云存储安全分析

    随着信息技术的高速发展和社会经济的发展进步，人们对计算能力的需求不断提高，数据的访问形式也发生了巨大的变化:从单个节点的独享访问，到集群、多机系统的共享访问;从数据的分散存储，到集中存放、统一管理;从单个数据存放节点，向数据中心发展，到建立跨城市、跨洲际的数据存储和备份体系。这些变化，对传统的存储系统的体系架构、管理模式提出了挑战。云存储是一个有效地解决这些挑战的途径，并且已成为信息存储领域的一个研究热点。

    云存储是在云计算基础上延伸和发展出来的。它遵循了云计算共享基础设施的服务理念，以传统的大规模、可扩展的海量数据存储技术为基础，集成存储、网络、虚拟化和文件系统等多种技术，以超大规模、高性能、高效率、低能耗、高度可扩展、可靠性、可定制、动态组合和面向规模庞大的群体服务为系统目标，研究一种新的存储服务理念，为用户提供高效廉价、安全可靠、可扩展、可定制和按需使用的强大存储服务。云存储以其独特的特点和优势，集成并突破多种传统存储技术，避免了用户进行昂贵的设备采购、高额的管理和维护费用，提高了资源利用率，屏蔽了海量异构的数据存储管理的复杂性，增强了存储系统可扩展性、可伸缩性、可靠性和健壮性。作为一种新型服务化存储模式，云存储可广泛服务于经济建设、科学研究和国家安全等领域，具有重要而广阔的应用前景。

    然而，云存储服务在带来便利的同时，也引起了用户对于安全性的广泛担忧，调查显示，出于安全方面的考虑，多达70%的用户仍然不愿意将关键数据置于自身控制域之外。事实上，Google Docs , The Linkup等多家著名云服务商都曾出现过各种安全问题，并导致了严重的后果。安全技术的缺失已经成为云存储普及的最重要的障碍。

1 云存储系统架构

    2009年4月，全球网络存储工业协会(SNIA)主持组建了云存储技术工作组TWG。该组织的主要任务是引领云存储的发展方向，制订相关的行业规范。目前已发布了关于云存储规范的第一个版本云数据管理接口(CDMI)，在数据对象、容器、计算、计费、性能、队列、元数据6个方面提出了初步规范。与传统存储系统相比，云存储系统面向多种类型的网络在线存储服务，是一个由网络设备、存储设备、服务器、应用软件、公用访问接口、接入网和客户端程序等多个部分组成的复杂系统，对外提供安全、可靠、高效的数据存储和业务访问服务。云存储系统的体系结构可划分为4个层次，如图1所示。

图1云存储系统架构

    数据存储层是云存储最基础的部分，由不同类型的存储设备和网络设备组成。数据存储层实现海量数据的统一管理、存储设备管理、状态监控等。数据管理层是云存储最为核心的部分，也是最复杂的部分。数据管理层采用集群技术、分布式存储技术，实现多存储设备之间的协同工作，对外提供高可用性、可扩展性的服务，同时还负责数据加密、备份、容灾以及必要的计费等任务。数据服务层是利用云存储资源进行应用开发的关键部分，云存储提供商通过数据服务层为用户提供统一的协议和编程接口，进行应用程序的开发。用户访问层是基于云存储开发的应用程序的入口，授权用户可以通过标准的公用应用接口来登录云存储系统，享受云存储服务。

2 云存储系统安全分析

    数据的安全性及可用性是云存储系统最为突出的问题，受到产业界的普遍关注。云安全联盟(csA)发布的《云安全指南》是业界备受关注的安全参考。该指南着重总结了云计算的技术架构模型、安全控制模型以及相关的合规性模型之间的映射关系，在13个领域提出了具体的安全建议，包括事故响应、加密和密钥管理，身份和访问管理、以及法规和电子化搜寻等，并期望得到企业、机构和个人的关注、研究和采纳。

