存储安全 _生活百科

存储安全【存储安全】云计算的推广套用不可避免需要云存储来实现对云端信息提供存储保障，所以，云存储其实是社会发展、技术发展的一个必然趋势。云存储是一个多种利弊的相纠缠的状态，喜欢的人毫无顾忌的在使用，而相对谨慎的人却一边看着云存储的便利，一边静观云存储的安全威胁。
基本介绍中文名：存储安全
外文名：Storage security
类别：存储系统
目的：保护数据
基础：加密和认证
技术：存储安全技术等
概述云计算的推广套用不可避免需要云存储来实现对云端信息提供存储保障，所以，云存储其实是社会发展、技术发展的一个必然趋势。云存储是一个多种利弊的相纠缠的状态，喜欢的人毫无顾忌的在使用，而相对谨慎的人却一边看着云存储的便利，一边静观云存储的安全威胁。谨慎的人并不是杞人忧天，亚马逊、谷歌等等全球最大的运服务提供商，相继、屡次出现宕机等事故，再给用户带来使用不便的同时，有的甚至造成用户永久数据丢失。云存储云存储是通过网路提供可配置的虚拟化的存储及相关数据的服务。云存储的内涵是存储虚拟化和存储自动化。它是基于网路的，并且是可以配製、按需分配的，它是一种虚拟化的存储和数据管理。优势云存储服务提供了许多相当诱人的优势。它可以按量付费，没有资本支出，即使以后存储需求增加，用户也不需要再购买其他设备。你可以动态调整存储容量，而且只需为实际使用的容量付费。从短期和长期来看，云存储服务最大的特点就是可以为小企业减少成本。他们不必购买硬体和软体，省去了聘请专业的IT人士的投资，不需要考虑后续的升级问题等等。对于所有的用户来说，云存储可以更好的备份本地数据，并可以异地处理日常数据。同时，公司员工可以在任何地方访问他们需要的数据，而不必担心内外网路的阻隔。威胁云存储服务的威胁首先是身份认证和访问控制问题，有可能导致数据或者存储的信息被假冒和窃取。第二个风险是数据存储和传输的保密性问题。企业的经营数据和个人的数据，如果放到这个云端存储以后无法保证信息在存储和传输过程中的保密性，可能发生大量的商业信息和隐私泄露的问题。第三是数据隔离问题，对不同的云用户来说，云存储系统是一个相同的物理系统，不再象传统网路一样有物理的隔离和防护边界，就存在虚拟系统被越界访问等无法保证信息隔离性的问题。第四就是套用安全，对于运行在云存储平台之上的云套用，如果其本身未遵循安全规则或存在套用安全漏洞，就可能导致云存储数据被非法访问或破坏等问题。着作权风险也不容忽视，一些个人或团体会将以影视音乐为主体的档案通过云存储的客户端上传至网盘中，然后通过分享的方式对圈子内提供下载，大量的有着作权的视频音乐被这种特殊盗版方式进行传播。此外，云存储所带来的个人隐私泄露也是资深人士所担心的，有很多移动平台用户喜欢随时将自己用手机或平板拍摄的照片与视频通过云存储快速上传到网盘中，你上传的每一张照片或其他档案都有可能是明文保存的，管理员可以从服务端的平台中直接查看和删除用户上传的档案，这些档案中不乏用户的机密档案或用户隐私。最后，我们还不得不考虑运营停止的后患，在当下的网际网路环境下，云存储服务商每年的资金投入都很庞大，而我们还没看清云存储的盈利模式，究竟有多少服务商可以持续永久的提供这种服务，这种服务后期是否收费?是否会因为亏损问题、盈收问题而被迫停止运营，在这种情况已有用户的数据向何处迁移?数据安全由谁负责，服务商在一定时间会关停服务才是用户数据留存问题最大的隐患。网路档案系统存储安全系统大致可以分为四类：安全网路档案系统、加密档案系统、可生存存储系统和基于存储的入侵检测。