曾文玄

（福建医科大学 信息中心，福建 福州 350108）

九十年代初期，互联网作为一个崭新的数据信息传输媒介，逐渐受到了人们的重视.网络中存储了海量的数据资源，这些数据资源的应用前景良好，信息领域开始研究如何能够将这些数据资源进行科学合理的利用.云计算技术的深入推广和应用使得用户能够使用网络中的海量数据资源.云计算越来越成为信息领域重点研究的课题，已经成为了下一代计算机网络的核心架构.基于云计算背景，用户可以以低廉的资金成本使用强大的数据存储服务，无需再耗费大量的软硬件成本，完全交由云计算服务商负责完成.

1 云计算

1.1 云计算定义

目前，人们可以利用互联网获得海量数据信息，通过网络存储的信息资源实现资源共享、相互配合的低成本、高效率工作.随着网络应用的日益普及，信息学术领域提出了多种技术来解决网络大规模协同工作的问题，例如效能计算、网格计算、按需计算等.云计算这种新型计算模式的提出正是基于以上多种计算模式的优化与改进.

云计算平台是一个按照实际需求随时进行动态部署和动态配置的平台，其提供的服务也是动态性的，云计算平台可以是物理存在的服务器设备，也可以是其他形式的服务提供平台.云计算平台包括了海量计算资源的存储、网络资源的存储，以及网络安全管理设备等.而且，云计算平台要始终保证具有良好的可扩展性，用户可以利用互联网购买获得更多的云计算应用服务.

云计算具有规模庞大、可靠性强、动态性高、扩展性强等特性，能够有效克服网络计算、效能计算等在处理海量数据方面存在的性能缺陷问题，同时具有信息资源共享、统一配置管理、维护费用低廉等优点.因此，云计算也逐渐成为了现代信息领域深入研究的热点课题.

1.2 云计算模型架构

云计算模型按照实际应用划分为部署模型和服务模型两种，云计算部署模型将其又划分为公共云、混合云和私有云三种类型，如图1所示：

图1 云计算部署模型示意图

由云计算服务商提供的相关基础设施组成公共云，主要是为小型机构提供云计算应用服务.私有云指的是中型机构和大型机构内部的云计算基础设备，主要是为某一个机构提供云计算应用服务，这种云服务应用于商业银行、移动电信等数据庞大的行业中，能够有效保障数据信息安全.混合云是由两个或两个以上的云共同组成，以独立方式存在，主要是为云与云之间的联系提供接口服务，方便数据信息的移植和扩展.

云计算服务模型主要包括三类，一是软件即服务；二是平台即服务，三是基础设施即服务.如图2所示.软件即服务主要是将云计算服务商的相关基础设施提供给用户，例如谷歌公司的Apps等.平台即服务主要是将云计算创建和定制应用的服务提供给用户，例如微软公司的Microsoft Azure等.基础设施即服务主要是将云计算的计算资源提供给用户使用，用户可以根据自己的实际需求运行部署相关应用软件和操作系统.

图2 云计算服务模型示意图

2 云计算的安全防护策略

云计算的安全防火策略如图3所示：

图3 云计算的安全防护策略

2.1 多安全域防护

云计算与传统计算模式不同，它没有实现良好的安全域划分.因此，对于云计算的应用程序和数据信息进行多层次结构的安全域划分.在云计算安全域中，还要分别实现局部安全策略和全局安全策略，对于不同的安全域之间进行有效隔离.

2.2 可靠的接入认证

由于大量用户使用云计算提供的应用服务，更需要加强对用户身份的验证过程，同时注重维护用户访问的列表记录.用户身份认证通常采用的方式包括口令认证、证物认证和生物识别认证等.目前，口令认证方式应用得最为普遍，虽然口令认证的方式比较快捷方便，但是安全性能却远远不如生物识别认证和证物认证.但是，生物识别认证的应用需要耗费大量资金成本，由此，证物认证可以成为未来云计算安全认证的发展方向.

2.3 安全的数据维护

用户将海量数据信息存储在云计算服务器中，作为云计算服务商需要对这些数据信息进行有效保护，保证数据信息安全可靠，同时需要提供数据信息校验服务.而且，云计算服务商还要得到监管和审计部门的认可.

2.4 高效可靠的服务

云计算应用程序服务提供商必须具有不间断提供服务的能力，减少由于服务商自身原因出现的服务延迟、服务中断等情况，保证用户在需要数据信息时能够立刻获取，不会受到时间和地域的限制.

2.5 可信的审计监管

云计算安全保障的提供不能仅限于云计算服务商和个人用户，需要信息安全领域学术机构尽快构建一套高效可靠的第三方监管方案，同时政府部门也需要加快完善相关法律法规，才能真正提高云计算服务的安全性.

3 云计算数据存储的安全体系架构

基于云计算技术的数据信息存储服务不仅是规模庞大的存储硬盘，而是由网络设备、硬件设备和应用软件等共同构成的.

