云數(shù)據(jù)安全問題與對策

　　云數(shù)據(jù)安全問題與對策

　　【 摘 要 】 隨著云計算技術(shù)的快速發(fā)展，越來越受到人們的關(guān)注。

　　然而，云計算中的數(shù)據(jù)安全問題已經(jīng)成為制約云計算快速發(fā)展和推廣的關(guān)鍵問題，本文著重研究云計算中的數(shù)據(jù)安全問題，并在此基礎(chǔ)上給出了安全問題的對策。

　　針對云數(shù)據(jù)的安全性，在數(shù)據(jù)傳輸、存儲、審計方面提出了安全對策。

　　【 關(guān)鍵詞 】 云數(shù)據(jù);云數(shù)據(jù)安全; 數(shù)據(jù)加密

　　1 引言

　　隨著云計算時代的到來，對數(shù)據(jù)擴展、讀寫速度、支撐容量以及建設(shè)和運營成本產(chǎn)生新需求。

　　例如類似電信運營商和搜索引擎公司級的分析系統(tǒng)需要能夠處理PB級的業(yè)務(wù)數(shù)據(jù)，同時應(yīng)對百萬級的流量;企業(yè)需要分布式的應(yīng)用可以更加簡單地部署、應(yīng)用和管理;客戶需要快速的響應(yīng)速度滿足自己的需求;企業(yè)更希望在軟硬件以及人力成本各方面都有大幅度的降低。

　　目前云服務(wù)的主要三個層次是IaaS(Infrastructure as a Service)、PaaS(Platform as a Service)和SaaS(Software as a Service)，分別對應(yīng)硬件資源、平臺資源和應(yīng)用資源。

　　隨著服務(wù)的日益推進過程中，越來越多分散在世界各地的企業(yè)數(shù)據(jù)匯聚網(wǎng)絡(luò)中，這些數(shù)據(jù)在網(wǎng)絡(luò)間的安全的、低成本的傳輸正成為越來越大的挑戰(zhàn)。

　　而隨著云計算的推廣和流行，如何安全地保存和傳輸生成于云端的大量數(shù)據(jù)，也成為了各大企業(yè)和組織研究討論的重點。

　　2 云數(shù)據(jù)面臨安全問題

　　云計算中所有用戶的數(shù)據(jù)都存放在云端，并將計算結(jié)果通過網(wǎng)絡(luò)回傳給客戶端。

　　這種全新的網(wǎng)絡(luò)服務(wù)模式，其面臨的安全威脅也是前所未有的。

　　由于云計算是分布式的，并且為提高資源使用效率和提高資源共享率，用戶之間共享計算或存儲資源，他們之間安全隔離不夠或某些用戶利用攻擊技術(shù)，云端數(shù)據(jù)存在著數(shù)據(jù)保密、數(shù)據(jù)備份、數(shù)據(jù)共享等方面的安全問題。

　　因此，只用傳統(tǒng)的保護模式很難確�？蛻魯�(shù)據(jù)的安全。

　　在云計算環(huán)境里已經(jīng)發(fā)生了多起云數(shù)據(jù)安全問題，如Google 發(fā)生大批用戶信息外泄事件;微軟云計算由于服務(wù)器故障導(dǎo)致用戶數(shù)據(jù)丟失;亞馬遜宕機事件，故障持續(xù)4天。

　　對客戶來說，當他們把數(shù)據(jù)放在云上時，并不知道自己的數(shù)據(jù)在哪里，也不知道誰在控制和使用，數(shù)據(jù)脫離了用戶的可控范圍，無法有效控制和集中管理，存在不安全因素。

　　例如客戶的核心數(shù)據(jù)文件(設(shè)計圖紙、財務(wù)數(shù)據(jù)、客戶信息、內(nèi)部決策、源代碼等)存在泄密的風險;客戶的文件外發(fā)沒有審批，外發(fā)后數(shù)據(jù)文件被肆意復(fù)制和擴散;客戶數(shù)據(jù)文件訪問的權(quán)限無法統(tǒng)一設(shè)置，文件被訪問的情況也沒有歷史記錄。

　　而且在云計算網(wǎng)絡(luò)中，服務(wù)提供商得到云端數(shù)據(jù)的優(yōu)先訪問權(quán)，所以云服務(wù)提供商必須建立完善的規(guī)章制度來保證用戶的數(shù)據(jù)不被非法使用和泄露，就像銀行儲戶的錢銀行職員不可以隨意挪用一樣。

