论文部分内容阅读
[摘要] 数字化校园是教育信息化的最新体现,它是教育资源的全面数字化管理。但校园的数字化程度的提高,也带来了安全性的挑战。而基于云计算的数字化校园体系由于自身具有的云特性,使得其面临新的安全威胁。因此,如何构建基于云计算的安全体系,保障服务安全、数据安全与隐私安全,是目前高校数字化校园建设的一个重要课题。
[关键词] 云计算 数字化校园 安全体系
【分类号】:TP317
随着信息化技术在高等教育中重要性的日益提升。许多高校提出了建设“数字化校园”的目标。数字化校园是教育信息化的最新体现,它利用计算机技术、网络技术和通信技术将学校的教学、科研、管理和生活有关的资源进行全面的数字化管理。但校园的数字化程度的提高,也带来了安全性的挑战。而基于云计算的数字化校园体系由于自身的虚拟化、无边界、流动性等特性,使得其面临新的安全威胁。加上高校在网络安全方面重视程度以及技术力量的弱点,使其成为黑客攻击的重灾区。因此,如何构建基于云计算的安全体系,保障服务安全、数据安全与隐私安全,是目前高校实现数字化校园的一个重要课题。
1、云计算的概念与发展现状
云计算(Cloud Computing)是当前信息技术领域的热门话题之一,它是一种新兴的计算模式,是分布式计算、并行计算和网格计算的发展。一般认为云计算是一种将动态伸缩的虚拟化资源通过互联网以服务的方式提供给用户的计算模式,用户不需要知道如何管理那些支持云计算的基础设施。在云计算环境中计算机硬件和软件都是资源并被封装成服务,这些资源在物理上以分布式的共享方式存在,但在逻辑上以单一整体的形式呈现,根据需要进行动态扩展和配置,用户可以通过互联网按需地访问和使用云中的资源。云计算具备 5 个基本特征: 虚拟化的资源池,基于网络访问,按需自助式服务,使用服务可计量,快速弹性。2、云环境下安全体系与传统安全体系的区别
第一,传统的系统运行于内部企业,外网只通过少数的接口能访问到,比如:网页服务器、邮件服务器等等,所以,只要在出口设置访问控制、防火墙这样的安全措施即可。而云计算则不同,它是完全在公开的网络上的,这样要是仅仅在出口设置访问控制、防火墙这样的安全措施就很难达到效果。
第二,传统计算模式是可控的,而云计算环境中,信息不在本地存储中,数据和管理是分开的,不可控的,那么,如何解决数据的数据隔离、数据保护是一个非常重要的问题。
第三,在云计算的环境中,客户大多数服务系统都不需要在本地更换硬件配置、软件升级的方式,这样每一个硬件配置的更换、软件升级都可能带来潜在安全问题,是一个挑战。
第四,出现云计算环境之前,所采用的技术大多是运用虚拟化。所谓虚拟化是计算机资源的抽象方法,通过它,可以计算机资源的表示、访问和管理。那么,怎么解决虚拟化安全问题是传统安全和云计算安全的一大区别。
第五,安全标准、法律、法规方面,传统安全相对成熟,而云计算安全缺少标准,政策不健全等等。客户的数据可以存储在世界的任何一个地方,当出现问题时,国家政策的不同也是云计算安全的一个重大挑战。
3、数字化校园云计算安全体系的构建思路
数字化校园可以通过云计算平台实现高效的资源共享,减少资源重复建设。云计算平台能够整合管理各种资源,使用起来不再受地域、时间的限制,使数字化校园网的搭建更加流畅、简单。基于云计算的数字化校园系统不再要求高性能的服务器,节约了成本。在云计算环境中,学校不再拥有基础设施的硬件资源,软件都运行在云中,业务数据也存储在云中。因此云计算在给数字化校园带来便利的同时,也面临着一系列的安全问题,除了存在已久的信息安全问题,还有云计算带来的新型安全问题,比如云计算环境下多租户共存带来的潜在风险、数据分散存储和云服务的开放性等,这些都对现有的安全体系带来了新的挑战,其安全关系到云计算是否能在数字化校园中被应用。结合云计算的特点和技术,根据数字化校园的实际情况,从物理环境、网络、数据、管理等方面构建层次化的云安全体系架构,从而保证数字化校园网的安全。
