高山台站对网络安全的思考
闫黎明
【摘要】 ? ?本文介绍作者在328台新配备长城电脑成功架设Samba服务器的经历,并阐述了如何利用专用网络架设内部邮件服务器,大型内网记事本,如何在终端配置节省成本,以及实现内网办公对网络安全的重大意义。
【关键词】 ? ?Samba服务器 ? ?服务器 ? ?网络安全 ? ?数据库 ? ?节省成本 ? ?乡村振兴
引言:
广播电视发射台在数字化进程中引入了互联网,该互联网从数字微波通道中作为从业务给高山台站信息化带来了新的机遇。率先在广电专用网中使用大量计算机技术的就是监测部门。
通过对广播电视信号的采集、数据转换、信号传输路由的控制、记录和显示,形成了采集器,交换机、防火墙、服务器、终端机、大屏一整套监测监控专用网络系统。
由于专用网络系统的性质,结构,决定了在专用内网通讯中自主性的缺失。由于工作交流的巨大需求,在专网之外运作着另一套信息化系统,这套系统的终端,是为数不多的办公电脑,和员工个人的手机。由于缺乏系统规划和联网布局,在数据的存储、加工、传输方面费时费力,数据冗余、丢失的问题时有发生。
随着知识产权的竞争日益激烈,华为芯片事件的巨大反响。台站申报了购买国产机的计划,于是台站有了一台长城牌的台式工作机。这是一台linux系统的计算机,放在办公角落里,显得和其他windows系统和外围设备格格不入。
一、在长城电脑上搭建Samba服务器,与windows系统资源共享。
由于linux系统之间相互共享文件使用的是NFS(Network File System)服务器,利用RPC(Remote Procedure Call)远程调用协议和NFS协议来传递共享资源的。Windows系统之间是通过CIFS(Common Internet File System)协议,也就是网上邻居来共享资源的。那要让windows与Unix-Like两种不通平台的数据资源共享怎么办呢?只能是搭建Samba服务器。
于是架设一个包含3台电脑的小型局域网迫在眉睫。首先从虚拟机开始实验。在windows10系统上借助Oracle VM VirtualBox平台,搭建两台虚拟机。其中一台作为服务器装linux:basicserver系统,另一台作为客户机也装了linux:桌面系统,这样两台虚拟机和宿主机组建一个小型网进行测试。
在服务器server部署了双网卡,网卡1:enp0s3与外网桥接,网卡2:enp0s8作为内网,与客户机client的网卡eth0连接。根据现实条件,将外网的网段设置在192.168.2.0/24,内网的网段设置在192.168.100.0/24。随着时间的推移,在2台虚拟机和1台实体机之间展开了频繁的工作交流。
Samba服务器所需要的软件有,samba,samba-client和samba-common,客户端安装后两个软件就可以了。查询本机是否安装此软件方法:rpm -qa | grep samba。如果没有安装,在机器联接互联网的状态下,输入yum install samba命令,当看到complete的回复,说明软件安装已经成功。
接下来需要配置服务器端的samba文件,用vim编辑器打开此配置文件,vim /etc/samba/smb.conf,[global]是全局的意思,里面需要设置workgroup工作组workgroup,与window是工作组保持一致。
NetBIOS文件名smbserver,用户认证等级security=user。[temp]是我们要共享的目录,将其路径设置为:path=/tmp,权限设置为:read only= no,其他人是否可见设置为:broweable=yes。写完后按shift+ZZ(按两次Z键)退出vim编辑器。检查语法错误可以使用testparm命令。
接下來进行权限设置
chgrp humans /tmp
chmod 2770 /tmp
账号设置
useradd -g humans student1
echo password | passwd ?--stdin student1
pdbedit -a -u student1
保存,测试
pdbedit -l
systemctl restart {smb,nmb}
smbclient -l //127.0.0.1 -u student1
mount -t cifs //127.0.0.1/student1 /mnt -o username=student1
密码:password
setsebool -p samba_enable_home_dirs=1
umount /mnt
chcon -t samba_share_t /tmp
启用防火墙的UDP137,138端口,TCP:139端口。
此时在windows10系统应该可以看到这个smbserver
Samba服务器的搭建,解决了与windows办公电脑的文档、照片、及各种花名册和财务数据的简单局域网传输问题。积累了linux系统用于办公的经验。体验了自主可控和操作脚本语言的快乐。
