云計算高校數(shù)據(jù)中心建設(shè)及安全性研究

蘇俊堅

（梧州職業(yè)學(xué)院 廣西壯族自治區(qū)梧州市 543002）

1 概述高校云計算體系架構(gòu)

高?；诨ヂ?lián)網(wǎng)技術(shù)構(gòu)建云計算數(shù)據(jù)中心，再構(gòu)建運(yùn)架構(gòu)以此合理利用互聯(lián)網(wǎng)資源。為了保障數(shù)據(jù)安全，建立健全數(shù)據(jù)監(jiān)測系統(tǒng)有效監(jiān)控云數(shù)據(jù)輸入與輸出，對保障整個系統(tǒng)安全發(fā)揮著重要的作用。如圖1 所示為高校云計算體系架構(gòu)圖。該圖示中，可以發(fā)現(xiàn)圍繞高校網(wǎng)絡(luò)服務(wù)公有云開展各項工作，通過操作客戶端為云端發(fā)送服務(wù)請求，在通過云端虛擬化系統(tǒng)按需分配資源。數(shù)據(jù)安全工作中，數(shù)據(jù)篩選中心工作在于服務(wù)系統(tǒng)操作同時保障數(shù)據(jù)中心安全，系統(tǒng)不用再搭配殺毒軟件客戶端就會有更高的運(yùn)行速度。云數(shù)據(jù)篩選系統(tǒng)運(yùn)行中，控制系統(tǒng)與防火墻保障了云體系架構(gòu)安全，直接影響著整個系統(tǒng)運(yùn)行性能。云數(shù)據(jù)中心利用互聯(lián)網(wǎng)與云計算資源，通過機(jī)器人與人為相結(jié)合的控制方式嚴(yán)格篩選數(shù)據(jù)，滿足要求后方可進(jìn)入客戶端為用戶提供更好地服務(wù)。

2 云計算背景下高校數(shù)據(jù)中心發(fā)展現(xiàn)狀

高校信息化發(fā)展中，建立了人事管理、教務(wù)、科研及學(xué)工等各類信息化平臺與系統(tǒng)，其范圍覆蓋高校整個日常工作業(yè)務(wù)層面。傳統(tǒng)數(shù)據(jù)中心存在一些問題，比如有很高的能源損耗率，系統(tǒng)管理缺乏穩(wěn)定的可靠性與擴(kuò)展性，而且自愿使用效率不高。隨著現(xiàn)代信息技術(shù)的快速發(fā)展，現(xiàn)階段數(shù)據(jù)中心經(jīng)歷了數(shù)據(jù)機(jī)房、數(shù)據(jù)中心、信息中心以及云計算中心等幾個階段。其中，數(shù)據(jù)機(jī)房階段是存放大型主機(jī)，便于集中儲存并處理業(yè)務(wù)數(shù)據(jù)，其功能比較簡單。數(shù)據(jù)中心階段，擴(kuò)大了機(jī)房規(guī)模，開展核心計算工作實施集中管理與維護(hù)。信息中心階段是利用互聯(lián)網(wǎng)模式，其具備一定的核心能力與業(yè)務(wù)支撐能力，可用性強(qiáng)。云計算中心階段隨著服務(wù)器與網(wǎng)絡(luò)設(shè)備的快速擴(kuò)張，應(yīng)用系統(tǒng)與數(shù)據(jù)量明顯增加，因而在數(shù)據(jù)中心中開始應(yīng)用云計算與虛擬化技術(shù)。

隨著數(shù)據(jù)中心規(guī)模的擴(kuò)大于功能的完善，云計算及虛擬化技術(shù)的應(yīng)用，利于高校數(shù)據(jù)中心有效整合計算機(jī)、儲存及其它網(wǎng)絡(luò)等方面的資源，實現(xiàn)動態(tài)化分配資源，是新時期數(shù)據(jù)中心建設(shè)的根本要求，主要體現(xiàn)在：

