趙輝

摘 要：隨著現(xiàn)代化社會經(jīng)濟的飛速發(fā)展，推動了信息技術(shù)水平的不斷提升，諸多信息技術(shù)被廣泛用于教育教學中。計算機虛擬化技術(shù)被廣泛用于智慧校園建設(shè)，而此項信息技術(shù)有效提高了學校數(shù)字服務(wù)管理水平，智慧校園網(wǎng)是基于數(shù)字校園而發(fā)展的，其間具備云計算安全技術(shù)。學校應(yīng)全面分析智慧校園網(wǎng)建設(shè)情況，并基于云計算技術(shù)特點構(gòu)建多層次云計算安全體系，強調(diào)物理環(huán)境、網(wǎng)絡(luò)、數(shù)據(jù)與管理等方面問題的重要性，本文分析了智慧校園網(wǎng)的云計算安全體系架構(gòu)，并提出了實用性應(yīng)用措施，為智慧校園網(wǎng)構(gòu)建提供參考依據(jù)。

關(guān)鍵詞：智慧校園;云計算;云安全架構(gòu)

1 引言

云計算技術(shù)于智慧校園中的應(yīng)用，可推動教育事業(yè)的持續(xù)發(fā)展，其有效解決了校園網(wǎng)未能解決的維護與安全問題，亦是校園信息技術(shù)應(yīng)用的重要內(nèi)容。盡管我國智慧校園網(wǎng)發(fā)展飛速，但其間云計算安全體系架構(gòu)存在諸多不足之處，因此探討智慧校園網(wǎng)的云計算安全體系架構(gòu)，對現(xiàn)代校園構(gòu)建有著極大現(xiàn)實意義。

2 云安全架構(gòu)設(shè)計

在云計算環(huán)境下為了確保云桌面平臺的網(wǎng)絡(luò)安全，制定了多方位、多層次的網(wǎng)絡(luò)安全防護體系。在安全框架、網(wǎng)絡(luò)安全、虛擬化安全、數(shù)據(jù)安全、管理安全這五個層次進行分級防護。下面將對這五個層次防護設(shè)計作出詳細的介紹：

2.1 安全框架

為保障云平臺安全，利用層次化和深層的防御思想構(gòu)建于數(shù)據(jù)中心的安全框架，按照網(wǎng)絡(luò)的不同層次規(guī)劃為：物理、虛擬化主機、網(wǎng)絡(luò)、數(shù)據(jù)和業(yè)務(wù)、維護與管理等幾個層面，整體上具有一定的合規(guī)性，部署云數(shù)據(jù)中心的安全性方案。

2.2 網(wǎng)絡(luò)安全

云數(shù)據(jù)中心通過網(wǎng)絡(luò)提供對外服務(wù)，面臨來自互聯(lián)網(wǎng)絡(luò)的各種安全威脅，如各種類型的DDOS攻擊和用戶數(shù)據(jù)遭竊聽和篡改等，如何抵御這些威脅，是云數(shù)據(jù)中心安全可靠運營的前提保障。

1）安全域劃分與網(wǎng)絡(luò)隔離。建設(shè)物理隔離的涉密網(wǎng)、無線教學網(wǎng)和物聯(lián)網(wǎng)。涉密網(wǎng)聯(lián)接軍隊內(nèi)網(wǎng)，確保網(wǎng)絡(luò)性能和安全性，為大數(shù)據(jù)平臺和云服務(wù)環(huán)境提供支撐;無線教學網(wǎng)建設(shè)在安全可控區(qū)域，實行實名認證，以支撐智慧型的移動應(yīng)用;物聯(lián)網(wǎng)連接探測器、攝像頭和監(jiān)控網(wǎng)絡(luò)，實現(xiàn)智能后勤、人員定位和智能一卡通應(yīng)用。

2）建立DMZ（Demilitarized zone）區(qū)。在數(shù)據(jù)中心與外網(wǎng)訪問之間對不安全的系統(tǒng)和安全的系統(tǒng)設(shè)置一個緩沖區(qū)，通過數(shù)據(jù)中心內(nèi)外網(wǎng)之間的小型網(wǎng)絡(luò)區(qū)域內(nèi)存放這個緩沖區(qū)，以部門能夠在外網(wǎng)內(nèi)公開的服務(wù)器必須放置在這個小型的區(qū)域內(nèi)，同時通過DMZ區(qū)的功能，對內(nèi)部網(wǎng)絡(luò)的防護更加有效。

3）數(shù)據(jù)傳輸安全。數(shù)據(jù)被偽造、竊聽和監(jiān)視、中斷、盜用、篡改、復制等一些列的安全性問題都可能在其傳輸?shù)倪^程中發(fā)生，為此，數(shù)據(jù)在網(wǎng)絡(luò)中進行傳輸應(yīng)對其進行加密和備份確保其秘密性和完整性，制定相應(yīng)的安全傳輸協(xié)議確保用戶接收到的數(shù)據(jù)安全有效不被非法獲取和篡改。

2.3 虛擬化安全

1）虛擬機隔離設(shè)計。虛擬機隔離指同一物理機上不同虛擬機之間的資源隔離，是虛擬化能夠?qū)嶋H應(yīng)用的基本特征之一。隔離包括CPU、內(nèi)存、內(nèi)部網(wǎng)絡(luò)隔離和磁盤I/O等的隔離。

