基于Docker容器技术的分布式安全基线采集工具的研究_开题报告

一、文献综述

   （一）国内研究现状

安全到了云计算时代，已经发生了很多的改变，从传统的单机设备，到分布式架构，再到云层，客户已大多不能满足于单一的安全解决方案，转而寻求能够切实满足云计算环境下的安全解决方案，这对安全团队及产品提出了很大的挑战。如何让安全团队，产品及解决方案真正满足云环境下的各种安全问题，成为了现今众多安全厂商需要考虑的问题之一。比如安全产品是否能够支持高并发，是否支持分布式环境，是否支持虚拟化和容器化等等。

信息安全体系建设中一个重要的组成部分就是安全基线，安全基线是一个信息系统的最基础的安全保证，即该信息系统最基本需要满足的安全配置要求。特别是当今在云计算环境下，企业面临着比以往在传统IT建设过程中更严峻的安全问题。随着企业依赖云计算的程度加深，不断地将数据存入云端，或利用云端计算资源进行业务建设和对外服务，由此带来的安全风险也会不断地增加。

云环境下，由于管理人员产生的安全配置错误所导致的漏洞，已逐渐成为云计算安全面临的严重威胁。所以，云环境下的安全基线建设是保证云计算服务正常稳定运行的前提和基础。提高云环境下的安全基线采集工具的自动化、性能水平也将对整个云环境下的安全基线建设提供强有力的技术支撑。

安全基线作为在云计算安全，甚至整个信息安全体系建设最底层所发挥的作用，正越来越受到各大企业所重视。在我国，已经有众多学者和企业对安全基线建设进行过深入的研究，并开发出了很多优秀的安全基线管理工具，取得了大量丰硕的成果，这其中包括绿盟科技开发的BVS基线采集工具，启明星辰的SMP合规管理平台等。

在安全基线采集工具的研究方面，李丹、李云在文献[4]中指出，安全基线的一般采集过程，是通过分布式采集网元对设备系统的配置信息进行采集，并将采集数据存入数据库中，通过与基线配置库进行分析比对产生分析报表。基线采集方式主要通过两种渠道完成，一是通过远程Telnet或SSH使用用户名和密码进行登陆的点对点方式的安全基线采集，二是在网元本地部署自动采集脚本，通过将脚本运行的结果发送回分析端进行处理和分析。刘兰、朱程容在文献[5]中通过分析绿盟科技BVS合规采集工具的运行方式，讨论了BVS工具在基线采集过程中存在的性能以及准确率方面的问题，提出了一种基于C/S架构的安全基线采集系统，即通过基线管理控制台实现基线的定制、下发、检测和查询功能，客户端进行基线的接收与部署，配置策略上传，管理控制台和客户端的通信基于Socket连接通信，当客户端接收到服务端的检测指令时，客户端开始进行本地的配置采集和上传。王华阳在文献[9]中提出了一种基于管理机-目标机的C/S架构，来进行安全基线配置的采集，在该架构中，管理机完成对基线的定制、转换、分发和监控，与接收管理机指令不同的是，目标机采用了一种定时任务的机制，周期性的对本地设备进行基线采集和上传，提高了采集的频度，并且在传输过程中通过利用UDP协议提升了传输的性能。张震、冯伟、颜金韬在文献[11]中通过分析中国移动通信集团公司的系统安全配置核查工具，指出了其在面对海量系统（服务器千量）环境时，传统单线程点对点工作模式存在的性能低下问题，并通过分析国内知名安全厂商的云扫描产品的运行方式，提出了基于云扫描的安全配置核查机制。在该核查机制中，所有待核查主机和安全基线核查主设备组成一个核查云，每一台主机都是一个云端，云端具有自发核查能力，并能够主动发起核查，并将核查结果通过网络发送给主设备节点进行分析和处理，经过测试，基于云扫描的配置核查体系具有极高的效率，能够在实际应用中节省大量时间成本。

   （二）国外研究现状

国外在安全基线理论方面的研究相对国内来说比较早。在1995年，Kevin J. Fitzgerald就在文献[12]中对安全基线作出了相关性的研究，针对安全三要素，也即可用性，保密性，完整性方面，对计算机面临的安全威胁作出了概括，包括软件配置错误导致的系统整体性风险等；并指出，通过积累业界最佳实践，形成符合企业自身的安全基线准则，来防范安全威胁。Robert Mavretich在文献[13]中提出了一种基于CIS基线标准来建设企业安全管理系统的方法，文中指出，通过在ISO 27001的整体安全框架之下，通过实施CIS基线标准，配合应用CIS检测及打分工具，能够对企业整体基线安全进行评估，确定风险所在。CIS标准发展到今天，已经成为全世界在安全基线建设方面都必须参考的重要依据，并且CIS目前已经支持像VMware，Docker容器这样的业界最新技术。Stewart James在文献[14]中，通过应用CIS基线标准，结合利用QualysGuard基线采集工具对企业安全配置进行统一采集和管理，该工具基于B/S架构，用户通过在页面制定自定义化的基线策略，通过填入远程主机的地址，用户名和口令等进行自动化的采集，并最终通过WEB端的报表模块对基线符合情况进行输出。

