教育考试云计算安全体系构建探析

褚庆军 程德强 孙惠丽 赵 康 李晓东

教育考试云计算安全体系构建探析

褚庆军 程德强 孙惠丽 赵 康 李晓东

根据云计算面临的用户安全、网络安全、应用架构安全、数据安全、云环境安全等风险，提出从用户层、数据层、业务服务层和基础层4个维度构建教育考试云平台安全防护体系，以解决教育考试领域应用云计算技术所面临的安全问题。

教育考试；云计算；云安全

1 引言

随着云计算的不断普及，安全问题日益凸显[1-2]，成为企业关注的焦点。互联网数据中心（IDC）在2010年对企业用户的调查显示，用户对公共云计算服务的主要担忧就是安全问题。近年来，云服务提供商频频出现各种安全事件。2008年2月25日，Amazon数据中心出现网络服务宕机事件，使得几千个依赖亚马逊云计算的网站受到严重影响；2009年3月，Google发生大批用户文件外泄事件[3]；2014年微软Azure云服务在全球范围内遭遇重大宕机事件。上述问题说明，云计算在极大地方便用户和企业廉价使用存储资源、软件资源、计算资源的同时，也同样面临着巨大的安全问题。要使企业和政府放心地将自己的服务和数据运行在云端，就必须全面地分析并着手解决云计算所面临的各种安全问题。

近年来，教育考试应用不断向Web方式发展，基于互联网的管理与服务模式已经成为教育考试业务和服务系统的基本方式，应用系统的不断上线和数据维护任务的需求使得云平台逐渐代替了过去的离散化计算资源管理。由于教育考试对数据安全和服务严密性的特定要求，云计算环境的安全问题对教育考试领域显得尤为重要。

2 教育考试业务系统与云计算需求

目前，教育考试领域的应用系统基本可以分为考试业务开放式系统、考试关键信息系统和考试环境安全保障三大类型。

考试业务开放式管理与服务主要包括开放式考试管理和考生服务，如网上报名缴费、网上考试管理（编场、打印准考证、考务指挥等）、网上填报志愿、录取去向查询。考试业务管理是直接面对考生和基层管理人员的业务运行体系，关系着考生的个人利益和权益，尤其是对于高考这样的高利害性考试，服务的质量直接影响考试的公平公正和社会稳定。因此，网络环境的保障越来越成为考验系统实施的重要基础。

关键业务的信息处理系统主要指敏感性强、保密性强和处理过程复杂度高的应用系统，这些业务需要使用大规模的计算资源并进行严格的保密性管理，一般使用专网或内部局域网，如命题信息管理、网上阅卷、成绩数据处理、录取系统、归档信息管理等。关键信息是衡量考试成功与否的基本要求，是保证考试科学、公平、公正的基础，由于业务需求增长和开发技术变迁，现在的技术模式对网络环境需求越来越复杂，对计算资源的配置和管理要求也越来越严格。

在考试安全保障方面，目前已经实现了考场巡查、身份认证、视频会议等系统，这些系统对实施考试十分重要。尽管信息内容的保密性和敏感性没有前面两个方面那样高，但占用网络资源较多，覆盖的使用机构和地理区域十分广泛。目前，国家教育考试已经构筑了覆盖全国31个省级考试机构的教育考试专网，实现了国家、省、地市三级视频指挥，31个省份启动并建设了覆盖40多万个考场的网上巡查系统，全国试卷保密室实现了网上监控。在应用系统方面，考务综合管理系统、突发事件应急处置系统和考试服务系统、国家教育考试诚信系统投入正式运行，自学考试信息管理系统、社会证书考试管理系统和海外考试网上报名系统的上线运行为考试业务实现科学、规范、高效的管理提供了有力支撑。