2）對賬號進行操作、維護、授權(quán)和管理。管理員賬戶在云管理平臺能否實現(xiàn)周期性的管理。通過管理者提供的一個缺省的超級管理員賬戶（admin），以便創(chuàng)建其他的子賬戶并自定義手續(xù)其相應(yīng)的賬戶權(quán)限。支持角色管理功能和基于角色的授權(quán)功能，目前云管理系統(tǒng)支持三種角色定義：超級管理員、操作維護管理員、游客，分別對應(yīng)不同的權(quán)限控制。

3）云平臺操作系統(tǒng)的裁剪和加固。云平臺各虛擬化服務(wù)器的操作系統(tǒng)均進行了針對性的模塊裁剪、安全加固和安全設(shè)置，只安裝業(yè)務(wù)需要的組件，其它無關(guān)組件一律不安裝，盡可能減少HostOS的安全漏洞。

4）安全配置。各虛擬化服務(wù)器的操作系統(tǒng)（HostOS）參考CIS（Center for Internet Security）Linux操作系統(tǒng)安全benchmark（基準，參照）進行了安全配置：如關(guān)閉不安全的服務(wù)，設(shè)置賬號密碼復雜度策略、合理設(shè)置文件和目錄的權(quán)限等等。

5）安全補丁管理。通過網(wǎng)站上查找經(jīng)過測試的操作系統(tǒng)補丁包，由維護管理人員定期下載和安裝操作系統(tǒng)補丁。

6）惡意虛擬機防護。防止惡意虛擬機的地址欺騙：對Hypervisor的vSwitch中IP地址和MAC地址在虛擬機中進行綁定，對虛擬機發(fā)送的報文進行限制，使其智能發(fā)送本機內(nèi)報文，有效阻止在虛擬機內(nèi)的ARP地址欺騙和IP地址欺騙。

2.4 數(shù)據(jù)安全

保障數(shù)據(jù)中心安全的核心是其內(nèi)部的數(shù)據(jù)安全。為保證中心內(nèi)部用戶數(shù)據(jù)的安全存儲和傳輸，云數(shù)據(jù)中心通過對數(shù)據(jù)存儲域進行安全隔離、設(shè)置安全訪問控制權(quán)限等一些列措施保障數(shù)據(jù)安全。

1）數(shù)據(jù)卷訪問控制。卷與卷之間相互獨立，各種擁有其自身的訪問權(quán)限，系統(tǒng)為每個數(shù)據(jù)卷定義了不同的訪問策略，使用者如需訪問該卷需要有相應(yīng)的操作權(quán)限才能訪問。

2）接入存儲節(jié)點的安全性認證。訪問存儲節(jié)點執(zhí)行iSCSI標準，采用CHAP認證模式大幅度提高應(yīng)用服務(wù)器訪問存儲系統(tǒng)的安全性。

3）剩余數(shù)據(jù)徹底擦除。在卷卸載釋放和重新分配的前期，對卷的數(shù)據(jù)進行徹底的數(shù)據(jù)格式化，確保卷上數(shù)據(jù)的安全。對刪除用戶和文件對象的存儲區(qū)進行數(shù)據(jù)擦出，將數(shù)據(jù)標示為只可寫，使其不能夠進行非法的恢復。

4）數(shù)據(jù)多重備份。云數(shù)據(jù)中心的每一份數(shù)據(jù)進行存儲都將采用多重備份機制，數(shù)據(jù)存儲在云端本地各類存儲單元即便出現(xiàn)故障，數(shù)據(jù)也不會丟失，操作系統(tǒng)也能夠不受干擾正常運轉(zhuǎn)。

5）SAN設(shè)備承載下的數(shù)據(jù)保險箱技術(shù)。數(shù)據(jù)保險箱技術(shù)可以保證SAN設(shè)備在遭遇意外斷電時數(shù)據(jù)和完整性和安全性需求。猶如其名它是一個能夠存儲遭遇意外狀況而未寫入硬盤的Cache數(shù)據(jù)以及各類系統(tǒng)的配置信息，將其寫入到其內(nèi)，可通過外部的各類因素協(xié)助完成數(shù)據(jù)和恢復和處理。

2.5 管理安全

智慧校園網(wǎng)的云計算安全體系架構(gòu)管理工作十分關(guān)鍵，此項體系非常龐大，管理工作亦復雜多變，為了能夠確保數(shù)據(jù)安全，確保服務(wù)連續(xù)性，相關(guān)人員應(yīng)根據(jù)學校的實際情況提出針對性管理策略，并為此構(gòu)建科學有效的管理制度，以安全審計系統(tǒng)防止入侵，并詳細記錄各方面內(nèi)容，確保各項維護工作有序開展，從而提高事后審查能力。

3 結(jié)束語

智慧校園建設(shè)將云計算及虛擬技術(shù)有效結(jié)合，確保智慧校園網(wǎng)中的資源極具共享性，可充分用于各項教學實踐中，為信息傳輸提供良好的環(huán)境，促使校園數(shù)據(jù)資源信息實時共享。多層次安全防護體系架構(gòu)適應(yīng)了學校師生對數(shù)據(jù)共享的需求，確保云計算服務(wù)極具連續(xù)性，為智慧校園網(wǎng)云安全平臺構(gòu)建提供參考依據(jù)。