　　同時，計算機云數(shù)據(jù)的特殊性使得它可以很容易地被保存、復(fù)制，還可能包含用戶的個人隱私，比如郵件和通信內(nèi)容，或者通過進一步的分析可以得到，這些都是云計算提供商在云數(shù)據(jù)安全的建設(shè)中予以充分的考慮。

　　另外，當我們把我們的數(shù)據(jù)放在共享的云存儲設(shè)備上時，還要考慮到的一個問題就是：我們的數(shù)據(jù)會不會丟失。

　　從技術(shù)方面講，在云端服務(wù)商應(yīng)該要采取可靠的技術(shù)手段和完善的安全策略來確保用戶數(shù)據(jù)的安全。

　　但是由于現(xiàn)在云計算的大規(guī)�；�和虛擬化，我們必須看到云數(shù)據(jù)的安全防護與傳統(tǒng)的安全防護之間的差異。

　　云數(shù)據(jù)必須考慮到誤刪、誤改、誤操作導(dǎo)致數(shù)據(jù)文件丟失，考慮系統(tǒng)重裝或者更新硬件后數(shù)據(jù)恢復(fù)，考慮數(shù)據(jù)爆炸試增長的資源消耗等。

　　對于傳統(tǒng)網(wǎng)絡(luò)而言，可以通過物理上和邏輯上的安全域定義，能清楚地定義出網(wǎng)絡(luò)邊界和保護設(shè)備用戶，解決以上的數(shù)據(jù)安全問題，但是在云網(wǎng)絡(luò)中就無法實現(xiàn)。

　　在云計算環(huán)境下的網(wǎng)絡(luò)，安全設(shè)備的部署邊界已經(jīng)消失，這也就是說傳統(tǒng)的安全建設(shè)模型不適應(yīng)云網(wǎng)絡(luò)中安全設(shè)備的部署和防范，云計算環(huán)境下的安全部署需要尋找新的模式。

　　除此之外，云數(shù)據(jù)傳輸也存在安全問題，云用戶或企業(yè)把數(shù)據(jù)通過網(wǎng)絡(luò)傳到公共云時數(shù)據(jù)可能會被黑客竊取和篡改數(shù)據(jù)，數(shù)據(jù)的保密性完整性可用性真實性受到嚴重威脅，給云用戶帶來不可估量的商業(yè)損失。

　　3 云數(shù)據(jù)安全對策

　　(1)數(shù)據(jù)安全傳輸和存儲的防護策略首先是對傳輸?shù)臄?shù)據(jù)進行加密，不僅可以使用安全傳輸協(xié)議SSL和進行數(shù)據(jù)傳輸VPN通道，而且可以采用同態(tài)加密對數(shù)據(jù)進行加密。

　　同態(tài)加密是一種可以在不知道明文的情況下，對密文直接進行操作，效果就如同先對明文進行操作，然后加密得到的結(jié)果一樣記加密操作。

　　例如記加密操作為 Q，明文為 m，加密得 e，解密操作為 D，即 e = Q(m)，m = D(e)。

　　已知針對明文有操作 f，針對Q可構(gòu)造 F，使得 F(e) = Q(f(m))，這樣 Q就是一個針對 f 的同態(tài)加密算法。

　　同態(tài)加密可以保證云計算的數(shù)據(jù)安全。

　　即將數(shù)據(jù)同態(tài)加密后存儲在云端服務(wù)器，可以大大提高數(shù)據(jù)的安全性，即使這些數(shù)據(jù)被竊取，如果沒有相應(yīng)客戶端的密鑰將無法解密數(shù)據(jù)，云端是不知道密鑰的。

　　同時，由于同態(tài)加密的特性，也可以在云端對密文進行操作，從而避免了對傳統(tǒng)的加密數(shù)據(jù)進行操作時的效率問題。

　　因為普通的加密方案如需對其進行操作，須將加密數(shù)據(jù)回傳，解密操作后再加密回傳到云端。

　　可以采用 Gentry 等提出的對稱全同態(tài)加密算法。

　　(2)建立自己的私有云。

　　目前云服務(wù)SaaS和PaaP應(yīng)用為了實現(xiàn)可擴展、可用性、管理以及運行效率等方面的經(jīng)濟性。

　　提供商基本都采用多租戶模式無法實現(xiàn)單租戶專用數(shù)據(jù)平臺，唯一可行的辦法使建立私有云，不要把任何重要的或者敏感的數(shù)據(jù)放到公共云中。

