●馬曉亭 a，陳 臣 b(蘭州商學院a．信息工程學院；b．網(wǎng)絡中心，蘭州 730020)

1 引言

云計算技術是由計算、存儲、虛擬化等I T技術不斷發(fā)展，并與通信和網(wǎng)絡技術相結(jié)合而形成的新的計算模式，具有安全、高效、可擴展、可靠、經(jīng)濟，以及按需分配云系統(tǒng)資源的特點。利用互聯(lián)網(wǎng)的高速數(shù)據(jù)傳輸能力，云服務提供商可將云計算、云存儲、軟件、云服務資源劃分為一個資源池統(tǒng)一管理，根據(jù)云租戶需求進行資源分配，支持用戶安全、高效、快速、靈活地搭建云基礎設施服務平臺。

圖書館可通過租賃云服務提供商基礎設施資源建設云數(shù)字圖書館。與傳統(tǒng)數(shù)字圖書館相比，云圖書館具有較強的讀者云個性化數(shù)字閱讀服務保障力與較高用戶滿意度。云圖書館按服務模型和服務方式劃分，可分為基礎設施即服務(InfrastructureasaServic e，I-aaS)、平臺即服務 (Platfor masaServic e，Paa S)、軟件即服務(SoftwareasaServic e，Saa S)3種服務模式。其中，Iaa S是Paa S與Saa S服務構(gòu)建與運營的基礎，負責提供核心計算、網(wǎng)絡傳輸、數(shù)據(jù)存儲等云服務的基礎設施架構(gòu)。Iaa S云基礎設施的安全、可靠性與系統(tǒng)可用性，決定了圖書館云個性化服務平臺與云應用軟件服務平臺的健壯性與友好性，是關系云圖書館服務質(zhì)量與讀者滿意度的關鍵因素。[1]

2 圖書館IaaS平臺的技術架構(gòu)與安全威脅

2.1 圖書館Iaa S平臺的技術架構(gòu)

Iaa S涵蓋了從機房基礎設施硬件設備到云應用平臺所有的基礎設施資源層面。依據(jù)云圖書館Iaa S基礎設施功能與組織結(jié)構(gòu)劃分，可分為資源層、虛擬化層、管理層與服務層4個部分。

云資源層主要由各種云計算服務器、數(shù)據(jù)中心內(nèi)部網(wǎng)絡傳輸設備、云存儲設備及其它云基礎設施相關硬件設備組成，通過虛擬化技術將所有有云計算資源、云存儲資源、網(wǎng)絡資源統(tǒng)一劃分為虛擬資源池，由上層虛擬化層管理調(diào)度。虛擬化層通過資源層基礎物理設備支持，利用虛擬化技術將云基礎設施資源和各種云應用統(tǒng)一劃分為資源池，通過對虛擬機進行調(diào)度、管理，實現(xiàn)平臺應用與服務效率最優(yōu)化，確保云系統(tǒng)安全、高效、經(jīng)濟、低碳運營。管理層通過對虛擬化層智能化、自動化的管理，實現(xiàn)對云系統(tǒng)資源的監(jiān)控、報警、調(diào)度和優(yōu)化，確保云基礎設施資源和云應用服務的高效管理和負載均衡。按照用戶對整個云資源的調(diào)度請求，按需從平臺管理的資源中為用戶分配所需的資源(如云計算、云存儲和網(wǎng)絡資源等)，并通過初始設置后將資源訪問路徑返回給用戶。服務層是Iaa S的高級應用層，負責用戶的賬戶管理、服務目錄管理、服務部署以及用戶情況報告，通過用戶自動服務門戶與管理門戶，實現(xiàn)用戶云服務按需分配的自助服務，為Saa S和Paa S提供有效的基礎設施服務保障。

2.2 圖書館Iaa S平臺的安全威脅

圖書館通過租賃云服務提供商基礎設施資源和相應云服務組建云圖書館，利用云服務商應用軟件平臺為讀者開展云個性化閱讀服務。云圖書館Iaa S平臺基礎設施與云服務由云服務提供商負責建立、管理、維護、升級，而云圖書館以租賃方式獲得云資源的使用權，實現(xiàn)了Iaa S平臺所有權與使用權的分離。因此，Iaa S平臺的安全不僅需要云服務提供商科學、高效的安全策略與管理措施，而且需要云圖書館管理員、讀者共同營造安全的云應用環(huán)境與良好的云資源使用習慣，才能確保圖書館Iaa S平臺安全。[2]

