褚慶軍 程德強 孫惠麗 趙 康 李曉東

教育考試云計算安全體系構(gòu)建探析

褚慶軍 程德強 孫惠麗 趙 康 李曉東

根據(jù)云計算面臨的用戶安全、網(wǎng)絡(luò)安全、應(yīng)用架構(gòu)安全、數(shù)據(jù)安全、云環(huán)境安全等風險，提出從用戶層、數(shù)據(jù)層、業(yè)務(wù)服務(wù)層和基礎(chǔ)層4個維度構(gòu)建教育考試云平臺安全防護體系，以解決教育考試領(lǐng)域應(yīng)用云計算技術(shù)所面臨的安全問題。

教育考試；云計算；云安全

1 引言

隨著云計算的不斷普及，安全問題日益凸顯[1-2]，成為企業(yè)關(guān)注的焦點?；ヂ?lián)網(wǎng)數(shù)據(jù)中心（IDC）在2010年對企業(yè)用戶的調(diào)查顯示，用戶對公共云計算服務(wù)的主要擔憂就是安全問題。近年來，云服務(wù)提供商頻頻出現(xiàn)各種安全事件。2008年2月25日，Amazon數(shù)據(jù)中心出現(xiàn)網(wǎng)絡(luò)服務(wù)宕機事件，使得幾千個依賴亞馬遜云計算的網(wǎng)站受到嚴重影響；2009年3月，Google發(fā)生大批用戶文件外泄事件[3]；2014年微軟Azure云服務(wù)在全球范圍內(nèi)遭遇重大宕機事件。上述問題說明，云計算在極大地方便用戶和企業(yè)廉價使用存儲資源、軟件資源、計算資源的同時，也同樣面臨著巨大的安全問題。要使企業(yè)和政府放心地將自己的服務(wù)和數(shù)據(jù)運行在云端，就必須全面地分析并著手解決云計算所面臨的各種安全問題。

近年來，教育考試應(yīng)用不斷向Web方式發(fā)展，基于互聯(lián)網(wǎng)的管理與服務(wù)模式已經(jīng)成為教育考試業(yè)務(wù)和服務(wù)系統(tǒng)的基本方式，應(yīng)用系統(tǒng)的不斷上線和數(shù)據(jù)維護任務(wù)的需求使得云平臺逐漸代替了過去的離散化計算資源管理。由于教育考試對數(shù)據(jù)安全和服務(wù)嚴密性的特定要求，云計算環(huán)境的安全問題對教育考試領(lǐng)域顯得尤為重要。

2 教育考試業(yè)務(wù)系統(tǒng)與云計算需求

目前，教育考試領(lǐng)域的應(yīng)用系統(tǒng)基本可以分為考試業(yè)務(wù)開放式系統(tǒng)、考試關(guān)鍵信息系統(tǒng)和考試環(huán)境安全保障三大類型。

考試業(yè)務(wù)開放式管理與服務(wù)主要包括開放式考試管理和考生服務(wù)，如網(wǎng)上報名繳費、網(wǎng)上考試管理（編場、打印準考證、考務(wù)指揮等）、網(wǎng)上填報志愿、錄取去向查詢。考試業(yè)務(wù)管理是直接面對考生和基層管理人員的業(yè)務(wù)運行體系，關(guān)系著考生的個人利益和權(quán)益，尤其是對于高考這樣的高利害性考試，服務(wù)的質(zhì)量直接影響考試的公平公正和社會穩(wěn)定。因此，網(wǎng)絡(luò)環(huán)境的保障越來越成為考驗系統(tǒng)實施的重要基礎(chǔ)。

關(guān)鍵業(yè)務(wù)的信息處理系統(tǒng)主要指敏感性強、保密性強和處理過程復(fù)雜度高的應(yīng)用系統(tǒng)，這些業(yè)務(wù)需要使用大規(guī)模的計算資源并進行嚴格的保密性管理，一般使用專網(wǎng)或內(nèi)部局域網(wǎng)，如命題信息管理、網(wǎng)上閱卷、成績數(shù)據(jù)處理、錄取系統(tǒng)、歸檔信息管理等。關(guān)鍵信息是衡量考試成功與否的基本要求，是保證考試科學(xué)、公平、公正的基礎(chǔ)，由于業(yè)務(wù)需求增長和開發(fā)技術(shù)變遷，現(xiàn)在的技術(shù)模式對網(wǎng)絡(luò)環(huán)境需求越來越復(fù)雜，對計算資源的配置和管理要求也越來越嚴格。

