影视流程管理软件安全性保障研究
——以Ftrack为例

蔡婧瑶 丁友东 张懿慧

上海大学上海电影学院,上海 200072

1 影视流程管理软件Ftrack概述

近年来,随着数字技术的发展,影视行业产生了巨大的变革。为了应对分工协作交互越来越紧密的影视工业创作,影视流程管理系统应运而生,目前市面常用的系统有Ftrack、Tactic、Shotgun等,都具有强大的管理协作功能,本文以影视流程管理软件Ftrack为主要研究对象,探究其所运用的数据安全保障措施。

Ftrack是一个基于云并用于供影视制作中流程分配及协作审阅的平台,管理者下发工作流程部署后,相关作业人员通过Ftrack系统进行作业上传,从而实现项目进度更新并用以审查,接收方在平台上针对更新项目可以以帧为单位进行多重标记及文字注释以供反馈。Ftrack的交互式同步审阅系统真正实现了在完整的影视生产流程中各方的全面协同及联系,实现了媒体生产的无缝衔接。

2 影视流程管理系统面临的安全问题

近年来,国家对数据安全的重视程度显著提升。2021年6月,《数据安全法》正式通过并于9月起施行;2021年11月 《网络数据安全管理条例 (征求意见稿)》发布,其根据 《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等法律制定,并对其中细节做出了更进一步的要求。因此数据作为基础资源及重要的生产要素,其地位愈发凸显。在文化产业中,数据资源的安全同样是文化发展与进步的基石,而数据安全相关政策文件的陆续出台也为影视文化行业的数据安全提供了新的行为准则和监管依据。因此在数字化的进程中,影视文化行业针对数字资产的共享整合所应运而生的影视流程管理软件也需要对数字资产的安全性控制予以重点关注,因其在实现基于云的数据存储及实时共享的同时,产生的系列安全性问题如团队成员各自独立的项目数据访问权限、后台数据的保障及身份认证的泄露等此类数据共享权限或数据流失的风险,均需要影视流程管理软件应对。

2.1 服务器安全问题

对于Ftrack,服务器就是其核心数据库,有关Ftrack内部及其用户的重要数据和信息均存储在服务器中,所以Ftrack系统的数据安全是依靠服务器的稳定和可靠来支撑的,是其安全维护的基础和关键。而随着计算机技术的发展,服务器面临的威胁也越发复杂,病毒、恶意攻击、系统漏洞和损坏等引发的内网和终端的不安全问题会使得系统管理权被他人获取,软件系统内部泄密以及用户的数据泄漏,而针对当今影视行业发展竞争愈发激烈的现状,Ftrack服务器数据的丢失或窃取必然会极大程度地影响到Ftrack自身与其影视行业用户的切实利益,因此服务器安全问题为Ftrack面临的一大安全挑战。

2.2 用户身份安全问题

在Ftrack的系统中,所有信息都是由用户身份对应的数据组合而成,因此需要身份认证用以对用户身份信息进行核实,由此通过系统对用户数字调用进行相应的授权,保障操作人员的物理身份与数据身份相匹配,通过系统验证。而正是因为Ftrack系统中数据和用户身份的关系,如若用户的身份验证被破坏或者泄漏,其对应的项目数据及存储的数字资产都会面临巨大的威胁,因此数据访问的授权与操作人员的身份验证均为Ftrack需要保障的核心关键。

2.3 数据安全问题

Ftrack是一个可为用户项目提供管理且支持媒体数据上传并共享审阅的平台,因此用户的数据安全保障、系统备份处理、协作共享时的访问权限设定、文件和指令的加密等相关针对用户数字资产存储及管理的措施均与其安全有密切关系,如若某一环节出现漏洞,则会大幅提高相关数据安全风险,对行业项目产生不可逆的威胁和侵害,导致重要信息及数据被盗取泄露,因此Ftrack必须重点关注数据储存管理程序,应对一切数据安全问题。

3 Ftrack应对安全问题的保障措施

3.1 Ftrack的服务器安全保障

Ftrack服务器运行构架于谷歌云平台 (GCP)。基于谷歌云平台,Ftrack可以将其服务器系统托管在云上,并通过GCP管理其硬件物理安全、网络基础设施以及虚拟化基础设备等资产安全。GCP有十分安全的底层基础架构用以支撑Ftrack的服务器安全,其设计有系列服务部署、默认静态加密、数据丢失防护的存储服务、互联网通信上的Dos防护等,并针对数据中心的物理安全,专业硬件、软件堆栈、技术限制、流程基础及运营安全等各方面都建立严格的安全保障,因此GCP拥有一套完整的且不断更新的方法用以保障整个信息处理周期的服务器基础结构安全,因此基于GCP,Ftrack服务器获得基于云的高等级安全保障。

