摘 要：云計(jì)算（cloud computing）是一種基于因特網(wǎng)的超級(jí)計(jì)算模式，在遠(yuǎn)程的數(shù)據(jù)中心里，成千上萬臺(tái)電腦和服務(wù)器連接成一片電腦云。用戶通過電腦、筆記本、手機(jī)等方式接入數(shù)據(jù)中心，按自己的需求進(jìn)行運(yùn)算，為了將各種技術(shù)手段有機(jī)地結(jié)合起來形成真正具備安全能力的服務(wù)，必須在設(shè)計(jì)平臺(tái)之初就考慮到各種安全需求，并且在運(yùn)營(yíng)過程中持續(xù)地把安全保障作為一個(gè)核心問題來對(duì)待。

關(guān)鍵詞：云計(jì)算 計(jì)算模式 電腦云 數(shù)據(jù)中心 安全保障

中圖分類號(hào)：TP3 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1672-3791（2013）04（b）-0004-02

1 什么是云計(jì)算

云計(jì)算（cloud computing）是一種基于因特網(wǎng)的超級(jí)計(jì)算模式，在遠(yuǎn)程的數(shù)據(jù)中心里，成千上萬臺(tái)電腦和服務(wù)器連接成一片電腦云。因此，云計(jì)算甚至可以讓你體驗(yàn)每秒10萬億次的運(yùn)算能力，擁有這么強(qiáng)大的計(jì)算能力可以模擬核爆炸、預(yù)測(cè)氣候變化和市場(chǎng)發(fā)展趨勢(shì)。用戶通過電腦、筆記本、手機(jī)等方式接入數(shù)據(jù)中心，按自己的需求進(jìn)行運(yùn)算。it精英們?nèi)绾慰创朴?jì)算？IBM的創(chuàng)立者托馬斯·沃森曾表示，全世界只需要5臺(tái)電腦就足夠了。比爾·蓋茨則在一次演講中稱，個(gè)人用戶的內(nèi)存只需640K足矣。李開復(fù)打了一個(gè)很形象的比喻：錢莊。狹義的云計(jì)算是指IT基礎(chǔ)設(shè)施的交付和使用模式，指通過網(wǎng)絡(luò)以按需、易擴(kuò)展的方式獲得所需的資源（硬件、平臺(tái)、軟件）。提供資源的網(wǎng)絡(luò)被稱為“云”。“云”中的資源在使用者看來是可以無限擴(kuò)展的，并且可以隨時(shí)獲取，按需使用，隨時(shí)擴(kuò)展，按使用付費(fèi)。這種特性經(jīng)常被稱為像水電一樣使用IT基礎(chǔ)設(shè)施。廣義的云計(jì)算是指服務(wù)的交付和使用模式，指通過網(wǎng)絡(luò)以按需、易擴(kuò)展的方式獲得所需的服務(wù)。這種服務(wù)可以是IT和軟件、互聯(lián)網(wǎng)相關(guān)的，也可以是任意其他的服務(wù)。

2 云計(jì)算的原理

云計(jì)算（Cloud Computing）是分布式處理（Distributed Computing）、并行處理（Parallel Computing）和網(wǎng)格計(jì)算（Grid Computing）的發(fā)展，或者說是這些計(jì)算機(jī)科學(xué)概念的商業(yè)實(shí)現(xiàn)。云計(jì)算的基本原理是，通過使計(jì)算分布在大量的分布式計(jì)算機(jī)上，而非本地計(jì)算機(jī)或遠(yuǎn)程服務(wù)器中，企業(yè)數(shù)據(jù)中心的運(yùn)行將更與互聯(lián)網(wǎng)相似。這使得企業(yè)能夠?qū)①Y源切換到需要的應(yīng)用上，根據(jù)需求訪問計(jì)算機(jī)和存儲(chǔ)系統(tǒng)。

