中核運行公司文件服務(wù)器的設(shè)計

摘 要：文章描述了中核運行公司內(nèi)部的文件服務(wù)器構(gòu)建方法，通過微軟Windows Server 2008的故障轉(zhuǎn)移群集技術(shù)，來部署文件服務(wù)器。在設(shè)計高可用性時，需要在存儲、網(wǎng)絡(luò)、操作系統(tǒng)及應(yīng)用多個角度進行考慮。使用FSRM（文件服務(wù)器自愿管理）對保存的文件類型和配額進行限制，配合詳細(xì)的NTFS權(quán)限設(shè)計能做到精細(xì)的權(quán)限控制和利用FSA（文件系統(tǒng)審計）對文件服務(wù)器的操作進行審計，能夠滿足一般中大型企業(yè)的日常使用。對于跨區(qū)域大型企業(yè)，DFS技術(shù)將Windows文件服務(wù)器可以作為集團化企業(yè)的ECM的一種補充。

關(guān)鍵詞：文件服務(wù)器；SAN（Storage Area Network）；群集（Cluster）；重復(fù)刪除；文件服務(wù)器資源管理器（FSRM）；CA（Certificate Authority）

中圖分類號：TP393.09

隨著信息化的發(fā)展，企業(yè)中產(chǎn)生的數(shù)據(jù)量劇增。對于非結(jié)構(gòu)化的數(shù)據(jù)文件，急需要進行統(tǒng)一管理。目前在企業(yè)中，文件管理方面面臨諸多挑戰(zhàn)，大量的文件存放在用戶客戶端計算機中。首先這不利于知識分享；另外客戶端計算機容易發(fā)生文件丟失、磁盤損壞、遭遇病毒破壞，都容易讓數(shù)據(jù)文件丟失，給公司帶來不可估量的后果。用戶文件共享不便：在目前的企業(yè)環(huán)境中，出于安全考慮，應(yīng)當(dāng)盡量回收本地管理員的權(quán)限，這樣信息安全才能可控。由于用戶數(shù)量較多，其信息安全意識水平參差不齊，網(wǎng)絡(luò)中的許多蠕蟲病毒都是利用其共享的權(quán)限設(shè)置不夠嚴(yán)謹(jǐn)而大量傳播的。（為了讓大家能簡單的共享信息，必須搭建統(tǒng)一、集中管控的文件服務(wù)器）

文件管理安全存在威脅，權(quán)限限制過嚴(yán)，又影響相互之間的文件傳遞。權(quán)限過松，又會導(dǎo)致一些重要的信息被非授權(quán)人看到。（權(quán)限精細(xì)化設(shè)計或RMS）

存儲在文件服務(wù)器上的數(shù)據(jù)，往往會被授權(quán)的人員，因誤操作而刪除，沒有有效的操作記錄來幫助IT管理員分析故障的具體原因。（實施審計功能）

根據(jù)之前經(jīng)驗，用戶喜歡網(wǎng)絡(luò)共享的方式訪問遠端數(shù)據(jù)的習(xí)慣難以改變。對文件服務(wù)器的依賴性越來越高，需要提供高可用性的設(shè)計方案（群集技術(shù)或DFS技術(shù)）

用戶在長期使用了文件共享服務(wù)器后，會產(chǎn)生大量重復(fù)性的數(shù)據(jù)，因為每個人都會把自己覺得有價值的數(shù)據(jù)做個備份，重復(fù)性刪除技術(shù)為節(jié)約存儲很有用。（如果需要使用，可考慮部署Windows Server 2012 的文件服務(wù)器或者其它存儲廠商內(nèi)嵌的技術(shù)）

1 設(shè)計目標(biāo)

能夠為中核運行秦山地區(qū)5000+或更多用戶提供穩(wěn)定可靠的文件共享訪問服務(wù)，進行細(xì)致的權(quán)限控制設(shè)計，將文件按重要性劃分為不同等級進行存儲和管理，并對文件的破壞和特權(quán)操作進行審計跟蹤，配合NBU備份系統(tǒng)，定期對重要數(shù)據(jù)文件進行備份。

