论文部分内容阅读
摘 要:非线性编辑网络是制作多媒体节目的网络系统,它的核心就是共享资源的存储,所以,共享资源的安全保障,就成了网络运行的头等大事。本文基于电视台的这方面应用经验,分层次地探讨了这一问题。
关键词:非线性编辑网络;域;组策略
中图分类号:TP393.07文献标识码:A
Security Strategy of Non-linear editing network
ZHANG Yu
(CTV News Center,Jilin Changchun 130061)
Key words: Non-linear editing network;Domain;Group Policy
非线性编辑网络(非编网),在电视台、广告制作公司等部门内得到广泛使用。它的核心就是共享资源的存储,所以,共享资源的安全保障,就成了网络运行的头等大事。确保这些素材的安全、并使它们能在授权的范围内被合法地使用,就是非编网的安全策略问题主旨。
下面就以电视台为例描述一下这类问题的表现:假设节目制作部门甲有3个栏目A、B、C,他们共用有一个非编网制作节目,需求是同栏目内的用户,要共享彼此的素材。不同栏目间,只提供部分素材相互共享。非编网的安全策略就是要保证这些共享了的素材、资源,不被某些用户误删,并保证只有得到授权了的用户,才能使用共享的素材。
要解决的问题被分为几个层面,首先是同栏目内的用户相互共享素材,那么只需保证彼此对对方的素材只有"读"的权限,而对自己的素材拥有完全控制权的问题;
其次是栏目间的部分素材共享与确保共享资源不被误删的问题。也就是栏目间彼此对对方的素材只有"读"的权限,而对自己的素材拥有完全控制权。
最后是限制用户可接触到的对数据安全有威胁的操作手段。
那么,让我们来看具体的作法。
1 为“栏目A”设定一个域--“A域”
栏目A的所有用户,都隶属于“A域”的全局组,为“栏目A”的“栏目资源”设立“A域本地组”。我们再为“栏目A”的“栏目资源”设立的如下权限:“A域本地组”对“栏目A的栏目资源”拥有完全控制权。将“A域”全局组隶属于“A域本地组”。结果就是,栏目A的所有用户,拥有对“栏目A”的“栏目资源”完全控制权。那么如何避免用户间无意删除彼此的素材呢,网络版的非编软件带有自己的管理软件,由它负责管理栏目A的用户合理使用彼此的素材并确保用户不越权删除不属于自己的素材,最后是赋予栏目中不同身份的用户不同级别的权限,让他们依工作需要有差别地拥有合理运用同事素材的相应权限。
2 使“部门甲”的3个栏目间可以共享
为“部门甲”设立自己的域、全局组、域本地组。将三个栏目间准备彼此共享的资源的“只读权”赋予“部门甲”的“域本地组”,再将“部门甲”的“全局组”都纳入其中。尔后,为“栏目B”、“栏目C”也设立各自自己的域、全局组、域本地组。并为“A域”、“B域”、“C域”建立相互信任,最后将A、B、C的全局组都放入“部门甲”的全局组中。这样三个栏目的用户就都最终隶属于“部门甲”三个栏目间共享资源的“域本地组”成员啦。即拥有对“共享资源”的只读权。
以上的安全机制是已经成熟的“A-G-DL-P”组嵌套授权机制。简单地说,就是将用户帐户加入全局组,全局组再加入域本地组,给“域本地组”资源访问权。从而实现跨域的资源访问授权。这里A是Account-代表域中的用户;G是Global Groups代表全局组;DL是Domain Local Groups 代表域本地组;P是Permission代表资源权限分配。
综上所述,部门内栏目间共享素材的安全问题,要由“A-G-DL-P”授权机制结合“非编网管软件”中的恰当权限分配,共同实现。前者保证了栏目间安全使用“共享素材”。后者保证了栏目内同事间相互安全使用彼此的素材。
关于“非编网管软件”中的恰当权限分配问题展开说就是将栏目用户,按分工、角色分类,赋予有差别的相应素材控制权。比如,把用户分类为部门主任、责任编辑、普通编辑……等不同身份,他们对“栏目资源”的“读写控制权”应该明显不同,按“身份”之别设计不同的合理权限组合,就能使用户在非编软件中正确地使用彼此的素材。
3 如何保证“非编软件”之外的资源安全
不妨分析一下问题的根本:一切都源于“栏目资源”能在“非编软件”之外被浏览到。也就是说,保证“栏目资源”在“非编软件”之外不可见、见了也不可读,是避免资源的安全出问题的前提。
实现这一目标的方案有三个:
3.1隐藏欲保护的资源目录。
我们将某些能在“非编软件”内引用的素材的存放路径属性,设置成隐藏(在“文件夹属性”中),或将某个网络素材盘,整体隐藏(在“注册表”中);然后在“组策略”(gpedit.msc)中限定用户更改“文件夹属性”,限定用户使用“资源管理器”“运行栏”“右键功能”,这样,就可以保证这些隐藏路径下的资源的安全。
