基于IPv6的行業(yè)云安全服務(wù)互助平臺

王楊　蔣巍　劉柳　孔子范

摘? ?要：基于中國教育和科研計算機(jī)網(wǎng)絡(luò)（CERNET）的優(yōu)勢，以及高校網(wǎng)絡(luò)環(huán)境及安全環(huán)境特點(diǎn)，開發(fā)了行業(yè)云安全服務(wù)互助平臺。論文主要介紹該平臺服務(wù)器操作系統(tǒng)云安全快速部署互動模塊。

關(guān)鍵詞：教育網(wǎng);系統(tǒng)安全策略;快速部署模板;云平臺

中圖分類號：TP3-05? ? ? ? ? 文獻(xiàn)標(biāo)識碼：A

Cloud security service mutual assistance platform based on IPv6

Wang Yang1， Jiang Wei2， Liu Liu3， Kong Zifan3

（1. Modern Education Center of Harbin Finance College，Heilongjiang Harbin 150030;

2.Computer Department of Harbin Finance College，Heilongjiang Harbin 150030;

3. Finance Department of Harbin Finance College， HeilongjiangHarbin 150030）

Abstract： Based on the advantages of China Education and Research Network （CERNET） and the characteristics of university network environment and security environment， an industry cloud security service mutual assistance platform is developed. This paper mainly introduces the cloud security rapid deployment interactive module of the server operating system of CERNET.

Key words： education network; system security strategy; rapid deployment template; cloud platform

1 引言

基于IPv6的行業(yè)系統(tǒng)云安全在國內(nèi)外都處在研究階段，國內(nèi)還缺少一個行業(yè)信息安全技術(shù)交流和成果展示平臺。本文主要設(shè)計該平臺服務(wù)器操作系統(tǒng)云安全快速部署互動模塊。通過部署該模塊，解決服務(wù)器版本操作系統(tǒng)存在的安全配制隱患、安裝部署操作系統(tǒng)安全策略工作量大、各種漏洞不斷出現(xiàn)、服務(wù)器管理人員技術(shù)能力有限、專業(yè)安全信息獲取不及時等問題，從而達(dá)到迅速提高校園服務(wù)器安全級別、控制行業(yè)安全短板的目的。

2 高校服務(wù)器安全面臨的挑戰(zhàn)

（1）微軟停止提供安全補(bǔ)丁引發(fā)安全威脅。2015年微軟不再為Windows Server 2003用戶提供安全補(bǔ)丁及在其上運(yùn)行的其他應(yīng)用的更新。但由于種種原因系統(tǒng)仍在使用。各種病毒利用服務(wù)器系統(tǒng)漏洞和安全策略漏洞的威脅，服務(wù)器的安全壓力不斷增加。

（2）針對Linux系統(tǒng)的升級維護(hù)幾乎成為盲區(qū)。Linux系統(tǒng)在高校服務(wù)器中占有的份額逐漸增加。但針對Linux系統(tǒng)的升級維護(hù)，幾乎成為盲區(qū)。

（3）新技術(shù)應(yīng)用帶來新的安全風(fēng)險。因?yàn)榧夹g(shù)人員能力參差不齊，新技術(shù)、新安全威脅不斷更新，所以針對云平臺的安全防護(hù)和相關(guān)的操作系統(tǒng)安全維護(hù)常常出現(xiàn)維護(hù)不及時，或者維護(hù)過程中影響應(yīng)用、功能等問題。

（4）信息傳輸安全需求得不到滿足。信息傳輸安全機(jī)制和速率是行業(yè)內(nèi)技術(shù)交流的瓶頸。由于操作系統(tǒng)模板和配置參數(shù)數(shù)據(jù)量大，傳輸?shù)陌踩砸蟊容^高，網(wǎng)絡(luò)傳輸?shù)馁|(zhì)量要求高，影響該平臺模塊的實(shí)用性和體驗(yàn)。

