浅谈云计算数据安全与隐私保护
2014-04-29刘光金
引言:云计算最初由谷歌公司提出,一经提出便引发了业内的轰动。云计算是全新形式的网络服务,集用户所需、速度快捷、资源广泛等特点于一身,当前已应用于世界多国家、多种领域内外。云计算具有极高的技术价值和使用价值,随着其更为广泛地使用,关于其数据安全与隐私保护的问题也相应而生,因其关系到用户的安全与云技术的发展,因而需要引起极大的重视。本文首先介绍云计算及其关键技术,而后概述云计算的数据安全生命周期,最后给出关于云计算隐私保护的可行建议。
云计算是传统网络的升级版本,传统网络主要需要考虑传统网络所需具备的主机与网络的安全问题、对入侵攻击与病毒的防范等问题,而云计算在考虑以上问题的同时,需要着力于因其与传统网络之间差异带来的安全威胁对象的变化问题,具体为传统网络中的用户易于受到攻击,而云计算中的相关服务供应商易于受到威胁,此种威胁往往有更为集中的攻击目标,同时因云计算的公开性,无形间为破坏者提供了更多的攻击机会,且受到的攻击或威胁往往具有连带性。因而,关于云计算的数据安全与隐私保护问题已得到极大关注。
一、云计算的关键技术
云计算的成功离不开其强大的技术支持,在云计算中有许多种技术应用其中,最为关键的技术主要包括编程技术、海量数据的分析、管理与存储技术、虚拟化技术与平台管理技术。编程技术主要是指对由谷歌公司开发的Map Reduce编程模型的应用,此种编程模型简化了编程人员的工作,使编程人员有更多的精力关注于应用程序。在云计算中有海量的数据,其存储方式多为分布式存储与冗余式存储,使数据更为安全可靠。云计算中对海量数据的管理通常是说计算、分析与处理大规模数据,因而相关管理技术应具有效率、规模大的特点。虚拟化技术是指对“云”中所储存的资源与涉及到的计算进行整理与合并的技术,在云系统中有重要意义,此项技术直接关系到云计算环境的搭建,属于云计算中的核心构架。平台管理技术是对资源广、应用多、规模大的云计算的管理,是一系列云计算顺利运行的关键。
二、云计算的数据安全生命周期
(一)生成数据阶段
传统的计算机模式中,企业或者个人对相关数据进行较为随意的创建与管理,而在云计算之中,不得不考虑的即是数据的归属问题。数据之中可能会涉及到隐私信息,对此数据的归属方有对其信息被获取的知情权,并且有权拒绝供应商对其关键私密信息的使用。
(二)迁移数据阶段
传统的企业或是个人的迁移数据中,往往不需要进行加密设置,或者只是简单地进行加密。而在云计算中,因为用户之多与网络中的未知性,在迁移数据过程中,必须有完整的保护措施。例如,加密设置应采用更为复杂的形式,签署相关协议,以保证在迁移中数据的完整性等。
(三)共享数据阶段
从传统的数据共享,到云计算的数据共享,可以说是将数据以更大范围的扩充,数据因而具备了更为广泛的使用范围,而其间的数据归属与安全隐患也大幅增加。对此,数据所有者应事先对其他使用者进行约束和限制,并对涉及到隐私的数据进行筛除。
(四)存储数据阶段
云计算中包括较为简易方式的存储数据与较为复杂方式的存储数据,前者多为IaaS环境,后者多位Paas或SaaS环境。任何一种存储,均应保证数据的机密、完整与可用性,对此,在云计算的数据存储中必须要使用适当的加密算法,并对存储的数据进行专业的加密算法等管理。
(五)销毁数据阶段
数据的利用是重要的,同时其销毁也是同样重要的。在云计算中的销毁不同于普通计算机中的“删除”,如格式化、或删除操作等。格式化或是删除操作多为通过改变文件索引来达成“删除”的目的,实际上数据还可被再次获得。而云计算中的销毁应通过磁盘擦写、物理销毁等方式,以从根本上销毁数据。
三、云计算的隐私保护途径
(一)建立健全相关法律法规
科技时代,一切都逐渐步入科技化的同时,相应而来的是越来越多的科技犯罪。科技犯罪依仗于高新的技术,因而为公安机关的破获案件工作带来一定程度的困扰,同时,关于云计算的犯罪属于网络隐私权方面的犯罪,而我国现今的法律中仅仅对此有“轻描淡写”的描述,而并不具备专属的法律法规。对于我国当前关于此方面法律的缺失,国家相关机构应尽早制定出切合实际的法律条例,以约束不法分子的不当行为,保护使用者的合法权益,避免相关犯罪的发生。
(二)隐私增强技术的合理运用
云计算具有十分之高的技术性,对其的隐私保护也应借助于高科技方式来实现。例如,对隐私增强技术,简称PETs (Privacy Enhancing Technologies) 的合理运用。隐私增强技术,可以泛指所有能够对隐私保护起到促进或保护作用的技术,大致包括传统的隐私保护技术与新研发或正在研发阶段的隐私增强技术。其中,传统的隐私保护技术主要通过加密、安全认证与访问控制等方式对隐私进行保护;当前正在研发的技术则主要包括数据挖掘、扰乱与恢复等技术。
(三)设立监督管理部门
对云计算的隐私保护,在建立相关的具针对性的法律法规的同时,可实行专门的监管制度。监管制度即是对云服务供应商、对云计算的实用性与安全性的监督与管理,管理部门应具有权威性与专业性。在有关部门的管理过程中,可借助服务等级协议,简称SLA (Service Level Agreement)来约束各方的权利与义务,以保证用户的使用权益。
结束语
在网络初始阶段,人们通常在画图中将互联网表示为“云”,“云计算”因此得名。云计算是不断发展和更新的,关于其的定义也在不断地变化中,在众多定义中IBM公司所给出地定义较为官方,在此中,云计算被定义为与电网用电有异曲同工之妙的服务或计算方式,它借助互联网将动态、易于扩展的虚拟资源供给于用户,而用户不必关注关于云的具体细节等信息。云计算是互联网应用的创新,也是互联网及信息技术发展的前驱者和带动者,其创造的价值是有目共睹的,其数据安全与隐私保护问题十分重要,需各界的共同关注。
参考文献
[1]张文科;刘桂芬.云计算数据安全和隐私保护研究[J]信息安全与通信保密.2012(11).
[2]胡艳.云计算数据安全与隐私保护[J]科技通报.2013(02).
[3]罗军舟;金嘉晖;宋爱波;东方.云计算:体系架构与关键技术[J]通信学报.2011(07).
作者簡介
刘光金(1973.7),男,籍贯:四川隆昌人,职称:讲师,学历:本科,主要研究方向:计算机及应用。
(作者单位:重庆水利电力职业技术学院)