周 威 劉 卓

?

智能時代數(shù)據(jù)安全問題與對策

周 威 劉 卓

（保定天威英利新能源有限公司 河北 保定 071000）

隨著云計算技術(shù)的快速發(fā)展，越來越受到人們的關(guān)注。然而，云計算中的數(shù)據(jù)安全問題已經(jīng)成為制約云計算快速發(fā)展和推廣的關(guān)鍵問題，本文著重研究云計算中的數(shù)據(jù)安全問題，并在此基礎(chǔ)上給出了安全問題的對策。針對云數(shù)據(jù)的安全性，在數(shù)據(jù)傳輸、存儲、審計方面提出了安全對策。

云數(shù)據(jù)；云數(shù)據(jù)安全；數(shù)據(jù)加密

1 引言

隨著云計算時代的到來，對數(shù)據(jù)擴展、讀寫速度、支撐容量以及建設(shè)和運營成本產(chǎn)生新需求。例如類似電信運營商和搜索引擎公司級的分析系統(tǒng)需要能夠處理PB級的業(yè)務(wù)數(shù)據(jù)，同時應(yīng)對百萬級的流量；企業(yè)需要分布式的應(yīng)用可以更加簡單地部署、應(yīng)用和管理；客戶需要快速的響應(yīng)速度滿足自己的需求；企業(yè)更希望在軟硬件以及人力成本各方面都有大幅度的降低。

目前云服務(wù)的主要三個層次是IaaS（Infrastructure as a Service）、PaaS（Platform as a Service）和SaaS（Software as a Service），分別對應(yīng)硬件資源、平臺資源和應(yīng)用資源。隨著服務(wù)的日益推進過程中，越來越多分散在世界各地的企業(yè)數(shù)據(jù)匯聚網(wǎng)絡(luò)中，這些數(shù)據(jù)在網(wǎng)絡(luò)間的安全的、低成本的傳輸正成為越來越大的挑戰(zhàn)。而隨著云計算的推廣和流行，如何安全地保存和傳輸生成于云端的大量數(shù)據(jù)，也成為了各大企業(yè)和組織研究討論的重點。

2 云數(shù)據(jù)面臨安全問題

云計算中所有用戶的數(shù)據(jù)都存放在云端，并將計算結(jié)果通過網(wǎng)絡(luò)回傳給客戶端。這種全新的網(wǎng)絡(luò)服務(wù)模式，其面臨的安全威脅也是前所未有的。由于云計算是分布式的，并且為提高資源使用效率和提高資源共享率，用戶之間共享計算或存儲資源，他們之間安全隔離不夠或某些用戶利用攻擊技術(shù)，云端數(shù)據(jù)存在著數(shù)據(jù)保密、數(shù)據(jù)備份、數(shù)據(jù)共享等方面的安全問題。因此，只用傳統(tǒng)的保護模式很難確?？蛻魯?shù)據(jù)的安全。

在云計算環(huán)境里已經(jīng)發(fā)生了多起云數(shù)據(jù)安全問題，如Google 發(fā)生大批用戶信息外泄事件；微軟云計算由于服務(wù)器故障導(dǎo)致用戶數(shù)據(jù)丟失；亞馬遜宕機事件，故障持續(xù)4天。對客戶來說，當(dāng)他們把數(shù)據(jù)放在云上時，并不知道自己的數(shù)據(jù)在哪里，也不知道誰在控制和使用，數(shù)據(jù)脫離了用戶的可控范圍，無法有效控制和集中管理，存在不安全因素。例如客戶的核心數(shù)據(jù)文件（設(shè)計圖紙、財務(wù)數(shù)據(jù)、客戶信息、內(nèi)部決策、源代碼等）存在泄密的風(fēng)險；客戶的文件外發(fā)沒有審批，外發(fā)后數(shù)據(jù)文件被肆意復(fù)制和擴散；客戶數(shù)據(jù)文件訪問的權(quán)限無法統(tǒng)一設(shè)置，文件被訪問的情況也沒有歷史記錄。而且在云計算網(wǎng)絡(luò)中，服務(wù)提供商得到云端數(shù)據(jù)的優(yōu)先訪問權(quán)，所以云服務(wù)提供商必須建立完善的規(guī)章制度來保證用戶的數(shù)據(jù)不被非法使用和泄露，就像銀行儲戶的錢銀行職員不可以隨意挪用一樣。同時，計算機云數(shù)據(jù)的特殊性使得它可以很容易地被保存、復(fù)制，還可能包含用戶的個人隱私，比如郵件和通信內(nèi)容，或者通過進一步的分析可以得到，這些都是云計算提供商在云數(shù)據(jù)安全的建設(shè)中予以充分的考慮。