(一)物理安全
物理安全是非常重要的,它是整个云安全的前提,主要包括物理设备的安全、网络环境的安全等。机房、计算机设备、监控等场地设施和周围环境及消防安全,应符合国家相关标准,并满足网络平台运行的要求。
(二)网络安全
在云计算平台中,物理的安全边界逐步消失,取而代之的是逻辑的安全边界,应通过采用VPN(虚拟专用网络)和数据加密等技术,保证用户数据的传输安全性;在云计算数据中心内部,采用VLAN以及分布式虚拟交换机等技术实现用户系统和用户网络的隔离; 采用分布式入侵检测和病毒防护系统抵御来自校园外网的攻击;除此之外还可以采取其他的安全措施和技术,如端口绑定、构建虚拟防火墙、提供Anti-DDos服务、设计适合于云计算的访问控制机制等,确保每个虚拟服务器上只运行一个网络服务,不能直接访问最敏感的数据,服务器上只开发支撑服务绝对必需的端口,其余一律关闭。学校网络管理员熟悉路由器、交换机和服务器等各种设备的网络配置,了解网络拓扑结构,在发现问题后迅速定位,还要进行访问流量的统计,识别非正常使用情况并加以封禁。
(三)数据信息安全
传统的形式是将数据保存在学校可控制的环境中,而在云计算环境中,数据保存在云计算平台中,学校数据面临的安全威胁更加突出。针对云计算环境下的数据信息安全标准要求,需要从数据隔离、访问控制、数据加密、数据残留等技术手段,来保证学校数据的安全性、完整性、可用性和私密性。
(1)数据隔离
虚拟化的资源池是云计算的一个重要特征,虚拟技术是实现云计算的关键核心技术,它意味着不同用户的数据可能存放在一个共享的物理存储中。这种虚拟化的多用户环境可能存在着安全漏洞,因此可根据不同应用需求,采取一定的安全措施将不同用户的数据进行隔离,确保每个用户数据的安全和隐私。
(2)数据加密
对数据进行加密是保证数据私密性的一个重要办法,通过对重要敏感数据自行进行加密,即使被非法用户窃取,也无需担心数据泄密。成熟的数据加密算法有很多种,应该选择加密性能较高的对称加密算法,对学校数据进行加密传输,对数据进行加密存储,来保障重要数据网络传输和存储的安全。除此之外,还可以对文件系统进行加密,但是加密是需要付出代价的,因此需要权衡服务性能需求和数据保护需求,既方便云的管理,又提供更高的安全性。
(3)访问控制
为了维护数据的私密性,在数据的访问控制方面,云计算平台可建立统一、集中的身份管理、安全认证与访问权限控制。用户安全认证与访问权限控制旨在云计算多租户环境下授权合法用户进入系统访问数据。传统的认证技术有数字签名、单点登录认证、双因子登录认证等。
(4)数据备份还原
不论数据存放在何处,用户都应该充分考虑数据丢失的风险,为应对突发、极端情况造成的数据丢失和业务停止,云计算平台应迅速执行灾难恢复计划,继续提供服务,所以应该完善云计算平台的容灾备份机制,提高云计算系统的健壮性。
(四)管理安全
三分技术七分管理,虽然这个说法不是很精确,但管理的作用可见一斑。对于一个庞大且复杂的云计算平台,管理尤其需要重视。为了保证数据的安全性、服务的连续性,根据学校的实际情况,制定安全管理制度,建立安全审计系统,能够在检测到入侵事件时自动响应,记录和维护好各类日志内容,以提高对违规溯源的事后审查能力。
4、结语
数字化校园的建立,不只是一个校园形成云,而是提供一个可以共享的计算机教学与应用实践平台,更好地实现信息资源的共享与互动,以较少的 IT 投入解决教育科研资源存储问题。因此保障数字化校园的安全,提高云服务的可用性,具有很强的实用意义。
