云安全原理與實踐范文

時間:2024-01-09 17:35:16

導(dǎo)語:如何才能寫好一篇云安全原理與實踐,這就需要搜集整理更多的資料和文獻,歡迎閱讀由公文云整理的十篇范文,供你借鑒。

云安全原理與實踐

篇1

隨著科學(xué)技術(shù)的飛速發(fā)展,計算機領(lǐng)域也得到了較快的發(fā)展,在云計算和云存儲問世后,云安全也出現(xiàn)了。就目前來說,云安全在殺毒軟件中已經(jīng)得到了廣泛的運用。本文主要分析云安全在計算機防病毒應(yīng)用中的實踐探索。

【關(guān)鍵詞】云安全 計算機 病毒防范

云安全(Cloud Security)是當(dāng)今網(wǎng)絡(luò)時代信息安全的最新體現(xiàn),云安全融合了并行處理、未知病毒行為判斷以及網(wǎng)格計算等一系列新興的技術(shù)和概念,通過網(wǎng)狀的大量客戶端,對網(wǎng)絡(luò)各種運行中的軟件行為進行實時的監(jiān)測,發(fā)現(xiàn)其異常,獲取互聯(lián)網(wǎng)中的木馬和惡意程序的最新消息,然后把獲取的消息傳到服務(wù)端,由服務(wù)端對這些信息自行進行分析并處理,待處理完畢后,把解決木馬和病毒的方案返回給每一個客戶端,保障各個客戶端網(wǎng)絡(luò)的安全運行。

1 對云安全概念和含義的分析

云安全(Cloud Security)被《著云臺》的分析團隊認為是基于云計算商業(yè)模式應(yīng)用的安全軟件、硬件、機構(gòu)、用戶以及安全云平臺的總稱。云安全是云計算的一個重要的分支,在當(dāng)今的反病毒領(lǐng)域中已經(jīng)得到了廣泛的使用,通過對網(wǎng)絡(luò)的實時監(jiān)測,可以有效地獲取到各種病毒并解決病毒,讓整個互聯(lián)網(wǎng)變成了一個超級大的殺毒軟件。云安全是由我國企業(yè)提出來的創(chuàng)造性的概念,在國際云計算的領(lǐng)域中獨樹一幟。

2 對主流云安全反病毒軟件的分析

當(dāng)前已實現(xiàn)的云安全的原理可以分為趨勢科技和瑞星兩種。趨勢科技匯總的云安全主要應(yīng)用在企業(yè)級的產(chǎn)品當(dāng)中。趨勢科技以WRS、ERS和FRS為基礎(chǔ)架構(gòu)作為云客戶端的安全架構(gòu),把帶有病毒的文件保存到互聯(lián)網(wǎng)的云數(shù)據(jù)庫中,構(gòu)建起一個黑白名單庫供用戶查詢使用。瑞星云安全主要是通過網(wǎng)狀的大量客戶端,實時對網(wǎng)站匯總軟件的異常行為進行監(jiān)測,把病毒和木馬的信息傳送到服務(wù)器,服務(wù)器自行處理后把解決方案返回給用戶端。

3 建立云安全系統(tǒng)面臨的難題

云安全的提出對于網(wǎng)絡(luò)安全來說,具有重大意義,但是要建立起完善的云安全系統(tǒng)需要解決以下幾個方面的難題。

3.1 需要大量的硬件設(shè)備

云安全在實現(xiàn)的過程中,需要大量的客戶端、足夠多的服務(wù)器、處理海量數(shù)據(jù)的能力。只有擁有大量的客戶端,才能及時地感知到互聯(lián)網(wǎng)上出現(xiàn)的各種病毒和惡意程序;對于龐大的數(shù)據(jù)中心,需要有足夠多的服務(wù)器來處理。

3.2 需要大量的資金和技術(shù)

云安全系統(tǒng)對于硬件的要求是非常多的,要求在服務(wù)器和寬帶上投入巨大的資金,同時,還要求具有專業(yè)的研究團隊、頂尖的技術(shù)。

3.3 需要有反病毒的經(jīng)驗

要建立云安全系統(tǒng),要能準確的收集各種病毒和數(shù)據(jù)并上報,完成對這些未知程序的處理和判斷,是比較復(fù)雜的一個過程,因此需要專業(yè)的反病毒技術(shù)和反病毒的經(jīng)驗。

4 云安全在計算機防病毒實踐中存在的問題

4.1 不能確保用戶的隱私安全

云安全廠商宣傳云安全只是對計算機中發(fā)現(xiàn)的可疑文件進行自動上傳,但是誰都不能確保用戶計算機中的個人隱私文件安全,甚至有的計算機中裝有大量的商業(yè)機密文件。Symantec服務(wù)條款中不會以任何目的收集任何數(shù)據(jù)、聯(lián)系人列表以及訂閱信息的匯總。如果法律要求,可以根據(jù)執(zhí)法人員的要求,公布和收集有關(guān)信息。但是在這個過程中,收集什么樣的信息,對信息進行怎樣的處理用戶是完全不知情的,不能確保用戶數(shù)據(jù)的隱私安全。還有一點是云時代使得國家和民族之間的界限變得很模糊,一旦國際形式發(fā)生變化,就不能確保國家、政府的安全。

4.2 云安全的服務(wù)器安全得不到保障

云計算是架構(gòu)在一個巨大的網(wǎng)絡(luò)基礎(chǔ)之上的,云計算不能得到廣泛運用的其中原因之一就是網(wǎng)絡(luò)因素。而對于云安全來說,這種局限性比云計算要大的多。云安全把網(wǎng)絡(luò)安全服務(wù)全部轉(zhuǎn)移到了“云”上,如果用戶的網(wǎng)絡(luò)發(fā)生狀況,或者用戶在使用計算機的過程中遭受到其他用戶的攻擊,使得用戶無法連接到云安全,那么,此時用戶遭受網(wǎng)絡(luò)攻擊的概率就會大大的增加。用戶是否愿意接受這樣的風(fēng)險是值得思考的問題。從近幾年來的網(wǎng)路安全形勢看,針對殺毒軟件的攻擊軟件明顯增多,一旦用戶的安全服務(wù)轉(zhuǎn)移到云端,當(dāng)前存在的殺毒軟件如何保證自身不被攻擊即如何確保自身的安全也是一個難題。如果云安全的服務(wù)器自身出現(xiàn)的漏洞,那么整個云安全的系統(tǒng)安全也得不到保證,將會出現(xiàn)意想不到的混亂局面。

4.3 服務(wù)器自動分析的準確性得不到保證

云安全的最大優(yōu)點就是可以快速地捕捉到病毒的信息送到安全廠商進行分析,面對海量的可疑文件,是服務(wù)器自動分析和人工分析結(jié)合起來解決的。目前云安全的實際價值只是安全廠商對互聯(lián)網(wǎng)威脅的處理能力增強,但是還沒有實現(xiàn)全自動的檢查、預(yù)警、分發(fā),整個過程中,還是需要人工進行處理,服務(wù)器對數(shù)據(jù)文件分析的準確性也有待提高。

5 結(jié)語

云安全在計算機防病毒的實際應(yīng)用過程中,還存在諸多的問題,面對這些存在的問題,云安全需要不斷的改進和完善,要建立統(tǒng)一的標準的云端服務(wù)器,實現(xiàn)多種自動分析技術(shù)和人工分析技術(shù)的結(jié)合,提高云服務(wù)器處理可疑文件的準確性和時效性。同時,云安全系統(tǒng)還要注重和傳統(tǒng)的計算機防病毒技術(shù)相結(jié)合,使得防毒和殺毒同時進行,確保用戶數(shù)據(jù)的安全和使用網(wǎng)絡(luò)的安全。云安全技術(shù)還在處于發(fā)展的階段,要建立起標準化和統(tǒng)一化的云安全系統(tǒng)還需要大家共同的努力,各大安全廠商要根據(jù)用戶的需求不斷地更新技術(shù),為每一位用戶的計算機提供個性化可疑文件的識別和處理。

參考文獻

[1]任翔.基于云安全技術(shù)的防病毒軟件商業(yè)模式的分析與研究[D].北京郵電大學(xué),2011.

[2]李菊.基于私有云安全平臺的網(wǎng)絡(luò)安全部署研究與實施[J].信息網(wǎng)絡(luò)安全,2013,08:48-51.

[3]徐迎迎.云安全框架下的病毒防范關(guān)鍵技術(shù)研究[D].北京郵電大學(xué),2013.

[4]趙玉科.計算機病毒及反病毒的幾種技術(shù)發(fā)展趨勢探析[J].福建電腦,2011,07:69-70+82.

