基于云計算數字圖書館信息安全實現研究

作者簡介：江秋菊（１９８１－），女，館員，研究方向：信息服務。·信息資源開發與利用·

〔摘要〕云計算給數字圖書館帶來許多機遇，但也給其信息安全帶來挑戰。面臨的挑戰包括：數據信息安全隱患，云計算應用安全隱患，虛擬化安全隱患。為解決這些安全隱患，給出研究的實現對策。

〔關鍵詞〕云計算；數字圖書館；信息；安全

ＤＯＩ：１０．３９６９／ｊ．ｉｓｓｎ．１００８－０８２１．２０１４．０３．０１６

〔中圖分類號〕Ｇ２５０７６〔文獻標識碼〕Ａ〔文章編號〕１００８－０８２１（２０１４）０３－００６８－０３

The Study of the Solutions for Digital Librarys

Information Security Problems in Cloud ComputingJiang Qiuju

（Library，Guangdong Medical College，Zhanjiang 524000，China）

〔Ａｂｓｔｒａｃｔ〕Cloud computing can bring both benefits and information security problems to Digital Library.The problems faced by Digital Library include information security problems,cloud computing application problems,virtualization technology problems.In order to solve these security problems,the paper gave the solutions.

〔Ｋｅｙｗｏｒｄｓ〕cloud computing;digital library;information;security

把云計算運用到數字圖書館，就是經過互聯網將大量價格相對便宜的計算實體聯合為一朵具備超級計算能力的云，儲存各種各樣的文獻數據信息資源和應用計算，使用共用資源池的模式集中管理，用戶可使用不同終端工具（像筆記本電腦、PC電腦、智能手機等）時時處處訪問，并按需使用計費。目前數字圖書館應用云計算有些實例，像中國高等教育文獻保障系統與CALIS與聯機計算機圖書館（OCLC）等［１］。云計算的到來將給圖書館帶來很多機遇，也將給圖書館信息安全隱患帶來諸多挑戰。

１云計算時代數字圖書館的機遇

１１便捷的平臺服務條件

基于云計算的數字圖書館無須購買大量服務器設備、超級容量的存儲設施，而是直接由云服務商以網絡服務的形式提供給圖書館，圖書館可按需付費使用云計算。云計算平臺服務為各數字圖書館用戶創建自身業務需要的應用軟件提供很多靈便性。

１２海量的計算存儲能力

“云”端大量的計算機可存儲大量的數據，并可即時增加和更新，能儲存更多的信息數據。云計算能夠解決圖書館日益增長的數據存儲問題；同時云計算具備超凡的計算能力，能使“云”端資源更加快速高效地存取。另外，云計算可提供比網格技術更好的支持給超繁雜計算的聯合處理。

１３豐富的網絡拓展服務

云計算環境下，數字圖書館能夠實現一站式的檢索界面和分布式存儲的數據庫的結合，實現各資源信息的組織、整合、導航、關聯乃至可見服務，完成各個不同“云”間的相互操作。此外，數字圖書館可利用Web20技術或QQ、MSN等為讀者提供全方位的交流互動服務，以親近的方式讓讀者融入數字圖書館的管理和服務中來［２］。

２云計算時代數字圖書館的信息安全挑戰

云計算為數字圖書館的管理與服務等方面帶來很多機遇，但對于數字圖書館用戶，全部資源信息都處在“云”中，而不是控制在自己手中。加之運用大量虛擬化技術，帶來了諸多信息安全隱患挑戰。

２１數據信息安全隱患

數據安全主要涉及數據存儲的安全和數據在傳輸中的安全。數字圖書館信息資源數據存儲在云存儲系統中，若“云”系統崩潰，則會造成數字圖書館數據丟失。云平臺下的數字圖書館所使用的基礎設施是共享的，非隔離的。當攻擊者得逞時，全部服務器都將成為攻擊者的攻擊對象。當用戶向云端發出請求時，數據需要在網絡中傳輸，而傳輸過程中是否進行了嚴格加密，保證數據不被中途偵聽，即使被偵聽了也無法還原；能否保證數據的完整性；在傳輸過程中能否不被篡改。以上這些都有可能導致數據安全受損。

