◆李艳红
(宜宾职业技术学院 四川 644000)
通过数据挖掘技术等手段对大数据进行整合分析,可以从大数据中获得大量隐藏的经济和政治利益。目前,人们已普遍达成共识:大数据会是未来商业技术创新以及经济增长的能源和动力。为了保存这些巨大的数据资源,云存储应运而生,随着云存储技术的不断发展,人们越来越接受这样一种存储手段,开始不断地将数据上传到云端进行存储分享。如此大量的数据放在云端,增加了潜在的存储的风险,如果不采取有效安全措施,将会造成不可想象的损失。本文在快速发展的大数据技术环境背景下,研究云存储数据安全存在的威胁,探究解决问题的可行办法,以期为云存储数据安全领域的发展提供参考。
广义上讲大数据就是存在于我们周围所有的大量数据信息,据不完全统计2020 年全球信息量达到泽字节31.7(ZB),专家预计到2025年,在现有增长速度下人类的各种活动将会产生不少于79.4 泽字节(ZB)的数据。目前全世界都积极地进行大规模进行数字化升级,人工智智能、物联网、无人驾驶、数字城市、企业数字化等数字技术正在逐渐大规模应用,同时,数据的收集效率也在不断提高,大量的数据包含着巨大的社会及经济价值,传统的存储方式已经不能满足如此巨大的存储任务,单个个人和企业也没有能力可以承担起如此巨大的数据存储任务。硬件和网络技术的进步使云存储成为了当前解决大数据存储的首要选择方案。
大量的数据给企业和个人都带来巨大的存储压力和存储需求,同时也推动了存储市场的急速发展,涌现出了大量的提供数据存储和管理的企业公司,譬如国际上比较出名的亚马逊、谷歌和微软等,国内比较知名的百度、华为、腾讯和阿里等,这些知名公司依托自己在全球的大型数据中心,通过快速的互联网络为客户提供云存储服务。云存储实际上就是一个中心计算系统,允许使用者通过互联网把数据存储在数据中心的系统中并且可以方便的分享给其他人。云存储的优点有很多,理论上用户可以获得无限的存储空间,而且可以随时随地通过网络方便,安全,高效的访问数据,实现数据的异地备份和下载,大大降低了数据存储和使用的成本。
云存储从提出至今,已经经过了一轮爆炸式的发展,几大云存储服务提供商经过几轮竞争淘汰,国际上和国内云存储的市场基本趋于稳定,逐渐向着高质量发展,随着质量的提升,快速吸引了政府、企业和个人用户都在积极将数据迁移到云端,云存储逐渐成为当今新时代环境下不可替代的重要一部分,这么多关系到整个国家社会政治经济的数据是一笔可以进行再创造的巨大财富。但是,将所有数据放在云存储系统中的同时也增加了潜在的存储的风险,例如,未经授权的访问,数据泄漏,敏感信息泄漏和隐私披露等。
虽然云数据存储成本更低,资源管理也更少,但它在使用过程中也存在一些安全威胁。根据目前普遍共识,这些威胁可以总结如下:
数据泄漏指任何一方未经授权,不论何目的发布、查看、窃取或使用他人敏感、受保护或机密信息,一般针对非公开发布的各种信息,如个人健康信息、个人身份信息等,任何不是以公开发布而泄漏的信息都属于数据泄漏的范围,导致数据泄漏原因有很多,譬如攻击、漏洞和错误操作等。通常以敏感性衡量泄漏的严重性,是云存储安全的首要考虑要素。弱身份证书主要是指在对用户的身份管理中,由于程序漏洞导致的非法进入,以致用户的数据被篡改、删除、泄漏等。
为了使用户能够监控、分发、编辑和管理自己的资源,云服务提供商提供了界面和编程的接口,虽然方便了用户,但是也容易将云存储的环境暴露给网络上的潜在攻击者,所以要求这些接口在设计使用过程中要考虑对云存储安全性的影响。漏洞威胁主要是因为系统在开发的过程中功能上或是逻辑上的缺陷导致的,给攻击者提供了利用这些系统缺陷进行数据控制、窃取和破坏的可能。例如操作系统的库、内核和应用程序工具的漏洞将所有服务和数据置于安全风险之中。