2.2.1 遠程訪問的弱憑證問題

云圖書館管理員以遠程訪問云服務提供商基礎設施資源平臺的方式，來建設、運營、管理、維護云圖書館，為讀者提供云個性化閱讀服務。在訪問云數(shù)據(jù)中心時，云圖書館管理員通常以遠程登陸方式訪問，云數(shù)據(jù)中心認證系統(tǒng)在識別云圖書館管理員身份及訪問權限后，依據(jù)認證數(shù)據(jù)庫中設定的安全級別分配相應的訪問與操作權限。

在遠程登陸過程中，圖書館管理員通常存在著重復使用用戶名和密碼，或長期使用共享密鑰的現(xiàn)象。此外，云圖書館處于不安全的網(wǎng)絡環(huán)境中，且云圖書館Iaa S平臺的復雜性與云基礎設施資源多用戶共享的特性，可能會導致云圖書館管理員在遠程訪問云數(shù)據(jù)中心時，所使用的認證憑證在網(wǎng)絡遠程傳輸、云數(shù)據(jù)中心認證數(shù)據(jù)庫、云數(shù)據(jù)中心傳輸網(wǎng)絡及鑒權過程中丟失或被竊取，造成黑客非法獲得云圖書館Iaa S平臺的控制權。

2.2.2 云存儲空間邏輯共享特性可能導致用戶信息泄露

在多租戶環(huán)境下，云圖書館與其它云租戶共享云服務提供商資源與服務，通過租賃云服務提供商存儲空間，為讀者提供數(shù)據(jù)存儲、檢索、查詢、遠程傳輸?shù)脑崎喿x服務。

在云存儲資源管理上，云服務提供商通過存儲設備邏輯隔離的方式，將一個物理存儲資源邏輯劃分為若干個邏輯空間，以存儲資源池方式統(tǒng)一管理，為云圖書館按需動態(tài)分配邏輯存儲空間。因此，云計算環(huán)境下云圖書館實際上與其它云租戶共享同一個物理存儲空間。當云圖書館申請刪除存儲驅(qū)動器并釋放所占據(jù)的存儲空間后，新的云租戶所建立的驅(qū)動器可能與云圖書館所刪除的驅(qū)動器發(fā)生重疊，其它云租戶完全有可能通過技術手段映射出云圖書館已刪除的保密數(shù)據(jù)，而造成Iaa S平臺存儲空間信息泄露。

2.2.3 虛擬機應用與監(jiān)控程序安全性

云計算環(huán)境下，云服務提供商通過對云基礎設施資源的虛擬化管理，來提高云計算資源利用率與復雜資源的可管理性。與傳統(tǒng)數(shù)字圖書館不同，云計算環(huán)境下數(shù)據(jù)中心組織結(jié)構(gòu)復雜、龐大，沒有明確的安全邊界與可靠傳輸網(wǎng)絡，對云數(shù)據(jù)中心物理設施進行管理的虛擬化策略與虛擬機監(jiān)控程序，可能會因運營環(huán)境、用戶云資源需求變化、外界不穩(wěn)定因素、安全威脅等因素，造成虛擬機應用效率與可控性下降。圖書館讀者云應用服務程序運行在一個虛擬化環(huán)境中，圖書館管理員無法完全確認虛擬機監(jiān)控程序所使用安全模型的安全性。

2.2.4 身份管理和訪問控制的可靠性

身份管理和訪問控制的安全、可靠性，是保障云計算環(huán)境下數(shù)字圖書館Iaa S平臺安全的有效措施。云數(shù)字圖書館在建設、管理、運營、維護中，用戶身份管理和訪問控制的系統(tǒng)平臺與環(huán)境安全保障主要有兩方面的內(nèi)容：一是對云服務提供商Iaa S系統(tǒng)平臺訪問的身份管理、認證與權限分配，主要認證對象為云服務提供商和云數(shù)字圖書館系統(tǒng)管理員；二是對云數(shù)字圖書館系統(tǒng)訪問者的用戶身份認證與操作權限分配，主要認證對象為讀者、合法用戶、云服務租賃商、云圖書館管理員、非法攻擊者。