CIS作为目前世界权威的安全基线配置规范，已经有很多国内的安全厂商对CIS规范都作了一定程度的引用，根据自身情况对其中的规范内容作了修改和优化。目前随着CIS规范不断扩充内容，深入云安全领域，对国内的安全研究人员以及对本文的研究来说，都提供了非常重要和有价值的参考。

   （三）发展趋势

云计算技术发展到今天，已经是非常成熟的技术了，但是云安全领域却依然是一个充满未知和挑战的新领域。

云环境下的安全问题不同于传统安全领域的问题，有很多尚待被发现和解决的难题。在这其中，云环境下的安全基线作为整个云安全最基础也最重要的一环，它的建设意义就显得非同一般。

在当今的云计算环境下，容器技术异军突起，特别是以Docker为核心的容器技术的广泛应用，以其高可扩展性，动态伸缩能力，以及相比传统虚拟机更加轻量化的特点，得到了云服务商的大量应用，给整个云计算环境注入了新的活力。与此同时，安全对于容器来说极为重要，基于容器技术的安全基线检测工具也将会有很广阔的应用前景，具体表现在以下2个方面：

    1) 应用Docker容器所带来的安全问题近几年来不断产生，类似由于管理员的配置错误导致容器逃逸，进而有机会使黑客获得整个宿主平台的最高权限；或者由于没有限制容器之间的互相可访问性，导致宿主平台上容器之间的东西向攻击。这些问题都可以通过配置基线核查来解决，目前国内安全厂商还没有对容器进行基线核查的先例，过去的研究也都集中于对配置基线核查的采集方式进行优化和改进，没有对容器本身的基线核查进一步作出相关研究。

    2) 基线安全核查工具利用容器技术进行分布式的部署也是未来可能的发展方向，比如通过利用容器技术中的镜像技术，将基线采集工具制作成一个完整的容器镜像，并上传到本地私有容器镜像仓库中，在需要核查的节点上，将镜像文件自动拉取到本地运行，这种方式可以极大地节省配置和部署时间。

容器技术作为一种新兴且发展迅速的技术，通过与传统安全配置基线工具的结合，一定会成为云计算安全领域一个重要的研究领域。相信随着不断的深入学习和探索，在研究基于容器技术的安全基线检测工具方面，未来一定会为云计算安全领域作出贡献。

二、^范文提纲

1.绪论

1.1.安全基线采集工具的发展趋势和应用领域

1.2.主流安全基线采集工具的分析

1.2.1.基于单线程点对点的基线采集工具

1.2.2.基于C/S架构的基线采集工具

1.3.基于Docker容器技术的分布式安全基线采集工具的研究意义

2.总体方案和设计原理

2.1.技术框架阐述

2.1.1.架构设计图

2.1.2. Go语言简介

2.1.3. RPC远程过程调用

2.2.数据流转过程

2.2.1.数据流转流程图

2.3.功能设计

2.3.1.任务注册模块

2.3.2.任务发现模块

2.3.3.任务执行模块

2.3.4.基线脚本模块

2.3.5.加密模块

2.3.6.调度模块

3.基线采集工具的Docker容器化部署

3.1.Docker容器技术的简介

3.2.采用容器化部署的优势

3.3.制作基线采集工具的容器镜像

3.3.1.编写镜像Dockefile文件

3.3.2.本地私有仓库准备

3.3.3.定制镜像导入过程

4.系统的测试

4.1.测试环境准备

4.2.测试过程

4.3.测试结果

5.结论总结

三、参考文献

[1]马玉军，郝军. Linux Bash编程与脚本应用实战[M].清华大学：清华大学出版社.2015:120-270

[2]郝林.Go并发编程实战[M].人民邮电出版社，2015:330-490

[3]许式伟.Go语言编程[M].人民邮电出版社，2012:98-137

[4] 李丹，李云.安全基线管理在企业中的应用[J].民营科技，2013(11):6

[5] 刘兰，朱程容.政务终端安全基线管理系统的设计和实现[J].计算机和现代化，2013(2):173-176

[6]黄志宏，巫莉莉，张波，李西明.校园信息安全建设中安全基线的研究与应用[J].重庆理工大学学报（自然科学），2014(10):74-76

[7]张玉清，王晓菲，刘雪峰，刘玲.云计算环境安全综述[J].软件学报，2016，27(6):1328-1348

[8]冯登国，张敏，张妍，徐震.云计算安全研究[J].软件学报，2011，22(1):71-83

[9]王华阳.跨域环境下安全基线的部署与监控技术研究[Z].万方数据知识平台. ://.wanfangdata.com.cn/. 2004年10月11日

[10]王利丽.基于云计算模式的系统安全配置管理工具的设计与实现[Z].万方数据知识平台. ://.wanfangdata.com.cn/. 2015年11月

[11]张震，冯伟，颜金韬.一种基于云扫描技术的系统安全配置基线核查机制及方法[Z].万方数据知识平台. ://.wanfangdata.com.cn/. 2012年02月

[12]Kevin J. Fitzgerald.Information Security baselines[J].Information Management & Computer Security，1995(2):8-12

[13]Robert Mavretich.Using the Center for Internet Security(CIS) Benchmarks to Support an Information Security Management System[J].The SANS Instiute，2012(1):4-10

[14]Stewart James.Auditing for Policy Compliance with QualysGuard and CIS Benchmarks[J].The SANS Institute，2011(3):1-9