解決以上問題和挑戰(zhàn)，需要大幅度配置更換新的操作系統(tǒng)，進(jìn)行相應(yīng)的安全策略配置。一個服務(wù)的安全策略不可能是孤立的，需要集群化的安全策略配合，可想而知相應(yīng)的工作量是巨大的。而高質(zhì)量的完成安全配置和部署任務(wù)，依賴于專業(yè)的安全技術(shù)集中調(diào)配及新的安全通信線路的應(yīng)用。

3 平臺架構(gòu)設(shè)計與分析

3.1 平臺設(shè)計

本文提出了教育網(wǎng)的行業(yè)云安全服務(wù)平臺，平臺是以身份驗(yàn)證加盟方式，面向各大中專院校，提供網(wǎng)絡(luò)安全方面的技術(shù)交流和支持，如圖1所示。其中的核心模塊是基于教育網(wǎng)的服務(wù)器操作系統(tǒng)云安全快速部署模板。

本模板基于虛擬化平臺，面向不同需求，應(yīng)用相應(yīng)策略，提出了多層面安全系統(tǒng)加固的方法（應(yīng)用層加固、系統(tǒng)功能層加固、密鑰權(quán)限管理層加固），通過第三方系統(tǒng)安全掃描，制定專項(xiàng)策略，安全策略自主掌握與通用策略結(jié)合，從而形成虛擬化模板，使不可信的系統(tǒng)經(jīng)過本模板的快速部署，可以可信地運(yùn)行，如圖2所示。

在虛擬化架構(gòu)中，虛擬化軟件（VM）、操作系統(tǒng)（Win）、安全策略和參數(shù)配置等是框架的基本組成元素。虛擬化平臺通過對操作系統(tǒng)模板化，形成OVF模板，實(shí)現(xiàn)虛擬化層面的操作系統(tǒng)資源快速部署。

由于虛擬操作系統(tǒng)的相應(yīng)安全策略和配置經(jīng)過多層次、多模塊的安全加固，如針對訪問控制列表模塊、功能安全策略模塊、基礎(chǔ)內(nèi)核加固模塊等。經(jīng)過第三方漏洞掃描，掌握系統(tǒng)安全的薄弱環(huán)節(jié)，制定專項(xiàng)策略，所以能夠最大限度地保證系統(tǒng)的安全，用戶能使用此操作系統(tǒng)實(shí)現(xiàn)可信地安裝運(yùn)行。

模板發(fā)布平臺包括集中管理監(jiān)控模塊、可信策略發(fā)布庫、模板下載和安全措施建議，策略參數(shù)需求互動模板預(yù)約。功能主要有為用戶提供安全操作系統(tǒng)模板下載，針對操作系統(tǒng)的修補(bǔ)措施和安全建議，提供可信的安全策略及補(bǔ)丁下載，針對特殊需求用戶提供互動參數(shù)安全策略模板預(yù)約服務(wù)。

3.2 流程設(shè)計

模板的發(fā)表流程包括快速部署安全模板、第三方安全漏洞掃描、模板發(fā)布平臺三個部分。經(jīng)過安全策略配置的服務(wù)器在虛擬化平臺環(huán)境下，經(jīng)過第三方安全漏洞掃描確認(rèn)配置安全狀態(tài)后生成模板，在模板發(fā)布網(wǎng)站上發(fā)布。

流程設(shè)計如圖3所示，以兩個示例介紹流程。

示例一：防范勒索蠕蟲病毒，操作系統(tǒng)增加防范勒索蠕蟲病毒的問題。如烏克蘭等國家遭受了嚴(yán)重的損失。在互聯(lián)網(wǎng)上瘋狂傳播，針對蠕蟲勒索病毒做了兩個策略：策略一，升級操作系統(tǒng)軟件補(bǔ)丁;策略二，限制445等端口的訪問，加入安全策略的操作系統(tǒng)生成模板，同時生成安全策略及補(bǔ)丁包，提供到模板發(fā)布平臺供用戶下載。

