数字音频工作站系统的安全策略

    【简 介】近几年，随着计算机技术、网络技术以及智能化技术等高新技术的迅猛发展，数字音频工作站我国广播界的应用也日益成熟和普及。河南人民广播电台于2002年进行了第三次音频工作站系统的升级换代。系统涉及7套广播节目（用5备2）近100个工作站点，网络复杂，涉及人员部门多,如何进行安全设计保障安全播出成为技术人员的重要课题。据统计，在音频工作站系统中因为使用人员误操作引起的系统错误占到整个错误中的90%以上。本文就如何在操作系统中实施科学的系统安全策略编辑方案，对客户端进行网络资源限制、隐藏，防止任何有意或无意的误操作，以减少不必要的误操作，进行了深入的分析。

    一. WINDOWS中实施系统策略编辑常用方法的分析比较
    在WINDOWS系统中的实时系统策略编辑方案主要下面几种方法。
    1、 用WINDOWS系统自带的系统策略编辑
    在 Windows 中实现系统服务的安全性，使客户端的运行环境、各种服务受到控制，就是实施系统策略编辑。在WINDOWS 2000的系统中就是编辑“组策略”进行工作站的设置。这种方案的好处就是只在域控制器服务器上进行设置，各工作站加入域就可以了。当用户登录到域之后，组策略将在域内的计算机上生效。
    2、 用第三方软件
    在计算机技术发展特别快的今天，很多的软件开发人员，开发出了很多进行系统策略实施的软件。比较有名的有下面几种：超级兔子、美萍卫士、超级保镖等等。这些工具软件可以很好的按照用户的需要在工作站上实施系统策略。而且这些软件工具操作简单，人机对话性能很好。但是这种工具软件需要在每台工作站安装并设置。
    3、 直接编辑注册表
    说到底所有的系统策略的设置都是修改系统的注册表来实现的。那么直接进行注册表的修改来实施系统策略肯定可以的。但是WINDOWS系统的安全稳定也是靠系统注册表的安全稳定来维持的。如果系统的注册表有问题或者损坏那么严重的情况可能造成系统崩溃。所以建议尽量不要进行系统注册表的编辑。
    4、 以上3种方案分析比较
    因为河南人民广播电台的音频工作站系统是WINDOWS 2000局域网络。那么在WINDOWS 2000局域网络中实施WINDOWS 2000的组策略肯定行得通的。况且，实施WINDOWS 2000的组策略可以只在域控制器上进行设置，这样减少了系统管理员的工作量。并且可以将每一组的用户的运行环境设置成相同的模式。
    综合上面的情况，在结合河南人民广播电台的实际情况，我们采用了WINDOWS 2000的组策略来实施系统策略。

    二. 如何利用WINDOWS 2000 的组策略来实施系统安全策略的分析
    1.在WINDOWS 2000中“组策略”是通过使用“组策略对象”（GPO）来进行管理的，组策略对象（GPO）是在指定的层次结构中被附加到所选Active Directory对象（如站点、域或组织单位）上的数据结构。这些GPO一旦创建，就会按以下标准顺序被应用：LSDOU，它表示(1)本地，(2)站点，(3)域，(4)组织单位，后面的策略高于前面所应用的策略。
    2.如果在“默认域策略”中实施“组策略”，则该策略将在域内的所有计算机上生效。如果在“默认域控制器策略”中实施“组策略”，该策略将只应用于域控制器的组织单元 (OU) 内的服务器。如果在组织单位（OU）中实施“组策略”，使其包含将应用策略的工作站，那么该策略应用于OU所包含的所有工作站。
    3.根据音频工作站的具体情况我们认为在OU上作组策略比较合理。因为我们的工作站分为播出站、录制站、审听站、精品站、编辑编排站、慢录站、监测站、管理站。那么我们可以为每种工作站设置一些账号（可以为每个系列台设置不同的账号），然后将每种工作站的账号分为一个OU。对每个OU可以实施不同的策略。

    三.WINDOWS 2000的组策略设置方案
    1.针对于用户设置：
    1） 屏蔽所有驱动器
    2） 屏蔽网络
    3） 屏蔽桌面所有图标快捷方式
    4） 屏蔽控制面板
    5） 屏蔽一部分鼠标右键功能菜单
    6） 屏蔽屏幕右下角托盘中显示的程序，只留下时间和输入法
    7） 删除屏幕左下角的快捷方式
    8） 屏蔽开始菜单中的快捷方式，只留下音频工作站的快捷方式
    9） 在CTL+ALT+DEL按键被按下后，除开关机外其他全部屏蔽。
    2.WINDOWS 2000的系统策略中有些桌面的快捷方式无法完全删除。那么就需要手动进行删除。
    3.应用AUTOLOGON工具软件，进行计算机开机自动登录。完成组策略的计算机在用户登录后，桌面无任何图标，并且在系统启动栏中直接运行音频工作站软件。
    5、 客户端开机后的WINDOWS界面，如下图：