云數(shù)據(jù)安全風(fēng)險檢測研究

（公安部第三研究所華南技術(shù)研究中心 上海 200031）

隨著我國的計算機網(wǎng)絡(luò)與互聯(lián)網(wǎng)技術(shù)的飛速發(fā)展，云平臺等新型的服務(wù)模式與計算機技術(shù)應(yīng)運而生。而云平臺產(chǎn)生的云數(shù)據(jù)是信息領(lǐng)域的一項重大的技術(shù)革命，隨著信息技術(shù)的發(fā)展向規(guī)?；?、集約化、專業(yè)化的特點發(fā)展，從而存在處置風(fēng)險成本較低、存儲容量大、計算能力強、便于管理和優(yōu)化等優(yōu)點，因而受到各云平臺用戶的熱衷，同時也得到了社會各界的重視。但是，隨著云平臺的不斷普及與應(yīng)用、以及云平臺用戶不斷增加，云數(shù)據(jù)面臨的安全威脅不斷增加，云數(shù)據(jù)安全風(fēng)險漏洞也隨之暴露。一旦云數(shù)據(jù)的安全風(fēng)險未能得到有效的控制，勢必影響云數(shù)據(jù)的交互和應(yīng)用，從而導(dǎo)致云平臺用戶遭受到巨大的經(jīng)濟損失，甚至對我國的國家安全造成一定的影響。

1 云數(shù)據(jù)的安全現(xiàn)狀分析

隨著云計算服務(wù)模式的誕生，社會用戶開始將自己的數(shù)據(jù)存儲在云端的服務(wù)器，從而產(chǎn)生眾多復(fù)雜的云數(shù)據(jù)。目前市面上云平臺結(jié)構(gòu)復(fù)雜，云平臺用戶種類多樣，網(wǎng)絡(luò)程序交互開放，數(shù)據(jù)的流向難以摸索，云數(shù)據(jù)的全生命周期涉及多個平臺設(shè)備以及人員，云數(shù)據(jù)的安全防護貫穿了云數(shù)據(jù)的全生命周期。在數(shù)據(jù)管理責(zé)任、數(shù)據(jù)存儲方式以及數(shù)據(jù)的維護等方面，云平臺的數(shù)據(jù)安全與傳統(tǒng)數(shù)據(jù)中心的數(shù)據(jù)安全有重大的區(qū)別，云數(shù)據(jù)安全難以采用傳統(tǒng)的安全檢測和防護措施。對客戶而言，客戶通過依賴云計算對數(shù)據(jù)的處理從而實現(xiàn)了對自有數(shù)據(jù)的控制權(quán)，云數(shù)據(jù)相當(dāng)于一種盒子數(shù)據(jù)，數(shù)據(jù)的存儲位置是透明不可見，客戶難以開展對自家數(shù)據(jù)的安全風(fēng)險檢測和防護工作。綜上來看，云數(shù)據(jù)的安全風(fēng)險涉及面廣，關(guān)系復(fù)雜，需要進行深入分析探討。

2 云數(shù)據(jù)的安全風(fēng)險分析

2.1 數(shù)據(jù)采集風(fēng)險

云平臺在進行數(shù)據(jù)采集時，需要告知被采集人數(shù)據(jù)采集范圍、數(shù)量和頻度，在征得被收集人的同意后方可進行，而且對采集后的數(shù)據(jù)進行分級分類，明確數(shù)據(jù)的密級和共享原則。但是往往部分云平臺為了工作方便，直接無視客戶的意愿強行采集數(shù)據(jù)，并且對用戶部分重要信息與其他普通數(shù)據(jù)進行共同存放，如個人敏感數(shù)據(jù)。如果云平臺在數(shù)據(jù)采集過程中沒有做好相關(guān)的告知工作和數(shù)據(jù)分級分類，容易導(dǎo)致數(shù)據(jù)被濫用等風(fēng)險，數(shù)據(jù)一旦被不法分子利用，甚至出現(xiàn)電信詐騙等危害社會安全的事件。

