云數(shù)據(jù)安全問題與對(duì)策

　　云數(shù)據(jù)安全問題與對(duì)策

　　【 摘 要 】 隨著云計(jì)算技術(shù)的快速發(fā)展，越來越受到人們的關(guān)注。

　　然而，云計(jì)算中的數(shù)據(jù)安全問題已經(jīng)成為制約云計(jì)算快速發(fā)展和推廣的關(guān)鍵問題，本文著重研究云計(jì)算中的數(shù)據(jù)安全問題，并在此基礎(chǔ)上給出了安全問題的對(duì)策。

　　針對(duì)云數(shù)據(jù)的安全性，在數(shù)據(jù)傳輸、存儲(chǔ)、審計(jì)方面提出了安全對(duì)策。

　　【 關(guān)鍵詞 】 云數(shù)據(jù);云數(shù)據(jù)安全; 數(shù)據(jù)加密

　　1 引言

　　隨著云計(jì)算時(shí)代的到來，對(duì)數(shù)據(jù)擴(kuò)展、讀寫速度、支撐容量以及建設(shè)和運(yùn)營成本產(chǎn)生新需求。

　　例如類似電信運(yùn)營商和搜索引擎公司級(jí)的分析系統(tǒng)需要能夠處理PB級(jí)的業(yè)務(wù)數(shù)據(jù)，同時(shí)應(yīng)對(duì)百萬級(jí)的流量;企業(yè)需要分布式的應(yīng)用可以更加簡單地部署、應(yīng)用和管理;客戶需要快速的響應(yīng)速度滿足自己的需求;企業(yè)更希望在軟硬件以及人力成本各方面都有大幅度的降低。

　　目前云服務(wù)的主要三個(gè)層次是IaaS(Infrastructure as a Service)、PaaS(Platform as a Service)和SaaS(Software as a Service)，分別對(duì)應(yīng)硬件資源、平臺(tái)資源和應(yīng)用資源。

　　隨著服務(wù)的日益推進(jìn)過程中，越來越多分散在世界各地的企業(yè)數(shù)據(jù)匯聚網(wǎng)絡(luò)中，這些數(shù)據(jù)在網(wǎng)絡(luò)間的安全的、低成本的傳輸正成為越來越大的挑戰(zhàn)。

　　而隨著云計(jì)算的推廣和流行，如何安全地保存和傳輸生成于云端的大量數(shù)據(jù)，也成為了各大企業(yè)和組織研究討論的重點(diǎn)。

　　2 云數(shù)據(jù)面臨安全問題

　　云計(jì)算中所有用戶的數(shù)據(jù)都存放在云端，并將計(jì)算結(jié)果通過網(wǎng)絡(luò)回傳給客戶端。

　　這種全新的網(wǎng)絡(luò)服務(wù)模式，其面臨的安全威脅也是前所未有的。

　　由于云計(jì)算是分布式的，并且為提高資源使用效率和提高資源共享率，用戶之間共享計(jì)算或存儲(chǔ)資源，他們之間安全隔離不夠或某些用戶利用攻擊技術(shù)，云端數(shù)據(jù)存在著數(shù)據(jù)保密、數(shù)據(jù)備份、數(shù)據(jù)共享等方面的安全問題。

　　因此，只用傳統(tǒng)的保護(hù)模式很難確�？蛻魯�(shù)據(jù)的安全。

　　在云計(jì)算環(huán)境里已經(jīng)發(fā)生了多起云數(shù)據(jù)安全問題，如Google 發(fā)生大批用戶信息外泄事件;微軟云計(jì)算由于服務(wù)器故障導(dǎo)致用戶數(shù)據(jù)丟失;亞馬遜宕機(jī)事件，故障持續(xù)4天。

　　對(duì)客戶來說，當(dāng)他們把數(shù)據(jù)放在云上時(shí)，并不知道自己的數(shù)據(jù)在哪里，也不知道誰在控制和使用，數(shù)據(jù)脫離了用戶的可控范圍，無法有效控制和集中管理，存在不安全因素。