（1）資源使用效率提高，規(guī)避資源重復(fù)。以云計算為核心的新一代數(shù)據(jù)中心構(gòu)建新硬件平臺時不用引入新服務(wù)器設(shè)備，應(yīng)用虛擬化技術(shù)與云計算軟件整合現(xiàn)有計算機(jī)、儲存與網(wǎng)絡(luò)等方面的資源，就可結(jié)合實際教學(xué)業(yè)務(wù)需求布置虛擬機(jī)，該系統(tǒng)是邏輯上獨立但物理上聚合的模式，為學(xué)校管理與教學(xué)提供了更大的便利。一定程度上節(jié)約了成本投入，管理效率與資源使用效率明顯提高。

（2）應(yīng)用整合平臺共享互通相關(guān)戶數(shù)。云計算數(shù)據(jù)中心可有效整合各類平臺與應(yīng)用、優(yōu)化管理且新建、遷移更加方便，共享系統(tǒng)數(shù)據(jù)。

（3）穩(wěn)定與安全性得到提高。云計算數(shù)據(jù)中心應(yīng)用虛擬化技術(shù)分布調(diào)度各類資源，保障平臺穩(wěn)定運(yùn)行。借助數(shù)據(jù)中心、安全控制與備份等手段為系統(tǒng)運(yùn)行提供可靠與安全性保障。

3 高校云數(shù)據(jù)中心建立關(guān)鍵技術(shù)

3.1 虛擬化技術(shù)

云計算中該技術(shù)非常重要，從架構(gòu)方面為云計算提供了支撐，借助計算機(jī)服務(wù)器、網(wǎng)絡(luò)與內(nèi)存等實體資源，將抽象化內(nèi)容轉(zhuǎn)換為形象化資源并呈現(xiàn)給用戶，確保用戶以不同方式應(yīng)用此類資源。該技術(shù)優(yōu)勢在于現(xiàn)有資源與環(huán)境不會對虛擬資源帶來影響，其主要包含虛擬化網(wǎng)絡(luò)、硬件、內(nèi)存、CPU 與應(yīng)用系統(tǒng)等。

3.2 編程模型

為了確保大量用戶同時并發(fā)，云計算要利用相應(yīng)的編程模型完成特定用戶目標(biāo)與任務(wù)，復(fù)雜底層設(shè)計中任務(wù)觸發(fā)城府快速響應(yīng)并完成相應(yīng)的調(diào)度，用戶獲得更好地體驗感。

3.3 數(shù)據(jù)分布儲存技術(shù)

云計算服務(wù)用戶對象多，面對海量數(shù)據(jù)，借助分布式體系結(jié)構(gòu)保障其儲存方式與安全性，GFS 與Hadoop 為用戶提供了可行性儲存模式。數(shù)據(jù)儲存于不同地方，網(wǎng)絡(luò)中某一結(jié)點設(shè)備發(fā)生故障，就可保障數(shù)據(jù)儲存安全并及時恢復(fù)。

3.4 云計算管理平臺技術(shù)

實際工作中，云服務(wù)器有不同的地理位置，分散于各個獨立地數(shù)據(jù)中心中，而如何統(tǒng)一管理與分配此類大數(shù)據(jù)已成為云計算面臨的首要問題。利用云計算平臺實現(xiàn)統(tǒng)一管理與協(xié)調(diào)，為用戶提供持續(xù)而穩(wěn)定的云服務(wù)。

4 云計算背景下高校數(shù)據(jù)中心設(shè)計及實現(xiàn)

4.1 服務(wù)器虛擬化計算系統(tǒng)

