摘 要：云計算（cloud computing）是一種基于因特網(wǎng)的超級計算模式，在遠程的數(shù)據(jù)中心里，成千上萬臺電腦和服務器連接成一片電腦云。用戶通過電腦、筆記本、手機等方式接入數(shù)據(jù)中心，按自己的需求進行運算，為了將各種技術(shù)手段有機地結(jié)合起來形成真正具備安全能力的服務，必須在設計平臺之初就考慮到各種安全需求，并且在運營過程中持續(xù)地把安全保障作為一個核心問題來對待。

關(guān)鍵詞：云計算 計算模式 電腦云 數(shù)據(jù)中心 安全保障

中圖分類號：TP3 文獻標識碼：A 文章編號：1672-3791（2013）04（b）-0004-02

1 什么是云計算

云計算（cloud computing）是一種基于因特網(wǎng)的超級計算模式，在遠程的數(shù)據(jù)中心里，成千上萬臺電腦和服務器連接成一片電腦云。因此，云計算甚至可以讓你體驗每秒10萬億次的運算能力，擁有這么強大的計算能力可以模擬核爆炸、預測氣候變化和市場發(fā)展趨勢。用戶通過電腦、筆記本、手機等方式接入數(shù)據(jù)中心，按自己的需求進行運算。it精英們?nèi)绾慰创朴嬎?？IBM的創(chuàng)立者托馬斯·沃森曾表示，全世界只需要5臺電腦就足夠了。比爾·蓋茨則在一次演講中稱，個人用戶的內(nèi)存只需640K足矣。李開復打了一個很形象的比喻：錢莊。狹義的云計算是指IT基礎設施的交付和使用模式，指通過網(wǎng)絡以按需、易擴展的方式獲得所需的資源（硬件、平臺、軟件）。提供資源的網(wǎng)絡被稱為“云”。“云”中的資源在使用者看來是可以無限擴展的，并且可以隨時獲取，按需使用，隨時擴展，按使用付費。這種特性經(jīng)常被稱為像水電一樣使用IT基礎設施。廣義的云計算是指服務的交付和使用模式，指通過網(wǎng)絡以按需、易擴展的方式獲得所需的服務。這種服務可以是IT和軟件、互聯(lián)網(wǎng)相關(guān)的，也可以是任意其他的服務。

2 云計算的原理

云計算（Cloud Computing）是分布式處理（Distributed Computing）、并行處理（Parallel Computing）和網(wǎng)格計算（Grid Computing）的發(fā)展，或者說是這些計算機科學概念的商業(yè)實現(xiàn)。云計算的基本原理是，通過使計算分布在大量的分布式計算機上，而非本地計算機或遠程服務器中，企業(yè)數(shù)據(jù)中心的運行將更與互聯(lián)網(wǎng)相似。這使得企業(yè)能夠?qū)①Y源切換到需要的應用上，根據(jù)需求訪問計算機和存儲系統(tǒng)。

3 云計算有哪些好處

（1）安全，云計算提供了最可靠、最安全的數(shù)據(jù)存儲中心，用戶不用再擔心數(shù)據(jù)丟失、病毒入侵等麻煩。

（2）方便，它對用戶端的設備要求最低，使用起來很方便。

（3）數(shù)據(jù)共享，它可以輕松實現(xiàn)不同設備間的數(shù)據(jù)與應用共享。

（4）無限可能，它為我們使用網(wǎng)絡提供了幾乎無限多的可能。

4 云計算基礎安全服務和架構(gòu)（圖1）

基礎安全服務和架構(gòu)[1]定義包含了企業(yè)安全框架中的五個核心的基礎技術(shù)構(gòu)架和相關(guān)服務：物理安全、基礎構(gòu)架安全、身份/訪問安全、數(shù)據(jù)安全和應用安全?；A安全服務和架構(gòu)是安全運維和管理的對象，其功能由各自子系統(tǒng)提供保證。對一個具體的基礎架構(gòu)云來說，云計算平臺采用統(tǒng)一管理的系統(tǒng)資源為用戶提供各種IT資源服務，每個用戶在屬于自己的虛擬資源下運行相關(guān)程序。用戶可控制這些虛擬資源的安全策略，而服務提供商需要確保這些虛擬資源之間是通過一定技術(shù)手段相互隔離的，以下是幾種處理云計算安全的技術(shù)手段。

4.1 用戶認證與授權(quán)

用戶的認證與授權(quán)管理旨在授權(quán)合法用戶進入系統(tǒng)和訪問數(shù)據(jù)庫，同時保護這些資產(chǎn)免受非授權(quán)的訪問。云計算的用戶及其業(yè)務流程和應用向越來越多的員工、終端客戶和業(yè)務伙伴開放，安全威脅不僅來自外部互聯(lián)網(wǎng)，也來自內(nèi)部的安全隱患，這種互通性向云計算系統(tǒng)提出新的挑戰(zhàn)——如何經(jīng)濟高效地管理這些用戶以及他們對系統(tǒng)的訪問[2]。

通過集中的身份和訪問管理，云計算的用戶能夠以一種基于標準的方法保護那些影響生產(chǎn)效率的資產(chǎn)和信息，并且使企業(yè)能夠滿足安全需要，降低成本，提高用戶體驗，增加效率和避免風險。云計算的用戶認證與授權(quán)措施需要具備如下的能力。

