高校圖書館私有云存儲的安全性問題分析

【摘要】 本文通過分析影響高校圖書館私有云存儲的安全因素，提出了構建合理的私有云存儲架構，采取數據分片存儲與備份策略，應用虛擬防火墻技術加強防護，采用集成監控自我修復機制，對服務器做定期預防性維護等方法，以制定私有云存儲在高校圖書館的應用安全措施。

【關鍵詞】私有云;云存儲;存儲安全;圖書館

【作者單位】袁艷，常州信息職業技術學院圖書館。

目前，可供高校圖書館選擇的云存儲模式有 “聯盟云”模式、“混合云”模式、外包式的租用“公有云”模式以及自建的私有云模式。私有云模式的部署方式可根據自身單位的情況靈活運用，因此比較受青睞。大多數專家學者認為，私有云是在各單位局域網內部部署的，安全性會相對較高。但筆者認為并非如此，如果私有云存儲配置糟糕或管理不善同樣容易受到攻擊，其安全性也是值得探討的。

一、高校圖書館私有云的架構

通用的私有云架構有兩種，一種是先虛擬化再集群，另一種是先集群再虛擬化。前者要建立虛擬機的集群，需要的服務器數量小，軟硬件均有高可用性，缺點是部署及配置管理復雜，空間可能會造成浪費。后者是先將虛擬主機建立集群，虛擬機運行在集群上，這樣硬件不僅可達到高可用性，存儲空間也可按需分配，部署及配置管理相對比較簡單，缺點是所需服務器數量多，軟件無法達到高可用性。目前市場上提供私有云服務的有微軟、思科、VMWare等開源軟件。多數高校采用了后一種模式進行構建，如蘭州大學和西南大學圖書館建立的校內私有云平臺等。

二、影響高校圖書館私有云存儲的安全因素分析

1.網絡安全

據調查，云存儲自應用以來，頻頻發生黑客攻擊導致系統故障及泄密的事件，造成幾次大面積服務器宕機。可見，來自網絡黑客的惡意攻擊以及各種因素的物理故障所造成的惡性事件，會對數據的安全存儲造成災難性影響。因此，無論是公有云還是私有云，網絡安全對其威脅是致命的，網絡安全至關重要。

2.服務器的穩定性安全

私有云的架構需多個服務器的集群，服務器自身性能的穩定性，以及系統軟件如web 軟件、私有云開源軟件等在服務器上的設置是否合理;服務器基礎架構的本身是否合理;服務器中各組建的相互融合，以及服務器的溫濕度、電源電壓、灰塵等運行環境是否良好，等等，都會影響私有云存儲整體的安全穩定服務。

3.數據安全

數據安全是私有云存儲中的重要內容。除了依賴網絡安全及服務器安全，私有云存儲中數據的傳輸、遷移、備份、冗余管理等安全問題依然是私有云存儲的核心安全問題。這主要表現在存儲節點與管理結點、客戶端與管理節點，以及存儲節點間數據傳輸的完整性、保密性等安全問題。當數據在云存儲節點間進行遷移時，遷移請求的合法性及遷移過程中數據的安全性問題，冗余數據存儲清理的不及時也會影響服務器的計算速度，甚至會影響主服務的正確判斷，進而造成系統數據紊亂，形成安全威脅。

4.訪問對象控制的安全

在私有云存儲系統中，當數字資源的種類增加或減少、用戶數量增加時，系統管理員將根據用戶對資源的需求類型更新用戶的訪問權限。隨著數量增多，處理的信息數據不斷增大，對用戶權限的管理任務將變得十分繁重，安全隱患也會降低系統的安全性和可靠性。

5.系統管理員操作的安全

私有云存儲作為一個新型的存儲系統，系統管理員需及時更新原有的知識內容，熟練掌握私有云系統的基礎架構、系統操作管理、系統應用管理、用戶服務與管理、安全管理、預警系統管理等。若缺少上述知識和內容，沒有安全的網絡解決方案，私有云存儲系統隨時有被攻擊的風險。

三、構建高校圖書館私有云存儲安全性的對策

1.構建合理的私有云存儲架構

高校圖書館可采用先集群再虛擬化的方式進行高校圖書館私有云存儲的演進式架構，以保障后續投資設備的更新跟進。具體做法如下：首先，配置一個綜合性能高的服務器作為主機，通過對服務器虛擬化，將一臺服務器虛擬成多臺服務器來使用;然后，通過云存儲管理軟件的集群技術實現存儲虛擬化;最后，部署云存儲的管理層和應用層以及客戶端設置。此構建方法不僅可大大提高存儲空間的利用率，還可以進行有效的監控和管理。

在進行中心數據服務器配置時，可采用分布式文件系統進行布局。在進行功能模塊劃分時，不僅要有用戶管理模塊、管理用戶模塊、文件目錄管理模塊、文件管理模塊，還應有私有云共享模塊、私有云的客戶端模塊等。在基礎設施架構上，要關注網絡基礎設施的物理安全、環境安全、主機安全等。在服務平臺方面要注意運行安全，加強硬件和軟件系統運行的穩定性。在應用程序上，關注的安全問題主要是軟件的應用環境安全等。