對于傳統(tǒng)網(wǎng)絡(luò)而言，可以通過物理上和邏輯上的安全域定義，能清楚地定義出網(wǎng)絡(luò)邊界和保護設(shè)備用戶，解決以上的數(shù)據(jù)安全問題，但是在云網(wǎng)絡(luò)中就無法實現(xiàn)。在云計算環(huán)境下的網(wǎng)絡(luò)，安全設(shè)備的部署邊界已經(jīng)消失，這也就是說傳統(tǒng)的安全建設(shè)模型不適應(yīng)云網(wǎng)絡(luò)中安全設(shè)備的部署和防范，云計算環(huán)境下的安全部署需要尋找新的模式。

除此之外，云數(shù)據(jù)傳輸也存在安全問題，云用戶或企業(yè)把數(shù)據(jù)通過網(wǎng)絡(luò)傳到公共云時數(shù)據(jù)可能會被黑客竊取和篡改數(shù)據(jù)，數(shù)據(jù)的保密性完整性可用性真實性受到嚴(yán)重威脅，給云用戶帶來不可估量的商業(yè)損失。

3 云數(shù)據(jù)安全對策

數(shù)據(jù)安全傳輸和存儲的防護策略首先是對傳輸?shù)臄?shù)據(jù)進行加密，不僅可以使用安全傳輸協(xié)議SSL和進行數(shù)據(jù)傳輸VPN通道，而且可以采用同態(tài)加密對數(shù)據(jù)進行加密。同態(tài)加密是一種可以在不知道明文的情況下，對密文直接進行操作，效果就如同先對明文進行操作，然后加密得到的結(jié)果一樣記加密操作。例如記加密操作為Q，明文為m，加密得e，解密操作為D，即e=Q（m），m=D（e）。已知針對明文有操作f，針對Q可構(gòu)造F，使得F（e）=Q（f（m）），這樣Q就是一個針對f的同態(tài)加密算法。同態(tài)加密可以保證云計算的數(shù)據(jù)安全。即將數(shù)據(jù)同態(tài)加密后存儲在云端服務(wù)器，可以大大提高數(shù)據(jù)的安全性，即使這些數(shù)據(jù)被竊取，如果沒有相應(yīng)客戶端的密鑰將無法解密數(shù)據(jù)，云端是不知道密鑰的。同時，由于同態(tài)加密的特性，也可以在云端對密文進行操作，從而避免了對傳統(tǒng)的加密數(shù)據(jù)進行操作時的效率問題。因為普通的加密方案如需對其進行操作，須將加密數(shù)據(jù)回傳，解密操作后再加密回傳到云端?？梢圆捎?Gentry 等提出的對稱全同態(tài)加密算法。

4 結(jié)束語

在云計算模式下，數(shù)據(jù)安全是云用戶的最關(guān)心的安全服務(wù)目標(biāo)。云服務(wù)提供商為了提供高水平的云服務(wù)，必須從數(shù)據(jù)安全生命周期和云應(yīng)用數(shù)據(jù)流程綜合考慮針對數(shù)據(jù)傳輸、安全數(shù)據(jù)存儲等云數(shù)據(jù)安全敏感階段展開研究。同時必須意識到云計算模式下的數(shù)據(jù)安全并不僅僅是技術(shù)問題，它還涉及管理、監(jiān)管與審計、法律法規(guī)等諸多方面。只有充分考慮并妥善解決這些才能夠促進云計算產(chǎn)業(yè)健康持續(xù)發(fā)展。

[1]AndrewS.Tanenbaum，現(xiàn)代操作系統(tǒng)，機械工業(yè)出版社.1999.

With the rapid development of cloud computing technology, more and more people pay attention to it. However, the problem of data security in cloud computing has become a key problem that restricts the rapid development and promotion of cloud computing. This paper focuses on the data security problem in cloud computing, and gives some countermeasures on the basis of this problem. According to the security of cloud data, security countermeasures are put forward in data transmission, storage and auditing.

cloud data; Cloud data security; Data encryption

10.19551/j.cnki.issn1672-9129.2017.11.012

TP309.2

A

1672-9129(2017)11-0010-02