等保2.0下的云計(jì)算數(shù)據(jù)安全建設(shè)

王永紅

（安徽省電子產(chǎn)品監(jiān)督檢驗(yàn)所［安徽省信息安全評(píng)測(cè)中心］，安徽 合肥 230061）

0 引言

近年來(lái)，隨著信息革命的不斷發(fā)展，傳統(tǒng)方式的應(yīng)用越趨于復(fù)雜，需要更多的用戶訪問(wèn)，計(jì)算能力要求更強(qiáng)，對(duì)完全可靠性要求更高。越來(lái)越多的用戶將數(shù)據(jù)上傳到云服務(wù)器中，數(shù)據(jù)安全也越來(lái)越受到人們的重視。已有的《信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)基本要求》已經(jīng)不能滿足等級(jí)保護(hù)工作的需要，因此2019年5月3日，國(guó)家市場(chǎng)監(jiān)督管理總局正式發(fā)布《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》2.0版本，針對(duì)云計(jì)算、大數(shù)據(jù)、移動(dòng)互聯(lián)、物聯(lián)網(wǎng)、工業(yè)控制等技術(shù)提出了安全擴(kuò)展要求。本文基于云計(jì)算的安全擴(kuò)展要求，從數(shù)據(jù)安全角度出發(fā)，詳細(xì)闡述了相關(guān)的數(shù)據(jù)風(fēng)險(xiǎn)，并結(jié)合健康醫(yī)療數(shù)據(jù)案例給出了相對(duì)應(yīng)的措施。提高了云計(jì)算平臺(tái)和用戶抵御信息安全風(fēng)險(xiǎn)的能力。

1 云計(jì)算環(huán)境下數(shù)據(jù)存在的安全問(wèn)題

任何一個(gè)事物都是有生命周期的，數(shù)據(jù)也不例外。作為計(jì)算機(jī)網(wǎng)絡(luò)中最有價(jià)值的信息實(shí)體，其生命周期分為數(shù)據(jù)的采集、傳輸、存儲(chǔ)、使用、共享、銷毀環(huán)節(jié)。在云計(jì)算環(huán)境下，云服務(wù)商、不法攻擊者和數(shù)據(jù)廠商等都可能成為數(shù)據(jù)安全威脅的因素。數(shù)據(jù)泄露在定程度上肯定會(huì)給用戶造成經(jīng)濟(jì)損失，涉及個(gè)人信息的泄露可能會(huì)給用戶帶來(lái)人身攻擊和精神傷害。諸多問(wèn)題的存在，一定程度上阻礙了云計(jì)算技術(shù)的發(fā)展。

1.1 數(shù)據(jù)完整性問(wèn)題

數(shù)據(jù)完整性[1]是指在云服務(wù)器上存儲(chǔ)的數(shù)據(jù)未經(jīng)授權(quán)不能修改的特點(diǎn)，從而確保數(shù)據(jù)的可靠性和一致性，即數(shù)據(jù)通過(guò)云計(jì)算環(huán)境產(chǎn)生、傳輸、處理和使用過(guò)程中不會(huì)遭到非授權(quán)對(duì)數(shù)據(jù)破壞或篡改，在云計(jì)算的環(huán)境下，使用者傳送數(shù)據(jù)后，基本很難去校驗(yàn)數(shù)據(jù)完整性，且無(wú)法對(duì)自身數(shù)據(jù)進(jìn)行控制，僅依靠云計(jì)算平臺(tái)的安全性。常用的數(shù)據(jù)完整性驗(yàn)證方法有常用的數(shù)字簽名技術(shù)、哈希算法以及目前動(dòng)態(tài)簽名完整性驗(yàn)證、基于第三方機(jī)構(gòu)的完整性校驗(yàn)和基于雙線性對(duì)等公開(kāi)校驗(yàn)方法等。

