文件共享安全管理方案探討

林建華

柯達（中國）圖文影像有限公司信息系統(tǒng)部 福建 廈門 361022

引言

文件共享是局域網(wǎng)應用的一個基礎(chǔ)功能，也是信息共享，提高辦公效率的基本要求。數(shù)據(jù)文件尤其是核心的財務、科研、生產(chǎn)數(shù)據(jù)，是一個單位重要的知識資產(chǎn)和機密，需要按保密要求嚴格保存管理，因此，如何保障數(shù)據(jù)文件在網(wǎng)絡(luò)中的安全訪問，嚴格控制用戶按照授權(quán)訪問共享文件，是一個重要的課題。

在實踐中，通常由域管理員或其代理在共享文件服務器上按部門和部門下的項目組組織并創(chuàng)建共享文件目錄，在各個共享目錄的安全屬性中為不同用戶或用戶組授予不同的只讀或編輯權(quán)限，用戶按授予的授權(quán)從終端在不同的目錄中寫入或讀取文件，這些文件自動繼承其所在目錄的訪問授權(quán)，從而實現(xiàn)控制終端用戶對文件的不同讀寫授權(quán)。

1 問題

在實踐中，這種傳統(tǒng)的共享文件管理方式存在以下幾個問題：

第一，集中由域管理員或其代理進行文件服務器共享目錄的訪問授權(quán)，每次有文件授權(quán)需要變更，都必須由文件所有者通知管理人員或代理進行，效率偏低，尤其是在授權(quán)變動頻繁，或者域用戶組數(shù)量較多的情況。

第二，大中型的企業(yè)單位中，共享文件往往數(shù)量巨大，目錄層級巨多，如果授權(quán)都由域管理員或代理進行，無疑工作量偏大。

第三，每個目錄用戶授權(quán)發(fā)生變更時，如果所涉及的目錄包含的子目錄和文件數(shù)量很多，則需要耗費很長的時間來遍歷并更改該目錄下每個文件的訪問授權(quán)，效率偏低。

第四，共享文件的所有者無法及時、直觀地獲知文件授權(quán)情況并定期來審核文件的授權(quán)。

2 解決方案

為了克服這些問題，我們提出并實現(xiàn)了以下解決方案：

與授權(quán)相關(guān)的用戶組的名稱和共享文件的目錄掛鉤，使得用戶看到目錄就知道授權(quán)的用戶組，看到用戶組就知道對應的目錄。例如針對目錄：Production-Workshop1-TeamA，分別新建兩個用戶組

前者只授予只讀權(quán)限，后者授予可編輯修改權(quán)限。

域管理員在共享文件目錄的安全屬性里給相關(guān)用戶組授予不同的只讀或編輯權(quán)限，今后只通過增減用戶組里的用戶，便可以控制用戶訪問共享文件目錄的不同權(quán)限，而且，每次用戶訪問權(quán)限的變更不再需要遍歷相關(guān)目錄下的所有子目錄和文件。

給每個和共享文件目錄授權(quán)相關(guān)的域用戶組指定一個或多個所有者，并記錄到一個數(shù)據(jù)庫表中。今后由用戶組所有者負責增減該用戶組的所有用戶成員；

在此基礎(chǔ)上開發(fā)一個信息系統(tǒng)來管理域中的相關(guān)用戶組，并授權(quán)給每個域用戶組所有者，可以隨時通過該系統(tǒng)，直觀地自助管理或?qū)徍似湄撠煹拿總€用戶組的成員，從而以達到管理用戶訪問文件授權(quán)權(quán)限的目的；

應用此方案后，域管理員只負責在需要的情況下新建域用戶組，給共享文件目錄授予相關(guān)用戶組相應的只讀或者編輯權(quán)限，并且在數(shù)據(jù)庫中維護用戶組的所有者。日常中更多地給某個具體用戶變更授權(quán)文件讀寫權(quán)限的工作，則分散由用戶組所有者負責在相應的用戶組中增減用戶，由此實現(xiàn)了共享文件授權(quán)由各個部門或項目組自行管理的目標。

3 系統(tǒng)分析

經(jīng)過對以上解決方案的深入分析，進一步歸納整理并總結(jié)出該信息系統(tǒng)需要實現(xiàn)以下幾個功能：

能夠根據(jù)當前登錄的用戶身份自動判斷羅列出其負責的所有域用戶組；

根據(jù)某個域用戶組從域中讀取其所有用戶成員；判斷某個用戶是否是某個域用戶組的成員；

從某個指定的用戶組中刪除某個指定的用戶；

給某個指定的用戶組增加某個指定的用戶；

從域中根據(jù)用戶ID獲得用戶名稱和描述等詳情。

4 系統(tǒng)實現(xiàn)

