曹云峰

[摘 要]隨著云存儲時代的到來和科技的進步，檔案材料從紙質(zhì)到數(shù)字化再到云數(shù)據(jù)的飛躍，每時每刻都有數(shù)據(jù)的飛速增長，信息檔案數(shù)據(jù)量每秒更新億萬。但是對于敏感的個人數(shù)據(jù)、檔案文件、涉密文件等有關(guān)隱私和機密的文件數(shù)據(jù)也大量儲存于互聯(lián)網(wǎng)的云存儲中，怎樣讓特定的人看到特定的數(shù)據(jù)文件，不僅關(guān)乎檔案文件管理工作的保密性，甚至關(guān)乎到云存儲存亡的關(guān)鍵，所以建立一個有效易行的加密方式就是文件安全存儲的關(guān)鍵工作。

[關(guān)鍵詞]加密技術(shù) 云存儲

中圖分類號：G270.7 文獻標識碼：A 文章編號：1009-914X（2016）16-0325-01

正文：

數(shù)據(jù)的機密性保護是一個老問題，現(xiàn)在由于可移動存儲設(shè)備、筆記本電腦和手持智能設(shè)備的普遍使用，進一步地加劇了數(shù)據(jù)的泄漏問題。

因機密數(shù)據(jù)的泄漏不僅會帶來經(jīng)濟和資產(chǎn)的損失，如果泄漏的機密數(shù)據(jù)是人們的隱私信息，例如銀行信息、身份證號等信息，那么就會帶來很大的社會問題。如果泄露的是國家機密文件的話，那么影響就巨大了。

因而國家出臺法律，對很多敏感行業(yè)制定了數(shù)據(jù)保護法案，強制使用安全措施來保護機密數(shù)據(jù)的安全。以下對數(shù)據(jù)的加密方式進行詳細講解。

一、數(shù)據(jù)加密方式

現(xiàn)在市面上主要有以下三種數(shù)據(jù)加密方式：文件或文件夾加密方式，全盤加密（FDE技術(shù)）技術(shù)，智能加密產(chǎn)品，以下就三種文件加密方式進行詳解。

1、文件或文件夾加密方式

文件/文件夾加密產(chǎn)品目前加密主要的方式，這三種主要方式包括：文件加密產(chǎn)品、文件夾加密產(chǎn)品和文件/文件夾加密產(chǎn)品。文件或文件/文件夾加密產(chǎn)品通常需要用戶自己操作需要加密的文件或文件夾。文件或文件/文件夾加密產(chǎn)品是很容易實現(xiàn)的。

但是，這些產(chǎn)品需要用戶參與，如果用戶不注意就會造成遺漏，而且，這些產(chǎn)品并不能對臨時文件夾和交換空間進行加密，這就造成了一些敏感信息的副本仍然沒有被加密。而且，一些在遠程系統(tǒng)上經(jīng)過妥善加密了的文件及文件夾也不能輕易地證明它已經(jīng)是被加密過了的。

2、全盤加密（FDE技術(shù)）技術(shù)

全盤加密技術(shù)產(chǎn)品，由它的名字就可以清楚地知道它是針對整個硬盤或某個卷的。這樣，包括操作系統(tǒng)、應(yīng)用程序和數(shù)據(jù)文件都可以被加密。通常這個加密解決方案在系統(tǒng)啟動時就進行加密驗證，一個沒有授權(quán)的用戶，如果不提供正確的密碼，就不可能繞過數(shù)據(jù)加密機制獲取系統(tǒng)中的任何信息。

全盤加密技術(shù)是一種非常成熟的技術(shù)，而且非常容易使用和配置，因為只需要用戶決定如個磁盤或卷需要加密即可。而且除了需要用戶記住加密密碼之外，其它的操作都不需要用戶參與。它還能保護操作系統(tǒng)、臨時文件夾、交換空間，以及所有可以被加密保護的敏感信息。

但是，要加密整個磁盤的速度是非常慢的，對一些大容量的文件也是如此。雖然現(xiàn)在的全盤加密產(chǎn)品的加密速度有了長足的提高，但是，在實際的使用過程中，如果磁盤或卷中存款額大量的文件，那么其加密速度還是看起來非常慢的。并且，如果磁盤的主引導(dǎo)記錄可能使它與備份和恢復(fù)程序很難共存，一旦磁盤發(fā)現(xiàn)故障或錯誤，那么將會造成數(shù)據(jù)無法被正確恢復(fù)的局面。

3、智能加密產(chǎn)品

新出現(xiàn)的智能加密產(chǎn)品結(jié)合了文件及文件夾加密產(chǎn)品和全盤加密產(chǎn)品的主要特點。例如國內(nèi)比較有名的是思智ERM301企業(yè)數(shù)據(jù)智能加密系統(tǒng)。這些混合的解決方案與文件/文件夾加密產(chǎn)品有一定的相似之外，因為它可以由用戶決定只加密文件或文件夾，而不需要加密操作系統(tǒng)或應(yīng)用程序。這將大大減少加密所費的時間，提高加密的性能。另外，它還允許管理員指定加密文件的具體類型，例如電子表格或PPT，以及某些具體應(yīng)用產(chǎn)品，例如財務(wù)和人力資源應(yīng)用。

