電直連NAS PCIe3.0固態(tài)都要高，只能說(shuō)NAS系統(tǒng)不是一蹴而就，一朝一夕就能做好的，還是需要很多的技術(shù)積累。

▼受限于機(jī)械硬盤性能的緣故，RAID1環(huán)境下從NAS拉取文件到PC本地（2.5G網(wǎng)口直連），速度最高200MB/s左右，測(cè)試文件為自制的一個(gè)10GB大文件。

▼上載的話，顯示200MB/s以上跑一小段時(shí)間（大概1GB左右數(shù)據(jù)量），然后穩(wěn)定在134MB/s左右。

關(guān)于群暉DS925+普通消費(fèi)者關(guān)心的問(wèn)題

▼DS925+目前的系統(tǒng)支持從老設(shè)備進(jìn)行硬盤遷移，我這里用DS923+中使用的SATA SSD進(jìn)行測(cè)試，直接顯示轉(zhuǎn)移狀態(tài)。

▼雖然存儲(chǔ)池有警告提示，但是不影響正常使用。

▼哦吼，上傳到NAS也可以273MB/s跑滿2.5G網(wǎng)口了。

▼NAS下載到本地也有284MB/s的速率了，只要思想不滑坡，辦法總比困難多。具體群暉25Plus系列產(chǎn)品支持的硬盤型號(hào)，大家可以在官網(wǎng)查看器提供的兼容性列表。

企業(yè)數(shù)據(jù)集中化管理的根基——用戶權(quán)限管理

1.企業(yè)本地部署NAS方案與云電腦方案的簡(jiǎn)單比較

▼朋友所在的企業(yè)發(fā)生數(shù)據(jù)泄露之后開(kāi)始考慮是選用云電腦配瘦客戶機(jī)的形式還是使用NAS的形式，云電腦方案包含軟硬件成本，報(bào)價(jià)來(lái)到了800萬(wàn)5年，之后每年的使用費(fèi)用在120萬(wàn)左右。使用塔式群暉NAS DS925+配合4塊16T原廠硬盤，成本也不過(guò)1.5萬(wàn)，從成本控制、降本增效來(lái)講本地化部署NAS無(wú)疑是最優(yōu)解。

▼而且使用云電腦方案也并不能完全規(guī)避數(shù)據(jù)泄露的風(fēng)險(xiǎn)，畢竟企業(yè)數(shù)據(jù)安全管理歸根結(jié)底是對(duì)人的管理，即便花費(fèi)巨大的成本上線云電腦方案，瘦客戶機(jī)不及時(shí)斷開(kāi)連接、不設(shè)置密碼、保留有云電腦訪問(wèn)痕跡照樣會(huì)造成數(shù)據(jù)泄露，加強(qiáng)員工數(shù)據(jù)安全意識(shí)才是重中之重。

2.共享文件夾的設(shè)計(jì)與管理

▼這里我要給大家明確一個(gè)理念：群暉NAS上的人員分級(jí)權(quán)限管理，實(shí)際上就是對(duì)共享文件夾訪問(wèn)權(quán)限的管理。

朋友的企業(yè)屬于銷售型組織架構(gòu)，結(jié)構(gòu)上分為總公司-省級(jí)運(yùn)營(yíng)-市級(jí)運(yùn)營(yíng)-市內(nèi)門店，需要四級(jí)權(quán)限管理（高級(jí)的部門可以訪問(wèn)下一級(jí)的文件），部分時(shí)候有外包人員進(jìn)場(chǎng)需要臨時(shí)文件訪問(wèn)權(quán)限。

▼在明確了人員分級(jí)管理實(shí)際上就是對(duì)文件夾訪問(wèn)權(quán)限的管理之后，我們首先要做的就是創(chuàng)建共享文件夾。

▼在創(chuàng)建共享文件夾的過(guò)程中最好能按照一定的命名規(guī)則去處理，以免后期管理的時(shí)候看著不舒服。以朋友所在的公司為例，按照公司組織架構(gòu)分別建設(shè)【總公司】、【山西省分公司】、【山西太原地區(qū)】、【山西太原迎澤區(qū)門店】四個(gè)層級(jí)的共享文件夾，這樣按照名稱排序的時(shí)候也更加便于管理，不加滿前綴的話會(huì)看起來(lái)有些亂。