它们分别从四个不同的层次提供存储系统的机密性、完整性和可用性。基于认证和访问控制的网路档案系统是最早考虑到安全因素的，包括NFS、AFS、NASD、SFS-RO等。在这类系统中，通过存储伺服器的认证和访问控制提供数据的安全性。大多数这类存储安全系统也对网路中传输的数据加密。但是它们不提供端到端的数据安全，也就是说它们不保证存储在存储伺服器上的数据的机密性和完整性。而是假设档案伺服器和存储安全系统管理员是可信的。NASD是卡内基.梅隆大学并行数据实验室提出的新型磁碟系统，通过增加磁碟处理能力构成智慧型磁碟，使得磁碟能判别用户和加解密数据;主机和认证伺服器通信获得许可权密钥，再和存储伺服器通信获得加密密钥，最后直接和磁碟通信。SFS-RO旨在提高大规模客户端访问网路存储安全系统上唯读数据的性能，同时提供一定的安全机制保证唯读数据访问的安全。SFS-RO是在SFS的基础上发展起来的，它通过增加唯读数据的副本，不仅提高了分散式环境下对唯读数据的可用性，而且通过一整套安全机制实现了唯读数据的安全访问。加密档案系统加密档案系统目标是提供端到端的安全，在客户端执行加密操作防止数据被档案伺服器和其他未授权用户窃取或篡改。这些系统将密码操作(加密/解密、签名/验证)嵌入档案系统中。档案伺服器被赋予最小的信任，由于它们不参与加密/解密过程，它们永远无法获知可读的文本。这类存储安全系统面对的主要问题是密钥管理。包括密钥的粒度、密钥的存储、共享策略。可以说灵活高效的密钥管理策略是提高存储安全系统效率的重要因素。另外，这类存储安全系统还要有效解决许可权撤销(Revocation)时档案的重加密带来的额外开销。Goh于2003年提出了可套用于网路存储系统中的中间件层安全系统SiRiUS，它不需要修改存储系统中的任何部分，通过截获、转换访问数据系统调用实现安全功能，使用多对对应不同许可权者的公开密钥实现传输认证和授权。SiRiUS是在现有的不可信的网路档案系统(如NFS,CIFS等)上提供档案读写的加密访问。加州大学圣克鲁斯分校的SNAD是一个基于分散式档案的存储安全系统，磁碟具有一定的计算能力，能够进行一些基本的存储管理和用户认证的功能。客户端加密所有的数据后，将加密数据存储在盘上。密钥管理是一种锁盒子(lockbox)方法，而lockbox存储在一个可信的伺服器上。如果共享用户要读数据，则用户需从lockbox伺服器上得到密钥，然后再从磁碟上读出加密数据，然后再用密钥解密。存储安全系统中的数据加密技术的实现分成三类：基于主机、基于网路(数据传输)以及基于磁带机。这有点类似实现虚拟存储的划分方式。基于主机层的数据加密技术，通常是一些软体厂商在伺服器端就对数据进行加密处理，如VERITASNetBackup的加密软体。通过内部网路传送到伺服器时，资料已是加密状态，然后再通过存储网路传送到磁带做备份。但这会加重伺服器的工作负荷，影响存储安全系统整体性能，同时还会增加数据管理与调用的複杂性。所以，基本上只适用于需要进行点对点加密的小型企业。基于网路层的数据加密技术，事实上就是在设备I/O的连线埠外接一个硬体加密装置。在数据传输的过程中，对所有经过的数据都一视同仁地做了加密。NetApp刚刚收购的Decru公司以及NeoScale都是採用这种方式。这种加密虽说比较完整，但由于不对加密数据进行区别，无疑增加了加密装置的负担。基于磁带机方式的数据加密技术，通过在磁带机上对数据进行加密，使数据得到更安全的保护，且不需要额外的管理和备份策略的改变。这就是把以前的WORM磁带扩展成磁带机对所有的磁带进行加密。