3.2 Ftrack的账户身份认证安全保障

身份认证方面,Ftrack运用多重形式为账户身份安全提供保障。Ftrack支持多种账户的身份验证,即为用户的Ftrack账户链接更具安全性的账户以降低身份风险,而基于此,Ftrack更是为用户提供2FA双因素身份验证的形式,实现以额外的安全层为用户提供更高安全等级的保障措施。

3.2.1 Ftrack支持多种账户身份验证

Ftrack除了支持用户使用本地账户进行登录之外,同时支持多种账户身份验证的形式。首先Ftrack支持用户通过SAML,即安全断言标记语言,进行单点登录从而实现身份认证。基于这一用于不同安全域之间交换认证和授权数据的开放标准,用户可通过同样支持SAML的众多标识提供者进行身份验证,用以通过单点登录并进行跟踪,从而使得用户实现全局登录。

Ftrack也支持用户使用LDAP/AD目录服务管理,即运用轻量级目录访问协议为软件提供统一标准的认证机制进行身份验证。基于LDAP/AD,所有软件摒弃原始的独有用户管理方法,转向通过统一的认证机制进行用户认证。而由LDAP数据模型演化而来的AD,即Active Directory活动目录,实现了一系列集中组织管理和访问网络资源的目录服务功能,从而完成Active Directory域中管理账户访问并认证。

图1 ① 在 “LDAP设置”页面进行LDAP/AD设置

Ftrack还支持用户通过Google账户进行身份认证。用户可直接在初始登录界面选择与Google账户相互链接并启用相关权限,从而同步账户信息并允许进行跟踪访问。Ftrack正是借助于Google账户身份认证原有的保护机制,即采用两步验证,在一定程度上达到验证器所有账户访问权的高安全性标准,为用户增加另一牢靠的安全屏障。

Ftrack同样支持用户使用个人和全局API密钥进行身份验证。API密钥用于通过API控制对资源的访问,Ftrack则包含两种类型的API密钥,即个人密钥和全局密钥。针对个人密钥,用户可在 “我的账户”界面找到其专属API个人密钥,该密钥在用户登录Ftrack时,可实现将特定API密钥权限设定为仅特定脚本或用户所需权限,即可实现对使用所属API密钥的用户其操作权限设定。管理者可在“系统设置-安全性-角色”添加新的API密钥的角色,从而创建角色并选择API及包含的权限,同时也可为API密钥选择角色,即实现限制成员的部分权力。在Ftrack中,使用API密钥的身份验证是基于用户本身已登录账户并已知自身API密钥或被告知用户名及密钥的情况下,因此基于这一先前条件,用户在控制API密钥内部泄露的风险下,使用API密钥的身份验证实现了数据的主动保护及数据正确性与安全性的维护。

针对特殊情况,如使用SSH访问,即专为远程登录会话和其他网络服务提供安全性的协议访问时,Ftrack禁止仅使用密码进行认证,而必须使用安全访问密钥才可通过认证,这也在一定程度上降低了用户身份信息及数据安全性的风险。

基于以上多种方式的身份验证,用户无需为Ftrack设置独立密码。在针对密码重置方面,使用以上方式如Google、LDAP身份验证的账号时,重置密码则需要与原系统管理员联系以更改,这不同于使用Ftrack本地账户的账号应用关联电子邮件进行更改,即为账户赋予了一层严格的安全屏障。

综上,Ftrack的多重账户身份认证不仅降低了单纯采用用户名、密码的认证方式所带来的风险,也降低了账户易被攻击截获的不安全性,以此维护用户数据机密,避免给用户带来不必要的损失。

3.2.2 Ftrack支持使用2FA双因素身份验证

Ftrack同样支持用户使用2FA双因素身份验证。即用户在进行身份验证时需要对超出其帐户密码的第二个因素进行验证,从而提高身份验证时的安全性。用户启用2FA后,首先需要在登录界面输入用户名及密码,当数据库或LDAP验证凭据通过后,则跳转至新界面并需要用户输入OTP,即一次性密码,Ftrack用于双因素验证的OTP不同于安全性较低的通过手机发送的OTP文本信息,其采用用户所安装的身份验证应用,如Authy、Duo Mobile、Microsoft Authenticator或Google Authenticator,即可使用该身份验证应用程序扫描设备显示的QR码,从而获得OTP以通过身份验证。