账户劫持是计算机技术中面临的普遍威胁,云数据存储作为计算机技术的一个分支,同样也存在这样的问题,如果攻击者劫持了用户的账户,他们可以将客户端重定向到非法网站,操纵数据,返回虚假信息,窃听活动和交易。恶意内部人员是指拥有或已授权访问信息系统的新旧员工、任何业务合作伙伴或系统或开发人员,如果故意滥用访问权限,从而对云存储系统的安全和隐私方面产生负面影响或者数据破坏。
持续性威胁往往具有隐蔽性、长久性、复杂性和目的性,具有以窃取特定目标数据为动机,不间断的以多种手段方法隐蔽性进行攻击的特点。这些攻击很难消除,因为它们适应部署的安全措施,同时在较长一段时间内追求其目标。诸如恶意攻击,不幸的意外删除损坏或物理灾难,如火,地震,洪水,等等,这可能会导致永久性存储数据丢失,云存储数据应该特别重视数据的安全备份,以防止数据丢失。
尽职调查不足是指在选择云服务商和决策过程中,没用进行充分的评估和研究,计划和方案不当导致的存储安全风险。云服务滥用主要是由于不完善的部署模式导致的,例如管理不当、欺诈、免费、跟踪用户账号和钓鱼等安全不佳的云部署,这些部署允许攻击者访问计算资源并误用它来攻击目标客户。
拒绝服务主要是指合法用户由于响应缓慢或根本没有可用的云资源,而无法正常访问自己的数据。攻击者通过迫使目标云服务器大量消耗超过分配的有限系统资源,从而导致系统减速,导致合法用户无法访问。云存储数据系统以共享技术为基本特征。无论是基础设施、平台还是应用,多个客户的应用程序被托管在一起可能会导致共享技术漏洞,如管理程序中的缺陷。
身份和访问管理涉及到云环境各级的用户身份、用户认证和用户授权管理,从应用程序级到平台级,再到虚拟基础设施级、管理程序、网络、存储和硬件级别。用户身份管理是对终端用户数字身份的生命周期管理,终端用户可以是人,也可以是机器,涉及注册、发放、传播、管理、撤销和注销。认证是终端用户登录时确认终端用户身份的过程,可以通过使用硬令牌、软令牌、带外密码和生物识别技术来使用联邦身份和多因素身份验证。访问控制管理是授权成功执行的条件,要求终端用户在允许使用所允许的资源之前必须经过身份验证。
加密机制用于满足机密性、完整性与消息摘要的结合,以及身份验证和责任与数字签名的结合等数据安全和隐私需求。通过获得云服务商使用的加密机制,在发现安全级别不足时用户可以应用额外的机制,对密钥存储、密钥访问控制及其备份和可恢复性进行强大的密钥管理。存储中的数据,可以使用硬盘存储加密,也可使用沙漏协议对数据文件进行加密,同时允许用户验证文件加密的正确性。
消息摘要、数字签名和消息认证码是确保任何通信方之间交换的数据的真实性、完整性和不可否认性的机制,在云存储系统中也可以使用。在消息摘要中,消息使用标准哈希函数进行哈希处理,在数字签名中,消息摘要由非对称密钥对签名,而在消息认证码消息摘要中则由对称密钥签名。在云分布式环境中,具有轻量级目录访问协议的数字签名提供了更强的身份验证过程,同时提供了用户的移动性和灵活性。
可以采用基于网络的入侵检测系统来解决由于互联网协议、会话劫持、认证授权入侵、后门攻击等造成的漏洞。在云存储环境中,虚拟机及其映像、共享硬件和其他资源和用于内部通信的虚拟网络共同构成了虚拟环境。所有这些组件有相关的漏洞,需要实施对策来保护它们。可以通过引入虚拟可信平台模块,为运行在虚拟机上的操作系统和应用程序提供可信平台模块的加密和安全存储功能。
