云數據安全問(wèn)題與對策

　　云數據安全問(wèn)題與對策

　　【 摘 要 】 隨著(zhù)云計算技術(shù)的快速發(fā)展，越來(lái)越受到人們的關(guān)注。

　　然而，云計算中的數據安全問(wèn)題已經(jīng)成為制約云計算快速發(fā)展和推廣的關(guān)鍵問(wèn)題，本文著(zhù)重研究云計算中的數據安全問(wèn)題，并在此基礎上給出了安全問(wèn)題的對策。

　　針對云數據的安全性，在數據傳輸、存儲、審計方面提出了安全對策。

　　【 關(guān)鍵詞 】 云數據;云數據安全; 數據加密

　　1 引言

　　隨著(zhù)云計算時(shí)代的到來(lái)，對數據擴展、讀寫(xiě)速度、支撐容量以及建設和運營(yíng)成本產(chǎn)生新需求。

　　例如類(lèi)似電信運營(yíng)商和搜索引擎公司級的分析系統需要能夠處理PB級的業(yè)務(wù)數據，同時(shí)應對百萬(wàn)級的流量;企業(yè)需要分布式的應用可以更加簡(jiǎn)單地部署、應用和管理;客戶(hù)需要快速的響應速度滿(mǎn)足自己的需求;企業(yè)更希望在軟硬件以及人力成本各方面都有大幅度的降低。

　　目前云服務(wù)的主要三個(gè)層次是IaaS(Infrastructure as a Service)、PaaS(Platform as a Service)和SaaS(Software as a Service)，分別對應硬件資源、平臺資源和應用資源。

　　隨著(zhù)服務(wù)的日益推進(jìn)過(guò)程中，越來(lái)越多分散在世界各地的企業(yè)數據匯聚網(wǎng)絡(luò )中，這些數據在網(wǎng)絡(luò )間的安全的、低成本的傳輸正成為越來(lái)越大的挑戰。

　　而隨著(zhù)云計算的推廣和流行，如何安全地保存和傳輸生成于云端的大量數據，也成為了各大企業(yè)和組織研究討論的重點(diǎn)。

　　2 云數據面臨安全問(wèn)題

　　云計算中所有用戶(hù)的數據都存放在云端，并將計算結果通過(guò)網(wǎng)絡(luò )回傳給客戶(hù)端。

　　這種全新的網(wǎng)絡(luò )服務(wù)模式，其面臨的安全威脅也是前所未有的。

　　由于云計算是分布式的，并且為提高資源使用效率和提高資源共享率，用戶(hù)之間共享計算或存儲資源，他們之間安全隔離不夠或某些用戶(hù)利用攻擊技術(shù)，云端數據存在著(zhù)數據保密、數據備份、數據共享等方面的安全問(wèn)題。

　　因此，只用傳統的保護模式很難確�？蛻�(hù)數據的安全。

　　在云計算環(huán)境里已經(jīng)發(fā)生了多起云數據安全問(wèn)題，如Google 發(fā)生大批用戶(hù)信息外泄事件;微軟云計算由于服務(wù)器故障導致用戶(hù)數據丟失;亞馬遜宕機事件，故障持續4天。

　　對客戶(hù)來(lái)說(shuō)，當他們把數據放在云上時(shí)，并不知道自己的數據在哪里，也不知道誰(shuí)在控制和使用，數據脫離了用戶(hù)的可控范圍，無(wú)法有效控制和集中管理，存在不安全因素。

　　例如客戶(hù)的核心數據文件(設計圖紙、財務(wù)數據、客戶(hù)信息、內部決策、源代碼等)存在泄密的風(fēng)險;客戶(hù)的文件外發(fā)沒(méi)有審批，外發(fā)后數據文件被肆意復制和擴散;客戶(hù)數據文件訪(fǎng)問(wèn)的權限無(wú)法統一設置，文件被訪(fǎng)問(wèn)的情況也沒(méi)有歷史記錄。

　　而且在云計算網(wǎng)絡(luò )中，服務(wù)提供商得到云端數據的優(yōu)先訪(fǎng)問(wèn)權，所以云服務(wù)提供商必須建立完善的規章制度來(lái)保證用戶(hù)的數據不被非法使用和泄露，就像銀行儲戶(hù)的錢(qián)銀行職員不可以隨意挪用一樣。

