堯榮恒

摘要：隨著數(shù)字化校園的建立，校園網(wǎng)信息化程度提高，信息安全也變得越來越重要。云安全技術(shù)依靠龐大的網(wǎng)絡(luò)服務(wù)，實(shí)時(shí)采集、分析和處理安全威脅，將成為校園網(wǎng)信息安全必然發(fā)展趨勢(shì)。文章首先闡述了云計(jì)算與云安全的概念，然后介紹了典型的云安全體系結(jié)構(gòu)，并對(duì)云安全對(duì)校園網(wǎng)的影響進(jìn)行了分析，提出了一種智能化的云安全體系架構(gòu)，最后分析了云安全實(shí)現(xiàn)的關(guān)鍵技術(shù)。

關(guān)鍵詞：云安全；云計(jì)算；校園網(wǎng)；體系結(jié)構(gòu)

1引言

隨著現(xiàn)在數(shù)字化校園的建立，校園網(wǎng)系統(tǒng)形成了多種類、多功能、多任務(wù)的計(jì)算機(jī)網(wǎng)絡(luò)，大量的數(shù)據(jù)依靠網(wǎng)絡(luò)進(jìn)行傳輸、處理和存儲(chǔ)，而這些數(shù)據(jù)的可靠性、安全性也就愈發(fā)重要。然而目前主流的校園網(wǎng)仍然基于傳統(tǒng)的殺毒軟件進(jìn)行安全防護(hù)，消耗大量存儲(chǔ)空間，缺乏自適應(yīng)能力，難以適應(yīng)網(wǎng)絡(luò)環(huán)境和資源的動(dòng)態(tài)變化。

云安全是基于云計(jì)算的計(jì)算模型，將整個(gè)網(wǎng)絡(luò)形成一個(gè)整體的安全防護(hù)系統(tǒng)，均衡了傳統(tǒng)網(wǎng)絡(luò)各級(jí)防護(hù)能力的差異，降低了對(duì)硬件依賴和減少了維護(hù)費(fèi)用。云安全將成為未來數(shù)字化校園信息安全的必然發(fā)展趨勢(shì)。本文首先闡述了云計(jì)算與云安全的概念，然后介紹了典型的云安全體系結(jié)構(gòu)，并對(duì)云安全應(yīng)用在校園網(wǎng)中的影響進(jìn)行了分析，提出了一種智能化的云安全體系架構(gòu)，最后對(duì)云安全的關(guān)鍵技術(shù)進(jìn)行了分析。

2云計(jì)算與云安全概述

2.1云計(jì)算的定義

云計(jì)算（cloud Computing）是基于互聯(lián)網(wǎng)的分布式處理、并行處理和網(wǎng)格計(jì)算的超級(jí)計(jì)算模式。它將單個(gè)用戶需要的數(shù)據(jù)處理、數(shù)據(jù)存儲(chǔ)和軟件應(yīng)用整合到互聯(lián)網(wǎng)上的大型數(shù)據(jù)處理中心，形成大規(guī)模的虛擬計(jì)算資源池，互聯(lián)網(wǎng)內(nèi)的用戶按需使用資源池內(nèi)的計(jì)算資源。完整的云計(jì)算是一個(gè)動(dòng)態(tài)的計(jì)算體系，提供托管的應(yīng)用程序環(huán)境，能夠動(dòng)態(tài)部署、動(dòng)態(tài)分配計(jì)算資源，并實(shí)時(shí)監(jiān)控資源的使用情況，將復(fù)雜的運(yùn)算以及其他的繁瑣功能都轉(zhuǎn)移到網(wǎng)絡(luò)上完成，極大的減小了用戶運(yùn)算壓力和終端成本。

