非线性编辑局域网文件安全上传管理系统的设计

项海飞

摘要：本系统是基于非线性编辑局域网开发的，包括文件防毒和文件操作两大块。不仅提高了非线性编辑局域网的安全防范能力，也提高了客户端系统的运行效率，有效并更好地为非线性编辑局域网的使用提供便捷和安全保障。

关键词：非线性编辑局域网；文件上传：病毒

由于非编网的数据传输主要是视频、音频数据及图文数据，不需要也不允许用户私自安装其他的软件。而且每个客户端都禁用光驱。整个网络始终处于全封闭状态，未连到外网。几乎所有视频、音频数据都是通过SONY的数字编缉机的数字视频、音频输出接口进入非编网。如果不考虑其他渠道素材的连入，非线性编缉网等同于某种意义上与世隔绝的局域网。假设内部不存在人为的恶意攻击，那将是非常安全的。但当今世界视频、音频制作，离不开其他先进的媒体制作技术和来自各方面的视频、音频素材。这些素材主要是通过U盘跟移动硬盘接八的，它们的接入必定会导致大量的病毒跟随U盘和移动硬盘内的数据一同进入非编网，而用户一不小心就会激活它们。

1多媒体文件安全上传的新设想

病毒传染方式一般有两种方式：病毒被用户激活后，病毒程序立马被执行，并驻留内存，继而设置触发条件，进行传播：病毒可以通过INTERNET网络和系统漏洞直接攻击远程计算机，并将病毒本身植入到远程计算机系统中进行传播。在分析了传统的防病毒方法后，结合我们的实际情况，我们总结出以下几个方案：限制使用人员使用WINDOWSXP自带的资源管理器，防止用户激活病毒的原文件：在非编网中增加一台专用的移动存储设备接人工作站；除了允许专用的移动存储设备接人工作站外，禁止移动存储设备在所有客户端接入；在工作站正常运行的前提下，尽可能地限制使用人员的系统管理权限；在文件上传工作站旁增加一台连接INTER-NET的杀毒工作站，此工作站与非编网不相连。

2系统的总体构想

程序设计的第一步是明确程序的目的和如何使用，弄清用户对开发应用系统的确切要求。也就是说需要程序解决哪些问题，明确目的之后，才可以确定您需要创建哪些主题以及每个主题的功能。我们根据非编网目前存在的问题，分析一下设计程序的整体结构与功能。考虑到不改变网络整体布局，以及制作人员的操作方便需要，我们尝试在人员相对比较集中的大制作室内增加一台工作站，命名为“移动存储设备接入工作站”(简写“COPYFlLE”)，同时在该工作站旁增加一台杀毒工作站。杀毒工作站安装的是最新的杀毒软件，并与INTERNET相连，它的基本用途有以下几点：实时升级更新WlNDOWSXP操作系统的系统补丁与杀毒软件的病毒库；对移动存储设备进行全面的病毒查杀；在上面可以进行简单的文件操作，包括文件的编辑与复制等，在里面把"DOC"或其他格式的文字文件转化为“TXT”的文本文件：把需要上传到非编网的视频、音频文件及文本文件等进行整理，并放到指定文件夹内(目标盘的WZTV目录下)。

COPYFILE工作站安装的也是最新的杀毒软件，但必须跟杀毒工作站的杀毒软件不属于同一牌子，这点很重要。除此之外，我们还要做的是设计一个具有文件上传和安全管理功能的软件，也就是我们现在要设计实现的“非线性编辑局域网文件安全上传管理系统”。

3系统的主要功能

经设计优化后的非编网具备的几大功能：

首先保证移动存储设备的安全接入：装载专用的上传目录；检测移动存储设备的根目录，是否有Autorun.inf文件的存在，有则提醒用户删之，或是执行用户指定的操作。

其次保证视频、音频文件的安全上传：列出需要上传的文件；禁止非视频、音频文件类型的上传；测试对被选中上传的视频、音频文件的判断是否属实：安全上传到共享盘。

最后支持安全的远程关机与系统数据的升级和修改：设置管理员登入口：调用WlN-DOWS XP中的shutdown系统指令用以实现远程关机；启动对系统数据的升级和修改模块。

系统主要功能划为九大模块如表1所示：

系统主模块包括：读盘模块、上传模块、删除模块、文件列表模块、远程关机模块、数据修改及升级模块。其中Admin入口的功能是检测管理密码，密码输入正确则显示两个功能模块的按钮。在数据修改模块，管理员可以增加要禁止上传的文件类型和允许上传的文件类型。远程控制关机模块则调用Win-dows的外部命令来实现远程关机。这样做的目的是提高系统的稳定性跟兼容性，减少意外的发生。