如上所述，目前教育考试应用具有上线周期较长、资源变化剧烈、部署时间要求严格的特点。当有多个考试项目并行推进时，对计算资源的调度和管理成为沉重的负担，考试机构的网络中心面临越来越多的设备和系统管理压力。在不断推进分布式、虚拟化等技术的过程中，网络支撑平台正在逐渐向云计算方向发展，云平台会给网络资源管理和服务支撑带来很大的提升，但同时也会面临许多新的挑战，其中安全风险成为不可回避的话题。

3 云计算环境的安全问题

由于互联网的开放特性和技术的快速发展，任何一个计算环境都面临安全性的考验。云环境由于其特殊的部署和使用模式，也面临内部或外部的很多安全威胁，主要表现在以下几个方面的问题。

3.1 用户安全

在云平台运维模式下，用户通过自己的账户管理自己的资源，虽然在不同的用户之间进行网络隔离，在账户及权限控制上做了相应的限制，但是一旦发生账户的泄露，便会威胁到整个用户系统的安全。

3.2 网络安全

开放类业务服务运行在公网之上，与传统开放式服务应用一样，云计算的网络环境同样会面临各种类型的攻击，主要有SQL注入、浏览器安全问题、泛洪攻击等。由于云平台用户、信息资源的高度集中，容易成为黑客攻击的目标。

3.3 应用架构安全

目前云平台还没有建立针对业务系统本身的完善防御体系，对业务应用的安全支撑存在一定风险。一方面云平台的安全漏洞可能会波及到应用系统的安全，同时应用系统的漏洞也可能会威胁到整个云平台的安全和稳定。

在教育考试领域中，各个省都根据自身的需求开发了相应的业务系统，但多数都面临架构老化、脚本控件版本较低等问题，导致教育考试类应用无论从软件成熟度还是系统的健壮度上，与大型厂商所开发的业务系统差距较大，部署到云平台之中后，不但对自身的安全产生较大威胁，还会对云平台的安全产生威胁。同时，目前教育考试业务系统基本上是按传统架构进行构建，使用云平台时，一般只是简单迁移到云平台之上，没有针对云计算环境特性进行结构演化调整，缺乏系统云化重构和结构冲突分析，很多结构的适应性还有待于考证分析和验证，“云平台+传统结构系统”组合方式的稳定性令人担忧。

3.4 数据安全

由于云计算环境的高度虚拟化，使得对数据保护、隔离和监控的难度变得十分困难，很多部门或企业的系统中存在敏感性私有数据。因此，目前业界对云平台推广的担忧主要集中在数据的安全可靠性方面。

3.5 云环境安全

云环境中，用户可以根据自己的需要申请不同的资源，但目前大多数云平台在安全层面的个性化管理和服务功能开放的权限较小或者没有提供，而通用安全策略可能无法满足特定业务的全面需求。例如，在高考报名业务模式下，存在学校集体报名的情况，这种模式在Web攻击层面体现为CC攻击，如果不能进行个性化的安全防护策略设置，便会走向两个极端，要么不防护，要么防护过度，从而影响业务的正常运行。

从云平台的虚拟化支撑环境来看，理论上也面临着一些安全性威胁：（1）虚拟化跳跃，是指通过同一物理机下的其他虚拟机对目标虚拟机实施的攻击；（2）虚拟机逃逸，是指虚拟机内的程序可能会逃出到虚拟机以外，危及主机安全；（3）拒绝服务，虚拟机和主机共享同一系统资源，拒绝服务攻击可能会通过虚拟机获取主机上的所有资源，将资源耗尽影响主机及其他虚拟机的正常运行。这些问题在不同厂商的云系统中可能会表现不同，随着云系统的不断发展，这些问题也在改进完善中，但很多问题需要认真分析，防患于未然。

目前，教育考试领域正在推进的业务模式改革较多，新的业务模式对计算环境都会提出更高的需求。尽管云平台解决了业务系统面临的资源调度效率和分布式、动态伸缩架构支持的问题，但网上巡查、迁移工作流、智能识别、计算机化考试等应用系统都对云平台的安全可靠性提出了更高的要求，解决好这些问题是教育考试领域面临的必然挑战和重要课题。

