基于分布式存储的数字图书馆云存储安全架构研究

●马晓亭，陈 臣

（兰州商学院a.信息工程学院；b．网络中心，兰州 730020）

1 引言

云存储技术的发展给传统图书馆数字化建设和服务模式带来深刻的变革。基于云存储（Cloud Storage）技术的云图书馆是云计算技术在图书馆建设中的具体应用，是结合集群应用技术、网格技术、分布式文件系统、虚拟计算与存储自动化技术，将分布在世界不同区域网络中的大量计算、存储设备，通过应用软件对计算与存储能力负载均衡协同工作，共同对图书馆数字用户提供数据存储和业务访问功能的云系统。云图书馆可以根据自身建设与用户服务需求，对计算与存储资源按需分配，进行虚拟化的存储和数据管理。

云图书馆在日常建设、维护与服务中，因其分布式与虚拟化存储、计算特点，除受到传统数字图书馆安全威胁外，还面临云计算环境下身份认证和访问控制、数据云存储和传输的保密性问题、云用户数据隔离的问题。此外，云服务提供商与云应用开发商可能遵循不同的云标准与安全准则，会导致云图书馆应用安全漏洞，对云图书馆网络与信息系统安全产生威胁。只有加强云存储系统安全技术分析与设计，针对云存储安全威胁采用有效的技术与管理手段，才能确保云图书馆数据存储的安全、高效。

2 云图书馆云端数据存储的安全威胁

云图书馆和传统的数字图书馆相比，在数据存储上具有经济、高效、移动和分布式存储计算特点。同时，云这种新的计算与存储模式，对云数据的保密性、完整性、可用性、有效性产生了新的安全威胁。云用户核心数据在存储和传输时可能被窃取和篡改，合法云用户在需要云端数据服务时可能无法准确获取、存储数据。云图书馆云端数据存储的安全威胁主要来自以下几个方面：

2.1 来自云服务提供商的威胁

在云数字图书馆建设中，除了自建私有云外，为给全世界范围用户提供更高效、便捷的云服务，云图书馆往往会租赁位于世界不同地域云服务提供商的云空间，将云图书馆数据分布存储于不同的云设施上。因此，和其它用户共享云服务提供商的存储设备和云空间，成为云图书馆数据存储的必然模式。

不同云服务提供商应对云安全威胁的能力不同，不但要面对传统的网络与系统安全威胁，还要面对云存储环境下特有的密钥破解、分布式拒绝服务攻击(DDoS)，托管恶意数据、云空间其它租户跨越虚拟隔离空间非法访问等威胁。云图书馆通过应用程序编程接口(API)执行管理、业务流程控制、配置和监控，来实现云图书馆用户身份认证、访问控制、数据加密、监控和云数据远程迁移。云服务提供商接口和基础API内置的安全性，决定了云图书馆在数据传输、存储、管理行为的安全水平。此外，云服务提供商工作人员可能通过获得超级权限非法访问云图书馆核心数据，影响云图书馆的安全性。［1］

2.2 云图书馆数据传输安全

云图书馆在建设、维护、运营过程中，有海量的资料数据与管理信息远程传输到云存储空间，其中部分信息是云图书馆安全运营、客户资料、财务信息与关键业务流程等核心数据，关系到云图书馆的正常运营与客户隐私。在云图书馆对租赁的云空间远程更新、维护时，数据面临着以下安全威胁：一是云图书馆业务数据通过互联网远程传输过程中没有加密或者加密易破解，黑客在传输过程中截获并还原。二是云存储中服务是可伸缩的，对外部用户来说是不透明的。因此，云存储中无法清晰地定义安全边界及需要安全保护的设施，为具体保护措施的实施增加了一定难度。由于没有采取恰当的云空间用户隔离策略，导致用户非法访问与信息窃取。三是数据存储于云空间时，如何加强图书馆云资源的权限认证体系，确保合法用户按权限随时安全、可靠访问数据。四是云服务器可能遭受来自互联网中的恶意攻击，造成服务中断、数据破坏、信息被窃取和篡改。［2］