服務(wù)器虛擬化是計算資源實現(xiàn)虛擬化的重要手段，現(xiàn)階段vSphere 虛擬化平臺是各高校應(yīng)用比較廣的一種方式。其是市場上用于生產(chǎn)環(huán)境服務(wù)器唯一虛擬化套件。該技術(shù)創(chuàng)建的儲存池是高效且靈活的，很大程度上使得儲存操作過程簡化，同時為基礎(chǔ)結(jié)構(gòu)各項功能儲存奠定了基礎(chǔ)，是虛擬環(huán)境中儲存系統(tǒng)的應(yīng)用與管理提供了保障。系統(tǒng)設(shè)計首先要完善功能，然后是改善系統(tǒng)性能。判斷一個系統(tǒng)設(shè)計是不是合理，其能否滿足客戶需求是關(guān)鍵。其次，系統(tǒng)可擴(kuò)展與容錯性，逐步改變并完善用戶需求。盡可能不改變系統(tǒng)整體結(jié)構(gòu)，以此滿足各業(yè)務(wù)活動需求。

4.2 云服務(wù)網(wǎng)絡(luò)系統(tǒng)

高校云計算數(shù)據(jù)中心中，相較之網(wǎng)絡(luò)與傳統(tǒng)數(shù)據(jù)中心，網(wǎng)絡(luò)資源調(diào)用旨在為云數(shù)據(jù)服務(wù)，并非面針對復(fù)雜物理底層設(shè)施進(jìn)行設(shè)計的。網(wǎng)絡(luò)虛擬化采用網(wǎng)絡(luò)設(shè)備調(diào)用方式將數(shù)據(jù)中心從物理位置與狀態(tài)脫離出來，這是云計算構(gòu)架中IT 資源池化的重要過程?；诔袚?dān)的業(yè)務(wù)與應(yīng)用特點，這就使得高校數(shù)據(jù)中心網(wǎng)絡(luò)系統(tǒng)形式，要充分考慮傳統(tǒng)校園網(wǎng)的接入，還要對數(shù)據(jù)中心網(wǎng)絡(luò)接入做好評估。高校數(shù)據(jù)中心設(shè)計網(wǎng)絡(luò)系統(tǒng)時，可圍繞大規(guī)模數(shù)據(jù)中心交換機(jī)，同時為虛擬機(jī)系統(tǒng)平臺配置軟交換機(jī)，使得虛擬化網(wǎng)絡(luò)運(yùn)行質(zhì)量更加完善。

4.3 云計算儲存系統(tǒng)

云計算數(shù)據(jù)儲存方式以分布式儲存位置，減小了服務(wù)器穩(wěn)定性，但有很高的可靠性與性能要求。數(shù)據(jù)中心中，儲存器是核心構(gòu)成與系統(tǒng)運(yùn)行的前提，其自身性能直接影響著系統(tǒng)運(yùn)行，因而數(shù)據(jù)中心建設(shè)過程中儲存系統(tǒng)的發(fā)展與完善的關(guān)鍵。一方面，要結(jié)合運(yùn)算量全面分析其合理儲存容量，同時還要注意系統(tǒng)I/O 性能。

4.4 云計算安全交付應(yīng)用系統(tǒng)

高校數(shù)據(jù)中心中，交付系統(tǒng)的安全應(yīng)用是非常必要的。交付系統(tǒng)的安全應(yīng)用即SSA，主要指在用戶端發(fā)布客戶高效、安全、智能與可靠的關(guān)鍵應(yīng)用信息。通過負(fù)載均衡、加速、Web 安全及優(yōu)化連接等技術(shù)，保障數(shù)據(jù)中心核心業(yè)務(wù)系統(tǒng)應(yīng)用效率、安全性與可用性，為數(shù)據(jù)中心基礎(chǔ)設(shè)施節(jié)省成本投入，維護(hù)復(fù)雜度，同時降低能源損耗。實際工作中要謹(jǐn)慎選擇虛擬化安全產(chǎn)品，此方案中應(yīng)用Deep Security，綜合安全系統(tǒng)服務(wù)器及應(yīng)用程序功能，整合虛擬機(jī)管控中心，資源計算效率得到了很大的提高。

