云安全在数字化校园中的体系构建

    尧荣恒

    

    

    摘要：随着数字化校园的建立，校园网信息化程度提高，信息安全也变得越来越重要。云安全技术依靠庞大的网络服务，实时采集、分析和处理安全威胁，将成为校园网信息安全必然发展趋势。文章首先阐述了云计算与云安全的概念，然后介绍了典型的云安全体系结构，并对云安全对校园网的影响进行了分析，提出了一种智能化的云安全体系架构，最后分析了云安全实现的关键技术。

    关键词：云安全；云计算；校园网；体系结构

    1引言

    随着现在数字化校园的建立，校园网系统形成了多种类、多功能、多任务的计算机网络，大量的数据依靠网络进行传输、处理和存储，而这些数据的可靠性、安全性也就愈发重要。然而目前主流的校园网仍然基于传统的杀毒软件进行安全防护，消耗大量存储空间，缺乏自适应能力，难以适应网络环境和资源的动态变化。

    云安全是基于云计算的计算模型，将整个网络形成一个整体的安全防护系统，均衡了传统网络各级防护能力的差异，降低了对硬件依赖和减少了维护费用。云安全将成为未来数字化校园信息安全的必然发展趋势。本文首先阐述了云计算与云安全的概念，然后介绍了典型的云安全体系结构，并对云安全应用在校园网中的影响进行了分析，提出了一种智能化的云安全体系架构，最后对云安全的关键技术进行了分析。

    2云计算与云安全概述

    2.1云计算的定义

    云计算（cloud Computing）是基于互联网的分布式处理、并行处理和网格计算的超级计算模式。它将单个用户需要的数据处理、数据存储和软件应用整合到互联网上的大型数据处理中心，形成大规模的虚拟计算资源池，互联网内的用户按需使用资源池内的计算资源。完整的云计算是一个动态的计算体系，提供托管的应用程序环境，能够动态部署、动态分配计算资源，并实时监控资源的使用情况，将复杂的运算以及其他的繁琐功能都转移到网络上完成，极大的减小了用户运算压力和终端成本。

    2.2云安全的定义

    云安全（Cloud Security）是将云计算的计算模型应用于信息安全领域，它融合了并行处理、网格计算、未知病毒行为判断等新兴技术和概念。云安全通过互联网将用户和杀毒厂商技术平台连结起来，网状的大量客户端就是监测探针，对网络中软件的异常行为监测，获取互联网中木马、恶意程序的最新信息，并发送到云端服务器进行自动分析和处理，再把其解决方案分发到每一个客户端，实现云查杀。云安全技术应用后，识别和查杀病毒不再仅仅依靠本地硬盘中的病毒库，而是依靠庞大的网络服务，实时进行采集、分析以及处理。整个互联网就是一个巨大的“杀毒软件”，参与者越多，每个参与者就越安全，整个互联网就会更安全。--

    目前，云安全的研究主要分两个方向：一是云计算自身的安全也就是云计算安全，如云计算数据完整和机密性、云计算应用服务安全、云计算安全体系架构等。二是云计算在信息安全领域的应用，称为安全云计算，如基于云计算的木马检测技术、病毒防治技术等。本文主要从第+；y面进行云安全的体系架构研究。

    2.3典型的云安全体系架构

    目前，瑞星、趋势、卡巴斯基、McAfee等著名的安全软件厂商都推出了各自的“云安全”产品，根据采用的技术不同，大体上可以分为两大类：

    （1）以瑞星“云安全”计划为代表的被动式防御：这类“云安全”体系的正常运转需要拥有海量的客户端数量，瑞星“云安全”将用户与瑞星技术平台相连，每一个参与“云安全”计划的客户端都是“云安全”探针。一旦用户终端监测到可疑木马，并上传到瑞星“木马/恶意软件自动分析系统”分析处理，瑞星安全资料库将把结果、解决办法分享给所有用户。

    （2）以趋势科技推出的“Secure Cloud”云安全网络为代表的主动式防御：趋势科技“云安全”网络在全球建立5个数据中心和3.6万台服务器，主动分析恶意程序，在云端网络主动阻止恶意程序到达网络或计算机。采用该“云安全”网络防护，使客户端不必时刻更新特征码病毒库，而是依靠强大的病毒库全球网络。

    3云安全对数字化校园信息安全的影响

    随着校园网内的新型设备的不断增多，多种业务的应用与服务将越来越依控网络。因此，提供一个安全、快捷的网络环境是发展数字化校园的基础性工程。通过云安全与校园网的结合，必然会对校园网的发展产生深刻的影响。

    （1）节省校园网建设成本。传统的校园网信息安全硬件系统建设，需要大量的病毒库服务器、交换机、防火墙设备，硬件成本较大，后期维护费用较高，且受网络结构限制不利于升级转型。通过采用云安全技术，只需根据业务需要搭建云安全体系的中心数据平台，而无须在用户终端添加额外的硬件设备和承担维护费。