　　同時(shí)，計算機云數據的特殊性使得它可以很容易地被保存、復制，還可能包含用戶(hù)的個(gè)人隱私，比如郵件和通信內容，或者通過(guò)進(jìn)一步的分析可以得到，這些都是云計算提供商在云數據安全的建設中予以充分的考慮。

　　另外，當我們把我們的數據放在共享的云存儲設備上時(shí)，還要考慮到的一個(gè)問(wèn)題就是：我們的數據會(huì )不會(huì )丟失。

　　從技術(shù)方面講，在云端服務(wù)商應該要采取可靠的技術(shù)手段和完善的安全策略來(lái)確保用戶(hù)數據的安全。

　　但是由于現在云計算的大規�；�和虛擬化，我們必須看到云數據的安全防護與傳統的安全防護之間的差異。

　　云數據必須考慮到誤刪、誤改、誤操作導致數據文件丟失，考慮系統重裝或者更新硬件后數據恢復，考慮數據爆炸試增長(cháng)的資源消耗等。

　　對于傳統網(wǎng)絡(luò )而言，可以通過(guò)物理上和邏輯上的安全域定義，能清楚地定義出網(wǎng)絡(luò )邊界和保護設備用戶(hù)，解決以上的數據安全問(wèn)題，但是在云網(wǎng)絡(luò )中就無(wú)法實(shí)現。

　　在云計算環(huán)境下的網(wǎng)絡(luò )，安全設備的部署邊界已經(jīng)消失，這也就是說(shuō)傳統的安全建設模型不適應云網(wǎng)絡(luò )中安全設備的部署和防范，云計算環(huán)境下的安全部署需要尋找新的模式。

　　除此之外，云數據傳輸也存在安全問(wèn)題，云用戶(hù)或企業(yè)把數據通過(guò)網(wǎng)絡(luò )傳到公共云時(shí)數據可能會(huì )被黑客竊取和篡改數據，數據的保密性完整性可用性真實(shí)性受到嚴重威脅，給云用戶(hù)帶來(lái)不可估量的商業(yè)損失。

　　3 云數據安全對策

　　(1)數據安全傳輸和存儲的防護策略首先是對傳輸的數據進(jìn)行加密，不僅可以使用安全傳輸協(xié)議SSL和進(jìn)行數據傳輸VPN通道，而且可以采用同態(tài)加密對數據進(jìn)行加密。

　　同態(tài)加密是一種可以在不知道明文的情況下，對密文直接進(jìn)行操作，效果就如同先對明文進(jìn)行操作，然后加密得到的結果一樣記加密操作。

　　例如記加密操作為 Q，明文為 m，加密得 e，解密操作為 D，即 e = Q(m)，m = D(e)。

　　已知針對明文有操作 f，針對Q可構造 F，使得 F(e) = Q(f(m))，這樣 Q就是一個(gè)針對 f 的同態(tài)加密算法。

　　同態(tài)加密可以保證云計算的數據安全。

　　即將數據同態(tài)加密后存儲在云端服務(wù)器，可以大大提高數據的安全性，即使這些數據被竊取，如果沒(méi)有相應客戶(hù)端的密鑰將無(wú)法解密數據，云端是不知道密鑰的。

　　同時(shí)，由于同態(tài)加密的特性，也可以在云端對密文進(jìn)行操作，從而避免了對傳統的加密數據進(jìn)行操作時(shí)的效率問(wèn)題。

　　因為普通的加密方案如需對其進(jìn)行操作，須將加密數據回傳，解密操作后再加密回傳到云端。

　　可以采用 Gentry 等提出的對稱(chēng)全同態(tài)加密算法。

　　(2)建立自己的私有云。

　　目前云服務(wù)SaaS和PaaP應用為了實(shí)現可擴展、可用性、管理以及運行效率等方面的經(jīng)濟性。

　　提供商基本都采用多租戶(hù)模式無(wú)法實(shí)現單租戶(hù)專(zhuān)用數據平臺，唯一可行的辦法使建立私有云，不要把任何重要的或者敏感的數據放到公共云中。