2.2 數(shù)據(jù)傳輸風(fēng)險

在數(shù)據(jù)的云計算過程中，用戶們的數(shù)據(jù)都是通過網(wǎng)絡(luò)來進行傳輸?shù)?。?shù)據(jù)通過網(wǎng)絡(luò)傳輸將會經(jīng)過多種多樣的電子設(shè)備、通訊設(shè)備以及相關(guān)的基礎(chǔ)設(shè)施。如果數(shù)據(jù)在傳輸?shù)倪^程中遭到外界干擾或者是被黑客采用中間人攻擊等攻擊行為時，那么就會出現(xiàn)數(shù)據(jù)的可用性、完整性和保密性遭到破壞的情況，進而產(chǎn)生數(shù)據(jù)泄露、數(shù)據(jù)網(wǎng)絡(luò)不可達(dá)、數(shù)據(jù)篡改等安全事件，直接影響到用戶的數(shù)據(jù)安全。

2.3 數(shù)據(jù)的存儲風(fēng)險

云計算中通過將資源進行儲存，實現(xiàn)了資源的共享。在資源的儲存過程中也存在以下幾個風(fēng)險：其一，由于云平臺儲存的設(shè)備存在老化的情況，不排除因磁盤機械損壞而導(dǎo)致客戶的數(shù)據(jù)丟失；其二，在部分云平臺上進行數(shù)據(jù)加密之后，數(shù)據(jù)管理系統(tǒng)難以實現(xiàn)基本的數(shù)據(jù)運算檢索操作。因此部分用戶為了使用方便未對數(shù)據(jù)進行加密存儲，那么這容易導(dǎo)致黑客入侵對數(shù)據(jù)進行竊取，從而帶來資源泄露的情況；其三，部分云數(shù)據(jù)的管理商為降低工作成本，將不同的用戶共有數(shù)據(jù)進行集合處理，卻未對其重新進行數(shù)據(jù)標(biāo)記，這容易出現(xiàn)數(shù)據(jù)的原有標(biāo)簽沖突或破壞的情況以及出現(xiàn)數(shù)據(jù)混雜的情況：其四，云數(shù)據(jù)管理商在進行數(shù)據(jù)儲存的過程中，為了有效節(jié)省儲存的空間，未對數(shù)據(jù)進行必要的容錯或者異地備份，如果云平臺發(fā)生意外情況，可能導(dǎo)致數(shù)據(jù)無法恢復(fù)，從而影響到數(shù)據(jù)的存儲安全。

2.4 數(shù)據(jù)在使用過程中的風(fēng)險

在云數(shù)據(jù)使用數(shù)據(jù)的過程中，由于云供應(yīng)商或云平臺用戶有意或者無意對數(shù)據(jù)進行了一系列不正確的操作，如越權(quán)共享數(shù)據(jù)、未對既定的發(fā)布對象進行數(shù)據(jù)發(fā)布等，容易出現(xiàn)數(shù)據(jù)泄露等風(fēng)險。而發(fā)生數(shù)據(jù)使用的安全風(fēng)險主要有以下方面的原因：其一，云平臺供應(yīng)商的管理員在內(nèi)部安全培訓(xùn)中缺乏數(shù)據(jù)安全的相關(guān)培訓(xùn)，在設(shè)置云數(shù)據(jù)的管理權(quán)限時，未能按照安全要求識別不能共享的機密數(shù)據(jù)，亦未能精準(zhǔn)識別有關(guān)人員的職責(zé)，從而導(dǎo)致云平臺供應(yīng)商管理員直接泄露用戶重要信息；其二，由于云平臺用戶使用數(shù)據(jù)途徑簡單，只需要通過互聯(lián)網(wǎng)終端設(shè)備即可訪問云端服務(wù)器，且云平臺用戶的安全意識較為薄弱，未接受過專業(yè)化的數(shù)據(jù)使用安全知識，因此，容易出現(xiàn)因自身操作不當(dāng)而導(dǎo)致的數(shù)據(jù)信息外泄的情況。其三，平臺系統(tǒng)在使用數(shù)據(jù)交換時，往往采用數(shù)據(jù)接口等技術(shù)工具。如果這些數(shù)據(jù)接口未做好安全防護措施，缺少身份鑒別、訪問控制、授權(quán)策略、簽名、時間戳等安全手段，可能會被黑客利用直接導(dǎo)出數(shù)據(jù)，從而導(dǎo)致數(shù)據(jù)泄露問題。

