高校校園網云環境下安全策略研究

南陽醫學高等?？茖W校 張 旭

高校校園網云環境下安全策略研究

南陽醫學高等專科學校 張 旭

自“云”的概念出現以后，互聯網行業及其他科技行業紛紛向這個大數據的新概念靠攏。數據挖掘技術、分類樹算法皆成為行業中的研究典范。然而，新生事物的出現也會帶有一些困擾，如微軟AZURE的數據奔潰、亞馬遜ECZ的數據安全問題。對此，大數據安全問題儼然成為云開發者們眾所面對的重要內容。因此，本文以云環境下的校園網為例，研究其安全概述及安全策略。

云環境；校園網；安全策略

0 引言

數字校園云端技術用于滿足學生碎片化學習、功能性學習及校園資源共享等多功能應用。隨著云端技術環境的出現，現代教育已然偏向新的變化-即云校園教育。在云校園網上，教師可通過互聯網實現網上授課、網上作業批改、網上批量處理文件、管理學生信息等。而學生則可通過校園網實現云端遠程學習、咨詢提問等。然而，云端技術應用于校園網卻面臨許多不可避免的問題，如分布式云存儲結構不完整、網絡系統存儲容量不足、擴展性不強、可靠性不足、性能較差等諸多毛病。

1 相關概述

1.1 教育大數據的概述

現如今，多元化視角教育成為廣義教育及狹義教育的交叉點。然而，廣義教育大數據卻取決于學生的日常課上行為。而狹義大數據則是通過劃分學生的細分數據進一步拓展學生層級化、時序化及情境化的學習能力。教育大數據是應用于校園網大數據采集、存儲、管理及應用的驅動器。對于現代教育準則而言，教育大數據能最大程度保障學生信息化學習及溝通，并確保學生的知識結構更為完整而簡單。

1.2 云校園網的概述

云校園網是指普通學校通過建立互聯網實現學生互動學習的大數據平臺。云校園網的主要載體是大數據。通過大數據，云校園網可以做好學生多維化管理，并充分區分好數據提供方、學生用戶、教師用戶及云服務商等的作用及角色權限。

1.3 云安全技術

虛擬安全技術和認證皆是云安全技術的重點內容。在云服務的安全處理上，數據安全存儲、數據保密、身份認證、訪問控制及虛擬化安全都是云安全技術需明確規劃的安全標準。此外，等級劃分也是不可忽視。云校園網需做好用戶權限劃分，這樣病毒及黑客才不易利用安全漏洞進行權限控制。

2 云校園網安全策略的構建

2.1 數據存儲

云校園網可通過數據備份做好公開數據、一般數據、重要數據、關鍵數據及核心數據的保障。這些數據備份的保護策略包含完整性保護、一定保護、重點保護、特別保護和絕對保護。而備份策略則有常規備份、重點備份、冗余備份、冗余備份異地存放、一式多份異地存放。而數據災難恢復則使用災難預防制度及災難演練制度。文件管理日志也是數據存儲的重要模塊，用戶需在文件管理日志上做好數據的規范記錄，并對其進行安全偵測，以確保安全。

2.2 身份認證

云校園網的的身份管理區分為身份登錄注銷、身份認證、身份中心及用戶配置文件等。身份認證還有一個模塊叫做單點登錄，即通過統一身份認證，用戶進行SSO登錄，用戶角色包括Administrator、User、Rating agencies。SSO的單點登錄下級策略為SSO Enable。其中Ticket是單點認證過程中的通行證。除了單點登錄之外，統一身份認證系統是通過用戶以身份認證的方式將個人信息分別傳輸給多服務器平臺。其中，用戶需反復地進行身份認證，這個過程還有個Access Control List，Access Control List主要用于訪問控制。實現完這個認證策略，用戶將不用繼續執行認證。