在考試安全保障方面，目前已經(jīng)實現(xiàn)了考場巡查、身份認證、視頻會議等系統(tǒng)，這些系統(tǒng)對實施考試十分重要。盡管信息內(nèi)容的保密性和敏感性沒有前面兩個方面那樣高，但占用網(wǎng)絡(luò)資源較多，覆蓋的使用機構(gòu)和地理區(qū)域十分廣泛。目前，國家教育考試已經(jīng)構(gòu)筑了覆蓋全國31個省級考試機構(gòu)的教育考試專網(wǎng)，實現(xiàn)了國家、省、地市三級視頻指揮，31個省份啟動并建設(shè)了覆蓋40多萬個考場的網(wǎng)上巡查系統(tǒng)，全國試卷保密室實現(xiàn)了網(wǎng)上監(jiān)控。在應(yīng)用系統(tǒng)方面，考務(wù)綜合管理系統(tǒng)、突發(fā)事件應(yīng)急處置系統(tǒng)和考試服務(wù)系統(tǒng)、國家教育考試誠信系統(tǒng)投入正式運行，自學(xué)考試信息管理系統(tǒng)、社會證書考試管理系統(tǒng)和海外考試網(wǎng)上報名系統(tǒng)的上線運行為考試業(yè)務(wù)實現(xiàn)科學(xué)、規(guī)范、高效的管理提供了有力支撐。

如上所述，目前教育考試應(yīng)用具有上線周期較長、資源變化劇烈、部署時間要求嚴格的特點。當有多個考試項目并行推進時，對計算資源的調(diào)度和管理成為沉重的負擔，考試機構(gòu)的網(wǎng)絡(luò)中心面臨越來越多的設(shè)備和系統(tǒng)管理壓力。在不斷推進分布式、虛擬化等技術(shù)的過程中，網(wǎng)絡(luò)支撐平臺正在逐漸向云計算方向發(fā)展，云平臺會給網(wǎng)絡(luò)資源管理和服務(wù)支撐帶來很大的提升，但同時也會面臨許多新的挑戰(zhàn)，其中安全風險成為不可回避的話題。

3 云計算環(huán)境的安全問題

由于互聯(lián)網(wǎng)的開放特性和技術(shù)的快速發(fā)展，任何一個計算環(huán)境都面臨安全性的考驗。云環(huán)境由于其特殊的部署和使用模式，也面臨內(nèi)部或外部的很多安全威脅，主要表現(xiàn)在以下幾個方面的問題。

3.1 用戶安全

在云平臺運維模式下，用戶通過自己的賬戶管理自己的資源，雖然在不同的用戶之間進行網(wǎng)絡(luò)隔離，在賬戶及權(quán)限控制上做了相應(yīng)的限制，但是一旦發(fā)生賬戶的泄露，便會威脅到整個用戶系統(tǒng)的安全。

3.2 網(wǎng)絡(luò)安全

開放類業(yè)務(wù)服務(wù)運行在公網(wǎng)之上，與傳統(tǒng)開放式服務(wù)應(yīng)用一樣，云計算的網(wǎng)絡(luò)環(huán)境同樣會面臨各種類型的攻擊，主要有SQL注入、瀏覽器安全問題、泛洪攻擊等。由于云平臺用戶、信息資源的高度集中，容易成為黑客攻擊的目標。

3.3 應(yīng)用架構(gòu)安全

目前云平臺還沒有建立針對業(yè)務(wù)系統(tǒng)本身的完善防御體系，對業(yè)務(wù)應(yīng)用的安全支撐存在一定風險。一方面云平臺的安全漏洞可能會波及到應(yīng)用系統(tǒng)的安全，同時應(yīng)用系統(tǒng)的漏洞也可能會威脅到整個云平臺的安全和穩(wěn)定。

在教育考試領(lǐng)域中，各個省都根據(jù)自身的需求開發(fā)了相應(yīng)的業(yè)務(wù)系統(tǒng)，但多數(shù)都面臨架構(gòu)老化、腳本控件版本較低等問題，導(dǎo)致教育考試類應(yīng)用無論從軟件成熟度還是系統(tǒng)的健壯度上，與大型廠商所開發(fā)的業(yè)務(wù)系統(tǒng)差距較大，部署到云平臺之中后，不但對自身的安全產(chǎn)生較大威脅，還會對云平臺的安全產(chǎn)生威脅。同時，目前教育考試業(yè)務(wù)系統(tǒng)基本上是按傳統(tǒng)架構(gòu)進行構(gòu)建，使用云平臺時，一般只是簡單遷移到云平臺之上，沒有針對云計算環(huán)境特性進行結(jié)構(gòu)演化調(diào)整，缺乏系統(tǒng)云化重構(gòu)和結(jié)構(gòu)沖突分析，很多結(jié)構(gòu)的適應(yīng)性還有待于考證分析和驗證，“云平臺+傳統(tǒng)結(jié)構(gòu)系統(tǒng)”組合方式的穩(wěn)定性令人擔憂。

