高校校園網(wǎng)云環(huán)境下安全策略研究

南陽醫(yī)學(xué)高等專科學(xué)校 張 旭

高校校園網(wǎng)云環(huán)境下安全策略研究

南陽醫(yī)學(xué)高等專科學(xué)校 張 旭

自“云”的概念出現(xiàn)以后，互聯(lián)網(wǎng)行業(yè)及其他科技行業(yè)紛紛向這個(gè)大數(shù)據(jù)的新概念靠攏。數(shù)據(jù)挖掘技術(shù)、分類樹算法皆成為行業(yè)中的研究典范。然而，新生事物的出現(xiàn)也會(huì)帶有一些困擾，如微軟AZURE的數(shù)據(jù)奔潰、亞馬遜ECZ的數(shù)據(jù)安全問題。對(duì)此，大數(shù)據(jù)安全問題儼然成為云開發(fā)者們眾所面對(duì)的重要內(nèi)容。因此，本文以云環(huán)境下的校園網(wǎng)為例，研究其安全概述及安全策略。

云環(huán)境；校園網(wǎng)；安全策略

0 引言

數(shù)字校園云端技術(shù)用于滿足學(xué)生碎片化學(xué)習(xí)、功能性學(xué)習(xí)及校園資源共享等多功能應(yīng)用。隨著云端技術(shù)環(huán)境的出現(xiàn)，現(xiàn)代教育已然偏向新的變化-即云校園教育。在云校園網(wǎng)上，教師可通過互聯(lián)網(wǎng)實(shí)現(xiàn)網(wǎng)上授課、網(wǎng)上作業(yè)批改、網(wǎng)上批量處理文件、管理學(xué)生信息等。而學(xué)生則可通過校園網(wǎng)實(shí)現(xiàn)云端遠(yuǎn)程學(xué)習(xí)、咨詢提問等。然而，云端技術(shù)應(yīng)用于校園網(wǎng)卻面臨許多不可避免的問題，如分布式云存儲(chǔ)結(jié)構(gòu)不完整、網(wǎng)絡(luò)系統(tǒng)存儲(chǔ)容量不足、擴(kuò)展性不強(qiáng)、可靠性不足、性能較差等諸多毛病。

1 相關(guān)概述

1.1 教育大數(shù)據(jù)的概述

現(xiàn)如今，多元化視角教育成為廣義教育及狹義教育的交叉點(diǎn)。然而，廣義教育大數(shù)據(jù)卻取決于學(xué)生的日常課上行為。而狹義大數(shù)據(jù)則是通過劃分學(xué)生的細(xì)分?jǐn)?shù)據(jù)進(jìn)一步拓展學(xué)生層級(jí)化、時(shí)序化及情境化的學(xué)習(xí)能力。教育大數(shù)據(jù)是應(yīng)用于校園網(wǎng)大數(shù)據(jù)采集、存儲(chǔ)、管理及應(yīng)用的驅(qū)動(dòng)器。對(duì)于現(xiàn)代教育準(zhǔn)則而言，教育大數(shù)據(jù)能最大程度保障學(xué)生信息化學(xué)習(xí)及溝通，并確保學(xué)生的知識(shí)結(jié)構(gòu)更為完整而簡(jiǎn)單。

1.2 云校園網(wǎng)的概述

云校園網(wǎng)是指普通學(xué)校通過建立互聯(lián)網(wǎng)實(shí)現(xiàn)學(xué)生互動(dòng)學(xué)習(xí)的大數(shù)據(jù)平臺(tái)。云校園網(wǎng)的主要載體是大數(shù)據(jù)。通過大數(shù)據(jù)，云校園網(wǎng)可以做好學(xué)生多維化管理，并充分區(qū)分好數(shù)據(jù)提供方、學(xué)生用戶、教師用戶及云服務(wù)商等的作用及角色權(quán)限。

1.3 云安全技術(shù)

虛擬安全技術(shù)和認(rèn)證皆是云安全技術(shù)的重點(diǎn)內(nèi)容。在云服務(wù)的安全處理上，數(shù)據(jù)安全存儲(chǔ)、數(shù)據(jù)保密、身份認(rèn)證、訪問控制及虛擬化安全都是云安全技術(shù)需明確規(guī)劃的安全標(biāo)準(zhǔn)。此外，等級(jí)劃分也是不可忽視。云校園網(wǎng)需做好用戶權(quán)限劃分，這樣病毒及黑客才不易利用安全漏洞進(jìn)行權(quán)限控制。