２２云計算應用安全隱患

數字圖書館云計算應用是一種全新的信息服務方式［３］。云計算服務安全保障、主體使用的不同，和云計算應用方式及其底層結構的特點，促使數字圖書館在相關防護對策及安全技術運用異同方法。云計算給數字圖書館同時帶來機遇與挑戰。云計算技術本身有比較好的安全防備系統。但是云計算應用為數字圖書館安全帶來新的安全隱患。因云計算應用服務方式及基于分布式計算、虛擬化的底層結構特點，促使安全邊界不清晰，傳統應用安全措施、安全區網絡難以滿足數字圖書館云計算應用的安全需要［４］。

２３虛擬化技術安全隱患

云計算下數字圖書館運用虛擬化技術的可拓展性，便于在軟件、平臺、基礎設施等層面提升多租戶云服務能力，減少圖書館租賃“云”空間成本。因云計算下數字圖書館數字化資源存儲方式與用途不同，數字化資源可能散步儲存在各個不同物理邏輯位置上的虛擬空間，一旦主機被黑客襲擊，儲存在虛擬空間的數字資源可能損失或破壞。若虛擬網絡遭到破壞，可能影響圖書館數據的傳輸。另外，違法分子經過匿名租用虛擬機取得合法資格，避開網絡安全機制直接從云內部對數字圖書館發起各種攻擊，等待攻擊完成讓虛擬機關閉，而攻擊者的相關證據信息可能消失，導致攻擊者的取證與定位困難。

３云計算數字圖書館的信息安全實現對策

云計算服務供應商和云計算下數字圖書館用戶在享受快速、便利、海量的計算存儲服務的同時，如何保障私有數據安全，減少系統安全威脅，加強服務連續性，是提高圖書館管理效率及用戶滿意度的關鍵要點。面對云計算下數字圖書館存在的安全隱患，在采用傳統IT系統安全技術的基礎上，還應創建云計算下特定的安全對策及全面的安全技術方法，創建云計算下數字圖書館綜合安全防護體系，真正實現云計算數字圖書館的信息安全。下面從數據信息安全實現、應用安全實現、虛擬化安全實現3個方面對云計算下數字圖書館信息安全實現做出描述。

３１數據信息安全實現

云計算下數字圖書館將數據信息給予云計算商，云計算商就擁有了這些數據信息的訪問權，而云計算服務商因自身的各種原因，可能會引起圖書館數據被泄露、偷窺等安全隱患。此外云計算商為所有公眾提供服務時，允許各種用戶進行操作，若存在權限訪問漏洞，不法分子可能得到數據，必將對數據產生致命隱患。數據安全實現是指數字圖書館儲存于云計算服務商的原本數據信息的安全實現策略，主要包括數據傳輸、儲存、隔離和訪問［５］。

３１１數據信息傳輸

對于云計算商，提供服務需要傳輸數據信息，更多數據信息傳輸是由動態調節引起的。這部分數據信息面臨的極大安全隱患是沒有采用任何加密措施，而是直接通過明文傳輸。故云計算商應利用安全傳輸協議保障數據信息的完整，但目前安全傳輸協議這方面的研究并未因云計算而改變，此處不再贅述。

endprint

３１２數據信息安全儲存

為進一步增強云計算下數字圖書館信息安全，在數據信息儲存上需加強數據的隱秘性，這樣既能保障數字圖書館信息的私隱性，又能保障數據信息的隔離和安全儲存。 例如亞馬遜（Amazon）的S3系統在數據信息儲存時能主動產生一個MD5陣列，消除利用其他工具完成驗校的冗繁，有力保障數據信息的完整；又如IBM公司設計出的一個理想格的數學對象技術，能操作加密狀態的數據信息。鑒于上述技術，云計算服務商可依照不同的狀況，選用不同的加密形式解決用戶不同的數據信息安全存儲需求。

３１３數據信息安全隔離

云計算下數字圖書館的數據信息，而數據信息并非都適宜數據加密處理，因為加密會降低服務效率。云計算商應用PaaS和SaaS時，為注重運轉效率等方面的“實惠性”，會發生非法訪問，故需經過采取數據隔離技術解決。云計算下數字圖書館系統的物理位置安全分界會逐漸消除，將被邏輯安全分界替代，因此應該采用分布式虛擬交換機或虛擬局域網（VLAN）等技術來實現數據信息的安全隔離。

