二、相关工作

　　云计算是被认为是继微型计算机、互联网后的第三次IT革命，它不仅是互联网技术发展、优化和组合的结果，也为整个社会信息化带来了全新的服务模式。云计算的定义在业界并未达成共识，不同机构赋予云计算不同的定义和内涵。其中，美国国家标准与技术研究院对云计算的定义是被接受和引用最广泛的。NIST认为，云计算是一个模型，这个模型可以方便地按需访问一个可配置的计算资源（如网络、服务器、存储设备、应用程序以及服务）的公共集。这些资源可以在实现管理成本或服务提供商干预最小化的同时被快速提供和发布。云模型包括了5个基本特征、3个云服务模式、4个云部署模型。从技术的角度来看，云计算不仅仅是一种新的概念，并行计算和虚拟化也是实现云计算应用的主要技术手段。由于硬件技术的快速发展，使得一台普通的物理服务器所具有的.性能远远超过普通的单一用户对硬件性能的需求。因此，在职业院校信息化系统的构建中，通过虚拟化的手段，将一台物理服务器虚拟为多台虚拟机，提供虚拟化服务成了构建职业院校私有云的技术基础。软件定义网络是一种新兴的控制与转发分离并直接可编程的网络架构。传统网络设备耦合的网络架构被分拆成应用、控制、转发三层分离的架构。控制功能被转移到服务器之上，上层应用、底层转发设施被抽象成多个逻辑实体。该研究来源于斯坦福大学的一个名为CleanSlate的项目，其目的是为了在不受现有互联网技术架构的影响下，重新设计新的网络底层实现方案。本文针对新型网络环境下职业院校信息化过程实际存在的问题，结合基于SDN的安全防护技术，提出一种结合职业院校网络业务信息流的逻辑关系的网络安全管理方案，并设计出一种基于可信业务访问关系表的网络安全管理系统，使得网络安全管理能够深度结合职业院校的真实业务逻辑，并实现高灵活、细粒度和高性能的网络安全管理。

　　三、新型网络环境下职业院校信息化面临的安全挑战

　　所谓新型网络环境，主要指使用了虚拟化技术来构建职业院校信息化系统的网络环境，这里既包括职业院校私有云的形态也包括仅适用服务器虚拟化技术的职业院校网络环境。在这样的网络环境中，通常用户的业务系统不仅仅存在于虚拟化环境中，由于信息化系统向虚拟化平台迁移并不能瞬间完成，因此在真实的应用场景中，往往会存在混合虚拟化环境和传统物理网络环境的情况。在这样复杂的网络环境下，存在以下几个方面的安全挑战：

　　（一）业务系统间信息流监测和梳理困难的问题

　　梳理清楚业务系统间的通信关系，并对业务系统间信息流提供实时的监测功能，对职业院校信息化环境实施安全防护方案有着重要作用，是让安全方案能够真正理解业务安全需求的重要步骤之一。但由于职业院校信息化不断向着计算系统的高度集中化发展，大量的业务主机集中管理在一个大型的网络环境中，如私有云的环境，使得跟踪和监测系统间的信息流变得非常困难：难以找到合适的监测点，并且由于虚拟机和物理主机的数量庞大，难以把分散在各处的监测数据整合起来。

　　（二）业务系统逻辑网络边界难以界定和隔离的问题

　　业务系统在使用虚拟机作为服务器后，传统的物理网络边界就失去了意义，虚拟机可以在虚拟化环境中进行漂移。虽然在逻辑上，一个业务系统仍然是由原先那几台服务器构成，但这几台服务器在物理拓扑位置上却并不一定在一起，甚至不固定，可能随着虚拟化环境资源的调配而发生变化，这样就使得以边界防护和隔离为管理目标的传统网络安全管理失去了存在的意义，同时也难以对一个业务系统的边界实施有效的安全隔离。

　　（三）安全设备监测负载过大、噪音数据过多的问题

　　在传统网络环境中，监控网络流量需要依靠在交换机上对数据包的捕获，再通过安全设备进行检测分析。而在虚拟化环境中，由于无法找到明确的网络边界，因此若想保证不存在安全监控的盲区，往往需要在所有物理交换机或虚拟交换机上进行抓包，以保证所有可能与被监控业务系统的通信流量都能够被捕获，这样就会在捕获到真正属于被监控业务系统的通信流量的同时，也抓取到大量的不属于被监控系统和主机的干扰数据，从而容易造成用于进行安全检测和防御的安全设备接收到过量的负载而导致处理能力和响应速度受到影响，同时大量的噪音数据也会影响安全检测的准确性，易产生大量的误报警。