云安全在數字化校園中的體系構建

堯榮恒

摘要：隨著數字化校園的建立，校園網信息化程度提高，信息安全也變得越來越重要。云安全技術依靠龐大的網絡服務，實時采集、分析和處理安全威脅，將成為校園網信息安全必然發展趨勢。文章首先闡述了云計算與云安全的概念，然后介紹了典型的云安全體系結構，并對云安全對校園網的影響進行了分析，提出了一種智能化的云安全體系架構，最后分析了云安全實現的關鍵技術。

關鍵詞：云安全；云計算；校園網；體系結構

1引言

隨著現在數字化校園的建立，校園網系統形成了多種類、多功能、多任務的計算機網絡，大量的數據依靠網絡進行傳輸、處理和存儲，而這些數據的可靠性、安全性也就愈發重要。然而目前主流的校園網仍然基于傳統的殺毒軟件進行安全防護，消耗大量存儲空間，缺乏自適應能力，難以適應網絡環境和資源的動態變化。

云安全是基于云計算的計算模型，將整個網絡形成一個整體的安全防護系統，均衡了傳統網絡各級防護能力的差異，降低了對硬件依賴和減少了維護費用。云安全將成為未來數字化校園信息安全的必然發展趨勢。本文首先闡述了云計算與云安全的概念，然后介紹了典型的云安全體系結構，并對云安全應用在校園網中的影響進行了分析，提出了一種智能化的云安全體系架構，最后對云安全的關鍵技術進行了分析。

2云計算與云安全概述

2.1云計算的定義

云計算（cloud Computing）是基于互聯網的分布式處理、并行處理和網格計算的超級計算模式。它將單個用戶需要的數據處理、數據存儲和軟件應用整合到互聯網上的大型數據處理中心，形成大規模的虛擬計算資源池，互聯網內的用戶按需使用資源池內的計算資源。完整的云計算是一個動態的計算體系，提供托管的應用程序環境，能夠動態部署、動態分配計算資源，并實時監控資源的使用情況，將復雜的運算以及其他的繁瑣功能都轉移到網絡上完成，極大的減小了用戶運算壓力和終端成本。

2.2云安全的定義

云安全（Cloud Security）是將云計算的計算模型應用于信息安全領域，它融合了并行處理、網格計算、未知病毒行為判斷等新興技術和概念。云安全通過互聯網將用戶和殺毒廠商技術平臺連結起來，網狀的大量客戶端就是監測探針，對網絡中軟件的異常行為監測，獲取互聯網中木馬、惡意程序的最新信息，并發送到云端服務器進行自動分析和處理，再把其解決方案分發到每一個客戶端，實現云查殺。云安全技術應用后，識別和查殺病毒不再僅僅依靠本地硬盤中的病毒庫，而是依靠龐大的網絡服務，實時進行采集、分析以及處理。整個互聯網就是一個巨大的“殺毒軟件”，參與者越多，每個參與者就越安全，整個互聯網就會更安全。--

目前，云安全的研究主要分兩個方向：一是云計算自身的安全也就是云計算安全，如云計算數據完整和機密性、云計算應用服務安全、云計算安全體系架構等。二是云計算在信息安全領域的應用，稱為安全云計算，如基于云計算的木馬檢測技術、病毒防治技術等。本文主要從第+；y面進行云安全的體系架構研究。

2.3典型的云安全體系架構

目前，瑞星、趨勢、卡巴斯基、McAfee等著名的安全軟件廠商都推出了各自的“云安全”產品，根據采用的技術不同，大體上可以分為兩大類：

（1）以瑞星“云安全”計劃為代表的被動式防御：這類“云安全”體系的正常運轉需要擁有海量的客戶端數量，瑞星“云安全”將用戶與瑞星技術平臺相連，每一個參與“云安全”計劃的客戶端都是“云安全”探針。一旦用戶終端監測到可疑木馬，并上傳到瑞星“木馬/惡意軟件自動分析系統”分析處理，瑞星安全資料庫將把結果、解決辦法分享給所有用戶。

（2）以趨勢科技推出的“Secure Cloud”云安全網絡為代表的主動式防御：趨勢科技“云安全”網絡在全球建立5個數據中心和3.6萬臺服務器，主動分析惡意程序，在云端網絡主動阻止惡意程序到達網絡或計算機。采用該“云安全”網絡防護，使客戶端不必時刻更新特征碼病毒庫，而是依靠強大的病毒庫全球網絡。

3云安全對數字化校園信息安全的影響

隨著校園網內的新型設備的不斷增多，多種業務的應用與服務將越來越依控網絡。因此，提供一個安全、快捷的網絡環境是發展數字化校園的基礎性工程。通過云安全與校園網的結合，必然會對校園網的發展產生深刻的影響。

（1）節省校園網建設成本。傳統的校園網信息安全硬件系統建設，需要大量的病毒庫服務器、交換機、防火墻設備，硬件成本較大，后期維護費用較高，且受網絡結構限制不利于升級轉型。通過采用云安全技術，只需根據業務需要搭建云安全體系的中心數據平臺，而無須在用戶終端添加額外的硬件設備和承擔維護費。

