雲計算、大數據等信息技術正在深刻改變着人們的思維、生產、生活和學習方式,並延深進入人們的日常生活。伴隨着社交媒體、電商、健康醫療、智能交通、電信運營、金融和智慧城市等各行業各領域的大數據的產生,大數據分析技術和應用研究使大數據呈現出不可限量的經濟社會價值和科學研究意義,引起了國內外學術界和產業界的研究熱潮,對此各國政府也高度重視並不斷上升爲國家戰略高度。數據信息在很多環節暴露出的大數據安全問題日益突出,成爲了制約大數據應用發展的瓶頸。
今兒想聊聊雲安全的雲數據安全,畢竟雲計算技術的發展導致大數據在收集、存儲、共享、使用等過程面臨的安全威脅愈演愈烈,大數據泄露的企業個人隱私信息給用戶帶來了巨大的損失。
一、加密和密鑰管理
加密根本不是一項新技術,但在過去,加密的數據存儲在服務器上,而服務器擺放在公司內部,公司直接控制着它們。由於如今許多流行的業務應用程序託管在雲端,企業主管們要麼需要依賴合同條文來保護資產,選擇一家讓客戶可以先加密數據,然後發送到雲端以便存儲或處理的雲服務提供商,要麼與軟件即服務(SaaS)提供商合作,由對方管理其企業數據的加密和解密工作。
1. 客戶端加密方式
其實在客戶端主要做的是數據的可見性,主要的安全問題還是放在服務端,畢竟所有的數據都是在服務端,服務端收到數據還會進行校驗,還要看是否是重放***等;而客戶端要做的無非防止反編譯和傳輸數據加密。
一般的都會做傳輸數據加密,有的公司app不存在敏感信息,就只用post get方式。之前的加密是用的DES和RSA加密方式,先生成一個DESKey然後用RSA公鑰加密DESKey,然後用DESKey加密數據,最後將加密後的數據和加密後的DESKey一同傳輸到後臺;後臺先用RSA私鑰解密DESKey,然後用解密後的DESKey解密數據。
這是整個加解密過程,但是因爲後臺解密速度達不到要求(後臺解密壓力太大,因爲RSA解密太耗時,客戶端可能沒什麼感覺),所以進行了改進:先和服務端交換DESKey(先將加密後的DESKey傳輸到後臺),返回交換成功後,再將用DESKey加密的數據傳輸到後臺。這樣做服務端可以用傳輸間隙進行解密,適當的緩解服務端壓力。
PS:AES和DES加密都是對稱加密,RSA是非對稱加密,區別和使用可以查查相關資料~
2. 雲服務端加密方式
內容感知加密和保格式加密是雲計算的常用加密方法:
內容感知加密:在數據防泄露中使用,內容感知軟件理解數據或格式,並基於策略設置加密,如在使用email將一個信用卡卡號發送給執法部門時會自動加密;
保格式加密:加密一個消息後產生的結果仍像一個輸入的消息,如一個16位信用卡卡號加密後仍是一個16位的數字,一個電話號碼加密後仍像一個電話號碼,一個英文單詞加密後仍像一個英語單詞;
雲服務端加密服務是雲上的加密解決方案。服務底層使用經×××檢測認證的硬件密碼機,通過虛擬化技術,幫助用戶滿足數據安全方面的監管合規要求,保護雲上業務數據的隱私性要求。藉助加密服務,用戶能夠對密鑰進行安全可靠的管理,也能使用多種加密算法來對數據進行可靠的加解密運算。
3. 雲密碼機服務
雲服務器密碼機是硬件密碼機,採用虛擬化技術,在一臺密碼機中按需生成多臺虛擬密碼機(以下簡稱VSM),每臺VSM對外提供與普通服務器密碼機一致的密鑰管理和密碼運算服務(支持SM1/SM2/SM3/SM4算法)。同時,雲服務器密碼機採用安全隔離技術,保障各VSM之間密鑰的安全隔離。
4. 密鑰管理服務