3.4 數(shù)據(jù)安全

由于云計算環(huán)境的高度虛擬化，使得對數(shù)據(jù)保護、隔離和監(jiān)控的難度變得十分困難，很多部門或企業(yè)的系統(tǒng)中存在敏感性私有數(shù)據(jù)。因此，目前業(yè)界對云平臺推廣的擔憂主要集中在數(shù)據(jù)的安全可靠性方面。

3.5 云環(huán)境安全

云環(huán)境中，用戶可以根據(jù)自己的需要申請不同的資源，但目前大多數(shù)云平臺在安全層面的個性化管理和服務(wù)功能開放的權(quán)限較小或者沒有提供，而通用安全策略可能無法滿足特定業(yè)務(wù)的全面需求。例如，在高考報名業(yè)務(wù)模式下，存在學(xué)校集體報名的情況，這種模式在Web攻擊層面體現(xiàn)為CC攻擊，如果不能進行個性化的安全防護策略設(shè)置，便會走向兩個極端，要么不防護，要么防護過度，從而影響業(yè)務(wù)的正常運行。

從云平臺的虛擬化支撐環(huán)境來看，理論上也面臨著一些安全性威脅：（1）虛擬化跳躍，是指通過同一物理機下的其他虛擬機對目標虛擬機實施的攻擊；（2）虛擬機逃逸，是指虛擬機內(nèi)的程序可能會逃出到虛擬機以外，危及主機安全；（3）拒絕服務(wù)，虛擬機和主機共享同一系統(tǒng)資源，拒絕服務(wù)攻擊可能會通過虛擬機獲取主機上的所有資源，將資源耗盡影響主機及其他虛擬機的正常運行。這些問題在不同廠商的云系統(tǒng)中可能會表現(xiàn)不同，隨著云系統(tǒng)的不斷發(fā)展，這些問題也在改進完善中，但很多問題需要認真分析，防患于未然。

目前，教育考試領(lǐng)域正在推進的業(yè)務(wù)模式改革較多，新的業(yè)務(wù)模式對計算環(huán)境都會提出更高的需求。盡管云平臺解決了業(yè)務(wù)系統(tǒng)面臨的資源調(diào)度效率和分布式、動態(tài)伸縮架構(gòu)支持的問題，但網(wǎng)上巡查、遷移工作流、智能識別、計算機化考試等應(yīng)用系統(tǒng)都對云平臺的安全可靠性提出了更高的要求，解決好這些問題是教育考試領(lǐng)域面臨的必然挑戰(zhàn)和重要課題。

4 教育考試云平臺安全防控體系構(gòu)建

云安全聯(lián)盟（CSA）在《云計算中關(guān)鍵領(lǐng)域的安全指南》（Security Guidance For Critical Areas Of Focus In Cloud Computing V3.0）[4]中提出了一個云安全控制模型。這個模型將云安全風險分為物理安全風險、計算安全風險、可信計算安全風險、網(wǎng)絡(luò)安全風險、管理安全風險、存儲安全風險和應(yīng)用安全風險7類?；诮逃荚噾?yīng)用的特殊需求，結(jié)合CSA構(gòu)建的模型，從用戶層、數(shù)據(jù)層、業(yè)務(wù)服務(wù)層和基礎(chǔ)層4個維度分析構(gòu)建教育考試云平臺安全防護體系，見圖1。