３１４數據信息安全訪問

數據信息安全訪問的實現可由安全認證和訪問權限的控制來處理。因云計算的非靜態性、異構性、跨組織性等特性，數字圖書館用戶每使用一部分云中資源不可能要求都要身份認證，故圖書館用戶可運用統一單點登錄身份認證模式。經授權的用戶只要主動身份認證一次后即可訪問經授權的數據信息資源，并不需另外的身份認證。如此可節約用戶時間，提高圖書館信息服務效率。

按照數據信息需求的差異，云計算下的數字圖書館可將用戶分成低到高若干個級別，并且嚴格管理控制各類別用戶訪問權限。PMI（Privilege Management Infrastructure，特權管理基礎設施）是目前比較成熟的權限管理控制技術，它作為屬性證書（Attribute Certificate，簡稱AC）的授權操作管理平臺，基于PKI（Public Key infrastructure，公鑰基礎設施），幫助服務提供者管理驗證用戶發出的請求服務權限，并為授權用戶提供授權相關的信息服務，是服務提供者和用戶之間的通信安全紐帶。

云計算下的數字圖書館經過統一身份認證單點登錄和PMI管理控制授權技術，可按照用戶不同身份級別設置相應不同的數據信息訪問權限級別，讓兩者構成匹配，進而嚴格管理控制數據信息安全訪問；并且還可將圖書館信息資源不論從邏輯上還是物理上劃分為多層來控制和管理，有利于數據信息的安全訪問。

３２應用安全實現

云計算的存儲設施分布在世界某一角落，利用互聯網控制與管理。其具備特強的靈活性、開放性、可用性等特性，但也存在著很多問題，比如管理復雜、設施分布分散，以及云計算下數字圖書館的服務部署在云空間服務應用程序易遭受互聯網的非法攻擊。

３２１數字圖書館用戶終端安全管理

云計算下數字圖書館用戶終端，當用戶經過身份認證登錄系統后，享受經授權的館藏數據信息服務時，若防范不夠嚴密，終端用戶機也許成為非法分子攻擊的平臺。數字圖書館應在終端機上安裝應用安全軟件，例如防病毒軟件、反惡意軟件、防火墻等軟件，定期為終端用戶機瀏覽器更新和打補丁以保障維護設備安全。另外，有些用戶追求個性工作，喜歡安裝虛擬機在終端設備，一般此類虛擬機都無補丁，而虛擬機裸露在互聯網易變成僵尸，成了非法分子攻擊“云”的工具。所以，要嚴控終端用戶機安裝虛擬機，并不定期檢查。

３２２軟件即服務（Software as a Ser-vice，簡稱SaaS）應用安全實現

軟件即服務（SaaS）是由互聯網直接提供軟件服務。用戶無須購買應用軟件，直接租用云服務商基于網絡的軟件來經營管理相關的業務活動，并且不用維護軟件，全部由服務提供商管理與維護。云計算下數字圖書館應用SaaS，圖書館管理員無須控制管理下層的網絡、操作系統、服務器和其他基礎設施，服務商提供給用戶的應用程序與組件應保證安全，圖書館管理員一般只用控制管理操作層的應用安全。服務商要為數字圖書館提供安全控制管理，而身份認證和訪問安全控制，是安全管理僅有控制辦法。所以SaaS服務商應實施特權訪問最小化管理，消除內部因素帶來的安全威脅。

應用在SaaS時，服務商會將圖書館用戶所有結構化與非結構化的數據信息混合存儲，在應用中的邏輯執行層由用戶認證標識符完成用戶數據信息邏輯上的隔離。若服務商將應用軟件升級或數據信息儲存的巨量增加時，此類隔離在應用層操作過程中變得無力或邏輯混亂。所以SaaS服務商需在整個應用軟件開發周期增強安全性的措施，運用安全的預防機制和虛擬數據儲存結構，保障多個租戶在同一虛擬環境的數據信息隔離安全［６］。

３２３平臺即服務（Platform as a Ser-vice，簡稱PaaS）應用安全實現

對于云計算下數字圖書館而言，平臺即服務（PaaS）可包含圖書館的數據庫和虛擬服務器應用，能為圖書館定制個性化的中間平臺，增加Web平臺上能利用的信息資源數量。而對于服務商來說，能促進其相關產品的多元化和幫助定制化產品服務。

