張瑜　白璐　贠永剛

摘 要 云計(jì)算帶來(lái)的云存儲(chǔ)服務(wù)，為用戶(hù)帶來(lái)了新的數(shù)據(jù)存儲(chǔ)方式和資源共享模式，方便了人們的生活和工作，但云環(huán)境面臨的挑戰(zhàn)還很多，如何確保云存儲(chǔ)的安全是必要的，本文介紹了幾種云存儲(chǔ)的安全策略。

關(guān)鍵字 云計(jì)算 云存儲(chǔ) 安全 策略

中圖分類(lèi)號(hào)：TP3 文獻(xiàn)標(biāo)識(shí)碼：A

在云計(jì)算方式中，如果軟硬件的信息和資源是共享的，那么就可以按照所設(shè)定的命令進(jìn)行信息和資源的傳遞，將信息和資源傳遞給其他的計(jì)算機(jī)，由于云計(jì)算的活動(dòng)是依賴(lài)于互聯(lián)網(wǎng)，所以大部分的時(shí)間都會(huì)涉及到由互聯(lián)網(wǎng)進(jìn)行提供很多動(dòng)態(tài)易擴(kuò)展的資源，而且通常這些資源都是虛擬的。通過(guò)這種模式可以充分發(fā)揮了云計(jì)算的幾大優(yōu)勢(shì)和特點(diǎn)：（1）虛擬化。云計(jì)算支持用戶(hù)在任意位置、使用各種終端獲取應(yīng)用服務(wù)。所請(qǐng)求的資源來(lái)自“云”，而不是固定的有形的實(shí)體。（2）高可靠性?！霸啤笔褂昧藬?shù)據(jù)多副本容錯(cuò)、計(jì)算節(jié)點(diǎn)同構(gòu)可互換等措施來(lái)保障服務(wù)的高可靠性，使用云計(jì)算比使用本地計(jì)算機(jī)可靠。（3）通用性。云計(jì)算不針對(duì)特定的應(yīng)用，在“云”的支撐下可以構(gòu)造出千變?nèi)f化的應(yīng)用，同一個(gè)“云”可以同時(shí)支撐不同的應(yīng)用運(yùn)行。（4）可擴(kuò)展性。“云”的規(guī)?？梢詣?dòng)態(tài)伸縮，滿(mǎn)足應(yīng)用和用戶(hù)規(guī)模增長(zhǎng)的需要。（5）按需服務(wù)?！霸啤笔且粋€(gè)龐大的資源池，可按需購(gòu)買(mǎi)，自來(lái)水，電，煤氣那樣計(jì)費(fèi)、使用。（6）極其廉價(jià)。由于“云”的特殊容錯(cuò)措施可以采用極其廉價(jià)的節(jié)點(diǎn)來(lái)構(gòu)成云，“云”的自動(dòng)化集中式管理使大量企業(yè)無(wú)需負(fù)擔(dān)日益高昂的數(shù)據(jù)中心管理成本，“云”的通用性使資源的利用率較之傳統(tǒng)系統(tǒng)大幅提升，因此用戶(hù)可以充分享受“云”的低成本優(yōu)勢(shì)。

云存儲(chǔ)是基于云計(jì)算的一種數(shù)據(jù)訪(fǎng)問(wèn)服務(wù)，可以通俗的理解為配置了超大存儲(chǔ)空間的云計(jì)算系統(tǒng)，它將網(wǎng)絡(luò)中大量不同類(lèi)型的存儲(chǔ)設(shè)備通過(guò)相應(yīng)軟件集合起來(lái)協(xié)同工作，共同為用戶(hù)提供數(shù)據(jù)存儲(chǔ)和訪(fǎng)問(wèn)業(yè)務(wù)，它的核心便是數(shù)據(jù)存儲(chǔ)和管理。隨著云存儲(chǔ)服務(wù)的發(fā)展，越來(lái)越多的企業(yè)和個(gè)人享受到了其高效、快捷、低成本的服務(wù)，但是它的安全問(wèn)題也值得人們的關(guān)注?？梢圆捎靡韵聨追N安全策略：

（1）數(shù)據(jù)加密

為防止云客戶(hù)端的數(shù)據(jù)信息被盜取，或者被內(nèi)部人員非法泄露，一般都會(huì)對(duì)數(shù)據(jù)的訪(fǎng)問(wèn)采用加密技術(shù)。當(dāng)前比較成熟的加密技術(shù)一般分為對(duì)稱(chēng)加密算法（DES）和非對(duì)稱(chēng)加密算法（RSA）兩類(lèi)。我們可以用兩者相結(jié)合的方式來(lái)保證云用戶(hù)數(shù)據(jù)的安全性。當(dāng)用戶(hù)向云服務(wù)器發(fā)出請(qǐng)求時(shí)，服務(wù)器首先生成一個(gè) RSA公鑰/私鑰對(duì)，然后把公鑰發(fā)送給用戶(hù)。此時(shí)，用戶(hù)端已生成自己的 DES密鑰，并使用服務(wù)器端發(fā)送的 RSA公鑰加密自己的 DES密鑰，并把加密后的DES密鑰發(fā)送給服務(wù)器端，然后服務(wù)器端再用 RSA私鑰來(lái)解密用戶(hù)端發(fā)送的DES；密鑰。這樣，數(shù)據(jù)在傳輸過(guò)程中即使被截取，沒(méi)有DES密鑰便無(wú)法獲取原始數(shù)據(jù)；假若 DES密鑰泄露，經(jīng)過(guò) RSA公鑰加密，而解密私鑰仍保存在服務(wù)器端，截取者仍無(wú)法獲取原始數(shù)據(jù)，這樣的雙重加密大大提高了數(shù)據(jù)的安全性。

