试论云环境下数据存储安全技术

试论云环境下数据存储安全技术

黄冬丽

广西通信规划设计咨询有限公司 广西南宁市 530007

摘 要：在互联网+、AI、新基建的背景下，云计算已经进入普及期，具有大规模、高度虚拟化和高度可扩展性等突出的特点，可为用户提供高的质量、低成本，能够按需来存储的服务，云存储的应用能够满足用户对存储空间的需求。但随着云环境下的应用，云存储安全的问题尤为突出，受到普遍关注。研究云环境下的存储安全问题及安全技术应用方案，对推动云计算深入应用，用户数据上云等具有重要的意义。

关键词：云环境；数据存储；安全技术

云技术是指在广域网或局域网内将硬件、软件、网络等系列资源统一起来，实现数据的计算、储存、处理和共享的一种托管技术。传统的数据存储系统对容量有限制，而云存储服务提供前所未有的可扩展性。此外，云存储使管理员可以利用多租户的优势，以及避免与数据迁移相关的麻烦。

1云环境下数据存储的关键安全技术

1.1认证服务

认证服务主要包括单点登录、访问控制技术、双因素认证等，对于不同的技术方式存在明显的差异。其中，单点登录即通过用户名/口令方式登录；访问控制技术即对用户身份进行认证、授权，达到阻止非法访问以及跨权限访问行为；双向因素认证即验证用户名/口令后，要求用户再次输入一个一次性验证口令。基于云环境开发式特点，数据存储时经常会出现防御服务滥用或者服务劫持等问题，通过认证服务措施可以有效解决此类问题，提高数据存储安全性。本质上就是通过用户信息认证后，来向其授权，用户在通过联合认证后才能进行相应的操作。

1.2安全管理

云服务下的安全管理，即为用户提供使用权限、信息安全维护服务，如账号注册与注销、用户授权以及特殊情况下权限收回等。云服务供应商采取此种方式，来避免出现用户越权操作的问题，从整体上来保证不同用户数据存储与应用安全性，降低因用户操作行为不当造成的数据损坏，为用户提供一个良好的使用环境。

1.3数据加密

1.3.1数据传输加密

数据传输过程中，会因为网络缺陷、操作失误等因素影响，增大数据被损坏的可能性，并且在实际应用中，还存在黑客恶意攻击事件，数据传输过程存在较大的风险。对数据传输过程进行加密，常见的如端到端数据加密技术，可以有效降低数据被泄露、窃取、修改等情况发生概率，且可以结合网络协议栈各层加密技术进行传输加密。如IPSee加密协议，主要是利用加密安全服务，确保在Internet协议网络上数据传输的安全性与机密性；SLL协议则可以实现服务器与用户的安全认证，提高数据完整性，使各项数据在传输过程中不会被篡改[3]。

1.3.2数据存储加密

云服务供应商技术水平不同，对存储数据的安全保障力度也就不同，导致数据在存储过程中存在一定安全隐患。对数据存储阶段进行加密处理，即利用密钥管理、算法参数管理以及数据加密等密码技术，由用户自己来控制所应用到数据资源，这样就可以在建立可扩展数据中心同时，建立起数据保护系统。一般为提高数据存储安全效果，需要提前对各类数据进行高强度加密处理，使其以密文的形式被保存在云计算数据资源池内，由用户自己来掌握密钥。加密技术的应用，可以有效提高云服务数据存储安全性，仅仅有掌握密钥的人才能访问各类数据，但是要保证数据加密算法调用服务与密钥管理方法的统一。

1.4安全日志

安全日志与审计为提高云计算数据存储安全性重要方法，其主要记录了云服务用户与云计算系统活动各类安全事件，管理员只需要通过对记录的各类内容的分析，便可以实现对云计算系统以及用户活动进行监管与审计，保证数据存储过程中不存在任何安全问题。想要落实云计算安全审计，前提是要保证云服务提供商对此平台用户日志信息的针对性记录、跟踪与审核，确定其中存在的安全隐患，并根据不同隐患做出相应的动作，同时生成安全审计报告。

2云存储系统结构

云计算是IaaS服务模式的一种重要形式，还是一种以云计算网络存储为基础的新技术，它还是一种云计算系统，主要是给用户提供在线存储的业务。当云计算系统提供的核心功能集中存储很多信息，以及管理了很多的数据后，这个系统就会用密集和统一的方法给存储设备进行配置和管理，经过这一系列的转变，就成为了典型的云存储系统。图1显示云计算系统结构和云存储系统结构的组成，其中云存储系统结构包括数据存储层、基础管理、应用接口层和用户访问层。

图 1 云计算与云存储系统结构

（1）数据存储层：数据存储层是一种处于最底层的结构，其主要是为了提供最基础的物理设施。它可以把不同类型的存储设备（像SCSI、SAS 以及 NAS 等）由网络串联到一起，然后还可以以此为基础，再建立一个统一的、集约化的系统，进一步的实现存储数据的集中管理以及维护。

