云計算服務(wù)普及的一大障礙就是用戶對于敏感數(shù)據(jù)可能泄露的擔(dān)心，企事業(yè)單位常常對關(guān)鍵數(shù)據(jù)采取符合法律法規(guī)以及滿足自身需求的安全防護措施，但使用云計算以后，用戶對數(shù)據(jù)的控制力度減弱了，而云計算服務(wù)提供商常常又不能滿足數(shù)據(jù)安全防護的需求，使得云中的敏感數(shù)據(jù)面臨種種風(fēng)險。為了保持對敏感數(shù)據(jù)的控制，一些單位采取對云計算服務(wù)的嚴格限制措施，如禁止使用云計算等，但這種方法不僅限制了員工生產(chǎn)效率，也并不能完全阻止惡意內(nèi)部人員泄露敏感信息。

　　大部分云計算服務(wù)使用HTTP作為傳輸協(xié)議，由于HTTP提供良好的文件傳輸方法定義，通過對HTTP消息的檢測便可檢測到用戶和云服務(wù)之間的數(shù)據(jù)擴散，而不用去關(guān)心云服務(wù)是怎么實現(xiàn)的。為了在使用云計算服務(wù)的同時確保對敏感數(shù)據(jù)的控制，截獲用戶和云計算服務(wù)之間的文件傳輸并進行記錄，同時嚴格執(zhí)行數(shù)據(jù)擴散的預(yù)制策略。在文件被上傳到云后控制文件的傳播，讓只有經(jīng)過授權(quán)的用戶可以訪問。在實現(xiàn)方法上，主要采取兩個思路：首先，利用內(nèi)嵌安全標簽將數(shù)據(jù)傳播策略和文件綁定，由于內(nèi)嵌安全標簽和文件相關(guān)聯(lián)，可以在這個文件第一次被上傳到云時就能判定該文件可以被怎樣傳播，并且在接下來的操作中始終貫穿這一策略，這個功能不需要云計算服務(wù)商做出任何額外的改動。其次，需要對用戶的瀏覽器進行修改，以獲取用戶信息，如是誰提交了什么樣的文件等，這樣就避免了對云計算服務(wù)系統(tǒng)的修改，同時也不用和某一個具體的云計算服務(wù)提供商綁定起來。

　　在用戶上傳文件到云計算服務(wù)提供商時，該技術(shù)可以確保：操作是被記錄的；操作可以被定位到具體用戶；其他用戶只能通過制定的網(wǎng)絡(luò)訪問此文件。

　　1、相關(guān)工作

　　對于政府以及一些商業(yè)用戶，保持對自身數(shù)據(jù)的有效控制是非常重要的，目前常見的技術(shù)有信息版權(quán)管理(IRM，Information Rights Management)和信息流控制(IFC，Information Flow Control)以及數(shù)據(jù)防泄露(DLP，Data Loss Prevention)技術(shù)。IRM又叫數(shù)字權(quán)限管理，通常由服務(wù)器存儲未加密的文檔版本，當(dāng)一個文檔從服務(wù)器下載后，得到的是一個加密后的版本，文件接收者需要訪問服務(wù)器獲得解密密鑰才能得到文件內(nèi)容。IRM需要文件客戶端并需要共享信任的服務(wù)器，在云環(huán)境幾乎無法使用。IFC是一種將安全標簽附加在文件的強制訪問控制模型，可以確保在處理過程中數(shù)據(jù)得到保護，但通常需要修改操作系統(tǒng)或者用戶的應(yīng)用程序，使其很難應(yīng)用于云環(huán)境。DLP通常使用一個代理來監(jiān)控分析所有用戶單位的外發(fā)流量，代理通過文件特征值識別敏感數(shù)據(jù)，阻止敏感信息外泄，但DLP不會關(guān)注文件通過代理檢測發(fā)布出去的后繼操作。文中的技術(shù)使用了標簽技術(shù)并且在單位邊界設(shè)置流量檢測，同時還將對文件的控制延續(xù)到上傳之后，使其可以應(yīng)用于云計算環(huán)境。

