网络安全的高校数字化平台信息共享机制研究
2016-06-23聂得欣
聂得欣
摘 要: 在高校数字化平台迅猛发展的同时,信息网络安全问题也日益突出。本文从网络安全的角度,选用 Linux 系统,结合 VSFTP 服务和用户权限控制两大功能,提出一种适合在高校数字化平台下实现信息共享的方案, 可以安全进行信息资源的上传和下载, 从而实现信息共享。
关键词:信息共享 数字化平台 用户权限控制 云存储、Linux VSFTP
中图分类号:TP393 文献标识码:A 文章编号:1003-9082(2016)04-0004-01
一、引言
目前在高校教师对信息共享的需求相当迫切,而高校数字化平台提供的信息共享能力出现了不同程度的瓶颈。大多数平台都使用 HTTP 和匿名 FTP 实现信息资源下载,无法对信息下载用户进行细粒度安全控制[1],信息资源上传功能由于安全原因几乎没有提供。针对上述问题, 本文在使用 Linux 系统平台的基础上, 结合 VSFTP 和用户权限控制等技术, 配置 FTP文件服务器,完成信息资源的上传和下载,实现了安全的信息共享。
二、VSFTP 配置原则
VSFTP 是 “very secure FTP”的缩写, 安全性是它的一个最大的特点。 VSFTP是一个UNIX类操作系统上运行的服务名字,它可以运行在诸如 Linux、BSD、Solaris、HP-UNIX等系统上面,是一个完全免费的、开发源代码的 FTP 服务器软件,支持很多其他的 FTP 服务器所不支持的特征,安装 VSFTP 服务的服务器称为VSFTP服务器,具有非常高的安全性、稳定性、速率高等特点。结合高校数字化平台实际,在配置VSFTP服务器时遵循以下原则。
1.本地用户登录 优先 原则
目前大多数 FTP 文件服务器采用的是匿名用户登录方式,该方式配置简单,只能实现一般的信息上传和下载功能,而 VSFTPD 服务提供的本地用户登录方式可满足高校数字化平台下高校教师对信息共享的需求。VSFTPD 服务可提供本地用户登录,三种用户登录方式,分别是匿名用户登录、虚拟用户登录和本地用户登录。 前两种都是针对一类或若干类用户进行安全控制的登录方式, 可满足普通安全要求的配置需求,但都有各自的功能局限性,比如:采用匿名用户登录方式,只能配置一种安全控制模式,采用虚拟用户登录方式,也只能配置若干种安全控制模式,并且虚拟用户的安全认证方式比较复杂, 而本地用户登录可满足高级安全要求的配置需求, 可实现细粒度的针对单一用户的可定制的安全控制,可以与 Linux 系统自身提供的安全特性完美结合,灵活配置任何用户的信息资源权限。因此,在配置 VSFTP 服务器时,要优先采用本地用户登录方式,匿名用户登录方式和虚拟用户登录方式为辅作为补充。
2.云存储原则
在配置 VSFTP 服务器时要充分考虑到用户可以使用的存储空间的大小,要尽可能为用户提供海量的存储空间, 实现信息资源的云存储, 保证信息共享。 云存储是指通过集群应用、网络技术或分布式文件系统等功能, 将网络中大量各种不同类型的存储设备通过应用软件集合起来协同工作,共同对外提供数据存储和业务访问功能的一个系统。在高校数字化平台中云存储可以通过建立 Linux 集群系统, 在 Linux 集群中配置磁盘阵列(RAID)实现。Linux 磁盘阵列有软件 RAID 和硬件 RAID 两种:软件 RAID 的性能较低,因为其使用主机的资源,需要加载 RAID 软件以从软件 RAID 卷中读取数据。在软件 RAID 中无需物理硬件,零成本投资。硬件 RAID 的性能较高, ,它不使用主机资源,有专用的 RAID 控制器来管理存储空间, 存取速度快, 性能高。 高校数字化平台的云存储可以采用先软件 RAID后硬件 RAID 的模式实现,保证云存储的安全备份和灾难恢复,同时在磁盘阵列的基础上运用逻辑卷管理器(LVM)技术实现对文件资源的逻辑管理保证云存储的动态更新和弹性空间调整。
3.磁盘配额原则
根据高校数字化平台的实际情况,用户在 VSFTP 服务器上的存储空间要考虑到存储成本、存储利用率等因素,要针对不同类型的用户进行磁盘配额。用户使用的存储空间不可能无限扩大, 如果不限制每个用户使用磁盘空间的大小, 如果某个用户疏忽或恶意将磁盘占满,将导致系统无法进行写操作甚至崩溃,直接影响网络的安全运行[2]。在高校数字化平台下可使用 Linux 系统的磁盘配额功能为每个用户限制存储空间,Linux 磁盘配额的设置单位是分区,针对分区启用配额限制功能后才可以对用户设置。磁盘配额设置有两种措施:硬限制和软限制。硬限制是对空间使用的绝对限制,在任何情况下用户都不允许超过此限制;软限制允许用户在一定时间范围内(默认为一周)超过其限制的额度,在不超出硬限制的范围内可以继续使用空间,系统会发出警告,但如果用户达到时间期限仍未释放空间到限制的额度下, 系统将不再允许该用户使用更多的空间。 磁盘配额限制空间使用的方法也有两种,即分别对 inode 和 block 进行限制。磁盘配额可以限定用户在分区中使用的空间大小(blocks) ,也可以限定用户可以在分区中最多创建的文件数(inodes) 。
