非線性編輯局域網文件安全上傳管理系統的設計

項海飛

摘要：本系統是基于非線性編輯局域網開發的，包括文件防毒和文件操作兩大塊。不僅提高了非線性編輯局域網的安全防范能力，也提高了客戶端系統的運行效率，有效并更好地為非線性編輯局域網的使用提供便捷和安全保障。

關鍵詞：非線性編輯局域網；文件上傳：病毒

由于非編網的數據傳輸主要是視頻、音頻數據及圖文數據，不需要也不允許用戶私自安裝其他的軟件。而且每個客戶端都禁用光驅。整個網絡始終處于全封閉狀態，未連到外網。幾乎所有視頻、音頻數據都是通過SONY的數字編緝機的數字視頻、音頻輸出接口進入非編網。如果不考慮其他渠道素材的連入，非線性編緝網等同于某種意義上與世隔絕的局域網。假設內部不存在人為的惡意攻擊，那將是非常安全的。但當今世界視頻、音頻制作，離不開其他先進的媒體制作技術和來自各方面的視頻、音頻素材。這些素材主要是通過U盤跟移動硬盤接八的，它們的接入必定會導致大量的病毒跟隨U盤和移動硬盤內的數據一同進入非編網，而用戶一不小心就會激活它們。

1多媒體文件安全上傳的新設想

病毒傳染方式一般有兩種方式：病毒被用戶激活后，病毒程序立馬被執行，并駐留內存，繼而設置觸發條件，進行傳播：病毒可以通過INTERNET網絡和系統漏洞直接攻擊遠程計算機，并將病毒本身植入到遠程計算機系統中進行傳播。在分析了傳統的防病毒方法后，結合我們的實際情況，我們總結出以下幾個方案：限制使用人員使用WINDOWSXP自帶的資源管理器，防止用戶激活病毒的原文件：在非編網中增加一臺專用的移動存儲設備接人工作站；除了允許專用的移動存儲設備接人工作站外，禁止移動存儲設備在所有客戶端接入；在工作站正常運行的前提下，盡可能地限制使用人員的系統管理權限；在文件上傳工作站旁增加一臺連接INTER-NET的殺毒工作站，此工作站與非編網不相連。

2系統的總體構想

程序設計的第一步是明確程序的目的和如何使用，弄清用戶對開發應用系統的確切要求。也就是說需要程序解決哪些問題，明確目的之后，才可以確定您需要創建哪些主題以及每個主題的功能。我們根據非編網目前存在的問題，分析一下設計程序的整體結構與功能。考慮到不改變網絡整體布局，以及制作人員的操作方便需要，我們嘗試在人員相對比較集中的大制作室內增加一臺工作站，命名為“移動存儲設備接入工作站”(簡寫“COPYFlLE”)，同時在該工作站旁增加一臺殺毒工作站。殺毒工作站安裝的是最新的殺毒軟件，并與INTERNET相連，它的基本用途有以下幾點：實時升級更新WlNDOWSXP操作系統的系統補丁與殺毒軟件的病毒庫；對移動存儲設備進行全面的病毒查殺；在上面可以進行簡單的文件操作，包括文件的編輯與復制等，在里面把"DOC"或其他格式的文字文件轉化為“TXT”的文本文件：把需要上傳到非編網的視頻、音頻文件及文本文件等進行整理，并放到指定文件夾內(目標盤的WZTV目錄下)。

COPYFILE工作站安裝的也是最新的殺毒軟件，但必須跟殺毒工作站的殺毒軟件不屬于同一牌子，這點很重要。除此之外，我們還要做的是設計一個具有文件上傳和安全管理功能的軟件，也就是我們現在要設計實現的“非線性編輯局域網文件安全上傳管理系統”。

3系統的主要功能

經設計優化后的非編網具備的幾大功能：

首先保證移動存儲設備的安全接入：裝載專用的上傳目錄；檢測移動存儲設備的根目錄，是否有Autorun.inf文件的存在，有則提醒用戶刪之，或是執行用戶指定的操作。

其次保證視頻、音頻文件的安全上傳：列出需要上傳的文件；禁止非視頻、音頻文件類型的上傳；測試對被選中上傳的視頻、音頻文件的判斷是否屬實：安全上傳到共享盤。

最后支持安全的遠程關機與系統數據的升級和修改：設置管理員登入口：調用WlN-DOWS XP中的shutdown系統指令用以實現遠程關機；啟動對系統數據的升級和修改模塊。

系統主要功能劃為九大模塊如表1所示：

系統主模塊包括：讀盤模塊、上傳模塊、刪除模塊、文件列表模塊、遠程關機模塊、數據修改及升級模塊。其中Admin入口的功能是檢測管理密碼，密碼輸入正確則顯示兩個功能模塊的按鈕。在數據修改模塊，管理員可以增加要禁止上傳的文件類型和允許上傳的文件類型。遠程控制關機模塊則調用Win-dows的外部命令來實現遠程關機。這樣做的目的是提高系統的穩定性跟兼容性，減少意外的發生。

