隨著信息技術的高速發(fā)展和社會經(jīng)濟的發(fā)展進步，人們對計算能力的需求不斷提高，數(shù)據(jù)的訪問形式也發(fā)生了巨大的變化:從單個節(jié)點的獨享訪問，到集群、多機系統(tǒng)的共享訪問;從數(shù)據(jù)的分散存儲，到集中存放、統(tǒng)一管理;從單個數(shù)據(jù)存放節(jié)點，向數(shù)據(jù)中心發(fā)展，到建立跨城市、跨洲際的數(shù)據(jù)存儲和備份體系。這些變化，對傳統(tǒng)的存儲系統(tǒng)的體系架構、管理模式提出了挑戰(zhàn)。云存儲是一個有效地解決這些挑戰(zhàn)的途徑，并且已成為信息存儲領域的一個研究熱點。

    云存儲是在云計算基礎上延伸和發(fā)展出來的。它遵循了云計算共享基礎設施的服務理念，以傳統(tǒng)的大規(guī)模、可擴展的海量數(shù)據(jù)存儲技術為基礎，集成存儲、網(wǎng)絡、虛擬化和文件系統(tǒng)等多種技術，以超大規(guī)模、高性能、高效率、低能耗、高度可擴展、可靠性、可定制、動態(tài)組合和面向規(guī)模龐大的群體服務為系統(tǒng)目標，研究一種新的存儲服務理念，為用戶提供高效廉價、安全可靠、可擴展、可定制和按需使用的強大存儲服務。云存儲以其獨特的特點和優(yōu)勢，集成并突破多種傳統(tǒng)存儲技術，避免了用戶進行昂貴的設備采購、高額的管理和維護費用，提高了資源利用率，屏蔽了海量異構的數(shù)據(jù)存儲管理的復雜性，增強了存儲系統(tǒng)可擴展性、可伸縮性、可靠性和健壯性。作為一種新型服務化存儲模式，云存儲可廣泛服務于經(jīng)濟建設、科學研究和國家安全等領域，具有重要而廣闊的應用前景。

    然而，云存儲服務在帶來便利的同時，也引起了用戶對于安全性的廣泛擔憂，調(diào)查顯示，出于安全方面的考慮，多達70%的用戶仍然不愿意將關鍵數(shù)據(jù)置于自身控制域之外。事實上，Google Docs , The Linkup等多家著名云服務商都曾出現(xiàn)過各種安全問題，并導致了嚴重的后果。安全技術的缺失已經(jīng)成為云存儲普及的最重要的障礙。

1 云存儲系統(tǒng)架構

    2009年4月，全球網(wǎng)絡存儲工業(yè)協(xié)會(SNIA)主持組建了云存儲技術工作組TWG。該組織的主要任務是引領云存儲的發(fā)展方向，制訂相關的行業(yè)規(guī)范。目前已發(fā)布了關于云存儲規(guī)范的第一個版本云數(shù)據(jù)管理接口(CDMI)，在數(shù)據(jù)對象、容器、計算、計費、性能、隊列、元數(shù)據(jù)6個方面提出了初步規(guī)范。與傳統(tǒng)存儲系統(tǒng)相比，云存儲系統(tǒng)面向多種類型的網(wǎng)絡在線存儲服務，是一個由網(wǎng)絡設備、存儲設備、服務器、應用軟件、公用訪問接口、接入網(wǎng)和客戶端程序等多個部分組成的復雜系統(tǒng)，對外提供安全、可靠、高效的數(shù)據(jù)存儲和業(yè)務訪問服務。云存儲系統(tǒng)的體系結(jié)構可劃分為4個層次，如圖1所示。

圖1云存儲系統(tǒng)架構

    數(shù)據(jù)存儲層是云存儲最基礎的部分，由不同類型的存儲設備和網(wǎng)絡設備組成。數(shù)據(jù)存儲層實現(xiàn)海量數(shù)據(jù)的統(tǒng)一管理、存儲設備管理、狀態(tài)監(jiān)控等。數(shù)據(jù)管理層是云存儲最為核心的部分，也是最復雜的部分。數(shù)據(jù)管理層采用集群技術、分布式存儲技術，實現(xiàn)多存儲設備之間的協(xié)同工作，對外提供高可用性、可擴展性的服務，同時還負責數(shù)據(jù)加密、備份、容災以及必要的計費等任務。數(shù)據(jù)服務層是利用云存儲資源進行應用開發(fā)的關鍵部分，云存儲提供商通過數(shù)據(jù)服務層為用戶提供統(tǒng)一的協(xié)議和編程接口，進行應用程序的開發(fā)。用戶訪問層是基于云存儲開發(fā)的應用程序的入口，授權用戶可以通過標準的公用應用接口來登錄云存儲系統(tǒng)，享受云存儲服務。

