林建華

柯達(dá)（中國(guó)）圖文影像有限公司信息系統(tǒng)部 福建 廈門(mén) 361022

引言

文件共享是局域網(wǎng)應(yīng)用的一個(gè)基礎(chǔ)功能，也是信息共享，提高辦公效率的基本要求。數(shù)據(jù)文件尤其是核心的財(cái)務(wù)、科研、生產(chǎn)數(shù)據(jù)，是一個(gè)單位重要的知識(shí)資產(chǎn)和機(jī)密，需要按保密要求嚴(yán)格保存管理，因此，如何保障數(shù)據(jù)文件在網(wǎng)絡(luò)中的安全訪問(wèn)，嚴(yán)格控制用戶(hù)按照授權(quán)訪問(wèn)共享文件，是一個(gè)重要的課題。

在實(shí)踐中，通常由域管理員或其代理在共享文件服務(wù)器上按部門(mén)和部門(mén)下的項(xiàng)目組組織并創(chuàng)建共享文件目錄，在各個(gè)共享目錄的安全屬性中為不同用戶(hù)或用戶(hù)組授予不同的只讀或編輯權(quán)限，用戶(hù)按授予的授權(quán)從終端在不同的目錄中寫(xiě)入或讀取文件，這些文件自動(dòng)繼承其所在目錄的訪問(wèn)授權(quán)，從而實(shí)現(xiàn)控制終端用戶(hù)對(duì)文件的不同讀寫(xiě)授權(quán)。

1 問(wèn)題

在實(shí)踐中，這種傳統(tǒng)的共享文件管理方式存在以下幾個(gè)問(wèn)題：

第一，集中由域管理員或其代理進(jìn)行文件服務(wù)器共享目錄的訪問(wèn)授權(quán)，每次有文件授權(quán)需要變更，都必須由文件所有者通知管理人員或代理進(jìn)行，效率偏低，尤其是在授權(quán)變動(dòng)頻繁，或者域用戶(hù)組數(shù)量較多的情況。

第二，大中型的企業(yè)單位中，共享文件往往數(shù)量巨大，目錄層級(jí)巨多，如果授權(quán)都由域管理員或代理進(jìn)行，無(wú)疑工作量偏大。

第三，每個(gè)目錄用戶(hù)授權(quán)發(fā)生變更時(shí)，如果所涉及的目錄包含的子目錄和文件數(shù)量很多，則需要耗費(fèi)很長(zhǎng)的時(shí)間來(lái)遍歷并更改該目錄下每個(gè)文件的訪問(wèn)授權(quán)，效率偏低。

第四，共享文件的所有者無(wú)法及時(shí)、直觀地獲知文件授權(quán)情況并定期來(lái)審核文件的授權(quán)。

2 解決方案

為了克服這些問(wèn)題，我們提出并實(shí)現(xiàn)了以下解決方案：

與授權(quán)相關(guān)的用戶(hù)組的名稱(chēng)和共享文件的目錄掛鉤，使得用戶(hù)看到目錄就知道授權(quán)的用戶(hù)組，看到用戶(hù)組就知道對(duì)應(yīng)的目錄。例如針對(duì)目錄：Production-Workshop1-TeamA，分別新建兩個(gè)用戶(hù)組

前者只授予只讀權(quán)限，后者授予可編輯修改權(quán)限。

域管理員在共享文件目錄的安全屬性里給相關(guān)用戶(hù)組授予不同的只讀或編輯權(quán)限，今后只通過(guò)增減用戶(hù)組里的用戶(hù)，便可以控制用戶(hù)訪問(wèn)共享文件目錄的不同權(quán)限，而且，每次用戶(hù)訪問(wèn)權(quán)限的變更不再需要遍歷相關(guān)目錄下的所有子目錄和文件。

給每個(gè)和共享文件目錄授權(quán)相關(guān)的域用戶(hù)組指定一個(gè)或多個(gè)所有者，并記錄到一個(gè)數(shù)據(jù)庫(kù)表中。今后由用戶(hù)組所有者負(fù)責(zé)增減該用戶(hù)組的所有用戶(hù)成員；