2.5 數(shù)據(jù)的銷毀風(fēng)險

用戶在對數(shù)據(jù)完成了儲存或者使用之后，需要將原始的數(shù)據(jù)從云端服務(wù)器進行銷毀，如果云數(shù)據(jù)的管理操作人員采用的是邏輯刪除的方式，則容易出現(xiàn)客戶的數(shù)據(jù)殘留等未徹底銷毀數(shù)據(jù)的情況，一旦被黑客利用一系列的操作進行數(shù)據(jù)恢復(fù)，則造成了客戶隱私數(shù)據(jù)被泄露的情況。

2.6 數(shù)據(jù)的合規(guī)風(fēng)險

在對云數(shù)據(jù)開展數(shù)據(jù)全生命周期的維護時，由于云平臺供應(yīng)商相關(guān)法律意識較為薄弱，未能及時識別與數(shù)據(jù)有關(guān)的安全法律法規(guī)，如《中華人民共和國網(wǎng)絡(luò)安全法》，容易出現(xiàn)數(shù)據(jù)跨境、數(shù)據(jù)落地不合規(guī)等違法違規(guī)的情況。

2.7 數(shù)據(jù)的審計風(fēng)險。

在對云數(shù)據(jù)進行治理過程中，云平臺供應(yīng)商往往缺少國內(nèi)第三方有關(guān)部門機關(guān)對存在的風(fēng)險進行審計。由于云平臺缺少內(nèi)審內(nèi)控的管理制度，亦缺乏內(nèi)部的有效監(jiān)管，導(dǎo)致云數(shù)據(jù)治理過程中潛在的安全風(fēng)險未能及時識別，一旦相關(guān)風(fēng)險被黑客利用，容易產(chǎn)生一系列的數(shù)據(jù)安全問題。

3 云數(shù)據(jù)安全風(fēng)險檢測的方法

3.1 等級保護

云平臺供應(yīng)商依照《中華人民共和國網(wǎng)絡(luò)安全法》的要求落實好云平臺的等級保護測評工作，及時發(fā)現(xiàn)云平臺風(fēng)險。

3.2 定期巡檢

云平臺供應(yīng)商內(nèi)部對數(shù)據(jù)管理系統(tǒng)進行定期巡檢，檢測數(shù)據(jù)管理系統(tǒng)的漏洞。

3.3 安全考核

云平臺供應(yīng)商和云平臺用戶定期對涉及數(shù)據(jù)的相關(guān)人員進行安全考核，發(fā)現(xiàn)安全意識不足的人員。

3.4 安全審計

協(xié)助上級部門以及國家機關(guān)定期對云平臺數(shù)據(jù)依照國家法律法規(guī)以及國家對數(shù)據(jù)分級分類要求進行數(shù)據(jù)安全審計，以發(fā)現(xiàn)數(shù)據(jù)違規(guī)問題。