作者簡介

張婷(1982-),女,湖南省岳陽市人。大學(xué)本科學(xué)歷?,F(xiàn)為岳陽職業(yè)技術(shù)學(xué)院國際信息工程學(xué)院助教。主要研究方向為計算機技術(shù)應(yīng)用及教學(xué)。

作者單位

篇2

與那些精心設(shè)計的攻擊手段相比,DDoS顯得十分“粗線條”,甚至特別不具有技術(shù)含量。然而,利用大面積的受控制的僵尸主機,現(xiàn)今的攻擊者可以發(fā)起非常大規(guī)模的攻擊,足以造成一些大型網(wǎng)絡(luò)設(shè)施的癱瘓。

DDoS成為無解的難題

2008年度大規(guī)模爆發(fā)的Conficker蠕蟲危害所造成的影響至今仍歷歷在目。盡管該蠕蟲利用的系統(tǒng)漏洞很快就被發(fā)現(xiàn)同時也有了修補程序,但是在隨后的一個季度里,Conficker和它的變種程序仍舊控制了超過150個國家的上千萬臺計算機。

與傳統(tǒng)的、單純的DDoS攻擊不同,追求利益的黑客社團并非為了有趣而糾集如此數(shù)量眾多的計算機。他們依賴出售所控制的計算機資源給最終發(fā)起攻擊的人來謀取利益,或者對所控制的計算機施行網(wǎng)絡(luò)釣魚等欺詐性操作從而獲得有經(jīng)濟價值的情報。

事實上,當(dāng)全球的公司和組織仍舊將信息安全防護的中心指向互聯(lián)網(wǎng)的時候,其內(nèi)部網(wǎng)絡(luò)中的計算機往往卻成為危害互聯(lián)網(wǎng)安全和其它組織安全的“幫兇”。

DDoS作為一種典型的互聯(lián)網(wǎng)攻擊手段,其名字當(dāng)中所包含的“分布式”字樣已經(jīng)明確地表明了其本質(zhì)所在。而其背后的僵尸網(wǎng)絡(luò)體系,更是匯集了互聯(lián)網(wǎng)安全領(lǐng)域的諸多問題。

事實上,當(dāng)下流行的絕大多數(shù)安全問題,都表現(xiàn)出綜合多種攻擊方式、結(jié)合社交工程手段、有目的分階段地展開動作等特征?;ヂ?lián)網(wǎng)時代的安全問題,正呈現(xiàn)出高度分布化的特征,傳統(tǒng)的安全防護手段顯得捉襟見肘也就不足為怪了。

與分布式攻擊對應(yīng)的,用戶的防范措施不能停留在諸如網(wǎng)關(guān)防護這樣的單點防御層面上,而也應(yīng)該具有相適應(yīng)的體系。各種不同防護措施的聯(lián)動已經(jīng)不能夠完全滿足需要,能夠跨越組織邊界的、徹底面向互聯(lián)網(wǎng)的安全防護體系,才能夠真正保障用戶的信息安全性。

具有新時代特征的防火墻

傳統(tǒng)防火墻基于三層和四層的包過濾,很容易造成單點突破問題,安全強度得不到保障。而隨著應(yīng)用層過濾的不斷主流化,以及在UTM理念倡導(dǎo)下的功能整合化、規(guī)則統(tǒng)一化、平臺靈活化,防火墻產(chǎn)品在防范互聯(lián)網(wǎng)威脅方面已經(jīng)取得了長足的進步。

然而,就目前的情況來看,這些進步還遠沒有達到令用戶高枕無憂的程度。盡管防火墻類型的產(chǎn)品在性能和功能上乃至防護范圍上都有了很大的提高,但是在應(yīng)對高速變化的互聯(lián)網(wǎng)威脅方面,在靈活程度和適應(yīng)能力方面仍舊有所欠缺。

UTM作為一個廣受認可的理念和實踐框架,已經(jīng)在各個主流廠商的產(chǎn)品中有所體現(xiàn)。雖然很多專攻UTM產(chǎn)品市場的廠商都盡可能地突出UTM與防火墻的不同,但是不可忽視的一點在于,UTM產(chǎn)品在檢測模式等基本工作原理上仍舊與防火墻如出一轍。

即便是性能達到萬兆級別的多核UTM系統(tǒng),其設(shè)計模型中也不可避免地充斥著防火墻技術(shù)的痕跡。所以說,UTM產(chǎn)品在很大程度上可以看作是防火墻產(chǎn)品的發(fā)展和擴展,是全新一代的防火墻。

值得注意的是,目前有為數(shù)不少的主流廠商都在跟進X-UTM的概念,其中就包括了在UTM產(chǎn)品領(lǐng)域處于領(lǐng)先地位的Foreinet公司。具有充分靈活的架構(gòu)以保證能根據(jù)不同需要集成安全功能是X-UTM架構(gòu)的最重要特征,而這也延續(xù)了UTM架構(gòu)的核心理念。與最初的UTM產(chǎn)品相比,X-UTM產(chǎn)品除了具備充足的運算性能以實現(xiàn)真正的UTM之外,X-UTM產(chǎn)品還嚴格要求所集成的功能在管理層面上取得統(tǒng)一,并能夠緊密配合。一個真正的X-UTM產(chǎn)品平臺,可以靈活地插接安全功能,并能實時根據(jù)當(dāng)前的應(yīng)用情景調(diào)配各個部分的性能配給,還可以智能地保證產(chǎn)品隨時都達到最大的綜合功效。

與X-UTM相類似的還有被稱為XTM的產(chǎn)品模式,這是由WatchGuard公司所推出的一種致力于提高安全設(shè)備擴展能力的架構(gòu),其X就取自英文的擴展一詞。在實際功能方面,XTM產(chǎn)品在傳統(tǒng)的防護功能基礎(chǔ)上大力擴展針對Web安全威脅的保護功能以及對于應(yīng)用層內(nèi)容的過濾。

而由于要對更多的功能進行管理,要對更多的未知威脅進行預(yù)警,可管理性也是XTM產(chǎn)品的重要指標。可以說,面對每年都會有所變化的主流安全問題,可擴展的安全架構(gòu)可以讓硬件級安全設(shè)備也具有近似于軟件安全產(chǎn)品的“升級”能力,具有相當(dāng)?shù)膶嵱眯浴?/p>

作為另一個X字頭的產(chǎn)品系列,天融信最新推出的X-Firewall則將著眼點放在了按需定制方面。本土廠商對于用戶需求的深入了解,往往能形成強有力的產(chǎn)品優(yōu)勢。

X-Firewall在設(shè)計上更加強調(diào)一體化和模塊化,以達成對安全策略的統(tǒng)一管理和調(diào)度。為了真正實現(xiàn)安全按需定制的目標,天融信自主研發(fā)的TOS安全操作系統(tǒng)成為該系統(tǒng)架構(gòu)上的最大亮點之一。該操作系統(tǒng)不但實現(xiàn)了多種安全功能的融合,在統(tǒng)一策略管理方面也達到了相當(dāng)?shù)乃疁?打破了很多掌握在國外廠商手中的技術(shù)壁壘。

“云火墻”的生命力

時下正值云安全當(dāng)?shù)?業(yè)界普遍看好云計算技術(shù)在信息安全領(lǐng)域的推動力,而基于云技術(shù)的防火墻產(chǎn)品,有極大的可能會成為安全設(shè)備領(lǐng)域的真命天子。

事實上,時下流行的各種形式的安全產(chǎn)品,往往也都是對防火墻產(chǎn)品的發(fā)揚光大,與其說是防火墻的替代者,莫不如說是防火墻的傳承者。這些理念、架構(gòu)和產(chǎn)品,雖然在宣傳上各有側(cè)重,但是其核心都包含了一些相同的特質(zhì)。

集成防護、按需防護、主動防護都是大家共同的追求,而可擴展性、可變更性、可管理性則也是無可爭議的發(fā)展方向?!霸苹饓Α痹诩婢哌@些優(yōu)點的同時,在智能化和動態(tài)化方面可以提供本質(zhì)上的提升,畢竟一個龐大云體系的威力要遠遠超過一些小規(guī)模的防護設(shè)備組合。

作為全球最大的安全威脅檢測網(wǎng)絡(luò)SensorBase的所有者,思科公司是“云火墻”技術(shù)最早的支持者和推動者。思科的“云火墻”體系除了能夠基于其對全球網(wǎng)絡(luò)安全威脅變化的了解來阻斷來自互聯(lián)網(wǎng)的攻擊之外,也能夠智能地利用這些情報識別內(nèi)部網(wǎng)絡(luò)中感染了僵尸木馬的計算機,從而避免安全問題的蔓延。

篇3

3月18日,中關(guān)村可信計算產(chǎn)業(yè)聯(lián)盟(以下簡稱聯(lián)盟)面向會員《可信計算體系結(jié)構(gòu)規(guī)范v1.0》、《可信平臺控制模塊規(guī)范v1.0》、《可信軟件基規(guī)范v1.0》和《可信服務(wù)器平臺規(guī)范v1.0》。此外,《可信存儲系統(tǒng)架構(gòu)規(guī)范v1.0》和《可信計算機評估規(guī)范v1.0》也將于近期面向會員。

