網絡安全的高校數字化平臺信息共享機制研究

聶得欣

摘 要： 在高校數字化平臺迅猛發展的同時，信息網絡安全問題也日益突出。本文從網絡安全的角度，選用 Linux 系統，結合 VSFTP 服務和用戶權限控制兩大功能，提出一種適合在高校數字化平臺下實現信息共享的方案， 可以安全進行信息資源的上傳和下載， 從而實現信息共享。

關鍵詞：信息共享 數字化平臺 用戶權限控制 云存儲、Linux VSFTP

中圖分類號：TP393 文獻標識碼：A 文章編號：1003-9082（2016）04-0004-01

一、引言

目前在高校教師對信息共享的需求相當迫切，而高校數字化平臺提供的信息共享能力出現了不同程度的瓶頸。大多數平臺都使用 HTTP 和匿名 FTP 實現信息資源下載，無法對信息下載用戶進行細粒度安全控制[1]，信息資源上傳功能由于安全原因幾乎沒有提供。針對上述問題， 本文在使用 Linux 系統平臺的基礎上， 結合 VSFTP 和用戶權限控制等技術， 配置 FTP文件服務器，完成信息資源的上傳和下載，實現了安全的信息共享。

二、VSFTP 配置原則

VSFTP 是 “very secure FTP”的縮寫， 安全性是它的一個最大的特點。 VSFTP是一個UNIX類操作系統上運行的服務名字，它可以運行在諸如 Linux、BSD、Solaris、HP-UNIX等系統上面，是一個完全免費的、開發源代碼的 FTP 服務器軟件，支持很多其他的 FTP 服務器所不支持的特征，安裝 VSFTP 服務的服務器稱為VSFTP服務器，具有非常高的安全性、穩定性、速率高等特點。結合高校數字化平臺實際，在配置VSFTP服務器時遵循以下原則。

1.本地用戶登錄 優先 原則

目前大多數 FTP 文件服務器采用的是匿名用戶登錄方式，該方式配置簡單，只能實現一般的信息上傳和下載功能，而 VSFTPD 服務提供的本地用戶登錄方式可滿足高校數字化平臺下高校教師對信息共享的需求。VSFTPD 服務可提供本地用戶登錄，三種用戶登錄方式，分別是匿名用戶登錄、虛擬用戶登錄和本地用戶登錄。 前兩種都是針對一類或若干類用戶進行安全控制的登錄方式， 可滿足普通安全要求的配置需求，但都有各自的功能局限性，比如：采用匿名用戶登錄方式，只能配置一種安全控制模式，采用虛擬用戶登錄方式，也只能配置若干種安全控制模式，并且虛擬用戶的安全認證方式比較復雜， 而本地用戶登錄可滿足高級安全要求的配置需求， 可實現細粒度的針對單一用戶的可定制的安全控制，可以與 Linux 系統自身提供的安全特性完美結合，靈活配置任何用戶的信息資源權限。因此，在配置 VSFTP 服務器時，要優先采用本地用戶登錄方式，匿名用戶登錄方式和虛擬用戶登錄方式為輔作為補充。

2.云存儲原則

在配置 VSFTP 服務器時要充分考慮到用戶可以使用的存儲空間的大小，要盡可能為用戶提供海量的存儲空間， 實現信息資源的云存儲， 保證信息共享。 云存儲是指通過集群應用、網絡技術或分布式文件系統等功能， 將網絡中大量各種不同類型的存儲設備通過應用軟件集合起來協同工作，共同對外提供數據存儲和業務訪問功能的一個系統。在高校數字化平臺中云存儲可以通過建立 Linux 集群系統， 在 Linux 集群中配置磁盤陣列（RAID）實現。Linux 磁盤陣列有軟件 RAID 和硬件 RAID 兩種：軟件 RAID 的性能較低，因為其使用主機的資源，需要加載 RAID 軟件以從軟件 RAID 卷中讀取數據。在軟件 RAID 中無需物理硬件，零成本投資。硬件 RAID 的性能較高， ，它不使用主機資源，有專用的 RAID 控制器來管理存儲空間， 存取速度快， 性能高。 高校數字化平臺的云存儲可以采用先軟件 RAID后硬件 RAID 的模式實現，保證云存儲的安全備份和災難恢復，同時在磁盤陣列的基礎上運用邏輯卷管理器（LVM）技術實現對文件資源的邏輯管理保證云存儲的動態更新和彈性空間調整。

3.磁盤配額原則

根據高校數字化平臺的實際情況，用戶在 VSFTP 服務器上的存儲空間要考慮到存儲成本、存儲利用率等因素，要針對不同類型的用戶進行磁盤配額。用戶使用的存儲空間不可能無限擴大， 如果不限制每個用戶使用磁盤空間的大小， 如果某個用戶疏忽或惡意將磁盤占滿，將導致系統無法進行寫操作甚至崩潰，直接影響網絡的安全運行[2]。在高校數字化平臺下可使用 Linux 系統的磁盤配額功能為每個用戶限制存儲空間，Linux 磁盤配額的設置單位是分區，針對分區啟用配額限制功能后才可以對用戶設置。磁盤配額設置有兩種措施：硬限制和軟限制。硬限制是對空間使用的絕對限制，在任何情況下用戶都不允許超過此限制；軟限制允許用戶在一定時間范圍內（默認為一周）超過其限制的額度，在不超出硬限制的范圍內可以繼續使用空間，系統會發出警告，但如果用戶達到時間期限仍未釋放空間到限制的額度下， 系統將不再允許該用戶使用更多的空間。 磁盤配額限制空間使用的方法也有兩種，即分別對 inode 和 block 進行限制。磁盤配額可以限定用戶在分區中使用的空間大小（blocks） ，也可以限定用戶可以在分區中最多創建的文件數（inodes） 。