针对特殊情况,Ftrack同样设计了2FA备用验证码作为预防措施,若发生身份验证应用程序所在设备丢失或不可用的情况之时,可改用提前生成并储存的备用验证码,这一措施在保证用户顺利使用高安全性的2FA身份验证的同时,还预防了因2FA所产生的账户失联的风险。

因此,Ftrack所支持的2FA双因素验证为用户的身份验证提供了一个额外的安全层,它区别于单纯的一层密码登录及身份验证,保障在密码泄露情况下账户的安全性,能够抵御各种外界用于暴露用户登录凭证的攻击,也阻挡各种密码破解方法所带来的危险,因此Ftrack所使用的2FA双因素验证更是在支持多种账户身份验证的同时,为用户提供了一个更高安全等级的保障措施。

3.3 Ftrack后台云数据的安全性保障

Ftrack是一个基于云的协作管理平台,可帮助用户通过Web浏览器就项目进行有效通信,用户的数据也基于线上并以云的形式共享,因此云的数据安全性是Ftrack面对用户数字资产提供的基本保障,且数据的后台备份也是Ftrack的核心关注点。对此,Ftrack对上传至其服务器的数据文件使用Amazon S3进行后台数据的存储及备份,对所有项目跟踪相关信息的数据库则运作在GCP中,所有数据均使用AES-256静态加密系统,以上多方式的协同运作为用户后台数据的存储安全提供了强大的支撑。

3.3.1 GCP储存项目跟踪相关信息的数据库

Ftrack使用GCP对所有用户数据库进行存储,从而实现用户在Ftrack上项目信息数据库的实时更新及在线离线同步,其中用户个人数据仅存储于专属的个人数据库中,且该数据库仅对应帐户的唯一凭据,因此保证了个人仅能访问个人专属数据库中的数据信息,从而使得用户的后台储存项目跟踪相关信息数据库安全得到保障。

3.3.2 Amazon S3存储及备份服务器数据

用户上传至Ftrack服务器的数据存储及定期备份均基于Amazon S3,即亚马逊简单存储服务,这是一种对象存储服务,具有存储管理、审核访问、数据处理、资源监控等功能。借助于Amazon S3,用户不仅可通过Ftrack上传数据,再由Ftrack将数据文件转码并储存在云上,同样也支持用户直接使用Amazon S3发布大型数据文件,即实现直接将转码后的文件上传并储存在云上。同时Ftrack运用Amazon S3对用户所有数据进行定期的系统备份,且支持用户进行数据恢复,这为用户后台数据提供了额外的安全保障。而Amazon S3也有高度安全的数据中心和网络架构来保障Ftrack连接的云数据,并以数据保护、数据加密、监控记录、隐私保障等多重且强大的设施策略保障Ftrack后台备份数据。

3.3.3 备份AES-256进行静态加密

Ftrack运用Amazon S3进行数据的定期备份,同时使用AES-256对备份进行静态加密,AES即高级加密标准Advanced Encryption Standard,这是一种对称加密算法,AES算法在对明文加密时,将明文拆分为各个独立的明文段,后经AES加密器处理,生成的密文段合并到一起,即得到加密结果,加密时,首个明文段会和初始向量做异或操作,再经密钥加密,之后首个密文块又会作为第二个明文段的加密向量来异或,依次类推,从而得到相同的明文段加密的密文块均不同,因此具有较高的安全性。而AES-256中的256代表密钥的长度为256位,同其它存在的AES-128、AES-192相比,AES-256具有更高的加密处理轮数,因此也具有最高的安全性。所以Ftrack针对数据备份使用的AES-256静态加密对用户备份的数据安全性有更高的保障。

3.4 Ftrack操作流程数据的安全性保障

用户可基于Ftrack平台进行流程分配、媒体上传、协作审阅等系列操作,而在操作流程中则会面临成员访问权限、媒体协作方式等相关问题及所产生的数据风险,针对于此,Ftrack设计并创新了系列安全保障形式并用于用户的操作流程中,如针对协作审阅的密码保护、流程管理的私人项目、媒体交互的cineSync媒体传输以及用户操作请求的HMAC-SHA256加密,在不断发展和创新的过程中为用户的项目管理、访问权限及媒体安全提供了更加可靠的保障措施,以高安全级别降低了数据泄露的风险,为系统及用户数字资产创造了强大保护。

