隨著信息技術的高速發展和社會經濟的發展進步，人們對計算能力的需求不斷提高，數據的訪問形式也發生了巨大的變化:從單個節點的獨享訪問，到集群、多機系統的共享訪問;從數據的分散存儲，到集中存放、統一管理;從單個數據存放節點，向數據中心發展，到建立跨城市、跨洲際的數據存儲和備份體系。這些變化，對傳統的存儲系統的體系架構、管理模式提出了挑戰。云存儲是一個有效地解決這些挑戰的途徑，并且已成為信息存儲領域的一個研究熱點。

    云存儲是在云計算基礎上延伸和發展出來的。它遵循了云計算共享基礎設施的服務理念，以傳統的大規模、可擴展的海量數據存儲技術為基礎，集成存儲、網絡、虛擬化和文件系統等多種技術，以超大規模、高性能、高效率、低能耗、高度可擴展、可靠性、可定制、動態組合和面向規模龐大的群體服務為系統目標，研究一種新的存儲服務理念，為用戶提供高效廉價、安全可靠、可擴展、可定制和按需使用的強大存儲服務。云存儲以其獨特的特點和優勢，集成并突破多種傳統存儲技術，避免了用戶進行昂貴的設備采購、高額的管理和維護費用，提高了資源利用率，屏蔽了海量異構的數據存儲管理的復雜性，增強了存儲系統可擴展性、可伸縮性、可靠性和健壯性。作為一種新型服務化存儲模式，云存儲可廣泛服務于經濟建設、科學研究和國家安全等領域，具有重要而廣闊的應用前景。

    然而，云存儲服務在帶來便利的同時，也引起了用戶對于安全性的廣泛擔憂，調查顯示，出于安全方面的考慮，多達70%的用戶仍然不愿意將關鍵數據置于自身控制域之外。事實上，Google Docs , The Linkup等多家著名云服務商都曾出現過各種安全問題，并導致了嚴重的后果。安全技術的缺失已經成為云存儲普及的最重要的障礙。

1 云存儲系統架構

    2009年4月，全球網絡存儲工業協會(SNIA)主持組建了云存儲技術工作組TWG。該組織的主要任務是引領云存儲的發展方向，制訂相關的行業規范。目前已發布了關于云存儲規范的第一個版本云數據管理接口(CDMI)，在數據對象、容器、計算、計費、性能、隊列、元數據6個方面提出了初步規范。與傳統存儲系統相比，云存儲系統面向多種類型的網絡在線存儲服務，是一個由網絡設備、存儲設備、服務器、應用軟件、公用訪問接口、接入網和客戶端程序等多個部分組成的復雜系統，對外提供安全、可靠、高效的數據存儲和業務訪問服務。云存儲系統的體系結構可劃分為4個層次，如圖1所示。

圖1云存儲系統架構

    數據存儲層是云存儲最基礎的部分，由不同類型的存儲設備和網絡設備組成。數據存儲層實現海量數據的統一管理、存儲設備管理、狀態監控等。數據管理層是云存儲最為核心的部分，也是最復雜的部分。數據管理層采用集群技術、分布式存儲技術，實現多存儲設備之間的協同工作，對外提供高可用性、可擴展性的服務，同時還負責數據加密、備份、容災以及必要的計費等任務。數據服務層是利用云存儲資源進行應用開發的關鍵部分，云存儲提供商通過數據服務層為用戶提供統一的協議和編程接口，進行應用程序的開發。用戶訪問層是基于云存儲開發的應用程序的入口，授權用戶可以通過標準的公用應用接口來登錄云存儲系統，享受云存儲服務。

2 云存儲系統安全分析

    數據的安全性及可用性是云存儲系統最為突出的問題，受到產業界的普遍關注。云安全聯盟(csA)發布的《云安全指南》是業界備受關注的安全參考。該指南著重總結了云計算的技術架構模型、安全控制模型以及相關的合規性模型之間的映射關系，在13個領域提出了具體的安全建議，包括事故響應、加密和密鑰管理，身份和訪問管理、以及法規和電子化搜尋等，并期望得到企業、機構和個人的關注、研究和采納。