　　例如客戶的核心數(shù)據(jù)文件(設(shè)計(jì)圖紙、財(cái)務(wù)數(shù)據(jù)、客戶信息、內(nèi)部決策、源代碼等)存在泄密的風(fēng)險(xiǎn);客戶的文件外發(fā)沒有審批，外發(fā)后數(shù)據(jù)文件被肆意復(fù)制和擴(kuò)散;客戶數(shù)據(jù)文件訪問的權(quán)限無法統(tǒng)一設(shè)置，文件被訪問的情況也沒有歷史記錄。

　　而且在云計(jì)算網(wǎng)絡(luò)中，服務(wù)提供商得到云端數(shù)據(jù)的優(yōu)先訪問權(quán)，所以云服務(wù)提供商必須建立完善的規(guī)章制度來保證用戶的數(shù)據(jù)不被非法使用和泄露，就像銀行儲(chǔ)戶的錢銀行職員不可以隨意挪用一樣。

　　同時(shí)，計(jì)算機(jī)云數(shù)據(jù)的特殊性使得它可以很容易地被保存、復(fù)制，還可能包含用戶的個(gè)人隱私，比如郵件和通信內(nèi)容，或者通過進(jìn)一步的分析可以得到，這些都是云計(jì)算提供商在云數(shù)據(jù)安全的建設(shè)中予以充分的考慮。

　　另外，當(dāng)我們把我們的數(shù)據(jù)放在共享的云存儲(chǔ)設(shè)備上時(shí)，還要考慮到的一個(gè)問題就是：我們的數(shù)據(jù)會(huì)不會(huì)丟失。

　　從技術(shù)方面講，在云端服務(wù)商應(yīng)該要采取可靠的技術(shù)手段和完善的安全策略來確保用戶數(shù)據(jù)的安全。

　　但是由于現(xiàn)在云計(jì)算的大規(guī)�；�和虛擬化，我們必須看到云數(shù)據(jù)的安全防護(hù)與傳統(tǒng)的安全防護(hù)之間的差異。

　　云數(shù)據(jù)必須考慮到誤刪、誤改、誤操作導(dǎo)致數(shù)據(jù)文件丟失，考慮系統(tǒng)重裝或者更新硬件后數(shù)據(jù)恢復(fù)，考慮數(shù)據(jù)爆炸試增長的資源消耗等。

　　對(duì)于傳統(tǒng)網(wǎng)絡(luò)而言，可以通過物理上和邏輯上的安全域定義，能清楚地定義出網(wǎng)絡(luò)邊界和保護(hù)設(shè)備用戶，解決以上的數(shù)據(jù)安全問題，但是在云網(wǎng)絡(luò)中就無法實(shí)現(xiàn)。

　　在云計(jì)算環(huán)境下的網(wǎng)絡(luò)，安全設(shè)備的部署邊界已經(jīng)消失，這也就是說傳統(tǒng)的安全建設(shè)模型不適應(yīng)云網(wǎng)絡(luò)中安全設(shè)備的部署和防范，云計(jì)算環(huán)境下的安全部署需要尋找新的模式。

　　除此之外，云數(shù)據(jù)傳輸也存在安全問題，云用戶或企業(yè)把數(shù)據(jù)通過網(wǎng)絡(luò)傳到公共云時(shí)數(shù)據(jù)可能會(huì)被黑客竊取和篡改數(shù)據(jù)，數(shù)據(jù)的保密性完整性可用性真實(shí)性受到嚴(yán)重威脅，給云用戶帶來不可估量的商業(yè)損失。

