3 基于云存储的在线备份安全分层模型
为了保护不同系统应用进程间的数据通信安全,ISO 7498-2描述了开放系统互连的安全体系架构,如图2所示,并提出了设计安全的信息系统的基础架构应该包含5种安全服务(安全功能),能够对这5种安全服务提供支持的8类安全机制和普遍安全机制以及需要进行的3种OSI安全管理方式(对系统安全、安全服务和安全机制的管理)。
在OSI安全体系中,是以OSI7层模型作为一个维度来分析的;基于云存储的在线备份的分层是以逻辑功能来进行分层的。两者在分层模型存在不一致性,不能够直接利用OSI中的安全分析模型来分析基于云存储的在线备份的安全性。
根据基于云存储的在线备份技术架构与OSI立体安全体系的特点,我们引入了基于云存储的在线备份安全分层模型来全面分析基于云存储的在线备份安全性,如图3所示。
在图3所示的分层模型中,存储资源层的安全机制主要提供了基于设备和网络的安全服务能力,资源配置层的安全机制主要提供了基于资源配置系统的安全服务能力;运营管理层主要提供了基于运营管理平台的安全服务能力;而业务开放层则提供了基于应用的安全服务能力。
4 基于分层模型的安全技术分析
在基于云存储的在线备份安全分层模型中,每层都有相应的安全机制,共同实现基于云存储的在线备份的数据安全保护。这些安全机制可从安全保护层次上划分为4个层次。
第一个层次为基础安全防护。这层包括病毒查杀、防火墙、入侵检测、系统加固、设备加锁等安全技术,主要目标是保护提供的备份服务免遭人为干扰或恶意破坏。
第二个层次是服务限制。这部分包括多个层次采用的身份认证和访问控制技术,即对不同身份的在线备份服务申请者分别建立不同存取权限,并通过设定不同访问控制策略,确保在线备份服务仅为合法用户在允许的范围内(包括时间、空间等)获得。
第三个层次则为数据保护,即通过各种加密技术实现对数据的主动保护,包括数据加密、传输加密、磁盘加密、主机加密、交换机加密等技术,主要目标是减轻存储数据和存储介质可能遗失造成的损失。
第四个层次是应急服务,主要包括日志审计、设备冗余及配置备份技术,提供对安全事件发生后的追踪查证以及应急补救能力。
基于上述4个层次安全机制实现基于云存储的在线备份的数据安全的流程如图4所示。病毒查杀、防火墙、IPS、系统加固等基础安全防护服务是基于云存储的在线备份的数据安全基础,身份认证、访问控制及各类加密技术则是服务及数据安全的核心机制,而日志审计、冗余备份等机制则为确保数据可用性及不可抵赖性提供了安全保护能力。
从上述分析可以看出,基于云存储的在线备份安全分层模型覆盖了备份系统安全防护、服务访问控制、应用数据保护、应急服务等多层面的安全机制,涉及数据从生成、传输、存储到访问的一系列安全保护技术,确保数据的保密性、完整性、可用性以及不可抵赖性。