智能加密技術(shù)確保指定的文件類型或應(yīng)用類型都能加密，而不需要文件是否存在于某個指定的加密文件夾。并且，這種技術(shù)不會干擾備份和恢復(fù)、補丁管理或強制認證產(chǎn)品。但是，要確保所有機密信息都得到保護，我們就需要知道它們是什么，以及存在于什么位置。如果我們沒有一種了機密信息的處理機制，那么還是使用全盤加密技術(shù)比較可靠。

以下對特殊的文件存儲--云存儲加密進行具體講解，并就優(yōu)缺點進行分析。

二、云存儲的加密方式

云存儲模式所存在的問題已經(jīng)困擾行業(yè)多年，在靜態(tài)數(shù)據(jù)加密存儲的過程中，只有實現(xiàn)真正意義上的數(shù)據(jù)私有化才能保證數(shù)據(jù)的安全，保障數(shù)據(jù)擁有者的利益。

1、云存儲應(yīng)用中的加密技術(shù)

云存儲應(yīng)用中的存儲安全包括認證服務(wù)、數(shù)據(jù)加密存儲、安全管理、安全日志和審計。對用戶來說，在上述4類存儲安全服務(wù)中，存儲加密服務(wù)尤為重要。加密存儲是保證客戶私有數(shù)據(jù)在共享存儲平臺的核心技術(shù)，是對指定的目錄和文件進行加密后存儲，實現(xiàn)敏感數(shù)據(jù)存儲和傳送過程中的機密性保護。根據(jù)形態(tài)和應(yīng)用特點的差異，云存儲系統(tǒng)中的數(shù)據(jù)被分為兩類：動態(tài)數(shù)據(jù)和靜態(tài)數(shù)據(jù)。動態(tài)數(shù)據(jù)是指在網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)，而靜態(tài)數(shù)據(jù)主要是指存儲在磁盤、磁帶等存儲介質(zhì)中的數(shù)據(jù)。

（1）靜態(tài)數(shù)據(jù)加密

對于那些在云中存儲備份自己長期數(shù)據(jù)的客戶，他們可以將自己的數(shù)據(jù)加密，然后發(fā)送密文到云存儲提供商（cloud storage provider，CSP）。目前，大多數(shù)該類解決方案基于用戶的數(shù)字證書進行認證和加密。用戶使用數(shù)字證書向云管理系統(tǒng)進行身份認證，并使用對稱密鑰在本地加密云中存儲的數(shù)據(jù)，同時使用證書公鑰加密對稱密鑰，然后將加密后的數(shù)據(jù)傳到云中進行存儲。這些客戶控制并保存密鑰，當(dāng)客戶要獲取數(shù)據(jù)時，先將云中密文下載到本地，再由客戶自行解密該數(shù)據(jù)。

該模式的優(yōu)點是：只有客戶可以解密云中的存儲數(shù)據(jù)，可以有效地保證數(shù)據(jù)的私密性。缺點是：客戶端需要較強的密碼運算能力來實現(xiàn)加密功能，同時用戶數(shù)據(jù)的加密密鑰必須保管安全，一旦丟失，將無法恢復(fù)數(shù)據(jù)，且該模式只適用于客戶自己生成的靜態(tài)數(shù)據(jù)加密，對于在IaaS、PaaS、SaaS下在云中產(chǎn)生的動態(tài)數(shù)據(jù)無法使用該模式進行加密。

（2）動態(tài)數(shù)據(jù)加密

對于在云計算環(huán)境中產(chǎn)生的動態(tài)數(shù)據(jù)，只能由云計算管理系統(tǒng)進行加密，雖然CSP的網(wǎng)絡(luò)比開放網(wǎng)絡(luò)安全。在多租戶的云計算應(yīng)用模式下，客戶租用云計算系統(tǒng)的計算能力，虛擬化技術(shù)使得一個客戶的應(yīng)用以不同層次與其他客戶的應(yīng)用共享物理資源，因此客戶在云計算環(huán)境中產(chǎn)生的數(shù)據(jù)不可避免地交由云計算環(huán)境進行加密。

該模式的優(yōu)點是：客戶不需要為不同的云應(yīng)用保管各種不同的密鑰，而是交由云計算環(huán)境統(tǒng)一管理，具有更高計算服務(wù)提供商，同時云計算管理系統(tǒng)需要提供一個統(tǒng)一、有效、可擴展的云計算密鑰管理框架，用于為各類客戶提供各種類型密鑰的統(tǒng)一管理，實現(xiàn)各種密鑰操作。

結(jié)論：

從以上內(nèi)容中就可以看出，部署一個數(shù)據(jù)加密解決方案是相當(dāng)繁雜的過程，選擇適當(dāng)?shù)脑茢?shù)據(jù)的加密方案，才能徹底解決數(shù)據(jù)安全問題。