現有的雲服務提供商可以提供基礎加密密鑰方案來保護基於雲的應用開發和服務,或者他們將這些保護措施都交由他們的用戶決定。當雲服務提供商向支持健壯密鑰管理的方案發展時,需要做更多工作來克服採用的障礙。
5. 數據加密(存儲&傳輸)
加密技術就是用來保護數據在存儲和傳輸(鏈路加密技術)過程中的安全性,對做存儲的技術人員來說,平常遇到的加密方案和技術主要是存儲後端支持加密,如加密盤或存儲加密。但加密技術從數據加密位置一般分爲應用層加密(如備份軟件,數據庫),網關層加密(如加密服務器,加密交換機等),存儲系統加密和加密硬盤技術。
兼容性最好的當屬應用層加密技術(很多辦公軟件都是這種加密實現方式),因爲這種加密方案在存儲、網絡層是無感知的。個人認爲應用層加密技術意義和實用價值更大些,可以保證數據端到端的安全性,而不是隻在存儲側或磁盤上數據是安全加密的。
二、數據備份和恢復
1. 數據備份
百度上說:數據備份是容災的基礎,是指爲防止系統出現操作失誤或系統故障導致數據丟失,而將全部或部分數據集合從應用主機的硬盤或陣列複製到其它的存儲介質的過程。
隨着技術的不斷髮展,數據的海量增加,不少的企業開始採用網絡備份。網絡備份一般通過專業的數據存儲管理軟件結合相應的硬件和存儲設備來實現。企業還可以通過高速光纖通道線路和磁盤控制技術將鏡像磁盤延伸到遠離生產機的地方,鏡像磁盤數據與主磁盤數據完全一致,更新方式爲同步或異步。
2. 數據恢復演練鄭州人流醫院
當存儲介質出現損傷或由於人員誤操作、操作系統本身故障所造成的數據看不見、無法讀取、丟失。工程師通過特殊的手段讀取卻在正常狀態下不可見、不可讀、無法讀的數據。
硬件故障佔所有數據意外故障一半以上,常有雷擊、高壓、高溫等造成的電路故障,高溫、振動碰撞等造成的機械故障,高溫、振動碰撞、存儲介質老化造成的物理壞磁道扇區故障,當然還有意外丟失損壞的固件BIOS信息等。硬件故障的數據恢復當然是先診斷,對症下藥,先修復相應的硬件故障,然後根據修復其他軟故障,最終將數據成功恢復。
亂入一下,其實數據恢復是一個技術含量比較高的行業,數據恢復技術人員需要具備彙編語言和軟件應用的技能,還需要電子維修和機械維修以及硬盤技術
3. 備份加密
(1) 數據容災
數據容災是指建立一個異地的數據系統,爲了保護數據安全和提高數據的持續可用性,企業要從RAID保護、冗餘結構、數據備份、故障預警等多方面考慮,將數據庫的必要文件複製到存儲設備的過程,備份是系統中需要考慮的最重要的事項,雖然他們在系統的整個規劃。
(2) 數據脫敏
數據脫敏是指對某些敏感信息通過脫敏規則進行數據的變形,實現敏感隱私數據的可靠保護。在涉及客戶安全數據或者一些商業性敏感數據的情況下,在不違反系統規則條件下,對真實數據進行改造並提供測試使用,如×××號、手機號、卡號、客戶號等個人信息都需要進行數據脫敏。
(3) 數據刪除
百度說,如果表格中存在錯誤或重複的數據,比較簡單、快捷的方法就是選定該數據,然後將其刪除。進行數據刪除時分爲兩種:常用數據刪除的方法和僞列數據刪除的方法。
敏感數據處理:
加密以確保數據隱私,使用認可的算法和較長的隨機密鑰;
先進行加密,然後從企業傳輸到雲提供商;
無論在傳輸中、靜態還是使用中,都應該保持加密;
雲提供商及其工作人員根本無法獲得解密密鑰;
雖然加密是隱私專家們一致認爲是安全基石的基本技術,但云端加密困難重重。如何構建圍繞雲端大數據全生命週期的可管、可控、可信的數據安全體系,將大數據安全和雲數據應用深度融合,制定頂層規劃,保障雲安全產業健康發展,成爲了大數據應用和安全研究領域中的主要科學問題。