◆张志伟 张贺勋 吴泽江 陈远平 袁 峭



基于云计算的数据安全与隐私保护

◆张志伟 张贺勋 吴泽江 陈远平 袁 峭

（北京天融信网络安全技术有限公司 北京 510630）

云计算在不断蓬勃发展的同时伴随着数据安全与隐私保护等相关议题，本文通过云计算环境下的数据全生命周期进行了数据在生命周期各阶段的安全威胁分析，并提供了针对性保护策略，供相关读者参考。

云计算；数据安全；隐私保护；全生命周期

0 引言

纵观现在信息技术产业蓬勃发展和创新应用离不开背后的重要支柱云计算，得益于云计算及相关虚拟化技术，让信息化技术高速发展，直接或间接催生出大数据时代和人工智能时代，让万物互联不再是遥不可及的梦中楼阁。对于企业而言，云计算就是利用少量的资金投入来实现随时随地享受网络互联与计算的重要服务，它具有大规模、高度整合资源、方位广、弹性可扩展、便捷性和动态迁移等诸多特点。而与数据密切相关的是云计算环境下的传输与存储，其存储方式是通过将大量不同类型与容量的存储介质用以软件集成逻辑组建起来协作提供数据存储服务，由于各类不同的企业在积极上云、应用与数据迁移至云计算环境上，该如何良好管理数据安全是云计算机系统的核心重点。

1 数据安全与隐私保护问题

数据安全的核心定义是指承载用户数据的业务及个人必须具备相应保护手段来保护数据，仅在授权允许下时才能访问使用，拒绝数据被篡改或假冒，有效保障数据的机密性、完整性、可用性等安全属性。现代密码技术快速发展，为数据安全与隐私保护提供了充足多样的保障措施，有加密、哈希校验、身份鉴别与认证等技术的加持，可以很好满足数据利益相关者的安全需求，实现了保障数据安全与隐私保护的目标。但诸多的安全事故表明目前互联网依然危险重重，特别是个人信息泄露事件屡屡爆出，说明现行的数据安全和隐私保护存在诸多问题，人们急需充分意识到这一点。

隐私在各国各文化中的定义不尽相同，但其核心必然是与个人身份信息PII有直接相关，比如个人手机号码、姓名、出生日期、身份证号码、从事职业等能显性识别个人身份，以及个人私密内容（如家庭收入情况、银行卡信息、网上电子账号、网上交易记录、网络浏览痕迹等）。这些个人信息被泄露后会严重影响到个人生活的方方面面，比如手机号码被非法泄露后，容易收到诸多骚扰电话甚至诈骗电话，直接或间接造成个人生命财产安全受损。

2 数据全生命周期

数据的安全性主要围绕数据完整性和数据保密性，前者是保证了数据在传输或存储过程不被破坏或丢失，用户在所需时能准确无误去使用数据，后者是保证了数据在传输或存储过程中不被泄露，用户隐私不被侵犯。

通常而言，业务用户数据在云计算环境上主要以动态传输与运算和静态存储这两种形态存在，分别称为“动态数据”和“静态数据”，两种数据形态决定了数据保护手段各不相同。

任何一个事物都是有生命周期的，数据也一样。在云计算环境上的数据安全与隐私保护策略必然是建立于数据全生命周期（数据的采集、传输、存储、使用、共享、销毁环节），通过关注数据各生命周期所面临的安全威胁，提供针对性安全保护手段，确保数据在全生命周期的机密性、完整性、可用性不可或缺。

3 数据在各生命周期保护策略

为了有效保障业务数据在云计算环境中的全生命周期安全需求，即对数据全生命周期的采集、传输、存储、使用、共享、销毁等环节实施端到端安全管控，以确保良好实现数据的机密性、完整性和可用性。