2.3 云图书馆云存储区域机制安全

云图书馆云存储区域机制安全主要有平台安全机制、管控安全机制和应用安全机制3个方面。平台安全机制是保护整个云存储平台系统自身的安全问题，其中核心技术是密码技术和平台加固技术。如果密码技术体系薄弱，则无法保证所有程序和应用系统的完整性，无法提供基于PKI（公钥基础设施）的用户身份鉴别以及存储节点的透明加密。如果加固技术保障范围和程度有限，则无法保障服务器、主机的安全性，无法确保操作系统内核、存储节点、虚拟主机及云空间隔离的数据免遭病毒、木马攻击。云存储管控安全机制负责对云节点服务器密钥的统一管理、密钥生命周期的可控性、云数据接口、云客户端密钥的自主性管理。云存储应用安全机制主要负责存储加密、备份加密、交换加密、身份认证与访问控制、接口安全及云端数据库安全。因此，黑客往往通过查找云系统漏洞攻击存储区域防范安全体系，通过获得超级权限控制整个云图书馆系统。

2.4 云图书馆数据审计与用户身份认证安全

云图书馆对存储于云服务提供商设备内的数据进行管理时，为确保远程存储于租赁云空间数据的安全性，会借助具有技术实力与信誉的第三方认证机构进行审计和认证。如果审计和认证范围不广泛或可靠性较低，则不能确保云计算服务商为众多云用户提供云服务的同时，保证云数字图书馆数据存储安全。审计和认证过程可以对云计算服务提供商的可持续发展性进行评价，使云数字图书馆对云服务提供商的技术实力与业务交付能力潜在风险进行评估。此外，云图书馆数字用户身份认证的快速、有效性决定了云服务的安全与效率。确保图书馆云用户在业务层与基础架构层的身份认证方式相同，实现单点登陆；确保云用户在运营层和虚拟层登陆身份一致，使用户对云图书馆数据访问控制的身份具有应用一致性；确保对用户身份认证的同时，加强对核心数据访问的设备层身份认证，不断提高云图书馆核心数据访问的安全性，对云图书馆数据存储安全具有重要意义。［3］

2.5 云数字图书馆存储虚拟化安全问题

虚拟化存储是云图书馆区别于传统数字图书馆的一项核心存储技术，对云存储安全提出了新要求。在云图书馆虚拟化平台上，如何保证不同用户虚拟存储平台之间的安全，如何保证虚拟平台之间切换、传输、同步的安全成为一个新的重点安全问题。因此，云服务提供商如何合理有效构建虚拟HIPS（主机入侵防御系统）、虚拟防火墙，如何设计符合云服务商业务特点的云存储架构，直接关系到云图书馆的数据存储安全。

3 云图书馆云存储安全分层模型及与传统数字图书馆安全模型的差异

3.1 云图书馆云存储安全分层模型

按照云存储的功能结构与云存储安全的平衡风险与投入原则，结合云安全技术与云图书馆云存储结构特点，设计了云存储安全的分层模型，使云存储从结构、功能、安全性能上能更加清晰、可分析。

云图书馆云存储安全分层模型依据模块结构与功能，分为设备层、虚拟层、运营层和业务层。第一层为设备层，主要由提供存储、网络安全、计算的基本设备及相关硬件、基础软件组成，为云存储系统提供设备加密、传输加密、病毒查杀、防火墙、入侵检测、系统加固、设备加锁等安全技术。提供了基于设备和网络的安全服务，保护云图书馆基础设施与服务免遭恶意攻击和破坏。第二层为虚拟层，主要实现设备的虚拟化，为云运营层服务提供支撑，确保用户身份认证、虚拟化应用安全及日志审计。第三层为运营层，通过对虚拟层作用实现对虚拟设备的管理和业务虚拟部署，实现云用户及访问的可控性。并根据需要进行计费、日志审计等工作，提供了基于运营管理平台的安全服务能力，为云业务层提供支持。第四层为业务层，在运营层基础上，提供各种云存储、云计算等云服务。同时负责云图书馆数据库加密、文件加密授权、病毒查杀、用户身份认证、访问控制及日志审计，提供了基于应用的安全服务。