2 云校園網(wǎng)安全策略的構(gòu)建

2.1 數(shù)據(jù)存儲(chǔ)

云校園網(wǎng)可通過數(shù)據(jù)備份做好公開數(shù)據(jù)、一般數(shù)據(jù)、重要數(shù)據(jù)、關(guān)鍵數(shù)據(jù)及核心數(shù)據(jù)的保障。這些數(shù)據(jù)備份的保護(hù)策略包含完整性保護(hù)、一定保護(hù)、重點(diǎn)保護(hù)、特別保護(hù)和絕對(duì)保護(hù)。而備份策略則有常規(guī)備份、重點(diǎn)備份、冗余備份、冗余備份異地存放、一式多份異地存放。而數(shù)據(jù)災(zāi)難恢復(fù)則使用災(zāi)難預(yù)防制度及災(zāi)難演練制度。文件管理日志也是數(shù)據(jù)存儲(chǔ)的重要模塊，用戶需在文件管理日志上做好數(shù)據(jù)的規(guī)范記錄，并對(duì)其進(jìn)行安全偵測(cè)，以確保安全。

2.2 身份認(rèn)證

云校園網(wǎng)的的身份管理區(qū)分為身份登錄注銷、身份認(rèn)證、身份中心及用戶配置文件等。身份認(rèn)證還有一個(gè)模塊叫做單點(diǎn)登錄，即通過統(tǒng)一身份認(rèn)證，用戶進(jìn)行SSO登錄，用戶角色包括Administrator、User、Rating agencies。SSO的單點(diǎn)登錄下級(jí)策略為SSO Enable。其中Ticket是單點(diǎn)認(rèn)證過程中的通行證。除了單點(diǎn)登錄之外，統(tǒng)一身份認(rèn)證系統(tǒng)是通過用戶以身份認(rèn)證的方式將個(gè)人信息分別傳輸給多服務(wù)器平臺(tái)。其中，用戶需反復(fù)地進(jìn)行身份認(rèn)證，這個(gè)過程還有個(gè)Access Control List，Access Control List主要用于訪問控制。實(shí)現(xiàn)完這個(gè)認(rèn)證策略，用戶將不用繼續(xù)執(zhí)行認(rèn)證。

2.3 可信訪問控制

云校園網(wǎng)可信訪問控制遵循密碼學(xué)原理。在密碼學(xué)訪問控制策略下，用戶數(shù)據(jù)區(qū)分為讀與寫。而讀的內(nèi)容數(shù)據(jù)是對(duì)稱密鑰及解密密鑰，寫的內(nèi)容數(shù)據(jù)是對(duì)稱密鑰及加密密鑰。將讀與寫的密鑰傳輸給存儲(chǔ)數(shù)據(jù)，再利用解密密鑰進(jìn)行進(jìn)一步解密。由此，數(shù)據(jù)便呈現(xiàn)完整性。

2.4 數(shù)據(jù)隱私保護(hù)

云校園網(wǎng)保護(hù)隱私工作流程是由學(xué)生用戶或者教師用戶加密敏感信息，包括財(cái)政信息和機(jī)密文件。而個(gè)人信息包括證件號(hào)碼、家庭住址及電話號(hào)碼。個(gè)人信息的解密則需用戶進(jìn)一步傳輸協(xié)議。這個(gè)過程需要云服務(wù)提供商確保安全信息數(shù)據(jù)完整并不丟失。

2.5 虛擬安全策略

該模塊主要是云校園網(wǎng)利用虛擬機(jī)執(zhí)行獨(dú)立控制環(huán)境，教師或者學(xué)生用戶可在VM上運(yùn)行多個(gè)操作系統(tǒng)。而其操作策略需為用戶提供創(chuàng)建、操作及關(guān)閉等功能。虛擬機(jī)結(jié)構(gòu)需安裝硬件（CPU DISK MEMORY）傳輸給虛擬機(jī)監(jiān)控器（VMM）。此間，虛擬機(jī)監(jiān)控器可同時(shí)做好多個(gè)虛擬機(jī)應(yīng)用程序及操作系統(tǒng)的安全保護(hù)。由此，校園網(wǎng)虛擬安全策略才算完成。