可信計算作為一種主動免疫的新計算模式,具有身份識別、狀態(tài)度量、保密存儲等功能,是保障關(guān)鍵信息基礎(chǔ)設(shè)施自主可控、安全可信的核心關(guān)鍵技術(shù),現(xiàn)已成為網(wǎng)絡(luò)空間國際競爭的焦點。

我國的可信計算于1992年正式立項,實現(xiàn)了軍民融合、規(guī)模應(yīng)用,已經(jīng)形成了較為成熟的自主創(chuàng)新體系。但是,相關(guān)的技術(shù)標準化工作相對滯后,這在一定程度上影響了可信計算的創(chuàng)新和發(fā)展。

目前,國家各級主管機關(guān)對聯(lián)盟標準高度重視。此次的聯(lián)盟標準對于完善可信計算標準體系,推進可信計算標準化工作,保護可信計算自主創(chuàng)新,促進產(chǎn)業(yè)發(fā)展具有重要意義。接下來,聯(lián)盟將大力推動聯(lián)盟標準轉(zhuǎn)化為國家標準,使我國在國際網(wǎng)絡(luò)空間安全的博弈中占據(jù)主動。

四大規(guī)范先行

據(jù)記者了解,參與制定本次的規(guī)范的6個聯(lián)盟標準工作組成立于2015年11月,牽頭單位分別是華大半導(dǎo)體(TPCM)、可信華泰(TSB)、浪潮(可信服務(wù)器)、中安(可信存儲)、全球能源互聯(lián)網(wǎng)研究院(體系結(jié)構(gòu))和北京工業(yè)大學(xué)(評估)。參加標準工作組的會員單位有40余個,實際參與編寫人員超過100人。

各工作組在牽頭單位的帶領(lǐng)下,基于前期全國信息安全標準化技術(shù)委員會(以下簡稱全國信安標委)下達的北京工業(yè)大學(xué)的“可信計算關(guān)鍵標準研究”項目,并結(jié)合近年來可信計算技術(shù)的最新進展和產(chǎn)業(yè)化過程中的應(yīng)用實踐,對現(xiàn)有成果進行了補充、修改和完善。經(jīng)過近4個月的反復(fù)論證,并征求了中國工程院沈昌祥院士等有關(guān)專家的意見,最終形成了聯(lián)盟標準草案。后續(xù),聯(lián)盟將組織相關(guān)企業(yè)不斷對規(guī)范版本進行迭代和完善,推動企業(yè)按照聯(lián)盟標準落實產(chǎn)品研發(fā),并積極爭取盡早將聯(lián)盟標準轉(zhuǎn)化為國家標準,以指導(dǎo)我國可信計算產(chǎn)業(yè)的發(fā)展。

可信計算是指在計算的同時進行安全防護,使計算結(jié)果總是與預(yù)期一樣,計算全程可測可控,不擾。可以說,可信計算就是一種運算和防護并存的主動免疫的新計算模式,它具有身份識別、狀態(tài)度量、保密存儲等功能,可以及時識別自己和非己成分,排斥進入機體內(nèi)的有害物質(zhì)。

首批的《可信計算體系結(jié)構(gòu)規(guī)范v1.0》、《可信平臺控制模塊規(guī)范v1.0》、《可信軟件基規(guī)范v1.0》和《可信服務(wù)器平臺規(guī)范v1.0》這4個規(guī)范是可信計算標準體系的重要組織部分。目前,可信計算標準體系框架共有9個規(guī)范,包括1項基礎(chǔ)規(guī)范、4項主體規(guī)范和4項配套規(guī)范。我國對于可信計算標準體系的研究開始于2005年。從2005年到2009年,國家密碼管理局和全國信安標委分別下達可信計算相關(guān)標準研究制定任務(wù),由沈昌祥院士牽頭,組織相關(guān)企業(yè)完成了9項標準的研究制定任務(wù),其中3項為國家標準,其他6項形成了規(guī)范草案。

此次聯(lián)盟組織會員單位對6項規(guī)范草案進行了重新研究,針對近年來可信計算技術(shù)的最新進展對草案文本進行了補充、修改和完善。因為體系結(jié)構(gòu)、TPCM、TSB和服務(wù)器規(guī)范相對比較成熟,所以率先這4項規(guī)范,存儲和評估規(guī)范也將陸續(xù)。

以《可信計算體系結(jié)構(gòu)規(guī)范v1.0》為例,它是可信計算的總體標準,規(guī)范了可信計算的技術(shù)體系結(jié)構(gòu)和標準體系結(jié)構(gòu),同時還闡述了運算和防御并行的可信計算基本原理,規(guī)范其體系結(jié)構(gòu)、核心組成部件和相互關(guān)系、組成可信信息系統(tǒng)中的關(guān)鍵可信節(jié)點特征,以及可信計算標準體系等內(nèi)容。該規(guī)范可以為其他可信計算技術(shù)規(guī)范的制定和修訂提供方向性指導(dǎo)。

目前,聯(lián)盟正在組織存儲和評估規(guī)范工作組緊鑼密鼓地開展研究和驗證工作,一旦條件成熟,就會正式存儲和評估規(guī)范,作為聯(lián)盟標準。這6個聯(lián)盟標準和已經(jīng)的3個國家標準(密碼、主板、網(wǎng)絡(luò)連接)將構(gòu)成一套基本完善的可信計算標準體系。

不過,可信計算的標準化工作絕不僅僅如此,它是一項巨大的系統(tǒng)工程。上述9個規(guī)范只是搭建起了一個基本框架,后續(xù)聯(lián)盟還會組織相關(guān)單位開展細化的標準編研工作。

標準先行 指導(dǎo)產(chǎn)品開發(fā)

可信計算在云安全方面有用武之地?!犊尚欧?wù)器平臺規(guī)范v1.0》和《可信存儲系統(tǒng)架構(gòu)規(guī)范v1.0》本身就是可信云計算規(guī)范的基礎(chǔ)。此外,聯(lián)盟已經(jīng)把可信云架構(gòu)的規(guī)范的編研工作提上了議事日程。早在2014年,聯(lián)盟成員單位北京工業(yè)大學(xué)就完成了中國工程院的重大咨詢課題――可信云構(gòu)架。2015年,聯(lián)盟組織了可信云架構(gòu)高級研修班,邀請沈昌祥院士親自為成員單位的核心技術(shù)骨干深入講解了可信云架構(gòu)的原理和關(guān)鍵技術(shù)。這些都為研究可信云構(gòu)架規(guī)范做好了技術(shù)儲備。2016年,聯(lián)盟將正式啟動可信云架構(gòu)規(guī)范的研究工作。

聯(lián)盟標準的對于可信計算產(chǎn)品研發(fā)和產(chǎn)業(yè)發(fā)展的促進和推動作用是顯而易見的。一方面,聯(lián)盟成員參照規(guī)范開展產(chǎn)品研發(fā),將大幅度地提高開發(fā)效率,并降低成本;另一方面,大家遵循共同的標準,便于實現(xiàn)產(chǎn)品的互連互通和集成適配。另外,參照標準開展產(chǎn)品研發(fā),依照標準進行可信性評估,這些都有助于提升用戶對可信計算產(chǎn)品的認知、認可和信任程度。從這個角度講,聯(lián)盟標準將在助力會員企業(yè)拓展可信計算市場方面起到非常重要的作用。

目前的這些項規(guī)范還都是1.0版本。對于何時能夠升級到2.0版本,聯(lián)盟方面表示,這需要由可信計算技術(shù)的發(fā)展態(tài)勢和其他信息技術(shù)的進展情況來決定。隨著可信計算技術(shù)和產(chǎn)業(yè)的不斷發(fā)展,聯(lián)盟標準的版本會持續(xù)更新,在相關(guān)技術(shù)取得突破性進步之后,會推出2.0版本。

實際上,在聯(lián)盟標準之前,已經(jīng)有核心成員將標準內(nèi)容用于產(chǎn)品研發(fā)。比如,華大半導(dǎo)體的TPCM芯片、可信華泰的白細胞。反過來講,標準內(nèi)容提前應(yīng)用于產(chǎn)品研發(fā)也是對聯(lián)盟標準科學(xué)性的有效驗證。

五大突破

2016年是聯(lián)盟的發(fā)展之年。今年,聯(lián)盟將重點做好以下幾項工作:一是繼續(xù)做好可信計算的標準化工作,進一步健全聯(lián)盟標準的管理機制,同時開展更多細化聯(lián)盟標準的研究工作;二是組織編寫可信計算技術(shù)白皮書和產(chǎn)業(yè)報告;三是進一步完善會員公共服務(wù)平臺,成立人才專委會,重組投融資專委會,盤活人才和資本兩個市場,為會員單位提供更好的服務(wù);四是成立自主可控專委會,在聯(lián)盟平臺上依托自主可控處理器,以可信計算為紐帶,打造自主可控的生態(tài)鏈;五是打造可信計算雙創(chuàng)平臺。