IT項目的實施，一定要尊重用戶體驗。任何擅自改變用戶體驗的做法，都會大大增加項目的風(fēng)險。新的文件服務(wù)器解決方案部署完畢后，用戶可以非常便捷地訪問到自己的文件以及團隊共享的文件，盡量減少用戶培訓(xùn)的成本，盡量給用戶有以熟悉的界面。

1.1 提供報表、修改和刪除的審計功能

文件服務(wù)器解決方案可以針對文件存儲區(qū)域提供數(shù)據(jù)報表，可以讓管理員了解文件存儲區(qū)的空間利用率、存儲空間占用排行、存儲空間占用文件類型等數(shù)據(jù)統(tǒng)計。另外在文件服務(wù)器上可以追蹤文件的修改記錄，便于管理授權(quán)用戶因個人誤操作行為而破壞數(shù)據(jù)的可用性，而進行有效監(jiān)控和審計。

1.2 Cluster技術(shù)提供高可用性

采用微軟Windows Server 2008 R2的故障轉(zhuǎn)移群集技術(shù)，提高系統(tǒng)的高可用性。微軟的Cluster群集技術(shù)，在Windows Server 2008后得到大幅提升，能夠為企業(yè)帶來關(guān)鍵性業(yè)務(wù)的更高可用性。具體實施細(xì)節(jié)在這里不做介紹。故障轉(zhuǎn)移群集中的服務(wù)器可以充當(dāng)多種角色（包括文件服務(wù)器、打印服務(wù)器、郵件服務(wù)器或數(shù)據(jù)庫服務(wù)器），并可針對多種其他服務(wù)和應(yīng)用程序提供高可用性。

故障轉(zhuǎn)移群集通常包含一個物理連接到群集中所有服務(wù)器的存儲單元，但一次只能有一個服務(wù)器訪問該存儲單元中的任何給定卷。如圖1所示：

圖1 CNNP域 泰山站點 文件服務(wù)器的故障轉(zhuǎn)移拓?fù)鋱D

1.3 SAN存儲空間規(guī)劃

設(shè)計思路：綜合考慮性價比，將高端存儲用于存儲更有價值的數(shù)據(jù)。低端存儲，比如NAS用來存放價值不高的數(shù)據(jù)。這樣可以確保企業(yè)的投入產(chǎn)出比更合理。

按秦山地區(qū)5000人員使用文件服務(wù)器來計算，S盤按每人2GB配額來計算，建議至少4TB，用作S盤。這取決于總體上存儲能分配給文件服務(wù)器多少容量以供使用。

注：Windows Server 2008的故障群集技術(shù)不允許使用動態(tài)盤對磁盤進行管理。

1.4 FSRM對文件服務(wù)器進行精細(xì)化管控

1.4.1 FSRM的功能

使用FSRM文件服務(wù)器資源管理器，可以執(zhí)行以下任務(wù)：（1）通過創(chuàng)建配額來限制允許卷或文件夾使用的空間，并在接近或超過配額限制時生成電子郵件通知和其他通知；（2）自動生成配額并將配額應(yīng)用于卷或文件夾中現(xiàn)有的子文件夾和新子文件夾；（3）通過創(chuàng)建文件屏蔽來控制用戶可以保存的文件類型以及在用戶嘗試保存被阻止的文件時發(fā)送通知；（4）定義可以輕松應(yīng)用于新的卷或文件夾并且可以在整個組織中重新使用的配額和文件屏蔽模板；（5）計劃定期存儲報告，以便幫助確定磁盤使用中的趨勢，或按需求立即生成存儲報告。通過文件服務(wù)器管理工具中的“存儲報告管理”對某一個存儲區(qū)域進行報表統(tǒng)計，統(tǒng)計分類包括“按所有者分類、按文件組分類、大文件、配額使用率、文件屏蔽審核、重復(fù)文件、最近訪問次數(shù)最多的文件以及最近訪問最少的問題”。

1.4.2 文件服務(wù)器資源管理器配額管理

下表概述了使用文件服務(wù)器資源管理器中的配額管理工具（而不是NTFS磁盤配額）的優(yōu)勢。NTFS的配額管理只針對用戶，而FSRM里面的配額管理可以針對目錄。

