云機(jī)房系統(tǒng)數(shù)據(jù)安全管理機(jī)制研究與實現(xiàn)

李宇鋒

（東華理工大學(xué)軟件學(xué)院，南昌 330013）

0 引言

桌面云，是基于融合架構(gòu)的新型桌面模式，通過深度整合服務(wù)器虛擬化、桌面虛擬化及存儲虛擬化，只需桌面云一體機(jī)和云終端兩種設(shè)備，即可實現(xiàn)云平臺的快速交付，為用戶提供操作體驗及軟硬件兼容性媲美PC，更安全、更高效的云桌面。桌面云將原來綁定在PC 上的桌面、應(yīng)用和數(shù)據(jù)全部集中到數(shù)據(jù)中心，然后通過SRAP桌面交付協(xié)議，將操作系統(tǒng)界面以圖像的方式傳送給前端的接入設(shè)備，包括云終端、筆記本、普通PC、智能終端等，只要網(wǎng)絡(luò)是可達(dá)的，用戶就可以通過各種類型的終端去訪問位于服務(wù)器上的個人桌面，讓數(shù)據(jù)保護(hù)更安全，桌面管理更高效，用戶訪問更靈活［1］。

使用普通物理電腦，核心重要的數(shù)據(jù)都存儲在電腦的硬盤里面，也就是說在本地。隨著現(xiàn)在網(wǎng)絡(luò)的快速發(fā)展，這也帶來了一些問題，人們的數(shù)據(jù)很容易通過網(wǎng)絡(luò)傳播出去，也受到網(wǎng)絡(luò)黑客的攻擊，一些學(xué)校還要避免內(nèi)部資料的泄密，使用傳統(tǒng)PC 這些數(shù)據(jù)的安全性和可靠性達(dá)不到保障，在突發(fā)情況下如果數(shù)據(jù)沒有備份，就存在數(shù)據(jù)丟失的風(fēng)險。所以，如何解決這些問題是網(wǎng)絡(luò)管理員和廣大學(xué)校用戶所關(guān)心的。每個學(xué)校都有一些部門的業(yè)務(wù)性質(zhì)超級重要，比如研究院對數(shù)據(jù)安全性的要求性很高，一些重要的數(shù)據(jù)關(guān)系到一個學(xué)校的發(fā)展，一些科研成果不能被不法分子竊取，并且為了機(jī)密，有些只能在一個終端上面進(jìn)行操作，這樣對學(xué)習(xí)實驗的環(huán)境就有了限制，達(dá)不到學(xué)習(xí)實驗的靈活性，這都和桌面的安全性相關(guān)，所以，桌面虛擬化可以實現(xiàn)這些桌面的安全性保障，可以實現(xiàn)任意地點、任意時間在保障數(shù)據(jù)安全的情況下的學(xué)習(xí)實驗。

1 云機(jī)房系統(tǒng)數(shù)據(jù)安全管理機(jī)制

云系統(tǒng)數(shù)據(jù)安全研究技術(shù)，包括登錄用戶、權(quán)限的控制，密碼管理、重要數(shù)據(jù)備份，網(wǎng)絡(luò)訪問策略設(shè)計與編寫，教學(xué)軟件在虛擬系統(tǒng)中的正確配置。

2 云機(jī)房系統(tǒng)數(shù)據(jù)安全管理

2.1 云機(jī)房網(wǎng)絡(luò)設(shè)備的安全措施：本機(jī)防攻擊［3］

（1）配置畸形報文攻擊防范

圖1 云機(jī)房系統(tǒng)構(gòu)架［2］

（2）配置分片報文攻擊防范，分片報文的限制速率為15000 bit/s

（3）配置泛洪攻擊防范

圖2 三層交換機(jī)防攻擊示意圖

2.2 教師管理機(jī)系統(tǒng)和數(shù)據(jù)安全

教師機(jī)控制權(quán)限高于學(xué)生終端機(jī)，利用管理軟件和操作系統(tǒng)進(jìn)行策略設(shè)計、權(quán)限分配，使用極域多媒體教學(xué)軟件［4］進(jìn)行數(shù)據(jù)的安全傳輸，指導(dǎo)教師正確使用教師管理機(jī)和提高安全防范意識等措施來保障教師機(jī)的系統(tǒng)安全。