三、用户权限设置
高校数字化平台下信息共享的主要问题就是安全性问题,而安全性主要是通过用户的访问权限来控制。 目前高校用户的访问权限不是太小就是过大, 没有细粒度的设置用户对信息资源的访问权限, 因此在对高校数字化平台下的 VSFTP 服务器进行配置时, 一定要与 Linux系统的用户权限控制有机结合起来,对每一个用户的信息资源访问权限进行个性化定制。
1.基本概念
Linux 系统中的每个文件和目录都有访问许可权限,用他来确定谁能通过何种方式对文件和目录进行访问和操作。文件或目录的访问权限分为只读,只写和可执行三种。只读权限表示只允许读其内容,而禁止对其做所有的更改操作。可执行权限表示允许将该文 件作为一个程序执行。文件被创建时,文件所有者自动拥有对该文件的读、写和可执行权限,以便于对文件的阅读和修改。用户也可根据需要把访问权限设置为需要的所有组合。有三种不同类型的用户可对文件或目录进行访问: 文件所有者, 同组用户、 其他用户。所有者一般是文件的创建者。 所有者能允许同组用户有权访问文件, 还能将文件的访问权限赋予系统中的其他用户。 在这种情况下, 系统中每一位用户都能访问该用户拥有的文件或目录。每一文件或目录的访问权限都有三组,每组用三位表示,分别为文件属主的读、写和执行权限;和属主同组的用户的读、写和执行权限;系统中其他用户的读、写和执行权限。
2.权限设计方案
针对高校教师对信息资源访问权限的需求,从用户账号设置、目录结构建立、用户权限分配三方面着手,形成基于网络安全的用户权限设计方案,具体方案如下:
2.1账号设置
VSFTP 服务器上的信息资源的目录结构的设置一定考虑到高校实际,根据使用单位和用户的使用需求进行细粒度设置。 按行政机构对校属各单位进行单位分组, 每个单位都分配一个用户组,各单位教师分属各单位分组,每位教师都有一个本地用户账号。所有教师在本地用户账号登录到 VSFTP 服务器时都不能登录到 Linux 系统,只能使用 Linux 系统提供的VSFTP 服务。这一点可以通过在建立本地用户账号时使用-s /sbin/nologin 参数来实现。
2.2 目录结构 建立
VSFTP 服务器上的信息资源的目录结构的设置一定考虑到高校实际,根据使用单位和用户的使用需求进行细粒度设置。 可按校属单位为各单位建立本单位使用的文件夹, 仅教师自己使用的文件夹和全校教师使用的文件夹。VSFTP 服务器共享信息资源目录结构图如图 1所示。
2.3 使用权限 分配
在访问根文件夹下为校属各单位设置文件夹,每个单位都拥有自已的文件夹,由各单位内部教师共同使用, 每个教师可在自己单位文件夹下上传信息资源供本单位使用, 即只有本单位教师才能下载该文件夹下的资源, 同时每个教师也只能修改删除自已上传的信息资源,而不能修改删除本单位其他教师上传的信息资源。各单位的教师在自已单位的文件夹下也拥有自已的文件夹,教师可在自已的文件夹下上传和下载信息资源,但仅限教师本人使用。设置一个面向全校的 SHARE 文件夹,每个单位在其下都拥有自已的文件夹,各单位教师可在各自单位文件夹下上传信息资源,供全校所有教师下载使用。VSFTP 服务器共享信息资源目录结构如下图所示: 每个教师在各自单位下都有一个自已的文件夹, 只有本人可以上传和下载信息资源。
设置学校管理员和单位管理员,学校管理员对整个信息资源拥有所有权限,单位管理员对 PUB 文件夹和 SHARE 文件夹下的本单位文件夹里的信息资源拥有所有权限。
四、结论
根据上述 Vsftp 配置原则和用户权限设计方案,使用以下实验平台进行测试:Linux操作系统使用 Centos5.6,Vsftpd 使用 vsftpd-2.0.5-28.el5.i386.rpm。实验结果表明本文基于网络安全的高校数字化平台信息共享机制研究达到了预期目标。
参考文献
[1]梁建国, 张斌, 王欣伟. 基于 Vsftpd 的安全 FTP 服务器的构建[J]. 计算机与网络,2009,(16):53-54
[2]欧军,吴清秀,白晓波. 基于 Linux 的 Vsftpd 服务的构建[J]. 信息与电脑(理论版),2010,(05):101-102