使用文件服務(wù)器資源管理器的優(yōu)勢：

表1

配額功能FSRM：文件服務(wù)器資源管理器 NTFS 磁盤配額

配額跟蹤按文件夾或按卷卷上的每個用戶

磁盤使用情況計算實際磁盤空間邏輯文件大小

通知機制電子郵件、自定義報告、運行的命令或腳本、事件日志僅事件日志

1.4.3 文件屏蔽管理

創(chuàng)建、管理和獲取有關(guān)用來阻止某個卷或文件夾中選定文件類型的文件屏蔽的信息。當(dāng)用戶嘗試保存未經(jīng)授權(quán)的文件時，向管理員發(fā)送一封電子郵件或生成類似通知。創(chuàng)建文件屏蔽例外以替代某些文件屏蔽規(guī)則。

FSRM可以限定在文件服務(wù)器上允許存放什么文件，不允許存放什么類型的文件。

表2

映射盤允許的文件類型不允許的文件類型

S盤Doc；docx；pdf；txt；chm等等bat；exe；dll；Jpeg；bmp等

I盤無限制都允許

T盤Office 文檔；txt；pdf等Exe；bat；dll等

2 目錄結(jié)構(gòu)設(shè)計

按公司的組織結(jié)構(gòu)進行設(shè)計，根據(jù)以往使用經(jīng)驗，可以在目錄名加上數(shù)字編號，來進行排序控制。具體參見下圖：

圖2

將設(shè)置3個共享目錄，分別對應(yīng)的網(wǎng)絡(luò)驅(qū)動器信息如下表：

表3

映射盤符UNC路徑重要等級功能說明

S盤＼＼cnnp-qs-fs01.cnnp.com.cn＼share＼高各個部門的重要性文件，按規(guī)定

I盤＼＼cnnp-qs-fs01.cnnp.com.cn＼winapps＼中公司所采購的正版軟件和自行開發(fā)程序

T盤＼＼cnnp-qs-fs01.cnnp.com.cn＼temp＼中各部門的過程性文件（該目錄不備份，自創(chuàng)建日起數(shù)據(jù)只能存放3個月。）

說明如下：（1）一級目錄主要是包含：中核核電本部、秦山集團、中核運行以及三方交換信息的共享區(qū)域；（2）二級目錄則是按部門設(shè)計的部門級目錄；（3）三級目錄可以按部門的組織機構(gòu)和業(yè)務(wù)需求來設(shè)置，另外每個部門目錄下最好設(shè)置一個允許同一個公司的其它部門訪問的對外目錄；（4）三級以下層級的目錄不做具體要求，可根據(jù)各部門需要自行設(shè)計。

3 數(shù)據(jù)安全設(shè)計

3.1 權(quán)限精細(xì)化管理設(shè)計

貼合目錄結(jié)構(gòu)，對目錄進行精細(xì)授權(quán)設(shè)計。總體思路是，對于目錄盡量采用安全組來進行授權(quán)，安全組的設(shè)計可以依據(jù)二級目錄、三級目錄的讀寫權(quán)限進行授權(quán)。具體依賴于我們是將權(quán)限控制下放給業(yè)務(wù)部門還是集中管控。這兩者各有各的優(yōu)劣：（1）權(quán)限集中管控，前期IT管理員的工作量巨大，但規(guī)范管理，通過安全組進行授權(quán)后，后期的工作量會變得較少，且有利于服務(wù)器的穩(wěn)定運行；（2）權(quán)限下放到業(yè)務(wù)部門，可大大解放IT管理員的工作量，但需要對各業(yè)務(wù)部門的授權(quán)人員系統(tǒng)培訓(xùn)，并在發(fā)生權(quán)限紊亂時，增加排錯困難，而且制定的規(guī)則可能無法統(tǒng)一實施。

權(quán)限設(shè)計原則：盡量對目錄進行授權(quán)；盡量對安全組來進行控制權(quán)限，而不要針對單獨的用戶；目錄層級深的時候，如果只是需要深層次的目錄的更高權(quán)限，則在父級目錄中僅授予進入目錄+羅列文件權(quán)限，到目標(biāo)目錄再進行放開權(quán)限。完全權(quán)限盡量不要開放給用戶。