4 教育考试云平台安全防控体系构建

云安全联盟（CSA）在《云计算中关键领域的安全指南》（Security Guidance For Critical Areas Of Focus In Cloud Computing V3.0）[4]中提出了一个云安全控制模型。这个模型将云安全风险分为物理安全风险、计算安全风险、可信计算安全风险、网络安全风险、管理安全风险、存储安全风险和应用安全风险7类。基于教育考试应用的特殊需求，结合CSA构建的模型，从用户层、数据层、业务服务层和基础层4个维度分析构建教育考试云平台安全防护体系，见图1。

图1 教育考试云平台安全防护体系

4.1 用户层安全

教育考试的开放式应用中存在大量自行注册登录的用户，这些用户的身份需要严格的认证手段，同时其个人信息需要得到充分保护。由于云平台中集中了大量数据资源，内部用户的身份和权限也需要严密管理。用户层的安全防控可采取以下措施：（1）用户认证：使用数字证书认证与VPN认证技术相结合的认证模式，双重认证提升认证安全。开放式用户使用高级的网页验证码和手机验证码，确保用户的身份。在身份认证方面，尤其要注意在开放式用户环境下，考生信息被他人识破或攻击的隐患。（2）授权管理：针对所使用的云计算资源实行集中式授权方式，对不同的用户进行细颗粒度的授权策略。针对教育考试应用的特殊安全需求，在传统通用防护手段的基础上，使用虚拟化防火墙等技术，使不同的用户获得虚拟防护设备的策略设置权限，有针对性地进行安全策略的限制。（3）访问控制与资源隔离：通过网络分区划分、SDN技术，从网络层进行用户访问控制，结合授权管理将细颗粒的授权融入访问控制之中，强化权限管理与资源隔离。同时，使访问控制机制同步适应不断变换的网络环境，采用动态适合性访问控制策略，如角色访问委托等[5]，实现外域角色与本域角色的映射和转换，建立有效方式保障跨域安全。考试系统中各层管理机构（包括省、市、县区、考点）都具有一定的管理职能，访问控制和资源需要进行严格的控制和隔离，不能跨越所管理的资源和时限。

4.2 数据层安全

保障数据安全的方式主要是加密和冗余，前者是为了防止数据暴露和泄密，后者是为了保障虚拟环境下数据飘移造成的系统不可恢复。（1）数据加密。在存储和传输中使用有效的加密手段可以保障数据的安全性。为了保障用户的数据在传输过程中不被劫持解密，应该使用HTTPS/SSL/TLS方式进行传输。在云环境中，可以根据业务系统的需求使用数据库防火墙及加密机等加密设备对数据进行有针对性的防护。有些关键信息需要使用单向加密，如用户登录密码的保护，但需要注意密码的可靠性和强度。在教育招生考试系统中，针对加密算法，建议尽量使用国家标准密码体系，如SM3等。（2）数据容灾。云计算数据中心存储了与业务系统相关的各类信息，其容灾角度应满足文件级及系统级的备份恢复要求。除了硬件自身的RAID技术外，异地灾备也是云计算服务商或者私有云平台需要着重考虑的技术方式。应该注意的是，分布式云数据中心的概念正在不断发展，教育考试领域可以根据区域规划，实现异地多数据中心云化，在领域云上保障数据的可靠性。