    在学术界，全球对云存储安全方面的研究还比较少。Bowers等提出了分布式加密系统; Cachin等通过使用加密工具来解决数据完整性和一致性问题，研究数据可恢复机制[fibfTamleek Ali等提出了基于云计算的使用控制模型，对UCON模型进行了改进，定义了文件管理模块、访问控制模块、认证模块等共同保护文件的整个生命周期;Xiaosong Lou等提出了一种基于数据毒化的版权保护方法，通过时间戳和签名判断用户是否合法，若为非法用户，针对他关于受保护文件的请求回应以不可用链接，消耗非法用户的计算能力来抵御攻击;Kaiwang等提出了一种基于数字水印技术的可信云平台，通过对数据片嵌入标识用户信息的水印来保证数据的可审计性及完整性，此外该文中还建立了云计算的信任模型建立云计算资源和数据中心间的信任关系; Jeremie Tharaud等则针对电子医疗信息云存储系统，提出用嵌入水印的方法来追踪电子医疗信息的分发者和使用者，在使用时提取水印进行验证，防止医疗信息被篡改。中国清华大学、华中科技大学、国防科技大学、北京邮电大学等科研院校也开始在云存储技术相关领域进行基础性研究工作。

    云存储系统的安全威胁主要表现如下:

    (1)云存储提供可伸缩的数据服务，无法清晰定义安全边界及保护设备，给云存储的安全保护措施增加了难度。

    (2)云存储通过IP网络传输数据，因此传统网络上的安全威胁也存在于云存储系统上，如数据破坏、数据窃取、数据篡改、拒绝服务等，影响了数据的安全存储。

    (3)数据存储的安全性包括静态存储安全和动态存储安全，静态存储安全是确保云存储系统上最终存储数据的存放安全，动态存储安全是确保在数据传输时的完整性和保密性。

    (4)云存储需要保证数据的容错J性、可恢复性和完整性，在灾难发生时如何避免数据服务中断及数据丢失等问题。

    (5)云存储系统作为一个公共数据中心，具有多客户连接、高交互性、数据安全保障要求高等特点，对入侵、攻击、病毒和恶意软件十分敏感，有必要对云存储中的数据流进行实时主动地检测和防御。

    可以说，不能保证安全的云存储，是无法运营的。但目前的研究只是对云存储的安全性做出提醒与建议，而没有提出具体的防护措施。因此，需要进一步研究云存储安全技术，制订云存储业务安全标准，让云存储业务安全、健康的发展。

3 云存储系统安全机制

    在基于云安全联盟(CSA)的云安全模型中，云存储安全机制可以归纳为3方面:平台安全机制、管控安全机制和应用安全机制。

    云存储平台安全机制保护整个云存储平台系统自身的安全，主要实现技术是密码技术和系统加固技术。密码技术保证系统和应用程序的完整性、提供强身份鉴别以及存储节点的透明加密。系统加固技术保障服务器和主机的安全性，如采用操作系统内核加固实现对计算/存储节点、虚拟主机的保护，免遭病毒木马攻击。

    云存储管控安全机制主要解决云存储平台安全管理的问题，包括对云存储节点服务器密钥的统一管理、密钥生命周期的可控性、云数据接口/云客户端密钥的自主性等。

    云存储应用安全机制主要解决云存储平台应用和服务的安全问题，主要技术有加密、身份认证、访问控制等。数据加密保证云存储静态数据和动态数据的机密性和完整性(静态数据，即磁盘数据、生产数据库中的数据及备份媒介中的数据等;动态数据，即网络中传输的数据，如信用卡号、密码和私钥等)。此外，加密信息检索是云存储数据加密中必须解决的问题之一。身份认证与访问控制必须包括身份供应、认证和访问控制三个功能，身份认证在云存储系统的各个层次都会涉及，如何实现单点登陆，使得用户的数据访问控制的身份能够具有应用的一致性，是一个需要解决的间题

4 一种云存储系统安全架构

    中国政府十分重视云存储系统及其安全技术的发展和产业化进程。2011年电子信息产业发展基金设立《云计算关键支撑技术及产业化(云存储服务)》项目，旨在研发具有自主知识产权的高性能、高可靠性、高安全性、高可扩展性、开放的云存储服务应用支撑系统。通过突破云存储的关键技术和先进的云存储服务应用支撑系统的创新研发和应用推广，促进中国云计算产业健康、快速的发展。

