基于STRIDE威胁模型的教育云安全风险评估研究.docVIP

基于STRIDE威胁模型的教育云安全风险评估研究 　　摘 要：教育领域云计算平台是教育行业对云计算技术的应用，为教育行业提供IT，存储，应用等服务，在行业内部日常工作中占据重要地位。随着教育云的广泛应用，其安全性的问题也越来越突出。安全风险分析是教育云安全研究的重要的环节。通过对云平台各部分进行全面的风险分析和挖掘，可以对教育云安全体系的设计提供重要的数据支撑和安全策略。本文通过构建STRIDE安全威胁模型，对系统可能受到的风险通过分类、识别、量化等过程对系统威胁风险进行评价。本文基于风险分析结果，结合云计算安全技术的发展趋势，提出了教育云系统安全防护架构，为教育云计算安全问题提供数据支撑和安全策略的参考。 　　关键词：STRIDE威胁模型；教育云计算；云安全 　　中图分类号：TP393 文献标志码：A 文章编号：1673-8454（2017）05-0015-05 　　一、引言 　　云计算主要是通过网络将IT服务、平?_服务及应用服务交付给用户。一般云计算平台包含三个层次：基础实施即服务（IaaS），平台即服务（PaaS），应用即服务（SaaS）。[1]基础设施即服务主要通过虚拟化技术将包括服务器，存储设备，网络设备等物理资源抽象成虚拟主机和虚拟设备，并对外提供服务接口。平台即服务包括了操作系统，开发平台，数据库及可供应用开发的实验环境。应用即服务主要包括一系列应用软件及交互平台，通过网络的方式面相用户。 　　云计算平台是特殊的信息系统，相比传统信息系统有着相同的安全需求，面临着相同的安全风险。信息安全领域的发展已经多次证明，信息技术的重大变革将直接影响安全领域的发展进程。[2]随着云计算技术的发展，云计算平台不断引入新的技术，如软件定义网络（SDN），网络功能虚拟化（NFV）等新技术，这必将推动云计算技术更加普及和完善。同时随着新技术的引入，云计算也会面临着不同于传统信息系统新的安全风险和挑战。根据云安全联盟发布的统计数据，云计算面临的几大安全威胁分别是数据破坏、数据丢失、资源共享风险[3]、账户或业务流量被劫持、不安全的接口和API，拒绝服务、恶意的内部人员、云服务的滥用等。 　　教育云平台是对典型云计算平台的继承和发展。出于大规模教育管理和教育教学的要求，教育云具有规模大、并发性高、可靠性高等特点。同时由于各级各类教育机构庞大，分布广[4]，这也使得教育云系统的种类和结构复杂[5]。教育行业同时又是作为国家重要的基础，信息系统的安全问题的重要性不言而喻，教育云平台面临的挑战也日益严峻。 　　二、教育云平台结构分析和数据流分析 　　本章将对教育云平台的体系结构进行介绍和分析，并归纳云平台主要过程的数据流。 　　1.教育云平台的体系结构（如图1所示） 　　一般在教育领域，云平台云端由云基础设施、云平台组件组成。云基础设施包括基础硬件、虚拟化平台、云操作系统和负载均衡控制，主要提供计算、存储和网络通信能力以及对各种资源的封装和抽象，同时提供数据中心间的负载均衡，提高业务系统灾备能力。云平台组件提供计算服务，存储服务，镜像服务，和认证服务。其中计算服务是整个平台组件的计算控制器，用于完成云实例生命周期的各种动作。存储服务提供一种分布式对象存储，同时具备归档能力，可处理大数据集。镜像服务主要提供虚拟机镜像注册，检索，存储系统。认证服务是对云平台用户进行验证鉴权等操作。 　　2.教育云平台的数据流分析 　　由于云计算平台是相对很复杂的信息系统，为了方便之后的威胁分析，我们着重分析几个主要的数据流。 　　（1）认证 　　认证是用户访问云平台必须经历的过程，用户通过命令行或UI界面等客户端API登录云平台，会经过账户口令验证。登录云平台后在操作云平台组件或设备之前还要经过身份认证，鉴权等过程。 　　（2）存储服务 　　存储服务是提供给用户将文件对象存储在云端的一种存储容器。存储服务过程包括一部分认证的过程，经过认证后用户会对计算中心发送存储服务的请求，计算中心会发送请求消息给存储节点，最后返回用户请求的信息。这一部分数据流涉及到云端外和云端内的数据交互，收到安全的威胁更大。另外，用户信息安全也是云计算安全的重要研究问题。存储服务过程如图3所示。 　　（3）镜像服务 　　镜像安全涉及到系统安全，虚拟机镜像容易遭到恶意攻击者的篡改或非法获取。镜像过程包括用户鉴权，之后通过计算中心获取相应的镜像文件。 　　（4）创建虚拟机实例 　　启动一个实例时操作云平台过程中最常发生的动作。虽然它包含之前的一些过程，不是原子操作，但在很多应用中都是频繁出现。首先是用户身份验证，鉴权。经过验证后，用户就可以与计算节点API和数据库建立通信，通过计算节点API请求创建虚拟资源消息，请求消息进入消息队列，之后消息进入鉴权