校園網(wǎng)云盤系統(tǒng)存在的安全問題及對策

劉璀　周濤　張芳

摘 要 云盤系統(tǒng)作為云存儲的衍生應(yīng)用，通過WEB方式為用戶提供海量數(shù)據(jù)存儲、備份、同步等功能。校園網(wǎng)云盤系統(tǒng)替代傳統(tǒng)數(shù)據(jù)存儲介質(zhì)，為多媒體教學和移動學習等先進教學方式提供技術(shù)支持，解決了校內(nèi)用戶數(shù)據(jù)交換共享的需求。然而在云盤的使用過程中，存在數(shù)據(jù)竊取泄露、惡意篡改、毀壞丟失等信息安全與數(shù)據(jù)安全問題，本文對這些安全問題進行了分析，并提出了解決這些問題的安全對策。

關(guān)鍵詞 云盤 數(shù)據(jù)傳輸安全 數(shù)據(jù)存儲安全 身份認證

中圖分類號：TP393.08 文獻標識碼：A

0引言

隨著移動互聯(lián)技術(shù)的迅速發(fā)展，以及移動學習和泛在學習概念的提出，網(wǎng)絡(luò)學習者對信息獲取和服務(wù)的要求不斷增長。云計算為網(wǎng)絡(luò)學習提供了平臺和解決方案，并通過云服務(wù)推動網(wǎng)絡(luò)學習的發(fā)展。云存儲是在云計算概念上延伸和發(fā)展出來的一個新的概念，是指通過集群應(yīng)用、網(wǎng)格技術(shù)或分布式文件系統(tǒng)等功能，將網(wǎng)絡(luò)中大量各種不同類型的存儲設(shè)備通過應(yīng)用軟件集合起來協(xié)同工作，共同對外提供數(shù)據(jù)存儲和業(yè)務(wù)訪問功能的一個系統(tǒng)。云盤系統(tǒng)作為云存儲技術(shù)的產(chǎn)品之一，可以通過Web方式在公有云或私有云環(huán)境內(nèi)實現(xiàn)數(shù)據(jù)的存儲、訪問、備份、共享等功能，為用戶提供簡便快捷的數(shù)據(jù)存儲或數(shù)據(jù)共享服務(wù)，如近年來廣泛使用的iCloud、百度云網(wǎng)盤、金山快盤、360云盤等公網(wǎng)網(wǎng)盤系統(tǒng)。在校園網(wǎng)中，多媒體教學技術(shù)的進步和網(wǎng)絡(luò)教學模式的推廣，使得校園網(wǎng)需要為大量多媒體課件、視頻資料、實驗文檔等數(shù)據(jù)提供存儲空間，以及自動同步，共享下載、點播等功能。校園網(wǎng)云盤系統(tǒng)替代傳統(tǒng)數(shù)據(jù)存儲介質(zhì)，為教學科研提供技術(shù)支持，解決了校內(nèi)用戶數(shù)據(jù)交換共享的需求。相比公網(wǎng)云盤系統(tǒng)，具有高效穩(wěn)定，不受校園網(wǎng)帶寬限制，下載速度更快，更加安全，緩解校園網(wǎng)出口壓力的優(yōu)點。

然而，校園網(wǎng)云盤在使用過程中同樣面臨著數(shù)據(jù)竊取泄露、惡意篡改、毀壞丟失等安全問題。本文在介紹云盤系統(tǒng)工作原理的同時，指出了云盤系統(tǒng)使用過程中存在的安全問題，并針對這些問題，給出了安全對策。

1云盤系統(tǒng)系統(tǒng)架構(gòu)

云盤系統(tǒng)在功能結(jié)構(gòu)上分為存儲層、基礎(chǔ)管理層、應(yīng)用接口層和訪問層。其中，存儲層和基礎(chǔ)管理層屬于存儲部分，包括存儲設(shè)備、分布式文件系統(tǒng)和負載均衡管理系統(tǒng)，應(yīng)用接口層和訪問層屬于服務(wù)提供部分，包括web服務(wù)、用戶管理和云盤客戶端等。物理組成上，則由負載均衡、MySQL數(shù)據(jù)集群、WEB服務(wù)集群以及共享存儲池幾部分構(gòu)成，如下圖所示。

云盤系統(tǒng)不僅可以為校園網(wǎng)用戶提供文件下載、共享等功能，還實現(xiàn)了數(shù)據(jù)高速傳輸、系統(tǒng)冗余、數(shù)據(jù)高可用、負載均衡以數(shù)據(jù)傳輸存儲加密等高級功能。

