智慧校園云平臺(tái)多層次安全防護(hù)設(shè)計(jì)

趙輝

摘 要：隨著現(xiàn)代化社會(huì)經(jīng)濟(jì)的飛速發(fā)展，推動(dòng)了信息技術(shù)水平的不斷提升，諸多信息技術(shù)被廣泛用于教育教學(xué)中。計(jì)算機(jī)虛擬化技術(shù)被廣泛用于智慧校園建設(shè)，而此項(xiàng)信息技術(shù)有效提高了學(xué)校數(shù)字服務(wù)管理水平，智慧校園網(wǎng)是基于數(shù)字校園而發(fā)展的，其間具備云計(jì)算安全技術(shù)。學(xué)校應(yīng)全面分析智慧校園網(wǎng)建設(shè)情況，并基于云計(jì)算技術(shù)特點(diǎn)構(gòu)建多層次云計(jì)算安全體系，強(qiáng)調(diào)物理環(huán)境、網(wǎng)絡(luò)、數(shù)據(jù)與管理等方面問題的重要性，本文分析了智慧校園網(wǎng)的云計(jì)算安全體系架構(gòu)，并提出了實(shí)用性應(yīng)用措施，為智慧校園網(wǎng)構(gòu)建提供參考依據(jù)。

關(guān)鍵詞：智慧校園;云計(jì)算;云安全架構(gòu)

1 引言

云計(jì)算技術(shù)于智慧校園中的應(yīng)用，可推動(dòng)教育事業(yè)的持續(xù)發(fā)展，其有效解決了校園網(wǎng)未能解決的維護(hù)與安全問題，亦是校園信息技術(shù)應(yīng)用的重要內(nèi)容。盡管我國智慧校園網(wǎng)發(fā)展飛速，但其間云計(jì)算安全體系架構(gòu)存在諸多不足之處，因此探討智慧校園網(wǎng)的云計(jì)算安全體系架構(gòu)，對(duì)現(xiàn)代校園構(gòu)建有著極大現(xiàn)實(shí)意義。

2 云安全架構(gòu)設(shè)計(jì)

在云計(jì)算環(huán)境下為了確保云桌面平臺(tái)的網(wǎng)絡(luò)安全，制定了多方位、多層次的網(wǎng)絡(luò)安全防護(hù)體系。在安全框架、網(wǎng)絡(luò)安全、虛擬化安全、數(shù)據(jù)安全、管理安全這五個(gè)層次進(jìn)行分級(jí)防護(hù)。下面將對(duì)這五個(gè)層次防護(hù)設(shè)計(jì)作出詳細(xì)的介紹：

2.1 安全框架

為保障云平臺(tái)安全，利用層次化和深層的防御思想構(gòu)建于數(shù)據(jù)中心的安全框架，按照網(wǎng)絡(luò)的不同層次規(guī)劃為：物理、虛擬化主機(jī)、網(wǎng)絡(luò)、數(shù)據(jù)和業(yè)務(wù)、維護(hù)與管理等幾個(gè)層面，整體上具有一定的合規(guī)性，部署云數(shù)據(jù)中心的安全性方案。

2.2 網(wǎng)絡(luò)安全

云數(shù)據(jù)中心通過網(wǎng)絡(luò)提供對(duì)外服務(wù)，面臨來自互聯(lián)網(wǎng)絡(luò)的各種安全威脅，如各種類型的DDOS攻擊和用戶數(shù)據(jù)遭竊聽和篡改等，如何抵御這些威脅，是云數(shù)據(jù)中心安全可靠運(yùn)營的前提保障。

1）安全域劃分與網(wǎng)絡(luò)隔離。建設(shè)物理隔離的涉密網(wǎng)、無線教學(xué)網(wǎng)和物聯(lián)網(wǎng)。涉密網(wǎng)聯(lián)接軍隊(duì)內(nèi)網(wǎng)，確保網(wǎng)絡(luò)性能和安全性，為大數(shù)據(jù)平臺(tái)和云服務(wù)環(huán)境提供支撐;無線教學(xué)網(wǎng)建設(shè)在安全可控區(qū)域，實(shí)行實(shí)名認(rèn)證，以支撐智慧型的移動(dòng)應(yīng)用;物聯(lián)網(wǎng)連接探測器、攝像頭和監(jiān)控網(wǎng)絡(luò)，實(shí)現(xiàn)智能后勤、人員定位和智能一卡通應(yīng)用。