2 云存儲系統(tǒng)安全分析

    數(shù)據(jù)的安全性及可用性是云存儲系統(tǒng)最為突出的問題，受到產(chǎn)業(yè)界的普遍關注。云安全聯(lián)盟(csA)發(fā)布的《云安全指南》是業(yè)界備受關注的安全參考。該指南著重總結(jié)了云計算的技術架構模型、安全控制模型以及相關的合規(guī)性模型之間的映射關系，在13個領域提出了具體的安全建議，包括事故響應、加密和密鑰管理，身份和訪問管理、以及法規(guī)和電子化搜尋等，并期望得到企業(yè)、機構和個人的關注、研究和采納。

    在學術界，全球?qū)υ拼鎯Π踩�方面的研究還比較少。Bowers等提出了分布式加密系統(tǒng); Cachin等通過使用加密工具來解決數(shù)據(jù)完整性和一致性問題，研究數(shù)據(jù)可恢復機制[fibfTamleek Ali等提出了基于云計算的使用控制模型，對UCON模型進行了改進，定義了文件管理模塊、訪問控制模塊、認證模塊等共同保護文件的整個生命周期;Xiaosong Lou等提出了一種基于數(shù)據(jù)毒化的版權保護方法，通過時間戳和簽名判斷用戶是否合法，若為非法用戶，針對他關于受保護文件的請求回應以不可用鏈接，消耗非法用戶的計算能力來抵御攻擊;Kaiwang等提出了一種基于數(shù)字水印技術的可信云平臺，通過對數(shù)據(jù)片嵌入標識用戶信息的水印來保證數(shù)據(jù)的可審計性及完整性，此外該文中還建立了云計算的信任模型建立云計算資源和數(shù)據(jù)中心間的信任關系; Jeremie Tharaud等則針對電子醫(yī)療信息云存儲系統(tǒng)，提出用嵌入水印的方法來追蹤電子醫(yī)療信息的分發(fā)者和使用者，在使用時提取水印進行驗證，防止醫(yī)療信息被篡改。中國清華大學、華中科技大學、國防科技大學、北京郵電大學等科研院校也開始在云存儲技術相關領域進行基礎性研究工作。

    云存儲系統(tǒng)的安全威脅主要表現(xiàn)如下:

    (1)云存儲提供可伸縮的數(shù)據(jù)服務，無法清晰定義安全邊界及保護設備，給云存儲的安全保護措施增加了難度。

    (2)云存儲通過IP網(wǎng)絡傳輸數(shù)據(jù)，因此傳統(tǒng)網(wǎng)絡上的安全威脅也存在于云存儲系統(tǒng)上，如數(shù)據(jù)破壞、數(shù)據(jù)竊取、數(shù)據(jù)篡改、拒絕服務等，影響了數(shù)據(jù)的安全存儲。

    (3)數(shù)據(jù)存儲的安全性包括靜態(tài)存儲安全和動態(tài)存儲安全，靜態(tài)存儲安全是確保云存儲系統(tǒng)上最終存儲數(shù)據(jù)的存放安全，動態(tài)存儲安全是確保在數(shù)據(jù)傳輸時的完整性和保密性。

    (4)云存儲需要保證數(shù)據(jù)的容錯J性、可恢復性和完整性，在災難發(fā)生時如何避免數(shù)據(jù)服務中斷及數(shù)據(jù)丟失等問題。

    (5)云存儲系統(tǒng)作為一個公共數(shù)據(jù)中心，具有多客戶連接、高交互性、數(shù)據(jù)安全保障要求高等特點，對入侵、攻擊、病毒和惡意軟件十分敏感，有必要對云存儲中的數(shù)據(jù)流進行實時主動地檢測和防御。

