高山臺(tái)站對(duì)網(wǎng)絡(luò)安全的思考

閆黎明

【摘要】 ? ?本文介紹作者在328臺(tái)新配備長(zhǎng)城電腦成功架設(shè)Samba服務(wù)器的經(jīng)歷，并闡述了如何利用專用網(wǎng)絡(luò)架設(shè)內(nèi)部郵件服務(wù)器，大型內(nèi)網(wǎng)記事本，如何在終端配置節(jié)省成本，以及實(shí)現(xiàn)內(nèi)網(wǎng)辦公對(duì)網(wǎng)絡(luò)安全的重大意義。

【關(guān)鍵詞】 ? ?Samba服務(wù)器 ? ?服務(wù)器 ? ?網(wǎng)絡(luò)安全 ? ?數(shù)據(jù)庫(kù) ? ?節(jié)省成本 ? ?鄉(xiāng)村振興

引言：

廣播電視發(fā)射臺(tái)在數(shù)字化進(jìn)程中引入了互聯(lián)網(wǎng)，該互聯(lián)網(wǎng)從數(shù)字微波通道中作為從業(yè)務(wù)給高山臺(tái)站信息化帶來(lái)了新的機(jī)遇。率先在廣電專用網(wǎng)中使用大量計(jì)算機(jī)技術(shù)的就是監(jiān)測(cè)部門(mén)。

通過(guò)對(duì)廣播電視信號(hào)的采集、數(shù)據(jù)轉(zhuǎn)換、信號(hào)傳輸路由的控制、記錄和顯示，形成了采集器，交換機(jī)、防火墻、服務(wù)器、終端機(jī)、大屏一整套監(jiān)測(cè)監(jiān)控專用網(wǎng)絡(luò)系統(tǒng)。

由于專用網(wǎng)絡(luò)系統(tǒng)的性質(zhì)，結(jié)構(gòu)，決定了在專用內(nèi)網(wǎng)通訊中自主性的缺失。由于工作交流的巨大需求，在專網(wǎng)之外運(yùn)作著另一套信息化系統(tǒng)，這套系統(tǒng)的終端，是為數(shù)不多的辦公電腦，和員工個(gè)人的手機(jī)。由于缺乏系統(tǒng)規(guī)劃和聯(lián)網(wǎng)布局，在數(shù)據(jù)的存儲(chǔ)、加工、傳輸方面費(fèi)時(shí)費(fèi)力，數(shù)據(jù)冗余、丟失的問(wèn)題時(shí)有發(fā)生。

隨著知識(shí)產(chǎn)權(quán)的競(jìng)爭(zhēng)日益激烈，華為芯片事件的巨大反響。臺(tái)站申報(bào)了購(gòu)買國(guó)產(chǎn)機(jī)的計(jì)劃，于是臺(tái)站有了一臺(tái)長(zhǎng)城牌的臺(tái)式工作機(jī)。這是一臺(tái)linux系統(tǒng)的計(jì)算機(jī)，放在辦公角落里，顯得和其他windows系統(tǒng)和外圍設(shè)備格格不入。

一、在長(zhǎng)城電腦上搭建Samba服務(wù)器，與windows系統(tǒng)資源共享。

由于linux系統(tǒng)之間相互共享文件使用的是NFS（Network File System）服務(wù)器，利用RPC（Remote Procedure Call）遠(yuǎn)程調(diào)用協(xié)議和NFS協(xié)議來(lái)傳遞共享資源的。Windows系統(tǒng)之間是通過(guò)CIFS（Common Internet File System）協(xié)議，也就是網(wǎng)上鄰居來(lái)共享資源的。那要讓windows與Unix-Like兩種不通平臺(tái)的數(shù)據(jù)資源共享怎么辦呢？只能是搭建Samba服務(wù)器。

于是架設(shè)一個(gè)包含3臺(tái)電腦的小型局域網(wǎng)迫在眉睫。首先從虛擬機(jī)開(kāi)始實(shí)驗(yàn)。在windows10系統(tǒng)上借助Oracle VM VirtualBox平臺(tái)，搭建兩臺(tái)虛擬機(jī)。其中一臺(tái)作為服務(wù)器裝linux：basicserver系統(tǒng)，另一臺(tái)作為客戶機(jī)也裝了linux：桌面系統(tǒng)，這樣兩臺(tái)虛擬機(jī)和宿主機(jī)組建一個(gè)小型網(wǎng)進(jìn)行測(cè)試。