2.采取數據分片存儲與備份策略

目前，云存儲系統中的數據多采用以文件為單位進行存儲，這樣容易造成服務器中獨立節點負載過大。對高校圖書館來說，并不是所有的數據都需要備份，可采用數據分割后的分片存儲和備份，將大量數據保存到不同的存儲節點上，這樣即使其中幾個分片數據丟失，也不會造成重要信息完全泄露，保證了數據的安全性。同時，可實現服務器的負載均衡，提高系統處理數據的能力。

廣東工業大學的錢進進在其碩士論文中提出了“一種基于ID特征碼的數據分片與備份策略”，當相應的存儲區節點全部有效時，經過一次計算找到最后一個分塊的存儲節點即可完成一個文件的第一個副本所有分塊的存儲節點;當有失效節點時，需要存儲在失效節點上的文件塊隨機地分配在該區的有效節點上，可減少主服務器的CPU負荷，提高系統效率。不同的副本存儲在不同的區，當系統中任何兩個區的所有存儲節點服務器全部宕機時，所有用戶的數據都至少存在一個副本，提高了系統的可靠性和可用性。

3.應用虛擬防火墻技術加強防護

防火墻的部署模式和擺放位置不同會直接影響管理的靈活性和安全效果。常用的防火墻部署做法一般有三種，一是在線部署防火墻，將防火墻串聯于網絡中，所有訪問均經過防火墻，安全性較高。缺點是防火墻若出現單點故障，則會影響使用。二是將防火墻掛在交換機兩側，訪問時可選擇性地經過防火墻，不容易產生性能瓶頸，但流量需多次在防火墻和交換機的不同接口上迂回，部署策略復雜。三是將防火墻模塊集成在交換機內進行插卡部署，這樣不容易產生單點故障，可靠性好，性能高，缺點是防火墻串在各層的網關交換機之間，無法實現管理網和數據網的整合。

中國電子研究所的敖勇提出的“虛擬防火墻+扁平化”部署模式可供高校圖書館私有云借鑒。具體做法是，將一臺防火墻在邏輯上劃分成多臺虛擬的防火墻，通過將不同層的網關交換機整合到云數據中心的一臺（組）交換機上，擁有獨立的系統資源、管理員、安全策略、用戶認證數據庫等。這種架構設計將管理網和數據網絡進行整合，能使跨層間的網絡訪問根據安全設計要求經過防火墻進行轉發，也可以不經過防火墻進行轉發。同時為網絡提供按需服務，這樣既便于管理，又提高了云數據中心的安全性。

4.采用集成監控自我修復機制

圖書館自建的私有云存儲雖然放在了層層防火墻的保護中，但在運行中仍會因為各種因素而出現問題。因此，采用集成監控和自我修復機制來提高系統安全性很有必要。集成監控的作用是通過檢測隱藏進程，驗證關鍵程序的運行狀態，有效地檢測出運行在虛擬機上的惡意程序，然后把該進程的病毒文件特征提交給防火墻，通過防火墻的狀態及時提醒管理人員進行維護。自我修復機制是由監視器對整個私有云的基礎構架、性能、網絡等運行狀態進行監測，發現問題時，由分析決策器自動對報警信息進行關聯分析，等問題確認后由執行器發起修復措施。同時，系統發出報警通知，以便管理人員能及時查看系統狀態。

5.定期對服務器進行維護

定期對服務器進行維護也是提高私有云存儲系統安全性和穩定性的基礎。維護內容主要包括對服務器冗余數據的管理、現有硬件及固件的補丁和升級、錯誤日志的排查、設備運行的清潔以及網絡光纖接口插口的牢固等。對高校圖書館而言，采用私有云存儲比租用公有云存儲容易實現。隨著技術的發展，尤其是一些安全技術如端點檢測、沙盒分析、入侵指標等的應用，高校圖書館可嘗試采用新的安全技術在保證數據安全的同時，提供高質量的服務。

[1]施蓉蓉. 高校圖書館數字資源云存儲模式探究[J]. 江西圖書館學刊，2012（3）：32-34.

[2]經冬鋆. 高校圖書館云存儲基礎存儲層架構安全問題對策[J]. 圖書館學研究，2014（1）：38-41.

[3]胡秀建等. 私有云架構下的信息安全模型分析[J]. 通化師范學院學報，2012（12）.

[4]錢進進. 私有云安全存儲技術的研究與實現[D]. 廣東工業大學，2013.

[5]敖勇. 私有云數據中心網絡及安全設計[J]. 信息安全與通信保密，2014（7）：87-89.

[6]曹立銘，趙逢禹. 私有云平臺上的虛擬機進程安全檢測[J]. 計算機應用研究，2013（5）：1495-1499.