智慧校園云平臺多層次安全防護設計

趙輝

摘 要：隨著現代化社會經濟的飛速發展，推動了信息技術水平的不斷提升，諸多信息技術被廣泛用于教育教學中。計算機虛擬化技術被廣泛用于智慧校園建設，而此項信息技術有效提高了學校數字服務管理水平，智慧校園網是基于數字校園而發展的，其間具備云計算安全技術。學校應全面分析智慧校園網建設情況，并基于云計算技術特點構建多層次云計算安全體系，強調物理環境、網絡、數據與管理等方面問題的重要性，本文分析了智慧校園網的云計算安全體系架構，并提出了實用性應用措施，為智慧校園網構建提供參考依據。

關鍵詞：智慧校園;云計算;云安全架構

1 引言

云計算技術于智慧校園中的應用，可推動教育事業的持續發展，其有效解決了校園網未能解決的維護與安全問題，亦是校園信息技術應用的重要內容。盡管我國智慧校園網發展飛速，但其間云計算安全體系架構存在諸多不足之處，因此探討智慧校園網的云計算安全體系架構，對現代校園構建有著極大現實意義。

2 云安全架構設計

在云計算環境下為了確保云桌面平臺的網絡安全，制定了多方位、多層次的網絡安全防護體系。在安全框架、網絡安全、虛擬化安全、數據安全、管理安全這五個層次進行分級防護。下面將對這五個層次防護設計作出詳細的介紹：

2.1 安全框架

為保障云平臺安全，利用層次化和深層的防御思想構建于數據中心的安全框架，按照網絡的不同層次規劃為：物理、虛擬化主機、網絡、數據和業務、維護與管理等幾個層面，整體上具有一定的合規性，部署云數據中心的安全性方案。

2.2 網絡安全

云數據中心通過網絡提供對外服務，面臨來自互聯網絡的各種安全威脅，如各種類型的DDOS攻擊和用戶數據遭竊聽和篡改等，如何抵御這些威脅，是云數據中心安全可靠運營的前提保障。

1）安全域劃分與網絡隔離。建設物理隔離的涉密網、無線教學網和物聯網。涉密網聯接軍隊內網，確保網絡性能和安全性，為大數據平臺和云服務環境提供支撐;無線教學網建設在安全可控區域，實行實名認證，以支撐智慧型的移動應用;物聯網連接探測器、攝像頭和監控網絡，實現智能后勤、人員定位和智能一卡通應用。

2）建立DMZ（Demilitarized zone）區。在數據中心與外網訪問之間對不安全的系統和安全的系統設置一個緩沖區，通過數據中心內外網之間的小型網絡區域內存放這個緩沖區，以部門能夠在外網內公開的服務器必須放置在這個小型的區域內，同時通過DMZ區的功能，對內部網絡的防護更加有效。

3）數據傳輸安全。數據被偽造、竊聽和監視、中斷、盜用、篡改、復制等一些列的安全性問題都可能在其傳輸的過程中發生，為此，數據在網絡中進行傳輸應對其進行加密和備份確保其秘密性和完整性，制定相應的安全傳輸協議確保用戶接收到的數據安全有效不被非法獲取和篡改。

2.3 虛擬化安全

1）虛擬機隔離設計。虛擬機隔離指同一物理機上不同虛擬機之間的資源隔離，是虛擬化能夠實際應用的基本特征之一。隔離包括CPU、內存、內部網絡隔離和磁盤I/O等的隔離。

2）對賬號進行操作、維護、授權和管理。管理員賬戶在云管理平臺能否實現周期性的管理。通過管理者提供的一個缺省的超級管理員賬戶（admin），以便創建其他的子賬戶并自定義手續其相應的賬戶權限。支持角色管理功能和基于角色的授權功能，目前云管理系統支持三種角色定義：超級管理員、操作維護管理員、游客，分別對應不同的權限控制。

3）云平臺操作系統的裁剪和加固。云平臺各虛擬化服務器的操作系統均進行了針對性的模塊裁剪、安全加固和安全設置，只安裝業務需要的組件，其它無關組件一律不安裝，盡可能減少HostOS的安全漏洞。

4）安全配置。各虛擬化服務器的操作系統（HostOS）參考CIS（Center for Internet Security）Linux操作系統安全benchmark（基準，參照）進行了安全配置：如關閉不安全的服務，設置賬號密碼復雜度策略、合理設置文件和目錄的權限等等。

5）安全補丁管理。通過網站上查找經過測試的操作系統補丁包，由維護管理人員定期下載和安裝操作系統補丁。

6）惡意虛擬機防護。防止惡意虛擬機的地址欺騙：對Hypervisor的vSwitch中IP地址和MAC地址在虛擬機中進行綁定，對虛擬機發送的報文進行限制，使其智能發送本機內報文，有效阻止在虛擬機內的ARP地址欺騙和IP地址欺騙。

2.4 數據安全

保障數據中心安全的核心是其內部的數據安全。為保證中心內部用戶數據的安全存儲和傳輸，云數據中心通過對數據存儲域進行安全隔離、設置安全訪問控制權限等一些列措施保障數據安全。

1）數據卷訪問控制。卷與卷之間相互獨立，各種擁有其自身的訪問權限，系統為每個數據卷定義了不同的訪問策略，使用者如需訪問該卷需要有相應的操作權限才能訪問。

2）接入存儲節點的安全性認證。訪問存儲節點執行iSCSI標準，采用CHAP認證模式大幅度提高應用服務器訪問存儲系統的安全性。

3）剩余數據徹底擦除。在卷卸載釋放和重新分配的前期，對卷的數據進行徹底的數據格式化，確保卷上數據的安全。對刪除用戶和文件對象的存儲區進行數據擦出，將數據標示為只可寫，使其不能夠進行非法的恢復。

4）數據多重備份。云數據中心的每一份數據進行存儲都將采用多重備份機制，數據存儲在云端本地各類存儲單元即便出現故障，數據也不會丟失，操作系統也能夠不受干擾正常運轉。

5）SAN設備承載下的數據保險箱技術。數據保險箱技術可以保證SAN設備在遭遇意外斷電時數據和完整性和安全性需求。猶如其名它是一個能夠存儲遭遇意外狀況而未寫入硬盤的Cache數據以及各類系統的配置信息，將其寫入到其內，可通過外部的各類因素協助完成數據和恢復和處理。

2.5 管理安全

智慧校園網的云計算安全體系架構管理工作十分關鍵，此項體系非常龐大，管理工作亦復雜多變，為了能夠確保數據安全，確保服務連續性，相關人員應根據學校的實際情況提出針對性管理策略，并為此構建科學有效的管理制度，以安全審計系統防止入侵，并詳細記錄各方面內容，確保各項維護工作有序開展，從而提高事后審查能力。

3 結束語

智慧校園建設將云計算及虛擬技術有效結合，確保智慧校園網中的資源極具共享性，可充分用于各項教學實踐中，為信息傳輸提供良好的環境，促使校園數據資源信息實時共享。多層次安全防護體系架構適應了學校師生對數據共享的需求，確保云計算服務極具連續性，為智慧校園網云安全平臺構建提供參考依據。