淺談云存儲的安全性

張瑜　白璐　贠永剛

摘 要 云計算帶來的云存儲服務，為用戶帶來了新的數據存儲方式和資源共享模式，方便了人們的生活和工作，但云環境面臨的挑戰還很多，如何確保云存儲的安全是必要的，本文介紹了幾種云存儲的安全策略。

關鍵字 云計算 云存儲 安全 策略

中圖分類號：TP3 文獻標識碼：A

在云計算方式中，如果軟硬件的信息和資源是共享的，那么就可以按照所設定的命令進行信息和資源的傳遞，將信息和資源傳遞給其他的計算機，由于云計算的活動是依賴于互聯網，所以大部分的時間都會涉及到由互聯網進行提供很多動態易擴展的資源，而且通常這些資源都是虛擬的。通過這種模式可以充分發揮了云計算的幾大優勢和特點：（1）虛擬化。云計算支持用戶在任意位置、使用各種終端獲取應用服務。所請求的資源來自“云”，而不是固定的有形的實體。（2）高可靠性。“云”使用了數據多副本容錯、計算節點同構可互換等措施來保障服務的高可靠性，使用云計算比使用本地計算機可靠。（3）通用性。云計算不針對特定的應用，在“云”的支撐下可以構造出千變萬化的應用，同一個“云”可以同時支撐不同的應用運行。（4）可擴展性。“云”的規模可以動態伸縮，滿足應用和用戶規模增長的需要。（5）按需服務。“云”是一個龐大的資源池，可按需購買，自來水，電，煤氣那樣計費、使用。（6）極其廉價。由于“云”的特殊容錯措施可以采用極其廉價的節點來構成云，“云”的自動化集中式管理使大量企業無需負擔日益高昂的數據中心管理成本，“云”的通用性使資源的利用率較之傳統系統大幅提升，因此用戶可以充分享受“云”的低成本優勢。

云存儲是基于云計算的一種數據訪問服務，可以通俗的理解為配置了超大存儲空間的云計算系統，它將網絡中大量不同類型的存儲設備通過相應軟件集合起來協同工作，共同為用戶提供數據存儲和訪問業務，它的核心便是數據存儲和管理。隨著云存儲服務的發展，越來越多的企業和個人享受到了其高效、快捷、低成本的服務，但是它的安全問題也值得人們的關注。可以采用以下幾種安全策略：

（1）數據加密

為防止云客戶端的數據信息被盜取，或者被內部人員非法泄露，一般都會對數據的訪問采用加密技術。當前比較成熟的加密技術一般分為對稱加密算法（DES）和非對稱加密算法（RSA）兩類。我們可以用兩者相結合的方式來保證云用戶數據的安全性。當用戶向云服務器發出請求時，服務器首先生成一個 RSA公鑰/私鑰對，然后把公鑰發送給用戶。此時，用戶端已生成自己的 DES密鑰，并使用服務器端發送的 RSA公鑰加密自己的 DES密鑰，并把加密后的DES密鑰發送給服務器端，然后服務器端再用 RSA私鑰來解密用戶端發送的DES；密鑰。這樣，數據在傳輸過程中即使被截取，沒有DES密鑰便無法獲取原始數據；假若 DES密鑰泄露，經過 RSA公鑰加密，而解密私鑰仍保存在服務器端，截取者仍無法獲取原始數據，這樣的雙重加密大大提高了數據的安全性。

（2）身份認證

除了數據的安全，用戶身份的認證也是必要的，這時，不僅要通過云存儲服務供應商的身份認證，還要遵循一定的訪問控制策略。云存儲服務供應商采用基于多種安全憑證的聯合身份認證。用戶可以先提供姓名和口令，然后再提供由云存儲服務供應商提供的動態驗證碼，確保用戶身份的合法性。此外，用戶使用多個云存儲服務供應商提供的服務，會產生很多的口令，而使用聯合身份認證只需認證一次，避免了數據頻繁穿梭云間帶來的不必要阻礙。

（3）安全訪問

我們要靈活區分和支持不同客戶的動態安全需求，首先要保證云端不同客戶之間數據的強隔離性，使得一個用戶不得越權訪問其他用戶的數據；其次，還要保障云客戶自己內部數據的適當隔離，客戶可以根據自己的安全需求靈活制定訪問控制策略，隔離內部不同部門和區域的數據；同時也可以引入虛擬組織，實現不同用戶之間的數據共享或限制沖突用戶之間的數據共享。

（4）虛擬化安全

虛擬化安全的目標是確保數據的隔離性，包括每個物理機上的不同云存儲服務供應商之間的數據隔離以及虛擬數據和物理設備之間的隔離。為保證隔離效果，我們可從虛擬化軟件安全和虛擬服務器安全兩方面人手。虛擬化軟件一般直接部署在裸機上，它的主要作用是保障客戶的虛擬機在多用戶的情況下對重要數據進行相互隔離，因此，要對所有授權用戶訪問虛擬軟件層時進行嚴格限制。在安裝虛擬服務器時，為從邏輯上隔離各虛擬服務器，可為每臺虛擬服務器分配單獨的硬盤分區。同時，盡量使用多核處理器，并劃分高速緩存，以此來隔離CPU和緩存。其次，為保障傳輸過程的安全，需要建立互相通信的虛擬機，其網絡連接方式選擇VPN方式。除了物理隔離方式，選用自動監控策略也是虛擬機安全的一個必要環節，監控程序不僅要盡量避開用戶的隱私數據，還要在虛擬機出現問題時發出警報或進行糾錯。

（5）防火墻

云防火墻不僅操作簡單，而且具有強大的抗攻擊能力，可抵抗200G以上的流量攻擊，同時它自身還帶有過濾和清洗功能，提高了數據傳輸的安全性。為了抵御外部和內部的攻擊，我們可以采用動態防火墻技術，即根據數據信息的傳輸狀態進行主動和實時檢測，然后對這些數據進行分析，發現其中的非法行為。動態的防火墻技術安全性能更高，不僅能發現外部的入侵行為，而且對來自內部的非法和惡意破壞也有防范作用。

隨著云存儲的廣泛使用，安全問題會越來越突出，需要解決的問題也是越來越多，等著我們去發現和解決。