▼創(chuàng)建共享文件夾的時(shí)候勾選“對(duì)沒(méi)有權(quán)限的用戶隱藏子文件夾與文件”與在”網(wǎng)上鄰居“隱藏此共享文件夾。在設(shè)置的過(guò)程中如果有個(gè)性化設(shè)置的話，可以按照提示進(jìn)行配置，沒(méi)有的話一路Next即可，用戶、用戶組之類的統(tǒng)統(tǒng)暫不配置。

▼接著我們?cè)谖募?wù)中，開(kāi)啟SMB下的對(duì)沒(méi)有權(quán)限的用戶隱藏共享文件夾。

3.添加用戶組

▼在創(chuàng)建用戶組的時(shí)候依舊最好能按照一定的命名規(guī)則去處理，可以依舊使用公司組織架構(gòu)的形式創(chuàng)建用戶組，方便進(jìn)行統(tǒng)一的管理。先添加用戶組后添加用戶是為了使用批量創(chuàng)建用戶的方法，適當(dāng)減少用戶創(chuàng)建時(shí)的工作量。

▼創(chuàng)建用戶組之后對(duì)第二部創(chuàng)建的共享文件夾進(jìn)行匹配，匹配邏輯是上級(jí)組織架構(gòu)用戶組可以訪問(wèn)本級(jí)以及下一級(jí)組織共享文件夾。例如山西分公司用戶組可以訪問(wèn)當(dāng)前分公司、下屬市級(jí)地區(qū)公司、門店的所有共享文件夾。

4.添加用戶

▼創(chuàng)建用戶的時(shí)候可以使用公司組織架構(gòu)的形式創(chuàng)建用戶，例如：【總公司張三】、【山西分公司李四】、【山西太原地區(qū)王五】、【山西太原迎澤區(qū)門店趙六】以增加辨識(shí)度，也可以通過(guò)給組織架構(gòu)進(jìn)行編號(hào)+用戶姓名拼音的形式進(jìn)行創(chuàng)建，例如總公司代號(hào)10，山西分公司代號(hào)11，太原地區(qū)代號(hào)01，迎澤區(qū)門店代號(hào)01，由此構(gòu)成總公司工號(hào)10zhangs（張三）、迎澤區(qū)門店工號(hào)110101zhangs（張三）。

▼為了便于創(chuàng)建用戶，我們可以使用導(dǎo)入列表的功能進(jìn)行快速創(chuàng)建。

▼講道理群暉應(yīng)該在這里設(shè)計(jì)一個(gè)模板的，這樣用戶使用的時(shí)候回更方便，不過(guò)他沒(méi)有提供，我們可以自行創(chuàng)建一個(gè)excel文件，并按照 用戶名-密碼（批量相同的密碼）-描述-電子郵件-群組名稱-空間配額的格式編輯文件，然后另存文檔為.csv格式文件，導(dǎo)入以后將分隔符選擇為“逗號(hào)”，并且勾選“首次登入強(qiáng)制修改密碼”即可大功告成，用戶權(quán)限跟隨用戶組權(quán)限。

5.設(shè)置下級(jí)組織架構(gòu)管理員

▼理論上，一個(gè)企業(yè)的工號(hào)、權(quán)限應(yīng)該由總公司運(yùn)維人員統(tǒng)一管理（默認(rèn)模式），甚至申請(qǐng)賬號(hào)需要使用OA進(jìn)行申請(qǐng)。不過(guò)在實(shí)踐中，為了減少總公司與分支機(jī)構(gòu)的摩擦交互，縮短業(yè)務(wù)辦理流程，提升業(yè)務(wù)效率，也會(huì)有委派授權(quán)，允許分支機(jī)構(gòu)自行設(shè)置賬號(hào)、權(quán)限的情況，這時(shí)候就可以使用用戶賬號(hào)管理中的委派功能，對(duì)賬號(hào)進(jìn)行授權(quán)，畢竟鐵打的領(lǐng)導(dǎo)，流水的兵。

此舉也能便于實(shí)現(xiàn)更精細(xì)化的權(quán)限管理。

6.分支機(jī)構(gòu)精細(xì)化權(quán)限管理

▼從前面的設(shè)置過(guò)程可以看出來(lái)我們的設(shè)置過(guò)程主要是圍繞著企業(yè)的組織架構(gòu)進(jìn)行的，但是某個(gè)門店需要單獨(dú)設(shè)置文件權(quán)限，比如說(shuō)財(cái)務(wù)小伙伴們根據(jù)銷售經(jīng)理的營(yíng)銷額分發(fā)不同的提成，這部分?jǐn)?shù)據(jù)是不允許其他用戶查看的。