4 云數(shù)據(jù)安全風(fēng)險的建議

4.1 云平臺供應(yīng)商要加強云數(shù)據(jù)的技術(shù)研究

如果云平臺供應(yīng)商對云數(shù)據(jù)風(fēng)險檢測技術(shù)落后，容易導(dǎo)致數(shù)據(jù)的安全風(fēng)險隱患難以被發(fā)現(xiàn)。建議云平臺供應(yīng)商要不斷加強對云數(shù)據(jù)技術(shù)的研發(fā)與應(yīng)用，特別是云數(shù)據(jù)的權(quán)限控制、隱私保護、海量數(shù)據(jù)分布等方面，加強相關(guān)數(shù)據(jù)的隔離、銷毀與追回的技術(shù)研究，學(xué)習(xí)國內(nèi)外先進的研發(fā)技術(shù)，盡可能地改變我國目前云數(shù)據(jù)核心技術(shù)對國外技術(shù)過于依賴的情況，確保云計算數(shù)據(jù)可以得到安全可靠的落實與保障。

4.2 加強云平臺的數(shù)據(jù)維護人員的安全防范意識

為了更好促進云數(shù)據(jù)安全風(fēng)險的防范工作，相關(guān)的數(shù)據(jù)維護人員必須要全面增強自身的網(wǎng)絡(luò)安全防范意識，加強自身的學(xué)習(xí)，通過網(wǎng)課、線下培訓(xùn)、沙龍等方式來了解云數(shù)據(jù)的最新技術(shù)，實時關(guān)注信息的安全動態(tài)問題。例如云數(shù)據(jù)信息儲存的過程中，要部署數(shù)據(jù)的加密防護、入侵檢測等措施，對客戶的重要信息要進行雙重認(rèn)證、數(shù)字簽名、對重要數(shù)據(jù)進行安全備份等措施。

4.3 云平臺數(shù)據(jù)管理員在工作的過程中堅持自己的職業(yè)道德規(guī)范

日常工作時，要接收安全培訓(xùn)，堅持自己的職業(yè)道德，拒絕誘惑，遵守法律法規(guī)要求，杜絕出現(xiàn)泄露內(nèi)部機密和用戶敏感信息的情況。

4.4 云平臺用戶要養(yǎng)成良好的上網(wǎng)習(xí)慣

云平臺用戶在接觸數(shù)據(jù)的過程中，要養(yǎng)成良好的上網(wǎng)習(xí)慣，即在上網(wǎng)時，相關(guān)的終端設(shè)備要配備殺毒的軟件，定期對殺毒軟件進行檢查、更換、升級，防止出現(xiàn)惡意用戶非法訪問的情況。同時對于一些來歷不明的郵件、網(wǎng)站以及鏈接，不要隨便點開或者訪問。在選用工作設(shè)備的過程中，要響應(yīng)國家號召，積極購買國產(chǎn)設(shè)備，拒絕使用具有后門的國外產(chǎn)品，有效維護我國的云數(shù)據(jù)的安全問題。

4.5 云平臺用戶要合理地選擇供應(yīng)商

市場上云平臺供應(yīng)商的服務(wù)質(zhì)量參差不齊，云平臺用戶要合理地選擇供應(yīng)商，最大程度確保云數(shù)據(jù)服務(wù)的質(zhì)量與安全，為數(shù)據(jù)的安全防護提供相關(guān)的措施。

5 結(jié)束語

綜上所述，隨著我國經(jīng)濟社會的不斷發(fā)展，云數(shù)據(jù)是我國目前信息技術(shù)的核心，對人們的生產(chǎn)生活產(chǎn)生了越來越大的影響，人們必須要正確認(rèn)識到云數(shù)據(jù)目前存在的一系列缺點和不足，采取有效的措施，全面提高云數(shù)據(jù)的安全防護能力，提高人員的安全意識與職業(yè)道德修養(yǎng)，推動云數(shù)據(jù)專業(yè)技術(shù)研究，使我國的云數(shù)據(jù)風(fēng)險問題得到更好的解決，有效推動我國云數(shù)據(jù)技術(shù)向著更好更穩(wěn)定的方向發(fā)展。