2.2云安全的定義

云安全（Cloud Security）是將云計(jì)算的計(jì)算模型應(yīng)用于信息安全領(lǐng)域，它融合了并行處理、網(wǎng)格計(jì)算、未知病毒行為判斷等新興技術(shù)和概念。云安全通過互聯(lián)網(wǎng)將用戶和殺毒廠商技術(shù)平臺(tái)連結(jié)起來，網(wǎng)狀的大量客戶端就是監(jiān)測(cè)探針，對(duì)網(wǎng)絡(luò)中軟件的異常行為監(jiān)測(cè)，獲取互聯(lián)網(wǎng)中木馬、惡意程序的最新信息，并發(fā)送到云端服務(wù)器進(jìn)行自動(dòng)分析和處理，再把其解決方案分發(fā)到每一個(gè)客戶端，實(shí)現(xiàn)云查殺。云安全技術(shù)應(yīng)用后，識(shí)別和查殺病毒不再僅僅依靠本地硬盤中的病毒庫，而是依靠龐大的網(wǎng)絡(luò)服務(wù)，實(shí)時(shí)進(jìn)行采集、分析以及處理。整個(gè)互聯(lián)網(wǎng)就是一個(gè)巨大的“殺毒軟件”，參與者越多，每個(gè)參與者就越安全，整個(gè)互聯(lián)網(wǎng)就會(huì)更安全。--

目前，云安全的研究主要分兩個(gè)方向：一是云計(jì)算自身的安全也就是云計(jì)算安全，如云計(jì)算數(shù)據(jù)完整和機(jī)密性、云計(jì)算應(yīng)用服務(wù)安全、云計(jì)算安全體系架構(gòu)等。二是云計(jì)算在信息安全領(lǐng)域的應(yīng)用，稱為安全云計(jì)算，如基于云計(jì)算的木馬檢測(cè)技術(shù)、病毒防治技術(shù)等。本文主要從第+；y面進(jìn)行云安全的體系架構(gòu)研究。

2.3典型的云安全體系架構(gòu)

目前，瑞星、趨勢(shì)、卡巴斯基、McAfee等著名的安全軟件廠商都推出了各自的“云安全”產(chǎn)品，根據(jù)采用的技術(shù)不同，大體上可以分為兩大類：

（1）以瑞星“云安全”計(jì)劃為代表的被動(dòng)式防御：這類“云安全”體系的正常運(yùn)轉(zhuǎn)需要擁有海量的客戶端數(shù)量，瑞星“云安全”將用戶與瑞星技術(shù)平臺(tái)相連，每一個(gè)參與“云安全”計(jì)劃的客戶端都是“云安全”探針。一旦用戶終端監(jiān)測(cè)到可疑木馬，并上傳到瑞星“木馬/惡意軟件自動(dòng)分析系統(tǒng)”分析處理，瑞星安全資料庫將把結(jié)果、解決辦法分享給所有用戶。

（2）以趨勢(shì)科技推出的“Secure Cloud”云安全網(wǎng)絡(luò)為代表的主動(dòng)式防御：趨勢(shì)科技“云安全”網(wǎng)絡(luò)在全球建立5個(gè)數(shù)據(jù)中心和3.6萬臺(tái)服務(wù)器，主動(dòng)分析惡意程序，在云端網(wǎng)絡(luò)主動(dòng)阻止惡意程序到達(dá)網(wǎng)絡(luò)或計(jì)算機(jī)。采用該“云安全”網(wǎng)絡(luò)防護(hù)，使客戶端不必時(shí)刻更新特征碼病毒庫，而是依靠強(qiáng)大的病毒庫全球網(wǎng)絡(luò)。

3云安全對(duì)數(shù)字化校園信息安全的影響

隨著校園網(wǎng)內(nèi)的新型設(shè)備的不斷增多，多種業(yè)務(wù)的應(yīng)用與服務(wù)將越來越依控網(wǎng)絡(luò)。因此，提供一個(gè)安全、快捷的網(wǎng)絡(luò)環(huán)境是發(fā)展數(shù)字化校園的基礎(chǔ)性工程。通過云安全與校園網(wǎng)的結(jié)合，必然會(huì)對(duì)校園網(wǎng)的發(fā)展產(chǎn)生深刻的影響。

（1）節(jié)省校園網(wǎng)建設(shè)成本。傳統(tǒng)的校園網(wǎng)信息安全硬件系統(tǒng)建設(shè)，需要大量的病毒庫服務(wù)器、交換機(jī)、防火墻設(shè)備，硬件成本較大，后期維護(hù)費(fèi)用較高，且受網(wǎng)絡(luò)結(jié)構(gòu)限制不利于升級(jí)轉(zhuǎn)型。通過采用云安全技術(shù)，只需根據(jù)業(yè)務(wù)需要搭建云安全體系的中心數(shù)據(jù)平臺(tái)，而無須在用戶終端添加額外的硬件設(shè)備和承擔(dān)維護(hù)費(fèi)。