（1）采集环节。按照数据采集环节的安全威胁，企业及云服务提供商可以通过完备的身份鉴别、权限控制和数据加密等多种安全技术手段来保证数据的安全与隐私。对静态数据的上传采取高强度加密技术；对业务核心数据（比如用户身份信息等）可采取全同态加密技术来保护，在实现数据密文搜索需求的同时，避免了数据在解密后被云服务提供商或黑客擅意窃取与破坏，是实现隐私保护的一大利器；对于业务用户在使用过程中所产生的数据，采取身份鉴别与权限控制相结合来保护数据不被非法擅自使用，首要环节是身份统一认证管理，对业务用户进行身份鉴别是数据安全保障至关重要的一节，只有经过身份鉴别后才被授权访问指定数据资源，其次可以根据用户对信息需求进行层级划分，实现分级权限管理，严格设立每个数据资源点的访问策略来保证数据整体安全。

（2）传输环节。在云计算环境上一般采用加密算法对数据进行加密后再传输的传输方式，在主机侧或网络边界上使用VPN等虚拟专用网技术来实现传输加密，以确保传输数据的可靠。首先根据数据敏感级别采用相应级别的加密算法，其次在传输过程中采取分布式传输方式，并在数据传输协议上添加哈希校验算法等完整性验证，防止中间人窃取破坏数据和隐私数据泄露。

（3）存储环节。由于数据存储在云服务提供商的存储介质上，为了保证数据的安全与隐私，云服务提供商需要通过硬件冗余容错、数据备份恢复与存储加密和数据隔离等多种技术来实现多层次保护。通过硬件冗余容错和数据备份恢复等手段来保证当硬件设备出现故障或软件出现问题时数据的可用性和完整性；根据不同数据类型进行消息级加密、文件级加密、数据库级加密等加密措施来保证数据的机密性；采取数据隔离技术（如进程隔离、任务隔离、虚拟机隔离、租户隔离、数据层次隔离等）来确保数据隔离有效。

（4）使用环节。在数据查询、分析、挖掘等使用环节，严格进行身份鉴别与权限访问控制，对敏感操作加强管控，并定期开展事后审核；对用户敏感信息进行对外查询、展现、统计等操作时，必须经过密文搜索或匿名模糊化处理，起到保护用户隐私安全的作用；租户在出于数据准确性考虑，可引入第三方认证机构进行审计来确保云服务提供商的可靠，同时自身定期对云计算环境的数据进行完整性校验，实现企业的合理、规范要求。

（5）共享环节。根据业务共享目标、数据类型、应用场景等去制定数据共享风险列表，通过该列表可以明确数据分享的范围、类型以及限制数据使用范围和场景，以此编制出数据共享安全管控策略；另一方面做好合同或保密协议来约束数据共享双方应承担的安全责任，要求第三方具备相应的数据安全保护措施；对工作中可接触敏感数据的员工，要求其签订个人安全保密承诺书，明确安全责任；关于个人敏感数据在共享时须实现数据脱敏（主流采取混淆、漂白、泛化，随机化，令牌化等脱敏手段）和数据隐私匿名化（主流采纳的隐私算法有K匿名，L多样性，差分隐私），通过技术手段确保第三方无法获取不应也不得获取的数据隐私。

（6）销毁环节：当涉及用户敏感数据信息的业务系统下线或敏感数据信息的授权使用到期时，租户可要求云服务提供商采用可靠的数据销毁技术手段来处理敏感数据信息，确保数据不可还原并防止非授权者利用相关技术还原数据，保证数据隐私安全。

4 结束语

在云计算环境下的数据安全与隐私保护是云租户和云服务提供商必须共同考虑的问题。本文透过基于云计算环境下的数据全生命周期角度去探讨了数据各生命周期所面临的安全威胁，并提供了针对性安全保护手段。但是，如果想实现云计算环境下真正的数据安全与隐私保护，单纯从技术层面上保障是不足以达到，需要一整套围绕云计算的安全监管制度完善和严格的安全标准，同时遵守国际通用的云计算相关法律法规，才能真正解决云计算环境下的数据安全问题，从而为云租户提供一个真正意义上的安全云计算环境。

[1]GB/T 22239.2-信息安全技术-网络安全等级保护基本要求第2部分：云计算安全扩展要求《等级保护合规性安全解决方案》.

[2]李清玉.云计算数据安全研究[J].信息安全与通信保密, 2012.