3.4.1密码保护

在用户操作流程中,针对多人协同审阅作业,Ftrack建立了其独有的安全保障形式,即密码保护,这是一种支持用户建立额外的安全层密码从而构建远程工作时数据共享权限的方式。运用密码保护,使用者可对共享审阅的链接设置密码短语,以此限制受邀者需填写密码才可访问审阅会话,而使用者则需将密码告知有审阅权限的对象,以确保仅有知道预定义密码的人可查看内容,这一设定也为用户数据提供了额外的保护层,从而建立更高的安全级别。

3.4.2 私人项目

Ftrack为项目的管理分配创建了私人项目,即一个可以实现项目管理者对合作者权限的限制措施。当项目的私人访问权限打开后,项目创建者可通过为他人分配角色至项目中,从而实现不同成员分配的角色具有不同访问权限。基于项目创建者的管理,当成员无需访问项目时,项目创建者可将其删除,从而实现对特定用户进行访问权限的设置。私人项目解决了不同分工的成员对整体项目及数据访问程度的管理控制问题,大幅度降低了信息泄漏的可能性,对项目流程安全提供了较高的保障。

图2 ② 私人项目界面

3.4.3 远程协作的安全性保障——以cineSync为例

在互动式媒体审阅中,cineSync是Ftrack专用于远程互动式媒体审阅协作的工具,它的检阅形式不同于安全性较低的共享屏幕或文件传输式,而是基于cineSync组合本地硬件所存储的媒体文件并展示的交互式媒体审阅。cineSync平台及服务器均不支持后台存储使用者的媒体数据文件,而支持用户运用内部批准的媒体文件传输流程,其次再由cine-Sync将存储在本地硬件上的审阅内容组合并用以交互式审核。审阅会话期间,仅有Ftrack加密保障的同步指令作为唯一信息通过服务器传输。用户也可通过cineSync的集成插件如Ftrack Studio、Shotgun和Aspera传输文件,而集成插件的传输形式支持用户对文件进行256位加密并同步目标计算机上的加密状态,这样数据仅会在cineSync会话期间解密至RAM中,并在审查结束时自动从目标计算机中删除。因此cineSync的交互媒体检阅形式为用户的数据资产提供了更加私人性的保障,从而使用户更安全放心地使用Ftrack。

3.4.4 HMAC-SHA256算法签名加密

针对用户访问服务器所发出的所有请求,Ftrack均通过设置HMAC-SHA256算法用以进行校验,从而提高Ftrack操作安全性。HMACSHA256是一种使用安全散列算法生成哈希值从而产生消息认证码的算法,它通过对请求发送者的信息进行处理从而实现信息的加密与核实,基于这一算法,用户上传至服务器的数据文件及指令信息都会通过HMAC-SHA256算法产生一个256bit的哈希值作为消息摘要,实现对信息及来源的认证,当再次收到请求时,HMAC-SHA256算法则与先前的消息摘要进行验证核实,从而确认是否为有效的信息来源并决定是否对请求进行认证通过,这实现在为数据及指令创造加密保护的同时阻止任何未经授权的用户在Ftrack中上传及读取文件,从整体上提高了系统的安全性。

4 结语

当前,数字和网络等信息技术发展迅猛,数字化已经成为时代的发展方向,高清、实时、互动也成为影视行业系统实现数字化发展的重点,而Ftrack作为一个成功的影视流程管理软件,为影视工程及创意项目提供了一个项目管理及协作跟踪平台,而针对影视行业最重要的数据资 产这一核心内容,Ftrack内部强大的安全保障系统以及独特的管理选择设计,则为用户创造了一个安全独立的环境。在未来,随着技术的迭代更新,数据所面临的安全挑战仍会不断出现,Ftrack等影视流程管理软件更需要不断维护,阻挡数据安全的威胁,为用户的数字资产提供全方位的安全保障。

①图片来源于:https://help.ftrack.com/en/articles/1040548-managing-users-via-directory-service-ldap-ad。

②图片来源于:https://help.ftrack.com/en/articles/3004264-private-projects。