    可以說，不能保證安全的云存儲，是無法運營的。但目前的研究只是對云存儲的安全性做出提醒與建議，而沒有提出具體的防護措施。因此，需要進一步研究云存儲安全技術，制訂云存儲業(yè)務安全標準，讓云存儲業(yè)務安全、健康的發(fā)展。

3 云存儲系統(tǒng)安全機制

    在基于云安全聯(lián)盟(CSA)的云安全模型中，云存儲安全機制可以歸納為3方面:平臺安全機制、管控安全機制和應用安全機制。

    云存儲平臺安全機制保護整個云存儲平臺系統(tǒng)自身的安全，主要實現(xiàn)技術是密碼技術和系統(tǒng)加固技術。密碼技術保證系統(tǒng)和應用程序的完整性、提供強身份鑒別以及存儲節(jié)點的透明加密。系統(tǒng)加固技術保障服務器和主機的安全性，如采用操作系統(tǒng)內(nèi)核加固實現(xiàn)對計算/存儲節(jié)點、虛擬主機的保護，免遭病毒木馬攻擊。

    云存儲管控安全機制主要解決云存儲平臺安全管理的問題，包括對云存儲節(jié)點服務器密鑰的統(tǒng)一管理、密鑰生命周期的可控性、云數(shù)據(jù)接口/云客戶端密鑰的自主性等。

    云存儲應用安全機制主要解決云存儲平臺應用和服務的安全問題，主要技術有加密、身份認證、訪問控制等。數(shù)據(jù)加密保證云存儲靜態(tài)數(shù)據(jù)和動態(tài)數(shù)據(jù)的機密性和完整性(靜態(tài)數(shù)據(jù)，即磁盤數(shù)據(jù)、生產(chǎn)數(shù)據(jù)庫中的數(shù)據(jù)及備份媒介中的數(shù)據(jù)等;動態(tài)數(shù)據(jù)，即網(wǎng)絡中傳輸?shù)臄?shù)據(jù)，如信用卡號、密碼和私鑰等)。此外，加密信息檢索是云存儲數(shù)據(jù)加密中必須解決的問題之一。身份認證與訪問控制必須包括身份供應、認證和訪問控制三個功能，身份認證在云存儲系統(tǒng)的各個層次都會涉及，如何實現(xiàn)單點登陸，使得用戶的數(shù)據(jù)訪問控制的身份能夠具有應用的一致性，是一個需要解決的間題

4 一種云存儲系統(tǒng)安全架構

    中國政府十分重視云存儲系統(tǒng)及其安全技術的發(fā)展和產(chǎn)業(yè)化進程。2011年電子信息產(chǎn)業(yè)發(fā)展基金設立《云計算關鍵支撐技術及產(chǎn)業(yè)化(云存儲服務)》項目，旨在研發(fā)具有自主知識產(chǎn)權的高性能、高可靠性、高安全性、高可擴展性、開放的云存儲服務應用支撐系統(tǒng)。通過突破云存儲的關鍵技術和先進的云存儲服務應用支撐系統(tǒng)的創(chuàng)新研發(fā)和應用推廣，促進中國云計算產(chǎn)業(yè)健康、快速的發(fā)展。

    本文介紹一種云存儲服務應用支撐系統(tǒng)架構。它應用于云存儲服務系統(tǒng)，是基于互聯(lián)網(wǎng)應用的新型服務化存儲模式，分為業(yè)務應用層、應用接口層、平臺軟件層和基礎設備層，提供信息服務管理、運營統(tǒng)計分析和多種安全措施。云存儲服務應用支撐系統(tǒng)總體應用結(jié)構如圖2所示。其功能覆蓋了平臺軟件層、業(yè)務活動監(jiān)控中心、統(tǒng)一安全管理中心。

    業(yè)務應用層支持存儲空間的托管和租賃、云郵件、網(wǎng)絡社區(qū)、IPTV音視頻監(jiān)控等基本云存儲服務，支持區(qū)域醫(yī)療云計算服務、村鎮(zhèn)銀行云計算服務等行業(yè)應用。任何一個授權用戶都可以通過標準的公用應用接口來登錄云存儲系統(tǒng)，享受各種云存儲服務。