4.5 云管理平臺系統(tǒng)

數(shù)據(jù)中心中云管理平臺負(fù)責(zé)管理與調(diào)配資源，加強(qiáng)各資源池負(fù)載交付工作的管理。是實現(xiàn)LAAS 的重要環(huán)節(jié)。云管理平臺可對各類資源提供統(tǒng)一化的管理借口，集中管理系統(tǒng)各資源池，其功能涉及資源管理、監(jiān)控、故障監(jiān)測及數(shù)據(jù)統(tǒng)計等相關(guān)工作。建立云管理平臺時，可在vSphere 第三方軟件為云計算系統(tǒng)提供支撐并有效連接基礎(chǔ)設(shè)施構(gòu)架。

5 云計算背景下高校數(shù)據(jù)中心安全性

5.1 云計算架構(gòu)體系的安全性

云計算研究中，安全問題是熱點與難點問題，良好的云計算架構(gòu)為云計算安全奠定了基礎(chǔ)。其具有明顯的優(yōu)勢，主要表現(xiàn)為：

（1）設(shè)計方面，硬件資源儲存中，網(wǎng)絡(luò)服務(wù)物理層面上有效分離數(shù)據(jù)篩選控制及儲存管理網(wǎng)絡(luò)資源，只有網(wǎng)絡(luò)資源請求獲得數(shù)據(jù)中心審核并確認(rèn)安全后，用戶方可正常使用。

（2）數(shù)據(jù)備份中心承擔(dān)著備份整個網(wǎng)絡(luò)配置的功能，管理日志中記錄網(wǎng)絡(luò)異常，還會統(tǒng)計用戶資源使用類型與頻率，為后期優(yōu)化配置用戶資源奠定基礎(chǔ)。

（3）為合作高校開辟了專用渠道。因合作高校訪問安全可信度高，因而只要限制一般防火墻就可保障通道效率。

5.2 數(shù)據(jù)中心的安全性

云計算安全架構(gòu)主要包含：

（1）云數(shù)據(jù)中心建設(shè)過程中，安全隔離尤其是邏輯隔離是網(wǎng)絡(luò)安全首要任務(wù)。云體系架構(gòu)設(shè)計過程中，通過云數(shù)據(jù)篩選中心儲存并控制數(shù)據(jù)，有效監(jiān)控數(shù)據(jù)使用情況。

（2）統(tǒng)一的策略，以此加強(qiáng)防護(hù)系統(tǒng)各層面安全。

（3）數(shù)據(jù)中心的可靠與可擴(kuò)展性，與計算機(jī)與系統(tǒng)性能的提高保持一致，形成統(tǒng)一界面便于用戶控制界面。

（4）驗證權(quán)限，數(shù)據(jù)中心應(yīng)用過程中，客戶服務(wù)端到篩選控制數(shù)據(jù)儲存中心包含2 次驗證，第一次是驗證客戶端客戶是否具備數(shù)據(jù)訪問權(quán)限，還有一次是取用數(shù)據(jù)時，客戶合法操作數(shù)據(jù)，以此確保合適的人在合適的實踐獲得數(shù)據(jù)中心內(nèi)外部資源，此過程中認(rèn)證與授權(quán)是必不可少的。

（5）數(shù)據(jù)中心的虛擬化安全控制，在同一服務(wù)池中納入所有安全服務(wù)，從內(nèi)到外保護(hù)一個數(shù)據(jù)中心，還要注意各用戶及業(yè)務(wù)間做好安全防護(hù)。