（1）獨立系統(tǒng)設(shè)計：教師機(jī)擁有自己獨立的操作系統(tǒng)，與云機(jī)房系統(tǒng)互不相關(guān)，確保兩者的數(shù)據(jù)互不干擾。

（2）在教師機(jī)上配置了還原卡，利用還原卡的特點，教師機(jī)的系統(tǒng)能夠根據(jù)教學(xué)上的不同需求設(shè)置成不同的還原模式：立即還原、每天還原、每月還原，開放模式［5］，提高了系統(tǒng)的安全性。

（3）對系統(tǒng)用戶進(jìn)行了策略配置，根據(jù)不同老師的需求進(jìn)行了相應(yīng)的權(quán)限設(shè)置。

圖3 管理機(jī)系統(tǒng)本地用戶與域用戶配置界面

管理機(jī)（教師端），管理機(jī)系統(tǒng)獨立于終端虛擬機(jī)系統(tǒng)，教學(xué)管理軟件與云系統(tǒng)和虛擬系統(tǒng)分離，教師機(jī)系統(tǒng)的安全策略設(shè)計，教學(xué)數(shù)據(jù)獨立存儲、管理。

2.3 服務(wù)器系統(tǒng)數(shù)據(jù)安全

通過技術(shù)手段切斷網(wǎng)絡(luò)訪問系統(tǒng)底層數(shù)據(jù)，在關(guān)鍵網(wǎng)絡(luò)設(shè)備內(nèi)進(jìn)行安全策略設(shè)置、訪問限制，服務(wù)器底層系統(tǒng)訪問設(shè)置，利用虛擬化技術(shù)阻隔云系統(tǒng)數(shù)據(jù)平臺與教學(xué)數(shù)據(jù)平臺的互訪。

配置域服務(wù)器對終端登錄用戶進(jìn)行權(quán)限設(shè)置和訪問控制云系統(tǒng)數(shù)據(jù)安全研究技術(shù)，登錄用戶、權(quán)限的控制，密碼管理、重要數(shù)據(jù)備份，網(wǎng)絡(luò)訪問策略設(shè)計與編寫，教學(xué)軟件在虛擬系統(tǒng)中的正確配置（系統(tǒng)數(shù)據(jù)安全機(jī)制）。

圖4 域服務(wù)器用戶管理配置

2.4 建立健全云機(jī)房日常教學(xué)管理制度

包括制定實驗員日常管理制度，教師、學(xué)生實驗室規(guī)章制度，云機(jī)房應(yīng)急預(yù)案制度建設(shè)。

3 結(jié)語

在日常實驗教學(xué)中，學(xué)生對于云系統(tǒng)的訪問權(quán)限將受到限制，只能訪問其必要數(shù)據(jù)，但在教學(xué)過程所需要的數(shù)據(jù)不受影響，網(wǎng)絡(luò)訪問也將進(jìn)行嚴(yán)格管控，防止非法數(shù)據(jù)的侵入，能夠提高云系統(tǒng)數(shù)據(jù)的安全級別；教師在教學(xué)過程中管理學(xué)生終端不受影響，正常的教學(xué)數(shù)據(jù)可安全有效地進(jìn)行雙向傳輸，但對云系統(tǒng)的訪問權(quán)限將受到限制，在滿足教學(xué)需要的前提下確保云系統(tǒng)數(shù)據(jù)的安全；限制云系統(tǒng)接入互聯(lián)網(wǎng)，將不會受到來自互聯(lián)網(wǎng)的攻擊，但教師機(jī)可以連接互聯(lián)網(wǎng)，保證教學(xué)需求；使用虛擬機(jī)技術(shù)手段解決多系統(tǒng)，多個實驗環(huán)境場所的自由切換，實現(xiàn)不同實驗教學(xué)任務(wù)。通過建立管理制度來約束管理人員、教師和學(xué)生在日常教學(xué)中的行為規(guī)范，最大程度減少人為因素所導(dǎo)致的安全隱患。