3.2将“资源目录”的读写权限,只授给必要的用户。
某些文件夹无论隐藏与否,对于一些以特定身份登录网络的用户,就只有“读”的权限,而没有“写”和“删除”权限。举例说,部门主任、责任编辑、普通编辑登录“非编软件”后,才会被赋予对素材资源的相应权限,但在“非编软件”之外,登录非编网络时,也会先有个“账号”的,这个“账号”就被赋予了对某些文件夹的“只读”权限。这样,在“非编软件”外也可保证该“路径”下的资源不会被非法删除、改写了。
3.3限制“非必要软件”种类,标准化用户配置环境。
“非编网”的用户按照分工不同,对“工作站”的软硬件配置需求也将不同。所以,同样分工的用户,就会被要求以同一“帐户”登录网络,以保证获得同一的“桌面配置”,做到这些是由管理员事先在“域管理器”用“组策略”(gpedit.msc)定制了该帐户的“配置”,并把配置文件重定向到某一安全网络路径下来实现的。
使用同一“帐户”身份登录“非编网”的用户,将会看到统一的桌面配置,他们只能用到必要的几种软件,其它的软件都被从桌面清除,一些对资源有威胁的操作或功能项,也都要在“组策略”(gpedit.msc)中关闭和屏蔽掉;比如:在“组策略用户配置管理模板任务栏和开始菜单”中启用“从【开始】菜单栏中删除”运行“菜单”项,启用“从【开始】菜单栏中删除公用程序组”项。在“组策略用户配置Windows设置文件重定向【开始】菜单”中,右键单击突出显示的“开始菜单”的属性,选择“基本”设置,并设置配置文件的具体网络共享路径。这样,网络用户进行系统登录时,“开始菜单”重定向到共享的网络位置,用户应用环境因此得以标准化。
4 为“非编网”配置杀毒服务器
由于“素材、资源”有交流的需求,就不可避免的要受到病毒、木马、流氓软件的威胁,所以在“非编网”上设置一台专门的工作站负责网络资源拷入拷出,并将其同时配置为网络的杀毒服务器,只要及时定期更新病毒库,就可以尽可能地减少资源感染病毒的机会。
以上我们对“非编网”素材安全手段做了一些粗略讨论,它们还无法保障素材的百分之百安全,希望本文能带来更多同行的有益探讨,将资源的安全保障工作推向更完善。
参考文献:
[1]李强.《浅谈新闻非编网络的安全维护》[J].《视听界(广播电视技术)》2007,(4).
[2]宣长林.《非编网络安全管理技术探析》[J].《现代电视技术》2008,(8).
关键词:非线性编辑网络;域;组策略
中图分类号:TP393.07文献标识码:A
Security Strategy of Non-linear editing network
ZHANG Yu
(CTV News Center,Jilin Changchun 130061)
Key words: Non-linear editing network;Domain;Group Policy
非线性编辑网络(非编网),在电视台、广告制作公司等部门内得到广泛使用。它的核心就是共享资源的存储,所以,共享资源的安全保障,就成了网络运行的头等大事。确保这些素材的安全、并使它们能在授权的范围内被合法地使用,就是非编网的安全策略问题主旨。
下面就以电视台为例描述一下这类问题的表现:假设节目制作部门甲有3个栏目A、B、C,他们共用有一个非编网制作节目,需求是同栏目内的用户,要共享彼此的素材。不同栏目间,只提供部分素材相互共享。非编网的安全策略就是要保证这些共享了的素材、资源,不被某些用户误删,并保证只有得到授权了的用户,才能使用共享的素材。
要解决的问题被分为几个层面,首先是同栏目内的用户相互共享素材,那么只需保证彼此对对方的素材只有"读"的权限,而对自己的素材拥有完全控制权的问题;
其次是栏目间的部分素材共享与确保共享资源不被误删的问题。也就是栏目间彼此对对方的素材只有"读"的权限,而对自己的素材拥有完全控制权。
最后是限制用户可接触到的对数据安全有威胁的操作手段。
那么,让我们来看具体的作法。
1 为“栏目A”设定一个域--“A域”
栏目A的所有用户,都隶属于“A域”的全局组,为“栏目A”的“栏目资源”设立“A域本地组”。我们再为“栏目A”的“栏目资源”设立的如下权限:“A域本地组”对“栏目A的栏目资源”拥有完全控制权。将“A域”全局组隶属于“A域本地组”。结果就是,栏目A的所有用户,拥有对“栏目A”的“栏目资源”完全控制权。那么如何避免用户间无意删除彼此的素材呢,网络版的非编软件带有自己的管理软件,由它负责管理栏目A的用户合理使用彼此的素材并确保用户不越权删除不属于自己的素材,最后是赋予栏目中不同身份的用户不同级别的权限,让他们依工作需要有差别地拥有合理运用同事素材的相应权限。