5.3 基礎(chǔ)網(wǎng)絡(luò)的安全性

數(shù)據(jù)中心中，為用戶統(tǒng)一打包并提供網(wǎng)絡(luò)、儲存、計算與帶寬等相關(guān)資源，有效防護(hù)此類基礎(chǔ)物理設(shè)施安全是關(guān)鍵。其主要包含：基本物理環(huán)境方面的安全防護(hù)；開啟并預(yù)防交換機(jī)設(shè)備的安全特性方面的網(wǎng)絡(luò)安全攻擊，比如ARP 與MAC 地址攻擊等；數(shù)據(jù)中心網(wǎng)絡(luò)接入口基礎(chǔ)安全防護(hù)與DDos 攻擊防護(hù)，尤其是其攻擊服務(wù)，單純防護(hù)用戶使用情況無法保障實際效果，數(shù)據(jù)中心要綜合考慮此類影響基礎(chǔ)設(shè)施安全的風(fēng)險。

5.4 用戶訪問的安全性

用戶要登錄客戶服務(wù)端操作，比如基礎(chǔ)安全防護(hù)策略的設(shè)置，控制訪問關(guān)鍵服務(wù)器的權(quán)限，自動化配置用戶身份認(rèn)證加密協(xié)議、虛擬機(jī)資源、管理員權(quán)限及日志等。該流程要向自服務(wù)模型遷移方便用戶使用。在此基礎(chǔ)上，數(shù)據(jù)中心自身要嚴(yán)格確認(rèn)客戶自服務(wù)操作身份，做好用戶保密，各用戶間設(shè)置安全隔離，記錄用戶關(guān)鍵安全事件，為后期跟蹤追溯問題奠定基礎(chǔ)。

5.5 虛擬化服務(wù)器安全性

服務(wù)器虛擬化時，可能會將單臺物理服務(wù)器虛化為不同虛擬機(jī)并提供給不同客戶使用，此類虛擬機(jī)被看做是共享基礎(chǔ)設(shè)施，對系統(tǒng)用戶而言CPU 與緩存等組件并非完全隔離。任何客戶虛擬機(jī)漏洞如果被黑客利用，就會影響整個物理服務(wù)器虛擬機(jī)正常運(yùn)行，同時各虛擬機(jī)管理平臺如果管理軟件出現(xiàn)安全漏洞，并遭到不法分子使用并攻擊云計算整個服務(wù)器資源，使得云計算運(yùn)行癱瘓。因而，做好公用基礎(chǔ)設(shè)施安全防護(hù)是十分必要的。

5.6 工作人員安全培訓(xùn)與行為審計

為了保障用戶數(shù)據(jù)安全，高校數(shù)據(jù)中心要利用SLA 保證用戶數(shù)據(jù)安全。另外，為內(nèi)部操作人員做好技術(shù)與管理方面的安全培訓(xùn)。嚴(yán)格制定安全制度，強(qiáng)化內(nèi)部人員用戶數(shù)據(jù)安全意識。同時采用相關(guān)技術(shù)手段持續(xù)監(jiān)控內(nèi)部人員安全操作、事件、修改管理及用戶授權(quán)訪問等日志，為后期解決安全事件提供可靠的參考。

6 結(jié)束語

綜上所述，高校云基礎(chǔ)架構(gòu)中，安全部署云計算數(shù)據(jù)中心是非常重要的。云計算安全數(shù)據(jù)中心要注意環(huán)境、技術(shù)與管理方面的安全，通過防火墻及入侵檢測等相關(guān)設(shè)備增強(qiáng)靜態(tài)保護(hù)能力；利用備份或容災(zāi)手段，盡可能降低故障造成的損失。同時，還要強(qiáng)化主動防御能力，及時發(fā)現(xiàn)攻擊并快速恢復(fù)被破壞的系統(tǒng)。借助各類策略部署構(gòu)建完整的多元化的體系有效防護(hù)云計算數(shù)據(jù)中心。當(dāng)前，伴隨云計算技術(shù)的快速發(fā)展，在全面規(guī)劃基礎(chǔ)上方可為云數(shù)據(jù)中心建立有效的防御體系，保障數(shù)據(jù)中心安全穩(wěn)定的運(yùn)行。