門店機(jī)構(gòu)負(fù)責(zé)人就可以在共享文件夾下分別創(chuàng)建不同用途，不同用戶訪問(wèn)的子文件夾。

▼在相應(yīng)文件夾點(diǎn)擊右鍵-屬性-權(quán)限標(biāo)簽-選擇用戶-更改類型為“拒絕”，這樣非財(cái)務(wù)人員就看不到該機(jī)構(gòu)的財(cái)務(wù)文件夾了。

▼同一個(gè)機(jī)構(gòu)的不同類型業(yè)務(wù)人員可以擁有不同的文件訪問(wèn)權(quán)限，利用這個(gè)功能還可以實(shí)現(xiàn)外包人員有限制的訪問(wèn)部分文件，或者是僅語(yǔ)序讀取/寫入，禁止刪除等，進(jìn)一步實(shí)現(xiàn)以項(xiàng)目管理為目的文件權(quán)限管理。

▼甚至可以“向上管理”，禁止總部相關(guān)人員訪問(wèn)該文件夾，這就是群暉精細(xì)化權(quán)限管理的優(yōu)勢(shì)。

文件集約化管理后的無(wú)痕、安全辦公

▼想要將數(shù)據(jù)完全存儲(chǔ)在NAS端，保證數(shù)據(jù)不泄露，應(yīng)付的聊突擊檢查，就要合理使用群暉Drive套件。

▼另外強(qiáng)烈推薦使用瀏覽器的無(wú)痕模式，減少本地PC留下的痕跡。

▼在控制臺(tái)中-團(tuán)隊(duì)文件夾-共享文件夾-啟用即可開(kāi)啟團(tuán)隊(duì)文件夾，通過(guò)Drive可以實(shí)現(xiàn)版本控制，不必?fù)?dān)心由于誤操作造成文件修改、版本不對(duì)的情況，群暉還貼心的做了一個(gè)設(shè)置情況的總結(jié)。

▼使用Drive可以在小型職能部門內(nèi)部方便的進(jìn)行協(xié)同辦公。

▼不需要共享的個(gè)人文件夾可以放在“我的文件”中進(jìn)行保存。

▼office三件套文件可以直接打開(kāi)預(yù)覽。

▼將文件再Synology Office中打開(kāi)，并導(dǎo)入Synology Office后就可以對(duì)office三件套文件進(jìn)行編輯了，真正實(shí)現(xiàn)文件集中化管理，本地不存儲(chǔ)數(shù)據(jù)，如果控制員工電腦不允許安裝Office、WPS，更可絕后患，還是那句話，企業(yè)數(shù)據(jù)管理終究是落在人的管理上。

▼Drive提供了高級(jí)功能，包括遠(yuǎn)程擦除、限制下載以及水印功能，目前這些功能需要登陸賬號(hào)以實(shí)現(xiàn)激活，黑群暉無(wú)緣。

▼遠(yuǎn)程擦除功能的主要應(yīng)用場(chǎng)景是Drive客戶端，提一嘴Drive是我每天都會(huì)用到的工具，非常的方便，但是對(duì)于我朋友這種銷售型企業(yè)來(lái)說(shuō)，追求無(wú)痕辦公，是不需要使用客戶端的，其他類型企業(yè)可以靈活使用遠(yuǎn)程擦除功能保證數(shù)據(jù)不外泄。

▼銷售門店數(shù)據(jù)上云之后，本地沒(méi)有數(shù)據(jù)安全了，如果員工直接掏出來(lái)手機(jī)給文件拍照，那我們還是沒(méi)招，這時(shí)候加上水印功能會(huì)更好一些，我們可以設(shè)置訪問(wèn)用戶名、訪問(wèn)時(shí)間作為水印。

▼該功能對(duì)PDF文件與圖片文件適用，OFFICE文件是不中的，還是那句話，企業(yè)管理是對(duì)人的管理，不可能完全借助工具實(shí)現(xiàn)對(duì)人的管理，對(duì)內(nèi)發(fā)布類的文件，最好還是另存為PDF再共享。

▼借助Drive進(jìn)行共享辦公也是意見(jiàn)很方便的事情。

用好日志，數(shù)據(jù)外泄好追責(zé)