（2）高效的信息安全防護(hù)。校園網(wǎng)雖然與互聯(lián)網(wǎng)等其他網(wǎng)絡(luò)物理隔離，但是網(wǎng)站大都基于ASP技術(shù)開發(fā)，采用通用數(shù)據(jù)庫，這就使得網(wǎng)站存在嚴(yán)重安全漏洞。在云安全系統(tǒng)下，云安全分析處理中心能隨時(shí)監(jiān)測(cè)掃描網(wǎng)絡(luò)中的惡意軟件行為，并立即自動(dòng)分發(fā)解決方案給所有終端，突破了傳統(tǒng)的人工定期更新病毒庫來查殺病毒的手段，節(jié)省了終端的存儲(chǔ)空間，自動(dòng)高效的完成校園網(wǎng)的信息安全防護(hù)。

（3）網(wǎng)絡(luò)自愈能力增強(qiáng)。當(dāng)校園網(wǎng)中出現(xiàn)病毒時(shí)，被感染的終端會(huì)立即將病毒樣本提交到“云端”的分析處理中心，經(jīng)過分析后，會(huì)自動(dòng)匹配合適的解決方案并將殺毒程序傳送給終端，不需要去關(guān)閉整個(gè)網(wǎng)絡(luò)，使校園網(wǎng)時(shí)刻保持通暢狀態(tài)，方便使用。

4數(shù)字化校園的云安全體系架構(gòu)

在數(shù)字化校園中構(gòu)建云安全體系，需要分析校園網(wǎng)的結(jié)構(gòu)特點(diǎn)和應(yīng)用背景，由于現(xiàn)有的校園網(wǎng)內(nèi)設(shè)備眾多，形成了多種相對(duì)獨(dú)立的異構(gòu)子網(wǎng)，這就為云安全系統(tǒng)的實(shí)現(xiàn)提供了很好的構(gòu)建條件。目前主流的兩種云安全體系結(jié)構(gòu)也有局限性：瑞星云安全計(jì)劃實(shí)質(zhì)上是一種被動(dòng)式防御，由于主要依賴客戶端的異常監(jiān)測(cè)，分發(fā)病毒解決方案時(shí)一部分用戶已經(jīng)遭受攻擊；趨勢(shì)科技的云安全網(wǎng)絡(luò)，依靠自身功能強(qiáng)大的集群服務(wù)器監(jiān)測(cè)威脅，但是覆蓋和監(jiān)測(cè)范圍還是有局限，而且集群服務(wù)器的成本和維護(hù)費(fèi)用都很高。

針對(duì)以上典型云安全體系出現(xiàn)的弊端，從提高云安全體系中用戶的同步防御能力，以及節(jié)約系統(tǒng)成本和維護(hù)費(fèi)用的角度出發(fā)，借鑒云計(jì)算的思想，結(jié)合校園網(wǎng)的結(jié)構(gòu)特點(diǎn)，本文提出了一種改進(jìn)型的云安全體系架構(gòu)，如圖1所示。

在圖1中，整個(gè)云安全體系包括多個(gè)自治的私有云，各私有云都連接到含有分析處理中心服務(wù)器的公共云。云安全體系中的每個(gè)用戶都是監(jiān)測(cè)探針，同時(shí)也是整個(gè)體系的組成部分。當(dāng)私有云A中用戶1受到病毒威脅時(shí)，首先協(xié)同私有云A內(nèi)的其余用戶共同判斷威脅的類型，如果存在于私有云A內(nèi)已知病毒庫，將在更短時(shí)間找出解決方案并發(fā)送給本私有云內(nèi)的其他用戶。各結(jié)構(gòu)不同的私有云通過公共云互相通信，也能在第一時(shí)間獲取對(duì)同一類威脅的防御能力。系統(tǒng)檢測(cè)流程如圖2所示。