鏈接 中關(guān)村可信計算產(chǎn)業(yè)聯(lián)盟

篇4

整個云計算環(huán)境中,用戶需要直接擁有基礎(chǔ)設(shè)施的軟件資源與硬件資源,而這種模式具有基本的特征就是開放性與虛擬化,這樣也導(dǎo)致云傳統(tǒng)信息安全體系與云計算的安全體系有一定的差異性。典型的云計算系統(tǒng)包含了云服務(wù)、云接口、云終端、虛擬化平臺、數(shù)據(jù)中心等等。云計算高效管理與虛擬化的重要組成部分就是數(shù)據(jù)中心,最大限度保障能夠集中管理、靈活方便與數(shù)據(jù)的安全,而數(shù)據(jù)中心是由儲存設(shè)備、網(wǎng)絡(luò)設(shè)備、服務(wù)器與數(shù)據(jù)資源等組成。在虛擬化平臺的支持與推動下,IT環(huán)境逐漸被改造成為更具有彈性、更強大的架構(gòu),在一臺高性能服務(wù)器上將多個操作系統(tǒng)進行整合,進而實現(xiàn)綜合使用,可以對硬件平臺上的所有資源進行最大化利用,同時還能一定程度上將資源管理的難度降低。云服務(wù)能提供用戶基于云計算平臺的相關(guān)所有服務(wù),主要有這幾個層次:基礎(chǔ)設(shè)施,平臺、軟件,也就是服務(wù)IaaS、服務(wù)PaaS、服務(wù)SaaS。云服務(wù)能為不同類型的用戶提供更加豐富的個性化服務(wù)。云接口針對各類云計算運用,其目標是向廣大用戶提供一系列的API,并且讓用戶有權(quán)限獲取相關(guān)云計算資源,同時進行其它形式的交互。云終端為云計算用戶提供了交互渠道。用戶可以通過云終端瀏覽器對云計算資源進行收集與掌握,必要情況下還可以與本地資源進行協(xié)作,進一步建立較為完整的基于云平臺的應(yīng)用系統(tǒng)。

2云計算存在的安全隱患

云計算主要的基本特征有虛擬化的資源池、基于網(wǎng)絡(luò)的訪問、按需自助式服務(wù)、快捷彈性、使用成本可計量等。當(dāng)前國內(nèi)外已經(jīng)開展了眾多的云計算項目,其中各個IT巨頭說開發(fā)的云計算項目是較為成功的,例如谷歌、亞馬遜、微軟、IBM、百度等是其中的代表。當(dāng)前,中國云計算產(chǎn)業(yè)在經(jīng)過了導(dǎo)入語準備階段之后,已經(jīng)開始構(gòu)建產(chǎn)業(yè)生態(tài)鏈,在政府部門的監(jiān)管之下,云軟件服務(wù)提供商與軟硬件、網(wǎng)絡(luò)基礎(chǔ)設(shè)施服務(wù)商以及云計算相關(guān)的咨詢規(guī)劃、交付、運維、集成服務(wù)商和終端設(shè)備廠商等一起構(gòu)成了云計算產(chǎn)業(yè)生態(tài)鏈,為用戶提供服務(wù),也為云計算項目的開發(fā)打下了良好的基礎(chǔ)。目前,北京、天津、上海、青島、濟南、南京、成都、重慶、深圳等地都已經(jīng)建立起了大型的云計算中心。基于云計算的基本結(jié)構(gòu),是由基礎(chǔ)設(shè)施、虛擬化云設(shè)備以及云客戶端幾個部分組成的,而安全隱患也是存在于這幾個部分。

2.1基礎(chǔ)設(shè)施

基礎(chǔ)設(shè)施主要包括服務(wù)器、小型機等等物理計算設(shè)備。從用戶的角度來看,云計算相關(guān)服務(wù)都是虛擬的,但是虛擬的東西最終還是會落實到物理機器與設(shè)備上,而這方面的安全問題包括了:數(shù)據(jù)儲存的安全、設(shè)備故障以及自然因素等等都會影響到運算及對用戶的服務(wù),即使相關(guān)用戶數(shù)據(jù)采用異地容災(zāi),但是對實時性要求較高的服務(wù)業(yè)務(wù),例如:遠程醫(yī)療服務(wù)、視頻會議等等,處理能力大幅度的下降便會直接影響到相關(guān)服務(wù)的質(zhì)量。

2.2虛擬化云設(shè)備

上述提到,這部分包括了云計算的Saas、PaaS、IaaS機制服務(wù)模式。SaaS軟件也就是服務(wù)模式,從當(dāng)前所接觸到的互聯(lián)網(wǎng)與相關(guān)應(yīng)用軟件來進行分析,必然會存在一些已經(jīng)出現(xiàn)或者還沒有出現(xiàn)的漏洞,因此,不法分子完全可以利用這些漏洞,對應(yīng)用軟件進行攻擊,并獲得用戶的信息,直接作為下一步占領(lǐng)客戶虛擬機的跳板。通常采用的攻擊方式有木馬與病毒、應(yīng)用軟件攻擊等。Paas即為平臺服務(wù):在這類服務(wù)的過程中可以充分利用操作系統(tǒng)的漏洞實施攻擊,而這種攻擊的難度也比較大,由于大部分服務(wù)器都會有基礎(chǔ)安全加固,而黑客一般是將應(yīng)用軟件作為攻擊載體或者跳板。首先,需要成功取得程序的相關(guān)權(quán)限,再通過緩沖區(qū)溢出等方式取得高級權(quán)限,然后安裝控制程序或者后門程序,最終將服務(wù)主機或者虛擬機全部占領(lǐng)。Iaas虛擬機服務(wù):云計算服務(wù)的出租單位是虛擬機,此類服務(wù)成本較低,并且具有一定的彈能力,同時也是入侵的與攻擊的重點。虛擬機“溢出”:云計算中心為用多個用戶提供相對安全的服務(wù),整個過程會將用戶之間進行隔離,最大限度避免用戶之間的信息共享與訪問。攻擊者的主要目標是將這道限制進行突破,也被稱之為“溢出”,一旦溢出之后,就可以成功訪問“鄰居”的系統(tǒng)與數(shù)據(jù),而且還可以深入到后臺的管理系統(tǒng)進行訪問。類似于這類突破限制的技術(shù),主要依賴于云計算中心使用的云計算服務(wù)平臺的安全性,而當(dāng)前眾多安全隱患中,虛擬機“溢出”的問題對云計算安全存在的最大安全隱患,同時也是最普遍的。攻擊者會將密碼成功破譯并獲得相關(guān)資源;而入侵過程中破譯密碼的方式是最直接的方式,同時破譯密碼需要花費較多的計算能力,租用廉價的云計算,直接用于破解密碼也是當(dāng)前黑客使用最多的手段。基于云計算服務(wù)商來說,由于對用戶“業(yè)務(wù)”的私密性考慮,不能對用戶計算目的進行判別。

2.3云計算用戶端安全

云計算用戶端方面,也是安全隱患存在較多的地方,同時也是安全比較薄弱,情況比較復(fù)雜之處,例如:病毒、木馬、蠕蟲的傳播,完全可以隨著用戶業(yè)務(wù)的流動,成功傳播到云計算的服務(wù)端。若是云計算用戶端不能被有效“凈化”,也就無法真正保障云計算的安全。

3加強云計算安全的對策

綜上所述,加強云計算安全可以從以下幾個方面進行改善:

3.1加強數(shù)據(jù)安全

PaaS與SaaS在應(yīng)用不斷的發(fā)展過程中,為了將可用性與可擴性、管理以及運行效率等方面的“經(jīng)濟性”充分實現(xiàn),通常采用的模式是多租戶模式,因此,云計算應(yīng)用的相關(guān)數(shù)據(jù)會和其他數(shù)據(jù)進行混合儲存,云計算應(yīng)用在設(shè)計階段雖然采用了例如“數(shù)據(jù)標記”等技術(shù),主要目的是為了防止非法訪問中的混合數(shù)據(jù),如果能利用程度的漏洞,非法訪問還是防不勝防,例如:2009年3月發(fā)生的谷歌文件非法共享。通常對磁盤上的數(shù)據(jù)或者數(shù)據(jù)庫中的數(shù)據(jù)進行加密,能一定程度上防范惡意的鄰居“租戶”以及某些類型應(yīng)用的濫用,但是基于PaaS或者SaaS兩者應(yīng)用來說,數(shù)據(jù)不能被加密,一旦加密的數(shù)據(jù)會直接影響到相關(guān)搜索與使用。數(shù)據(jù)殘留是數(shù)據(jù)在被以某種形式擦除之后所殘留的物理表現(xiàn),存儲介質(zhì)被擦除之后會遺留一些物理特性,而這類特性能幫助數(shù)據(jù)實現(xiàn)重建。云計算環(huán)境中,數(shù)據(jù)殘留也會導(dǎo)致敏感信息泄漏,因此,云服務(wù)提供商應(yīng)該向廣大云計算用戶保障其鑒別信息所在的存儲空間被釋放,或者保障其他云用戶在使用之前能完全清楚,不管這些信息是存放于內(nèi)存,還是存放于硬盤。

