Закрытое внедрение RAGFlow + Ollama: корпоративный ИИ без утечек и облаков | IT - архитектор

Закрытое внедрение RAGFlow + Ollama: корпоративный ИИ без утечек и облаков

🏢 Внутренний заказчик — средняя компания с повышенными требованиями к информационной безопасности.
Задача — построить локальный контур ИИ-аналитики, полностью изолированный от внешних облаков и утечек.

Цель: сделать ИИ, который работает внутри периметра, не отправляет данные в интернет и поддаётся полному аудиту.

Исходное состояние

  • Документы разбросаны по файловым шарам, SharePoint и почтовым ящикам
  • Отсутствует контроль доступа к знаниям
  • Использование публичных LLM запрещено службой ИБ
  • Нет технической возможности централизованного поиска по знаниям
  • Каждый отдел использует собственные “копии правды”

Архитектура решения

Построен изолированный контур обработки данных:

  • RAGFlow — оркестратор пайплайнов retrieval + генерации
  • Ollama — локальный runtime для моделей
  • Модели:
    • gpt-oss — общие задачи и аналитика
    • qwen — обработка регламентов, договоров, техдокументов
  • Хранение эмбеддингов — локальная векторная БД (без внешних API)
  • Запуск исключительно внутри Docker + hardened Linux-хоста

Как проходило внедрение

  1. Развёртывание изолированного сегмента сети без выхода в интернет
  2. Настройка Docker Registry внутри компании
  3. Размещение моделей строго локально (без догрузки весов извне)
  4. Импорт и нормализация документов:
    • PDF
    • DOCX
    • XLSX
    • HTML
    • внутренние базы знаний
  5. Настройка контролируемого пайплайна:
    • chunking
    • embedding
    • ранжирование
    • retrieval
    • генерация ответа
  6. Интеграция с SSO / LDAP
  7. Реализация системы ролей доступа к данным

Вскрытые проблемы безопасности

В процессе работ были выявлены критичные организационные дефекты:

  • Служебные инструкции были доступны всем сотрудникам без разграничения
  • Юридические документы лежали в общих папках
  • Отсутствовал аудит доступа к внутренним знаниям
  • Не было понимания, кто и какие документы читает

После внедрения:

  • Все обращения к ИИ логируются
  • Все источники данных классифицированы
  • Включён контроль утечек
  • Описаны политики доступа

Бизнес-эффект

Компания получила:

  • Полностью автономный ИИ-контур
  • Поисково-аналитическую систему без облаков
  • Управляемый доступ к данным
  • Снижение времени поиска документов в 3–6 раз
  • Контролируемую трассируемость ответов

Руководитель ИБ получил: инструмент контроля, а не “чёрный ящик” из внешнего облака.