企業云存儲桌面文檔安全及共享實現與應用

【摘要】本文主要針對當前云存儲技術實現對桌面文檔的虛擬化存儲與安全共享設計，有效地實現了個人桌面文檔的安全管理，減少了硬盤丟失或敏感數據泄露，提升了個人與企業數據文檔安全管理，保證了企業的文檔的集中管理與數據安全應用，有效的控制了企業生產經營數據的外泄，維護了企業正常的經營活動。

【關鍵詞】云存儲；共享安全；桌面文檔；分布式

1.前言

隨著企業信息化建設的日益深化，大量的電子文檔成為企業進行匯報、溝通交流、日常生產經營活動記錄的重要介質。

文檔在企業匯報交流過程中帶來了巨大的便利，但從數據安全角度來看，文檔中記錄了企業較多層面的經營數據信息以及企業的日常生產活動。一旦文檔外露，將給企業帶來較大的經濟損失或社會形象。而作為個人計算機桌面，同樣存在有諸如硬盤故障、電腦丟失，導致個人數據內容不可修復或造成敏感信息泄露，特別是企業重要崗位人員及政府核心人員。

盡管每個企業處于自身管理需求出發，在文檔安全需求層面做出了較多的工作，諸如：

（1）對企業重要崗位的文檔進行安全備份，即不能被非法訪問，又能方便擁有者進行編輯管理；

（2）有些企業通過服務器端的文檔安全為重點，希望服務器端文檔安全可靠，不被系統管理員泄露，不被黑客竊取文檔等；

（3）有些企業通過文檔的訪問安全性進行管控，分類授權進行訪問，對具有訪問權限的文件才能打開。但員工外帶文檔進行技術交流將無法實現有效性安全監管；

（4）有些企業主要考慮對客戶端的文檔安全管控，主要從個人電腦中木馬或個人主動把文件擴散。

如何有效解決上述企業文檔安全管理的同時，又不會降低企業的工作效率和文檔使用的方便性，是建設現代企業文檔備份存儲系統的新挑戰，而云存儲技術的應用將給企業文檔安全管理帶來全新的解決方案。

2.云存儲概念

云存儲是在云計算（cloud computing）概念上延伸和發展出來的一個新的技術。通過集群應用、網格技術或分布式文件系統等功能，將網絡中大量各種不同類型的存儲設備通過應用軟件集合起來協同工作，共同對外提供數據存儲和業務訪問功能的技術，是一個以數據存儲和管理為核心的云計算技術，保證數據的安全性，并節約存儲空間。

云存儲采用最先進的云計算技術、網絡通信技術以及分布式文件系統技術，將廉價的、性能低下的硬件存儲節點組織管理起來，提供高性能、高可靠、易管理的存儲系，節約成本，根據實際需要，彈性選擇配置，避免資源浪費，數據存儲和傳輸更加安全可靠，訪問速度更快更穩定。

云存儲主要分為公共云存儲、內部云存儲、混合云存儲三種類型。

傳統存儲相比，云存儲有以下特點：第一，從功能需求來看，云存儲面向多種類型的網絡在線存儲服務；第二，從性能需求來看，云存儲服務首先考慮數據的安全、可靠、效率等指標，滿足大規模用戶、服務范圍廣、網絡環境復雜多變等特點；第三，從數據管理來看，云存儲系統要提供了類似于POSIX的傳統文件訪問和支持海量數據管理及公共服務支撐功能。由此，云存儲架構可劃分為4個層次，自底向上依次是：數據存儲層、數據管理層、數據服務層以及用戶訪問層。

圖1 云存儲平臺整體架構

（1）存儲層：是云存儲最基礎部分。云存儲系統對外提供多種不同的存儲服務，各種服務的數據統一存放在云存儲系統中，形成一個海量數據池，同類型的存儲設備互連起來，實現存儲設備的邏輯虛擬化管理、多鏈路冗余管理，以及硬件設備的狀態監控和故障維護。

