堯榮恒

摘要：隨著數(shù)字化校園的建立，校園網(wǎng)信息化程度提高，信息安全也變得越來越重要。云安全技術(shù)依靠龐大的網(wǎng)絡(luò)服務(wù)，實時采集、分析和處理安全威脅，將成為校園網(wǎng)信息安全必然發(fā)展趨勢。文章首先闡述了云計算與云安全的概念，然后介紹了典型的云安全體系結(jié)構(gòu)，并對云安全對校園網(wǎng)的影響進(jìn)行了分析，提出了一種智能化的云安全體系架構(gòu)，最后分析了云安全實現(xiàn)的關(guān)鍵技術(shù)。

關(guān)鍵詞：云安全；云計算；校園網(wǎng)；體系結(jié)構(gòu)

1引言

隨著現(xiàn)在數(shù)字化校園的建立，校園網(wǎng)系統(tǒng)形成了多種類、多功能、多任務(wù)的計算機(jī)網(wǎng)絡(luò)，大量的數(shù)據(jù)依靠網(wǎng)絡(luò)進(jìn)行傳輸、處理和存儲，而這些數(shù)據(jù)的可靠性、安全性也就愈發(fā)重要。然而目前主流的校園網(wǎng)仍然基于傳統(tǒng)的殺毒軟件進(jìn)行安全防護(hù)，消耗大量存儲空間，缺乏自適應(yīng)能力，難以適應(yīng)網(wǎng)絡(luò)環(huán)境和資源的動態(tài)變化。

云安全是基于云計算的計算模型，將整個網(wǎng)絡(luò)形成一個整體的安全防護(hù)系統(tǒng)，均衡了傳統(tǒng)網(wǎng)絡(luò)各級防護(hù)能力的差異，降低了對硬件依賴和減少了維護(hù)費(fèi)用。云安全將成為未來數(shù)字化校園信息安全的必然發(fā)展趨勢。本文首先闡述了云計算與云安全的概念，然后介紹了典型的云安全體系結(jié)構(gòu)，并對云安全應(yīng)用在校園網(wǎng)中的影響進(jìn)行了分析，提出了一種智能化的云安全體系架構(gòu)，最后對云安全的關(guān)鍵技術(shù)進(jìn)行了分析。

2云計算與云安全概述

2.1云計算的定義

云計算（cloud Computing）是基于互聯(lián)網(wǎng)的分布式處理、并行處理和網(wǎng)格計算的超級計算模式。它將單個用戶需要的數(shù)據(jù)處理、數(shù)據(jù)存儲和軟件應(yīng)用整合到互聯(lián)網(wǎng)上的大型數(shù)據(jù)處理中心，形成大規(guī)模的虛擬計算資源池，互聯(lián)網(wǎng)內(nèi)的用戶按需使用資源池內(nèi)的計算資源。完整的云計算是一個動態(tài)的計算體系，提供托管的應(yīng)用程序環(huán)境，能夠動態(tài)部署、動態(tài)分配計算資源，并實時監(jiān)控資源的使用情況，將復(fù)雜的運(yùn)算以及其他的繁瑣功能都轉(zhuǎn)移到網(wǎng)絡(luò)上完成，極大的減小了用戶運(yùn)算壓力和終端成本。

2.2云安全的定義

云安全（Cloud Security）是將云計算的計算模型應(yīng)用于信息安全領(lǐng)域，它融合了并行處理、網(wǎng)格計算、未知病毒行為判斷等新興技術(shù)和概念。云安全通過互聯(lián)網(wǎng)將用戶和殺毒廠商技術(shù)平臺連結(jié)起來，網(wǎng)狀的大量客戶端就是監(jiān)測探針，對網(wǎng)絡(luò)中軟件的異常行為監(jiān)測，獲取互聯(lián)網(wǎng)中木馬、惡意程序的最新信息，并發(fā)送到云端服務(wù)器進(jìn)行自動分析和處理，再把其解決方案分發(fā)到每一個客戶端，實現(xiàn)云查殺。云安全技術(shù)應(yīng)用后，識別和查殺病毒不再僅僅依靠本地硬盤中的病毒庫，而是依靠龐大的網(wǎng)絡(luò)服務(wù)，實時進(jìn)行采集、分析以及處理。整個互聯(lián)網(wǎng)就是一個巨大的“殺毒軟件”，參與者越多，每個參與者就越安全，整個互聯(lián)網(wǎng)就會更安全。--

目前，云安全的研究主要分兩個方向：一是云計算自身的安全也就是云計算安全，如云計算數(shù)據(jù)完整和機(jī)密性、云計算應(yīng)用服務(wù)安全、云計算安全體系架構(gòu)等。二是云計算在信息安全領(lǐng)域的應(yīng)用，稱為安全云計算，如基于云計算的木馬檢測技術(shù)、病毒防治技術(shù)等。本文主要從第+；y面進(jìn)行云安全的體系架構(gòu)研究。