在服務(wù)器server部署了雙網(wǎng)卡，網(wǎng)卡1：enp0s3與外網(wǎng)橋接，網(wǎng)卡2：enp0s8作為內(nèi)網(wǎng)，與客戶機(jī)client的網(wǎng)卡eth0連接。根據(jù)現(xiàn)實(shí)條件，將外網(wǎng)的網(wǎng)段設(shè)置在192.168.2.0/24，內(nèi)網(wǎng)的網(wǎng)段設(shè)置在192.168.100.0/24。隨著時(shí)間的推移，在2臺(tái)虛擬機(jī)和1臺(tái)實(shí)體機(jī)之間展開(kāi)了頻繁的工作交流。

Samba服務(wù)器所需要的軟件有，samba，samba-client和samba-common，客戶端安裝后兩個(gè)軟件就可以了。查詢本機(jī)是否安裝此軟件方法：rpm -qa | grep samba。如果沒(méi)有安裝，在機(jī)器聯(lián)接互聯(lián)網(wǎng)的狀態(tài)下，輸入yum install samba命令，當(dāng)看到complete的回復(fù)，說(shuō)明軟件安裝已經(jīng)成功。

接下來(lái)需要配置服務(wù)器端的samba文件，用vim編輯器打開(kāi)此配置文件，vim /etc/samba/smb.conf，[global]是全局的意思，里面需要設(shè)置workgroup工作組workgroup，與window是工作組保持一致。

NetBIOS文件名smbserver，用戶認(rèn)證等級(jí)security=user。[temp]是我們要共享的目錄，將其路徑設(shè)置為：path=/tmp，權(quán)限設(shè)置為：read only= no，其他人是否可見(jiàn)設(shè)置為：broweable=yes。寫(xiě)完后按shift+ZZ（按兩次Z鍵）退出vim編輯器。檢查語(yǔ)法錯(cuò)誤可以使用testparm命令。

接下來(lái)進(jìn)行權(quán)限設(shè)置

chgrp humans /tmp

chmod 2770 /tmp

賬號(hào)設(shè)置

useradd -g humans student1

echo password | passwd ?--stdin student1

pdbedit -a -u student1

保存，測(cè)試

pdbedit -l

systemctl restart {smb，nmb}

smbclient -l //127.0.0.1 -u student1

mount -t cifs //127.0.0.1/student1 /mnt -o username=student1

密碼：password

setsebool -p samba_enable_home_dirs=1

umount /mnt

chcon -t samba_share_t /tmp

啟用防火墻的UDP137，138端口，TCP：139端口。

此時(shí)在windows10系統(tǒng)應(yīng)該可以看到這個(gè)smbserver

Samba服務(wù)器的搭建，解決了與windows辦公電腦的文檔、照片、及各種花名冊(cè)和財(cái)務(wù)數(shù)據(jù)的簡(jiǎn)單局域網(wǎng)傳輸問(wèn)題。積累了linux系統(tǒng)用于辦公的經(jīng)驗(yàn)。體驗(yàn)了自主可控和操作腳本語(yǔ)言的快樂(lè)。

二、高山臺(tái)站建設(shè)專用網(wǎng)絡(luò)需要注意的問(wèn)題

2.1提高吞吐量是硬道理

隨著改革的持續(xù)和時(shí)代的變遷，2016年左右328臺(tái)借擴(kuò)容改造的機(jī)遇，寬帶從2Mbps提升到20Mbps，為后面上傳下載資料，微信辦公提供了條件。

2.2建立專網(wǎng)是保障

臺(tái)站上報(bào)的數(shù)據(jù)資料有逐年加大的傾向，在一次匯報(bào)中文件大小動(dòng)輒1個(gè)GB，在實(shí)際任務(wù)執(zhí)行中缺乏手段，依靠外網(wǎng)的安全系數(shù)也直線下降。在數(shù)字微波電路中直連中心的專網(wǎng)通道也是有的，不過(guò)只有10Mbps，而且傳輸速率過(guò)慢，并沒(méi)有被大家接納。