在此基礎(chǔ)上開(kāi)發(fā)一個(gè)信息系統(tǒng)來(lái)管理域中的相關(guān)用戶(hù)組，并授權(quán)給每個(gè)域用戶(hù)組所有者，可以隨時(shí)通過(guò)該系統(tǒng)，直觀地自助管理或?qū)徍似湄?fù)責(zé)的每個(gè)用戶(hù)組的成員，從而以達(dá)到管理用戶(hù)訪問(wèn)文件授權(quán)權(quán)限的目的；

應(yīng)用此方案后，域管理員只負(fù)責(zé)在需要的情況下新建域用戶(hù)組，給共享文件目錄授予相關(guān)用戶(hù)組相應(yīng)的只讀或者編輯權(quán)限，并且在數(shù)據(jù)庫(kù)中維護(hù)用戶(hù)組的所有者。日常中更多地給某個(gè)具體用戶(hù)變更授權(quán)文件讀寫(xiě)權(quán)限的工作，則分散由用戶(hù)組所有者負(fù)責(zé)在相應(yīng)的用戶(hù)組中增減用戶(hù)，由此實(shí)現(xiàn)了共享文件授權(quán)由各個(gè)部門(mén)或項(xiàng)目組自行管理的目標(biāo)。

3 系統(tǒng)分析

經(jīng)過(guò)對(duì)以上解決方案的深入分析，進(jìn)一步歸納整理并總結(jié)出該信息系統(tǒng)需要實(shí)現(xiàn)以下幾個(gè)功能：

能夠根據(jù)當(dāng)前登錄的用戶(hù)身份自動(dòng)判斷羅列出其負(fù)責(zé)的所有域用戶(hù)組；

根據(jù)某個(gè)域用戶(hù)組從域中讀取其所有用戶(hù)成員；判斷某個(gè)用戶(hù)是否是某個(gè)域用戶(hù)組的成員；

從某個(gè)指定的用戶(hù)組中刪除某個(gè)指定的用戶(hù)；

給某個(gè)指定的用戶(hù)組增加某個(gè)指定的用戶(hù)；

從域中根據(jù)用戶(hù)ID獲得用戶(hù)名稱(chēng)和描述等詳情。

4 系統(tǒng)實(shí)現(xiàn)

我們采用了jQuery+ASP.net來(lái)實(shí)現(xiàn)系統(tǒng)。jQuery是一款高效敏捷的前端javascript庫(kù)，可以便捷精準(zhǔn)地定位每個(gè)前端頁(yè)面元素，具有豐富的前端功能，其AJAX技術(shù)通過(guò)簡(jiǎn)單的代碼即可實(shí)現(xiàn)在無(wú)網(wǎng)頁(yè)刷新情況下對(duì)部分網(wǎng)頁(yè)的更新，結(jié)合ASP.net的webservice技術(shù)，可以輕松實(shí)現(xiàn)各種精彩的前后端交互技術(shù)和功能要求。

4.1 數(shù)據(jù)庫(kù)設(shè)計(jì)

給每個(gè)與目錄授權(quán)相關(guān)的域用戶(hù)組指定一個(gè)或多個(gè)所有者，記錄在表Grps里，表結(jié)構(gòu)如下：

序號(hào)字段名稱(chēng) 類(lèi)型 大小 允許為空索引 備注1 GrpName nvarchar 50 F 用戶(hù)組名2 GrpOwner nchar 8 F IDX 用戶(hù)組所有者

當(dāng)所有者用戶(hù)登錄該系統(tǒng)時(shí)，由于系統(tǒng)運(yùn)行在域環(huán)境下，通過(guò)HttpContext.Current.User.Identity.Name語(yǔ)句返回當(dāng)前用戶(hù)域賬號(hào)，系統(tǒng)再根據(jù)當(dāng)前登錄用戶(hù)的域身份，從數(shù)據(jù)庫(kù)表Grps中查詢(xún)出該用戶(hù)負(fù)責(zé)的所有用戶(hù)組，并顯示在界面“用戶(hù)組管理”頁(yè)簽下的用戶(hù)組列表中，見(jiàn)圖1。