　　3 云數(shù)據(jù)安全對(duì)策

　　(1)數(shù)據(jù)安全傳輸和存儲(chǔ)的防護(hù)策略首先是對(duì)傳輸?shù)臄?shù)據(jù)進(jìn)行加密，不僅可以使用安全傳輸協(xié)議SSL和進(jìn)行數(shù)據(jù)傳輸VPN通道，而且可以采用同態(tài)加密對(duì)數(shù)據(jù)進(jìn)行加密。

　　同態(tài)加密是一種可以在不知道明文的情況下，對(duì)密文直接進(jìn)行操作，效果就如同先對(duì)明文進(jìn)行操作，然后加密得到的結(jié)果一樣記加密操作。

　　例如記加密操作為 Q，明文為 m，加密得 e，解密操作為 D，即 e = Q(m)，m = D(e)。

　　已知針對(duì)明文有操作 f，針對(duì)Q可構(gòu)造 F，使得 F(e) = Q(f(m))，這樣 Q就是一個(gè)針對(duì) f 的同態(tài)加密算法。

　　同態(tài)加密可以保證云計(jì)算的數(shù)據(jù)安全。

　　即將數(shù)據(jù)同態(tài)加密后存儲(chǔ)在云端服務(wù)器，可以大大提高數(shù)據(jù)的安全性，即使這些數(shù)據(jù)被竊取，如果沒有相應(yīng)客戶端的密鑰將無法解密數(shù)據(jù)，云端是不知道密鑰的。

　　同時(shí)，由于同態(tài)加密的特性，也可以在云端對(duì)密文進(jìn)行操作，從而避免了對(duì)傳統(tǒng)的加密數(shù)據(jù)進(jìn)行操作時(shí)的效率問題。

　　因?yàn)槠胀ǖ募用芊桨溉缧鑼?duì)其進(jìn)行操作，須將加密數(shù)據(jù)回傳，解密操作后再加密回傳到云端。

　　可以采用 Gentry 等提出的對(duì)稱全同態(tài)加密算法。

　　(2)建立自己的私有云。

　　目前云服務(wù)SaaS和PaaP應(yīng)用為了實(shí)現(xiàn)可擴(kuò)展、可用性、管理以及運(yùn)行效率等方面的經(jīng)濟(jì)性。

　　提供商基本都采用多租戶模式無法實(shí)現(xiàn)單租戶專用數(shù)據(jù)平臺(tái)，唯一可行的辦法使建立私有云，不要把任何重要的或者敏感的數(shù)據(jù)放到公共云中。

　　重要的數(shù)據(jù)不要放在云上，或者是加密后在放到云中，將安全性的主動(dòng)權(quán)控制在自己手中。

　　私有云只面向自己的客戶或者是內(nèi)部的用戶，它是一種更安全穩(wěn)定的云環(huán)境，用戶必須要確定究竟那些數(shù)據(jù)可以放到云上，同時(shí)要做好保護(hù)措施，并決定哪些應(yīng)用適合公有云，哪些應(yīng)用適合私有云。

　　可以在企業(yè)內(nèi)部局域網(wǎng)中建一個(gè)物理機(jī)器集群，通過內(nèi)部集群實(shí)現(xiàn)私有云。

　　可以在物理機(jī)器群中運(yùn)行安裝有Xen的Linux系統(tǒng)，各物理機(jī)開啟SSH服務(wù)，控制中心通過SSH連接相應(yīng)物理機(jī)，并通過運(yùn)行Xen的xnl命令管理虛擬機(jī)，從而實(shí)現(xiàn)私有云的管理。

　　(3)要建立完善的審計(jì)措施和相關(guān)的審計(jì)法規(guī)制度，對(duì)云計(jì)算服務(wù)提供商進(jìn)行監(jiān)管和審計(jì)，保證用戶的利益。

　　當(dāng)用戶打算把數(shù)據(jù)提交給云時(shí)，我們?cè)鯓硬拍苄湃卧品��?wù)提供商呢?而且服務(wù)提供商處于強(qiáng)勢地位，用戶缺乏必要的安全管理與舉證能力，一旦發(fā)生安全事故，用戶的權(quán)利難以得到保證。

