當(dāng)前，很多單位局域網(wǎng)都搭建了文件服務(wù)器，文件服務(wù)器也是企業(yè)重要的服務(wù)器應(yīng)用之一。通過文件服務(wù)器服務(wù)器，一方面可以實時存儲單位重要的文件，如客戶資料、源代碼等；另一方面也便于實現(xiàn)文件共享，便于實現(xiàn)局域網(wǎng)用戶協(xié)同辦公等。但是，由于企業(yè)文件服務(wù)器通常會存儲單位重要的機密信息，因此在配備服務(wù)器共享文件服務(wù)器的同時，如何保護服務(wù)器共享文件的安全，就成為網(wǎng)絡(luò)管理員人員必須要考慮的重要問題。

目前，很多網(wǎng)絡(luò)管理人員在服務(wù)器文件訪問權(quán)限設(shè)置中，通常會采用操作系統(tǒng)的一些文件訪問權(quán)限設(shè)置和用戶權(quán)限分配來實現(xiàn)。通過設(shè)置共享文件夾自身的權(quán)限，以及設(shè)置操作系統(tǒng)層面上的用戶和用戶組訪問權(quán)限的方式來控制共享文件訪問，防止未經(jīng)授權(quán)或越權(quán)訪問共享文件的行為，可以在很大程度上實現(xiàn)對共享文件的安全防護。具體有以下幾個方面的舉措：

一、 利用組或者角色來進行權(quán)限管理。

在文件服務(wù)器的權(quán)限設(shè)置過程中，筆者不建議網(wǎng)絡(luò)管理員直接對用戶進行授權(quán)。若直接對用戶進行授權(quán)的話，則權(quán)限管理的工作量會很大。如一個采購部門，有十幾 位甚至更多的員工。則要對他們進行分別的授權(quán)，那么，這個維護的工作量就可想而知了。而且，這工作量一大的話，就難免為出現(xiàn)紕漏。

所以，我一般在選擇文件服務(wù)器軟件的時候，一般都要求文件服務(wù)器能夠根據(jù)組或者角色來進行授權(quán)。也就是說，現(xiàn)在網(wǎng)絡(luò)管理員先建立一個組，如采購組。然后給 這個組賦予相關(guān)的文件夾訪問權(quán)限。其次，把采購員用戶加入到這個組中，采購員就自動繼承了采購組的相關(guān)文件夾訪問權(quán)限。如此的話，就可以避免給所有的采購 員用戶進行授權(quán)，就可以提高權(quán)限管理的效率。同時，采購員的相關(guān)權(quán)限只要賦予一次，則可以提高權(quán)限管理的準(zhǔn)確率。這些優(yōu)勢，都是筆者傾向采用組或者角色進 行權(quán)限管理的重要原因。

另外，除了可以讓用戶繼承某個組的權(quán)限之外，我們可以設(shè)置用戶特殊的權(quán)限。如在企業(yè)文件服務(wù)器上，有一個文件夾，存放著各個供應(yīng)商的應(yīng)付帳款明細(xì)表。作為 普通采購員來說，只能夠查看這些文件，而不能夠進行修改。這些文件一般都是財務(wù)根據(jù)付款條件等內(nèi)容整理出來的。但是，作為采購經(jīng)理來說，則可以對其中相關(guān) 的內(nèi)容，如付款日期等等進行必要的維護。為此，采購經(jīng)理需要對這些文件具有讀寫的權(quán)限，而其他采購員對于這些文件只具有只讀的權(quán)限。為此，我們不必要再為 采購經(jīng)理去建立一個組。我們只需要把他加入到采購員組，讓其具有采購員組的相關(guān)權(quán)限。然后，再給這個采購經(jīng)理用戶，賦予這些文件寫的權(quán)限。也就是說，不僅 可以對組或者角色進行權(quán)限的賦予，而且，在必要的時候，我們還可以給用戶進行授權(quán)。如此的話，這個特定的用戶除了組繼承下來的權(quán)限之外，還具有一些自身的 特殊權(quán)限。