3.2虛擬化安全

虛擬化軟件層通常會直接在裸機上進行部署,充分提供能夠運行、建立與清除的虛擬服務(wù)器能力。可以采取這些方法來實現(xiàn),例如:虛擬化操作系統(tǒng)、全虛擬化或者半虛擬化等等。IaaS平臺服務(wù)過程中,云主機的用戶可以不需要對虛擬軟件層進行訪問,它是由云服務(wù)提供商來進行直接管理的。虛擬化軟件層的主要作用是為了保障客戶的虛擬機在多租戶的情況下對重要層次進行相互隔離,能讓廣大用戶在一臺計算上對多個操作系統(tǒng)共進行安全的使用與運行,因此,要對任何授權(quán)的用戶訪問虛擬化軟件層進行嚴格的限制。因此,安全的控制對策必不可少,主要作用是對于Hypervisor和其他形式的虛擬化層次的物理和邏輯訪問控制進行限制。虛擬化軟件之上就是虛擬服務(wù)器,物理服務(wù)器的安全原理與實踐手段,可以被適當(dāng)?shù)男薷牟⒔Y(jié)合實際情況應(yīng)用到虛擬服務(wù)器上,需要注意的是要考慮虛擬服務(wù)器的特征??梢赃x擇具有TPM安全模塊的物理服務(wù)器,TPM安全模塊能在虛擬服務(wù)器啟動的過程中對用戶密碼進行一次檢測,若是發(fā)現(xiàn)密碼與用戶名的Hash的序列不對,就會及時采取阻止手段,不允許將此虛擬服務(wù)器啟動。由此可見,針對一些新建的用戶來說,選擇具有這類功能的物理服務(wù)器作為虛擬機應(yīng)用是非常必要的。如果條件允許的情況下可以采用帶有多核的處理器,而且能支持虛擬技術(shù)的CPU,加強保障CPU之間的物理隔離,這樣便能減少更多的安全隱患。圖1:數(shù)據(jù)安全管理架構(gòu)虛擬服務(wù)器安裝的過程中,需要為每一臺虛擬服務(wù)分配一個獨立的硬盤分區(qū),這樣便能從邏輯上將各個虛擬服務(wù)隔離開來。虛擬服務(wù)器系統(tǒng)需要安裝基于主機的殺毒軟件、防火墻以及相關(guān)日志記錄、IPS、備份恢復(fù)軟件等等,這樣也可以有效將他們隔離,而且與安全防范措施一起構(gòu)建成多個層次的防范體系。關(guān)于邏輯隔離,每一臺虛擬服務(wù)器需要通過VLAN與不同的IP網(wǎng)段的原則來實現(xiàn)隔離。某些虛擬服務(wù)器之間需要相互通信的,網(wǎng)絡(luò)連接方式應(yīng)該選擇VPN的方式,其作用是保障傳輸過程的安全。當(dāng)然,對應(yīng)的備份策略與方案是必不可少的,例如:相關(guān)配置文件、虛擬機文件以及其中重要的數(shù)據(jù)都需要做好備份,需要注意的是備份一定要根據(jù)計劃來進行,包括:增量備份、差量備份等等。

3.3應(yīng)用安全

當(dāng)前,SaaS應(yīng)用過程中,云服務(wù)商將客戶的數(shù)據(jù)進行混合儲存的方法是普遍的手段,主要是結(jié)構(gòu)化數(shù)據(jù)與非結(jié)構(gòu)化數(shù)據(jù),利用客戶標志符,在實際應(yīng)用過程中的邏輯執(zhí)行層可以將客戶數(shù)據(jù)實現(xiàn)邏輯上的隔離,但是一旦升級之后,就可能導(dǎo)致這種隔離在執(zhí)行過程中變得脆弱。因此,客戶應(yīng)該了解SaaS提供商使用的虛擬數(shù)據(jù)儲存架構(gòu)與預(yù)防機制,最大限度保障多租戶在一個虛擬環(huán)境所需要的隔離。SaaS提供商應(yīng)在整個軟件生命開發(fā)周期加強在軟件安全性上的措施。大多數(shù)云安全應(yīng)用的基礎(chǔ)是SSL,盡可能采用一些手段來對SSL的攻擊進行環(huán)節(jié),能最大限度避免被暴露在默認攻擊之下。用戶要自己擁有一個可以變更的管理項目,并在服務(wù)商的指導(dǎo)下,對應(yīng)用進行正確的布置或者及時更新配置補丁,保障SSL補丁與變更程序能及時發(fā)揮作用。若是PaaS應(yīng)用使用了第三方的應(yīng)用、組件或者Web服務(wù),那么第三方應(yīng)用提供商需要對相關(guān)服務(wù)的安全進行負責(zé)。與此同時,客戶要對自己應(yīng)用所依賴的服務(wù)進行明確,在采用第三方應(yīng)用、組件或者Web服務(wù)的情況下用戶應(yīng)該對第三方提供必要的風(fēng)險評估。PaaS平臺運行引擎的安全需要由提供商進行維護,基于多租戶模式下需要提供“沙盒”架構(gòu),云服務(wù)提供商負責(zé)監(jiān)控新的程序缺陷和漏洞,以避免這些缺陷和漏洞被用來攻擊PaaS平臺和打破“沙盒”架構(gòu)。例如:亞馬遜EC2、GoGrid等IaaS提供商,會將客戶在虛擬機上部署的應(yīng)用當(dāng)作一個黑盒子,云服務(wù)商不知道用戶的相關(guān)運行與管理。用戶的應(yīng)用程序與運行引擎,不管在什么環(huán)境中、什么平臺上,用戶都有自主的權(quán)利進行管理與部署,因此,用戶就要負責(zé)云主機之上應(yīng)用安全的所有責(zé)任,這對于一些特殊的用戶來說是非常必要的。另外,需要注意的是要有對應(yīng)的管理措施來對租用IaaS服務(wù)的客戶進行嚴格的控制。

4結(jié)語

篇5

【關(guān)鍵詞】泛在學(xué)習(xí);云計算;教育云資源;建設(shè)機制

【中圖分類號】G40-057 【文獻標識碼】A 【論文編號】1009―8097(2013)04―0101―05

引言

近年來,有關(guān)泛在學(xué)習(xí)的研究得到重視,泛在學(xué)習(xí)被認為是一種蘊含了豐富學(xué)習(xí)理念與教育意義的新型學(xué)習(xí)方式,它是在泛在技術(shù)和普適計算的情景創(chuàng)設(shè)與支持下,學(xué)習(xí)者根據(jù)自己的學(xué)習(xí)內(nèi)容和認知目標,積極主動地、隨時隨地利用易獲取的學(xué)習(xí)資源來開展的學(xué)習(xí)活動。泛在學(xué)習(xí)的發(fā)生依賴于學(xué)習(xí)資源的建設(shè),沒有適用的學(xué)習(xí)資源,泛在學(xué)習(xí)將難以開展。

2010年7月教育部的《國家中長期教育改革和發(fā)展規(guī)劃綱要(2010-2020)》指出,在加快教育信息化進程中要“加強優(yōu)質(zhì)教育資源開發(fā)與應(yīng)用……建立開放靈活的教育資源公共服務(wù)平臺,促進優(yōu)質(zhì)教育資源普及共享?!?012年3月教育部的《教育信息化十年發(fā)展規(guī)劃(2011-2020)》更是明確指出,“實施優(yōu)質(zhì)數(shù)字教育資源建設(shè)與共享是推進教育信息化的基礎(chǔ)工程和關(guān)鍵環(huán)節(jié),通過建設(shè)教育云資源平臺,匯聚百家企事業(yè)單位、萬名師生開發(fā)的優(yōu)秀資源。提供公平競爭、規(guī)范交易的系統(tǒng)環(huán)境,幫助所有師生和社會公眾方便選擇并獲取優(yōu)質(zhì)資源和服務(wù),實現(xiàn)優(yōu)質(zhì)資源共享和持續(xù)發(fā)展?!庇纱丝梢?,教育云資源的建設(shè)必將成為資源建設(shè)的新方向。

因此,深刻理解和把握泛在學(xué)習(xí)的特征,充分利用云計算技術(shù)的優(yōu)勢,在資源建設(shè)中貫徹并堅持若干機制,從而保障滿足泛在學(xué)習(xí)需要的教育云資源的建設(shè)就顯得特別重要。

一 教育資源建設(shè)存在的問題

我國各級教育部門及有關(guān)機構(gòu)經(jīng)過多年的努力,建設(shè)了大量的教育資源,有些省市甚至也了相關(guān)的資源制作標準、政策和措施來規(guī)范、保障資源的制作。文獻研究和行業(yè)分析表明,這些資源在滿足泛在學(xué)習(xí)方面主要存在以下問題:

1 缺乏對學(xué)習(xí)者的分析,不支持個性化學(xué)習(xí)