云图书馆云存储安全分层模型中，病毒查杀、防火墙、入侵检测、IPS、系统加固、设备加锁等基础安全防护服务是数字图书馆云存储的数据安全基础，身份认证、访问控制及各种加密技术是云服务及数据安全的核心机制，而日志审计、冗余备份、应急服务等机制则为确保数据可用性、不可抵赖性提供了安全保护能力。［4］

3.2 数字图书馆传统安全模型

传统数字图书馆在系统建设模式和服务方式上与云图书馆有较大差异。传统数字图书馆安全技术遵循ISO七层协议（物理层、链路层、网络层、传输层、会话层、表示层、应用层）来划分。

ISO七层协议描述了开放系统互联的安全体系结构，提出设计安全的信息系统基础架构。其中主要包含五个方面的安全服务：分别是身份鉴别、访问控制、数据保密性、数据完整性和防抵赖。相对于这五个方面的安全服务，提出了相应的8种安全机制和3种安全管理方式。8种安全机制分别为加密、数字签名、访问控制、数据完整性、数据交换、业务流填充、路由控制、公证。3种安全管理方式分别为对系统安全、安全服务和安全机制的管理。［5］

3.3 云图书馆安全模型与传统数字图书馆安全模型的差异

3.3.1 图书馆用户访问数据流量和方式不同

传统数字图书馆基础设施建设相对简单，服务对象单一，承载的业务仅为数字图书馆数字用户相关服务。因此，传统数字图书馆业务流量模型相对简单、稳定，系统维护及安全策略规律性强，可针对实际业务与安全威胁制定相应的防范措施。而云图书馆基础设施多为租赁一个或者多个云服务商空间，同一云空间为多用户共同服务。多用户、多服务模式由统一基础架构的网络进行承载，云系统维护复杂且标准不统一，无法依据用户及服务模式特征分而治之。系统数据流量海量且无规律，云存储空间由多用户共享，安全风险问题较突出。［6］

3.3.2 云图书馆和传统图书馆计算、存储安全模式不同

虚拟化计算与虚拟化存储是云图书馆和传统数字图书馆在计算与存储模式上的区别。云图书馆计算、存储资源按需分配，不同用户数据之间的安全隔离成为云图书馆虚拟存储安全基本要求。虚拟化计算与虚拟化存储在提高云图书馆计算与存储效率时，如何实现云安全即服务(SaaS)在基于存储资源和计算资源高度整合条件下的虚拟化交付，如何确保安全设备适应云计算中心基础网络架构和应用服务的虚拟化要求，实现云图书馆基础架构和云安全环境的统一虚拟交付，是云数字图书馆和传统数字图书馆在计算、存储安全模式上的区别。

3.3.3 云图书馆和传统数字图书馆网络与系统安全边界不同

与传统数字图书馆相比，基于云计算的数字图书馆存储和计算资源高度整合，基础网络与系统架构边界具有高度不确定性。因此，无法准确描述确定的云图书馆网络与安全设备的部署边界，使云图书馆无法划分与部署有效的安全边界，无法依据所设定的安全边界进行网络与系统的安全隔离和访问控制，并依据云图书馆网络不同区域安全要求执行不同级别的安全防护策略。［7］

3.3.4 云图书馆具备更准确、快捷的威胁检测引擎

云图书馆和传统数字图书馆相比，在计算资源和存储资源上的共享特性，决定了云图书馆较传统数字图书馆具备更准确、快捷的威胁检测引擎。传统的数字图书馆在网络和系统安全构建中，将数字图书馆网络按安全要求不同划分为不同等级的安全区域。针对来自网外和数字图书馆内部用户的安全威胁，以防火墙、网关的方式，将数字图书馆分为可信的内部网络和不可信的外部网络，并制定相应的访问策略进行风险控制。而客户端防火墙和杀毒软件仅保障了本端系统安全，所监测的安全威胁信息不能在所有图书馆数字用户间共享。而云图书馆在计算资源和存储资源上的共享特性，确保单一客户端可成为已知与未知威胁的传感器，将本地检测到的安全信息与不能识别的可疑数据送到云端，利用云端的超级计算能力进行未知威胁检测，并传输到其它云用户实现安全信息共享，从而实现云模式的安全检测。