3 云計(jì)算有哪些好處

（1）安全，云計(jì)算提供了最可靠、最安全的數(shù)據(jù)存儲(chǔ)中心，用戶不用再擔(dān)心數(shù)據(jù)丟失、病毒入侵等麻煩。

（2）方便，它對(duì)用戶端的設(shè)備要求最低，使用起來很方便。

（3）數(shù)據(jù)共享，它可以輕松實(shí)現(xiàn)不同設(shè)備間的數(shù)據(jù)與應(yīng)用共享。

（4）無限可能，它為我們使用網(wǎng)絡(luò)提供了幾乎無限多的可能。

4 云計(jì)算基礎(chǔ)安全服務(wù)和架構(gòu)（圖1）

基礎(chǔ)安全服務(wù)和架構(gòu)[1]定義包含了企業(yè)安全框架中的五個(gè)核心的基礎(chǔ)技術(shù)構(gòu)架和相關(guān)服務(wù)：物理安全、基礎(chǔ)構(gòu)架安全、身份/訪問安全、數(shù)據(jù)安全和應(yīng)用安全?；A(chǔ)安全服務(wù)和架構(gòu)是安全運(yùn)維和管理的對(duì)象，其功能由各自子系統(tǒng)提供保證。對(duì)一個(gè)具體的基礎(chǔ)架構(gòu)云來說，云計(jì)算平臺(tái)采用統(tǒng)一管理的系統(tǒng)資源為用戶提供各種IT資源服務(wù)，每個(gè)用戶在屬于自己的虛擬資源下運(yùn)行相關(guān)程序。用戶可控制這些虛擬資源的安全策略，而服務(wù)提供商需要確保這些虛擬資源之間是通過一定技術(shù)手段相互隔離的，以下是幾種處理云計(jì)算安全的技術(shù)手段。

4.1 用戶認(rèn)證與授權(quán)

用戶的認(rèn)證與授權(quán)管理旨在授權(quán)合法用戶進(jìn)入系統(tǒng)和訪問數(shù)據(jù)庫，同時(shí)保護(hù)這些資產(chǎn)免受非授權(quán)的訪問。云計(jì)算的用戶及其業(yè)務(wù)流程和應(yīng)用向越來越多的員工、終端客戶和業(yè)務(wù)伙伴開放，安全威脅不僅來自外部互聯(lián)網(wǎng)，也來自內(nèi)部的安全隱患，這種互通性向云計(jì)算系統(tǒng)提出新的挑戰(zhàn)——如何經(jīng)濟(jì)高效地管理這些用戶以及他們對(duì)系統(tǒng)的訪問[2]。

通過集中的身份和訪問管理，云計(jì)算的用戶能夠以一種基于標(biāo)準(zhǔn)的方法保護(hù)那些影響生產(chǎn)效率的資產(chǎn)和信息，并且使企業(yè)能夠滿足安全需要，降低成本，提高用戶體驗(yàn)，增加效率和避免風(fēng)險(xiǎn)。云計(jì)算的用戶認(rèn)證與授權(quán)措施需要具備如下的能力。

身份管理。在用戶身份生命周期中，有效地管理用戶身份和訪問資源的權(quán)限是非常關(guān)鍵的。具體包括以下幾點(diǎn)。

（1）用戶生命周期管理，包括用戶自注冊(cè)、自管理和自動(dòng)化的用戶ID部署服務(wù)。

（2）用戶身份控制，包括訪問和權(quán)限控制、單點(diǎn)登錄和審計(jì)。

（3）訪問授權(quán)。應(yīng)該在用戶生命周期以內(nèi)提供及時(shí)的訪問，從而加強(qiáng)安全，保護(hù)IT資源。用戶生命周期可能跨越多種環(huán)境和安全域?？梢酝ㄟ^集中的身份、訪問、認(rèn)證和審查服務(wù)，幫助監(jiān)測(cè)、管理并降低身份識(shí)別和訪問的風(fēng)險(xiǎn)。一般情況下，訪問管理應(yīng)提供以下功能[3]。

（1）為多個(gè)服務(wù)和用戶提供集中的訪問控制，確保安全策略的執(zhí)行是一致的。

（2）根據(jù)IT需求和業(yè)務(wù)目標(biāo)，提供基于策略的安全基礎(chǔ)架構(gòu)自動(dòng)化。

（3）在一個(gè)基礎(chǔ)設(shè)施環(huán)境下集成訪問和身份管理的能力。

（4）在信任的Web服務(wù)應(yīng)用系統(tǒng)間建立共享認(rèn)證和屬性信息的身份聯(lián)邦。

管理分布式環(huán)境下的用戶，包括能夠?yàn)橛脩襞渲靡粋€(gè)或多個(gè)角色。主動(dòng)強(qiáng)制安全策略，實(shí)現(xiàn)基于角色和規(guī)則的自動(dòng)化管理。可模擬策略變更，以便掌握新的安全策略對(duì)用戶可能產(chǎn)生的影響。安全高效地聯(lián)接組織內(nèi)部目前及今后可能引入的應(yīng)用軟件，操作系統(tǒng)和資源。提供重要的標(biāo)準(zhǔn)報(bào)告以滿足管理規(guī)范的要求。提供執(zhí)行口令和個(gè)人信息變更的Web自助接口。配置必要的軟件組件，包括必要的數(shù)據(jù)庫、LDAP服務(wù)器、Web與應(yīng)用服務(wù)器。

4.2 數(shù)據(jù)隔離

數(shù)據(jù)的隔離是大家都比較關(guān)心的問題。基礎(chǔ)架構(gòu)云服務(wù)的一個(gè)核心技術(shù)是虛擬化，這意味著不同用戶的數(shù)據(jù)可能存放在共享的物理存儲(chǔ)之上。