Iaa S系統(tǒng)平臺訪問者的身份認證主要由云服務提供商負責，只有授權的員工才可以訪問云數(shù)據(jù)中心硬件設備，進行電源冗余、網(wǎng)絡冗余、防火防盜和安全報警等工作。云圖書館訪問者身份管理和訪問控制的可靠性主要由云圖書館管理員負責，防止云服務提供商與非法用戶通過獲得Iaa S平臺超級權限方式，而獲得云圖書館訪問權限。

2.2.5 Iaa S平臺傳輸網(wǎng)絡安全

云數(shù)據(jù)中心具有網(wǎng)絡結(jié)構(gòu)復雜、數(shù)據(jù)傳輸網(wǎng)絡負荷大的特點，確保數(shù)據(jù)中心內(nèi)部網(wǎng)絡數(shù)據(jù)傳輸安全、高效、準確、均衡，是云計算平臺高效運營的保障。Iaa S平臺數(shù)據(jù)傳輸網(wǎng)絡主要包括云計算區(qū)域網(wǎng)絡、云存儲區(qū)域網(wǎng)絡、云資源設施管理網(wǎng)絡及相應的硬件與云應用平臺數(shù)據(jù)傳輸網(wǎng)絡，復雜的網(wǎng)絡結(jié)構(gòu)與用戶多樣性增加了網(wǎng)絡管理難度，對用戶數(shù)據(jù)傳輸安全產(chǎn)生了威脅。其次，為了提高網(wǎng)絡數(shù)據(jù)傳輸安全性和可控性，云數(shù)據(jù)中心管理者會相應增加網(wǎng)絡IDS(入侵檢測系統(tǒng))設備、內(nèi)部防火墻或高級交換機，在一定程度上降低了云數(shù)據(jù)中心內(nèi)部網(wǎng)絡的機密性、完整性、可用性和傳輸效率。[3]

3 圖書館IaaS云平臺安全架構(gòu)與策略

3.1 圖書館Iaa S云平臺安全架構(gòu)

圖書館Iaa S云平臺安全架構(gòu)主要由Iaa S安全結(jié)構(gòu)、Iaa S安全機制、Iaa S安全服務3部分組成。

依據(jù)圖書館系統(tǒng)云基礎設施資源建設模式、讀者云服務提供方式與云安全需求，Iaa S云平臺安全結(jié)構(gòu)可劃分為6個層次，依次為物理安全、設備安全、網(wǎng)絡安全、管理安全、虛擬化安全與數(shù)據(jù)安全。針對云信息流所處位置與信息狀態(tài)模式特點，Iaa S云平臺安全機制分為信息加密、訪問控制、云網(wǎng)絡安全、云虛擬化安全、管理策略科學、數(shù)據(jù)冗余備份6個方面。同時，針對云圖書館Iaa S安全機制特點，分別采用了相應的Iaa S云安全服務措施，主要有防盜、防火、防雷擊，設備高性能、冗余，防火墻、傳輸防護，補丁與配置管理，用戶隔離、口令，備份、加密。

3.2 云圖書館Iaa S平臺安全策略

3.2.1 加強Iaa S平臺訪問的認證和授權

加強對Iaa S平臺訪問者的身份和權限管理，是云服務提供商對用戶訪問Iaa S平臺可管、可控、可審查的前提。Iaa S平臺訪問的認證和授權通常由Iaa S云計算服務提供商負責，也可委托信譽度高、技術實力強的第三方認證服務機構(gòu)。