改進(jìn)后的云安全體系使每個(gè)用戶成為具有自主運(yùn)算能力的探針，提高了受病毒攻擊用戶的防御響應(yīng)能力，安全性更強(qiáng)。同時(shí)，充分利用了云安全體系中每個(gè)用戶空閑的運(yùn)算能力，只需為每個(gè)用戶安裝云計(jì)算客戶端和相關(guān)病毒庫的擴(kuò)充，就可使每一個(gè)用戶分布式協(xié)同完成病毒方案，降低了云安全中心的集群服務(wù)器負(fù)載；各私有云與公共云互聯(lián)通信，保證整個(gè)體系的穩(wěn)定運(yùn)轉(zhuǎn)，也降低了整個(gè)體系的運(yùn)行維護(hù)成本，才可能實(shí)現(xiàn)“感知即破解”信息安全防御效果。

5云安全系統(tǒng)實(shí)現(xiàn)的關(guān)鍵技術(shù)

5.1云數(shù)據(jù)存儲(chǔ)技術(shù)

為了保證高效、高可靠性的云安全系統(tǒng)，通常對(duì)數(shù)據(jù)進(jìn)行分布式存儲(chǔ)，使用冗余存儲(chǔ)技術(shù)保證存儲(chǔ)數(shù)據(jù)的可靠性。同時(shí)，云安全系統(tǒng)能夠?yàn)榇罅坑脩籼峁┕δ軓?qiáng)大的病毒特征庫數(shù)據(jù)，要求數(shù)據(jù)存儲(chǔ)技術(shù)要有高吞吐率和高傳輸率的特點(diǎn)。

5.2云數(shù)據(jù)管理技術(shù)

云安全系統(tǒng)中的數(shù)據(jù)管理技術(shù)能夠高效的在海量數(shù)據(jù)中查找特定數(shù)據(jù)、確保數(shù)據(jù)的安全性，如數(shù)據(jù)隔離、數(shù)據(jù)加密及密鑰、身份認(rèn)證和訪問管理，保障用戶信息的可用性、保密性和完整性等。

5.3虛擬機(jī)安全技術(shù)

云安全系統(tǒng)利用虛擬化技術(shù)模糊云端分析處理中心與用戶端的界限，為用戶提供隔離的安全防護(hù)。虛擬機(jī)安全、虛擬網(wǎng)絡(luò)安全以及Hypervisor的安全問題都會(huì)直接影響到云安全系統(tǒng)的健壯性。目前已有的虛擬機(jī)安全架構(gòu)有Hypervisor架構(gòu)sHype、可信虛擬機(jī)監(jiān)視器TVMM、入侵檢測(cè)系統(tǒng)Livewire等。

5.4先進(jìn)的病毒識(shí)別算法

云安全系統(tǒng)通過分布式計(jì)算所能判斷的病毒代碼多數(shù)是已知類型的變種，必須采用更加先進(jìn)的病毒識(shí)別算法，實(shí)現(xiàn)對(duì)未知威脅的自動(dòng)判斷。借鑒自主學(xué)習(xí)的模式識(shí)別原理，與其他安全軟件的算法融合，形成具有自主學(xué)習(xí)判斷能力的病毒識(shí)別算法，增加對(duì)未知安全威脅的自適應(yīng)能力。

6結(jié)語

未來數(shù)字化校園的信息化程度不斷提高，對(duì)校園網(wǎng)提供更加全面有效的信息安全防護(hù)就顯得十分重要。云安全作為信息安全領(lǐng)域的新技術(shù)，能夠快速、高效的實(shí)現(xiàn)對(duì)整體網(wǎng)絡(luò)的智能化防護(hù)，將成為未來校園網(wǎng)信息安全領(lǐng)域的發(fā)展必然趨勢(shì)。云安全體系結(jié)構(gòu)設(shè)計(jì)是復(fù)雜的工程，文章論述了這種新型網(wǎng)絡(luò)安全體系的原理、設(shè)計(jì)了體系架構(gòu)和討論了實(shí)現(xiàn)的關(guān)鍵技術(shù)，為未來校園網(wǎng)信息安全防護(hù)建設(shè)打下了基礎(chǔ)。