一方面教育資源浩如煙海,一方面學(xué)習(xí)者卻又難以找到適合個性化需要的資源,原因就在于當(dāng)前資源開發(fā)很少考慮學(xué)習(xí)者的需求,缺乏對學(xué)習(xí)者的需求、學(xué)習(xí)風(fēng)格等方面的分析。另外,資源平臺也沒有記錄學(xué)習(xí)者的資源使用偏好和學(xué)習(xí)記錄,而事實上這些都將成為后續(xù)資源建設(shè)的重要參考。

2 沒有版權(quán)保護,資源建設(shè)者的利益得不到保證

由于各方知識產(chǎn)權(quán)意識淡薄,也缺乏有效的版權(quán)保護技術(shù),教育資源市場缺乏規(guī)范的運行機制,使得資源建設(shè)者精心制作的資源可以輕松地在網(wǎng)絡(luò)上被他人獲取或篡改,并被廣泛傳播。這樣不但侵害了資源建設(shè)者的利益和知識產(chǎn)權(quán),也嚴重挫傷了他們的制作積極性。最終,資源的質(zhì)量沒有辦法得到保證,也影響了學(xué)習(xí)者對資源的使用。

3 沒有遵循統(tǒng)一的標準和規(guī)范,資源難以共享

由于缺乏統(tǒng)一的標準和規(guī)范,資源制作比較隨意,制作質(zhì)量也良莠不齊,甚至很多資源在科學(xué)性和教育性方面存有偏差。另外,資源制作者在實踐中沒有認真遵守相關(guān)的資源制作規(guī)范,使得資源的建設(shè)無章無序,難以被引用和共享。如,我國教育部“教育信息化標準技術(shù)委員會”制定了具有中國特色的教育信息化技術(shù)標準體系(CELTS),該體系中就包括《教育資源建設(shè)技術(shù)規(guī)范》(CELTS-41),但是一些資源制作單位并沒有認真遵守該規(guī)范。

4 缺乏溝通平臺,難以形成資源共建共享的良性互動

由于沒有溝通平臺,資源建設(shè)者和學(xué)習(xí)者往往是脫節(jié)的,資源建設(shè)者不知道學(xué)習(xí)者的需求,學(xué)習(xí)者也不知道通過什么渠道和資源建設(shè)者進行溝通,以致建設(shè)者無法依據(jù)學(xué)習(xí)者學(xué)習(xí)風(fēng)格和需要定制個性化的學(xué)習(xí)資源。不同資源建設(shè)主體之間也缺乏必要的溝通。這些都在一定程度上妨礙了資源的共建共享,也難以形成良性發(fā)展。

二 泛在學(xué)習(xí)的特征及對教育資源提出的需求

1 泛在學(xué)習(xí)的特征

泛在學(xué)習(xí)的最大特點就是泛在性。所謂泛在是指學(xué)習(xí)交織在日常生活中,無所不在,無時不在,以至于人們難以覺察其存在。泛在學(xué)習(xí)具有以下特征:

(1)情境性。情境性意味著學(xué)習(xí)者的學(xué)習(xí)活動具有高度的靈活性,允許學(xué)習(xí)位置的轉(zhuǎn)移,而不是將學(xué)習(xí)者限制在某一特定的學(xué)習(xí)環(huán)境中。學(xué)習(xí)者可以體驗真實的學(xué)習(xí)環(huán)境,可以在學(xué)習(xí)進程中自由變換甚至意識不到學(xué)習(xí)環(huán)境的存在。

(2)易得性。由于學(xué)習(xí)環(huán)境的開放性、兼容性及信息與物理空間的融合,學(xué)習(xí)者具有較強的體驗感和良好的接受度。同時,由于通信方式的多樣化和通信的高性能,學(xué)習(xí)者能夠找到適合需要的學(xué)習(xí)工具和方式。

(3)交互性和生成性。學(xué)習(xí)者利用終端設(shè)備可以隨時隨地直接從泛在環(huán)境中獲取信息,也可以與專家、教師或?qū)W習(xí)伙伴進行同步或異步的協(xié)作與共享交流。學(xué)習(xí)者可將學(xué)習(xí)中發(fā)生的過程性信息及在協(xié)作交流中形成的社會認知網(wǎng)絡(luò)記錄下來,并能完整而永久地保存在學(xué)習(xí)者檔案數(shù)據(jù)庫中,這些信息可以用來支持學(xué)習(xí)資源的智能推送,進而支持個性化學(xué)習(xí)。

(4)整合性。泛在學(xué)習(xí)既包括與學(xué)習(xí)有關(guān)的環(huán)境、工具、資源的整合,也包括學(xué)習(xí)方式、學(xué)習(xí)過程、學(xué)習(xí)成果的整合。學(xué)習(xí)資源、學(xué)習(xí)過程與學(xué)習(xí)成果的有效整合,使得學(xué)習(xí)者在不同情境中的學(xué)習(xí)具有連續(xù)性。

2 泛在學(xué)習(xí)對教育資源提出的需求

泛在學(xué)習(xí)的發(fā)生依賴于泛在學(xué)習(xí)環(huán)境下教育資源的建設(shè)。為滿足學(xué)習(xí)者隨時隨地通過任何學(xué)習(xí)終端都能夠進行學(xué)習(xí)的需要,教育資源的建設(shè)面臨著挑戰(zhàn)和變革。

(1)滿足個性化學(xué)習(xí)的需要

傳統(tǒng)E-learning環(huán)境下學(xué)習(xí)資源是靜態(tài)的、結(jié)構(gòu)封閉的,學(xué)習(xí)者只能按既定步調(diào)進行學(xué)習(xí),難以對資源進行個性化編輯。泛在學(xué)習(xí)環(huán)境下,為保證學(xué)習(xí)過程的延續(xù)性,使得學(xué)習(xí)者可以在任何時間、任何地點從任何智能資源空間中都能提取所需的學(xué)習(xí)資源,必須將資源結(jié)構(gòu)由靜態(tài)封閉變?yōu)閯討B(tài)開放,并能實現(xiàn)動態(tài)生成和不斷地進化發(fā)展。

(2)無限學(xué)習(xí)群體的海量資源需求

泛在學(xué)習(xí)環(huán)境下的學(xué)習(xí)者是一個不斷擴充的群體,同一學(xué)習(xí)者在不同的時間和地點需求也會不同。海量的學(xué)習(xí)資源是滿足不同群體的個性化學(xué)習(xí)需要的基本保障。事實上,沒有哪一個機構(gòu)或組織能夠全部承擔(dān)泛在學(xué)習(xí)環(huán)境下學(xué)習(xí)資源的建設(shè)任務(wù)。因此,必須改變當(dāng)前學(xué)習(xí)資源由專家或某機構(gòu)獨立制作的建設(shè)模式。

(3)資源存儲方式變革的需要

傳統(tǒng)的單點集中式資源存儲無論是從量上還是從存取的快捷性上都無法滿足泛在學(xué)習(xí)的要求,這就要求將單點集中式存儲變?yōu)榉植际骄W(wǎng)絡(luò)存儲。在分布式網(wǎng)絡(luò)存儲中,物理空間中存在著無數(shù)的資源存儲結(jié)點(如數(shù)據(jù)庫服務(wù)器、個人計算機等),這些結(jié)點通過泛在通信網(wǎng)絡(luò)建立鏈接,從而形成一個無限的資源智能網(wǎng)絡(luò)空間。連接在該網(wǎng)絡(luò)空間中的終端可以是任何可用來學(xué)習(xí)的設(shè)備,如個人計算機、PDA、智能手機等。學(xué)習(xí)者只需將精力集中于學(xué)習(xí)之中,無需關(guān)注資源來自哪個存儲結(jié)點。

(4)資源獲取快捷性和有效性的需求

為了能從無限的資源網(wǎng)絡(luò)中挑選出有限的適合學(xué)習(xí)者學(xué)習(xí)需要的內(nèi)容,快捷并有效地獲取資源是必須考慮的。為此,泛在學(xué)習(xí)環(huán)境下的學(xué)習(xí)資源相對于傳統(tǒng)的素材資源,除了需具備元數(shù)據(jù)描述功能外,還需對資源本身的智能性進行挖掘。一方面,要實現(xiàn)技術(shù)環(huán)境的自動適應(yīng),即資源能夠自適應(yīng)學(xué)習(xí)者所用設(shè)備的物理性能,從而實現(xiàn)資源的自動推送。另一方面,要實現(xiàn)個性特征的自動適應(yīng),即資源要能夠根據(jù)不同學(xué)習(xí)者的不同操作進行不同的反應(yīng)(如內(nèi)容的粒度大小、呈現(xiàn)順序等)。