應加強對Iaa S平臺的用戶認證和操作授權管理，將訪問者劃分為不同的用戶群體，并分配相應的Iaa S平臺操作權限。云數(shù)據(jù)中心管理員應根據(jù)Iaa S平臺用戶安全訪問需求，參照相應的國際安全標準，采用單因子、雙因子認證的方法，或者使用動態(tài)共享密鑰并縮短密鑰共享期的方式，加強Iaa S平臺訪問的安全性。此外，還應降低用戶利用可重復使用的用戶名和密碼方式訪問Iaa S云平臺的依賴性。根據(jù)不同云服務供應商Iaa S云安全方案的特點，為用戶建立分級訪問制度，并根據(jù)Iaa S平臺重要性制定不同的訪問策略，提高用戶訪問Iaa S平臺的安全、可靠性。[4]

3.2.2 確保云圖書館Iaa S應用安全

云服務提供商利用虛擬化技術為云租戶按需分配系統(tǒng)資源，而不明確用戶Iaa S云應用的具體部署與方案，以及用戶如何對所分配的Iaa S云資源進行管理和運營。因此，云圖書館在Iaa S云平臺上的應用服務程序和運行引擎，以及所有云閱讀應用服務和運營安全都應由云圖書館管理員負責部署和管理。

首先，云圖書館應協(xié)助Iaa S提供商定期對Iaa S安全防范系統(tǒng)及應用數(shù)據(jù)進行安全檢查和監(jiān)控，依據(jù)檢查結(jié)果對Iaa S平臺進行安全規(guī)劃與系統(tǒng)重構(gòu)，及時消除病毒程序、木馬程序及其它惡意威脅。其次，應加強Iaa S平臺運營效率建設，提高Iaa S平臺對Paa S與Saa S的業(yè)務支撐能力，確保云應用服務程序在Iaa S平臺上有較高的安全性、工作效率和可用性。同時，應保證云圖書館基于Iaa S平臺，進行云閱讀應用服務程序設計、開發(fā)、部署、測試、運維過程的安全性。第三，云圖書館管理員應執(zhí)行安全的數(shù)據(jù)管理與存儲策略，確保數(shù)據(jù)的完整性與可用性，積極要求與協(xié)助云服務提供商對Iaa S進行外部審計和安全認證。此外，還應加強數(shù)據(jù)異地備份與災難恢復能力建設，確保發(fā)生數(shù)據(jù)災難時安全、快速、準確、經(jīng)濟地恢復數(shù)據(jù)。

3.2.3 保障Iaa S平臺端到端數(shù)據(jù)傳輸安全

Iaa S平臺端到端數(shù)據(jù)傳輸主要分為云數(shù)據(jù)中心不同硬件設備間、區(qū)域網(wǎng)絡與云用戶之間的數(shù)據(jù)傳輸。為了提高Iaa S端到端數(shù)據(jù)傳輸安全，首先應通過網(wǎng)絡虛擬化技術和網(wǎng)絡管理策略加強端與端之間數(shù)據(jù)傳輸?shù)牧髁扛綦x，確保數(shù)據(jù)傳輸過程中的傳輸信道邏輯隔離。其次，應加強Iaa S平臺數(shù)據(jù)傳輸端點到端點之間的加密。不僅僅對端與端之間所需要傳輸?shù)臄?shù)據(jù)加密，而且應加強云圖書館數(shù)據(jù)存儲介質(zhì)的整盤隱式加密，防止遭受離線攻擊。第三，要確保Iaa S基礎設施架構(gòu)系統(tǒng)與用戶主機操作系統(tǒng)、虛擬機之間的所有通信加密，盡可能采取通信雙方同態(tài)加密機制并及時更換密鑰，保持終端用戶通信的安全。此外，應堅持端到端的日志和報告制度，準確跟蹤用戶發(fā)送信息所處的網(wǎng)絡位置、正在進行信息處理的設備、信息訪問對象以及所處存儲介質(zhì)空間的位置。當遭受安全危害時，管理員可以根據(jù)日志記錄查明云系統(tǒng)侵犯對象、方法、程度，并執(zhí)行有效的安全補救措施。[5]