圖1 教育考試云平臺安全防護體系

4.1 用戶層安全

教育考試的開放式應(yīng)用中存在大量自行注冊登錄的用戶，這些用戶的身份需要嚴格的認證手段，同時其個人信息需要得到充分保護。由于云平臺中集中了大量數(shù)據(jù)資源，內(nèi)部用戶的身份和權(quán)限也需要嚴密管理。用戶層的安全防控可采取以下措施：（1）用戶認證：使用數(shù)字證書認證與VPN認證技術(shù)相結(jié)合的認證模式，雙重認證提升認證安全。開放式用戶使用高級的網(wǎng)頁驗證碼和手機驗證碼，確保用戶的身份。在身份認證方面，尤其要注意在開放式用戶環(huán)境下，考生信息被他人識破或攻擊的隱患。（2）授權(quán)管理：針對所使用的云計算資源實行集中式授權(quán)方式，對不同的用戶進行細顆粒度的授權(quán)策略。針對教育考試應(yīng)用的特殊安全需求，在傳統(tǒng)通用防護手段的基礎(chǔ)上，使用虛擬化防火墻等技術(shù)，使不同的用戶獲得虛擬防護設(shè)備的策略設(shè)置權(quán)限，有針對性地進行安全策略的限制。（3）訪問控制與資源隔離：通過網(wǎng)絡(luò)分區(qū)劃分、SDN技術(shù)，從網(wǎng)絡(luò)層進行用戶訪問控制，結(jié)合授權(quán)管理將細顆粒的授權(quán)融入訪問控制之中，強化權(quán)限管理與資源隔離。同時，使訪問控制機制同步適應(yīng)不斷變換的網(wǎng)絡(luò)環(huán)境，采用動態(tài)適合性訪問控制策略，如角色訪問委托等[5]，實現(xiàn)外域角色與本域角色的映射和轉(zhuǎn)換，建立有效方式保障跨域安全。考試系統(tǒng)中各層管理機構(gòu)（包括省、市、縣區(qū)、考點）都具有一定的管理職能，訪問控制和資源需要進行嚴格的控制和隔離，不能跨越所管理的資源和時限。

4.2 數(shù)據(jù)層安全

保障數(shù)據(jù)安全的方式主要是加密和冗余，前者是為了防止數(shù)據(jù)暴露和泄密，后者是為了保障虛擬環(huán)境下數(shù)據(jù)飄移造成的系統(tǒng)不可恢復(fù)。（1）數(shù)據(jù)加密。在存儲和傳輸中使用有效的加密手段可以保障數(shù)據(jù)的安全性。為了保障用戶的數(shù)據(jù)在傳輸過程中不被劫持解密，應(yīng)該使用HTTPS/SSL/TLS方式進行傳輸。在云環(huán)境中，可以根據(jù)業(yè)務(wù)系統(tǒng)的需求使用數(shù)據(jù)庫防火墻及加密機等加密設(shè)備對數(shù)據(jù)進行有針對性的防護。有些關(guān)鍵信息需要使用單向加密，如用戶登錄密碼的保護，但需要注意密碼的可靠性和強度。在教育招生考試系統(tǒng)中，針對加密算法，建議盡量使用國家標準密碼體系，如SM3等。（2）數(shù)據(jù)容災(zāi)。云計算數(shù)據(jù)中心存儲了與業(yè)務(wù)系統(tǒng)相關(guān)的各類信息，其容災(zāi)角度應(yīng)滿足文件級及系統(tǒng)級的備份恢復(fù)要求。除了硬件自身的RAID技術(shù)外，異地災(zāi)備也是云計算服務(wù)商或者私有云平臺需要著重考慮的技術(shù)方式。應(yīng)該注意的是，分布式云數(shù)據(jù)中心的概念正在不斷發(fā)展，教育考試領(lǐng)域可以根據(jù)區(qū)域規(guī)劃，實現(xiàn)異地多數(shù)據(jù)中心云化，在領(lǐng)域云上保障數(shù)據(jù)的可靠性。

4.3 業(yè)務(wù)服務(wù)層安全

業(yè)務(wù)維度分為云平臺本身和用戶部署的業(yè)務(wù)系統(tǒng)兩個方面。云平臺本身的服務(wù)安全主要指IaaS、PaaS、SaaS的安全。這三層服務(wù)的安全主要依靠云平臺自身的安全機制并根據(jù)實際業(yè)務(wù)需求進行個性化的防護解決。業(yè)務(wù)系統(tǒng)自身的安全性要考慮技術(shù)與管理密切結(jié)合。業(yè)務(wù)系統(tǒng)上線前，需進行滲透測試、架構(gòu)分析、代碼審計等工作，排除由于系統(tǒng)設(shè)計所產(chǎn)生的安全問題。對業(yè)務(wù)系統(tǒng)所使用的中間件等工具，需進行定期的檢查和更新，避免由于第三方軟件導(dǎo)致的安全隱患。針對業(yè)務(wù)需求的不斷變化，還應(yīng)建立開發(fā)安全管理和研究支撐機制，從設(shè)計開發(fā)水平方面提升代碼的安全級別。教育考試領(lǐng)域應(yīng)該注意發(fā)展專業(yè)化團隊，建立區(qū)域云數(shù)據(jù)中心，提高安全技術(shù)服務(wù)和安全系統(tǒng)設(shè)計的整體能力。在建設(shè)自身安全體系的同時，與專業(yè)服務(wù)密切結(jié)合，做到內(nèi)力與外力共同構(gòu)建安全的業(yè)務(wù)服務(wù)。