示例二：沒有特殊需求的用戶直接下載相應(yīng)的模版即可。針對有特殊操作系統(tǒng)需求的用戶，當(dāng)用戶按著自己的需求申請操作系統(tǒng)的時候，可以提出相應(yīng)的特殊需求。例如，用戶需要打印功能，遠(yuǎn)程功能需要更加安全的策略：經(jīng)過發(fā)布平臺的互動模塊，會對操作系統(tǒng)模版進(jìn)行相應(yīng)的調(diào)整。打開服務(wù)器的打印功能，對遠(yuǎn)程功能端口進(jìn)行修改，限制遠(yuǎn)程功能訪問的權(quán)限及訪問的范圍。加入安全策略的操作系統(tǒng)生成模板，同時生成安全策略及補(bǔ)丁包，提供到模板發(fā)布平臺供用戶下載。

3.3 實(shí)驗(yàn)分析

實(shí)驗(yàn)采用教育網(wǎng)IPv6安全傳輸環(huán)境，對進(jìn)行安全配置后的服務(wù)器生成模板，針對單臺服務(wù)器及2～5臺服務(wù)器安全模板集群進(jìn)行傳輸搭建。

采用OVF模板的方式對服務(wù)器進(jìn)行快速部署，生成OVF模板，100GB的服務(wù)器生成時間是7分鐘左右，部署VOF配置模板需要10分鐘左右，生成文件大小1.4GB以內(nèi)，傳輸速度2～4MB/S，50分鐘內(nèi)傳輸完成。采用傳統(tǒng)方法搭建服務(wù)器配置環(huán)境：搭建服務(wù)器60分鐘以上，配置簡單服務(wù)器環(huán)境30份左右，配置安全策略20分鐘，并隨著服務(wù)器的增多成線性增長，如圖4所示。

實(shí)驗(yàn)結(jié)果表明，單臺服務(wù)器配置與手動配置時間接近，2～5臺服務(wù)器集群化配置具有明顯優(yōu)勢。該模板明顯優(yōu)于手動調(diào)整系統(tǒng)安全策略方法，系統(tǒng)可用性、可操作性及通用性良好。

4 結(jié)束語

未來需要更加重視Linux系統(tǒng)等開源系統(tǒng)的利用和開發(fā)，促進(jìn)民族產(chǎn)業(yè)發(fā)展。出于對國家發(fā)展安全考慮，防止壟斷和潛在的威脅。中國教育和科研計算機(jī)網(wǎng)絡(luò)（CERNET）下一代互聯(lián)網(wǎng)IPv6技術(shù)環(huán)境將為高校提供了一個安全、高效、相對開放的平臺，使服務(wù)器的安全和維護(hù)向?qū)I(yè)人員集中成為可能。

基金項(xiàng)目：

1.賽爾網(wǎng)絡(luò)下一代互聯(lián)網(wǎng)技術(shù)創(chuàng)新項(xiàng)目（項(xiàng)目編號：NG1120180202）;

2.2018年省屬本科高校基本科研業(yè)務(wù)費(fèi)項(xiàng)目（項(xiàng)目編號：2018-KYYWF-E008）。

參考文獻(xiàn)

參考文獻(xiàn)

[1] 李鑫，李京春，鄭雪峰，張友春，王少杰.一種基于層次分析法的信息系統(tǒng)漏洞量化評估方法[J].計算機(jī)科學(xué)，2012（7）.

[2] 余前帆.大數(shù)據(jù)時代網(wǎng)絡(luò)空間安全問題的思考[J].網(wǎng)絡(luò)空間安全，2017（ Z1）.

[3] 張輝.一種基于網(wǎng)絡(luò)驅(qū)動的Windows防火墻設(shè)計[J].網(wǎng)絡(luò)空間安全，2017（Z5）.

[4] 蔡佳曄，張紅旗，高坤.基于Sibson距離的OpenFlow網(wǎng)絡(luò)DDoS攻擊檢測方法研究[J].計算機(jī)應(yīng)用研究，2018（6）.

[5] 凱比努爾·賽地艾合買提.網(wǎng)絡(luò)空間安全研究亟待解決的關(guān)鍵問題[J].網(wǎng)絡(luò)空間安全，2016 （Z1）.

[6] 蔣巍.王楊.針對黑客滲透思維制定Web服務(wù)器安全防護(hù)策略[J].網(wǎng)絡(luò)空間安全， 2018（Z5）.