▼群暉提供日志中心功能，用戶訪問(wèn)、操作的記錄一目了然，當(dāng)發(fā)現(xiàn)數(shù)據(jù)外泄情況的時(shí)候可以快速定位泄密人員（當(dāng)然，被拍照或者是非PDF的可編輯類文件外泄就沒(méi)招了）。

▼開(kāi)啟通知功能后可以讓管理員快速獲取異常訪問(wèn)信息。

全公司互聯(lián)網(wǎng)訪問(wèn)，無(wú)需專線

▼群暉提供QuickConnect功能，無(wú)需公網(wǎng)IP就可以實(shí)現(xiàn)分支機(jī)構(gòu)訪問(wèn)群暉NAS。

▼當(dāng)然，大多數(shù)企業(yè)是有互聯(lián)網(wǎng)專線，有公網(wǎng)IP的，也可以借助群暉內(nèi)置提供的DDNS服務(wù)進(jìn)行解析。

數(shù)據(jù)暴露在互聯(lián)網(wǎng)也能保證數(shù)據(jù)安全

1.Active Backup for Business（ABB），應(yīng)對(duì)勒索病毒

▼ABB提供集中備份物理服務(wù)器、計(jì)算機(jī)、文件服務(wù)器和虛擬機(jī)服務(wù)，但是正如文中所講，我們要做的是本地?zé)o痕化辦公，這樣的話我們更多的是采用雙設(shè)備配置，互相備份的形式保障數(shù)據(jù)安全。

2.快照，給企業(yè)數(shù)據(jù)做一個(gè)存檔點(diǎn)

▼快照就像是游戲里面的游戲存檔，企業(yè)數(shù)據(jù)發(fā)生異常的時(shí)候可以快速恢復(fù)，企業(yè)管理員可以設(shè)置自動(dòng)快照計(jì)劃以及保留版本策略，很簡(jiǎn)單也很安全。

3.使用RAID，暴力數(shù)據(jù)離線也有保障

▼相對(duì)整個(gè)企業(yè)數(shù)據(jù)集中管理的方案來(lái)說(shuō)，有些公司會(huì)更喜歡門店數(shù)據(jù)單獨(dú)管理，避免出現(xiàn)總部被“一鍋端”的情況，給硬盤組個(gè)RAID1（雙盤位群暉NAS）或者RAID5（4盤位NAS）可以有效規(guī)避設(shè)備意外斷電（故意斷電）造成數(shù)據(jù)丟失的情況。群暉提供RAID 1、RAID 5、RAID 6、RAID 10、SHR等多種陣列模式，充分保證數(shù)據(jù)安全。

詳細(xì)的使用說(shuō)明，沒(méi)有運(yùn)維人員也不怕

▼群暉Universal Search功能中融合了絕大多數(shù)服務(wù)的使用說(shuō)明，內(nèi)容詳細(xì)到了每個(gè)關(guān)鍵操作的關(guān)鍵步驟，一步一步幫員工成為一個(gè)半運(yùn)維人員，即便企業(yè)內(nèi)沒(méi)有專職運(yùn)維人員或者是專職人員沒(méi)有接觸過(guò)NAS也不怕。

寫在最后

在當(dāng)今數(shù)字化時(shí)代，企業(yè)面臨著海量數(shù)據(jù)的存儲(chǔ)、管理與共享等諸多挑戰(zhàn)，而群暉NAS憑借其卓越的性能、強(qiáng)大的功能以及出色的穩(wěn)定性，成為眾多企業(yè)的理想解決方案。

群暉NAS內(nèi)置的文件管理系統(tǒng)，支持多種文件格式和協(xié)議，方便企業(yè)員工快速查找、編輯和管理文件。同時(shí)，其智能的文件分類和標(biāo)簽功能，能夠幫助企業(yè)高效地組織數(shù)據(jù)，提高工作效率。

群暉NAS在數(shù)據(jù)安全方面表現(xiàn)也出色，多種安全機(jī)制，如數(shù)據(jù)加密、備份與恢復(fù)功能等，能夠有效防止數(shù)據(jù)泄露和丟失。

企業(yè)可以設(shè)置不同的訪問(wèn)權(quán)限，確保重要數(shù)據(jù)的安全性和保密性。此外，群暉NAS還支持自動(dòng)備份功能，無(wú)論是本地備份還是遠(yuǎn)程備份，都能輕松實(shí)現(xiàn)，為企業(yè)數(shù)據(jù)提供全方位的保護(hù)。

最近有打算數(shù)據(jù)上云的工作室、企業(yè)主可以著重考慮群暉新品25系列。