表4

權(quán)限分類適用人員說明

拒絕權(quán)限拒絕訪問的域內(nèi)賬號拒絕權(quán)限謹(jǐn)慎使用，因為它的優(yōu)先級最高

僅可進入目錄，并羅列文件可列出相關(guān)目錄和文件信息，但無法打開在非關(guān)鍵目錄中，可放開進入目錄的權(quán)限。對下次目錄匯總再增加其權(quán)限

可訪問目錄，并打開文檔部門內(nèi)成員就是只讀操作權(quán)限

可在目錄下創(chuàng)建文檔，但不可修改其內(nèi)容各部門信息管理人員只能上傳文件或新建文件，之后無法修改保存

可在目錄下創(chuàng)建目錄可以創(chuàng)建目錄結(jié)構(gòu)的信息管理人員允許創(chuàng)建目錄，可以給指定狹義級目錄結(jié)構(gòu)

對目錄有修改權(quán)限（保護創(chuàng)建目錄和文件，并能修改）部門領(lǐng)導(dǎo)和授權(quán)人員就是修改權(quán)限

完全控制權(quán)限僅為IT管理員盡量避免，可以授權(quán)其它人員訪問權(quán)限

3.2 數(shù)據(jù)加密技術(shù)

控制對公司有價值的數(shù)據(jù)，在離開公司網(wǎng)絡(luò)后，無法被訪問?？梢赃x用RMS技術(shù)，需要自行部署企業(yè)級CA。

3.3 行為審計

在設(shè)計訪問審計功能時，建議采用第三方的軟件Script logic公司的File System Auditor（FSA），該軟件對文件服務(wù)器的操作進行詳細(xì)跟蹤審計，可以做到近似實時地對文件服務(wù)器下共享文件夾進行的操作均被記錄，可以很方便地進行管控。三期文件服務(wù)器的管理經(jīng)驗告訴我，當(dāng)重要性文件因為客戶的誤操作發(fā)生時，他們只會說，我什么也沒有做，但就是文件沒了，需要系統(tǒng)管理員進行恢復(fù)。這時候往往可能是用戶自己不小心將文件拖拽到其它目錄中去了，而我們卻無法定位用戶到底進行了什么操作。

File System Auditor audits報告和對Windows文件服務(wù)器行為發(fā)出警告，顯示誰，在何時，在哪臺服務(wù)器上觸動了哪些文件和文件夾。與提供無數(shù)入口來表示單個事件的事件日志統(tǒng)一解決方案不同，F(xiàn)ile System Auditor使用文件系統(tǒng)級別的智能審核來捕獲所有行為并用單個入口顯示每個單獨事件，這樣就能提供更好的報告，分析和決策。

企業(yè)都關(guān)注安全控制的有效性，確定它們遵守所需的規(guī)則或直接監(jiān)控文件系統(tǒng)行為，F(xiàn)ile System Auditor提供了對每個所需文件系統(tǒng)事件的實時監(jiān)控，來提供可行的，可信賴的和完整的用戶行為報告。

3.4 數(shù)據(jù)備份和安全設(shè)計

為保障數(shù)據(jù)安全，必須做好備份和防病毒工作，這方面的工作可以依托現(xiàn)有的安全手段。（1）防病毒軟件的選用：能穩(wěn)定有效地保護服務(wù)器，推薦Symantec；（2）數(shù)據(jù)備份的策略：利用公司現(xiàn)有的備份軟件NBU，通過配置合理的策略，降低對NBU虛擬帶寬的存儲壓力。針對S盤、I盤和T盤的重要性，分別進行對應(yīng)的備份策略，以保證在數(shù)據(jù)意外丟失時，能恢復(fù)到最新狀態(tài)，將數(shù)據(jù)損失降至最低。

參考文獻：

[1]《微軟信息安全文集》微軟出版，2004.

[2]Orin Thoms，John Plicelli，Ian mcLean，J.C.Mackin，Paul Mancuso，David R.Miller.Windows Server 2008企業(yè)環(huán)境管理[M].北京：清華大學(xué)出版社，2009.

[3]呂政周，趙驚人，唐任威，張宏義.Windows server 2008系統(tǒng)管理員實用全書[M].北京：電子工業(yè)出版社，2010.

作者簡介：王軍（1976.11-），男，武漢人，在讀碩士，工程師，研究方向：信息安全及SAP ERP。

作者單位：中核核電運行管理有限公司，浙江海鹽 314300