4.3 业务服务层安全

业务维度分为云平台本身和用户部署的业务系统两个方面。云平台本身的服务安全主要指IaaS、PaaS、SaaS的安全。这三层服务的安全主要依靠云平台自身的安全机制并根据实际业务需求进行个性化的防护解决。业务系统自身的安全性要考虑技术与管理密切结合。业务系统上线前，需进行渗透测试、架构分析、代码审计等工作，排除由于系统设计所产生的安全问题。对业务系统所使用的中间件等工具，需进行定期的检查和更新，避免由于第三方软件导致的安全隐患。针对业务需求的不断变化，还应建立开发安全管理和研究支撑机制，从设计开发水平方面提升代码的安全级别。教育考试领域应该注意发展专业化团队，建立区域云数据中心，提高安全技术服务和安全系统设计的整体能力。在建设自身安全体系的同时，与专业服务密切结合，做到内力与外力共同构建安全的业务服务。

4.4 基础层安全

基础层包括网络层和物理层，目前这两个层次主要面临的是破坏性攻击、管理问题和可靠性问题。（1）基础网络安全。关键设备冗余、链路聚合等是提供基础层可靠性的重要措施，为了提高基础网络防攻击能力，也需要部署IPS、FW、IDS、DDOS等安全设备，确保云平台的服务持续性。（2）物理安全。云数据中心会受到电力、设备、消防、空调、建筑等多方面的物理制约，任何一个方面出现问题都将导致对业务的冲击，需要采取电力冗余、设备热备、消防空调检测、建筑检测等措施构建物理安全防护体系，目的是一方面尽量避免物理故障，另一方面建立应急机制，保障出现问题后能在最短的时间内恢复。

5 展望

教育考试领域应用云计算技术目前尚处于发展阶段，很多技术实现模式和方式需要深入探讨和验证，如云服务模式、私有云与共有云融合、分布式云数据中心等。对安全问题的认识和研究也有一个不断发展的过程，跟踪出现的安全问题和存在的隐患，分析总结技术问题并找出应对措施，才能构建可信赖的安全体系。

本文提出的教育考试云平台安全防控体系建设方式，可以解决教育考试领域应用云计算技术所面临的安全问题，但是很多方面还需要在具体实施中结合教育考试云计算环境和不断出现的安全技术理念、产品进行总结分析。安全问题的挑战永远存在，构建安全计算环境是考试领域需要一直追求和努力的目标。

[1]张玉清,王晓菲,刘雪峰,刘玲.云计算环境安全综述[J].软件学报,2016,27（6）:1328-1348.

[2]KHALIL I M,KHREISHAH A,AZEEM M.Cloud computing security:A survey[J].IEEE computers,2014,3（1）:1-15.

[3]冯登国,张敏,张妍,徐震.云计算安全研究[J].软件学报,2011, 22（1）:71-83.

[4]CSA.Security Guidance For Critical Areas Of Focus In Cloud Computing V3.0[EB/OL].[2016-10-20].https://cloundsecurityalliance. org/guidance/casguide.v3.0pdf.

[5]袁家斌,魏利利,曾青华.面向移动终端的云计算跨域访问委托模型[J].软件学报,2013,24（3）:564-574.

Building a Cloud Computing Security System for Education Examinations

CHU Qingjun，CHENG Deqiang，SUN Huili，ZHAO Kang&LI Xiaodong

In consideration of the risks that may arise in cloud computing of user security,network security, application architecture security,data security,cloud environment security and so on,this study proposes to address security concerns surrounding the application of cloud computing technology in education examinations by building a cloud platform security system from four dimensions,namely the user layer,the data layer,the business service layer and the infrastructure layer.

Education Examinations;Cloud Computing;Cloud Security

G405

A

1005-8427（2016）12-0014-5

（责任编辑：陈睿）

本文系全国教育科学“十二五”规划2011年度教育部重点课题“云计算技术在教育考试中的应用研究”（批准号：GFA111005）的研究成果。

褚庆军，男，教育部考试中心，助理研究员（北京 100084）

程德强，男，山东省教育招生考试院，助理研究员（济南 250011）

孙惠丽，女，教育部考试中心，工程师（北京 100084）

赵 康，男，山东省教育招生考试院，研究实习员（济南 250011）

李晓东，男，山东省教育招生考试院，副研究员（济南 250011）