云应用和操作严重依赖于web 服务作为核心启用技术,除web服务外,用户通过web 服务访问云服务和操作的前端环境(主要是web 浏览器)也需要应对措施来解决web 浏览器的漏洞。web 浏览器的漏洞在很大程度上归因于对插件赋予的权限级别。使用可信任的插件,同时使用配置文件更新的反病毒和反间谍软件来提高安全性。为了开发一致且高质量的软件系统,从概念形成到软件交付,需要考虑很多特性。可以通过定义可靠的软件质量标准和软件开发生命周期来度量它们,以确保控制与质量一起有效和正确地实施。譬如微软定义了安全开发生命周期,这是一个软件开发过程,帮助开发人员构建更安全的软件,并以较低的成本满足安全合规要求,以识别软件应用程序特定的威胁和相关的风险。在更广泛的层面上,软件系统的用户体验优先于软件的质量和可用性,确保用户数据的安全性和私密性可以增强用户体验。
云提供商应采取适当的安全措施,通过使用防火墙和虚拟局域网的组合来保护传输中的数据。通过部署防火墙来保护每个外部接口,只开放必要的端口,并默认设置为拒绝。虚拟设备和常规设备应该与管理程序紧密连接,以便监控虚拟网络上的流量。通过执行网络渗透和包分析、会话管理弱点评估和不安全的SSL 信任配置,对观察到的偏差采取适当的安全措施,来测试和验证提供商的网络安全性。
对云服务交付模型中安全问题的调查发现,与传统计算模型相比,它由于缺乏控制、多租户、虚拟化和共享资源易导致云计算模型中的数据存储安全问题,可以使用最佳实践来提供数据存储安全解决方案,譬如对用户数据的加密机制和访问控制进行相应的级别定义,通过传统的加密或秘密共享机制来保证数据传输的完整性。保证和合规措施是云服务提供商执行的一组主动行动,以确保实施必要的反制措施,以解决云存储架构组件和使用的技术中的已知漏洞,并足以检测任何恶意使用云资源的行为,监控和评估已实施的安全解决方案对安全云运营的充分性,通常采用协议、监控监测和验证等措施实现。
硬件部分不可用是由于资源分配有限而发生的,在这种情况下,使用负载均衡机制来确保根据当前需求实现硬件可用性,也可以使用不同容错机制,硬件增强,虚拟架构等技术。物理安全措施包括防止恶意的内部人员和外部人员物理访问云存储资源。在发生自然灾害的情况下,保证用户的数据损失最小或不损失,并确保服务业务不被中断,可以采用身份验证、授权、优先级和云间供应等技术。
随着大数据、物联网、6G 等新兴云存储需求的出现,基于云的应用和服务需求空前增长,而且必将进一步的快速增长,如果没有有效实施合理的对策,以解决云存储架构组件中的漏洞,限制已识别威胁的攻击,满足预期的安全和隐私需求,将会严重阻碍新技术的应用落地和推广。现有的安全技术还不是十分完善,还存在或多或少的缺陷,因此未来有许多可以进一步研究提升的技术点,譬如考虑将基于身份的代理重加密方法与区块链和后量子密码相结合研究更高效的代理重加密技术、前后向安全可验证的可搜索加密技术、高效的动态数据访问控制技术、灵活共享的外包数据可信删除技术、持访问控制及隐私保护的数据挖掘外包机制技术、基于智能合约的资源访问控制框架、云计算系统的自适应安全等。本研究中,重点研究了大数据环境下云数据存储安全所面临的问题,给出云数据存储当前面临的主要威胁、针对不同安全问题可以采取的安全解决对策及云数据存储安全未来的技术发展研究方向,希望能够为云存储数据安全领域的进一步发展提供有益参考。