　　一定要采取必要的驗(yàn)證和審計(jì)，必須要把可信度擴(kuò)大到專業(yè)的第三方認(rèn)證。

　　這個(gè)第三方認(rèn)證應(yīng)該能夠評(píng)估有一套完整的科學(xué)的評(píng)價(jià)體系來審計(jì)云服務(wù)提供商，例如SAS 70 標(biāo)準(zhǔn)是由美國公共會(huì)計(jì)審計(jì)師協(xié)會(huì)制定的一套審計(jì)標(biāo)準(zhǔn)，他能夠確保云供應(yīng)商提供對(duì)客戶數(shù)據(jù)的保護(hù)。

　　而薩班斯·奧克斯利法案的頒布，也為數(shù)據(jù)的保護(hù)提供法律的依據(jù)。

　　這些法案和制度的建立為用戶的數(shù)據(jù)安全提供了法律保障。

　　這樣對(duì)云中的服務(wù)器、軟件配置、負(fù)荷管理、補(bǔ)丁管理、運(yùn)行時(shí)配置管理等等進(jìn)行實(shí)時(shí)監(jiān)控和安全測試。

　　4 結(jié)束語

　　在云計(jì)算模式下，數(shù)據(jù)安全是云用戶的最關(guān)心的安全服務(wù)目標(biāo)。

　　云服務(wù)提供商為了提供高水平的云服務(wù)，必須從數(shù)據(jù)安全生命周期和云應(yīng)用數(shù)據(jù)流程綜合考慮針對(duì)數(shù)據(jù)傳輸、安全數(shù)據(jù)存儲(chǔ)等云數(shù)據(jù)安全敏感階段展開研究。

　　同時(shí)必須意識(shí)到云計(jì)算模式下的數(shù)據(jù)安全并不僅僅是技術(shù)問題，它還涉及管理、監(jiān)管與審計(jì)、法律法規(guī)等諸多方面。

　　只有充分考慮并妥善解決這些才能夠促進(jìn)云計(jì)算產(chǎn)業(yè)健康持續(xù)發(fā)展。

　　參考文獻(xiàn)

　　[1] AndrewS.Tanenbaum，現(xiàn)代操作系統(tǒng)，機(jī)械工業(yè)出版社.1999.

　　[2]RivestR，ShamirA，AdlemanL.Amethodforobtainingdigital signaturesandpublic keycrypto—systems[J].CommACM，1978，21(2)：120-126.

　　[3] 朱近之.智慧的云計(jì)算.電子工業(yè)出版社，2010：302.

　　[4] Marten van Dijk and Craig Gentry and Shai Halevi and Vinod Vaikuntanathan. Fully Homomorphic Encryption over the Integers[D]. Eurocrypt， 2010.

　　[5] 張為民.云計(jì)算-深刻改變未來.科學(xué)出版社，2009：203.

　　[6] 陳阿林.云計(jì)算. 應(yīng)用直通車.重慶大學(xué)出版社，2010：196.

【云數(shù)據(jù)安全問題與對(duì)策】相關(guān)文章：

云計(jì)算的安全問題10-26

云計(jì)算環(huán)境下的電子商務(wù)安全問題和對(duì)策論文10-08

解析電子文檔安全問題與對(duì)策10-05

大數(shù)據(jù)下網(wǎng)絡(luò)借貸的信息安全問題10-26

關(guān)于網(wǎng)絡(luò)信息安全問題及對(duì)策分析論文10-08

大數(shù)據(jù)時(shí)代信息安全問題探討論文10-10

計(jì)算機(jī)信息安全問題及對(duì)策論文10-11

物業(yè)管理消防安全問題及對(duì)策的論文10-08

大數(shù)據(jù)時(shí)代環(huán)境下網(wǎng)絡(luò)信息安全問題論文10-08

通信計(jì)算機(jī)信息安全問題及對(duì)策論文10-11