專網(wǎng)通道傳的仍然是互聯(lián)網(wǎng)外網(wǎng)數(shù)據(jù)，一套與微波中心直連的辦公設(shè)備呼之欲出。在微波首站架設(shè)服務(wù)器，各個(gè)微波站利用專網(wǎng)通道與該服務(wù)器組成局域網(wǎng)，上傳下載直接拖拽，提高了辦公效率。

2.3應(yīng)該盡早建立保存文字資料和簡(jiǎn)單圖片資料的事件系統(tǒng)。

傳統(tǒng)紙筆記錄在記錄的方便性和及時(shí)性方面具有優(yōu)點(diǎn)，但在檢閱和共享方面還是不敵電子資料，特別是年代較為久長(zhǎng)的記錄有丟失的風(fēng)險(xiǎn)。近年打印的紙質(zhì)資料日益增多，但電子檔的位置及去向仍未解決。

在長(zhǎng)距離（有200多公里）局域網(wǎng)的基礎(chǔ)上，利用數(shù)據(jù)庫(kù)技術(shù)勾勒各臺(tái)的日常事件記錄。做一個(gè)安全可控的大型網(wǎng)絡(luò)記事本，配置可以連接到記事本的香蕉派、樹(shù)莓派，將即將丟失的圖文記錄整理歸檔。

由于隊(duì)伍經(jīng)過(guò)了培訓(xùn)，信息素養(yǎng)逐步提高，能夠克服一般的操作障礙。又由于文字和簡(jiǎn)要圖片消耗的硬盤(pán)空間及其微小，該系統(tǒng)具有輕巧耐用的特性，如果這套系統(tǒng)能夠用上10年至50年，那它的實(shí)用價(jià)值將遠(yuǎn)遠(yuǎn)大于研發(fā)成本。

2.4對(duì)路由器發(fā)出的無(wú)線網(wǎng)絡(luò)和整體內(nèi)部網(wǎng)絡(luò)進(jìn)行分別規(guī)劃。

高山臺(tái)站具有分散辦公的風(fēng)格，即使新建的建筑風(fēng)格也延續(xù)了這一特點(diǎn)，其發(fā)展指向酒店辦公。房間內(nèi)部的網(wǎng)絡(luò)專口大多接入了路由器，有的從路由器取線接入電腦。以辦公室為中心的局域網(wǎng)難以形成，資料共享也不太方便。

重新規(guī)劃網(wǎng)絡(luò)要求有電腦的房間不能接入路由器。當(dāng)選擇星形拓?fù)浣Y(jié)構(gòu)時(shí)，要保證交換機(jī)網(wǎng)線直連電腦。至此samba服務(wù)器才能發(fā)揮更大的作用。根據(jù)投入資金力度可以選擇重新給路由器布線，或者在房間配置雙網(wǎng)口面板，雙網(wǎng)口面板作為小交換機(jī)，一路直接連到電腦，另一路再送給路由器。

2.5圍繞國(guó)產(chǎn)系統(tǒng)，構(gòu)筑安全可用互聯(lián)空間。

經(jīng)過(guò)對(duì)Greatwall長(zhǎng)城電腦所搭載的銀河麒麟操作系統(tǒng)的分析，國(guó)產(chǎn)電腦配置不錯(cuò)，響應(yīng)快速。又由于底層使用了ubuntu的llinux發(fā)行版，在軟件的完整性和可靠性方面較為有保障。

傳統(tǒng)windows系統(tǒng)個(gè)人版是不允許作為服務(wù)器使用的。由于沒(méi)有代碼支持，網(wǎng)絡(luò)鄰居在不同版本，不通架構(gòu)之間共享資源非常不可靠。又由于漏洞補(bǔ)丁的加入，連接通道被迫關(guān)閉。又由于圍繞國(guó)際利益的斗爭(zhēng)加劇，matlab軟件我們已經(jīng)買不到了。在數(shù)字設(shè)備方面依賴國(guó)外的生產(chǎn)力，越依賴越困難。