    在學術界，全球對云存儲安全方面的研究還比較少。Bowers等提出了分布式加密系統; Cachin等通過使用加密工具來解決數據完整性和一致性問題，研究數據可恢復機制[fibfTamleek Ali等提出了基于云計算的使用控制模型，對UCON模型進行了改進，定義了文件管理模塊、訪問控制模塊、認證模塊等共同保護文件的整個生命周期;Xiaosong Lou等提出了一種基于數據毒化的版權保護方法，通過時間戳和簽名判斷用戶是否合法，若為非法用戶，針對他關于受保護文件的請求回應以不可用鏈接，消耗非法用戶的計算能力來抵御攻擊;Kaiwang等提出了一種基于數字水印技術的可信云平臺，通過對數據片嵌入標識用戶信息的水印來保證數據的可審計性及完整性，此外該文中還建立了云計算的信任模型建立云計算資源和數據中心間的信任關系; Jeremie Tharaud等則針對電子醫療信息云存儲系統，提出用嵌入水印的方法來追蹤電子醫療信息的分發者和使用者，在使用時提取水印進行驗證，防止醫療信息被篡改。中國清華大學、華中科技大學、國防科技大學、北京郵電大學等科研院校也開始在云存儲技術相關領域進行基礎性研究工作。

    云存儲系統的安全威脅主要表現如下:

    (1)云存儲提供可伸縮的數據服務，無法清晰定義安全邊界及保護設備，給云存儲的安全保護措施增加了難度。

    (2)云存儲通過IP網絡傳輸數據，因此傳統網絡上的安全威脅也存在于云存儲系統上，如數據破壞、數據竊取、數據篡改、拒絕服務等，影響了數據的安全存儲。

    (3)數據存儲的安全性包括靜態存儲安全和動態存儲安全，靜態存儲安全是確保云存儲系統上最終存儲數據的存放安全，動態存儲安全是確保在數據傳輸時的完整性和保密性。

    (4)云存儲需要保證數據的容錯J性、可恢復性和完整性，在災難發生時如何避免數據服務中斷及數據丟失等問題。

    (5)云存儲系統作為一個公共數據中心，具有多客戶連接、高交互性、數據安全保障要求高等特點，對入侵、攻擊、病毒和惡意軟件十分敏感，有必要對云存儲中的數據流進行實時主動地檢測和防御。

    可以說，不能保證安全的云存儲，是無法運營的。但目前的研究只是對云存儲的安全性做出提醒與建議，而沒有提出具體的防護措施。因此，需要進一步研究云存儲安全技術，制訂云存儲業務安全標準，讓云存儲業務安全、健康的發展。

3 云存儲系統安全機制

    在基于云安全聯盟(CSA)的云安全模型中，云存儲安全機制可以歸納為3方面:平臺安全機制、管控安全機制和應用安全機制。

    云存儲平臺安全機制保護整個云存儲平臺系統自身的安全，主要實現技術是密碼技術和系統加固技術。密碼技術保證系統和應用程序的完整性、提供強身份鑒別以及存儲節點的透明加密。系統加固技術保障服務器和主機的安全性，如采用操作系統內核加固實現對計算/存儲節點、虛擬主機的保護，免遭病毒木馬攻擊。

    云存儲管控安全機制主要解決云存儲平臺安全管理的問題，包括對云存儲節點服務器密鑰的統一管理、密鑰生命周期的可控性、云數據接口/云客戶端密鑰的自主性等。

    云存儲應用安全機制主要解決云存儲平臺應用和服務的安全問題，主要技術有加密、身份認證、訪問控制等。數據加密保證云存儲靜態數據和動態數據的機密性和完整性(靜態數據，即磁盤數據、生產數據庫中的數據及備份媒介中的數據等;動態數據，即網絡中傳輸的數據，如信用卡號、密碼和私鑰等)。此外，加密信息檢索是云存儲數據加密中必須解決的問題之一。身份認證與訪問控制必須包括身份供應、認證和訪問控制三個功能，身份認證在云存儲系統的各個層次都會涉及，如何實現單點登陸，使得用戶的數據訪問控制的身份能夠具有應用的一致性，是一個需要解決的間題

4 一種云存儲系統安全架構

    中國政府十分重視云存儲系統及其安全技術的發展和產業化進程。2011年電子信息產業發展基金設立《云計算關鍵支撐技術及產業化(云存儲服務)》項目，旨在研發具有自主知識產權的高性能、高可靠性、高安全性、高可擴展性、開放的云存儲服務應用支撐系統。通過突破云存儲的關鍵技術和先進的云存儲服務應用支撐系統的創新研發和應用推廣，促進中國云計算產業健康、快速的發展。

