李宇鋒
(東華理工大學(xué)軟件學(xué)院,南昌 330013)
桌面云,是基于融合架構(gòu)的新型桌面模式,通過深度整合服務(wù)器虛擬化、桌面虛擬化及存儲虛擬化,只需桌面云一體機(jī)和云終端兩種設(shè)備,即可實現(xiàn)云平臺的快速交付,為用戶提供操作體驗及軟硬件兼容性媲美PC,更安全、更高效的云桌面。桌面云將原來綁定在PC 上的桌面、應(yīng)用和數(shù)據(jù)全部集中到數(shù)據(jù)中心,然后通過SRAP桌面交付協(xié)議,將操作系統(tǒng)界面以圖像的方式傳送給前端的接入設(shè)備,包括云終端、筆記本、普通PC、智能終端等,只要網(wǎng)絡(luò)是可達(dá)的,用戶就可以通過各種類型的終端去訪問位于服務(wù)器上的個人桌面,讓數(shù)據(jù)保護(hù)更安全,桌面管理更高效,用戶訪問更靈活[1]。
使用普通物理電腦,核心重要的數(shù)據(jù)都存儲在電腦的硬盤里面,也就是說在本地。隨著現(xiàn)在網(wǎng)絡(luò)的快速發(fā)展,這也帶來了一些問題,人們的數(shù)據(jù)很容易通過網(wǎng)絡(luò)傳播出去,也受到網(wǎng)絡(luò)黑客的攻擊,一些學(xué)校還要避免內(nèi)部資料的泄密,使用傳統(tǒng)PC 這些數(shù)據(jù)的安全性和可靠性達(dá)不到保障,在突發(fā)情況下如果數(shù)據(jù)沒有備份,就存在數(shù)據(jù)丟失的風(fēng)險。所以,如何解決這些問題是網(wǎng)絡(luò)管理員和廣大學(xué)校用戶所關(guān)心的。每個學(xué)校都有一些部門的業(yè)務(wù)性質(zhì)超級重要,比如研究院對數(shù)據(jù)安全性的要求性很高,一些重要的數(shù)據(jù)關(guān)系到一個學(xué)校的發(fā)展,一些科研成果不能被不法分子竊取,并且為了機(jī)密,有些只能在一個終端上面進(jìn)行操作,這樣對學(xué)習(xí)實驗的環(huán)境就有了限制,達(dá)不到學(xué)習(xí)實驗的靈活性,這都和桌面的安全性相關(guān),所以,桌面虛擬化可以實現(xiàn)這些桌面的安全性保障,可以實現(xiàn)任意地點、任意時間在保障數(shù)據(jù)安全的情況下的學(xué)習(xí)實驗。
云系統(tǒng)數(shù)據(jù)安全研究技術(shù),包括登錄用戶、權(quán)限的控制,密碼管理、重要數(shù)據(jù)備份,網(wǎng)絡(luò)訪問策略設(shè)計與編寫,教學(xué)軟件在虛擬系統(tǒng)中的正確配置。
(1)配置畸形報文攻擊防范
圖1 云機(jī)房系統(tǒng)構(gòu)架[2]
(2)配置分片報文攻擊防范,分片報文的限制速率為15000 bit/s
(3)配置泛洪攻擊防范
圖2 三層交換機(jī)防攻擊示意圖
教師機(jī)控制權(quán)限高于學(xué)生終端機(jī),利用管理軟件和操作系統(tǒng)進(jìn)行策略設(shè)計、權(quán)限分配,使用極域多媒體教學(xué)軟件[4]進(jìn)行數(shù)據(jù)的安全傳輸,指導(dǎo)教師正確使用教師管理機(jī)和提高安全防范意識等措施來保障教師機(jī)的系統(tǒng)安全。
(1)獨立系統(tǒng)設(shè)計:教師機(jī)擁有自己獨立的操作系統(tǒng),與云機(jī)房系統(tǒng)互不相關(guān),確保兩者的數(shù)據(jù)互不干擾。
(2)在教師機(jī)上配置了還原卡,利用還原卡的特點,教師機(jī)的系統(tǒng)能夠根據(jù)教學(xué)上的不同需求設(shè)置成不同的還原模式:立即還原、每天還原、每月還原,開放模式[5],提高了系統(tǒng)的安全性。
(3)對系統(tǒng)用戶進(jìn)行了策略配置,根據(jù)不同老師的需求進(jìn)行了相應(yīng)的權(quán)限設(shè)置。
圖3 管理機(jī)系統(tǒng)本地用戶與域用戶配置界面
管理機(jī)(教師端),管理機(jī)系統(tǒng)獨立于終端虛擬機(jī)系統(tǒng),教學(xué)管理軟件與云系統(tǒng)和虛擬系統(tǒng)分離,教師機(jī)系統(tǒng)的安全策略設(shè)計,教學(xué)數(shù)據(jù)獨立存儲、管理。
通過技術(shù)手段切斷網(wǎng)絡(luò)訪問系統(tǒng)底層數(shù)據(jù),在關(guān)鍵網(wǎng)絡(luò)設(shè)備內(nèi)進(jìn)行安全策略設(shè)置、訪問限制,服務(wù)器底層系統(tǒng)訪問設(shè)置,利用虛擬化技術(shù)阻隔云系統(tǒng)數(shù)據(jù)平臺與教學(xué)數(shù)據(jù)平臺的互訪。
配置域服務(wù)器對終端登錄用戶進(jìn)行權(quán)限設(shè)置和訪問控制云系統(tǒng)數(shù)據(jù)安全研究技術(shù),登錄用戶、權(quán)限的控制,密碼管理、重要數(shù)據(jù)備份,網(wǎng)絡(luò)訪問策略設(shè)計與編寫,教學(xué)軟件在虛擬系統(tǒng)中的正確配置(系統(tǒng)數(shù)據(jù)安全機(jī)制)。
圖4 域服務(wù)器用戶管理配置
包括制定實驗員日常管理制度,教師、學(xué)生實驗室規(guī)章制度,云機(jī)房應(yīng)急預(yù)案制度建設(shè)。
在日常實驗教學(xué)中,學(xué)生對于云系統(tǒng)的訪問權(quán)限將受到限制,只能訪問其必要數(shù)據(jù),但在教學(xué)過程所需要的數(shù)據(jù)不受影響,網(wǎng)絡(luò)訪問也將進(jìn)行嚴(yán)格管控,防止非法數(shù)據(jù)的侵入,能夠提高云系統(tǒng)數(shù)據(jù)的安全級別;教師在教學(xué)過程中管理學(xué)生終端不受影響,正常的教學(xué)數(shù)據(jù)可安全有效地進(jìn)行雙向傳輸,但對云系統(tǒng)的訪問權(quán)限將受到限制,在滿足教學(xué)需要的前提下確保云系統(tǒng)數(shù)據(jù)的安全;限制云系統(tǒng)接入互聯(lián)網(wǎng),將不會受到來自互聯(lián)網(wǎng)的攻擊,但教師機(jī)可以連接互聯(lián)網(wǎng),保證教學(xué)需求;使用虛擬機(jī)技術(shù)手段解決多系統(tǒng),多個實驗環(huán)境場所的自由切換,實現(xiàn)不同實驗教學(xué)任務(wù)。通過建立管理制度來約束管理人員、教師和學(xué)生在日常教學(xué)中的行為規(guī)范,最大程度減少人為因素所導(dǎo)致的安全隱患。