第一，要把郵件服務(wù)器納入專網(wǎng)。

作為一個(gè)大膽的假設(shè)，臺(tái)站的公務(wù)資料傳輸也應(yīng)納入專網(wǎng)。郵件服務(wù)器為什么要納入專網(wǎng)呢？答案可以在國(guó)產(chǎn)計(jì)算機(jī)上面找到。

首先，國(guó)產(chǎn)計(jì)算機(jī)為架設(shè)服務(wù)器提供了必備條件，其次我們具有了架設(shè)郵件服務(wù)器的實(shí)力。Samba服務(wù)器的架成，標(biāo)志著廣播電視的網(wǎng)絡(luò)化必須走一條適合自己的道路。有必要調(diào)動(dòng)自己的人力資源。有必要縮短臺(tái)站與中心，臺(tái)站之間的網(wǎng)絡(luò)距離，如果我們不通過(guò)公網(wǎng)就可以形成閉環(huán)。

第二，引入全員辦公的概念。

一方面辦公事務(wù)日益龐大，服務(wù)對(duì)象的要求趨多樣化、個(gè)性化，比如泛在的查詢服務(wù)。另一方面干部隊(duì)伍年輕化，有不少還是網(wǎng)絡(luò)辦公的行家。適時(shí)推動(dòng)全員辦公，為服務(wù)對(duì)象提供更好的服務(wù)，就成為改革創(chuàng)新的一個(gè)方面。

全員辦公也不是非要人手一本，用樹(shù)莓派、香蕉派等終端設(shè)備搭載linux系統(tǒng)，在輕量化日常辦公方面具有節(jié)省成本的優(yōu)勢(shì)，而且對(duì)于廣電無(wú)線人的創(chuàng)新能力提高具有重大意義。

從信息安全的方面考慮，將辦公的中心從微信移入內(nèi)網(wǎng)，數(shù)據(jù)從手持終端流入中心服務(wù)器，深入結(jié)合自身需求，使服務(wù)的內(nèi)容和形式更加靈活，體現(xiàn)廣播電視業(yè)務(wù)部門(mén)的工作需求。從長(zhǎng)遠(yuǎn)看也是國(guó)家治理體系現(xiàn)代化的一個(gè)要求，治理能力的提高帶動(dòng)黨建和精神文明建設(shè)在辦事方法和方案設(shè)計(jì)方面更上一個(gè)臺(tái)階。

三、創(chuàng)新立項(xiàng)方式，專網(wǎng)建設(shè)與項(xiàng)目管理互相促進(jìn)，共同提高。

項(xiàng)目立項(xiàng)審批驗(yàn)收是由一系列程序和文檔構(gòu)成的，用網(wǎng)絡(luò)服務(wù)器建立可視化集中處理的檔案，將是比較方便的，由于具有一定的模板和工具，與項(xiàng)目方的溝通就變得比較有條理，有進(jìn)度，預(yù)計(jì)能大幅減少在項(xiàng)目申請(qǐng)、審批和驗(yàn)收的時(shí)間成本。

項(xiàng)目的實(shí)施需要發(fā)揚(yáng)廣電無(wú)線人的奉獻(xiàn)精神、吃苦精神和頑強(qiáng)的拼搏精神。專用網(wǎng)絡(luò)建設(shè)項(xiàng)目的推進(jìn)可以為廣電大型項(xiàng)目建設(shè)鋪路搭橋，為項(xiàng)目審計(jì)提供較為完整的依據(jù)。大型項(xiàng)目的具體實(shí)施又可以考驗(yàn)專網(wǎng)建設(shè)的成熟度，為專網(wǎng)建設(shè)提供經(jīng)驗(yàn)案例。隨著國(guó)家經(jīng)濟(jì)實(shí)力的提升，廣電公益事業(yè)的整體提升勢(shì)必為國(guó)家各方面建設(shè)特別是鄉(xiāng)村振興事業(yè)提供有力支撐。

參 ?考 ?文 ?獻(xiàn)

[1]李建軍.利用數(shù)字微波通道構(gòu)建高山臺(tái)監(jiān)測(cè)及辦公自動(dòng)化綜合應(yīng)用網(wǎng)[J].廣播與電視技術(shù)2008（3）：139-141.

[2]鳥(niǎo)哥.鳥(niǎo)哥的Linux私房菜[M].北京：機(jī)械工業(yè)出版社，2012