    本文介绍一种云存储服务应用支撑系统架构。它应用于云存储服务系统，是基于互联网应用的新型服务化存储模式，分为业务应用层、应用接口层、平台软件层和基础设备层，提供信息服务管理、运营统计分析和多种安全措施。云存储服务应用支撑系统总体应用结构如图2所示。其功能覆盖了平台软件层、业务活动监控中心、统一安全管理中心。

    业务应用层支持存储空间的托管和租赁、云邮件、网络社区、IPTV音视频监控等基本云存储服务，支持区域医疗云计算服务、村镇银行云计算服务等行业应用。任何一个授权用户都可以通过标准的公用应用接口来登录云存储系统，享受各种云存储服务。

    应用接口层提供多域安全隔离策略，支持文件、块、数据库和简单存储服务第三方(S3 )云接口等。提供遵循POSIX标准的文件级接口，提供开放的SOAP/REST和NFS/CIFS标准协议，通过应用编程接口(API)支持各种应用软件的开发。

    平台软件层支持Web服务和自助服务门户，提供客户权限管理、访问控制策略、统计与计费管理。提供以智能资源管理为核心的系统/网络管理、生命周期管理、协调调度与监控。通过集群、分布式文件系统或网格计算等技术，实现云存储中多个存储设备之间的协同工作，使多个的存储设备可以对外提供同一种服务，并提供更大更强更好的数据访问性能。提供服务动态部署系统、设备管理等运营软件。支持存储虚拟化、服务器虚拟化和网络虚拟化。通过各种数据备份和容灾技术和措施可以保证云存储中的数据不会丢失，保证云存储自身的安全和稳定。

图2 一种云存储服务系统的安全架构

    基础设备层提供高性能以及高可靠性的后端存储。存储设备可以是光纤通道(FC)存储设备，可以是网络连接式存储(NAS)和Internet小型计算机系统接口(iSCSI)等IP存储设备，也可以是小型计算机系统接口( SCSI)或串行连接SCSI(SAS)等直连式存储(DAS)存储设备。存储设备之上是一个统一存储设备管理系统，可以实现存储设备的逻辑虚拟化管理、多链路冗余管理，以及硬件设备的状态监控和故障维护。

    统一安全管理中心的根本目标是保证存储数据的安全，即数据的保密性、完整性和可用性;主要实现身份认证、访问授权、数据加密、数据隔离、入侵检测与恶意攻击处理与安全审计功能，解决信息存储安全，实现威胁来源的收集、分析与处理，即时进行安全升级和威胁防护，并完成安全信息的高效分发等功能。

    安全管理涉及的过程有数据生成、传输、保存、访问。在云存储服务应用支撑系统的各层次上都有相应的安全技术:如应用接口层的单点登陆、平台软件层涉及数据流转的数据加密技术、平台软件层的入侵检测处理技术、基础设备层的防火墙技术等等。

    业务活动监控中心主要负责云存储服务应用支撑系统中各类运营数据的采集与分析，快速发现和恢复系统故障，实现云存储服务应用支撑系统的高效可控运行。

5 结束语

    云存储是社会发展和技术发展的必然趋势，但其安全问题是云存储普及最重要的障碍。可以说云存储安全不单单是技术问题，还涉及到标准化、管理模式、法律法规等诸方面的问题。需要学术界、产业界以及政府相关部门共同努力才能实现。

核心关注：拓步ERP系统平台是覆盖了众多的业务领域、行业应用，蕴涵了丰富的ERP管理思想，集成了ERP软件业务管理理念，功能涉及供应链、成本、制造、CRM、HR等众多业务领域的管理，全面涵盖了企业关注ERP管理系统的核心领域，是众多中小企业信息化建设首选的ERP管理软件信赖品牌。

转载请注明出处：拓步ERP资讯网http://www.toberp.com/

本文标题：云存储安全分析

本文网址：http://www.toberp.com/html/consultation/1083958152.html