    應用接口層提供多域安全隔離策略，支持文件、塊、數(shù)據(jù)庫和簡單存儲服務第三方(S3 )云接口等。提供遵循POSIX標準的文件級接口，提供開放的SOAP/REST和NFS/CIFS標準協(xié)議，通過應用編程接口(API)支持各種應用軟件的開發(fā)。

    平臺軟件層支持Web服務和自助服務門戶，提供客戶權限管理、訪問控制策略、統(tǒng)計與計費管理。提供以智能資源管理為核心的系統(tǒng)/網(wǎng)絡管理、生命周期管理、協(xié)調(diào)調(diào)度與監(jiān)控。通過集群、分布式文件系統(tǒng)或網(wǎng)格計算等技術，實現(xiàn)云存儲中多個存儲設備之間的協(xié)同工作，使多個的存儲設備可以對外提供同一種服務，并提供更大更強更好的數(shù)據(jù)訪問性能。提供服務動態(tài)部署系統(tǒng)、設備管理等運營軟件。支持存儲虛擬化、服務器虛擬化和網(wǎng)絡虛擬化。通過各種數(shù)據(jù)備份和容災技術和措施可以保證云存儲中的數(shù)據(jù)不會丟失，保證云存儲自身的安全和穩(wěn)定。

圖2 一種云存儲服務系統(tǒng)的安全架構

    基礎設備層提供高性能以及高可靠性的后端存儲。存儲設備可以是光纖通道(FC)存儲設備，可以是網(wǎng)絡連接式存儲(NAS)和Internet小型計算機系統(tǒng)接口(iSCSI)等IP存儲設備，也可以是小型計算機系統(tǒng)接口( SCSI)或串行連接SCSI(SAS)等直連式存儲(DAS)存儲設備。存儲設備之上是一個統(tǒng)一存儲設備管理系統(tǒng)，可以實現(xiàn)存儲設備的邏輯虛擬化管理、多鏈路冗余管理，以及硬件設備的狀態(tài)監(jiān)控和故障維護。

    統(tǒng)一安全管理中心的根本目標是保證存儲數(shù)據(jù)的安全，即數(shù)據(jù)的保密性、完整性和可用性;主要實現(xiàn)身份認證、訪問授權、數(shù)據(jù)加密、數(shù)據(jù)隔離、入侵檢測與惡意攻擊處理與安全審計功能，解決信息存儲安全，實現(xiàn)威脅來源的收集、分析與處理，即時進行安全升級和威脅防護，并完成安全信息的高效分發(fā)等功能。

    安全管理涉及的過程有數(shù)據(jù)生成、傳輸、保存、訪問。在云存儲服務應用支撐系統(tǒng)的各層次上都有相應的安全技術:如應用接口層的單點登陸、平臺軟件層涉及數(shù)據(jù)流轉(zhuǎn)的數(shù)據(jù)加密技術、平臺軟件層的入侵檢測處理技術、基礎設備層的防火墻技術等等。

    業(yè)務活動監(jiān)控中心主要負責云存儲服務應用支撐系統(tǒng)中各類運營數(shù)據(jù)的采集與分析，快速發(fā)現(xiàn)和恢復系統(tǒng)故障，實現(xiàn)云存儲服務應用支撐系統(tǒng)的高效可控運行。

5 結(jié)束語

    云存儲是社會發(fā)展和技術發(fā)展的必然趨勢，但其安全問題是云存儲普及最重要的障礙�？梢哉f云存儲安全不單單是技術問題，還涉及到標準化、管理模式、法律法規(guī)等諸方面的問題。需要學術界、產(chǎn)業(yè)界以及政府相關部門共同努力才能實現(xiàn)。

核心關注：拓步ERP系統(tǒng)平臺是覆蓋了眾多的業(yè)務領域、行業(yè)應用，蘊涵了豐富的ERP管理思想，集成了ERP軟件業(yè)務管理理念，功能涉及供應鏈、成本、制造、CRM、HR等眾多業(yè)務領域的管理，全面涵蓋了企業(yè)關注ERP管理系統(tǒng)的核心領域，是眾多中小企業(yè)信息化建設首選的ERP管理軟件信賴品牌。

轉(zhuǎn)載請注明出處：拓步ERP資訊網(wǎng)http://www.oesoe.com/

本文標題：云存儲安全分析

本文網(wǎng)址：http://www.oesoe.com/html/consultation/1083958152.html