域管理模式保障汽車產(chǎn)品設(shè)計(jì)的數(shù)據(jù)安全

劉惠謀

（天津一汽夏利汽車股份有限公司產(chǎn)品開發(fā)中心）

域管理模式是一種主/從管理模式，通過(guò)一臺(tái)域控制器來(lái)集中管理域內(nèi)用戶帳號(hào)和權(quán)限，訪問(wèn)權(quán)限由控制器統(tǒng)一管理，帳號(hào)信息保存在域控制器內(nèi)，共享信息分散在每臺(tái)計(jì)算機(jī)中。汽車開發(fā)設(shè)計(jì)需要采用域管理模式來(lái)管理汽車產(chǎn)品的設(shè)計(jì)數(shù)據(jù)，保證數(shù)據(jù)的安全，提高企業(yè)的工作效率，實(shí)現(xiàn)資源共享。文章介紹了域管理模式對(duì)于保障汽車產(chǎn)品設(shè)計(jì)數(shù)據(jù)安全的重要意義。

1 工作組與域的區(qū)別

汽車開發(fā)設(shè)計(jì)需要采用域管理模式[1]而非工作組管理模式，域管理與工作組管理的主要區(qū)別在于：

1）工作組網(wǎng)[2]實(shí)現(xiàn)的是分散的管理模式，用戶賬戶和權(quán)限信息保存在本機(jī)中，每一臺(tái)計(jì)算機(jī)都是獨(dú)立自主的，同時(shí)借助工作組來(lái)共享信息，共享信息的權(quán)限設(shè)置由每臺(tái)計(jì)算機(jī)控制。而域網(wǎng)實(shí)現(xiàn)的是主/從管理模式，通過(guò)一臺(tái)域控制器來(lái)集中管理域內(nèi)用戶帳號(hào)和權(quán)限，帳號(hào)信息保存在域控制器內(nèi)，共享的信息分散在每臺(tái)在域計(jì)算機(jī)里，但是信息的訪問(wèn)權(quán)限由控制器統(tǒng)一管理。這就是兩者最大的不同。

2）“域”的真正含義是指使用服務(wù)器控制網(wǎng)絡(luò)上計(jì)算機(jī)加入的計(jì)算機(jī)組合。實(shí)行嚴(yán)格的管理對(duì)網(wǎng)絡(luò)安全非常必要。在網(wǎng)模式下，任何一臺(tái)電腦只要接入網(wǎng)絡(luò)，其他機(jī)器就都可以訪問(wèn)共享資源，如共享上網(wǎng)等。盡管網(wǎng)絡(luò)上的共享文件可以加訪問(wèn)密碼，但易被破解。在“域”模式下，資源的訪問(wèn)有較嚴(yán)格的管理，至少有一臺(tái)服務(wù)器負(fù)責(zé)每一臺(tái)聯(lián)入網(wǎng)絡(luò)的電腦和用戶的驗(yàn)證工作，稱為“域控制器（Domain Controller，簡(jiǎn)寫為 DC）”。必須由網(wǎng)絡(luò)管理員進(jìn)行相應(yīng)的設(shè)置，才能把某臺(tái)計(jì)算機(jī)加入到域中，實(shí)現(xiàn)文件的共享。域控制器以系統(tǒng)管理員的身份進(jìn)行服務(wù)器端設(shè)置和客戶端設(shè)置。

3）域控制器中包含由域的賬戶、密碼以及屬于這個(gè)域的計(jì)算機(jī)等信息構(gòu)成的數(shù)據(jù)庫(kù)。如圖1所示，當(dāng)計(jì)算機(jī)聯(lián)入網(wǎng)絡(luò)時(shí)，域控制器首先要鑒別該計(jì)算機(jī)是否屬于這個(gè)域，并且驗(yàn)證用戶使用的登錄賬號(hào)是否存在及密碼是否正確。如果以上信息有一項(xiàng)不正確，則域控制器就不允許用戶從該計(jì)算機(jī)登錄。如果不能登錄，用戶就不能訪問(wèn)服務(wù)器上有權(quán)限保護(hù)的資源，只能以網(wǎng)用戶的方式訪問(wèn)Windows共享的資源，這樣就在一定程度上保護(hù)了網(wǎng)絡(luò)上的資源。而工作組只是進(jìn)行本地計(jì)算機(jī)信息與安全的認(rèn)證。

2 對(duì)汽車產(chǎn)品數(shù)據(jù)采用域管理的優(yōu)點(diǎn)

2.1 權(quán)限管理比較集中[3]

1）方便對(duì)用戶操作進(jìn)行權(quán)限設(shè)置。比如一個(gè)汽車產(chǎn)品數(shù)據(jù)文件只允許指定人員查看，但不可以對(duì)數(shù)據(jù)文件進(jìn)行刪除、修改或移動(dòng)。

2）能夠?qū)崿F(xiàn)網(wǎng)絡(luò)內(nèi)的軟件一起安裝，避免病毒的侵入，從而大大提高產(chǎn)品數(shù)據(jù)的安全性。很多服務(wù)建立在域環(huán)境中，管理員便于統(tǒng)一管理，方便在MS軟件方面集成，如ISA EXCHANGE（郵件服務(wù)器）、ISA SERVER（上網(wǎng)的各種設(shè)置與管理）及PDM（產(chǎn)品數(shù)據(jù)管理）等。使用漫游賬戶和文件夾重定向技術(shù)，個(gè)人賬戶的工作文件及數(shù)據(jù)等可以存儲(chǔ)在服務(wù)器上，統(tǒng)一進(jìn)行備份和管理，使汽車產(chǎn)品數(shù)據(jù)更加安全和有保障。

