林建華

柯達(dá)（中國(guó)）圖文影像有限公司信息系統(tǒng)部 福建 廈門 361022

引言

文件共享是局域網(wǎng)應(yīng)用的一個(gè)基礎(chǔ)功能，也是信息共享，提高辦公效率的基本要求。數(shù)據(jù)文件尤其是核心的財(cái)務(wù)、科研、生產(chǎn)數(shù)據(jù)，是一個(gè)單位重要的知識(shí)資產(chǎn)和機(jī)密，需要按保密要求嚴(yán)格保存管理，因此，如何保障數(shù)據(jù)文件在網(wǎng)絡(luò)中的安全訪問，嚴(yán)格控制用戶按照授權(quán)訪問共享文件，是一個(gè)重要的課題。

在實(shí)踐中，通常由域管理員或其代理在共享文件服務(wù)器上按部門和部門下的項(xiàng)目組組織并創(chuàng)建共享文件目錄，在各個(gè)共享目錄的安全屬性中為不同用戶或用戶組授予不同的只讀或編輯權(quán)限，用戶按授予的授權(quán)從終端在不同的目錄中寫入或讀取文件，這些文件自動(dòng)繼承其所在目錄的訪問授權(quán)，從而實(shí)現(xiàn)控制終端用戶對(duì)文件的不同讀寫授權(quán)。

1 問題

在實(shí)踐中，這種傳統(tǒng)的共享文件管理方式存在以下幾個(gè)問題：

第一，集中由域管理員或其代理進(jìn)行文件服務(wù)器共享目錄的訪問授權(quán)，每次有文件授權(quán)需要變更，都必須由文件所有者通知管理人員或代理進(jìn)行，效率偏低，尤其是在授權(quán)變動(dòng)頻繁，或者域用戶組數(shù)量較多的情況。

第二，大中型的企業(yè)單位中，共享文件往往數(shù)量巨大，目錄層級(jí)巨多，如果授權(quán)都由域管理員或代理進(jìn)行，無疑工作量偏大。

第三，每個(gè)目錄用戶授權(quán)發(fā)生變更時(shí)，如果所涉及的目錄包含的子目錄和文件數(shù)量很多，則需要耗費(fèi)很長(zhǎng)的時(shí)間來遍歷并更改該目錄下每個(gè)文件的訪問授權(quán)，效率偏低。

第四，共享文件的所有者無法及時(shí)、直觀地獲知文件授權(quán)情況并定期來審核文件的授權(quán)。

2 解決方案

為了克服這些問題，我們提出并實(shí)現(xiàn)了以下解決方案：

與授權(quán)相關(guān)的用戶組的名稱和共享文件的目錄掛鉤，使得用戶看到目錄就知道授權(quán)的用戶組，看到用戶組就知道對(duì)應(yīng)的目錄。例如針對(duì)目錄：Production-Workshop1-TeamA，分別新建兩個(gè)用戶組

前者只授予只讀權(quán)限，后者授予可編輯修改權(quán)限。

域管理員在共享文件目錄的安全屬性里給相關(guān)用戶組授予不同的只讀或編輯權(quán)限，今后只通過增減用戶組里的用戶，便可以控制用戶訪問共享文件目錄的不同權(quán)限，而且，每次用戶訪問權(quán)限的變更不再需要遍歷相關(guān)目錄下的所有子目錄和文件。

給每個(gè)和共享文件目錄授權(quán)相關(guān)的域用戶組指定一個(gè)或多個(gè)所有者，并記錄到一個(gè)數(shù)據(jù)庫(kù)表中。今后由用戶組所有者負(fù)責(zé)增減該用戶組的所有用戶成員；

在此基礎(chǔ)上開發(fā)一個(gè)信息系統(tǒng)來管理域中的相關(guān)用戶組，并授權(quán)給每個(gè)域用戶組所有者，可以隨時(shí)通過該系統(tǒng)，直觀地自助管理或?qū)徍似湄?fù)責(zé)的每個(gè)用戶組的成員，從而以達(dá)到管理用戶訪問文件授權(quán)權(quán)限的目的；

應(yīng)用此方案后，域管理員只負(fù)責(zé)在需要的情況下新建域用戶組，給共享文件目錄授予相關(guān)用戶組相應(yīng)的只讀或者編輯權(quán)限，并且在數(shù)據(jù)庫(kù)中維護(hù)用戶組的所有者。日常中更多地給某個(gè)具體用戶變更授權(quán)文件讀寫權(quán)限的工作，則分散由用戶組所有者負(fù)責(zé)在相應(yīng)的用戶組中增減用戶，由此實(shí)現(xiàn)了共享文件授權(quán)由各個(gè)部門或項(xiàng)目組自行管理的目標(biāo)。

3 系統(tǒng)分析

經(jīng)過對(duì)以上解決方案的深入分析，進(jìn)一步歸納整理并總結(jié)出該信息系統(tǒng)需要實(shí)現(xiàn)以下幾個(gè)功能：

能夠根據(jù)當(dāng)前登錄的用戶身份自動(dòng)判斷羅列出其負(fù)責(zé)的所有域用戶組；

根據(jù)某個(gè)域用戶組從域中讀取其所有用戶成員；判斷某個(gè)用戶是否是某個(gè)域用戶組的成員；

從某個(gè)指定的用戶組中刪除某個(gè)指定的用戶；

給某個(gè)指定的用戶組增加某個(gè)指定的用戶；

從域中根據(jù)用戶ID獲得用戶名稱和描述等詳情。

4 系統(tǒng)實(shí)現(xiàn)