[作者简介] 刘勍杨(1979—),男,天津市人。现任天津财经大学信息化建设办公室工程师。
[关键词] 云计算 数字化校园 安全体系
【分类号】:TP317
随着信息化技术在高等教育中重要性的日益提升。许多高校提出了建设“数字化校园”的目标。数字化校园是教育信息化的最新体现,它利用计算机技术、网络技术和通信技术将学校的教学、科研、管理和生活有关的资源进行全面的数字化管理。但校园的数字化程度的提高,也带来了安全性的挑战。而基于云计算的数字化校园体系由于自身的虚拟化、无边界、流动性等特性,使得其面临新的安全威胁。加上高校在网络安全方面重视程度以及技术力量的弱点,使其成为黑客攻击的重灾区。因此,如何构建基于云计算的安全体系,保障服务安全、数据安全与隐私安全,是目前高校实现数字化校园的一个重要课题。
1、云计算的概念与发展现状
云计算(Cloud Computing)是当前信息技术领域的热门话题之一,它是一种新兴的计算模式,是分布式计算、并行计算和网格计算的发展。一般认为云计算是一种将动态伸缩的虚拟化资源通过互联网以服务的方式提供给用户的计算模式,用户不需要知道如何管理那些支持云计算的基础设施。在云计算环境中计算机硬件和软件都是资源并被封装成服务,这些资源在物理上以分布式的共享方式存在,但在逻辑上以单一整体的形式呈现,根据需要进行动态扩展和配置,用户可以通过互联网按需地访问和使用云中的资源。云计算具备 5 个基本特征: 虚拟化的资源池,基于网络访问,按需自助式服务,使用服务可计量,快速弹性。2、云环境下安全体系与传统安全体系的区别
第一,传统的系统运行于内部企业,外网只通过少数的接口能访问到,比如:网页服务器、邮件服务器等等,所以,只要在出口设置访问控制、防火墙这样的安全措施即可。而云计算则不同,它是完全在公开的网络上的,这样要是仅仅在出口设置访问控制、防火墙这样的安全措施就很难达到效果。
第二,传统计算模式是可控的,而云计算环境中,信息不在本地存储中,数据和管理是分开的,不可控的,那么,如何解决数据的数据隔离、数据保护是一个非常重要的问题。
第三,在云计算的环境中,客户大多数服务系统都不需要在本地更换硬件配置、软件升级的方式,这样每一个硬件配置的更换、软件升级都可能带来潜在安全问题,是一个挑战。
第四,出现云计算环境之前,所采用的技术大多是运用虚拟化。所谓虚拟化是计算机资源的抽象方法,通过它,可以计算机资源的表示、访问和管理。那么,怎么解决虚拟化安全问题是传统安全和云计算安全的一大区别。
第五,安全标准、法律、法规方面,传统安全相对成熟,而云计算安全缺少标准,政策不健全等等。客户的数据可以存储在世界的任何一个地方,当出现问题时,国家政策的不同也是云计算安全的一个重大挑战。
3、数字化校园云计算安全体系的构建思路
数字化校园可以通过云计算平台实现高效的资源共享,减少资源重复建设。云计算平台能够整合管理各种资源,使用起来不再受地域、时间的限制,使数字化校园网的搭建更加流畅、简单。基于云计算的数字化校园系统不再要求高性能的服务器,节约了成本。在云计算环境中,学校不再拥有基础设施的硬件资源,软件都运行在云中,业务数据也存储在云中。因此云计算在给数字化校园带来便利的同时,也面临着一系列的安全问题,除了存在已久的信息安全问题,还有云计算带来的新型安全问题,比如云计算环境下多租户共存带来的潜在风险、数据分散存储和云服务的开放性等,这些都对现有的安全体系带来了新的挑战,其安全关系到云计算是否能在数字化校园中被应用。结合云计算的特点和技术,根据数字化校园的实际情况,从物理环境、网络、数据、管理等方面构建层次化的云安全体系架构,从而保证数字化校园网的安全。