3.2.4 提高圖書館Iaa S平臺健壯性建設與訪問安全

首先，應建立圖書館Iaa S平臺集中的補丁關注和分發(fā)機制，在Iaa S平臺安裝虛擬防火墻、DDO S(分布式拒絕服務攻擊)、防火墻與IDP(入侵檢測防御)設備，并制定專門的虛擬機訪問策略，提高平臺的健壯性與云資源動態(tài)調(diào)度的安全性。其次，對Iaa S平臺基礎設施采用端口綁定、端口隔離等措施，并對端口進行監(jiān)測與綁定識別，防止因信息欺騙而影響云平臺的正常運行。第三，當讀者遠程訪問圖書館Iaa S平臺時，可采用VPN連接、遠程桌面控制、遠程Shell、We b控制臺U I、以及在連接過程中使用RSA密鑰進行認證，通過加強Iaa S云平臺安全與讀者的遠程管理機制確保Iaa S平臺遠程云應用安全。

3.2.5 加強對Iaa S供應商信譽、企業(yè)實力、安全措施及平臺所屬國家法規(guī)的考察

云數(shù)字圖書館為了提高讀者云服務水平，通常會根據(jù)讀者所處地域、云閱讀活動特點、用戶群數(shù)量及云數(shù)據(jù)傳輸質(zhì)量要求，租賃位于世界不同地理位置的不同云服務提供商Iaa S服務，建設云數(shù)字圖書館。加強對Iaa S供應商信譽、企業(yè)實力、安全措施及所屬國家法規(guī)的考察，是降低云圖書館建設、運營風險，確保讀者云閱讀活動滿意度的保障。

首先，應考察Iaa S供應商信譽、企業(yè)實力、安全措施，確保Iaa S供應商具有能夠持續(xù)、優(yōu)質(zhì)履行Iaa S租賃合同的信譽與實力，可以有效抗拒Iaa S服務風險與保證用戶隱私不被泄露和竊取。其次，應透徹研究Iaa S供應商所處國家的法律、法規(guī)和信息管理規(guī)定，在保證云圖書館認真遵守數(shù)據(jù)存儲設備所屬國家法規(guī)的同時，不會因所屬國家相關部門查處位于同一個云存儲設備上其它用戶數(shù)據(jù)時，造成云圖書館數(shù)據(jù)丟失、泄露。第三，應根據(jù)云圖書館Iaa S平臺業(yè)務與安全需求，每年對Iaa S提供商進行綜合評估，及時更新安全服務協(xié)議內(nèi)容，確保Iaa S平臺服務滿足圖書館云應用發(fā)展的安全需求。

4 結(jié)語

云計算技術以一種全新的組織、運營、管理、維護模式，極大地提高了數(shù)字圖書館用戶服務保障力，為讀者提供了云計算環(huán)境下全新的數(shù)字閱讀體驗，使用戶擺脫了傳統(tǒng)數(shù)字圖書館較低的基礎設施建設水平與網(wǎng)絡性能對讀者個性化閱讀活動的束縛。但是，云圖書館復雜的Iaa S平臺結(jié)構(gòu)與服務模式，以及多租戶共享云基礎設施資源環(huán)境，管理、運營、維護權限與職責分別屬于不同的主體等因素，導致了圖書館Iaa S平臺具有較高的建設與使用風險。只有從Iaa S建設與云圖書館運營安全實際出發(fā)，堅持讀者服務需求與I-aaS安全相結(jié)合的原則，謹慎對待每一種新的安全威脅，才能更好地為讀者提供滿意的云個性化閱讀服務。[6]

[1] 房秉毅，等．云計算國內(nèi)外發(fā)展現(xiàn)狀分析[J]．電信科學，2010(8 A)：1－6.

[2] 岳冬利．Iaa S公有云平臺調(diào)度模型研究[J]．計算機工程與設計，2011(6)：1889－1892.

[3] 殷康．云計算概念、模型和關鍵技術[J]．中興通訊技術，2010，16(4)：18－23.

[4] 王鵬．云計算的關鍵技術與應用實例[M]．北京：人民郵電出版社，2010：71－75.

[5] 俞乃博．云計算Iaa S服務模式探討[J]．電信科學，2011(S 1)：39－43.

[6] 英特爾開源軟件技術中心，復旦大學并行處理研究所．系統(tǒng)虛擬化：原理與實現(xiàn)[M]．北京：清華大學出版社，2009：63－72.