圖1 用戶(hù)界面

代碼如下：

4.2 添加成員

以添加用戶(hù)成員為例，其他功能如查看、刪除等可以類(lèi)推。

如果要為用戶(hù)組添加用戶(hù)成員，則從用戶(hù)組列表中選中該用戶(hù)組，點(diǎn)擊右邊的“增加成員”按鈕，激發(fā)系統(tǒng)通過(guò)前端JQuery調(diào)用后端ASP.net相應(yīng)的Web Service進(jìn)行，JQuery代碼如下：

以上JQuery代碼通過(guò)Ajax調(diào)用后端的Web Service方法AddUserToGroup(), 同時(shí)傳入用戶(hù)ID和用戶(hù)組兩個(gè)參數(shù)，將用戶(hù)加入用戶(hù)組，如果成功則繼續(xù)調(diào)用getGrpUsrs()函數(shù)刷新當(dāng)前用戶(hù)組成員，失敗則彈窗提醒用戶(hù)。對(duì)應(yīng)的Web Service代碼如下：

為了衡量用戶(hù)對(duì)系統(tǒng)整體主觀滿(mǎn)意度，在系統(tǒng)運(yùn)行半年后邀請(qǐng)了數(shù)據(jù)庫(kù)表中所有的用戶(hù)組所有者對(duì)系統(tǒng)進(jìn)行評(píng)分，評(píng)分等級(jí)為1～5分，評(píng)分越高表示越滿(mǎn)意，最終本系統(tǒng)獲得4.8分，用戶(hù)整體比較滿(mǎn)意。

5 改進(jìn)展望

信息系統(tǒng)的安全審計(jì)是ISO審核的一項(xiàng)重要內(nèi)容，尤其是對(duì)共享文件的安全保護(hù)措施是審核的重點(diǎn)內(nèi)容之一，如果對(duì)本系統(tǒng)進(jìn)一步加以改進(jìn)提高，設(shè)計(jì)新功能對(duì)共享文件及其包含的所有子目錄進(jìn)行遍歷，獲得每個(gè)目錄的所有用戶(hù)組及其權(quán)限清單，增加可以查詢(xún)某個(gè)用戶(hù)所在的用戶(hù)組清單，則非常有助于文件安全審計(jì)工作。此外，目前，通過(guò)域策略方式審計(jì)共享文件操作的信息簡(jiǎn)單，無(wú)法獲取操作共享文件的遠(yuǎn)程用戶(hù)詳細(xì)信息，無(wú)法追根到底[1-3]，在此方面還有很大的改進(jìn)空間。

隨著云計(jì)算云存儲(chǔ)的發(fā)展，網(wǎng)盤(pán)系統(tǒng)在很多單位內(nèi)部正得到日漸普及應(yīng)用，對(duì)網(wǎng)盤(pán)共享文件的安全管理同樣也是一個(gè)重要課題，本研究的管理思想對(duì)網(wǎng)盤(pán)共享文件的管理也有啟迪[4-5]。

局域網(wǎng)共享文件未考慮到版本控制問(wèn)題，難以追蹤和多用戶(hù)協(xié)同修改，這也經(jīng)常被用戶(hù)吐槽，值得納入我們考慮未來(lái)在信息系統(tǒng)中加以改進(jìn)。

6 結(jié)束語(yǔ)

保障共享文件的安全，是企業(yè)網(wǎng)絡(luò)安全重要內(nèi)容，傳統(tǒng)的文件授權(quán)由管理員集中管理的做法，存在低效、用戶(hù)不易審核等各種不足，本研究提出的解決方案可以有效解決這些問(wèn)題，通過(guò)在企業(yè)的實(shí)際應(yīng)用，大幅度降低了域管理員的工作負(fù)擔(dān)，方便文件所有者對(duì)安全的審核，取得良好的管理效益，尤其是在共享文件目錄的規(guī)模越大時(shí)，獲得的效益越明顯。