　　重要的數(shù)據(jù)不要放在云上，或者是加密后在放到云中，將安全性的主動權(quán)控制在自己手中。

　　私有云只面向自己的客戶或者是內(nèi)部的用戶，它是一種更安全穩(wěn)定的云環(huán)境，用戶必須要確定究竟那些數(shù)據(jù)可以放到云上，同時要做好保護措施，并決定哪些應(yīng)用適合公有云，哪些應(yīng)用適合私有云。

　　可以在企業(yè)內(nèi)部局域網(wǎng)中建一個物理機器集群，通過內(nèi)部集群實現(xiàn)私有云。

　　可以在物理機器群中運行安裝有Xen的Linux系統(tǒng)，各物理機開啟SSH服務(wù)，控制中心通過SSH連接相應(yīng)物理機，并通過運行Xen的xnl命令管理虛擬機，從而實現(xiàn)私有云的管理。

　　(3)要建立完善的審計措施和相關(guān)的審計法規(guī)制度，對云計算服務(wù)提供商進行監(jiān)管和審計，保證用戶的利益。

　　當用戶打算把數(shù)據(jù)提交給云時，我們怎樣才能信任云服務(wù)提供商呢?而且服務(wù)提供商處于強勢地位，用戶缺乏必要的安全管理與舉證能力，一旦發(fā)生安全事故，用戶的權(quán)利難以得到保證。

　　一定要采取必要的驗證和審計，必須要把可信度擴大到專業(yè)的第三方認證。

　　這個第三方認證應(yīng)該能夠評估有一套完整的科學(xué)的評價體系來審計云服務(wù)提供商，例如SAS 70 標準是由美國公共會計審計師協(xié)會制定的一套審計標準，他能夠確保云供應(yīng)商提供對客戶數(shù)據(jù)的保護。

　　而薩班斯·奧克斯利法案的頒布，也為數(shù)據(jù)的保護提供法律的依據(jù)。

　　這些法案和制度的建立為用戶的數(shù)據(jù)安全提供了法律保障。

　　這樣對云中的服務(wù)器、軟件配置、負荷管理、補丁管理、運行時配置管理等等進行實時監(jiān)控和安全測試。

　　4 結(jié)束語

　　在云計算模式下，數(shù)據(jù)安全是云用戶的最關(guān)心的安全服務(wù)目標。

　　云服務(wù)提供商為了提供高水平的云服務(wù)，必須從數(shù)據(jù)安全生命周期和云應(yīng)用數(shù)據(jù)流程綜合考慮針對數(shù)據(jù)傳輸、安全數(shù)據(jù)存儲等云數(shù)據(jù)安全敏感階段展開研究。

　　同時必須意識到云計算模式下的數(shù)據(jù)安全并不僅僅是技術(shù)問題，它還涉及管理、監(jiān)管與審計、法律法規(guī)等諸多方面。

　　只有充分考慮并妥善解決這些才能夠促進云計算產(chǎn)業(yè)健康持續(xù)發(fā)展。

　　參考文獻

　　[1] AndrewS.Tanenbaum，現(xiàn)代操作系統(tǒng)，機械工業(yè)出版社.1999.

　　[2]RivestR，ShamirA，AdlemanL.Amethodforobtainingdigital signaturesandpublic keycrypto—systems[J].CommACM，1978，21(2)：120-126.

　　[3] 朱近之.智慧的云計算.電子工業(yè)出版社，2010：302.

　　[4] Marten van Dijk and Craig Gentry and Shai Halevi and Vinod Vaikuntanathan. Fully Homomorphic Encryption over the Integers[D]. Eurocrypt， 2010.

　　[5] 張為民.云計算-深刻改變未來.科學(xué)出版社，2009：203.

　　[6] 陳阿林.云計算. 應(yīng)用直通車.重慶大學(xué)出版社，2010：196.

【云數(shù)據(jù)安全問題與對策】相關(guān)文章：

云計算的安全問題10-26

云計算環(huán)境下的電子商務(wù)安全問題和對策論文10-08

解析電子文檔安全問題與對策10-05

大數(shù)據(jù)下網(wǎng)絡(luò)借貸的信息安全問題10-26

關(guān)于網(wǎng)絡(luò)信息安全問題及對策分析論文10-08

大數(shù)據(jù)時代信息安全問題探討論文10-10

計算機信息安全問題及對策論文10-11

物業(yè)管理消防安全問題及對策的論文10-08

大數(shù)據(jù)時代環(huán)境下網(wǎng)絡(luò)信息安全問題論文10-08

通信計算機信息安全問題及對策論文10-11