基于分布式存儲的數字圖書館云存儲安全架構研究

●馬曉亭，陳 臣

（蘭州商學院a.信息工程學院；b．網絡中心，蘭州 730020）

1 引言

云存儲技術的發(fā)展給傳統(tǒng)圖書館數字化建設和服務模式帶來深刻的變革?；谠拼鎯Γ–loud Storage）技術的云圖書館是云計算技術在圖書館建設中的具體應用，是結合集群應用技術、網格技術、分布式文件系統(tǒng)、虛擬計算與存儲自動化技術，將分布在世界不同區(qū)域網絡中的大量計算、存儲設備，通過應用軟件對計算與存儲能力負載均衡協(xié)同工作，共同對圖書館數字用戶提供數據存儲和業(yè)務訪問功能的云系統(tǒng)。云圖書館可以根據自身建設與用戶服務需求，對計算與存儲資源按需分配，進行虛擬化的存儲和數據管理。

云圖書館在日常建設、維護與服務中，因其分布式與虛擬化存儲、計算特點，除受到傳統(tǒng)數字圖書館安全威脅外，還面臨云計算環(huán)境下身份認證和訪問控制、數據云存儲和傳輸的保密性問題、云用戶數據隔離的問題。此外，云服務提供商與云應用開發(fā)商可能遵循不同的云標準與安全準則，會導致云圖書館應用安全漏洞，對云圖書館網絡與信息系統(tǒng)安全產生威脅。只有加強云存儲系統(tǒng)安全技術分析與設計，針對云存儲安全威脅采用有效的技術與管理手段，才能確保云圖書館數據存儲的安全、高效。

2 云圖書館云端數據存儲的安全威脅

云圖書館和傳統(tǒng)的數字圖書館相比，在數據存儲上具有經濟、高效、移動和分布式存儲計算特點。同時，云這種新的計算與存儲模式，對云數據的保密性、完整性、可用性、有效性產生了新的安全威脅。云用戶核心數據在存儲和傳輸時可能被竊取和篡改，合法云用戶在需要云端數據服務時可能無法準確獲取、存儲數據。云圖書館云端數據存儲的安全威脅主要來自以下幾個方面：

2.1 來自云服務提供商的威脅

在云數字圖書館建設中，除了自建私有云外，為給全世界范圍用戶提供更高效、便捷的云服務，云圖書館往往會租賃位于世界不同地域云服務提供商的云空間，將云圖書館數據分布存儲于不同的云設施上。因此，和其它用戶共享云服務提供商的存儲設備和云空間，成為云圖書館數據存儲的必然模式。

不同云服務提供商應對云安全威脅的能力不同，不但要面對傳統(tǒng)的網絡與系統(tǒng)安全威脅，還要面對云存儲環(huán)境下特有的密鑰破解、分布式拒絕服務攻擊(DDoS)，托管惡意數據、云空間其它租戶跨越虛擬隔離空間非法訪問等威脅。云圖書館通過應用程序編程接口(API)執(zhí)行管理、業(yè)務流程控制、配置和監(jiān)控，來實現云圖書館用戶身份認證、訪問控制、數據加密、監(jiān)控和云數據遠程遷移。云服務提供商接口和基礎API內置的安全性，決定了云圖書館在數據傳輸、存儲、管理行為的安全水平。此外，云服務提供商工作人員可能通過獲得超級權限非法訪問云圖書館核心數據，影響云圖書館的安全性。［1］