（2）高效的信息安全防護。校園網雖然與互聯網等其他網絡物理隔離，但是網站大都基于ASP技術開發，采用通用數據庫，這就使得網站存在嚴重安全漏洞。在云安全系統下，云安全分析處理中心能隨時監測掃描網絡中的惡意軟件行為，并立即自動分發解決方案給所有終端，突破了傳統的人工定期更新病毒庫來查殺病毒的手段，節省了終端的存儲空間，自動高效的完成校園網的信息安全防護。

（3）網絡自愈能力增強。當校園網中出現病毒時，被感染的終端會立即將病毒樣本提交到“云端”的分析處理中心，經過分析后，會自動匹配合適的解決方案并將殺毒程序傳送給終端，不需要去關閉整個網絡，使校園網時刻保持通暢狀態，方便使用。

4數字化校園的云安全體系架構

在數字化校園中構建云安全體系，需要分析校園網的結構特點和應用背景，由于現有的校園網內設備眾多，形成了多種相對獨立的異構子網，這就為云安全系統的實現提供了很好的構建條件。目前主流的兩種云安全體系結構也有局限性：瑞星云安全計劃實質上是一種被動式防御，由于主要依賴客戶端的異常監測，分發病毒解決方案時一部分用戶已經遭受攻擊；趨勢科技的云安全網絡，依靠自身功能強大的集群服務器監測威脅，但是覆蓋和監測范圍還是有局限，而且集群服務器的成本和維護費用都很高。

針對以上典型云安全體系出現的弊端，從提高云安全體系中用戶的同步防御能力，以及節約系統成本和維護費用的角度出發，借鑒云計算的思想，結合校園網的結構特點，本文提出了一種改進型的云安全體系架構，如圖1所示。

在圖1中，整個云安全體系包括多個自治的私有云，各私有云都連接到含有分析處理中心服務器的公共云。云安全體系中的每個用戶都是監測探針，同時也是整個體系的組成部分。當私有云A中用戶1受到病毒威脅時，首先協同私有云A內的其余用戶共同判斷威脅的類型，如果存在于私有云A內已知病毒庫，將在更短時間找出解決方案并發送給本私有云內的其他用戶。各結構不同的私有云通過公共云互相通信，也能在第一時間獲取對同一類威脅的防御能力。系統檢測流程如圖2所示。

改進后的云安全體系使每個用戶成為具有自主運算能力的探針，提高了受病毒攻擊用戶的防御響應能力，安全性更強。同時，充分利用了云安全體系中每個用戶空閑的運算能力，只需為每個用戶安裝云計算客戶端和相關病毒庫的擴充，就可使每一個用戶分布式協同完成病毒方案，降低了云安全中心的集群服務器負載；各私有云與公共云互聯通信，保證整個體系的穩定運轉，也降低了整個體系的運行維護成本，才可能實現“感知即破解”信息安全防御效果。

5云安全系統實現的關鍵技術

5.1云數據存儲技術

為了保證高效、高可靠性的云安全系統，通常對數據進行分布式存儲，使用冗余存儲技術保證存儲數據的可靠性。同時，云安全系統能夠為大量用戶提供功能強大的病毒特征庫數據，要求數據存儲技術要有高吞吐率和高傳輸率的特點。

5.2云數據管理技術

云安全系統中的數據管理技術能夠高效的在海量數據中查找特定數據、確保數據的安全性，如數據隔離、數據加密及密鑰、身份認證和訪問管理，保障用戶信息的可用性、保密性和完整性等。

5.3虛擬機安全技術

云安全系統利用虛擬化技術模糊云端分析處理中心與用戶端的界限，為用戶提供隔離的安全防護。虛擬機安全、虛擬網絡安全以及Hypervisor的安全問題都會直接影響到云安全系統的健壯性。目前已有的虛擬機安全架構有Hypervisor架構sHype、可信虛擬機監視器TVMM、入侵檢測系統Livewire等。

5.4先進的病毒識別算法

云安全系統通過分布式計算所能判斷的病毒代碼多數是已知類型的變種，必須采用更加先進的病毒識別算法，實現對未知威脅的自動判斷。借鑒自主學習的模式識別原理，與其他安全軟件的算法融合，形成具有自主學習判斷能力的病毒識別算法，增加對未知安全威脅的自適應能力。

6結語

未來數字化校園的信息化程度不斷提高，對校園網提供更加全面有效的信息安全防護就顯得十分重要。云安全作為信息安全領域的新技術，能夠快速、高效的實現對整體網絡的智能化防護，將成為未來校園網信息安全領域的發展必然趨勢。云安全體系結構設計是復雜的工程，文章論述了這種新型網絡安全體系的原理、設計了體系架構和討論了實現的關鍵技術，為未來校園網信息安全防護建設打下了基礎。