智慧校园云平台多层次安全防护设计

赵辉

摘 要：随着现代化社会经济的飞速发展，推动了信息技术水平的不断提升，诸多信息技术被广泛用于教育教学中。计算机虚拟化技术被广泛用于智慧校园建设，而此项信息技术有效提高了学校数字服务管理水平，智慧校园网是基于数字校园而发展的，其间具备云计算安全技术。学校应全面分析智慧校园网建设情况，并基于云计算技术特点构建多层次云计算安全体系，强调物理环境、网络、数据与管理等方面问题的重要性，本文分析了智慧校园网的云计算安全体系架构，并提出了实用性应用措施，为智慧校园网构建提供参考依据。

关键词：智慧校园;云计算;云安全架构

1 引言

云计算技术于智慧校园中的应用，可推动教育事业的持续发展，其有效解决了校园网未能解决的维护与安全问题，亦是校园信息技术应用的重要内容。尽管我国智慧校园网发展飞速，但其间云计算安全体系架构存在诸多不足之处，因此探讨智慧校园网的云计算安全体系架构，对现代校园构建有着极大现实意义。

2 云安全架构设计

在云计算环境下为了确保云桌面平台的网络安全，制定了多方位、多层次的网络安全防护体系。在安全框架、网络安全、虚拟化安全、数据安全、管理安全这五个层次进行分级防护。下面将对这五个层次防护设计作出详细的介绍：

2.1 安全框架

为保障云平台安全，利用层次化和深层的防御思想构建于數据中心的安全框架，按照网络的不同层次规划为：物理、虚拟化主机、网络、数据和业务、维护与管理等几个层面，整体上具有一定的合规性，部署云数据中心的安全性方案。

2.2 网络安全

云数据中心通过网络提供对外服务，面临来自互联网络的各种安全威胁，如各种类型的DDOS攻击和用户数据遭窃听和篡改等，如何抵御这些威胁，是云数据中心安全可靠运营的前提保障。

1）安全域划分与网络隔离。建设物理隔离的涉密网、无线教学网和物联网。涉密网联接军队内网，确保网络性能和安全性，为大数据平台和云服务环境提供支撑;无线教学网建设在安全可控区域，实行实名认证，以支撑智慧型的移动应用;物联网连接探测器、摄像头和监控网络，实现智能后勤、人员定位和智能一卡通应用。

2）建立DMZ（Demilitarized zone）区。在数据中心与外网访问之间对不安全的系统和安全的系统设置一个缓冲区，通过数据中心内外网之间的小型网络区域内存放这个缓冲区，以部门能够在外网内公开的服务器必须放置在这个小型的区域内，同时通过DMZ区的功能，对内部网络的防护更加有效。

3）数据传输安全。数据被伪造、窃听和监视、中断、盗用、篡改、复制等一些列的安全性问题都可能在其传输的过程中发生，为此，数据在网络中进行传输应对其进行加密和备份确保其秘密性和完整性，制定相应的安全传输协议确保用户接收到的数据安全有效不被非法获取和篡改。

2.3 虚拟化安全

1）虚拟机隔离设计。虚拟机隔离指同一物理机上不同虚拟机之间的资源隔离，是虚拟化能够实际应用的基本特征之一。隔离包括CPU、内存、内部网络隔离和磁盘I/O等的隔离。

2）对账号进行操作、维护、授权和管理。管理员账户在云管理平台能否实现周期性的管理。通过管理者提供的一个缺省的超级管理员账户（admin），以便创建其他的子账户并自定义手续其相应的账户权限。支持角色管理功能和基于角色的授权功能，目前云管理系统支持三种角色定义：超级管理员、操作维护管理员、游客，分别对应不同的权限控制。

3）云平台操作系统的裁剪和加固。云平台各虚拟化服务器的操作系统均进行了针对性的模块裁剪、安全加固和安全设置，只安装业务需要的组件，其它无关组件一律不安装，尽可能减少HostOS的安全漏洞。

4）安全配置。各虚拟化服务器的操作系统（HostOS）参考CIS（Center for Internet Security）Linux操作系统安全benchmark（基准，参照）进行了安全配置：如关闭不安全的服务，设置账号密码复杂度策略、合理设置文件和目录的权限等等。

5）安全补丁管理。通过网站上查找经过测试的操作系统补丁包，由维护管理人员定期下载和安装操作系统补丁。

6）恶意虚拟机防护。防止恶意虚拟机的地址欺骗：对Hypervisor的vSwitch中IP地址和MAC地址在虚拟机中进行绑定，对虚拟机发送的报文进行限制，使其智能发送本机内报文，有效阻止在虚拟机内的ARP地址欺骗和IP地址欺骗。

2.4 数据安全

保障数据中心安全的核心是其内部的数据安全。为保证中心内部用户数据的安全存储和传输，云数据中心通过对数据存储域进行安全隔离、设置安全访问控制权限等一些列措施保障数据安全。

1）数据卷访问控制。卷与卷之间相互独立，各种拥有其自身的访问权限，系统为每个数据卷定义了不同的访问策略，使用者如需访问该卷需要有相应的操作权限才能访问。

2）接入存储节点的安全性认证。访问存储节点执行iSCSI标准，采用CHAP认证模式大幅度提高应用服务器访问存储系统的安全性。

3）剩余数据彻底擦除。在卷卸载释放和重新分配的前期，对卷的数据进行彻底的数据格式化，确保卷上数据的安全。对删除用户和文件对象的存储区进行数据擦出，将数据标示为只可写，使其不能够进行非法的恢复。

4）数据多重备份。云数据中心的每一份数据进行存储都将采用多重备份机制，数据存储在云端本地各类存储单元即便出现故障，数据也不会丢失，操作系统也能够不受干扰正常运转。

5）SAN设备承载下的数据保险箱技术。数据保险箱技术可以保证SAN设备在遭遇意外断电时数据和完整性和安全性需求。犹如其名它是一个能够存储遭遇意外状况而未写入硬盘的Cache数据以及各类系统的配置信息，将其写入到其内，可通过外部的各类因素协助完成数据和恢复和处理。

2.5 管理安全

智慧校园网的云计算安全体系架构管理工作十分关键，此项体系非常庞大，管理工作亦复杂多变，为了能够确保数据安全，确保服务连续性，相关人员应根据学校的实际情况提出针对性管理策略，并为此构建科学有效的管理制度，以安全审计系统防止入侵，并详细记录各方面内容，确保各项维护工作有序开展，从而提高事后审查能力。

3 结束语

智慧校园建设将云计算及虚拟技术有效结合，确保智慧校园网中的资源极具共享性，可充分用于各项教学实践中，为信息传输提供良好的环境，促使校园数据资源信息实时共享。多层次安全防护体系架构适应了学校师生对数据共享的需求，确保云计算服务极具连续性，为智慧校园网云安全平台构建提供参考依据。