2.2 云圖書館數據傳輸安全

云圖書館在建設、維護、運營過程中，有海量的資料數據與管理信息遠程傳輸到云存儲空間，其中部分信息是云圖書館安全運營、客戶資料、財務信息與關鍵業(yè)務流程等核心數據，關系到云圖書館的正常運營與客戶隱私。在云圖書館對租賃的云空間遠程更新、維護時，數據面臨著以下安全威脅：一是云圖書館業(yè)務數據通過互聯網遠程傳輸過程中沒有加密或者加密易破解，黑客在傳輸過程中截獲并還原。二是云存儲中服務是可伸縮的，對外部用戶來說是不透明的。因此，云存儲中無法清晰地定義安全邊界及需要安全保護的設施，為具體保護措施的實施增加了一定難度。由于沒有采取恰當的云空間用戶隔離策略，導致用戶非法訪問與信息竊取。三是數據存儲于云空間時，如何加強圖書館云資源的權限認證體系，確保合法用戶按權限隨時安全、可靠訪問數據。四是云服務器可能遭受來自互聯網中的惡意攻擊，造成服務中斷、數據破壞、信息被竊取和篡改。［2］

2.3 云圖書館云存儲區(qū)域機制安全

云圖書館云存儲區(qū)域機制安全主要有平臺安全機制、管控安全機制和應用安全機制3個方面。平臺安全機制是保護整個云存儲平臺系統(tǒng)自身的安全問題，其中核心技術是密碼技術和平臺加固技術。如果密碼技術體系薄弱，則無法保證所有程序和應用系統(tǒng)的完整性，無法提供基于PKI（公鑰基礎設施）的用戶身份鑒別以及存儲節(jié)點的透明加密。如果加固技術保障范圍和程度有限，則無法保障服務器、主機的安全性，無法確保操作系統(tǒng)內核、存儲節(jié)點、虛擬主機及云空間隔離的數據免遭病毒、木馬攻擊。云存儲管控安全機制負責對云節(jié)點服務器密鑰的統(tǒng)一管理、密鑰生命周期的可控性、云數據接口、云客戶端密鑰的自主性管理。云存儲應用安全機制主要負責存儲加密、備份加密、交換加密、身份認證與訪問控制、接口安全及云端數據庫安全。因此，黑客往往通過查找云系統(tǒng)漏洞攻擊存儲區(qū)域防范安全體系，通過獲得超級權限控制整個云圖書館系統(tǒng)。

2.4 云圖書館數據審計與用戶身份認證安全

云圖書館對存儲于云服務提供商設備內的數據進行管理時，為確保遠程存儲于租賃云空間數據的安全性，會借助具有技術實力與信譽的第三方認證機構進行審計和認證。如果審計和認證范圍不廣泛或可靠性較低，則不能確保云計算服務商為眾多云用戶提供云服務的同時，保證云數字圖書館數據存儲安全。審計和認證過程可以對云計算服務提供商的可持續(xù)發(fā)展性進行評價，使云數字圖書館對云服務提供商的技術實力與業(yè)務交付能力潛在風險進行評估。此外，云圖書館數字用戶身份認證的快速、有效性決定了云服務的安全與效率。確保圖書館云用戶在業(yè)務層與基礎架構層的身份認證方式相同，實現單點登陸；確保云用戶在運營層和虛擬層登陸身份一致，使用戶對云圖書館數據訪問控制的身份具有應用一致性；確保對用戶身份認證的同時，加強對核心數據訪問的設備層身份認證，不斷提高云圖書館核心數據訪問的安全性，對云圖書館數據存儲安全具有重要意義。［3］

2.5 云數字圖書館存儲虛擬化安全問題

虛擬化存儲是云圖書館區(qū)別于傳統(tǒng)數字圖書館的一項核心存儲技術，對云存儲安全提出了新要求。在云圖書館虛擬化平臺上，如何保證不同用戶虛擬存儲平臺之間的安全，如何保證虛擬平臺之間切換、傳輸、同步的安全成為一個新的重點安全問題。因此，云服務提供商如何合理有效構建虛擬HIPS（主機入侵防御系統(tǒng)）、虛擬防火墻，如何設計符合云服務商業(yè)務特點的云存儲架構，直接關系到云圖書館的數據存儲安全。