三 云計算與教育云資源的部署

1 云計算

云計算興起于2007年,是分布式計算的自然延伸,是通過整合、管理、調(diào)配分布在網(wǎng)絡(luò)各處的計算資源,以按需分配、按用計費、通過互聯(lián)網(wǎng)分發(fā)并以統(tǒng)一的交互接口同時向大量學(xué)習(xí)者提供服務(wù)的一個IT服務(wù)模式。云計算可將分布在各地的服務(wù)器群進行互聯(lián),能夠滿足大規(guī)模計算能力、海量數(shù)據(jù)處理和信息服務(wù)的需求。提供各類資源的網(wǎng)絡(luò)被稱為“云”,對使用者而言,“云”中的資源可以隨時獲取、按需使用、隨時擴展。云計算技術(shù)將給教育信息化帶來新的機遇,如學(xué)習(xí)服務(wù)的個性化、終身學(xué)習(xí)的泛在化、知識創(chuàng)建協(xié)同化等,可為泛在學(xué)習(xí)環(huán)境下海量學(xué)習(xí)資源的存儲和共享提供技術(shù)支撐。

2 教育云資源

教育云資源是充分吸收和整合云計算的技術(shù)特點和優(yōu)勢,在云計算平臺上部署的數(shù)字化教育資源。教育資源通過云計算平臺提供給用戶,通過恰當(dāng)?shù)幕A(chǔ)設(shè)施建設(shè),從管理層面將資源的功能從資源的實體上分離出來,通過虛擬化技術(shù)屏蔽底層的硬件和軟件實施細節(jié),簡化業(yè)務(wù)應(yīng)用部署,提高資源利用率,實現(xiàn)資源的整合和靈活配置,有利于資源的聚類、共享、升級、推送。

3 教育云資源的部署

廣州大學(xué)在數(shù)字校園建設(shè)過程中,為支撐學(xué)校業(yè)務(wù)系統(tǒng)的運行、為學(xué)??蒲袌F隊提供計算能力及為師生提供學(xué)習(xí)資源,構(gòu)建了云計算平臺,并在上面部署了教育資源,其邏輯結(jié)構(gòu)如圖1所示。

由圖1可以看出,支撐教育云資源的云計算平臺主要包括云基礎(chǔ)、云管理、云服務(wù)和云安全四個方面。云基礎(chǔ)是整個硬件基礎(chǔ)和支撐平臺,包括服務(wù)器、存儲設(shè)備以及網(wǎng)絡(luò)設(shè)備等物理資源,通過虛擬化技術(shù)可以將物理資源虛擬化,通過對虛擬化資源的調(diào)度和管理,實現(xiàn)資源的按需分配和動態(tài)部署。云管理主要是對教育資源的存儲、服務(wù)調(diào)度、災(zāi)難處理等,以及根據(jù)資源利用率情況實現(xiàn)的服務(wù)遷移,其中教育資源云存儲是對海量資源的分布式存儲以及實現(xiàn)資源的流媒體播放等。云服務(wù)主要是借助數(shù)字化教育資源服務(wù)平臺對資源進行管理并提供給用戶使用,包括資源的展示、資源評價、資源的版權(quán)保護、根據(jù)用戶需要進行的資源推送、廣告管理以及為資源建設(shè)者、用戶、評價等各方提供的即時通信等。云安全是通過身份認證、角色管理、權(quán)限管理等機制來保障云計算平臺及用戶的安全。

分布在不同區(qū)域的單個教育云資源平臺可以通過互聯(lián)網(wǎng)實現(xiàn)數(shù)據(jù)通信和共享,從而形成更大的資源云,如圖2所示。

四 教育云資源建設(shè)的機制

通過我校教育云資源的實踐發(fā)現(xiàn),教育云資源的建設(shè)面臨技術(shù)、人才、管理等各方面的挑戰(zhàn)。為滿足泛在學(xué)習(xí)的需要,保障和促進教育云資源實現(xiàn)規(guī)范建設(shè)、高度共享、優(yōu)化配置,在教育云資源的建設(shè)過程中,教育主管部門提供政策支持與引導(dǎo)是保障條件;優(yōu)化資源建設(shè)模型是技術(shù)指引;多方參與、多方溝通、多元評價是保證資源建設(shè)質(zhì)量的內(nèi)在驅(qū)動力;實現(xiàn)知識產(chǎn)權(quán)保護、利益分成是保證資源建設(shè)質(zhì)量的外在驅(qū)動力。

1 教育主管部門應(yīng)把握機遇,提供政策支持與引導(dǎo)

教育主管部門應(yīng)深刻洞察云計算技術(shù)給資源建設(shè)帶來的機遇和挑戰(zhàn),組織力量深入研究其中的關(guān)鍵技術(shù)、理念變革及可能的機遇和風(fēng)險等,并以積極的姿態(tài)投入到這場變革之中,為教育資源的建設(shè)提供相關(guān)的政策支持與引導(dǎo)。

教育云資源的建設(shè)離不開云計算基礎(chǔ)設(shè)施的支撐,而云計算基礎(chǔ)設(shè)施的搭建和部署需要大容量高速存取的光纖存儲、計算能力較強的服務(wù)器以及光纖交換機等設(shè)備的支持,同時還需云計算管理軟件等實現(xiàn)對資源的部署和遷移。這些都需要較大的前期投資,如果單靠一所學(xué)?;蛞粋€教育機構(gòu)去投入,壓力較大。因此,需要教育主管部門制定相關(guān)的政策或進行相關(guān)的引導(dǎo),提供經(jīng)濟支持與政策扶持,鼓勵掌握云計算技術(shù)的IT公司參與教育資源云基礎(chǔ)設(shè)施的建設(shè)與部署。

同時,教育主管部門還應(yīng)發(fā)揮領(lǐng)導(dǎo)與協(xié)調(diào)作用,組織媒體開發(fā)專家、教學(xué)設(shè)計專家、學(xué)科領(lǐng)域?qū)<?、IT技術(shù)專家,制定能夠滿足Web2.0時代符合學(xué)習(xí)者個性化學(xué)習(xí)需要的教育資源建設(shè)標準與規(guī)范,開放相應(yīng)的接口(如資源規(guī)范接口、知識標準接口、應(yīng)用接口等),促進資源的建設(shè)與共享,以免所有的資源都被拋到“云”中,讓學(xué)習(xí)者無所適從。

廣州市政府為指導(dǎo)云計算產(chǎn)業(yè)發(fā)展,制定了《關(guān)于加快云計算產(chǎn)業(yè)發(fā)展的行動計劃(2011―2015年)》(簡稱“天云計劃”)。作為該計劃中示范重點工程之一的教育云示范,目的在于“整合全廣州市教育信息資源,建立數(shù)據(jù)交換與共享平臺,提供網(wǎng)上授課、在線輔導(dǎo)、在線考試、學(xué)生管理等云計算服務(wù),推動教育資源均衡化發(fā)展”。為此,廣州市政府將從“強化組織領(lǐng)導(dǎo),全面統(tǒng)籌協(xié)調(diào):完善政策配套,提高扶持力度;設(shè)立重大專項,加大資金投入”等多個方面促進和保障云計算產(chǎn)業(yè)的發(fā)展。

2 優(yōu)化資源信息建設(shè)模型,提升資源建設(shè)質(zhì)量

在教育資源的建設(shè)中,資源信息建設(shè)模型的設(shè)計起著至關(guān)重要的作用,不但決定了教育資源的質(zhì)量,還影響著資源的廣度和深度。目前國際主流的資源信息模型包括LOM、SCORM、IMS-LD、IMS Common Cartridge等,但這些模型忽視了學(xué)習(xí)過程、人際網(wǎng)絡(luò)、語義關(guān)聯(lián)、格式展現(xiàn)、語義本體描述等方面的信息。為克服這些資源信息模型存在的弊端,國內(nèi)余勝泉等人提出了適合泛在學(xué)習(xí)的新的資源信息建設(shè)模型――學(xué)習(xí)元。

在資源的建設(shè)中,采用學(xué)習(xí)元信息模型,不但可以方便地實現(xiàn)資源的管理,克服傳統(tǒng)資源建設(shè)的弊端,實現(xiàn)對資源的評價、推送及對移動學(xué)習(xí)終端的自適應(yīng),還可以根據(jù)知識網(wǎng)絡(luò)進行知識建模、知識聚合和知識推理,實現(xiàn)知識管理等功能。

余勝泉等人在國家自然科學(xué)基金項目“泛在學(xué)習(xí)的資源組織模型及其關(guān)鍵技術(shù)研究”中結(jié)合泛在學(xué)習(xí)的需求,采用學(xué)習(xí)元信息模型構(gòu)建了一種針對泛在學(xué)習(xí)的內(nèi)容個性化推薦模型,該模型從用戶興趣、學(xué)習(xí)偏好和知識模型三個角度出發(fā),利用泛在學(xué)習(xí)資源的語義描述、KNS網(wǎng)絡(luò)、生成性信息和學(xué)習(xí)活動等方面的特性,對結(jié)構(gòu)化泛在學(xué)習(xí)資源進行綜合推薦。