云计算的数据信息存储服务与传统数据存储服务比较而言，能够提供更多类型的在线数据应用服务，支持大规模数据统一管理和维护.但是，由于云计算用户规模庞大，服务对象类型和网络环境相对复杂，使得云计算数据存储服务存在较多的安全风险.目前，流行的云计算服务提供商应用的云计算数据存储安全体系架构仅包括三个部分，分别是用户、网络通信和云计算数据中心，数据信息的安全保障工作和监管审计工作都由企业独立完成.由于云计算外部监管存在一定缺陷的服务现状，使得用户在得到应用服务时必须完全同意企业设置的各项条款，数据信息的安全性得不到良好保证，个人隐私的安全也只能依赖于企业自身的道德信誉.由此可见，云计算需要引起第三方审计机制，制定科学合理的审计协议，依靠第三方的约束力来有效规范和完善云计算数据服务.

图4 云计算数据存储安全体系架构示意图

本文提出的云计算数据存储方案是利用第三方审计机构，将对用户数据信息的审计和监管，以及相关数据信息的访问工作全部交由第三方审计机构负责完成，如图4所示.通过制定科学合理的协议来规范全部云计算数据服务提供者和参与者的行为，使得用户存储到云计算服务器中的数据信息能够得到良好的审计和监管，充分保障用户的合法权益，本文提出的云计算数据存储安全体系架构具体功能见图4.

3.1 用户

一般情况下，云计算服务商都要求客户使用特定的客户端和浏览器对数据信息进行访问.用户通过手机、PAD等移动终端设备，利用互联网或专门客户端使用云计算服务商提供的数据信息存储服务.用户只需要注重客户端软件和应用浏览器的安全性，其他方面则有云计算服务商提供安全保障.

3.2 云计算数据中心

云计算数据中心由大量硬件存储设备、网络设备和相关服务器共同组成.硬件存储设备负责提供海量的数据信息存储空间，服务器主要负责海量数据信息的维护和管理工作.由于云计算数据中心存储着大量用户的个人数据信息，因此更需要加强其安全防护.通常情况下，云计算数据中心都会利用分布式文件系统，对日常用户行为进行维护和管理，例如谷歌公司的GFS(Google File System)，以及淘宝网的HDFS等.云计算数据中心的核心部分是分布式文件系统，它能够使众多的存储设备实现协同工作，并将其虚拟化，从而有效帮助用户快速准确地寻找到其需要访问的数据信息.同时，分布式文件系统还要负责数据信息定时备份、检测数据信息的完整性、恢复数据信息、加密数据信息等工作，为上层的控制和管理服务器提供应用接口.控制和管理服务器收到用户的请求后及时做出相应，保证用户访问数据信息的安全性.而且，控制和管理服务器还负责与第三方审计机构进行沟通，对第三方审计机构发出的审计数据可靠性和安全性的请求做出响应.

3.3 第三方审计机构

第三方审计机构应该由政府部门按照国家相关法律法规，对云计算数据中心的用户行为和海量数据进行有效监管和定时审计.用户可以完全信任政府部门的第三方审计机构，但同时也需要其具有较强的审计和监管能力，能够充分保障用户在云端存储数据信息的安全性，以及数据信息的完整性、可靠性和一致性.而且，第三方审计机构要能够时刻记录云计算服务商的行为操作，防止服务商的抵赖行为发生，并根据得出的结论承担全部责任.

3.4 网络通信

网络环境的情况能够对云计算数据存储服务的质量带来一定影响.因此，电信运营商应该提供性能可靠的网络服务，保证用户数据信息在通信过程中不会发生数据丢包和恶意窃听等现象.同时，电信运营商要提供快速稳定的网络服务，保证用户获取数据信息的及时性.网络通信的安全性对于云计算服务商提供数据存储的安全性有着深入影响.结论

综上所述，在云计算应用服务环境中，海量的数据信息和庞大的应用软件都存储于集群式服务器中.对于数据信息的统一维护管理带来了多方面的安全威胁.本文基于云计算服务的数据信息面临多重安全问题为背景，针对云计算特有的动态性、虚拟性、可扩展性等特点，提出了云计算数据存储的安全体系架构，同时对云计算安全关键技术进行了深入研究.

〔1〕夏君.云计算安全问题研究[J].河南科技,2013,(05):1+5.

〔2〕冉旭,钟鸣,程放,许勇,刘佳.云计算安全防护体系研究[J].信息通信,2013,(01):81-82.

〔3〕刘彦.云计算安全风险与对策分析[J].硅谷,2013,(02):132+70.

〔4〕大数据时代的云计算安全征文通知[J].信息网络安全,2013,(03):28.

〔5〕惠志斌.新安全观下中国网络信息安全战略的理论构建[J].国际观察,2012,(02):17-22.

〔6〕史嘉林.计算机网络信息安全分析与管理[J].电脑开发与应用,2012,(03):36-38+42.

〔7〕李红娇,魏为民,田秀霞,孙超超.可信计算技术在云计算安全中的应用 [J].上海电力学院学报,2013,(01):83-86.

〔8〕柴文光,周宁.网络信息安全防范与Web数据挖掘技术的整合研究 [J].情报理论与实践,2009,(03):97-101.