王杨 蒋巍 刘柳 孔子范
摘 要:基于中国教育和科研计算机网络(CERNET)的优势,以及高校网络环境及安全环境特点,开发了行业云安全服务互助平台。论文主要介紹该平台服务器操作系统云安全快速部署互动模块。
关键词:教育网;系统安全策略;快速部署模板;云平台
中图分类号:TP3-05 文献标识码:A
Cloud security service mutual assistance platform based on IPv6
Wang Yang1, Jiang Wei2, Liu Liu3, Kong Zifan3
(1. Modern Education Center of Harbin Finance College,Heilongjiang Harbin 150030;
2.Computer Department of Harbin Finance College,Heilongjiang Harbin 150030;
3. Finance Department of Harbin Finance College, HeilongjiangHarbin 150030)
Abstract: Based on the advantages of China Education and Research Network (CERNET) and the characteristics of university network environment and security environment, an industry cloud security service mutual assistance platform is developed. This paper mainly introduces the cloud security rapid deployment interactive module of the server operating system of CERNET.
Key words: education network; system security strategy; rapid deployment template; cloud platform
1 引言
基于IPv6的行业系统云安全在国内外都处在研究阶段,国内还缺少一个行业信息安全技术交流和成果展示平台。本文主要设计该平台服务器操作系统云安全快速部署互动模块。通过部署该模块,解决服务器版本操作系统存在的安全配制隐患、安装部署操作系统安全策略工作量大、各种漏洞不断出现、服务器管理人员技术能力有限、专业安全信息获取不及时等问题,从而达到迅速提高校园服务器安全级别、控制行业安全短板的目的。
2 高校服务器安全面临的挑战
(1)微软停止提供安全补丁引发安全威胁。2015年微软不再为Windows Server 2003用户提供安全补丁及在其上运行的其他应用的更新。但由于种种原因系统仍在使用。各种病毒利用服务器系统漏洞和安全策略漏洞的威胁,服务器的安全压力不断增加。
(2)针对Linux系统的升级维护几乎成为盲区。Linux系统在高校服务器中占有的份额逐渐增加。但针对Linux系统的升级维护,几乎成为盲区。
(3)新技术应用带来新的安全风险。因为技术人员能力参差不齐,新技术、新安全威胁不断更新,所以针对云平台的安全防护和相关的操作系统安全维护常常出现维护不及时,或者维护过程中影响应用、功能等问题。
(4)信息传输安全需求得不到满足。信息传输安全机制和速率是行业内技术交流的瓶颈。由于操作系统模板和配置参数数据量大,传输的安全性要求比较高,网络传输的质量要求高,影响该平台模块的实用性和体验。
解决以上问题和挑战,需要大幅度配置更换新的操作系统,进行相应的安全策略配置。一个服务的安全策略不可能是孤立的,需要集群化的安全策略配合,可想而知相应的工作量是巨大的。而高质量的完成安全配置和部署任务,依赖于专业的安全技术集中调配及新的安全通信线路的应用。
3 平台架构设计与分析
3.1 平台设计
本文提出了教育网的行业云安全服务平台,平台是以身份验证加盟方式,面向各大中专院校,提供网络安全方面的技术交流和支持,如图1所示。其中的核心模块是基于教育网的服务器操作系统云安全快速部署模板。