4 云图书馆云端数据存储的安全威胁对策

只有认真分析云图书馆面临的安全威胁，从云存储系统建设、云安全维护策略制定及安全防范、管理制度上入手，有针对性的采取有效安全措施，才能确保云图书馆云端数据存储安全，更好地为用户服务。

4.1 制定有效的云图书馆基础设施与网络建设准则

云图书馆存储区域网络建设中，要根据云图书馆服务内容和用户规模自建或者租用云存储空间和网络。云计算环境下，庞大的用户数量及大量的突发业务，造成云图书馆租赁的云系统网络、计算、存储需求的不确定性，云图书馆无法控制云空间和网络服务质量。因此，在选择云服务商时，要选择安全设备具备对高密度10G、100G接口的处理能力，其安全设备可以依据云图书馆用户规模和安全建设思路合理配置。此外，还要考虑到云图书馆服务的高速增长、可持续发展及不间断服务特性。所提供的云设备必须具备双机冗余备份、数据热备份更新、CPU及电源风扇的冗余、链路捆绑聚合及硬件Bypass（旁路保护） 等特性，实现大流量汇聚情况下的基础安全防护。［8］

4.2 提高云图书馆云端与用户端安全威胁监测关联、共享能力

云计算与云存储能力共享是云图书馆的显著特征。在云图书馆安全防护体系中，云端超强计算能力是云图书馆高效、准确、快速、安全检测已知与未知威胁的保障。在云计算模式下，云图书馆用户可利用云端强大的计算能力，对客户端存在的基础威胁进行检测和防护，并利用病毒行为监控技术防范未知威胁。客户端可将本地不能识别的可疑流量及时送到云端检测中心，利用云端计算能力快速分析安全威胁，并将获取的威胁特征推送到全部客户端和安全网关，使云图书馆所有系统和客户端都具备云安全监测、防范的能力。

此外，对于云图书馆安全级别要求较高的核心业务，可建立专门的云安全中心，核心数据流都引入到集中的安全服务中心进行安全处理，然后再发送回客户端。这种集中的安全服务中心，实现了用户安全服务的单独配置，不但保障了云图书馆核心业务安全，同时有效地节约了云图书馆安全建设经费。［9］

4.3 建设以虚拟化技术为支撑的安全防护体系

虚拟化计算与存储技术是云图书馆“按需购买服务”的关键技术。云图书馆根据建设和服务需要购买云服务，不但提高了云图书馆服务效率与水平，而且降低了建设与运营维护成本。云服务提供商对云空间个性化的存储计算及应用资源合理分配时，虽然提高了运营效率并降低了建设成本，但云资源通过虚拟化技术的逻辑隔离，造成不同云服务租户之间的数据安全威胁，使图书馆用户在云网络内进行数据传输、处理与存储时，在物理上不能与其它用户做到安全隔离。

云图书馆存储应用中的存储安全主要有认证服务、数据加密存储、安全管理、安全日志和审计组成,通过对云图书馆用户进行访问控制服务实现用户身份认证、授权，防止非法访问和越权访问。云图书馆根据用户级别赋予不同的权限，用户只能依据权限对特定文件、数据进行访问、下载、修改操作。而管理员只能对云图书馆进行用户管理、数据备份、热点对象迁移，而不能访问云用户加密了的私有数据和空间。因此，可采用去耦合技术将底层物理设备与上层操作系统、软件分离，在降低能耗的同时提供存储资源动态共享和灵活扩展的能力。

在云图书馆网络基础架构中，采用支持虚拟化技术隔离的防火墙。根据用户权限不同将用户映射到不同的虚拟化用户组中，每个虚拟化组采用独立、统一的安全控制策略以及独立的操作权限，对云图书馆分别进行管理、维护、浏览、下载等操作。云图书馆和其它云用户共享同一云服务器时，要确保不同用户运行的多个独立的操作系统及应用软件、存储数据在逻辑上完全隔离，不能被其他虚拟化系统引擎所访问，才能保证不降低云主机计算与存储性能的情况下，每个云图书馆客户虚拟机系统、虚拟化软件、虚拟平台之间通信的安全，保证多个虚拟平台之间切换、数据传输、数据同步的安全。

