云計算與云安全框架研究

摘 要：云計算（cloud computing）是一種基于因特網的超級計算模式，在遠程的數據中心里，成千上萬臺電腦和服務器連接成一片電腦云。用戶通過電腦、筆記本、手機等方式接入數據中心，按自己的需求進行運算，為了將各種技術手段有機地結合起來形成真正具備安全能力的服務，必須在設計平臺之初就考慮到各種安全需求，并且在運營過程中持續(xù)地把安全保障作為一個核心問題來對待。

關鍵詞：云計算 計算模式 電腦云 數據中心 安全保障

中圖分類號：TP3 文獻標識碼：A 文章編號：1672-3791（2013）04（b）-0004-02

1 什么是云計算

云計算（cloud computing）是一種基于因特網的超級計算模式，在遠程的數據中心里，成千上萬臺電腦和服務器連接成一片電腦云。因此，云計算甚至可以讓你體驗每秒10萬億次的運算能力，擁有這么強大的計算能力可以模擬核爆炸、預測氣候變化和市場發(fā)展趨勢。用戶通過電腦、筆記本、手機等方式接入數據中心，按自己的需求進行運算。it精英們如何看待云計算？IBM的創(chuàng)立者托馬斯·沃森曾表示，全世界只需要5臺電腦就足夠了。比爾·蓋茨則在一次演講中稱，個人用戶的內存只需640K足矣。李開復打了一個很形象的比喻：錢莊。狹義的云計算是指IT基礎設施的交付和使用模式，指通過網絡以按需、易擴展的方式獲得所需的資源（硬件、平臺、軟件）。提供資源的網絡被稱為“云”?！霸啤敝械馁Y源在使用者看來是可以無限擴展的，并且可以隨時獲取，按需使用，隨時擴展，按使用付費。這種特性經常被稱為像水電一樣使用IT基礎設施。廣義的云計算是指服務的交付和使用模式，指通過網絡以按需、易擴展的方式獲得所需的服務。這種服務可以是IT和軟件、互聯(lián)網相關的，也可以是任意其他的服務。

2 云計算的原理

云計算（Cloud Computing）是分布式處理（Distributed Computing）、并行處理（Parallel Computing）和網格計算（Grid Computing）的發(fā)展，或者說是這些計算機科學概念的商業(yè)實現(xiàn)。云計算的基本原理是，通過使計算分布在大量的分布式計算機上，而非本地計算機或遠程服務器中，企業(yè)數據中心的運行將更與互聯(lián)網相似。這使得企業(yè)能夠將資源切換到需要的應用上，根據需求訪問計算機和存儲系統(tǒng)。

3 云計算有哪些好處

（1）安全，云計算提供了最可靠、最安全的數據存儲中心，用戶不用再擔心數據丟失、病毒入侵等麻煩。

（2）方便，它對用戶端的設備要求最低，使用起來很方便。

（3）數據共享，它可以輕松實現(xiàn)不同設備間的數據與應用共享。

（4）無限可能，它為我們使用網絡提供了幾乎無限多的可能。

4 云計算基礎安全服務和架構（圖1）

基礎安全服務和架構[1]定義包含了企業(yè)安全框架中的五個核心的基礎技術構架和相關服務：物理安全、基礎構架安全、身份/訪問安全、數據安全和應用安全?；A安全服務和架構是安全運維和管理的對象，其功能由各自子系統(tǒng)提供保證。對一個具體的基礎架構云來說，云計算平臺采用統(tǒng)一管理的系統(tǒng)資源為用戶提供各種IT資源服務，每個用戶在屬于自己的虛擬資源下運行相關程序。用戶可控制這些虛擬資源的安全策略，而服務提供商需要確保這些虛擬資源之間是通過一定技術手段相互隔離的，以下是幾種處理云計算安全的技術手段。

4.1 用戶認證與授權

用戶的認證與授權管理旨在授權合法用戶進入系統(tǒng)和訪問數據庫，同時保護這些資產免受非授權的訪問。云計算的用戶及其業(yè)務流程和應用向越來越多的員工、終端客戶和業(yè)務伙伴開放，安全威脅不僅來自外部互聯(lián)網，也來自內部的安全隱患，這種互通性向云計算系統(tǒng)提出新的挑戰(zhàn)——如何經濟高效地管理這些用戶以及他們對系統(tǒng)的訪問[2]。

通過集中的身份和訪問管理，云計算的用戶能夠以一種基于標準的方法保護那些影響生產效率的資產和信息，并且使企業(yè)能夠滿足安全需要，降低成本，提高用戶體驗，增加效率和避免風險。云計算的用戶認證與授權措施需要具備如下的能力。