身份管理。在用戶身份生命周期中，有效地管理用戶身份和訪問資源的權(quán)限是非常關(guān)鍵的。具體包括以下幾點。

（1）用戶生命周期管理，包括用戶自注冊、自管理和自動化的用戶ID部署服務。

（2）用戶身份控制，包括訪問和權(quán)限控制、單點登錄和審計。

（3）訪問授權(quán)。應該在用戶生命周期以內(nèi)提供及時的訪問，從而加強安全，保護IT資源。用戶生命周期可能跨越多種環(huán)境和安全域?？梢酝ㄟ^集中的身份、訪問、認證和審查服務，幫助監(jiān)測、管理并降低身份識別和訪問的風險。一般情況下，訪問管理應提供以下功能[3]。

（1）為多個服務和用戶提供集中的訪問控制，確保安全策略的執(zhí)行是一致的。

（2）根據(jù)IT需求和業(yè)務目標，提供基于策略的安全基礎架構(gòu)自動化。

（3）在一個基礎設施環(huán)境下集成訪問和身份管理的能力。

（4）在信任的Web服務應用系統(tǒng)間建立共享認證和屬性信息的身份聯(lián)邦。

管理分布式環(huán)境下的用戶，包括能夠為用戶配置一個或多個角色。主動強制安全策略，實現(xiàn)基于角色和規(guī)則的自動化管理?？赡M策略變更，以便掌握新的安全策略對用戶可能產(chǎn)生的影響。安全高效地聯(lián)接組織內(nèi)部目前及今后可能引入的應用軟件，操作系統(tǒng)和資源。提供重要的標準報告以滿足管理規(guī)范的要求。提供執(zhí)行口令和個人信息變更的Web自助接口。配置必要的軟件組件，包括必要的數(shù)據(jù)庫、LDAP服務器、Web與應用服務器。

4.2 數(shù)據(jù)隔離

數(shù)據(jù)的隔離是大家都比較關(guān)心的問題?；A架構(gòu)云服務的一個核心技術(shù)是虛擬化，這意味著不同用戶的數(shù)據(jù)可能存放在共享的物理存儲之上。

云計算系統(tǒng)對于客戶數(shù)據(jù)的存放問題可再用兩種方式實現(xiàn)：提供統(tǒng)一共享的存儲設備；提供單獨的存儲設備。

當用戶選擇用共享存儲設備存放數(shù)據(jù)時，通過存儲設備自身的安全措施，比如存放映射等功能可以確保數(shù)據(jù)的隔離性，其優(yōu)點為。

（1）基于共享存儲的方式節(jié)約存儲空間。

（2）統(tǒng)一管理，節(jié)約管理相關(guān)的費用。

（3）存儲整合，便于管理，便于備份及容災的實現(xiàn)。

（4）提供足夠、有效的安全措施來保護數(shù)據(jù)。

當用戶選擇單獨的數(shù)據(jù)存放設備時，從物理層面的隔離保護了用戶重要數(shù)據(jù)，但缺點是存儲設備無法有效利用，當用戶規(guī)模擴大的時候，無法實現(xiàn)對分布的獨立的存儲設備進行有效管理，從而使整個云的成本和可用性大打折扣。

4.3 數(shù)據(jù)加密

數(shù)據(jù)加密的目的是防止他人拿到數(shù)據(jù)的原始文件后進行數(shù)據(jù)竊取。在云計算環(huán)境中，數(shù)據(jù)的隔離機制已經(jīng)可以防止其他用戶對數(shù)據(jù)的訪問，因此，數(shù)據(jù)加密的主要途徑是防止“內(nèi)鬼”，既避免服務提供者對數(shù)據(jù)進行竊取。數(shù)據(jù)加密在云計算中的具體應用形式為：數(shù)據(jù)在用戶端使用用戶密鑰進行加密，然后上傳至云計算環(huán)境中，之后使用時再實時解密，避免將解密后的數(shù)據(jù)存放在任何物理介質(zhì)上。

數(shù)據(jù)加密有很多成熟的算法，比如對稱加密，公鑰加密等等，這里限于篇幅就不再贅述了。

4.4 數(shù)據(jù)保護

對于存儲在云計算平臺的數(shù)據(jù)，可采用快照、備份、容災等重要保護手段確保用戶重要數(shù)據(jù)的安全，一旦發(fā)生用戶數(shù)據(jù)受到黑客、病毒等邏輯層面的攻擊或者地震、火災等物理層的災害，均可有效恢復。

對于數(shù)據(jù)備份[4]，可通過現(xiàn)有的企業(yè)級備份軟件或者存儲備份功能來實現(xiàn)，可對其文件、數(shù)據(jù)庫按照用戶設定的備份策略進行自動備份及恢復，包括在線或離線備份。目前市面上的云存儲服務提供商提出一些創(chuàng)新性的方法，比如把一份數(shù)據(jù)同時存放在多個地點，這樣即使一份數(shù)據(jù)出問題，用戶也可以從其它位置獲取數(shù)據(jù)，而且這個過程對用戶是透明的?？梢岳脭?shù)據(jù)校驗技術(shù)幫助驗證數(shù)據(jù)的完整性，比如數(shù)據(jù)是否被篡改，是否發(fā)生了缺失。數(shù)據(jù)校驗技術(shù)還可以和數(shù)據(jù)的拷貝結(jié)合起來，用于判斷每份拷貝的正確性。

參考文獻

[1]胡小菁，范并思.云計算給圖書館管理帶來挑戰(zhàn)[J].大學圖書館學報，2009（4）：7-12.

[2]周舒，張嵐嵐.云計算改善數(shù)字圖書館用戶體驗初探[J].圖書館學研究，2009（4）：28-30.

[3]王長全，艾雰.云計算時代的數(shù)字圖書館信息安全思考[J].圖書館建設，2010（1）：50-52.

[4]魏志鵬，李慧佳，祖央.云計算影響下的圖書館信息服務研究[J].圖書館，2010（2）.