3 云圖書館云存儲安全分層模型及與傳統(tǒng)數字圖書館安全模型的差異

3.1 云圖書館云存儲安全分層模型

按照云存儲的功能結構與云存儲安全的平衡風險與投入原則，結合云安全技術與云圖書館云存儲結構特點，設計了云存儲安全的分層模型，使云存儲從結構、功能、安全性能上能更加清晰、可分析。

云圖書館云存儲安全分層模型依據模塊結構與功能，分為設備層、虛擬層、運營層和業(yè)務層。第一層為設備層，主要由提供存儲、網絡安全、計算的基本設備及相關硬件、基礎軟件組成，為云存儲系統(tǒng)提供設備加密、傳輸加密、病毒查殺、防火墻、入侵檢測、系統(tǒng)加固、設備加鎖等安全技術。提供了基于設備和網絡的安全服務，保護云圖書館基礎設施與服務免遭惡意攻擊和破壞。第二層為虛擬層，主要實現設備的虛擬化，為云運營層服務提供支撐，確保用戶身份認證、虛擬化應用安全及日志審計。第三層為運營層，通過對虛擬層作用實現對虛擬設備的管理和業(yè)務虛擬部署，實現云用戶及訪問的可控性。并根據需要進行計費、日志審計等工作，提供了基于運營管理平臺的安全服務能力，為云業(yè)務層提供支持。第四層為業(yè)務層，在運營層基礎上，提供各種云存儲、云計算等云服務。同時負責云圖書館數據庫加密、文件加密授權、病毒查殺、用戶身份認證、訪問控制及日志審計，提供了基于應用的安全服務。

云圖書館云存儲安全分層模型中，病毒查殺、防火墻、入侵檢測、IPS、系統(tǒng)加固、設備加鎖等基礎安全防護服務是數字圖書館云存儲的數據安全基礎，身份認證、訪問控制及各種加密技術是云服務及數據安全的核心機制，而日志審計、冗余備份、應急服務等機制則為確保數據可用性、不可抵賴性提供了安全保護能力。［4］

3.2 數字圖書館傳統(tǒng)安全模型

傳統(tǒng)數字圖書館在系統(tǒng)建設模式和服務方式上與云圖書館有較大差異。傳統(tǒng)數字圖書館安全技術遵循ISO七層協(xié)議（物理層、鏈路層、網絡層、傳輸層、會話層、表示層、應用層）來劃分。

ISO七層協(xié)議描述了開放系統(tǒng)互聯的安全體系結構，提出設計安全的信息系統(tǒng)基礎架構。其中主要包含五個方面的安全服務：分別是身份鑒別、訪問控制、數據保密性、數據完整性和防抵賴。相對于這五個方面的安全服務，提出了相應的8種安全機制和3種安全管理方式。8種安全機制分別為加密、數字簽名、訪問控制、數據完整性、數據交換、業(yè)務流填充、路由控制、公證。3種安全管理方式分別為對系統(tǒng)安全、安全服務和安全機制的管理。［5］

3.3 云圖書館安全模型與傳統(tǒng)數字圖書館安全模型的差異

3.3.1 圖書館用戶訪問數據流量和方式不同

傳統(tǒng)數字圖書館基礎設施建設相對簡單，服務對象單一，承載的業(yè)務僅為數字圖書館數字用戶相關服務。因此，傳統(tǒng)數字圖書館業(yè)務流量模型相對簡單、穩(wěn)定，系統(tǒng)維護及安全策略規(guī)律性強，可針對實際業(yè)務與安全威脅制定相應的防范措施。而云圖書館基礎設施多為租賃一個或者多個云服務商空間，同一云空間為多用戶共同服務。多用戶、多服務模式由統(tǒng)一基礎架構的網絡進行承載，云系統(tǒng)維護復雜且標準不統(tǒng)一，無法依據用戶及服務模式特征分而治之。系統(tǒng)數據流量海量且無規(guī)律，云存儲空間由多用戶共享，安全風險問題較突出。［6］