    （2）高效的信息安全防护。校园网虽然与互联网等其他网络物理隔离，但是网站大都基于ASP技术开发，采用通用数据库，这就使得网站存在严重安全漏洞。在云安全系统下，云安全分析处理中心能随时监测扫描网络中的恶意软件行为，并立即自动分发解决方案给所有终端，突破了传统的人工定期更新病毒库来查杀病毒的手段，节省了终端的存储空间，自动高效的完成校园网的信息安全防护。

    （3）网络自愈能力增强。当校园网中出现病毒时，被感染的终端会立即将病毒样本提交到“云端”的分析处理中心，经过分析后，会自动匹配合适的解决方案并将杀毒程序传送给终端，不需要去关闭整个网络，使校园网时刻保持通畅状态，方便使用。

    4数字化校园的云安全体系架构

    在数字化校园中构建云安全体系，需要分析校园网的结构特点和应用背景，由于现有的校园网内设备众多，形成了多种相对独立的异构子网，这就为云安全系统的实现提供了很好的构建条件。目前主流的两种云安全体系结构也有局限性：瑞星云安全计划实质上是一种被动式防御，由于主要依赖客户端的异常监测，分发病毒解决方案时一部分用户已经遭受攻击；趋势科技的云安全网络，依靠自身功能强大的集群服务器监测威胁，但是覆盖和监测范围还是有局限，而且集群服务器的成本和维护费用都很高。

    针对以上典型云安全体系出现的弊端，从提高云安全体系中用户的同步防御能力，以及节约系统成本和维护费用的角度出发，借鉴云计算的思想，结合校园网的结构特点，本文提出了一种改进型的云安全体系架构，如图1所示。

    在图1中，整个云安全体系包括多个自治的私有云，各私有云都连接到含有分析处理中心服务器的公共云。云安全体系中的每个用户都是监测探针，同时也是整个体系的组成部分。当私有云A中用户1受到病毒威胁时，首先协同私有云A内的其余用户共同判断威胁的类型，如果存在于私有云A内已知病毒库，将在更短时间找出解决方案并发送给本私有云内的其他用户。各结构不同的私有云通过公共云互相通信，也能在第一时间获取对同一类威胁的防御能力。系统检测流程如图2所示。

    改进后的云安全体系使每个用户成为具有自主运算能力的探针，提高了受病毒攻击用户的防御响应能力，安全性更强。同时，充分利用了云安全体系中每个用户空闲的运算能力，只需为每个用户安装云计算客户端和相关病毒库的扩充，就可使每一个用户分布式协同完成病毒方案，降低了云安全中心的集群服务器负载；各私有云与公共云互联通信，保证整个体系的稳定运转，也降低了整个体系的运行维护成本，才可能实现“感知即破解”信息安全防御效果。

    5云安全系统实现的关键技术

    5.1云数据存储技术

    为了保证高效、高可靠性的云安全系统，通常对数据进行分布式存储，使用冗余存储技术保证存储数据的可靠性。同时，云安全系统能够为大量用户提供功能强大的病毒特征库数据，要求数据存储技术要有高吞吐率和高传输率的特点。

    5.2云数据管理技术

    云安全系统中的数据管理技术能够高效的在海量数据中查找特定数据、确保数据的安全性，如数据隔离、数据加密及密钥、身份认证和访问管理，保障用户信息的可用性、保密性和完整性等。

    5.3虚拟机安全技术

    云安全系统利用虚拟化技术模糊云端分析处理中心与用户端的界限，为用户提供隔离的安全防护。虚拟机安全、虚拟网络安全以及Hypervisor的安全问题都会直接影响到云安全系统的健壮性。目前已有的虚拟机安全架构有Hypervisor架构sHype、可信虚拟机监视器TVMM、入侵检测系统Livewire等。

    5.4先进的病毒识别算法

    云安全系统通过分布式计算所能判断的病毒代码多数是已知类型的变种，必须采用更加先进的病毒识别算法，实现对未知威胁的自动判断。借鉴自主学习的模式识别原理，与其他安全软件的算法融合，形成具有自主学习判断能力的病毒识别算法，增加对未知安全威胁的自适应能力。

    6结语

    未来数字化校园的信息化程度不断提高，对校园网提供更加全面有效的信息安全防护就显得十分重要。云安全作为信息安全领域的新技术，能够快速、高效的实现对整体网络的智能化防护，将成为未来校园网信息安全领域的发展必然趋势。云安全体系结构设计是复杂的工程，文章论述了这种新型网络安全体系的原理、设计了体系架构和讨论了实现的关键技术，为未来校园网信息安全防护建设打下了基础。