Web管理:

a) 在PC终端通过IE浏览器输入:http://192.168.0.21/na_admin,进入FilerView界面;

b) Manage License通过FilerView查看License。

创建数据卷:

a) 通过FilerView Volumes→ADD进行创建卷vol0,Language:选择English(US),Total Volume Size:300GB(根据自己情况设置),其他选项默认完成;

b) FilerView Volumes→Manage管理,设置卷vol0为online状态。

创建QTree:

a) N5200G→Volumes→Qtrees→Add创建Qtree;

b) 输入Qtree名称及Qtree格式(unix),点击Add,提示Qtree创建成功;

c) N5200G→Volumes→Qtrees→Manage管理Qtree。

ISCSI配置:

a) 创建LUN,LUNs→Add;

b) 主机安装CLIENT,安装好后打开,添加盘阵IP:192.168.0.11,将IP激活;

c) 创建Initiator Group,LUNs→initiator→Add,选择端口类型以及操作系统,大框内为主机的NODE NAME;

d) LUNs MAP,LUNs→Manage点击红圈所示位置添加initiator Group,选择相应的group,点Add添加完成;

e) 至此,针对Windows主机的ICSCI输出已经完成,最后要在主机上识别盘阵。右键点击我的电脑→管理→存储→磁盘管理,操作→重新扫描磁盘,可以看到新的磁盘,格式化添加后就可以用了。

CIFS配置:

a) N5200G→Shares→Manage管理Qtree;

b) N5200G→Shares→Add添加磁盘映射share;

c) 通过命令行添加用户密码;

d) 密码要求英文与数字结合,修改密码:N5200G→passwd。输入需要修改的账号即可修改;

e) N5200G→Shares→Manage→change access设定登录用户使用权限;

f) 点击Add Access Control Entry增加权限用户;

g) 设定完毕就可以从主机上映射盘阵的磁盘了。主机识别逻辑磁盘:右键点击我的电脑→映射网络驱动器;

h) 输入:\192.168.0.21share。

最后以相应权限的用户名登录即可。

3 系统应用与实现

3.1 磁盘限额

(1) 配置

a) N5200G→Volumes→Quotas→Add创建Quotas;

b) 选择形式及卷Quota Type:tree,点击Next;

c) 选择限制路径Disk Space Hard Limit;

d) 设置限制;

e) N5200G→Quotas→Manage,将需要应用设置的vol启动;

f) N5200G→Quotas→Edit Rules,Quota Type:tree,Quota Volume:vol1,选择要进行磁盘限额的Qtree:Disk Space Hard Limit,可以更改限制设置。

(2) 应用实例:基于文件夹的限额

N5200可以实现基于文件夹的限额,但只限于Qtree级的文件夹,不能实现多级文件夹的限额。

3.2 与Windows AD集成

(1) 配置

a) N5200G→Wizards→CIFS Setup Wizard,进入设置向导,单击Next;

b) Filer Name: NAS01(自定义)单击Next;

c) Authentication:Domain,选择Windows 2000;

d) Domain Name:Test(根据自己域名情况填写),键入Windows 2000 Administrator Name:administrator,Windows 2000 Administrator Password:验证;

e) Security Style:选择NTFS Only;

f) 确认设置信息,提交完成。

(2) 应用实例:与Windows AD集成失效

a) 重复上述设置过程,但第4步,要设置成其他的(可以自定义不存在的)Domain Name;

b) 再次重复上述设置过程,与Windows AD集成恢复正常。

3.3 即时数据保护

(1) 配置

a) Volumes→Snapshots→Add,按Volumes添加Snapshots;

b) Volumes→Snapshots→Configure,Snapshot Reserve:20%,如果磁盘空间不足,可以把此值调小,但快照保存的版本数就会减少。它会在定义的时间段内的某些时间点生成多个快照,这个快照就相当于一个时间点的备份。

(2) 应用实例:用户自行查找丢失文件

a) 用户在需要恢复文件的上一级目录单击右键选属性,可以看到以前的版本的选项卡,下面的窗口列出了相应时间点的快照。选择正确的时间点,打开就可以看到用户自己的文件和文件夹;

b) 注:操作系统为Windows XP SP1或Windows 2000,需安装Volume Shadow Copy client来实现。操作系统为Windows XP SP2及以上可以直接实现。

3.4 集中备份管理

(1) 虚拟磁带库配置

a) 在备份和虚拟磁带库管理共用服务器设置IP地址192.168.0.32,安装虚拟磁带库管理软件VE for Tape Console;

b) 双击打开软件,在“VE for Tape Server2”右键,添加“192.168.0.31”虚拟引擎;

c) 展开“Virtual tape library system-virtral tape library”,右键可以新建虚拟磁带库;

d) 为虚拟磁带库起名ibm-03584L32-001,并选择磁带库模式为03584L32;

e) 选择驱动器类型;

f) 设置磁带编码范围;

g) 完成虚拟磁带库配置。

(2) IBM TSM软件

a) 安装IBM TSM软件,以NDMP备份方式连接NAS N5200

首先定义磁带库:

Define library naslib libtype=SCSI

定义NAS devclass,指定devtype为NAS类型:

Define devclass nasclass devtype=nas library=naslib mountretention=0 estcapacity=300g

定义NAS存储池,TSM对NDMP备份使用不同的数据格式定义存储池:

Define stgpool naspool nasclass maxscratch=10 dataformat=netappdump