1.2 數(shù)據(jù)泄露

在云計(jì)算環(huán)境下，數(shù)據(jù)的保密性可分為數(shù)據(jù)的機(jī)密性以及隱私性。其中數(shù)據(jù)的機(jī)密性指的是信息不能被非授權(quán)者、實(shí)體或進(jìn)程利用或泄露的特性。而數(shù)據(jù)的隱私性指的是在數(shù)據(jù)收集、數(shù)據(jù)發(fā)布、數(shù)據(jù)挖掘等過(guò)程中不被惡意攻擊者利用已有背景知識(shí)還原出原始數(shù)據(jù)信息或分析得到單個(gè)用戶的敏感信息的特性。無(wú)論是機(jī)密性還是隱私性遭到破壞，都會(huì)造成數(shù)據(jù)的泄露。數(shù)據(jù)泄露是傳統(tǒng)網(wǎng)絡(luò)和云環(huán)境下的重要威脅。數(shù)據(jù)泄露后，給用戶帶來(lái)的不僅僅是經(jīng)濟(jì)方面的損失，負(fù)面影響是可想而知的。

1.3 數(shù)據(jù)的備份與恢復(fù)

因?yàn)樵谠朴?jì)算的環(huán)境下，應(yīng)用數(shù)據(jù)均存儲(chǔ)在云服務(wù)器中，如果發(fā)生突發(fā)事件，導(dǎo)致數(shù)據(jù)丟失或損壞，對(duì)用戶來(lái)說(shuō)損失是難以估量的。所以如何確保云計(jì)算平臺(tái)數(shù)據(jù)高效被反的同事，一旦發(fā)生災(zāi)難能夠及時(shí)恢復(fù)數(shù)據(jù)是個(gè)很重要的問(wèn)題。

2 數(shù)據(jù)保護(hù)方案

2.1 數(shù)據(jù)的完整性

針對(duì)云存儲(chǔ)數(shù)據(jù)的完整性存在的問(wèn)題，研究方面的成果不斷涌現(xiàn)，以密碼學(xué)為基礎(chǔ)，提出了不同的解決方案。本文通過(guò)介紹一種PDP安全模型[2]，2007年Ateniese等人提出了此模型，它屬于概率性驗(yàn)證的模型，通過(guò)驗(yàn)證數(shù)據(jù)文件的一個(gè)數(shù)據(jù)塊從而判斷整個(gè)數(shù)據(jù)文件的完整性，無(wú)需遍歷訪問(wèn)整個(gè)數(shù)據(jù)文件。

其中主要有4個(gè)算法：

該模型主要分為兩個(gè)過(guò)程，一是Setup初始化階段，客戶端運(yùn)用密鑰生成算法生成一對(duì)可匹配的公鑰和密鑰，再將原始文件F分為n 塊，每個(gè)數(shù)據(jù)塊，算法，產(chǎn)生其標(biāo)簽。最后客戶端儲(chǔ)存公私鑰對(duì)，然后把原始文件數(shù)據(jù)F以及標(biāo)簽集合一同發(fā)送給服務(wù)器存儲(chǔ)并將本地的原始數(shù)據(jù)和標(biāo)簽集合進(jìn)行刪除。二是Challenge-Verify：客戶端進(jìn)行周期性的隨機(jī)選擇文件數(shù)據(jù)塊發(fā)起請(qǐng)求chal并發(fā)送給服務(wù)器，服務(wù)器收到挑戰(zhàn)請(qǐng)求后，運(yùn)行生成數(shù)據(jù)擁有證明的算法生成的證據(jù)V，從而返回到客戶端?？蛻舳耸盏阶C據(jù)V后，作為驗(yàn)證者，運(yùn)行驗(yàn)證數(shù)據(jù)擁有證明的算法來(lái)驗(yàn)證V的正確性，從而檢驗(yàn)原始文件F還是否完整。

2.2 數(shù)據(jù)的保密性

對(duì)于數(shù)據(jù)的機(jī)密性，目前能夠使用的加密方法有對(duì)稱加密與非對(duì)稱加密方法，具體有流密碼、分組密碼和RSA密碼等，對(duì)數(shù)據(jù)進(jìn)行加密然后上傳至服務(wù)器，這些方法可有效的處理數(shù)據(jù)機(jī)密性的問(wèn)題。對(duì)于數(shù)據(jù)的隱私保護(hù)，本文結(jié)合健康醫(yī)療數(shù)據(jù)的案例提出將差分隱私、同態(tài)加密以及安全索引密文檢索方法應(yīng)用到其中，保護(hù)數(shù)據(jù)的隱私不被泄露，即使攻擊者擁有最大的背景知識(shí)。