3.3.2 云圖書館和傳統(tǒng)圖書館計算、存儲安全模式不同

虛擬化計算與虛擬化存儲是云圖書館和傳統(tǒng)數字圖書館在計算與存儲模式上的區(qū)別。云圖書館計算、存儲資源按需分配，不同用戶數據之間的安全隔離成為云圖書館虛擬存儲安全基本要求。虛擬化計算與虛擬化存儲在提高云圖書館計算與存儲效率時，如何實現云安全即服務(SaaS)在基于存儲資源和計算資源高度整合條件下的虛擬化交付，如何確保安全設備適應云計算中心基礎網絡架構和應用服務的虛擬化要求，實現云圖書館基礎架構和云安全環(huán)境的統(tǒng)一虛擬交付，是云數字圖書館和傳統(tǒng)數字圖書館在計算、存儲安全模式上的區(qū)別。

3.3.3 云圖書館和傳統(tǒng)數字圖書館網絡與系統(tǒng)安全邊界不同

與傳統(tǒng)數字圖書館相比，基于云計算的數字圖書館存儲和計算資源高度整合，基礎網絡與系統(tǒng)架構邊界具有高度不確定性。因此，無法準確描述確定的云圖書館網絡與安全設備的部署邊界，使云圖書館無法劃分與部署有效的安全邊界，無法依據所設定的安全邊界進行網絡與系統(tǒng)的安全隔離和訪問控制，并依據云圖書館網絡不同區(qū)域安全要求執(zhí)行不同級別的安全防護策略。［7］

3.3.4 云圖書館具備更準確、快捷的威脅檢測引擎

云圖書館和傳統(tǒng)數字圖書館相比，在計算資源和存儲資源上的共享特性，決定了云圖書館較傳統(tǒng)數字圖書館具備更準確、快捷的威脅檢測引擎。傳統(tǒng)的數字圖書館在網絡和系統(tǒng)安全構建中，將數字圖書館網絡按安全要求不同劃分為不同等級的安全區(qū)域。針對來自網外和數字圖書館內部用戶的安全威脅，以防火墻、網關的方式，將數字圖書館分為可信的內部網絡和不可信的外部網絡，并制定相應的訪問策略進行風險控制。而客戶端防火墻和殺毒軟件僅保障了本端系統(tǒng)安全，所監(jiān)測的安全威脅信息不能在所有圖書館數字用戶間共享。而云圖書館在計算資源和存儲資源上的共享特性，確保單一客戶端可成為已知與未知威脅的傳感器，將本地檢測到的安全信息與不能識別的可疑數據送到云端，利用云端的超級計算能力進行未知威脅檢測，并傳輸到其它云用戶實現安全信息共享，從而實現云模式的安全檢測。

4 云圖書館云端數據存儲的安全威脅對策

只有認真分析云圖書館面臨的安全威脅，從云存儲系統(tǒng)建設、云安全維護策略制定及安全防范、管理制度上入手，有針對性的采取有效安全措施，才能確保云圖書館云端數據存儲安全，更好地為用戶服務。

4.1 制定有效的云圖書館基礎設施與網絡建設準則

云圖書館存儲區(qū)域網絡建設中，要根據云圖書館服務內容和用戶規(guī)模自建或者租用云存儲空間和網絡。云計算環(huán)境下，龐大的用戶數量及大量的突發(fā)業(yè)務，造成云圖書館租賃的云系統(tǒng)網絡、計算、存儲需求的不確定性，云圖書館無法控制云空間和網絡服務質量。因此，在選擇云服務商時，要選擇安全設備具備對高密度10G、100G接口的處理能力，其安全設備可以依據云圖書館用戶規(guī)模和安全建設思路合理配置。此外，還要考慮到云圖書館服務的高速增長、可持續(xù)發(fā)展及不間斷服務特性。所提供的云設備必須具備雙機冗余備份、數據熱備份更新、CPU及電源風扇的冗余、鏈路捆綁聚合及硬件Bypass（旁路保護） 等特性，實現大流量匯聚情況下的基礎安全防護。［8］