2）建立DMZ（Demilitarized zone）區(qū)。在數(shù)據(jù)中心與外網(wǎng)訪問之間對(duì)不安全的系統(tǒng)和安全的系統(tǒng)設(shè)置一個(gè)緩沖區(qū)，通過數(shù)據(jù)中心內(nèi)外網(wǎng)之間的小型網(wǎng)絡(luò)區(qū)域內(nèi)存放這個(gè)緩沖區(qū)，以部門能夠在外網(wǎng)內(nèi)公開的服務(wù)器必須放置在這個(gè)小型的區(qū)域內(nèi)，同時(shí)通過DMZ區(qū)的功能，對(duì)內(nèi)部網(wǎng)絡(luò)的防護(hù)更加有效。

3）數(shù)據(jù)傳輸安全。數(shù)據(jù)被偽造、竊聽和監(jiān)視、中斷、盜用、篡改、復(fù)制等一些列的安全性問題都可能在其傳輸?shù)倪^程中發(fā)生，為此，數(shù)據(jù)在網(wǎng)絡(luò)中進(jìn)行傳輸應(yīng)對(duì)其進(jìn)行加密和備份確保其秘密性和完整性，制定相應(yīng)的安全傳輸協(xié)議確保用戶接收到的數(shù)據(jù)安全有效不被非法獲取和篡改。

2.3 虛擬化安全

1）虛擬機(jī)隔離設(shè)計(jì)。虛擬機(jī)隔離指同一物理機(jī)上不同虛擬機(jī)之間的資源隔離，是虛擬化能夠?qū)嶋H應(yīng)用的基本特征之一。隔離包括CPU、內(nèi)存、內(nèi)部網(wǎng)絡(luò)隔離和磁盤I/O等的隔離。

2）對(duì)賬號(hào)進(jìn)行操作、維護(hù)、授權(quán)和管理。管理員賬戶在云管理平臺(tái)能否實(shí)現(xiàn)周期性的管理。通過管理者提供的一個(gè)缺省的超級(jí)管理員賬戶（admin），以便創(chuàng)建其他的子賬戶并自定義手續(xù)其相應(yīng)的賬戶權(quán)限。支持角色管理功能和基于角色的授權(quán)功能，目前云管理系統(tǒng)支持三種角色定義：超級(jí)管理員、操作維護(hù)管理員、游客，分別對(duì)應(yīng)不同的權(quán)限控制。

3）云平臺(tái)操作系統(tǒng)的裁剪和加固。云平臺(tái)各虛擬化服務(wù)器的操作系統(tǒng)均進(jìn)行了針對(duì)性的模塊裁剪、安全加固和安全設(shè)置，只安裝業(yè)務(wù)需要的組件，其它無關(guān)組件一律不安裝，盡可能減少HostOS的安全漏洞。

4）安全配置。各虛擬化服務(wù)器的操作系統(tǒng)（HostOS）參考CIS（Center for Internet Security）Linux操作系統(tǒng)安全benchmark（基準(zhǔn)，參照）進(jìn)行了安全配置：如關(guān)閉不安全的服務(wù)，設(shè)置賬號(hào)密碼復(fù)雜度策略、合理設(shè)置文件和目錄的權(quán)限等等。

5）安全補(bǔ)丁管理。通過網(wǎng)站上查找經(jīng)過測試的操作系統(tǒng)補(bǔ)丁包，由維護(hù)管理人員定期下載和安裝操作系統(tǒng)補(bǔ)丁。

6）惡意虛擬機(jī)防護(hù)。防止惡意虛擬機(jī)的地址欺騙：對(duì)Hypervisor的vSwitch中IP地址和MAC地址在虛擬機(jī)中進(jìn)行綁定，對(duì)虛擬機(jī)發(fā)送的報(bào)文進(jìn)行限制，使其智能發(fā)送本機(jī)內(nèi)報(bào)文，有效阻止在虛擬機(jī)內(nèi)的ARP地址欺騙和IP地址欺騙。