（1）差分隱私技術(shù)。針對(duì)數(shù)據(jù)的隱私性問(wèn)題，研究者不斷提出多種隱私保護(hù)技術(shù)，諸如k-anonymity、l-Diversity、t-Closeness等方法，但這些方法的缺陷是都需要特殊攻擊假設(shè)和背景知識(shí)，2006年Dwork提出差分隱私模型[3]，該模型針對(duì)任意背景知識(shí)攻擊給出了嚴(yán)格的隱私性的量化評(píng)估方法。差分隱私嚴(yán)格的數(shù)學(xué)定義如下：

中心化差分隱私[3]和本地化差分隱私[4]屬于差分隱私主要兩大類，中心化差分隱私認(rèn)為服務(wù)器可信，本地化差分隱私則認(rèn)為服務(wù)器不可信。

差分隱私不關(guān)注惡意攻擊者是否擁有多少文化背景，即對(duì)于數(shù)據(jù)集中任意一條記錄的添加或刪除，都不影響算法的最終結(jié)果。在健康醫(yī)療數(shù)據(jù)中，當(dāng)醫(yī)院發(fā)布HIV病人的統(tǒng)計(jì)結(jié)果時(shí)，統(tǒng)計(jì)結(jié)果是100個(gè)人中有十個(gè)人感染HIV，假如攻擊者知道99個(gè)人的患病信息，那么他把知道的99個(gè)人信息與醫(yī)院發(fā)布的信息進(jìn)行對(duì)比就可以知道第100個(gè)人進(jìn)行對(duì)比，此時(shí)我們可以用差分隱私技術(shù)對(duì)發(fā)布結(jié)果進(jìn)行加噪，不泄露第一百個(gè)人是否患HIV。

（2）同態(tài)加密與安全索引。同態(tài)加密屬是將在傳輸過(guò)程中的數(shù)據(jù)進(jìn)行加密，不需要密鑰來(lái)解密就能對(duì)加密數(shù)據(jù)進(jìn)行相關(guān)處理，且不會(huì)泄露任何原始內(nèi)容，是一種對(duì)加密數(shù)據(jù)進(jìn)行處理的功能。同時(shí)，持有密鑰的用戶在解密后就可以得到最終處理結(jié)果。本文介紹Paillier加密方案[5]，針對(duì)于統(tǒng)計(jì)數(shù)據(jù)，該算法噪聲小，具體步驟如下：

選取兩個(gè)大素?cái)?shù)p和q，計(jì)算，隨機(jī)選取參數(shù)g，，設(shè)函數(shù)，且g、n滿足。

在2004年斯坦福大學(xué)的Eu-Jin Joh等人在提出了一種安全索引密文檢索方法[6]，因?yàn)椴捎脝蜨ash函數(shù)，所以它具有很高的安全性。該方法的基本原理是：在上傳數(shù)據(jù)文件之前，為每個(gè)文件構(gòu)造安全索引，該索引使用布隆過(guò)濾器進(jìn)行加密。當(dāng)進(jìn)行檢索時(shí)，首先生成關(guān)鍵詞陷門，然后進(jìn)行布隆檢測(cè)就可以通過(guò)文件所對(duì)應(yīng)的安全索引來(lái)確定關(guān)鍵詞是否存在于這個(gè)文件中。其過(guò)程實(shí)現(xiàn)如下：

在健康醫(yī)療數(shù)據(jù)中，當(dāng)我們需要統(tǒng)計(jì)HIV患者的男女比例，我們可以將艾滋疾，病人的性別作為關(guān)鍵詞，用安全索引密文檢索方法獲得統(tǒng)計(jì)結(jié)果，得到HIV患者的男女比例；當(dāng)我們需要統(tǒng)計(jì)懷孕婦女的平均年齡時(shí)，我們可以使用同態(tài)加密技術(shù)對(duì)密文進(jìn)行計(jì)算，在本地進(jìn)行解密密文得到懷孕婦女的平均年齡。在服務(wù)器不可信的情況下，使用這兩種加密方法我們可以做到數(shù)據(jù)的隱私不被泄露。