二、高山台站建设专用网络需要注意的问题
2.1提高吞吐量是硬道理
随着改革的持续和时代的变迁,2016年左右328台借扩容改造的机遇,宽带从2Mbps提升到20Mbps,为后面上传下载资料,微信办公提供了条件。
2.2建立专网是保障
台站上报的数据资料有逐年加大的倾向,在一次汇报中文件大小动辄1个GB,在实际任务执行中缺乏手段,依靠外網的安全系数也直线下降。在数字微波电路中直连中心的专网通道也是有的,不过只有10Mbps,而且传输速率过慢,并没有被大家接纳。
专网通道传的仍然是互联网外网数据,一套与微波中心直连的办公设备呼之欲出。在微波首站架设服务器,各个微波站利用专网通道与该服务器组成局域网,上传下载直接拖拽,提高了办公效率。
2.3应该尽早建立保存文字资料和简单图片资料的事件系统。
传统纸笔记录在记录的方便性和及时性方面具有优点,但在检阅和共享方面还是不敌电子资料,特别是年代较为久长的记录有丢失的风险。近年打印的纸质资料日益增多,但电子档的位置及去向仍未解决。
在长距离(有200多公里)局域网的基础上,利用数据库技术勾勒各台的日常事件记录。做一个安全可控的大型网络记事本,配置可以连接到记事本的香蕉派、树莓派,将即将丢失的图文记录整理归档。
由于队伍经过了培训,信息素养逐步提高,能够克服一般的操作障碍。又由于文字和简要图片消耗的硬盘空间及其微小,该系统具有轻巧耐用的特性,如果这套系统能够用上10年至50年,那它的实用价值将远远大于研发成本。
2.4对路由器发出的无线网络和整体内部网络进行分别规划。
高山台站具有分散办公的风格,即使新建的建筑风格也延续了这一特点,其发展指向酒店办公。房间内部的网络专口大多接入了路由器,有的从路由器取线接入电脑。以办公室为中心的局域网难以形成,资料共享也不太方便。
重新规划网络要求有电脑的房间不能接入路由器。当选择星形拓扑结构时,要保证交换机网线直连电脑。至此samba服务器才能发挥更大的作用。根据投入资金力度可以选择重新给路由器布线,或者在房间配置双网口面板,双网口面板作为小交换机,一路直接连到电脑,另一路再送给路由器。
2.5围绕国产系统,构筑安全可用互联空间。
经过对Greatwall长城电脑所搭载的银河麒麟操作系统的分析,国产电脑配置不错,响应快速。又由于底层使用了ubuntu的llinux发行版,在软件的完整性和可靠性方面较为有保障。
传统windows系统个人版是不允许作为服务器使用的。由于没有代码支持,网络邻居在不同版本,不通架构之间共享资源非常不可靠。又由于漏洞补丁的加入,连接通道被迫关闭。又由于围绕国际利益的斗争加剧,matlab软件我们已经买不到了。在数字设备方面依赖国外的生产力,越依赖越困难。
第一,要把邮件服务器纳入专网。
作为一个大胆的假设,台站的公务资料传输也应纳入专网。邮件服务器为什么要纳入专网呢?答案可以在国产计算机上面找到。
首先,国产计算机为架设服务器提供了必备条件,其次我们具有了架设邮件服务器的实力。Samba服务器的架成,标志着广播电视的网络化必须走一条适合自己的道路。有必要调动自己的人力资源。有必要缩短台站与中心,台站之间的网络距离,如果我们不通过公网就可以形成闭环。
第二,引入全员办公的概念。
一方面办公事务日益庞大,服务对象的要求趋多样化、个性化,比如泛在的查询服务。另一方面干部队伍年轻化,有不少还是网络办公的行家。适时推动全员办公,为服务对象提供更好的服务,就成为改革创新的一个方面。
全员办公也不是非要人手一本,用树莓派、香蕉派等终端设备搭载linux系统,在轻量化日常办公方面具有节省成本的优势,而且对于广电无线人的创新能力提高具有重大意义。
从信息安全的方面考虑,将办公的中心从微信移入内网,数据从手持终端流入中心服务器,深入结合自身需求,使服务的内容和形式更加灵活,体现广播电视业务部门的工作需求。从长远看也是国家治理体系现代化的一个要求,治理能力的提高带动党建和精神文明建设在办事方法和方案设计方面更上一个台阶。
三、创新立项方式,专网建设与项目管理互相促进,共同提高。
项目立项审批验收是由一系列程序和文档构成的,用网络服务器建立可视化集中处理的档案,将是比较方便的,由于具有一定的模板和工具,与项目方的沟通就变得比较有条理,有进度,预计能大幅减少在项目申请、审批和验收的时间成本。
项目的实施需要发扬广电无线人的奉献精神、吃苦精神和顽强的拼搏精神。专用网络建设项目的推进可以为广电大型项目建设铺路搭桥,为项目审计提供较为完整的依据。大型项目的具体实施又可以考验专网建设的成熟度,为专网建设提供经验案例。随着国家经济实力的提升,广电公益事业的整体提升势必为国家各方面建设特别是乡村振兴事业提供有力支撑。
参 ?考 ?文 ?献
[1]李建军.利用数字微波通道构建高山台监测及办公自动化综合应用网[J].广播与电视技术2008(3):139-141.
[2]鸟哥.鸟哥的Linux私房菜[M].北京:机械工业出版社,2012