本模板基于虚拟化平台,面向不同需求,应用相应策略,提出了多层面安全系统加固的方法(应用层加固、系统功能层加固、密钥权限管理层加固),通过第三方系统安全扫描,制定专项策略,安全策略自主掌握与通用策略结合,从而形成虚拟化模板,使不可信的系统经过本模板的快速部署,可以可信地运行,如图2所示。
在虚拟化架构中,虚拟化软件(VM)、操作系统(Win)、安全策略和参数配置等是框架的基本组成元素。虚拟化平台通过对操作系统模板化,形成OVF模板,实现虚拟化层面的操作系统资源快速部署。
由于虚拟操作系统的相应安全策略和配置经过多层次、多模块的安全加固,如针对访问控制列表模块、功能安全策略模块、基础内核加固模块等。经过第三方漏洞扫描,掌握系统安全的薄弱环节,制定专项策略,所以能够最大限度地保证系统的安全,用户能使用此操作系统实现可信地安装运行。
模板发布平台包括集中管理监控模块、可信策略发布库、模板下载和安全措施建议,策略参数需求互动模板预约。功能主要有为用户提供安全操作系统模板下载,针对操作系统的修补措施和安全建议,提供可信的安全策略及补丁下载,针对特殊需求用户提供互动参数安全策略模板预约服务。
3.2 流程设计
模板的发表流程包括快速部署安全模板、第三方安全漏洞扫描、模板發布平台三个部分。经过安全策略配置的服务器在虚拟化平台环境下,经过第三方安全漏洞扫描确认配置安全状态后生成模板,在模板发布网站上发布。
流程设计如图3所示,以两个示例介绍流程。
示例一:防范勒索蠕虫病毒,操作系统增加防范勒索蠕虫病毒的问题。如乌克兰等国家遭受了严重的损失。在互联网上疯狂传播,针对蠕虫勒索病毒做了两个策略:策略一,升级操作系统软件补丁;策略二,限制445等端口的访问,加入安全策略的操作系统生成模板,同时生成安全策略及补丁包,提供到模板发布平台供用户下载。
示例二:没有特殊需求的用户直接下载相应的模版即可。针对有特殊操作系统需求的用户,当用户按着自己的需求申请操作系统的时候,可以提出相应的特殊需求。例如,用户需要打印功能,远程功能需要更加安全的策略:经过发布平台的互动模块,会对操作系统模版进行相应的调整。打开服务器的打印功能,对远程功能端口进行修改,限制远程功能访问的权限及访问的范围。加入安全策略的操作系统生成模板,同时生成安全策略及补丁包,提供到模板发布平台供用户下载。
3.3 实验分析
实验采用教育网IPv6安全传输环境,对进行安全配置后的服务器生成模板,针对单台服务器及2~5台服务器安全模板集群进行传输搭建。
采用OVF模板的方式对服务器进行快速部署,生成OVF模板,100GB的服务器生成时间是7分钟左右,部署VOF配置模板需要10分钟左右,生成文件大小1.4GB以内,传输速度2~4MB/S,50分钟内传输完成。采用传统方法搭建服务器配置环境:搭建服务器60分钟以上,配置简单服务器环境30份左右,配置安全策略20分钟,并随着服务器的增多成线性增长,如图4所示。
实验结果表明,单台服务器配置与手动配置时间接近,2~5台服务器集群化配置具有明显优势。该模板明显优于手动调整系统安全策略方法,系统可用性、可操作性及通用性良好。
4 结束语
未来需要更加重视Linux系统等开源系统的利用和开发,促进民族产业发展。出于对国家发展安全考虑,防止垄断和潜在的威胁。中国教育和科研计算机网络(CERNET)下一代互联网IPv6技术环境将为高校提供了一个安全、高效、相对开放的平台,使服务器的安全和维护向专业人员集中成为可能。
基金项目:
1.赛尔网络下一代互联网技术创新项目(项目编号:NG1120180202);
2.2018年省属本科高校基本科研业务费项目(项目编号:2018-KYYWF-E008)。
参考文献
参考文献
[1] 李鑫,李京春,郑雪峰,张友春,王少杰.一种基于层次分析法的信息系统漏洞量化评估方法[J].计算机科学,2012(7).
[2] 余前帆.大数据时代网络空间安全问题的思考[J].网络空间安全,2017( Z1).
[3] 张辉.一种基于网络驱动的Windows防火墙设计[J].网络空间安全,2017(Z5).
[4] 蔡佳晔,张红旗,高坤.基于Sibson距离的OpenFlow网络DDoS攻击检测方法研究[J].计算机应用研究,2018(6).
[5] 凯比努尔·赛地艾合买提.网络空间安全研究亟待解决的关键问题[J].网络空间安全,2016 (Z1).
[6] 蒋巍.王杨.针对黑客渗透思维制定Web服务器安全防护策略[J].网络空间安全, 2018(Z5).