南阳医学高等专科学校 张 旭
高校校园网云环境下安全策略研究
南阳医学高等专科学校 张 旭
自“云”的概念出现以后,互联网行业及其他科技行业纷纷向这个大数据的新概念靠拢。数据挖掘技术、分类树算法皆成为行业中的研究典范。然而,新生事物的出现也会带有一些困扰,如微软AZURE的数据奔溃、亚马逊ECZ的数据安全问题。对此,大数据安全问题俨然成为云开发者们众所面对的重要内容。因此,本文以云环境下的校园网为例,研究其安全概述及安全策略。
云环境;校园网;安全策略
数字校园云端技术用于满足学生碎片化学习、功能性学习及校园资源共享等多功能应用。随着云端技术环境的出现,现代教育已然偏向新的变化-即云校园教育。在云校园网上,教师可通过互联网实现网上授课、网上作业批改、网上批量处理文件、管理学生信息等。而学生则可通过校园网实现云端远程学习、咨询提问等。然而,云端技术应用于校园网却面临许多不可避免的问题,如分布式云存储结构不完整、网络系统存储容量不足、扩展性不强、可靠性不足、性能较差等诸多毛病。
1.1 教育大数据的概述
现如今,多元化视角教育成为广义教育及狭义教育的交叉点。然而,广义教育大数据却取决于学生的日常课上行为。而狭义大数据则是通过划分学生的细分数据进一步拓展学生层级化、时序化及情境化的学习能力。教育大数据是应用于校园网大数据采集、存储、管理及应用的驱动器。对于现代教育准则而言,教育大数据能最大程度保障学生信息化学习及沟通,并确保学生的知识结构更为完整而简单。
1.2 云校园网的概述
云校园网是指普通学校通过建立互联网实现学生互动学习的大数据平台。云校园网的主要载体是大数据。通过大数据,云校园网可以做好学生多维化管理,并充分区分好数据提供方、学生用户、教师用户及云服务商等的作用及角色权限。
1.3 云安全技术
虚拟安全技术和认证皆是云安全技术的重点内容。在云服务的安全处理上,数据安全存储、数据保密、身份认证、访问控制及虚拟化安全都是云安全技术需明确规划的安全标准。此外,等级划分也是不可忽视。云校园网需做好用户权限划分,这样病毒及黑客才不易利用安全漏洞进行权限控制。
2.1 数据存储
云校园网可通过数据备份做好公开数据、一般数据、重要数据、关键数据及核心数据的保障。这些数据备份的保护策略包含完整性保护、一定保护、重点保护、特别保护和绝对保护。而备份策略则有常规备份、重点备份、冗余备份、冗余备份异地存放、一式多份异地存放。而数据灾难恢复则使用灾难预防制度及灾难演练制度。文件管理日志也是数据存储的重要模块,用户需在文件管理日志上做好数据的规范记录,并对其进行安全侦测,以确保安全。
2.2 身份认证
云校园网的的身份管理区分为身份登录注销、身份认证、身份中心及用户配置文件等。身份认证还有一个模块叫做单点登录,即通过统一身份认证,用户进行SSO登录,用户角色包括Administrator、User、Rating agencies。SSO的单点登录下级策略为SSO Enable。其中Ticket是单点认证过程中的通行证。除了单点登录之外,统一身份认证系统是通过用户以身份认证的方式将个人信息分别传输给多服务器平台。其中,用户需反复地进行身份认证,这个过程还有个Access Control List,Access Control List主要用于访问控制。实现完这个认证策略,用户将不用继续执行认证。
2.3 可信访问控制
云校园网可信访问控制遵循密码学原理。在密码学访问控制策略下,用户数据区分为读与写。而读的内容数据是对称密钥及解密密钥,写的内容数据是对称密钥及加密密钥。将读与写的密钥传输给存储数据,再利用解密密钥进行进一步解密。由此,数据便呈现完整性。
2.4 数据隐私保护
云校园网保护隐私工作流程是由学生用户或者教师用户加密敏感信息,包括财政信息和机密文件。而个人信息包括证件号码、家庭住址及电话号码。个人信息的解密则需用户进一步传输协议。这个过程需要云服务提供商确保安全信息数据完整并不丢失。
2.5 虚拟安全策略
该模块主要是云校园网利用虚拟机执行独立控制环境,教师或者学生用户可在VM上运行多个操作系统。而其操作策略需为用户提供创建、操作及关闭等功能。虚拟机结构需安装硬件(CPU DISK MEMORY)传输给虚拟机监控器(VMM)。此间,虚拟机监控器可同时做好多个虚拟机应用程序及操作系统的安全保护。由此,校园网虚拟安全策略才算完成。
3.1 云校园网安全现状
云校园网安全技术涵盖海量信息存储系统(GFS、HDFS、Cassandra)、威胁建模技术(Spooling、Tampering、Repudiation、Information Disclosure、Denial of Service,DoS、Elevation of Privilege)、数据加密技术(RSA公开密钥密码算法、移位法加密、代替法加密、代数法加密、(t, n)-门限方案)、重复数据删除技术(文件访问协议、文件服务、内容分析、Chunk过滤、Chunk存储)、Joinln存储网关(云存储网关、Joinln存储网关架构)。在REST协议的支持下,云校园网联合多项安全技术进行协同维护。
3.2 MeSe安全存储
MeSe安全存储利用应用服务器传输访问目录,帮助服务器获取存储地址,并进一步传输给目录服务器,进而传输给广域网,最后到后端存储系统。这期间,数据存储/读取皆用MeSe安全存储的FUSE框架。这期间,应用服务器和目录服务器之间形成紧密关系,Rest接口衔接上了HDFS和Cassandra存储系统,实现环境在分布式海量存储系统上。MeSe安全存储需注意安全存储威胁,建模分解方法有DFD和UML,其中Single Point of Failure、Eavesdropping、Elevation of Privilege、Information Disclosure、Tampermg是SEEIT威胁模型的组成模块。在DREAD中,威胁内容包括Damage Potential、Reproducibility、Exploitability、Affected Users及Discoverability。因此,MeSe安全存储为避免这些威胁内容,需做好安全风险计算,并契合认证授权后的AAM元数据安全共享机制,实现云校园网OAuth授权及OpenID认证。
为保证数据的机密性、完整性、安全性,本文从教育大数据和云校园网的概述出发,结合云校园网安全策略的构建,进一步探讨云校园网安全技术的应用内容。本文的研究从云安全角度出发,结合校园网安全现状进行探讨。因此,站在校园网及云安全研究者们的角度,文章的内容相对来说具备一定的参考作用。
[1]高亚娴.基于ACL的校园网安全策略的研究[J].硅谷,2014(23).
[2]杨静.校园网安全策略——IDS与防火墙联动[J].电脑知识与技术,2014(11).
[3]葛苏慧,梁宏涛,房正华.云环境的校园网数据中心安全策略[J].计算机系统应用,2014(03).
[4]何书义.网络安全技术在校园网中的应用[J].通讯世界,2017(02).
[5]钟文基.校园网安全概述及防范策略[J].科技资讯,2016(35).
张旭(1982—),男,讲师,网络工程师,现供职于南阳医学高等专科学校招生办,研究方向:计算机网络技术。
河南省高等学校重点科研项目计划资助(项目编号:16A520023)。