广播发射台站网络资源优化与整合探讨
杨伟斌
(国家广电总局七二四台)
摘要:本文就笔者在台站信息化建设中的实践与经验,探讨一下台站网络资源优化与整合相关问题。台站网络资源优化与整合规划是以AD活动目录为底层核心平台,以文件服务器、存储阵列为主要存储平台结合严格的身份权限管理体系,来实现在内部网络各类资源优化与整合。
关键字:AD 域管理模式 文件服务器 WSUS
1 概述
近几年来,随着广播发射台信息化建设的逐步推进,各个台站网络资源日趋完善,台站网络资源优化与整合也成为信息化建设的热点问题。搭建起AD的管理平台,对后续的各个业务系统的建设都起到了非常关键的作用。
1.1 优化整合的现状与目标
台站网络中存在着各类业务应用的很多资源,这些资源的使用状态较差,很多都是存放在客户端计算机上,给资源的管理带来很多的不便之处,其中的一些重要、涉密资源也存在很高的安全风险。基于这样的现状我们进行网络资源优化整合是要达到以下目标:①建立资源集中存储、管理制度和技术体系;②建立AD域管理体系,强化组织机构框架,细化成员用户权限;③建立起信息安全保密管理监控体系。
1.2 优化整合的条件
实施台站网络资源优化整合需要具备以下条件:①建立AD域管理体系;②理清组织架构,建立成员用户;③建立文件共享服务器,连接存储阵列;④搭建测试环境、做好详细培训;⑤明确建设保密安全体系的必要性;满足上述的一些条件后,在台站网络中就可以对网络资源的优化与整合。
1.3 优化整合的内容
优化与整合的主要内容有以下六个方面:①建立完善的AD域管理体系;②建立文件服务器;③建立补丁管理服务器(WSUS);④建设安全管理保密体系;⑤网络资源整合;⑥建立信息安全培训体系。
2 建立完善的AD域管理体系
2.1 AD活动目录基础平台
台站现有的网络结构和系统平台基本满足了企业IT管理和生产的需要,但是为了近一步提高整个网络的安全性,提高IT管理和支持水平,有必要建立一个统一开放的符合企业长期IT发展战略的网络基础架构平台。我们通过实施台站的网络基础平台,IT管理和网络安全方面实现如下目标:①企业IT资源的集中管理,通过目录服务实现企业网络中的IT资源的统一、集中管理。②统一的用户认证和权限管理,通过目录服务实现企业网络中统一的用户身份验证和访问权限管理。③统一的安全策略与管理策略,通过目录服务实现企业网络中统一的安全策略与管理策略,从而提高企业网络的整体安全性,加强企业的IT管理能力,实现企业安全策略强制执行的目的。④严格的用户身份验证,实现通过集成的 Windows 身份验证(Windows NT/LAN 管理器和 Kerberos ),从而控制用户对网络信息资源访问的目的。
2.2 备份AD域服务器搭建
台站在前期总局的项目中已经建设了AD域服务器,但是并没有全面的投入使用。全面推行域管理的模式势在必行,一旦全台推广域管理模式后对AD域服务器的依赖变得非常严重,所以考虑需要将AD域管理服务器做成双机热备的模式(主域服务器+备份域服务器),以提高域服务器抗风险的能力,保障长期稳定的运行。
3 建立文件服务器
3.1 文件服务器规划
企业文件服务器系统的建设内容,目的是在现有的网络环境中建设文件交互的平台,为广大台站用户提供服务;从另外一个侧面促进微软域管理方式的推广,增加用户对全新管理模式的兴趣和依赖。基本的设计思路是:满足各个层面的文件共享需求,同时针对每个个体进行权限的限制。文件共享服务器为:三层架构基础、权限独立控制。 三层架构分为:个人文件夹-----部门共享文件夹-----企业共享文件夹。 权限独立控制:指将每个用户、每个部门的文件夹访问权限分别控制,相互之间默认是禁止访问(特殊需求时可以允许互访),只能访问个人和其上一级的共享文件夹。 文件共享服务器建设起来后,所有登录域的用户使用起来非常的方便。①会在每个登录域的用户“我的电脑”中定制“个人文件夹”、“部门共享文件夹”和“企业共享文件夹”的快捷方式;②成功登陆的域用户在使用时直接点击快捷方式图标即可直接登录进入文件共享服务器的相应文件夹,无需再次进行认证;③当用户有特殊的需求要访问某个文件夹时,可以由管理员对文件夹的访问控制权限进行修改和定制。
3.2 文件服务器建设