我們采用了jQuery+ASP.net來實(shí)現(xiàn)系統(tǒng)。jQuery是一款高效敏捷的前端javascript庫(kù)，可以便捷精準(zhǔn)地定位每個(gè)前端頁(yè)面元素，具有豐富的前端功能，其AJAX技術(shù)通過簡(jiǎn)單的代碼即可實(shí)現(xiàn)在無網(wǎng)頁(yè)刷新情況下對(duì)部分網(wǎng)頁(yè)的更新，結(jié)合ASP.net的webservice技術(shù)，可以輕松實(shí)現(xiàn)各種精彩的前后端交互技術(shù)和功能要求。

4.1 數(shù)據(jù)庫(kù)設(shè)計(jì)

給每個(gè)與目錄授權(quán)相關(guān)的域用戶組指定一個(gè)或多個(gè)所有者，記錄在表Grps里，表結(jié)構(gòu)如下：

序號(hào)字段名稱 類型 大小 允許為空索引 備注1 GrpName nvarchar 50 F 用戶組名2 GrpOwner nchar 8 F IDX 用戶組所有者

當(dāng)所有者用戶登錄該系統(tǒng)時(shí)，由于系統(tǒng)運(yùn)行在域環(huán)境下，通過HttpContext.Current.User.Identity.Name語(yǔ)句返回當(dāng)前用戶域賬號(hào)，系統(tǒng)再根據(jù)當(dāng)前登錄用戶的域身份，從數(shù)據(jù)庫(kù)表Grps中查詢出該用戶負(fù)責(zé)的所有用戶組，并顯示在界面“用戶組管理”頁(yè)簽下的用戶組列表中，見圖1。

圖1 用戶界面

代碼如下：

4.2 添加成員

以添加用戶成員為例，其他功能如查看、刪除等可以類推。

如果要為用戶組添加用戶成員，則從用戶組列表中選中該用戶組，點(diǎn)擊右邊的“增加成員”按鈕，激發(fā)系統(tǒng)通過前端JQuery調(diào)用后端ASP.net相應(yīng)的Web Service進(jìn)行，JQuery代碼如下：

以上JQuery代碼通過Ajax調(diào)用后端的Web Service方法AddUserToGroup(), 同時(shí)傳入用戶ID和用戶組兩個(gè)參數(shù)，將用戶加入用戶組，如果成功則繼續(xù)調(diào)用getGrpUsrs()函數(shù)刷新當(dāng)前用戶組成員，失敗則彈窗提醒用戶。對(duì)應(yīng)的Web Service代碼如下：

為了衡量用戶對(duì)系統(tǒng)整體主觀滿意度，在系統(tǒng)運(yùn)行半年后邀請(qǐng)了數(shù)據(jù)庫(kù)表中所有的用戶組所有者對(duì)系統(tǒng)進(jìn)行評(píng)分，評(píng)分等級(jí)為1～5分，評(píng)分越高表示越滿意，最終本系統(tǒng)獲得4.8分，用戶整體比較滿意。

5 改進(jìn)展望

信息系統(tǒng)的安全審計(jì)是ISO審核的一項(xiàng)重要內(nèi)容，尤其是對(duì)共享文件的安全保護(hù)措施是審核的重點(diǎn)內(nèi)容之一，如果對(duì)本系統(tǒng)進(jìn)一步加以改進(jìn)提高，設(shè)計(jì)新功能對(duì)共享文件及其包含的所有子目錄進(jìn)行遍歷，獲得每個(gè)目錄的所有用戶組及其權(quán)限清單，增加可以查詢某個(gè)用戶所在的用戶組清單，則非常有助于文件安全審計(jì)工作。此外，目前，通過域策略方式審計(jì)共享文件操作的信息簡(jiǎn)單，無法獲取操作共享文件的遠(yuǎn)程用戶詳細(xì)信息，無法追根到底[1-3]，在此方面還有很大的改進(jìn)空間。

隨著云計(jì)算云存儲(chǔ)的發(fā)展，網(wǎng)盤系統(tǒng)在很多單位內(nèi)部正得到日漸普及應(yīng)用，對(duì)網(wǎng)盤共享文件的安全管理同樣也是一個(gè)重要課題，本研究的管理思想對(duì)網(wǎng)盤共享文件的管理也有啟迪[4-5]。

局域網(wǎng)共享文件未考慮到版本控制問題，難以追蹤和多用戶協(xié)同修改，這也經(jīng)常被用戶吐槽，值得納入我們考慮未來在信息系統(tǒng)中加以改進(jìn)。

6 結(jié)束語(yǔ)

保障共享文件的安全，是企業(yè)網(wǎng)絡(luò)安全重要內(nèi)容，傳統(tǒng)的文件授權(quán)由管理員集中管理的做法，存在低效、用戶不易審核等各種不足，本研究提出的解決方案可以有效解決這些問題，通過在企業(yè)的實(shí)際應(yīng)用，大幅度降低了域管理員的工作負(fù)擔(dān)，方便文件所有者對(duì)安全的審核，取得良好的管理效益，尤其是在共享文件目錄的規(guī)模越大時(shí)，獲得的效益越明顯。