3）可以分發(fā)和指派軟件等，方便用戶使用各種資源。SMS（SystemManagement Server）能夠分發(fā)應(yīng)用程序和系統(tǒng)補(bǔ)丁等，用戶可以選擇安裝，也可以由系統(tǒng)管理員指派自動(dòng)安裝。并能集中管理系統(tǒng)補(bǔ)?。ㄈ鏦indows Updates），不需每臺(tái)客戶端服務(wù)器都下載同樣的補(bǔ)丁，從而節(jié)省大量網(wǎng)絡(luò)帶寬。

2.2 便于用戶查找、訪問(wèn)及修改數(shù)據(jù)

汽車設(shè)計(jì)[4]人員和管理員可以在不知道所需對(duì)象確切名稱的情況下，通過(guò)該對(duì)象的1個(gè)或多個(gè)屬性查找對(duì)象的部分屬性，從而在域中得到一個(gè)與所有已知屬性相匹配的對(duì)象列表。通過(guò)域可以使得基于1個(gè)或多個(gè)對(duì)象屬性來(lái)查找一個(gè)對(duì)象變成可能。域控制器集中管理用戶對(duì)網(wǎng)絡(luò)的訪問(wèn)，如登錄、驗(yàn)證、訪問(wèn)目錄和共享資源。為了簡(jiǎn)化管理，所有域中的域控制器都是平等的，可以在任何域控制器上進(jìn)行修改，這種更新可以復(fù)制到域中所有的其他域控制器上。域的實(shí)施通過(guò)提供對(duì)網(wǎng)絡(luò)上所有對(duì)象的單點(diǎn)管理進(jìn)一步簡(jiǎn)化了管理。因?yàn)橛蚩刂破魈峁┝藢?duì)網(wǎng)絡(luò)[5]上所有資源的單點(diǎn)登錄，管理員可以登錄到一臺(tái)計(jì)算機(jī)來(lái)管理網(wǎng)絡(luò)中任何計(jì)算機(jī)上的管理對(duì)象。在NT網(wǎng)絡(luò)中，當(dāng)用戶一次登陸一個(gè)域服務(wù)器后，就可以訪問(wèn)該域中已經(jīng)開放的全部資源，而無(wú)需對(duì)同一域進(jìn)行多次登陸。但在需要共享不同域中的服務(wù)時(shí)，對(duì)每個(gè)域都必須要登陸一次，否則無(wú)法訪問(wèn)未登陸域服務(wù)器中的資源或無(wú)法獲得未登陸域的服務(wù)。

2.3 具有較強(qiáng)的可擴(kuò)展性

在活動(dòng)目錄中，通過(guò)將目錄組織成幾個(gè)部分存儲(chǔ)信息，從而允許存儲(chǔ)大量的對(duì)象。因此，目錄可以隨著組織的增長(zhǎng)而一同擴(kuò)展，允許用戶從一個(gè)具有幾百個(gè)對(duì)象的小的安裝環(huán)境發(fā)展成擁有幾百萬(wàn)對(duì)象的大型安裝環(huán)境。域?yàn)槠囋O(shè)計(jì)人員提供了單一的登錄過(guò)程來(lái)訪問(wèn)網(wǎng)絡(luò)資源，如所有他們具有權(quán)限的文件、打印機(jī)和應(yīng)用程序資源。即用戶可以登錄到一臺(tái)計(jì)算機(jī)來(lái)使用網(wǎng)絡(luò)上另外一臺(tái)計(jì)算機(jī)上的資源，只要用戶具有對(duì)資源的合適權(quán)限。域通過(guò)對(duì)用戶權(quán)限合適的劃分，確定了只有對(duì)特定資源有合法權(quán)限的用戶才能使用該資源，從而保障了資源使用的合法性和安全性。每個(gè)域控制器保存和維護(hù)目錄的一個(gè)副本。在域中，創(chuàng)建的每一個(gè)用戶賬號(hào)都會(huì)對(duì)應(yīng)目錄的一個(gè)記錄。當(dāng)汽車設(shè)計(jì)人員登錄到域中的計(jì)算機(jī)時(shí)，域控制器將按照目錄檢查用戶名、口令及登錄限制以驗(yàn)證用戶。當(dāng)存在多個(gè)域控制器時(shí)，他們會(huì)定期相互復(fù)制目錄信息。域控制器間的數(shù)據(jù)復(fù)制，促使登錄人員信息發(fā)生改變時(shí)（比如用戶修改了口令），可以迅速?gòu)?fù)制到其他的域控制器上，因此當(dāng)一臺(tái)域控制器出現(xiàn)故障時(shí)，用戶仍然可以通過(guò)其他的域控制器進(jìn)行登錄，保障了網(wǎng)絡(luò)的順利運(yùn)行。

3 結(jié)論

域管理模式能有效隔離開內(nèi)網(wǎng)與外網(wǎng)，防止公司資料外泄，從根源上杜絕病毒的侵襲。同時(shí)域管理模式使得管理員能夠更方便地管理系統(tǒng)，方便用戶使用各種資源，提高了企業(yè)的工作效率，實(shí)現(xiàn)了資源共享，并且具有較強(qiáng)的可擴(kuò)展性。但域管理也存在成本高和需要高性能的服務(wù)器等缺點(diǎn)。如果沒有備用服務(wù)器，主服務(wù)器崩壞后果非常嚴(yán)重?？傮w來(lái)說(shuō)，域管理模式能夠擔(dān)負(fù)起保障汽車產(chǎn)品設(shè)計(jì)數(shù)據(jù)安全的重任。