　　重要的數據不要放在云上，或者是加密后在放到云中，將安全性的主動(dòng)權控制在自己手中。

　　私有云只面向自己的客戶(hù)或者是內部的用戶(hù)，它是一種更安全穩定的云環(huán)境，用戶(hù)必須要確定究竟那些數據可以放到云上，同時(shí)要做好保護措施，并決定哪些應用適合公有云，哪些應用適合私有云。

　　可以在企業(yè)內部局域網(wǎng)中建一個(gè)物理機器集群，通過(guò)內部集群實(shí)現私有云。

　　可以在物理機器群中運行安裝有Xen的Linux系統，各物理機開(kāi)啟SSH服務(wù)，控制中心通過(guò)SSH連接相應物理機，并通過(guò)運行Xen的xnl命令管理虛擬機，從而實(shí)現私有云的管理。

　　(3)要建立完善的審計措施和相關(guān)的審計法規制度，對云計算服務(wù)提供商進(jìn)行監管和審計，保證用戶(hù)的利益。

　　當用戶(hù)打算把數據提交給云時(shí)，我們怎樣才能信任云服務(wù)提供商呢?而且服務(wù)提供商處于強勢地位，用戶(hù)缺乏必要的安全管理與舉證能力，一旦發(fā)生安全事故，用戶(hù)的權利難以得到保證。

　　一定要采取必要的驗證和審計，必須要把可信度擴大到專(zhuān)業(yè)的第三方認證。

　　這個(gè)第三方認證應該能夠評估有一套完整的科學(xué)的評價(jià)體系來(lái)審計云服務(wù)提供商，例如SAS 70 標準是由美國公共會(huì )計審計師協(xié)會(huì )制定的一套審計標準，他能夠確保云供應商提供對客戶(hù)數據的保護。

　　而薩班斯·奧克斯利法案的頒布，也為數據的保護提供法律的依據。

　　這些法案和制度的建立為用戶(hù)的數據安全提供了法律保障。

　　這樣對云中的服務(wù)器、軟件配置、負荷管理、補丁管理、運行時(shí)配置管理等等進(jìn)行實(shí)時(shí)監控和安全測試。

　　4 結束語(yǔ)

　　在云計算模式下，數據安全是云用戶(hù)的最關(guān)心的安全服務(wù)目標。

　　云服務(wù)提供商為了提供高水平的云服務(wù)，必須從數據安全生命周期和云應用數據流程綜合考慮針對數據傳輸、安全數據存儲等云數據安全敏感階段展開(kāi)研究。

　　同時(shí)必須意識到云計算模式下的數據安全并不僅僅是技術(shù)問(wèn)題，它還涉及管理、監管與審計、法律法規等諸多方面。

　　只有充分考慮并妥善解決這些才能夠促進(jìn)云計算產(chǎn)業(yè)健康持續發(fā)展。

　　參考文獻

　　[1] AndrewS.Tanenbaum，現代操作系統，機械工業(yè)出版社.1999.

　　[2]RivestR，ShamirA，AdlemanL.Amethodforobtainingdigital signaturesandpublic keycrypto—systems[J].CommACM，1978，21(2)：120-126.

　　[3] 朱近之.智慧的云計算.電子工業(yè)出版社，2010：302.

　　[4] Marten van Dijk and Craig Gentry and Shai Halevi and Vinod Vaikuntanathan. Fully Homomorphic Encryption over the Integers[D]. Eurocrypt， 2010.

　　[5] 張為民.云計算-深刻改變未來(lái).科學(xué)出版社，2009：203.

　　[6] 陳阿林.云計算. 應用直通車(chē).重慶大學(xué)出版社，2010：196.

【云數據安全問(wèn)題與對策】相關(guān)文章：

關(guān)于網(wǎng)絡(luò )信息安全問(wèn)題及對策分析論文07-02

物業(yè)管理消防安全問(wèn)題及對策的論文11-04

關(guān)于宿舍安全問(wèn)題的報告10-26

校園安全問(wèn)題排查報告11-09

食品安全問(wèn)題調研報告11-02

小學(xué)數據教案01-07

數據錄入及數據保密工程合同書(shū)12-02

云的作文12-15

學(xué)校校園安全問(wèn)題排查報告12-16

假期安全問(wèn)題建議書(shū)范文12-08