根据台站网络现状我们本着充分利用原有资源的原则进行规划和建设,整合前的网络和服务器资源还是比较多的,有条件的台站可以在双机集群服务器上部署文件服务器。双机集群服务器是采用Windows Server2003搭建高可用性群集,并且连接有存储设备,存储设备中有大量剩余的存储空间,文件服务器可用的存储空间至少为1T(1000G)。文件服务器自身功能的实现依靠AD域的文件夹重镜像功能来实现,为每个域用户建立自己的存储空间,并且设置部门公共空间。
4 建立补丁管理服务器(WSUS)
目前台站的内部网络与互联网是物理隔离的,无法实现系统补丁的升级,外部网络中微软系列软件升级基本使用单机升级,这种升级方式不但占用大量带宽,而且信息化维护人员不知道客户端的升级状况,出现针对性的病毒,很难快速处理解决。 在办公网与技术网络中都可以建立统一升级平台(WSUS),有以下几方面特点:①节约出口带宽,通过使用2级升级平台,所以主机客户端均从指定的服务器下载更新,进而减少网络出口带宽。②多方位报表展示,通过多种方式产生报表,升级结果一目了然。③减少病毒攻击,我们知道很多时候病毒的泛滥和软件的漏洞有很大的关系。我们通过补丁升级,很大程度上控制了病毒的泛滥。④成本低、效率高,WSUS 是微软提供的免费软件,同AD一起使用可以在瞬间完成客户端的设置部署。 WSUS实现的具体功能:①补丁可控下载安装:通过选择产品类型语言,以及计算机组,审批等方式多方位选择安装补丁。也可以使用全自动的安装补丁方式。②定时同步下载:通过建立同步计划可以自动从微软官方站或者上游服务器下载补丁信息。减轻出口带宽。合理利用网络资源。③报表功能丰富:通过更新报告、计算机报告、同步报告,使我们快速宏观的得到补丁的同步、更新、安装、以及计算机的安装情况。④邮件通知:WSUS通过电子邮件发送更新和状态报告。⑤实施快捷设置方便:同AD配合使用可以快速的实施并瞬间完成客户端部署设置。
5 建设安全管理保密体系
台站的安全管理保密体系的建设从以下三个方面来进行:保密管理制度、移动存储设备管理、安全组策略。①保密管理制度:在保密管理方面首先要完善的就是各类相关的保密管理制度,例如:《机房管理制度》、《打印管理制度》、《USB存储设备使用申请、备案制度》、《防病毒管理制度规范》、《机房值班制度》等等。②移动存储设备管理:由于台站网络中移动存储设备管理方面存在着巨大的隐患,所以需要从技术和管理两方面对移动存储设备进行深入的管理。③安全组策略:在使用AD域管理的模式下,可以充分的将组策略的功能尽可能的发挥出来,所以我们可以针对组策略进行详细设置,并且其中很多的方面和保密有着非常重要的关系作用。
6 建立信息安全培训体系
部署AD服务器、文件服务器和WSUS系统最终的目标就是来整合整个网络资源,最终实现台站网络中的各类网络、服务器、存储资源的整合利用。台站信息化方面的建设与应用已经较为成熟、稳定,在信息安全方面的建设也已经初具规模。随着信息化长期不断的发展,我们发现在这个过程中有许多无法用技术和产品来解决的问题。带着这样的困惑和需求,经过不断的探讨和实践我们认为利用持续的专业技术培训可以来解决许多技术无法解决的问题。培训需求有以下几个方面:①了解信息安全领域的发展概况、及其对行业的影响;②了解信息安全领域中常见的技术、产品和应用;③详细的学习了解网络病毒、木马、后门程序和流氓软件的相关知识;④掌握常见病毒的诊断、定位、处理和修复的技术与方法;⑤熟练使用Windows系统自带的命令、工具,并且能通过这些命令来实现对流行病毒的诊断与处理;⑥熟练使用当今流行的各类检测、查杀、优化的工具;⑦针对Windows操作系统进行安全设置、安全加固和系统性能优化;⑧微软的解决方案概述,AD解决方案的思路及实现方法;⑨其它的信息安全相关技术、产品的知识及其应用;⑩企业信息资源优化与管理授权。信息安全培训是整体信息安全体系建设当中非常重要的一部分,通过培训我们希望能达到建立起台站的信息安全培训体系,提高企业员工信息安全的意识。
7 总结
台站网络资源的优化与整合难点在于AD域管理模式的推广,用户长期使用对等网松散的管理模式已经养成了习惯,在短时间内改变这种松散的管理模式,变为更加严格的域管理模式,用户一定会有一个适应的过程,甚至会出现抵触的情绪。所以我们认为这种管理模式的改变是网络资源优化与整合推广成败的关键之处,需要我们做好充分的准备,将推广方案做细致、做全面,同时还需要获取领导的大力支持。台站网络资源优化与整合内容是一个整体的安全解决方案,对台站的信息化水平能进行有效地提升。
评论 点击评论