3 形成多方參與資源建設(shè)的機制

泛在學(xué)習(xí)對資源量的要求,使得我們必須改變當(dāng)前的教育資源從傳統(tǒng)的由某些權(quán)威專家或機構(gòu)單點生產(chǎn)的建設(shè)模式轉(zhuǎn)向?qū)W習(xí)者、教育機構(gòu)、專家等多方參與的建設(shè)模式。Web2.0最核心的一項理念就是學(xué)習(xí)者創(chuàng)造內(nèi)容。因此,應(yīng)充分調(diào)動學(xué)習(xí)者的參與精神和積極性,讓他們參與到資源的制作過程中,發(fā)揮集體的智慧和力量,為資源的建設(shè)做出貢獻并在實踐中形成新的資源建設(shè)模式。同時,由于學(xué)習(xí)者最清楚自己的資源需求,在資源建設(shè)中需要形成一種積極、穩(wěn)定、健全的學(xué)習(xí)者共同參與的機制。

廣州大學(xué)網(wǎng)絡(luò)與現(xiàn)代教育技術(shù)中心在電工電子類虛擬實驗教學(xué)資源建設(shè)過程中,專門組建了“電工電子實習(xí)項目”建設(shè)小組,小組成員主要由專業(yè)教師(來自物理與電子工程學(xué)院、機械與電氣工程學(xué)院)、中心的實驗教師和教育技術(shù)人員、具有3DMax基礎(chǔ)的學(xué)生等組成。3Dmax學(xué)生團隊主要來自于中心開設(shè)的全校公選課程3Dmax中的優(yōu)秀學(xué)生。專業(yè)教師負責(zé)腳本的撰寫及資源的科學(xué)性和教育性審查;實驗教師和教育技術(shù)人員主要是進行教學(xué)設(shè)計、學(xué)生建模方面的技術(shù)支持(如Unity3D實現(xiàn)、3D模型制作)以及對學(xué)生的培訓(xùn)和輔導(dǎo);學(xué)生團隊根據(jù)元器件的類型分為三個小組,分別進行車削類、方體類、不規(guī)則類元器件的建模。通過一年多的建設(shè),目前已經(jīng)完成電工模型20個、電子模型113個、工具和儀器儀表模型12個,同時完成了“焊接訓(xùn)練”虛擬實驗。

4 形成資源的多元評價機制

在以往的資源建設(shè)中,資源的評價往往只是簡單的定性評價,學(xué)習(xí)者很少重視對資源的評價,資源組織者也沒有很好地發(fā)掘和發(fā)揮評價的作用。面對泛在學(xué)習(xí)對教育資源建設(shè)的需求,我們需要引入資源的多元評價機制,讓資源接受學(xué)習(xí)者的檢驗,資源的生命周期以是否滿足、符合學(xué)習(xí)者的學(xué)習(xí)需要為標準。對于資源使用者而言,對資源的評價可以為他們提供具有實質(zhì)意義的指導(dǎo),幫助他們選擇相對更優(yōu)質(zhì)的、更適合自身學(xué)習(xí)的資源;對于資源建設(shè)者而言,對資源的評價可以為他們提供直接的和間接的意見或建議,為制作、創(chuàng)新或重構(gòu)更好的資源提供重要的借鑒數(shù)據(jù)和反饋信息:對資源管理者而言,對資源的評價可以為遴選優(yōu)質(zhì)資源提供更切實的依據(jù)。

為了保證資源評價的科學(xué)性與有效性,宜采用專家評價與用戶評價相結(jié)合的方式,如圖3所示。專家通常應(yīng)包括學(xué)科教學(xué)專家、教育技術(shù)專家、信息技術(shù)人員等,主要從技術(shù)性、科學(xué)性、教育性等方面綜合考慮。用戶的評價包括使用前評價和使用后評價。使用前評價是根據(jù)事先制定的資源評價指標體系,為不同用戶編寫不同的問卷來獲取評價信息及相應(yīng)的得分――使用前的評價得分。使用后評價則主要依據(jù)公開該資源后被引用情況的統(tǒng)計信息(如被點擊次數(shù)、被下載次數(shù)、被引用次數(shù)等)

以及用戶使用該資源后在網(wǎng)上的評論信息,再把二者結(jié)合起來進行綜合評價,得出使用后的評價分數(shù)。最后,再對使用前評價和使用后評價所產(chǎn)生的兩個得分作加權(quán)統(tǒng)計,由此得出用戶評價的總得分。最終資源的評價結(jié)果將是專家評價結(jié)果和用戶評價結(jié)果的綜合。

5 形成資源建設(shè)者、管理者和學(xué)習(xí)者等多方交互機制

資源的建設(shè)者和資源的使用者之間不應(yīng)是分開的,教學(xué)相長同樣適用于資源的建設(shè)。以往的學(xué)習(xí)平臺提供的一般只是學(xué)習(xí)者對資源的評價,資源建設(shè)者和學(xué)習(xí)者是分離的。為克服這種弊端,我們要建立資源建設(shè)者、學(xué)習(xí)者、管理者、評價者的溝通交流平臺,促進他們之間的溝通,這樣不但利于學(xué)習(xí)者的學(xué)習(xí),也能促進資源的建設(shè)。通過該平臺,學(xué)習(xí)者之間既可以交流心得,為資源提供評價意見,又可以為資源管理者提供意見和建議。

我們在電工電子類虛擬實驗教學(xué)資源建設(shè)過程中,為促進多方的交互與溝通,在云計算平臺上部署了即時通信系統(tǒng),如圖4所示。根據(jù)用戶的屬性,如所在校區(qū)、教師或?qū)W生、所在部門(學(xué)院)等,將用戶分配到系統(tǒng)中相應(yīng)的群組。通過該系統(tǒng),在同一個域(如“廣州大學(xué)大學(xué)城校區(qū)”)中的用戶可以根據(jù)需要自定義不同的群組(如車削類、方體類、不規(guī)則類),群組中的成員可以相互交流,還可以通過查找好友的方式與另一個域(如“廣州大學(xué)桂花崗校區(qū)”)中的用戶進行交流。同一“域”的用戶群組還可以實現(xiàn)信息的主動推送,譬如最新上線資源、某一資源的評價信息等。

6 形成知識版權(quán)保護機制

學(xué)習(xí)資源是資源建設(shè)者腦力勞動和創(chuàng)造性勞動的結(jié)晶,特別是優(yōu)質(zhì)教育資源的產(chǎn)生,資源建設(shè)者往往付出了非常艱苦和出色的勞動。由于這些資源放在網(wǎng)上,沒有知識產(chǎn)權(quán)保護,資源制作者的勞動得不到尊重,資源往往面臨肢解、濫用等情況。因此,不但要在學(xué)習(xí)者中培養(yǎng)尊重知識版權(quán)、保護知識版權(quán)的意識和責(zé)任,同時還需出臺相關(guān)的機制和政策,研究資源版權(quán)保護的技術(shù),切實維護資源建設(shè)者的利益。

廣州大學(xué)網(wǎng)絡(luò)與現(xiàn)代教育技術(shù)中心部署在云計算平臺上的數(shù)字資源管理系統(tǒng)可以對文檔資源和視頻資源進行版權(quán)控制。如對電子文檔資源,當(dāng)原始的電子書籍文檔被上傳到文檔服務(wù)器之后,服務(wù)器會隨機生成一串獨一無二的數(shù)字作為這個文檔的“鑰匙”,并利用這把“鑰匙”對文檔進行加密,進而封裝成另外的文件格式。當(dāng)經(jīng)過統(tǒng)一身份認證平臺登錄的用戶瀏覽該文檔時,服務(wù)器會把加密封裝好的文件和經(jīng)過加密的“鑰匙”一起發(fā)送給閱讀器,閱讀器才能正確瀏覽。當(dāng)未經(jīng)授權(quán)的用戶獲取到這個被加密的文檔,由于沒有那把“鑰匙”,是沒有任何辦法能把文檔內(nèi)容還原提取出來的。通過這種措施,可以實現(xiàn)對電子文檔資源的權(quán)限控制和版權(quán)管理。

7 形成資源建設(shè)的利益分成機制

教育資源的建設(shè)還要考慮資源建設(shè)者、提供者的利益分成。對于一般性的、受益面比較廣的資源,可以免費提供給學(xué)習(xí)者;對于一些專業(yè)性非常強的優(yōu)質(zhì)資源,可以引入計費機制,并適當(dāng)?shù)夭迦霃V告等措施,來吸引學(xué)習(xí)者,并給資源建設(shè)者一定的提成。資源的提成可以借鑒Google AdSense的廣告投放原理和機制,提供一些和資源內(nèi)容相關(guān)的文字廣告,吸引學(xué)習(xí)者的關(guān)注。根據(jù)資源建設(shè)者、評價者、管理者甚至學(xué)習(xí)者對資源的貢獻度進行利益分成。由于有了看得見的利益,不但讓資源建設(shè)者有成就感,還能促進優(yōu)質(zhì)資源的不斷產(chǎn)生,最終形成良性發(fā)展。