    本文介紹一種云存儲服務應用支撐系統架構。它應用于云存儲服務系統，是基于互聯網應用的新型服務化存儲模式，分為業務應用層、應用接口層、平臺軟件層和基礎設備層，提供信息服務管理、運營統計分析和多種安全措施。云存儲服務應用支撐系統總體應用結構如圖2所示。其功能覆蓋了平臺軟件層、業務活動監控中心、統一安全管理中心。

    業務應用層支持存儲空間的托管和租賃、云郵件、網絡社區、IPTV音視頻監控等基本云存儲服務，支持區域醫療云計算服務、村鎮銀行云計算服務等行業應用。任何一個授權用戶都可以通過標準的公用應用接口來登錄云存儲系統，享受各種云存儲服務。

    應用接口層提供多域安全隔離策略，支持文件、塊、數據庫和簡單存儲服務第三方(S3 )云接口等。提供遵循POSIX標準的文件級接口，提供開放的SOAP/REST和NFS/CIFS標準協議，通過應用編程接口(API)支持各種應用軟件的開發。

    平臺軟件層支持Web服務和自助服務門戶，提供客戶權限管理、訪問控制策略、統計與計費管理。提供以智能資源管理為核心的系統/網絡管理、生命周期管理、協調調度與監控。通過集群、分布式文件系統或網格計算等技術，實現云存儲中多個存儲設備之間的協同工作，使多個的存儲設備可以對外提供同一種服務，并提供更大更強更好的數據訪問性能。提供服務動態部署系統、設備管理等運營軟件。支持存儲虛擬化、服務器虛擬化和網絡虛擬化。通過各種數據備份和容災技術和措施可以保證云存儲中的數據不會丟失，保證云存儲自身的安全和穩定。

圖2 一種云存儲服務系統的安全架構

    基礎設備層提供高性能以及高可靠性的后端存儲。存儲設備可以是光纖通道(FC)存儲設備，可以是網絡連接式存儲(NAS)和Internet小型計算機系統接口(iSCSI)等IP存儲設備，也可以是小型計算機系統接口( SCSI)或串行連接SCSI(SAS)等直連式存儲(DAS)存儲設備。存儲設備之上是一個統一存儲設備管理系統，可以實現存儲設備的邏輯虛擬化管理、多鏈路冗余管理，以及硬件設備的狀態監控和故障維護。

    統一安全管理中心的根本目標是保證存儲數據的安全，即數據的保密性、完整性和可用性;主要實現身份認證、訪問授權、數據加密、數據隔離、入侵檢測與惡意攻擊處理與安全審計功能，解決信息存儲安全，實現威脅來源的收集、分析與處理，即時進行安全升級和威脅防護，并完成安全信息的高效分發等功能。

    安全管理涉及的過程有數據生成、傳輸、保存、訪問。在云存儲服務應用支撐系統的各層次上都有相應的安全技術:如應用接口層的單點登陸、平臺軟件層涉及數據流轉的數據加密技術、平臺軟件層的入侵檢測處理技術、基礎設備層的防火墻技術等等。

    業務活動監控中心主要負責云存儲服務應用支撐系統中各類運營數據的采集與分析，快速發現和恢復系統故障，實現云存儲服務應用支撐系統的高效可控運行。

5 結束語

    云存儲是社會發展和技術發展的必然趨勢，但其安全問題是云存儲普及最重要的障礙。可以說云存儲安全不單單是技術問題，還涉及到標準化、管理模式、法律法規等諸方面的問題。需要學術界、產業界以及政府相關部門共同努力才能實現。

核心關注：拓步ERP系統平臺是覆蓋了眾多的業務領域、行業應用，蘊涵了豐富的ERP管理思想，集成了ERP軟件業務管理理念，功能涉及供應鏈、成本、制造、CRM、HR等眾多業務領域的管理，全面涵蓋了企業關注ERP管理系統的核心領域，是眾多中小企業信息化建設首選的ERP管理軟件信賴品牌。

轉載請注明出處：拓步ERP資訊網http://m.guhuozai8.cn/

本文標題：云存儲安全分析

本文網址：http://m.guhuozai8.cn/html/consultation/1083958152.html