Web管理:

a) 在PC終端通過IE瀏覽器輸入:http://192.168.0.21/na_admin,進入FilerView界面;

b) Manage License通過FilerView查看License。

創建數據卷:

a) 通過FilerView Volumes→ADD進行創建卷vol0,Language:選擇English(US),Total Volume Size:300GB(根據自己情況設置),其他選項默認完成;

b) FilerView Volumes→Manage管理,設置卷vol0為online狀態。

創建QTree:

a) N5200G→Volumes→Qtrees→Add創建Qtree;

b) 輸入Qtree名稱及Qtree格式(unix),點擊Add,提示Qtree創建成功;

c) N5200G→Volumes→Qtrees→Manage管理Qtree。

ISCSI配置:

a) 創建LUN,LUNs→Add;

b) 主機安裝CLIENT,安裝好后打開,添加盤陣IP:192.168.0.11,將IP激活;

c) 創建Initiator Group,LUNs→initiator→Add,選擇端口類型以及操作系統,大框內為主機的NODE NAME;

d) LUNs MAP,LUNs→Manage點擊紅圈所示位置添加initiator Group,選擇相應的group,點Add添加完成;

e) 至此,針對Windows主機的ICSCI輸出已經完成,最后要在主機上識別盤陣。右鍵點擊我的電腦→管理→存儲→磁盤管理,操作→重新掃描磁盤,可以看到新的磁盤,格式化添加后就可以用了。

CIFS配置:

a) N5200G→Shares→Manage管理Qtree;

b) N5200G→Shares→Add添加磁盤映射share;

c) 通過命令行添加用戶密碼;

d) 密碼要求英文與數字結合,修改密碼:N5200G→passwd。輸入需要修改的賬號即可修改;

e) N5200G→Shares→Manage→change access設定登錄用戶使用權限;

f) 點擊Add Access Control Entry增加權限用戶;

g) 設定完畢就可以從主機上映射盤陣的磁盤了。主機識別邏輯磁盤:右鍵點擊我的電腦→映射網絡驅動器;

h) 輸入:\192.168.0.21share。

最后以相應權限的用戶名登錄即可。

3 系統應用與實現

3.1 磁盤限額

(1) 配置

a) N5200G→Volumes→Quotas→Add創建Quotas;

b) 選擇形式及卷Quota Type:tree,點擊Next;

c) 選擇限制路徑Disk Space Hard Limit;

d) 設置限制;

e) N5200G→Quotas→Manage,將需要應用設置的vol啟動;

f) N5200G→Quotas→Edit Rules,Quota Type:tree,Quota Volume:vol1,選擇要進行磁盤限額的Qtree:Disk Space Hard Limit,可以更改限制設置。

(2) 應用實例:基于文件夾的限額

N5200可以實現基于文件夾的限額,但只限于Qtree級的文件夾,不能實現多級文件夾的限額。

3.2 與Windows AD集成

(1) 配置

a) N5200G→Wizards→CIFS Setup Wizard,進入設置向導,單擊Next;

b) Filer Name: NAS01(自定義)單擊Next;

c) Authentication:Domain,選擇Windows 2000;

d) Domain Name:Test(根據自己域名情況填寫),鍵入Windows 2000 Administrator Name:administrator,Windows 2000 Administrator Password:驗證;

e) Security Style:選擇NTFS Only;

f) 確認設置信息,提交完成。

(2) 應用實例:與Windows AD集成失效

a) 重復上述設置過程,但第4步,要設置成其他的(可以自定義不存在的)Domain Name;

b) 再次重復上述設置過程,與Windows AD集成恢復正常。

3.3 即時數據保護

(1) 配置

a) Volumes→Snapshots→Add,按Volumes添加Snapshots;

b) Volumes→Snapshots→Configure,Snapshot Reserve:20%,如果磁盤空間不足,可以把此值調小,但快照保存的版本數就會減少。它會在定義的時間段內的某些時間點生成多個快照,這個快照就相當于一個時間點的備份。

(2) 應用實例:用戶自行查找丟失文件

a) 用戶在需要恢復文件的上一級目錄單擊右鍵選屬性,可以看到以前的版本的選項卡,下面的窗口列出了相應時間點的快照。選擇正確的時間點,打開就可以看到用戶自己的文件和文件夾;

b) 注:操作系統為Windows XP SP1或Windows 2000,需安裝Volume Shadow Copy client來實現。操作系統為Windows XP SP2及以上可以直接實現。

3.4 集中備份管理

(1) 虛擬磁帶庫配置

a) 在備份和虛擬磁帶庫管理共用服務器設置IP地址192.168.0.32,安裝虛擬磁帶庫管理軟件VE for Tape Console;

b) 雙擊打開軟件,在“VE for Tape Server2”右鍵,添加“192.168.0.31”虛擬引擎;

c) 展開“Virtual tape library system-virtral tape library”,右鍵可以新建虛擬磁帶庫;

d) 為虛擬磁帶庫起名ibm-03584L32-001,并選擇磁帶庫模式為03584L32;

e) 選擇驅動器類型;

f) 設置磁帶編碼范圍;

g) 完成虛擬磁帶庫配置。

(2) IBM TSM軟件

a) 安裝IBM TSM軟件,以NDMP備份方式連接NAS N5200

首先定義磁帶庫:

Define library naslib libtype=SCSI

定義NAS devclass,指定devtype為NAS類型:

Define devclass nasclass devtype=nas library=naslib mountretention=0 estcapacity=300g

定義NAS存儲池,TSM對NDMP備份使用不同的數據格式定義存儲池:

Define stgpool naspool nasclass maxscratch=10 dataformat=netappdump