我們采用了jQuery+ASP.net來實現(xiàn)系統(tǒng)。jQuery是一款高效敏捷的前端javascript庫，可以便捷精準地定位每個前端頁面元素，具有豐富的前端功能，其AJAX技術(shù)通過簡單的代碼即可實現(xiàn)在無網(wǎng)頁刷新情況下對部分網(wǎng)頁的更新，結(jié)合ASP.net的webservice技術(shù)，可以輕松實現(xiàn)各種精彩的前后端交互技術(shù)和功能要求。

4.1 數(shù)據(jù)庫設(shè)計

給每個與目錄授權(quán)相關(guān)的域用戶組指定一個或多個所有者，記錄在表Grps里，表結(jié)構(gòu)如下：

序號字段名稱 類型 大小 允許為空索引 備注1 GrpName nvarchar 50 F 用戶組名2 GrpOwner nchar 8 F IDX 用戶組所有者

當所有者用戶登錄該系統(tǒng)時，由于系統(tǒng)運行在域環(huán)境下，通過HttpContext.Current.User.Identity.Name語句返回當前用戶域賬號，系統(tǒng)再根據(jù)當前登錄用戶的域身份，從數(shù)據(jù)庫表Grps中查詢出該用戶負責的所有用戶組，并顯示在界面“用戶組管理”頁簽下的用戶組列表中，見圖1。

圖1 用戶界面

代碼如下：

4.2 添加成員

以添加用戶成員為例，其他功能如查看、刪除等可以類推。

如果要為用戶組添加用戶成員，則從用戶組列表中選中該用戶組，點擊右邊的“增加成員”按鈕，激發(fā)系統(tǒng)通過前端JQuery調(diào)用后端ASP.net相應的Web Service進行，JQuery代碼如下：

以上JQuery代碼通過Ajax調(diào)用后端的Web Service方法AddUserToGroup(), 同時傳入用戶ID和用戶組兩個參數(shù)，將用戶加入用戶組，如果成功則繼續(xù)調(diào)用getGrpUsrs()函數(shù)刷新當前用戶組成員，失敗則彈窗提醒用戶。對應的Web Service代碼如下：

為了衡量用戶對系統(tǒng)整體主觀滿意度，在系統(tǒng)運行半年后邀請了數(shù)據(jù)庫表中所有的用戶組所有者對系統(tǒng)進行評分，評分等級為1～5分，評分越高表示越滿意，最終本系統(tǒng)獲得4.8分，用戶整體比較滿意。

5 改進展望

信息系統(tǒng)的安全審計是ISO審核的一項重要內(nèi)容，尤其是對共享文件的安全保護措施是審核的重點內(nèi)容之一，如果對本系統(tǒng)進一步加以改進提高，設(shè)計新功能對共享文件及其包含的所有子目錄進行遍歷，獲得每個目錄的所有用戶組及其權(quán)限清單，增加可以查詢某個用戶所在的用戶組清單，則非常有助于文件安全審計工作。此外，目前，通過域策略方式審計共享文件操作的信息簡單，無法獲取操作共享文件的遠程用戶詳細信息，無法追根到底[1-3]，在此方面還有很大的改進空間。

隨著云計算云存儲的發(fā)展，網(wǎng)盤系統(tǒng)在很多單位內(nèi)部正得到日漸普及應用，對網(wǎng)盤共享文件的安全管理同樣也是一個重要課題，本研究的管理思想對網(wǎng)盤共享文件的管理也有啟迪[4-5]。

局域網(wǎng)共享文件未考慮到版本控制問題，難以追蹤和多用戶協(xié)同修改，這也經(jīng)常被用戶吐槽，值得納入我們考慮未來在信息系統(tǒng)中加以改進。

6 結(jié)束語

保障共享文件的安全，是企業(yè)網(wǎng)絡(luò)安全重要內(nèi)容，傳統(tǒng)的文件授權(quán)由管理員集中管理的做法，存在低效、用戶不易審核等各種不足，本研究提出的解決方案可以有效解決這些問題，通過在企業(yè)的實際應用，大幅度降低了域管理員的工作負擔，方便文件所有者對安全的審核，取得良好的管理效益，尤其是在共享文件目錄的規(guī)模越大時，獲得的效益越明顯。