二、 一個部門不要使用一個賬戶。

據(jù)筆者的了解，有不少企業(yè)在部署文件服務(wù)器的使用，常常會采用一些簡單的權(quán)限控制。如對于一個部門就建立一個賬戶，然后這個部門中的所有員工都采用這個賬 戶進行文件服務(wù)器的訪問。如筆者以前碰到過一個企業(yè)，他們就是如此處理的。如一個采購部門，就一個賬號。網(wǎng)絡(luò)管理員給這個賬號進行授權(quán)，然后所有的采購部 門員工都使用這個賬號。筆者對這種做法不敢茍同。

一是無法對用戶訪問文件服務(wù)器上的文件進行稽核。如當(dāng)文件被意外修改或者文件服務(wù)器日至顯示有非法用戶多次試圖訪問未經(jīng)授權(quán)的機密文件的時候，在文件服務(wù) 器的日志中只能夠顯示某個部門，如采購部門的員工做的。但是，具體是哪個員工做的呢，則無從查起?？梢姡粢粋€部門共享一個賬戶名的話，會使得文件服務(wù)器 的安全性大打折扣。

二是權(quán)限無法進行更細(xì)的控制。如有時會我們之允許用戶更改刪除自己的文件，而對于其他員工，即使是同一個部門的員工所創(chuàng)建的文件或者文件夾，也不具有修改的權(quán)限的時候，若采用這種權(quán)限控制的原則，就不能夠?qū)崿F(xiàn)。

三是普通員工跟部門管理員的權(quán)限無法分開，降低了文件服務(wù)器上文件的安全性。一般來說，部門管理員比普通員工具有更高的權(quán)限。如部門管理員可以訪問自己部 門下面各個小組的相關(guān)文件;還可以訪問企業(yè)管理層的相關(guān)數(shù)據(jù)。若給一個部門共享一個賬戶的話，則部門普通員工跟部門管理員的權(quán)限就無法進行區(qū)分。要么部門 管理員遷就普通員工，只具有普通員工的文件服務(wù)器訪問權(quán)限;要么就是犧牲文件服務(wù)器的安全性，讓普通員工具有更高的文件訪問權(quán)限。

所以，一個部門共享一個賬戶的話，會降低文件服務(wù)器的安全性;同時，也會減低靈活性。故，筆者對于這種權(quán)限管理的方法，是比較反對的。特別是企業(yè)對于安全性要求比較高的話，還是不要采用這種權(quán)限管理方法為好。不然很可能會搬起石頭，砸自己的腳。

三、 用戶級別的三個排除原則。

有時候，就算是同一個組的員工，也有權(quán)限上的差異。如有些企業(yè)，可能不允許其他用戶修改自己的文件，而只能看;再嚴(yán)格一點的話，其他用戶連閱讀的權(quán)限都沒有;但是，可能部門的負(fù)責(zé)人可以查看自己的文件，等等。這就是權(quán)限管理中的排除原則。

這雖然可以通過對用戶進行權(quán)限的設(shè)置來實現(xiàn)，但是，這么處理的話工作量特別的大，;維護起來也是困難重重。所以，一般情況下，筆者是不建議手工的去進行維 護。筆者在考慮文件服務(wù)器選型的時候，若企業(yè)現(xiàn)在或者未來有這種需求的話，則筆者會評估文件服務(wù)器軟件中有否現(xiàn)成的解決方案。

第一個排除原則：其他用戶只能夠查詢自己的文件而不能夠進行修改。

也就是說，采購員A建立的文件，即使是同一個部門的采購員B，也只能對其進行查看，而不能夠進行修改或者刪除的操作。這主要是為了保障數(shù)據(jù)的統(tǒng)一性。如我 們在用戶信息設(shè)置出，可以選中“不允許他人修改我的文件”，則其他用戶，即使是同一個部門或者是系統(tǒng)管理員，也不能夠?qū)ψ约旱奈募M行修改或者刪除動作。

