云計算�、大數(shù)據(jù)等信息技術(shù)正在深刻改變著人們的思維����、生產(chǎn)����、生活和學(xué)習(xí)方式�����,并延深進入人們的日常生活����。
伴隨著社交媒體、電商�����、健康醫(yī)療��、智能交通��、電信運營����、金融和智慧城市等各行業(yè)各領(lǐng)域的大數(shù)據(jù)的產(chǎn)生,大數(shù)據(jù)分析技術(shù)和應(yīng)用研究使大數(shù)據(jù)呈現(xiàn)出不可限量的經(jīng)濟社會價值和科學(xué)研究意義,引起了國內(nèi)外學(xué)術(shù)界和產(chǎn)業(yè)界的研究熱潮��,對此各國政府也高度重視并不斷上升為國家戰(zhàn)略高度���。
數(shù)據(jù)信息在很多環(huán)節(jié)暴露出的大數(shù)據(jù)安全問題日益突出�����,成為了制約大數(shù)據(jù)應(yīng)用發(fā)展的瓶頸�。
今兒想聊聊云安全的云數(shù)據(jù)安全��,畢竟云計算技術(shù)的發(fā)展導(dǎo)致大數(shù)據(jù)在收集���、存儲����、共享��、使用等過程面臨的安全威脅愈演愈烈�,大數(shù)據(jù)泄露的企業(yè)個人隱私信息給用戶帶來了巨大的損失。
加密和密鑰管理
加密根本不是一項新技術(shù)���,但在過去����,加密的數(shù)據(jù)存儲在服務(wù)器上�,而服務(wù)器擺放在公司內(nèi)部,公司直接控制著它們��。
由于如今許多流行的業(yè)務(wù)應(yīng)用程序托管在云端�����,企業(yè)主管們要么需要依賴合同條文來保護資產(chǎn)��,選擇一家讓客戶可以先加密數(shù)據(jù)�����,然后發(fā)送到云端以便存儲或處理的云服務(wù)提供商�����,要么與軟件即服務(wù)(SaaS)提供商合作����,由對方管理其企業(yè)數(shù)據(jù)的加密和解密工作。
客戶端加密方式
其實在客戶端主要做的是數(shù)據(jù)的可見性�����,主要的安全問題還是放在服務(wù)端,畢竟所有的數(shù)據(jù)都是在服務(wù)端���,服務(wù)端收到數(shù)據(jù)還會進行校驗����,還要看是否是重放攻擊等;
而客戶端要做的無非防止反編譯和傳輸數(shù)據(jù)加密�。
一般的都會做傳輸數(shù)據(jù)加密,有的公司app不存在敏感信息�,就只用post get方式。
之前的加密是用的DES和RSA加密方式�����,先生成一個DESKey然后用RSA公鑰加密DESKey�����,然后用DESKey加密數(shù)據(jù)�,最后將加密后的數(shù)據(jù)和加密后的DESKey一同傳輸?shù)胶笈_;
后臺先用RSA私鑰解密DESKey,然后用解密后的DESKey解密數(shù)據(jù)��。
這是整個加解密過程�,但是因為后臺解密速度達不到要求(后臺解密壓力太大��,因為RSA解密太耗時���,客戶端可能沒什么感覺),所以進行了改進:
先和服務(wù)端交換DESKey(先將加密后的DESKey傳輸?shù)胶笈_)�����,返回交換成功后���,再將用DESKey加密的數(shù)據(jù)傳輸?shù)胶笈_。這樣做服務(wù)端可以用傳輸間隙進行解密�,適當(dāng)?shù)木徑夥?wù)端壓力。
云服務(wù)端加密方式
內(nèi)容感知加密和保格式加密是云計算的常用加密方法:
內(nèi)容感知加密:在數(shù)據(jù)防泄露中使用��,內(nèi)容感知軟件理解數(shù)據(jù)或格式�����,并基于策略設(shè)置加密��,如在使用email將一個信用卡卡號發(fā)送給執(zhí)法部門時會自動加密;
保格式加密:
加密一個消息后產(chǎn)生的結(jié)果仍像一個輸入的消息����,如一個16位信用卡卡號加密后仍是一個16位的數(shù)字��,一個電話號碼加密后仍像一個電話號碼�����,一個英文單詞加密后仍像一個英語單詞.
云服務(wù)端加密服務(wù)是云上的加密解決方案����。服務(wù)底層使用經(jīng)國家密碼管理局檢測認證的硬件密碼機�����,通過虛擬化技術(shù)�,幫助用戶滿足數(shù)據(jù)安全方面的監(jiān)管合規(guī)要求,保護云上業(yè)務(wù)數(shù)據(jù)的隱私性要求�����。借助加密服務(wù)�����,用戶能夠?qū)γ荑€進行安全可靠的管理���,也能使用多種加密算法來對數(shù)據(jù)進行可靠的加解密運算�。
云密碼機服務(wù)
云服務(wù)器密碼機是硬件密碼機,采用虛擬化技術(shù)���,在一臺密碼機中按需生成多臺虛擬密碼機(以下簡稱VSM)�����,每臺VSM對外提供與普通服務(wù)器密碼機一致的密鑰管理和密碼運算服務(wù)(支持SM1/SM2/SM3/SM4算法)�����。同時,云服務(wù)器密碼機采用安全隔離技術(shù)��,保障各VSM之間密鑰的安全隔離�。
密鑰管理服務(wù)
現(xiàn)有的云服務(wù)提供商可以提供基礎(chǔ)加密密鑰方案來保護基于云的應(yīng)用開發(fā)和服務(wù),或者他們將這些保護措施都交由他們的用戶決定��。當(dāng)云服務(wù)提供商向支持健壯密鑰管理的方案發(fā)展時��,需要做更多工作來克服采用的障礙�����。
數(shù)據(jù)加密(存儲&傳輸)
加密技術(shù)就是用來保護數(shù)據(jù)在存儲和傳輸(鏈路加密技術(shù))過程中的安全性�����,對做存儲的技術(shù)人員來說,平常遇到的加密方案和技術(shù)主要是存儲后端支持加密����,如加密盤或存儲加密。
但加密技術(shù)從數(shù)據(jù)加密位置一般分為應(yīng)用層加密(如備份軟件��,數(shù)據(jù)庫)��,網(wǎng)關(guān)層加密(如加密服務(wù)器�,加密交換機等),存儲系統(tǒng)加密和加密硬盤技術(shù)���。
兼容性最好的當(dāng)屬應(yīng)用層加密技術(shù)(很多辦公軟件都是這種加密實現(xiàn)方式)����,因為這種加密方案在存儲�����、網(wǎng)絡(luò)層是無感知的����。
個人認為應(yīng)用層加密技術(shù)意義和實用價值更大些���,可以保證數(shù)據(jù)端到端的安全性,而不是只在存儲側(cè)或磁盤上數(shù)據(jù)是安全加密的�。