三、用戶權限設置

高校數字化平臺下信息共享的主要問題就是安全性問題，而安全性主要是通過用戶的訪問權限來控制。 目前高校用戶的訪問權限不是太小就是過大， 沒有細粒度的設置用戶對信息資源的訪問權限， 因此在對高校數字化平臺下的 VSFTP 服務器進行配置時， 一定要與 Linux系統的用戶權限控制有機結合起來，對每一個用戶的信息資源訪問權限進行個性化定制。

1.基本概念

Linux 系統中的每個文件和目錄都有訪問許可權限，用他來確定誰能通過何種方式對文件和目錄進行訪問和操作。文件或目錄的訪問權限分為只讀，只寫和可執行三種。只讀權限表示只允許讀其內容，而禁止對其做所有的更改操作。可執行權限表示允許將該文 件作為一個程序執行。文件被創建時，文件所有者自動擁有對該文件的讀、寫和可執行權限，以便于對文件的閱讀和修改。用戶也可根據需要把訪問權限設置為需要的所有組合。有三種不同類型的用戶可對文件或目錄進行訪問： 文件所有者， 同組用戶、 其他用戶。所有者一般是文件的創建者。 所有者能允許同組用戶有權訪問文件， 還能將文件的訪問權限賦予系統中的其他用戶。 在這種情況下， 系統中每一位用戶都能訪問該用戶擁有的文件或目錄。每一文件或目錄的訪問權限都有三組，每組用三位表示，分別為文件屬主的讀、寫和執行權限；和屬主同組的用戶的讀、寫和執行權限；系統中其他用戶的讀、寫和執行權限。

2.權限設計方案

針對高校教師對信息資源訪問權限的需求，從用戶賬號設置、目錄結構建立、用戶權限分配三方面著手，形成基于網絡安全的用戶權限設計方案，具體方案如下：

2.1賬號設置

VSFTP 服務器上的信息資源的目錄結構的設置一定考慮到高校實際，根據使用單位和用戶的使用需求進行細粒度設置。 按行政機構對校屬各單位進行單位分組， 每個單位都分配一個用戶組，各單位教師分屬各單位分組，每位教師都有一個本地用戶賬號。所有教師在本地用戶賬號登錄到 VSFTP 服務器時都不能登錄到 Linux 系統，只能使用 Linux 系統提供的VSFTP 服務。這一點可以通過在建立本地用戶賬號時使用-s /sbin/nologin 參數來實現。

2.2 目錄結構 建立

VSFTP 服務器上的信息資源的目錄結構的設置一定考慮到高校實際，根據使用單位和用戶的使用需求進行細粒度設置。 可按校屬單位為各單位建立本單位使用的文件夾， 僅教師自己使用的文件夾和全校教師使用的文件夾。VSFTP 服務器共享信息資源目錄結構圖如圖 1所示。

2.3 使用權限 分配

在訪問根文件夾下為校屬各單位設置文件夾，每個單位都擁有自已的文件夾，由各單位內部教師共同使用， 每個教師可在自己單位文件夾下上傳信息資源供本單位使用， 即只有本單位教師才能下載該文件夾下的資源， 同時每個教師也只能修改刪除自已上傳的信息資源，而不能修改刪除本單位其他教師上傳的信息資源。各單位的教師在自已單位的文件夾下也擁有自已的文件夾，教師可在自已的文件夾下上傳和下載信息資源，但僅限教師本人使用。設置一個面向全校的 SHARE 文件夾，每個單位在其下都擁有自已的文件夾，各單位教師可在各自單位文件夾下上傳信息資源，供全校所有教師下載使用。VSFTP 服務器共享信息資源目錄結構如下圖所示： 每個教師在各自單位下都有一個自已的文件夾， 只有本人可以上傳和下載信息資源。

設置學校管理員和單位管理員，學校管理員對整個信息資源擁有所有權限，單位管理員對 PUB 文件夾和 SHARE 文件夾下的本單位文件夾里的信息資源擁有所有權限。

四、結論

根據上述 Vsftp 配置原則和用戶權限設計方案，使用以下實驗平臺進行測試：Linux操作系統使用 Centos5.6，Vsftpd 使用 vsftpd-2.0.5-28.el5.i386.rpm。實驗結果表明本文基于網絡安全的高校數字化平臺信息共享機制研究達到了預期目標。

參考文獻

[1]梁建國， 張斌， 王欣偉. 基于 Vsftpd 的安全 FTP 服務器的構建[J]. 計算機與網絡，2009，（16）：53-54

[2]歐軍，吳清秀，白曉波. 基于 Linux 的 Vsftpd 服務的構建[J]. 信息與電腦（理論版），2010，（05）：101-102