2.3典型的云安全體系架構(gòu)

目前，瑞星、趨勢、卡巴斯基、McAfee等著名的安全軟件廠商都推出了各自的“云安全”產(chǎn)品，根據(jù)采用的技術(shù)不同，大體上可以分為兩大類：

（1）以瑞星“云安全”計劃為代表的被動式防御：這類“云安全”體系的正常運(yùn)轉(zhuǎn)需要擁有海量的客戶端數(shù)量，瑞星“云安全”將用戶與瑞星技術(shù)平臺相連，每一個參與“云安全”計劃的客戶端都是“云安全”探針。一旦用戶終端監(jiān)測到可疑木馬，并上傳到瑞星“木馬/惡意軟件自動分析系統(tǒng)”分析處理，瑞星安全資料庫將把結(jié)果、解決辦法分享給所有用戶。

（2）以趨勢科技推出的“Secure Cloud”云安全網(wǎng)絡(luò)為代表的主動式防御：趨勢科技“云安全”網(wǎng)絡(luò)在全球建立5個數(shù)據(jù)中心和3.6萬臺服務(wù)器，主動分析惡意程序，在云端網(wǎng)絡(luò)主動阻止惡意程序到達(dá)網(wǎng)絡(luò)或計算機(jī)。采用該“云安全”網(wǎng)絡(luò)防護(hù)，使客戶端不必時刻更新特征碼病毒庫，而是依靠強(qiáng)大的病毒庫全球網(wǎng)絡(luò)。

3云安全對數(shù)字化校園信息安全的影響

隨著校園網(wǎng)內(nèi)的新型設(shè)備的不斷增多，多種業(yè)務(wù)的應(yīng)用與服務(wù)將越來越依控網(wǎng)絡(luò)。因此，提供一個安全、快捷的網(wǎng)絡(luò)環(huán)境是發(fā)展數(shù)字化校園的基礎(chǔ)性工程。通過云安全與校園網(wǎng)的結(jié)合，必然會對校園網(wǎng)的發(fā)展產(chǎn)生深刻的影響。

（1）節(jié)省校園網(wǎng)建設(shè)成本。傳統(tǒng)的校園網(wǎng)信息安全硬件系統(tǒng)建設(shè)，需要大量的病毒庫服務(wù)器、交換機(jī)、防火墻設(shè)備，硬件成本較大，后期維護(hù)費(fèi)用較高，且受網(wǎng)絡(luò)結(jié)構(gòu)限制不利于升級轉(zhuǎn)型。通過采用云安全技術(shù)，只需根據(jù)業(yè)務(wù)需要搭建云安全體系的中心數(shù)據(jù)平臺，而無須在用戶終端添加額外的硬件設(shè)備和承擔(dān)維護(hù)費(fèi)。

（2）高效的信息安全防護(hù)。校園網(wǎng)雖然與互聯(lián)網(wǎng)等其他網(wǎng)絡(luò)物理隔離，但是網(wǎng)站大都基于ASP技術(shù)開發(fā)，采用通用數(shù)據(jù)庫，這就使得網(wǎng)站存在嚴(yán)重安全漏洞。在云安全系統(tǒng)下，云安全分析處理中心能隨時監(jiān)測掃描網(wǎng)絡(luò)中的惡意軟件行為，并立即自動分發(fā)解決方案給所有終端，突破了傳統(tǒng)的人工定期更新病毒庫來查殺病毒的手段，節(jié)省了終端的存儲空間，自動高效的完成校園網(wǎng)的信息安全防護(hù)。

（3）網(wǎng)絡(luò)自愈能力增強(qiáng)。當(dāng)校園網(wǎng)中出現(xiàn)病毒時，被感染的終端會立即將病毒樣本提交到“云端”的分析處理中心，經(jīng)過分析后，會自動匹配合適的解決方案并將殺毒程序傳送給終端，不需要去關(guān)閉整個網(wǎng)絡(luò)，使校園網(wǎng)時刻保持通暢狀態(tài)，方便使用。

4數(shù)字化校園的云安全體系架構(gòu)

在數(shù)字化校園中構(gòu)建云安全體系，需要分析校園網(wǎng)的結(jié)構(gòu)特點和應(yīng)用背景，由于現(xiàn)有的校園網(wǎng)內(nèi)設(shè)備眾多，形成了多種相對獨立的異構(gòu)子網(wǎng)，這就為云安全系統(tǒng)的實現(xiàn)提供了很好的構(gòu)建條件。目前主流的兩種云安全體系結(jié)構(gòu)也有局限性：瑞星云安全計劃實質(zhì)上是一種被動式防御，由于主要依賴客戶端的異常監(jiān)測，分發(fā)病毒解決方案時一部分用戶已經(jīng)遭受攻擊；趨勢科技的云安全網(wǎng)絡(luò)，依靠自身功能強(qiáng)大的集群服務(wù)器監(jiān)測威脅，但是覆蓋和監(jiān)測范圍還是有局限，而且集群服務(wù)器的成本和維護(hù)費(fèi)用都很高。