PaaS應用安全包括用戶部署在PaaS平臺上的應用安全與平臺本身的安全，服務商一般會對平臺軟件包括操作引擎的安全負責，盡力增加數據信息透明度給圖書館管理員，便于安全管理和風險評估。圖書館用戶部署在PaaS平臺上的應用安全需要PaaS應用服務商配合，并且開發商必須熟悉PaaS平臺的管理和部署運行的安全控件模塊、應用程序編程接口（Application Programming Interface，API），還要掌握平臺特有的安全特征，通常此類特征被包裝成安全對象和Web服務。開發商利用這些安全對象和Web服務完成在應用中配置的認證和授權管理。

３２４基礎設施即服務（Infrastructure as a Service，簡稱IaaS）應用安全實現

數字圖書館應用基礎設施即服務時，服務商負責提供基礎設施架構服務給圖書館用戶，包含服務器、網絡、存儲和管理工具在內的虛擬數據信息中心。而基礎設施系統安全、物理安全、信息存儲安全、網絡安全、可靠性是IaaS服務商的本職工作范疇，而服務商無需負責圖書館具體的應用管理和數據信息維護。而數字圖書館系統的應用程序安全則由數字圖書館運營商負責，不能指望IaaS服務商負責。

３３虛擬化安全實現

云計算的數字圖書館引入虛擬化技術后，使管理無需升級新的服務器結構、增加額外軟件或管理工具。用戶無需要對客戶機進行更新、復雜配置及打補丁，直接經過互聯網訪問虛擬云應用程序；圖書館管理員則能輕輕松松管理數據信息中心，提供更開放、兼容的云

計算信息服務給用戶。

虛擬化軟件層直接部署于裸機之上，具備創立、注銷和操作虛擬服務器的作用，由云服務商管理。多租戶情況下，需嚴格控制未被授權的用戶訪問虛擬化軟件層，保證虛擬層的可用性和完整性，控制對其他形式虛擬化層次或管理程序的邏輯和物理訪問，保障各個用戶租用的空間隔離，讓用戶能在一臺計算機上同時安全地運行很多操作系統。

虛擬服務器要盡力使用多核CPU并支持虛擬技術的處理器，保障CPU中的物理分離。另外需劃分一個獨立硬盤分區給每一虛擬服務器，實現各虛擬服務器邏輯的分離，且和另外的安全措施一起形成多層次的安全體系結構［７］。用戶除了運用密級較高的密碼驗證外，虛擬服務器系統還需安裝殺毒軟件、日志記錄、防火墻和恢復軟件等。虛擬服務器管理應按功能和權限將虛擬服務器分隔成不同的IP網段和不同的VLAN實現邏輯分離。并同步監視各虛擬機的防火墻日志和系統日志，便于及時找到并處理出現的安全問題，并且及時關閉無需運行的虛擬機。

４結語

云計算技術的到來，數字圖書館的機遇與挑戰并存。信息安全方面的問題就是挑戰之一，相信隨著安全技術的發展成熟和圖書館界的不斷關注，云計算的數字圖書館信息安全問題會迎刃而解。那時數字圖書館也可盡情享受云計算帶來的多種機遇，為用戶提供更優質、更可靠、更便利的服務，充分發揮云計算下數字圖書館的有效作用。

參考文獻

［１］張海玉.云平臺下數字圖書館的安全策略研究［Ｊ］.圖書館學研究，2013，（3）：42-44.

［２］王長全，艾.云計算時代的數字圖書館信息安全思考［Ｊ］.圖書館建設，2010，（1）:50-52.

［３］馬曉亭，陳臣.數字圖書館云計算安全分析及管理策略研究［Ｊ］.情報科學，2011，29（8）：1189-1191.

［４］劉煒.圖書館需要一朵怎樣的“云”？［Ｊ］.大學圖書館學報，2009，（4）：2-6.

［５］佟得天，劉旭東，郭濤峰，等.云計算信息安全分析與實踐［Ｊ］.電信科學，2013，（2）:135-141.

［６］汪來富,沈軍,金華敏.云計算應用安全研究［Ｊ］.電信科學,2010，（6）:67-70.

［７］王鵬，黃華峰，曹珂.云計算:中國未來的IT戰略［Ｍ］.北京:人民郵電出版社，2010:210-255.

（本文責任編輯：孫國雷）

endprint