4.2 提高云圖書館云端與用戶端安全威脅監(jiān)測關聯、共享能力

云計算與云存儲能力共享是云圖書館的顯著特征。在云圖書館安全防護體系中，云端超強計算能力是云圖書館高效、準確、快速、安全檢測已知與未知威脅的保障。在云計算模式下，云圖書館用戶可利用云端強大的計算能力，對客戶端存在的基礎威脅進行檢測和防護，并利用病毒行為監(jiān)控技術防范未知威脅?？蛻舳丝蓪⒈镜夭荒茏R別的可疑流量及時送到云端檢測中心，利用云端計算能力快速分析安全威脅，并將獲取的威脅特征推送到全部客戶端和安全網關，使云圖書館所有系統(tǒng)和客戶端都具備云安全監(jiān)測、防范的能力。

此外，對于云圖書館安全級別要求較高的核心業(yè)務，可建立專門的云安全中心，核心數據流都引入到集中的安全服務中心進行安全處理，然后再發(fā)送回客戶端。這種集中的安全服務中心，實現了用戶安全服務的單獨配置，不但保障了云圖書館核心業(yè)務安全，同時有效地節(jié)約了云圖書館安全建設經費。［9］

4.3 建設以虛擬化技術為支撐的安全防護體系

虛擬化計算與存儲技術是云圖書館“按需購買服務”的關鍵技術。云圖書館根據建設和服務需要購買云服務，不但提高了云圖書館服務效率與水平，而且降低了建設與運營維護成本。云服務提供商對云空間個性化的存儲計算及應用資源合理分配時，雖然提高了運營效率并降低了建設成本，但云資源通過虛擬化技術的邏輯隔離，造成不同云服務租戶之間的數據安全威脅，使圖書館用戶在云網絡內進行數據傳輸、處理與存儲時，在物理上不能與其它用戶做到安全隔離。

云圖書館存儲應用中的存儲安全主要有認證服務、數據加密存儲、安全管理、安全日志和審計組成,通過對云圖書館用戶進行訪問控制服務實現用戶身份認證、授權，防止非法訪問和越權訪問。云圖書館根據用戶級別賦予不同的權限，用戶只能依據權限對特定文件、數據進行訪問、下載、修改操作。而管理員只能對云圖書館進行用戶管理、數據備份、熱點對象遷移，而不能訪問云用戶加密了的私有數據和空間。因此，可采用去耦合技術將底層物理設備與上層操作系統(tǒng)、軟件分離，在降低能耗的同時提供存儲資源動態(tài)共享和靈活擴展的能力。

在云圖書館網絡基礎架構中，采用支持虛擬化技術隔離的防火墻。根據用戶權限不同將用戶映射到不同的虛擬化用戶組中，每個虛擬化組采用獨立、統(tǒng)一的安全控制策略以及獨立的操作權限，對云圖書館分別進行管理、維護、瀏覽、下載等操作。云圖書館和其它云用戶共享同一云服務器時，要確保不同用戶運行的多個獨立的操作系統(tǒng)及應用軟件、存儲數據在邏輯上完全隔離，不能被其他虛擬化系統(tǒng)引擎所訪問，才能保證不降低云主機計算與存儲性能的情況下，每個云圖書館客戶虛擬機系統(tǒng)、虛擬化軟件、虛擬平臺之間通信的安全，保證多個虛擬平臺之間切換、數據傳輸、數據同步的安全。

4.4 在云圖書館云存儲應用中加密

由于云圖書館網絡邊界和用戶存儲區(qū)域的不確定性，導致云圖書館數據在處理、存儲、傳輸過程中可能被竊取、修改、替換。加密存儲是保證云圖書館核心數據與用戶私有數據在共享云存儲平臺安全的核心技術，是對云圖書館指定的目錄和文件進行加密后保存，實現敏感數據存儲和傳送過程中的機密性保護措施，確保數據被非法用戶截獲后也無法還原。