4.4 在云图书馆云存储应用中加密

由于云图书馆网络边界和用户存储区域的不确定性，导致云图书馆数据在处理、存储、传输过程中可能被窃取、修改、替换。加密存储是保证云图书馆核心数据与用户私有数据在共享云存储平台安全的核心技术，是对云图书馆指定的目录和文件进行加密后保存，实现敏感数据存储和传送过程中的机密性保护措施，确保数据被非法用户截获后也无法还原。

云图书馆是用户与终端基于网络平台对云系统计算与存储资源的共享。云存储系统在保证敏感数据机密性的同时，必须在确保存储系统高度安全及用户信任的基础上，提供相应的云用户加密数据共享技术。在不降低云系统计算存储性能及云网络传输效率的前提下，采用网络存储系统的加密存储技术，提供端到端加密存储技术及密钥长期存储和共享机制，加强密钥存储的安全性、分发的高效性及加密策略的灵活性，确保云用户数据的机密性和隐私性。此外，在云图书馆海量加密信息存储中，加密检索是确保云图书馆数字安全及用户隐私保护的主要手段。

4.5 建设两个以上跨地域的云存储数据中心

云安全存储技术具有数据自动冗余存储、整合异构存储平台、云节点无单点故障提升业务连续性、密码技术保障数据安全性等特征。利用云安全存储技术建设云图书馆，具有低成本、快速部署、管理简便、可靠性高及数据灾难备份等优势。因此，在云图书馆存储区域建设中，要建设主云存储数据中心和备份云存储数据中心等至少两个以上完全相同的跨地域云存储数据中心，形成一个跨地域的统一安全存储平台。云图书馆主中心和备份存储中心以负载均衡方式工作，并定期由主中心向备份中心和其它云存储节点进行数据备份迁移。当主中心遭受攻击或因不可抗拒因素停止工作时，由备份中心保障云图书馆数据安全及服务的不间断性。

5 结束语

随着云存储技术在云图书馆建设与用户服务应用中的不断深入，云图书馆运营、维护与用户服务中的安全性问题将更加突出。与传统的数字图书馆相比，云图书馆提高数据存储与读取效率的同时，对数据存储安全技术的依赖性不断增强。只有在云图书馆存储区域架构设计阶段认真分析云系统所面临的威胁与安全要求，在系统运营中运用先进的云安全技术，在制度上加强云图书馆运营安全管理，才能建设安全的云图书馆，为用户提供安全、高效、经济、便捷的云服务。［10］

［1］中国电信集团公司．中国电信（2010） 141号云计算技术白皮书［R］．北京：中国电信集团公司，2010：35－46.

［2］中国电信集团公司．中国电信(2010)166号网络安全计算技术白皮书［R］．北京：中国电信集团公司，2010：27－35.

［3］王鹏．走进云计算［M］．北京：人民邮电出版社，2009：121－135.

［4］冯丹．网络存储关键技术的研究及进展［J］．移动通信，2009，33（11）：35－38.

［5］屈志毅，等．一种基于信息分散算法的分布式数据存储方案［J］．计算机应用，2006，26（5）：1102－1105.

［6］郭春梅．云安全技术研究与趋势［EB/OL］．［2011－06－18］．http://articles.e-works.net.cn/Security/Article80100.htm.

［7］吴吉义，等．云计算：从概念到平台［J］．电信科学，2009，25（12）：23－30.

［8］田敬，代亚非．P2P持久存储研究［J］．软件学报，2007，18（6）：1379－1399.

［9］王庆波，等．虚拟化与云计算［M］．北京：电子工业出版社，2009：181－184.

［10］金文新．高校图书馆存储系统的构建及其数据安全和备份方案研究［J］．情报资料工作，2009（1）：40－43.