(一)物理安全
物理安全是非常重要的,它是整个云安全的前提,主要包括物理设备的安全、网络环境的安全等。机房、计算机设备、监控等场地设施和周围环境及消防安全,应符合国家相关标准,并满足网络平台运行的要求。
(二)网络安全
在云计算平台中,物理的安全边界逐步消失,取而代之的是逻辑的安全边界,应通过采用VPN(虚拟专用网络)和数据加密等技术,保证用户数据的传输安全性;在云计算数据中心内部,采用VLAN以及分布式虚拟交换机等技术实现用户系统和用户网络的隔离; 采用分布式入侵检测和病毒防护系统抵御来自校园外网的攻击;除此之外还可以采取其他的安全措施和技术,如端口绑定、构建虚拟防火墙、提供Anti-DDos服务、设计适合于云计算的访问控制机制等,确保每个虚拟服务器上只运行一个网络服务,不能直接访问最敏感的数据,服务器上只开发支撑服务绝对必需的端口,其余一律关闭。学校网络管理员熟悉路由器、交换机和服务器等各种设备的网络配置,了解网络拓扑结构,在发现问题后迅速定位,还要进行访问流量的统计,识别非正常使用情况并加以封禁。
(三)数据信息安全
传统的形式是将数据保存在学校可控制的环境中,而在云计算环境中,数据保存在云计算平台中,学校数据面临的安全威胁更加突出。针对云计算环境下的数据信息安全标准要求,需要从数据隔离、访问控制、数据加密、数据残留等技术手段,来保证学校数据的安全性、完整性、可用性和私密性。
(1)数据隔离
虚拟化的资源池是云计算的一个重要特征,虚拟技术是实现云计算的关键核心技术,它意味着不同用户的数据可能存放在一个共享的物理存储中。这种虚拟化的多用户环境可能存在着安全漏洞,因此可根据不同应用需求,采取一定的安全措施将不同用户的数据进行隔离,确保每个用户数据的安全和隐私。
(2)数据加密
对数据进行加密是保证数据私密性的一个重要办法,通过对重要敏感数据自行进行加密,即使被非法用户窃取,也无需担心数据泄密。成熟的数据加密算法有很多种,应该选择加密性能较高的对称加密算法,对学校数据进行加密传输,对数据进行加密存储,来保障重要数据网络传输和存储的安全。除此之外,还可以对文件系统进行加密,但是加密是需要付出代价的,因此需要权衡服务性能需求和数据保护需求,既方便云的管理,又提供更高的安全性。
(3)访问控制
为了维护数据的私密性,在数据的访问控制方面,云计算平台可建立统一、集中的身份管理、安全认证与访问权限控制。用户安全认证与访问权限控制旨在云计算多租户环境下授权合法用户进入系统访问数据。传统的认证技术有数字签名、单点登录认证、双因子登录认证等。
(4)数据备份还原
不论数据存放在何处,用户都应该充分考虑数据丢失的风险,为应对突发、极端情况造成的数据丢失和业务停止,云计算平台应迅速执行灾难恢复计划,继续提供服务,所以应该完善云计算平台的容灾备份机制,提高云计算系统的健壮性。
(四)管理安全
三分技术七分管理,虽然这个说法不是很精确,但管理的作用可见一斑。对于一个庞大且复杂的云计算平台,管理尤其需要重视。为了保证数据的安全性、服务的连续性,根据学校的实际情况,制定安全管理制度,建立安全审计系统,能够在检测到入侵事件时自动响应,记录和维护好各类日志内容,以提高对违规溯源的事后审查能力。
4、结语
数字化校园的建立,不只是一个校园形成云,而是提供一个可以共享的计算机教学与应用实践平台,更好地实现信息资源的共享与互动,以较少的 IT 投入解决教育科研资源存储问题。因此保障数字化校园的安全,提高云服务的可用性,具有很强的实用意义。
[作者简介] 刘勍杨(1979—),男,天津市人。现任天津财经大学信息化建设办公室工程师。