2.4 數(shù)據(jù)安全

保障數(shù)據(jù)中心安全的核心是其內(nèi)部的數(shù)據(jù)安全。為保證中心內(nèi)部用戶數(shù)據(jù)的安全存儲(chǔ)和傳輸，云數(shù)據(jù)中心通過對(duì)數(shù)據(jù)存儲(chǔ)域進(jìn)行安全隔離、設(shè)置安全訪問控制權(quán)限等一些列措施保障數(shù)據(jù)安全。

1）數(shù)據(jù)卷訪問控制。卷與卷之間相互獨(dú)立，各種擁有其自身的訪問權(quán)限，系統(tǒng)為每個(gè)數(shù)據(jù)卷定義了不同的訪問策略，使用者如需訪問該卷需要有相應(yīng)的操作權(quán)限才能訪問。

2）接入存儲(chǔ)節(jié)點(diǎn)的安全性認(rèn)證。訪問存儲(chǔ)節(jié)點(diǎn)執(zhí)行iSCSI標(biāo)準(zhǔn)，采用CHAP認(rèn)證模式大幅度提高應(yīng)用服務(wù)器訪問存儲(chǔ)系統(tǒng)的安全性。

3）剩余數(shù)據(jù)徹底擦除。在卷卸載釋放和重新分配的前期，對(duì)卷的數(shù)據(jù)進(jìn)行徹底的數(shù)據(jù)格式化，確保卷上數(shù)據(jù)的安全。對(duì)刪除用戶和文件對(duì)象的存儲(chǔ)區(qū)進(jìn)行數(shù)據(jù)擦出，將數(shù)據(jù)標(biāo)示為只可寫，使其不能夠進(jìn)行非法的恢復(fù)。

4）數(shù)據(jù)多重備份。云數(shù)據(jù)中心的每一份數(shù)據(jù)進(jìn)行存儲(chǔ)都將采用多重備份機(jī)制，數(shù)據(jù)存儲(chǔ)在云端本地各類存儲(chǔ)單元即便出現(xiàn)故障，數(shù)據(jù)也不會(huì)丟失，操作系統(tǒng)也能夠不受干擾正常運(yùn)轉(zhuǎn)。

5）SAN設(shè)備承載下的數(shù)據(jù)保險(xiǎn)箱技術(shù)。數(shù)據(jù)保險(xiǎn)箱技術(shù)可以保證SAN設(shè)備在遭遇意外斷電時(shí)數(shù)據(jù)和完整性和安全性需求。猶如其名它是一個(gè)能夠存儲(chǔ)遭遇意外狀況而未寫入硬盤的Cache數(shù)據(jù)以及各類系統(tǒng)的配置信息，將其寫入到其內(nèi)，可通過外部的各類因素協(xié)助完成數(shù)據(jù)和恢復(fù)和處理。

2.5 管理安全

智慧校園網(wǎng)的云計(jì)算安全體系架構(gòu)管理工作十分關(guān)鍵，此項(xiàng)體系非常龐大，管理工作亦復(fù)雜多變，為了能夠確保數(shù)據(jù)安全，確保服務(wù)連續(xù)性，相關(guān)人員應(yīng)根據(jù)學(xué)校的實(shí)際情況提出針對(duì)性管理策略，并為此構(gòu)建科學(xué)有效的管理制度，以安全審計(jì)系統(tǒng)防止入侵，并詳細(xì)記錄各方面內(nèi)容，確保各項(xiàng)維護(hù)工作有序開展，從而提高事后審查能力。

3 結(jié)束語

智慧校園建設(shè)將云計(jì)算及虛擬技術(shù)有效結(jié)合，確保智慧校園網(wǎng)中的資源極具共享性，可充分用于各項(xiàng)教學(xué)實(shí)踐中，為信息傳輸提供良好的環(huán)境，促使校園數(shù)據(jù)資源信息實(shí)時(shí)共享。多層次安全防護(hù)體系架構(gòu)適應(yīng)了學(xué)校師生對(duì)數(shù)據(jù)共享的需求，確保云計(jì)算服務(wù)極具連續(xù)性，為智慧校園網(wǎng)云安全平臺(tái)構(gòu)建提供參考依據(jù)。