身份管理。在用戶身份生命周期中，有效地管理用戶身份和訪問資源的權限是非常關鍵的。具體包括以下幾點。

（1）用戶生命周期管理，包括用戶自注冊、自管理和自動化的用戶ID部署服務。

（2）用戶身份控制，包括訪問和權限控制、單點登錄和審計。

（3）訪問授權。應該在用戶生命周期以內提供及時的訪問，從而加強安全，保護IT資源。用戶生命周期可能跨越多種環(huán)境和安全域?？梢酝ㄟ^集中的身份、訪問、認證和審查服務，幫助監(jiān)測、管理并降低身份識別和訪問的風險。一般情況下，訪問管理應提供以下功能[3]。

（1）為多個服務和用戶提供集中的訪問控制，確保安全策略的執(zhí)行是一致的。

（2）根據IT需求和業(yè)務目標，提供基于策略的安全基礎架構自動化。

（3）在一個基礎設施環(huán)境下集成訪問和身份管理的能力。

（4）在信任的Web服務應用系統(tǒng)間建立共享認證和屬性信息的身份聯(lián)邦。

管理分布式環(huán)境下的用戶，包括能夠為用戶配置一個或多個角色。主動強制安全策略，實現(xiàn)基于角色和規(guī)則的自動化管理?？赡M策略變更，以便掌握新的安全策略對用戶可能產生的影響。安全高效地聯(lián)接組織內部目前及今后可能引入的應用軟件，操作系統(tǒng)和資源。提供重要的標準報告以滿足管理規(guī)范的要求。提供執(zhí)行口令和個人信息變更的Web自助接口。配置必要的軟件組件，包括必要的數據庫、LDAP服務器、Web與應用服務器。

4.2 數據隔離

數據的隔離是大家都比較關心的問題?；A架構云服務的一個核心技術是虛擬化，這意味著不同用戶的數據可能存放在共享的物理存儲之上。

云計算系統(tǒng)對于客戶數據的存放問題可再用兩種方式實現(xiàn)：提供統(tǒng)一共享的存儲設備；提供單獨的存儲設備。

當用戶選擇用共享存儲設備存放數據時，通過存儲設備自身的安全措施，比如存放映射等功能可以確保數據的隔離性，其優(yōu)點為。

（1）基于共享存儲的方式節(jié)約存儲空間。

（2）統(tǒng)一管理，節(jié)約管理相關的費用。

（3）存儲整合，便于管理，便于備份及容災的實現(xiàn)。

（4）提供足夠、有效的安全措施來保護數據。

當用戶選擇單獨的數據存放設備時，從物理層面的隔離保護了用戶重要數據，但缺點是存儲設備無法有效利用，當用戶規(guī)模擴大的時候，無法實現(xiàn)對分布的獨立的存儲設備進行有效管理，從而使整個云的成本和可用性大打折扣。

4.3 數據加密

數據加密的目的是防止他人拿到數據的原始文件后進行數據竊取。在云計算環(huán)境中，數據的隔離機制已經可以防止其他用戶對數據的訪問，因此，數據加密的主要途徑是防止“內鬼”，既避免服務提供者對數據進行竊取。數據加密在云計算中的具體應用形式為：數據在用戶端使用用戶密鑰進行加密，然后上傳至云計算環(huán)境中，之后使用時再實時解密，避免將解密后的數據存放在任何物理介質上。

數據加密有很多成熟的算法，比如對稱加密，公鑰加密等等，這里限于篇幅就不再贅述了。

4.4 數據保護

對于存儲在云計算平臺的數據，可采用快照、備份、容災等重要保護手段確保用戶重要數據的安全，一旦發(fā)生用戶數據受到黑客、病毒等邏輯層面的攻擊或者地震、火災等物理層的災害，均可有效恢復。

對于數據備份[4]，可通過現(xiàn)有的企業(yè)級備份軟件或者存儲備份功能來實現(xiàn)，可對其文件、數據庫按照用戶設定的備份策略進行自動備份及恢復，包括在線或離線備份。目前市面上的云存儲服務提供商提出一些創(chuàng)新性的方法，比如把一份數據同時存放在多個地點，這樣即使一份數據出問題，用戶也可以從其它位置獲取數據，而且這個過程對用戶是透明的?？梢岳脭祿ｒ灱夹g幫助驗證數據的完整性，比如數據是否被篡改，是否發(fā)生了缺失。數據校驗技術還可以和數據的拷貝結合起來，用于判斷每份拷貝的正確性。

參考文獻

[1]胡小菁，范并思.云計算給圖書館管理帶來挑戰(zhàn)[J].大學圖書館學報，2009（4）：7-12.

[2]周舒，張嵐嵐.云計算改善數字圖書館用戶體驗初探[J].圖書館學研究，2009（4）：28-30.

[3]王長全，艾雰.云計算時代的數字圖書館信息安全思考[J].圖書館建設，2010（1）：50-52.

[4]魏志鵬，李慧佳，祖央.云計算影響下的圖書館信息服務研究[J].圖書館，2010（2）.