（2）管理層：是云存儲最核心部分。通過集群、分布式文件系統和網格計算等技術，實現云存儲中多個存儲設備之間的協同工作，使多個的存儲設備可以對外提供同一種服務，為上層提供不同服務間公共管理的統一視圖。

（3）服務層：是云存儲最靈活多變的部分。根據用戶需求開發出不同的應用接口，提供諸如數據存儲、空間租賃、公共資務、多用戶數據共享、數據備份等服務。

（4）訪問層：通過用戶訪問層，授權用戶可在任何地方使用聯網終端，按照標準的公用應用接口來登錄云存儲平臺，享受云存儲服務。

3.云存儲技術方案

云存儲系統在海量文件存儲技術基礎之上，從用戶在客戶端的文件創建、客戶端存儲、網絡傳輸、服務端存儲、客戶端文件訪問，到客戶端文件透明加密防泄露等多個文件處理環節，進行各層面的安全防護，具有磁盤文件操作的便利性，同時滿足了企業文檔安全的需求。

3.1 重要崗位桌面文件的安全備份

利用云存儲客戶端程序在個人桌面虛擬出個人文件和群體共享的兩個磁盤驅動器。用戶將日常的桌面工作文件存入這兩種類型的驅動磁盤中，這些數據會通過系統的自動同步功能，自動的上傳到云存儲的服務器端。當用戶修改虛擬磁盤中的文件后，系統會自動查找修改部分的數據內容，并將修改的部分同步到云端，實現客戶端虛擬盤文件和云端數據自動保持一致。當用戶筆記本丟失時，通過系統個人登錄認證，將云端文件同步到對應的磁盤驅動器中，同時防止了數據非法被盜。存在云端的數據，是經過云存儲打散存儲和分塊加密處理，IT系統管理人員亦無法窺視到任何文件信息。

3.2 文檔安全存儲及傳輸安全技術

客戶端采用虛擬盤技術保存客戶端文件。用戶對虛擬盤中的文件操作和Windows資源管理器一樣。為提高系統訪問效率，客戶端實現云數據的讀緩存和寫緩存雙向緩存。存儲在虛擬盤中的文件數據切塊、壓縮和AES256加密等特殊技術的，只有通過云存儲客戶端的安全管控虛擬驅動結合用戶身份認證才能還原，即便是黑客獲取到加密盤文件，也無法還原內部存儲的文件數據。文件在同步上傳前被分割成多個小的數據塊，每塊壓縮后經過AES256位加密存儲，每塊采用不同的密鑰進行處理。網絡傳輸中數據是經過壓縮和加密，由此不用擔心非法嗅探安全問題。

3.3 分享文檔分類授權控制訪問技術

客戶端文件采用個人私密和群組分享進行授權訪問管理。私密文件任何人無權訪問，可通過設置進行分享；利用群組提供的文件目錄分類訪問授權功能，設置群組目錄及群組中訪問用戶，以及每個用戶的可創建、可讀、可編輯、可刪除等訪問權限。

3.4 利用服務端冗余存儲技術實現數據安全備份

防止服務端系統在存儲磁盤硬件故障下的數據丟失問題，實現存儲系統的高可靠性保障，通過雙機熱備或軟硬容錯技術提高數據的冗余能力。

4.總結

企業桌面文檔云存儲系統通過集中存儲、實時同步、協同應用與安全管控等幾方面簡化存儲體系，提升存儲體驗以及文檔編輯、共享與同步，讓企業的文件“形散神不散”，即使員工設備損壞、數據丟失、員工離職等都不會造成數據的流失，通過云存儲的分布式自同步系統，在無干擾的情況下被同步到云端，保護了企業的無形資產，實現數據的集中統一管理，同時文件的共享使得流轉、分發變得更順利，提升了員工的工作效率和數據傳播的安全性。

基金項目：大同煤業集團公司千萬噸礦井群數字礦山信息化研究（編號：2013H010）。

作者簡介：韓安（1982—），男，陜西涇陽人，助理研究員，從事煤炭行業管理信息化系統的研究。