2 使“部门甲”的3个栏目间可以共享
为“部门甲”设立自己的域、全局组、域本地组。将三个栏目间准备彼此共享的资源的“只读权”赋予“部门甲”的“域本地组”,再将“部门甲”的“全局组”都纳入其中。尔后,为“栏目B”、“栏目C”也设立各自自己的域、全局组、域本地组。并为“A域”、“B域”、“C域”建立相互信任,最后将A、B、C的全局组都放入“部门甲”的全局组中。这样三个栏目的用户就都最终隶属于“部门甲”三个栏目间共享资源的“域本地组”成员啦。即拥有对“共享资源”的只读权。
以上的安全机制是已经成熟的“A-G-DL-P”组嵌套授权机制。简单地说,就是将用户帐户加入全局组,全局组再加入域本地组,给“域本地组”资源访问权。从而实现跨域的资源访问授权。这里A是Account-代表域中的用户;G是Global Groups代表全局组;DL是Domain Local Groups 代表域本地组;P是Permission代表资源权限分配。
综上所述,部门内栏目间共享素材的安全问题,要由“A-G-DL-P”授权机制结合“非编网管软件”中的恰当权限分配,共同实现。前者保证了栏目间安全使用“共享素材”。后者保证了栏目内同事间相互安全使用彼此的素材。
关于“非编网管软件”中的恰当权限分配问题展开说就是将栏目用户,按分工、角色分类,赋予有差别的相应素材控制权。比如,把用户分类为部门主任、责任编辑、普通编辑……等不同身份,他们对“栏目资源”的“读写控制权”应该明显不同,按“身份”之别设计不同的合理权限组合,就能使用户在非编软件中正确地使用彼此的素材。
3 如何保证“非编软件”之外的资源安全
不妨分析一下问题的根本:一切都源于“栏目资源”能在“非编软件”之外被浏览到。也就是说,保证“栏目资源”在“非编软件”之外不可见、见了也不可读,是避免资源的安全出问题的前提。
实现这一目标的方案有三个:
3.1隐藏欲保护的资源目录。
我们将某些能在“非编软件”内引用的素材的存放路径属性,设置成隐藏(在“文件夹属性”中),或将某个网络素材盘,整体隐藏(在“注册表”中);然后在“组策略”(gpedit.msc)中限定用户更改“文件夹属性”,限定用户使用“资源管理器”“运行栏”“右键功能”,这样,就可以保证这些隐藏路径下的资源的安全。
3.2将“资源目录”的读写权限,只授给必要的用户。
某些文件夹无论隐藏与否,对于一些以特定身份登录网络的用户,就只有“读”的权限,而没有“写”和“删除”权限。举例说,部门主任、责任编辑、普通编辑登录“非编软件”后,才会被赋予对素材资源的相应权限,但在“非编软件”之外,登录非编网络时,也会先有个“账号”的,这个“账号”就被赋予了对某些文件夹的“只读”权限。这样,在“非编软件”外也可保证该“路径”下的资源不会被非法删除、改写了。
3.3限制“非必要软件”种类,标准化用户配置环境。
“非编网”的用户按照分工不同,对“工作站”的软硬件配置需求也将不同。所以,同样分工的用户,就会被要求以同一“帐户”登录网络,以保证获得同一的“桌面配置”,做到这些是由管理员事先在“域管理器”用“组策略”(gpedit.msc)定制了该帐户的“配置”,并把配置文件重定向到某一安全网络路径下来实现的。
使用同一“帐户”身份登录“非编网”的用户,将会看到统一的桌面配置,他们只能用到必要的几种软件,其它的软件都被从桌面清除,一些对资源有威胁的操作或功能项,也都要在“组策略”(gpedit.msc)中关闭和屏蔽掉;比如:在“组策略用户配置管理模板任务栏和开始菜单”中启用“从【开始】菜单栏中删除”运行“菜单”项,启用“从【开始】菜单栏中删除公用程序组”项。在“组策略用户配置Windows设置文件重定向【开始】菜单”中,右键单击突出显示的“开始菜单”的属性,选择“基本”设置,并设置配置文件的具体网络共享路径。这样,网络用户进行系统登录时,“开始菜单”重定向到共享的网络位置,用户应用环境因此得以标准化。
4 为“非编网”配置杀毒服务器
由于“素材、资源”有交流的需求,就不可避免的要受到病毒、木马、流氓软件的威胁,所以在“非编网”上设置一台专门的工作站负责网络资源拷入拷出,并将其同时配置为网络的杀毒服务器,只要及时定期更新病毒库,就可以尽可能地减少资源感染病毒的机会。
以上我们对“非编网”素材安全手段做了一些粗略讨论,它们还无法保障素材的百分之百安全,希望本文能带来更多同行的有益探讨,将资源的安全保障工作推向更完善。
参考文献:
[1]李强.《浅谈新闻非编网络的安全维护》[J].《视听界(广播电视技术)》2007,(4).
[2]宣长林.《非编网络安全管理技术探析》[J].《现代电视技术》2008,(8).