（2）基础管理层：基础管理层位于倒数第二层的结构，其主要是使用网格计算、集群技术、分布式处理等技术，然后让不同的存储设备保持着协调和同步，以此来保障存储设备管理系统的稳定性，并给用户带来统一、高效的服务。

（3）应用接口层：应用接口层是位于第二层的结构，其主要是依据自己的实际业务要求进行设计以及开发出不同的应用接口API，再通过其他不同的应用接口为用户提供一些别的应用服务。

（4）用户访问层：用户访问层是位于第一层的结构，其主要是为了让用户把自己的现实需求通过一个公共的 API 接口去连接云存储服务。但是用户在使用之前，首先需要经过云存储服务器的验证,并获得授予权。

针对云服务器端需要防范的各类恶意操作，用户数据安全需求包含以下几个方面：

（1）防窃听。用户在云服务器端存储的所有数据应全部为加密后的密文；用户与云服务器或其他用户通信时也应尽可能地使用密文，用以避免数据信息的泄露。

（2）防篡改。用户在云服务器端存储的所有数据应拥有完备的数据完整性保护方案，用以检测云服务器可能对数据信息的恶意篡改行为。

（3）防丢弃。由于在云服务器端所存储的数据量信息过于庞大，云服务提供商可能因自身的经济利益而丢弃掉某些不常用的数据。为此，用户在存储他们的数据时，应具备相应的完整性检测功能，用以确保将来能够随时随地检测数据是否完好无损地存储在云端。

（4）防滥用。用户在存储他们的数据时，还应配有相关的措施，以防止数据被云服务器任意滥用或处理。

3 云安全应用场景

云安全的应用需求场景主要可以分为电子邮件安全、web安全、身份识别与访问管理（IAM）、远程漏洞评估、安全信息与事件管理（SIEM）、应用安全测试和其他等。

电子邮件安全：电子邮件安全是指电子邮件遭到攻击者获取或篡改邮件、病毒邮件、垃圾邮件、邮件炸弹等都严重危害电子邮件的正常使用，甚至对计算机及网络造成严重的破坏。

Web安全：随着Web2.0、社交网络、微博等一系列新型的互联网产品诞生，基于Web环境的互联网应用前发广泛，企业信息化的过程中各种应用都架设在Web上，Web业务的迅速发展也引起黑客们的强烈关注。黑客利用网站操作系统漏洞和Web服务程序的SQL注入漏洞等得到Web服务器的控制权限，轻则篡改网页内容，重则窃取重要内部数据，在网页中植入恶意代码，使网站访问者受到侵害。

身份识别与访问管理（IAM）：IAM是一套全面建立和维护数字身份，并提供有效的、安全的IT资源访问的业务流程和管理手段，从而实现组织信息资产统一的身份认证、授权和身份数据集中管理与审计。

远程漏洞评估：防御黑客和病毒的攻击、保护自己的网络不受不断出现的恶意攻击的损害，维护网络安全。从而使用防火墙，入侵监测设备，反病毒应用和安全漏洞评估工具、武器，以及一些手动的工具、穿刺测试咨询服务，以及自动的、基于网络的评估。

安全信息与事件管理：安全信息管理(SIM，security information management)是一种收集、监测和分析电脑记录中与安全有关的数据的方法。安全信息管理系统(SIMS)自动执行安全信息管理。安全信息管理有时也称为安全事件管理(SIEM)或安全信息与事件管理(SIEM)。安全信息包括由许多源产生的日志数据，包括防病毒软件、入侵检测系统(IDS)、入侵防御系统(IPS)、文件系统、防火墙、路由器、服务器和交换机。

应用安全测试：保障应用程序使用过程和结果的安全。简言之，就是针对应用程序或工具在使用过程中可能出现计算、传输数据的泄露和失窃，通过其他安全工具或策略来消除隐患。

结 语

综上所述，云环境下的数据存储工作种类是比较多的，而且在云环境下大多是鱼龙混杂，时刻需要我们提高警惕，保障平台用户的数据安全，在实际维护的工作中是比较复杂的，因为既需要与外界对抗还需要保证内部的安全运行，基于此就会对云环境下的数据安全提出更高的要求。无论我们的防护技术是正在发展中的阶段还是技术已经成熟了，在云环境下的数据存储安全问题我们都需要对其引起足够的重视，要从客户满意的角度出发，根据客户在云环境下存储的资料的重要程度以及所占空间，来设置相应的安全防护等级，利用最先进的防护技术来进行全方位的保护系统。

参考文献

[1]陈芳州.基于HDFS的云环境数据存储优化技术研究[D].南京邮电大学,2019.

[2]何文文.基于CPDP机制的跨云动态数据完整性验证技术研究[D].兰州理工大学,2016.

[3]迟松特.云环境下数据存储安全技术研究[J].中国管理信息化,2021,24(18):197-198.

[4]张尧.云环境下数据存储优化方法的设计与实现[D].南京邮电大学,2020.