4.4 基礎(chǔ)層安全

基礎(chǔ)層包括網(wǎng)絡(luò)層和物理層，目前這兩個層次主要面臨的是破壞性攻擊、管理問題和可靠性問題。（1）基礎(chǔ)網(wǎng)絡(luò)安全。關(guān)鍵設(shè)備冗余、鏈路聚合等是提供基礎(chǔ)層可靠性的重要措施，為了提高基礎(chǔ)網(wǎng)絡(luò)防攻擊能力，也需要部署IPS、FW、IDS、DDOS等安全設(shè)備，確保云平臺的服務(wù)持續(xù)性。（2）物理安全。云數(shù)據(jù)中心會受到電力、設(shè)備、消防、空調(diào)、建筑等多方面的物理制約，任何一個方面出現(xiàn)問題都將導(dǎo)致對業(yè)務(wù)的沖擊，需要采取電力冗余、設(shè)備熱備、消防空調(diào)檢測、建筑檢測等措施構(gòu)建物理安全防護體系，目的是一方面盡量避免物理故障，另一方面建立應(yīng)急機制，保障出現(xiàn)問題后能在最短的時間內(nèi)恢復(fù)。

5 展望

教育考試領(lǐng)域應(yīng)用云計算技術(shù)目前尚處于發(fā)展階段，很多技術(shù)實現(xiàn)模式和方式需要深入探討和驗證，如云服務(wù)模式、私有云與共有云融合、分布式云數(shù)據(jù)中心等。對安全問題的認識和研究也有一個不斷發(fā)展的過程，跟蹤出現(xiàn)的安全問題和存在的隱患，分析總結(jié)技術(shù)問題并找出應(yīng)對措施，才能構(gòu)建可信賴的安全體系。

本文提出的教育考試云平臺安全防控體系建設(shè)方式，可以解決教育考試領(lǐng)域應(yīng)用云計算技術(shù)所面臨的安全問題，但是很多方面還需要在具體實施中結(jié)合教育考試云計算環(huán)境和不斷出現(xiàn)的安全技術(shù)理念、產(chǎn)品進行總結(jié)分析。安全問題的挑戰(zhàn)永遠存在，構(gòu)建安全計算環(huán)境是考試領(lǐng)域需要一直追求和努力的目標。

[1]張玉清,王曉菲,劉雪峰,劉玲.云計算環(huán)境安全綜述[J].軟件學(xué)報,2016,27（6）:1328-1348.

[2]KHALIL I M,KHREISHAH A,AZEEM M.Cloud computing security:A survey[J].IEEE computers,2014,3（1）:1-15.

[3]馮登國,張敏,張妍,徐震.云計算安全研究[J].軟件學(xué)報,2011, 22（1）:71-83.

[4]CSA.Security Guidance For Critical Areas Of Focus In Cloud Computing V3.0[EB/OL].[2016-10-20].https://cloundsecurityalliance. org/guidance/casguide.v3.0pdf.

[5]袁家斌,魏利利,曾青華.面向移動終端的云計算跨域訪問委托模型[J].軟件學(xué)報,2013,24（3）:564-574.

Building a Cloud Computing Security System for Education Examinations

CHU Qingjun，CHENG Deqiang，SUN Huili，ZHAO Kang&LI Xiaodong

In consideration of the risks that may arise in cloud computing of user security,network security, application architecture security,data security,cloud environment security and so on,this study proposes to address security concerns surrounding the application of cloud computing technology in education examinations by building a cloud platform security system from four dimensions,namely the user layer,the data layer,the business service layer and the infrastructure layer.

Education Examinations;Cloud Computing;Cloud Security

G405

A

1005-8427（2016）12-0014-5

（責任編輯：陳睿）

本文系全國教育科學(xué)“十二五”規(guī)劃2011年度教育部重點課題“云計算技術(shù)在教育考試中的應(yīng)用研究”（批準號：GFA111005）的研究成果。

褚慶軍，男，教育部考試中心，助理研究員（北京 100084）

程德強，男，山東省教育招生考試院，助理研究員（濟南 250011）

孫惠麗，女，教育部考試中心，工程師（北京 100084）

趙 康，男，山東省教育招生考試院，研究實習(xí)員（濟南 250011）

李曉東，男，山東省教育招生考試院，副研究員（濟南 250011）