第二個排除原則：其他用戶只能夠看到文件的名字，但是不能夠打開或者刪除。

有些企業(yè)的話，安全要求比較高。如筆者以前遇到過化工企業(yè)的采購部門，他們要求各個采購員相互之間的采購單要保密。因為若采購內(nèi)容知道了，則可以知道具體 的產(chǎn)品配方信息。為此，其他員工不僅不能夠修改彼此的文件，即使查看也不行。為此，就需要在用戶建立的時候，選中“不允許他人閱讀自己的文件 ”。通過這種方式，系統(tǒng)就會自動進行控制。

第三個排除原則：特定的人可以突破以上兩種限制。

有時會，一些具有特殊權(quán)限的人，可以突破這種限制。如采購經(jīng)理可以修改或者刪除采購員的任何文件，即使他們做了如上的排除原則。若不經(jīng)過特殊處理的話，采 購經(jīng)理也受到上面兩個原則的限制。但是，我們在采購經(jīng)理用戶設(shè)置的時候，若選中“突破個人限制”選型的話，則采購經(jīng)理就不受上面兩種限制的約束，可以沒有 任何限制的訪問自己手下的文件;并且在必要的時候還可以進行修改。

四、 安裝部署文件服務(wù)器管理軟件

雖然，通過操作系統(tǒng)的文件訪問權(quán)限和用戶權(quán)限分配，可以很大程度上保護服務(wù)器文件的安全，防止共享文件的泄露。但是，由于用戶訪問共享文件時有各種訪問動作，卻不是操作系統(tǒng)層面上可以阻止的。比如，當(dāng)用戶打開一篇Word，即便你設(shè)置了“只讀”權(quán)限，他依然還可以復(fù)制里面的內(nèi)容，然后在粘貼到本地的word里面；即便你的服務(wù)器文件是PDF格式，雖然阻止了復(fù)制PDF文檔的內(nèi)容，用戶依然還可以將PDF文件另存為本地，然后通過一些軟件轉(zhuǎn)化為word；此外，有時候還需要為用戶開啟修改權(quán)限，這就使得用戶可以惡意刪除或不小心刪除文件，從而導(dǎo)致共享文件安全面臨著巨大的風(fēng)險。這種情況下，需要借助第三方服務(wù)器共享文件管理軟件來設(shè)置服務(wù)器共享權(quán)限、防止復(fù)制服務(wù)器文件的方式來阻止用戶訪問服務(wù)器共享文件的行為了。

目前，國內(nèi)有很多專門的服務(wù)器共享文件管理軟件，但很多都是基于C/S架構(gòu)，都需要在局域網(wǎng)電腦上安裝客戶端。而目前有一款“大勢至局域網(wǎng)共享文件管理系統(tǒng)”（下載地址：http://www.grabsun.com/gongxiangwenjianshenji.html），則是國內(nèi)首款基于B/S架構(gòu)的局域網(wǎng)文件服務(wù)器管理軟件。只需要在文件服務(wù)器上部署本系統(tǒng)，就可以自動掃描到所有共享的文件夾，以及服務(wù)器上所有的用戶組和用戶，然后就可以為不同的用戶設(shè)置共享文件夾的不同訪問權(quán)限，可以實現(xiàn)只讓讀取共享文件而禁止拷貝共享文件、只讓打開共享文件而禁止另存為本地、只讓修改共享文件而禁止刪除共享文件，以及禁止拖拽共享文件到訪問者自己的電腦或打印共享文件的行為等。如下圖所示：

圖：大勢至共享文件管理系統(tǒng)

此外，本系統(tǒng)還可以詳細(xì)記錄局域網(wǎng)用戶訪問共享文件的日志，從而便于管理員事后備查和審計。

總之，企業(yè)局域網(wǎng)共享文件的管理是一項非常重要的工作，這就需要管理員一方面需要充分熟悉操作系統(tǒng)共享文件設(shè)置權(quán)限的相關(guān)方法；另一方面也需要借助于專門的服務(wù)器共享文件管理軟件，通過對上述舉措的聯(lián)合應(yīng)用，可以最大限度保護服務(wù)器共享文件的安全，防止通過各種途徑泄密的可能，達(dá)到保護單位無形資產(chǎn)和商業(yè)機密的目的。

最新評論