云圖書館是用戶與終端基于網絡平臺對云系統(tǒng)計算與存儲資源的共享。云存儲系統(tǒng)在保證敏感數據機密性的同時，必須在確保存儲系統(tǒng)高度安全及用戶信任的基礎上，提供相應的云用戶加密數據共享技術。在不降低云系統(tǒng)計算存儲性能及云網絡傳輸效率的前提下，采用網絡存儲系統(tǒng)的加密存儲技術，提供端到端加密存儲技術及密鑰長期存儲和共享機制，加強密鑰存儲的安全性、分發(fā)的高效性及加密策略的靈活性，確保云用戶數據的機密性和隱私性。此外，在云圖書館海量加密信息存儲中，加密檢索是確保云圖書館數字安全及用戶隱私保護的主要手段。

4.5 建設兩個以上跨地域的云存儲數據中心

云安全存儲技術具有數據自動冗余存儲、整合異構存儲平臺、云節(jié)點無單點故障提升業(yè)務連續(xù)性、密碼技術保障數據安全性等特征。利用云安全存儲技術建設云圖書館，具有低成本、快速部署、管理簡便、可靠性高及數據災難備份等優(yōu)勢。因此，在云圖書館存儲區(qū)域建設中，要建設主云存儲數據中心和備份云存儲數據中心等至少兩個以上完全相同的跨地域云存儲數據中心，形成一個跨地域的統(tǒng)一安全存儲平臺。云圖書館主中心和備份存儲中心以負載均衡方式工作，并定期由主中心向備份中心和其它云存儲節(jié)點進行數據備份遷移。當主中心遭受攻擊或因不可抗拒因素停止工作時，由備份中心保障云圖書館數據安全及服務的不間斷性。

5 結束語

隨著云存儲技術在云圖書館建設與用戶服務應用中的不斷深入，云圖書館運營、維護與用戶服務中的安全性問題將更加突出。與傳統(tǒng)的數字圖書館相比，云圖書館提高數據存儲與讀取效率的同時，對數據存儲安全技術的依賴性不斷增強。只有在云圖書館存儲區(qū)域架構設計階段認真分析云系統(tǒng)所面臨的威脅與安全要求，在系統(tǒng)運營中運用先進的云安全技術，在制度上加強云圖書館運營安全管理，才能建設安全的云圖書館，為用戶提供安全、高效、經濟、便捷的云服務。［10］

［1］中國電信集團公司．中國電信（2010） 141號云計算技術白皮書［R］．北京：中國電信集團公司，2010：35－46.

［2］中國電信集團公司．中國電信(2010)166號網絡安全計算技術白皮書［R］．北京：中國電信集團公司，2010：27－35.

［3］王鵬．走進云計算［M］．北京：人民郵電出版社，2009：121－135.

［4］馮丹．網絡存儲關鍵技術的研究及進展［J］．移動通信，2009，33（11）：35－38.

［5］屈志毅，等．一種基于信息分散算法的分布式數據存儲方案［J］．計算機應用，2006，26（5）：1102－1105.

［6］郭春梅．云安全技術研究與趨勢［EB/OL］．［2011－06－18］．http://articles.e-works.net.cn/Security/Article80100.htm.

［7］吳吉義，等．云計算：從概念到平臺［J］．電信科學，2009，25（12）：23－30.

［8］田敬，代亞非．P2P持久存儲研究［J］．軟件學報，2007，18（6）：1379－1399.

［9］王慶波，等．虛擬化與云計算［M］．北京：電子工業(yè)出版社，2009：181－184.

［10］金文新．高校圖書館存儲系統(tǒng)的構建及其數據安全和備份方案研究［J］．情報資料工作，2009（1）：40－43.