2.3 數(shù)據(jù)的備份與恢復(fù)

（1）數(shù)據(jù)備份技術(shù)。當(dāng)系統(tǒng)出現(xiàn)災(zāi)難或者故障以后，能夠通過(guò)備份的數(shù)據(jù)文件將數(shù)據(jù)盡可能的恢復(fù)到原來(lái)的系統(tǒng)上，這稱為數(shù)據(jù)的備份與恢復(fù)。

數(shù)據(jù)備份系統(tǒng)又稱為容災(zāi)系統(tǒng)[7]，通過(guò)各種常用的備份機(jī)制將數(shù)據(jù)最大化的還原到原來(lái)的系統(tǒng)上，數(shù)據(jù)備份系統(tǒng)的核心是備份成功的數(shù)據(jù)，數(shù)據(jù)備份的常用三種機(jī)制包括LAN備份，LAN Free備份和Server Free備份。其中 LAN 為局域網(wǎng)，其適用范圍最廣，而后兩種備份主要適用于專用于SAN（Storage Area Network，區(qū)域存儲(chǔ)網(wǎng)絡(luò)）數(shù)據(jù)存儲(chǔ)。

（2）數(shù)據(jù)恢復(fù)技術(shù)。數(shù)據(jù)恢復(fù)技術(shù)主要有兩種類型[7]，一種是容災(zāi)恢復(fù)技術(shù)，即數(shù)據(jù)丟失或破壞后，使用之前的備份數(shù)據(jù)迅速進(jìn)行恢復(fù)，使用這種方式去恢復(fù)數(shù)據(jù)必須要有數(shù)據(jù)備份的存在。另外一種在系統(tǒng)數(shù)據(jù)丟失的時(shí)候通過(guò)較為底層的數(shù)據(jù)手段進(jìn)行數(shù)據(jù)恢復(fù)的技術(shù)，不通過(guò)備份的數(shù)據(jù)去恢復(fù)數(shù)據(jù)。包括對(duì)磁盤(pán)片、硬盤(pán)磁道等進(jìn)行恢復(fù)的硬件恢復(fù)技術(shù)，以及對(duì)文件系統(tǒng)、操作系統(tǒng)等進(jìn)行恢復(fù)的軟件恢復(fù)技術(shù)等。

當(dāng)系統(tǒng)發(fā)生故障的時(shí)候，如果有數(shù)據(jù)備份的存在，且數(shù)據(jù)備份可以正常使用，就優(yōu)先使用容災(zāi)恢復(fù)技術(shù)，如果出現(xiàn)備份的數(shù)據(jù)丟失或磁盤(pán)等硬件損壞等情況，需要根據(jù)不同的情況采用相應(yīng)硬件或軟件技術(shù)來(lái)進(jìn)行數(shù)據(jù)恢復(fù)。

3 結(jié)語(yǔ)

本文在對(duì)現(xiàn)行等保2.0要求以及云計(jì)算發(fā)展趨勢(shì)及基礎(chǔ)上進(jìn)行了分析，針對(duì)于數(shù)據(jù)安全所面臨的風(fēng)險(xiǎn)，從數(shù)據(jù)的完整性，保密性，以及數(shù)據(jù)的備份與恢復(fù)進(jìn)行了闡述，并結(jié)合健康醫(yī)療數(shù)據(jù)案例就數(shù)據(jù)的保密性提供了具體的防范措施。將相應(yīng)的安全技術(shù)投入到系統(tǒng)中使用。不僅能有利于信息系統(tǒng)的安全，更能促進(jìn)我國(guó)信息安全等級(jí)保護(hù)工作的展開(kāi)，隨著云計(jì)算技術(shù)的不斷發(fā)展和應(yīng)用，安全實(shí)踐經(jīng)驗(yàn)越來(lái)越多，數(shù)據(jù)的安全性將會(huì)不斷的提高。