針對以上典型云安全體系出現(xiàn)的弊端，從提高云安全體系中用戶的同步防御能力，以及節(jié)約系統(tǒng)成本和維護(hù)費(fèi)用的角度出發(fā)，借鑒云計算的思想，結(jié)合校園網(wǎng)的結(jié)構(gòu)特點，本文提出了一種改進(jìn)型的云安全體系架構(gòu)，如圖1所示。

在圖1中，整個云安全體系包括多個自治的私有云，各私有云都連接到含有分析處理中心服務(wù)器的公共云。云安全體系中的每個用戶都是監(jiān)測探針，同時也是整個體系的組成部分。當(dāng)私有云A中用戶1受到病毒威脅時，首先協(xié)同私有云A內(nèi)的其余用戶共同判斷威脅的類型，如果存在于私有云A內(nèi)已知病毒庫，將在更短時間找出解決方案并發(fā)送給本私有云內(nèi)的其他用戶。各結(jié)構(gòu)不同的私有云通過公共云互相通信，也能在第一時間獲取對同一類威脅的防御能力。系統(tǒng)檢測流程如圖2所示。

改進(jìn)后的云安全體系使每個用戶成為具有自主運(yùn)算能力的探針，提高了受病毒攻擊用戶的防御響應(yīng)能力，安全性更強(qiáng)。同時，充分利用了云安全體系中每個用戶空閑的運(yùn)算能力，只需為每個用戶安裝云計算客戶端和相關(guān)病毒庫的擴(kuò)充，就可使每一個用戶分布式協(xié)同完成病毒方案，降低了云安全中心的集群服務(wù)器負(fù)載；各私有云與公共云互聯(lián)通信，保證整個體系的穩(wěn)定運(yùn)轉(zhuǎn)，也降低了整個體系的運(yùn)行維護(hù)成本，才可能實現(xiàn)“感知即破解”信息安全防御效果。

5云安全系統(tǒng)實現(xiàn)的關(guān)鍵技術(shù)

5.1云數(shù)據(jù)存儲技術(shù)

為了保證高效、高可靠性的云安全系統(tǒng)，通常對數(shù)據(jù)進(jìn)行分布式存儲，使用冗余存儲技術(shù)保證存儲數(shù)據(jù)的可靠性。同時，云安全系統(tǒng)能夠為大量用戶提供功能強(qiáng)大的病毒特征庫數(shù)據(jù)，要求數(shù)據(jù)存儲技術(shù)要有高吞吐率和高傳輸率的特點。

5.2云數(shù)據(jù)管理技術(shù)

云安全系統(tǒng)中的數(shù)據(jù)管理技術(shù)能夠高效的在海量數(shù)據(jù)中查找特定數(shù)據(jù)、確保數(shù)據(jù)的安全性，如數(shù)據(jù)隔離、數(shù)據(jù)加密及密鑰、身份認(rèn)證和訪問管理，保障用戶信息的可用性、保密性和完整性等。

5.3虛擬機(jī)安全技術(shù)

云安全系統(tǒng)利用虛擬化技術(shù)模糊云端分析處理中心與用戶端的界限，為用戶提供隔離的安全防護(hù)。虛擬機(jī)安全、虛擬網(wǎng)絡(luò)安全以及Hypervisor的安全問題都會直接影響到云安全系統(tǒng)的健壯性。目前已有的虛擬機(jī)安全架構(gòu)有Hypervisor架構(gòu)sHype、可信虛擬機(jī)監(jiān)視器TVMM、入侵檢測系統(tǒng)Livewire等。

5.4先進(jìn)的病毒識別算法

云安全系統(tǒng)通過分布式計算所能判斷的病毒代碼多數(shù)是已知類型的變種，必須采用更加先進(jìn)的病毒識別算法，實現(xiàn)對未知威脅的自動判斷。借鑒自主學(xué)習(xí)的模式識別原理，與其他安全軟件的算法融合，形成具有自主學(xué)習(xí)判斷能力的病毒識別算法，增加對未知安全威脅的自適應(yīng)能力。

6結(jié)語

未來數(shù)字化校園的信息化程度不斷提高，對校園網(wǎng)提供更加全面有效的信息安全防護(hù)就顯得十分重要。云安全作為信息安全領(lǐng)域的新技術(shù)，能夠快速、高效的實現(xiàn)對整體網(wǎng)絡(luò)的智能化防護(hù)，將成為未來校園網(wǎng)信息安全領(lǐng)域的發(fā)展必然趨勢。云安全體系結(jié)構(gòu)設(shè)計是復(fù)雜的工程，文章論述了這種新型網(wǎng)絡(luò)安全體系的原理、設(shè)計了體系架構(gòu)和討論了實現(xiàn)的關(guān)鍵技術(shù)，為未來校園網(wǎng)信息安全防護(hù)建設(shè)打下了基礎(chǔ)。