云盤系統(tǒng)面臨的安全威脅：

云盤系統(tǒng)的安全威脅既存在于服務(wù)提供方，也存在于客戶端，主要分為以下幾個方面：

（1）云盤管理系統(tǒng)出現(xiàn)安全漏洞，導致了數(shù)據(jù)泄露，造成用戶損失，如著名的iCloud數(shù)據(jù)泄露事件；

（2）用戶名和密碼被破解，導致用戶數(shù)據(jù)丟失或泄露。由于國內(nèi)云盤系統(tǒng)普遍采用用戶名和密碼認證方式，這種落后的認證方式極易被破解或嗅探截獲，帶來安全隱患；

（3）由于用戶安全意識不高，客戶端使用不當，造成數(shù)據(jù)丟失或者泄露的情況，這一點是不可控的。云服務(wù)最薄弱的環(huán)節(jié)就是客戶端；

（4）數(shù)據(jù)從客戶端傳到服務(wù)端的傳輸過程中被黑客攻擊，數(shù)據(jù)遭到竊取或篡改，數(shù)據(jù)完整性和私密性遭到破壞；

（5）云盤系統(tǒng)所在的數(shù)據(jù)中心出現(xiàn)事故，存儲服務(wù)器集群設(shè)備故障，影響系統(tǒng)可靠性，造成云盤數(shù)據(jù)丟失；

（6）來自外部的黑客攻擊，如分布式拒絕服務(wù)攻擊DDOS等，導致云盤服務(wù)癱瘓，功能無法使用，影響系統(tǒng)可靠性。

2云盤系統(tǒng)安全策略

針對云盤系統(tǒng)存在的安全風險，為了保障云存儲平臺數(shù)據(jù)安全，提出以下安全策略：

（1）加強校園網(wǎng)云盤系統(tǒng)安全管理，采用漏洞掃描設(shè)備對云盤平臺進行定期掃描，及時發(fā)現(xiàn)漏洞并采取措施，確保用戶數(shù)據(jù)安全；

（2）停止使用用戶名/口令這種簡單低級的認證方式，采用安全證書等高級別認證方式，證書可采用U盾等存儲方式，確保用戶在使用云盤的過程中，身份鑒別真實有效；

（3）提高用戶安全意識，改進客戶端安全性；

（4）對數(shù)據(jù)存儲和傳輸采用加密方式，在數(shù)據(jù)傳輸和存儲兩個階段都采用加密的方式，用戶數(shù)據(jù)在客戶端傳到云盤的過程中首先進行了加密；數(shù)據(jù)在云盤上同樣采用進行文件塊混雜存儲并加密，確保數(shù)據(jù)在各個階段的私密性和完整性。

（5）提高云盤數(shù)據(jù)的可靠性，云盤系統(tǒng)異地災備，利用光纖傳輸技術(shù)，同時向兩地數(shù)據(jù)中心網(wǎng)盤存儲設(shè)備寫入數(shù)據(jù)。這一方法能夠極大的避免單點故障。

（6）啟用邊界防火墻，對來自校外的攻擊進行阻擋；針對云盤相關(guān)的應(yīng)用，攔截SQL 注入、XSS、Webshell、代碼注入、文件包含等各種通用型漏洞。

（7）建立安全監(jiān)控平臺，并將網(wǎng)盤系統(tǒng)的所有服務(wù)器節(jié)點、集群、網(wǎng)絡(luò)設(shè)備及虛擬機納入到監(jiān)控平臺的受管范圍，密切關(guān)注校內(nèi)云盤系統(tǒng)的流量變化、運維狀況和訪問日志，確保網(wǎng)盤系統(tǒng)的可靠性和穩(wěn)定性。

3結(jié)語

通過對校園網(wǎng)云盤系統(tǒng)安全風險的分析，我們提出了相應(yīng)的安全策略并應(yīng)用于本校的網(wǎng)盤系統(tǒng)，使得數(shù)據(jù)的安全性得到了很大的提升。目前我校云盤用戶已由開始的幾十人發(fā)展到了近千人，每天都有教師學生使用云盤系統(tǒng)下載上傳多媒體課件等教學資料，存儲數(shù)據(jù)量達到了7個TB，還在不斷增加中，系統(tǒng)整體運行狀況良好，得到了校內(nèi)師生的一致好評。

參考文獻

[1] 王萍，張際平.云計算與網(wǎng)絡(luò)學習[J].現(xiàn)代教育技術(shù)，2008（11）：81-84.

[2] 李軍，勞丹鳳，鄒仁明.校園網(wǎng)云盤系統(tǒng)構(gòu)建研究[J].通信學報，2013（32-Z2）：133-137.

[3] 楊洪雪，詹曉東.基于LDAP統(tǒng)一認證的校園網(wǎng)盤系統(tǒng)設(shè)計與實現(xiàn)[J].實驗技術(shù)與管理，2013（1）.

[4] 傅穎勛，羅圣美，舒繼武.一種云存儲環(huán)境下的安全網(wǎng)盤系統(tǒng)[J].軟件學報，2014（8）.