（2）身份認(rèn)證

除了數(shù)據(jù)的安全，用戶(hù)身份的認(rèn)證也是必要的，這時(shí)，不僅要通過(guò)云存儲(chǔ)服務(wù)供應(yīng)商的身份認(rèn)證，還要遵循一定的訪(fǎng)問(wèn)控制策略。云存儲(chǔ)服務(wù)供應(yīng)商采用基于多種安全憑證的聯(lián)合身份認(rèn)證。用戶(hù)可以先提供姓名和口令，然后再提供由云存儲(chǔ)服務(wù)供應(yīng)商提供的動(dòng)態(tài)驗(yàn)證碼，確保用戶(hù)身份的合法性。此外，用戶(hù)使用多個(gè)云存儲(chǔ)服務(wù)供應(yīng)商提供的服務(wù)，會(huì)產(chǎn)生很多的口令，而使用聯(lián)合身份認(rèn)證只需認(rèn)證一次，避免了數(shù)據(jù)頻繁穿梭云間帶來(lái)的不必要阻礙。

（3）安全訪(fǎng)問(wèn)

我們要靈活區(qū)分和支持不同客戶(hù)的動(dòng)態(tài)安全需求，首先要保證云端不同客戶(hù)之間數(shù)據(jù)的強(qiáng)隔離性，使得一個(gè)用戶(hù)不得越權(quán)訪(fǎng)問(wèn)其他用戶(hù)的數(shù)據(jù)；其次，還要保障云客戶(hù)自己內(nèi)部數(shù)據(jù)的適當(dāng)隔離，客戶(hù)可以根據(jù)自己的安全需求靈活制定訪(fǎng)問(wèn)控制策略，隔離內(nèi)部不同部門(mén)和區(qū)域的數(shù)據(jù)；同時(shí)也可以引入虛擬組織，實(shí)現(xiàn)不同用戶(hù)之間的數(shù)據(jù)共享或限制沖突用戶(hù)之間的數(shù)據(jù)共享。

（4）虛擬化安全

虛擬化安全的目標(biāo)是確保數(shù)據(jù)的隔離性，包括每個(gè)物理機(jī)上的不同云存儲(chǔ)服務(wù)供應(yīng)商之間的數(shù)據(jù)隔離以及虛擬數(shù)據(jù)和物理設(shè)備之間的隔離。為保證隔離效果，我們可從虛擬化軟件安全和虛擬服務(wù)器安全兩方面人手。虛擬化軟件一般直接部署在裸機(jī)上，它的主要作用是保障客戶(hù)的虛擬機(jī)在多用戶(hù)的情況下對(duì)重要數(shù)據(jù)進(jìn)行相互隔離，因此，要對(duì)所有授權(quán)用戶(hù)訪(fǎng)問(wèn)虛擬軟件層時(shí)進(jìn)行嚴(yán)格限制。在安裝虛擬服務(wù)器時(shí)，為從邏輯上隔離各虛擬服務(wù)器，可為每臺(tái)虛擬服務(wù)器分配單獨(dú)的硬盤(pán)分區(qū)。同時(shí)，盡量使用多核處理器，并劃分高速緩存，以此來(lái)隔離CPU和緩存。其次，為保障傳輸過(guò)程的安全，需要建立互相通信的虛擬機(jī)，其網(wǎng)絡(luò)連接方式選擇VPN方式。除了物理隔離方式，選用自動(dòng)監(jiān)控策略也是虛擬機(jī)安全的一個(gè)必要環(huán)節(jié)，監(jiān)控程序不僅要盡量避開(kāi)用戶(hù)的隱私數(shù)據(jù)，還要在虛擬機(jī)出現(xiàn)問(wèn)題時(shí)發(fā)出警報(bào)或進(jìn)行糾錯(cuò)。

（5）防火墻

云防火墻不僅操作簡(jiǎn)單，而且具有強(qiáng)大的抗攻擊能力，可抵抗200G以上的流量攻擊，同時(shí)它自身還帶有過(guò)濾和清洗功能，提高了數(shù)據(jù)傳輸?shù)陌踩?。為了抵御外部和?nèi)部的攻擊，我們可以采用動(dòng)態(tài)防火墻技術(shù)，即根據(jù)數(shù)據(jù)信息的傳輸狀態(tài)進(jìn)行主動(dòng)和實(shí)時(shí)檢測(cè)，然后對(duì)這些數(shù)據(jù)進(jìn)行分析，發(fā)現(xiàn)其中的非法行為。動(dòng)態(tài)的防火墻技術(shù)安全性能更高，不僅能發(fā)現(xiàn)外部的入侵行為，而且對(duì)來(lái)自?xún)?nèi)部的非法和惡意破壞也有防范作用。

隨著云存儲(chǔ)的廣泛使用，安全問(wèn)題會(huì)越來(lái)越突出，需要解決的問(wèn)題也是越來(lái)越多，等著我們?nèi)グl(fā)現(xiàn)和解決。