云計(jì)算系統(tǒng)對(duì)于客戶數(shù)據(jù)的存放問題可再用兩種方式實(shí)現(xiàn)：提供統(tǒng)一共享的存儲(chǔ)設(shè)備；提供單獨(dú)的存儲(chǔ)設(shè)備。

當(dāng)用戶選擇用共享存儲(chǔ)設(shè)備存放數(shù)據(jù)時(shí)，通過存儲(chǔ)設(shè)備自身的安全措施，比如存放映射等功能可以確保數(shù)據(jù)的隔離性，其優(yōu)點(diǎn)為。

（1）基于共享存儲(chǔ)的方式節(jié)約存儲(chǔ)空間。

（2）統(tǒng)一管理，節(jié)約管理相關(guān)的費(fèi)用。

（3）存儲(chǔ)整合，便于管理，便于備份及容災(zāi)的實(shí)現(xiàn)。

（4）提供足夠、有效的安全措施來保護(hù)數(shù)據(jù)。

當(dāng)用戶選擇單獨(dú)的數(shù)據(jù)存放設(shè)備時(shí)，從物理層面的隔離保護(hù)了用戶重要數(shù)據(jù)，但缺點(diǎn)是存儲(chǔ)設(shè)備無法有效利用，當(dāng)用戶規(guī)模擴(kuò)大的時(shí)候，無法實(shí)現(xiàn)對(duì)分布的獨(dú)立的存儲(chǔ)設(shè)備進(jìn)行有效管理，從而使整個(gè)云的成本和可用性大打折扣。

4.3 數(shù)據(jù)加密

數(shù)據(jù)加密的目的是防止他人拿到數(shù)據(jù)的原始文件后進(jìn)行數(shù)據(jù)竊取。在云計(jì)算環(huán)境中，數(shù)據(jù)的隔離機(jī)制已經(jīng)可以防止其他用戶對(duì)數(shù)據(jù)的訪問，因此，數(shù)據(jù)加密的主要途徑是防止“內(nèi)鬼”，既避免服務(wù)提供者對(duì)數(shù)據(jù)進(jìn)行竊取。數(shù)據(jù)加密在云計(jì)算中的具體應(yīng)用形式為：數(shù)據(jù)在用戶端使用用戶密鑰進(jìn)行加密，然后上傳至云計(jì)算環(huán)境中，之后使用時(shí)再實(shí)時(shí)解密，避免將解密后的數(shù)據(jù)存放在任何物理介質(zhì)上。

數(shù)據(jù)加密有很多成熟的算法，比如對(duì)稱加密，公鑰加密等等，這里限于篇幅就不再贅述了。

4.4 數(shù)據(jù)保護(hù)

對(duì)于存儲(chǔ)在云計(jì)算平臺(tái)的數(shù)據(jù)，可采用快照、備份、容災(zāi)等重要保護(hù)手段確保用戶重要數(shù)據(jù)的安全，一旦發(fā)生用戶數(shù)據(jù)受到黑客、病毒等邏輯層面的攻擊或者地震、火災(zāi)等物理層的災(zāi)害，均可有效恢復(fù)。

對(duì)于數(shù)據(jù)備份[4]，可通過現(xiàn)有的企業(yè)級(jí)備份軟件或者存儲(chǔ)備份功能來實(shí)現(xiàn)，可對(duì)其文件、數(shù)據(jù)庫按照用戶設(shè)定的備份策略進(jìn)行自動(dòng)備份及恢復(fù)，包括在線或離線備份。目前市面上的云存儲(chǔ)服務(wù)提供商提出一些創(chuàng)新性的方法，比如把一份數(shù)據(jù)同時(shí)存放在多個(gè)地點(diǎn)，這樣即使一份數(shù)據(jù)出問題，用戶也可以從其它位置獲取數(shù)據(jù)，而且這個(gè)過程對(duì)用戶是透明的。可以利用數(shù)據(jù)校驗(yàn)技術(shù)幫助驗(yàn)證數(shù)據(jù)的完整性，比如數(shù)據(jù)是否被篡改，是否發(fā)生了缺失。數(shù)據(jù)校驗(yàn)技術(shù)還可以和數(shù)據(jù)的拷貝結(jié)合起來，用于判斷每份拷貝的正確性。

參考文獻(xiàn)

[1]胡小菁，范并思.云計(jì)算給圖書館管理帶來挑戰(zhàn)[J].大學(xué)圖書館學(xué)報(bào)，2009（4）：7-12.

[2]周舒，張嵐嵐.云計(jì)算改善數(shù)字圖書館用戶體驗(yàn)初探[J].圖書館學(xué)研究，2009（4）：28-30.

[3]王長(zhǎng)全，艾雰.云計(jì)算時(shí)代的數(shù)字圖書館信息安全思考[J].圖書館建設(shè)，2010（1）：50-52.

[4]魏志鵬，李慧佳，祖央.云計(jì)算影響下的圖書館信息服務(wù)研究[J].圖書館，2010（2）.