2.3 可信訪問控制

云校園網可信訪問控制遵循密碼學原理。在密碼學訪問控制策略下，用戶數據區分為讀與寫。而讀的內容數據是對稱密鑰及解密密鑰，寫的內容數據是對稱密鑰及加密密鑰。將讀與寫的密鑰傳輸給存儲數據，再利用解密密鑰進行進一步解密。由此，數據便呈現完整性。

2.4 數據隱私保護

云校園網保護隱私工作流程是由學生用戶或者教師用戶加密敏感信息，包括財政信息和機密文件。而個人信息包括證件號碼、家庭住址及電話號碼。個人信息的解密則需用戶進一步傳輸協議。這個過程需要云服務提供商確保安全信息數據完整并不丟失。

2.5 虛擬安全策略

該模塊主要是云校園網利用虛擬機執行獨立控制環境，教師或者學生用戶可在VM上運行多個操作系統。而其操作策略需為用戶提供創建、操作及關閉等功能。虛擬機結構需安裝硬件（CPU DISK MEMORY）傳輸給虛擬機監控器（VMM）。此間，虛擬機監控器可同時做好多個虛擬機應用程序及操作系統的安全保護。由此，校園網虛擬安全策略才算完成。

3 云校園網安全技術的應用內容

3.1 云校園網安全現狀

云校園網安全技術涵蓋海量信息存儲系統（GFS、HDFS、Cassandra）、威脅建模技術（Spooling、Tampering、Repudiation、Information Disclosure、Denial of Service，DoS、Elevation of Privilege）、數據加密技術（RSA公開密鑰密碼算法、移位法加密、代替法加密、代數法加密、(t, n)-門限方案）、重復數據刪除技術（文件訪問協議、文件服務、內容分析、Chunk過濾、Chunk存儲）、Joinln存儲網關（云存儲網關、Joinln存儲網關架構）。在REST協議的支持下，云校園網聯合多項安全技術進行協同維護。

3.2 MeSe安全存儲

MeSe安全存儲利用應用服務器傳輸訪問目錄，幫助服務器獲取存儲地址，并進一步傳輸給目錄服務器，進而傳輸給廣域網，最后到后端存儲系統。這期間，數據存儲/讀取皆用MeSe安全存儲的FUSE框架。這期間，應用服務器和目錄服務器之間形成緊密關系，Rest接口銜接上了HDFS和Cassandra存儲系統，實現環境在分布式海量存儲系統上。MeSe安全存儲需注意安全存儲威脅，建模分解方法有DFD和UML，其中Single Point of Failure、Eavesdropping、Elevation of Privilege、Information Disclosure、Tampermg是SEEIT威脅模型的組成模塊。在DREAD中，威脅內容包括Damage Potential、Reproducibility、Exploitability、Affected Users及Discoverability。因此，MeSe安全存儲為避免這些威脅內容，需做好安全風險計算，并契合認證授權后的AAM元數據安全共享機制，實現云校園網OAuth授權及OpenID認證。

4 結論

為保證數據的機密性、完整性、安全性，本文從教育大數據和云校園網的概述出發，結合云校園網安全策略的構建，進一步探討云校園網安全技術的應用內容。本文的研究從云安全角度出發，結合校園網安全現狀進行探討。因此，站在校園網及云安全研究者們的角度，文章的內容相對來說具備一定的參考作用。

[1]高亞嫻．基于ACL的校園網安全策略的研究[J]．硅谷,2014(23)．

[2]楊靜．校園網安全策略——IDS與防火墻聯動[J]．電腦知識與技術,2014(11)．

[3]葛蘇慧,梁宏濤,房正華．云環境的校園網數據中心安全策略[J]．計算機系統應用,2014(03)．

[4]何書義．網絡安全技術在校園網中的應用[J]．通訊世界,2017(02)．

[5]鐘文基．校園網安全概述及防范策略[J]．科技資訊,2016(35)．

張旭（1982—），男，講師，網絡工程師，現供職于南陽醫學高等?？茖W校招生辦，研究方向：計算機網絡技術。

河南省高等學校重點科研項目計劃資助（項目編號：16A520023）。