3 云校園網(wǎng)安全技術(shù)的應(yīng)用內(nèi)容

3.1 云校園網(wǎng)安全現(xiàn)狀

云校園網(wǎng)安全技術(shù)涵蓋海量信息存儲(chǔ)系統(tǒng)（GFS、HDFS、Cassandra）、威脅建模技術(shù)（Spooling、Tampering、Repudiation、Information Disclosure、Denial of Service，DoS、Elevation of Privilege）、數(shù)據(jù)加密技術(shù)（RSA公開密鑰密碼算法、移位法加密、代替法加密、代數(shù)法加密、(t, n)-門限方案）、重復(fù)數(shù)據(jù)刪除技術(shù)（文件訪問協(xié)議、文件服務(wù)、內(nèi)容分析、Chunk過濾、Chunk存儲(chǔ)）、Joinln存儲(chǔ)網(wǎng)關(guān)（云存儲(chǔ)網(wǎng)關(guān)、Joinln存儲(chǔ)網(wǎng)關(guān)架構(gòu)）。在REST協(xié)議的支持下，云校園網(wǎng)聯(lián)合多項(xiàng)安全技術(shù)進(jìn)行協(xié)同維護(hù)。

3.2 MeSe安全存儲(chǔ)

MeSe安全存儲(chǔ)利用應(yīng)用服務(wù)器傳輸訪問目錄，幫助服務(wù)器獲取存儲(chǔ)地址，并進(jìn)一步傳輸給目錄服務(wù)器，進(jìn)而傳輸給廣域網(wǎng)，最后到后端存儲(chǔ)系統(tǒng)。這期間，數(shù)據(jù)存儲(chǔ)/讀取皆用MeSe安全存儲(chǔ)的FUSE框架。這期間，應(yīng)用服務(wù)器和目錄服務(wù)器之間形成緊密關(guān)系，Rest接口銜接上了HDFS和Cassandra存儲(chǔ)系統(tǒng)，實(shí)現(xiàn)環(huán)境在分布式海量存儲(chǔ)系統(tǒng)上。MeSe安全存儲(chǔ)需注意安全存儲(chǔ)威脅，建模分解方法有DFD和UML，其中Single Point of Failure、Eavesdropping、Elevation of Privilege、Information Disclosure、Tampermg是SEEIT威脅模型的組成模塊。在DREAD中，威脅內(nèi)容包括Damage Potential、Reproducibility、Exploitability、Affected Users及Discoverability。因此，MeSe安全存儲(chǔ)為避免這些威脅內(nèi)容，需做好安全風(fēng)險(xiǎn)計(jì)算，并契合認(rèn)證授權(quán)后的AAM元數(shù)據(jù)安全共享機(jī)制，實(shí)現(xiàn)云校園網(wǎng)OAuth授權(quán)及OpenID認(rèn)證。

4 結(jié)論

為保證數(shù)據(jù)的機(jī)密性、完整性、安全性，本文從教育大數(shù)據(jù)和云校園網(wǎng)的概述出發(fā)，結(jié)合云校園網(wǎng)安全策略的構(gòu)建，進(jìn)一步探討云校園網(wǎng)安全技術(shù)的應(yīng)用內(nèi)容。本文的研究從云安全角度出發(fā)，結(jié)合校園網(wǎng)安全現(xiàn)狀進(jìn)行探討。因此，站在校園網(wǎng)及云安全研究者們的角度，文章的內(nèi)容相對(duì)來說具備一定的參考作用。

[1]高亞嫻．基于ACL的校園網(wǎng)安全策略的研究[J]．硅谷,2014(23)．

[2]楊靜．校園網(wǎng)安全策略——IDS與防火墻聯(lián)動(dòng)[J]．電腦知識(shí)與技術(shù),2014(11)．

[3]葛蘇慧,梁宏濤,房正華．云環(huán)境的校園網(wǎng)數(shù)據(jù)中心安全策略[J]．計(jì)算機(jī)系統(tǒng)應(yīng)用,2014(03)．

[4]何書義．網(wǎng)絡(luò)安全技術(shù)在校園網(wǎng)中的應(yīng)用[J]．通訊世界,2017(02)．

[5]鐘文基．校園網(wǎng)安全概述及防范策略[J]．科技資訊,2016(35)．

張旭（1982—），男，講師，網(wǎng)絡(luò)工程師，現(xiàn)供職于南陽醫(yī)學(xué)高等專科學(xué)校招生辦，研究方向：計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)。

河南省高等學(xué)校重點(diǎn)科研項(xiàng)目計(jì)劃資助（項(xiàng)目編號(hào)：16A520023）。