　　2、系統(tǒng)設(shè)計

　　整個系統(tǒng)構(gòu)架如圖1所示，由客戶端和服務(wù)端代理、策略庫、瀏覽器插件組成。客戶端和服務(wù)端代理截獲組織機構(gòu)和云服務(wù)代理提供商之間的HTTP流量，每個代理代表其所在的網(wǎng)絡(luò)域檢測通過的數(shù)據(jù)，服務(wù)代理可能會執(zhí)行提供商的客戶指定的策略。代理還要負責(zé)對數(shù)據(jù)的標記。每個代理維護一個策略庫，每個策略庫存儲了一系列“事件——條件——動作”(ECA)規(guī)則，ECA規(guī)則指定了數(shù)據(jù)傳播的策略，當(dāng)文件傳輸時可以控制代理的行為。ECA采取比較容易理解的格式，使得代理間的通信難度降低。瀏覽器插件收集用戶信息并用來對上傳文件做標記，插件和客戶端代理通信并在代理檢測到文件上傳時明確地告知用戶。
 

　　圖1展示了一個文件在組織機構(gòu)和云服務(wù)提供商之間的文件傳輸流程：

　　1)用戶通過Web表單提交文件，瀏覽器插件將一系列標識信息附加在外發(fā)HTTP請求上，如當(dāng)前用戶信息、文件元數(shù)據(jù)信息以及文件的本地存儲位置信息等。

　　2)代理服務(wù)器截獲請求，檢測其內(nèi)容以及取回用戶標識信息，然后和策略庫里的ECA規(guī)則匹配，當(dāng)滿足規(guī)則時代理執(zhí)行請求動作。

　　3)動作查詢上傳文件的用戶認證信息，根據(jù)用戶的反饋將標簽加入文件，再將這個請求進行記錄以供今后審計，代理將請求轉(zhuǎn)發(fā)到云計算服務(wù)提供商。

　　4)服務(wù)代理根據(jù)請求的標簽檢測其內(nèi)容，并根據(jù)ECA規(guī)則處理客戶端傳過來的文件，如一個云計算服務(wù)提供商可能根據(jù)規(guī)則拒絕保存和處理從某個企業(yè)傳來的敏感文件，如果上傳文件被接收，請求被轉(zhuǎn)發(fā)到存儲服務(wù)。

　　5)取回1)-4)上傳文件的請求，服務(wù)代理截獲存儲服務(wù)的響應(yīng)，使用附著在文件上的標簽決定怎樣響應(yīng)請求。服務(wù)代理還有可能聯(lián)系客戶端代理來獲取策略執(zhí)行，如避免發(fā)布數(shù)據(jù)給一個不在企業(yè)內(nèi)網(wǎng)的用戶。

　　2.1標簽

　　在控制文件時使用的標簽由3部分組成：標識符、標識參數(shù)、標簽對應(yīng)的代理地址。標識符是一個文本，以易讀的命名數(shù)據(jù)傳輸策略，如標識符user-private可能用來限制云計算存儲服務(wù)里的文件共享。標識參數(shù)可以對數(shù)據(jù)傳輸策略進行具體的制定和規(guī)定，如user-private的參數(shù)user=-[ip108，prp]可以用來指定文件只能在某些特定用戶之間共享。標簽對應(yīng)的代理地址用來確保標簽和數(shù)據(jù)傳輸策略的唯一綁定。

　　2.2 ECA規(guī)則

　　每個ECA規(guī)則都根據(jù)相應(yīng)的事件觸發(fā)，假如事件的條件滿足規(guī)則，則執(zhí)行相應(yīng)的動作。事件：由于云計算存儲服務(wù)中HTTP是主要傳輸協(xié)議，所以觸發(fā)ECA規(guī)則的事件也是HTTP方法的調(diào)用。一個規(guī)則可能被外部域進入的HTTP請求觸發(fā)，也可能被內(nèi)部域外發(fā)的HTTP請求觸發(fā)，管理員可以指定什么樣的HTTP方法調(diào)用可以觸發(fā)什么樣的事件。比如，事件euploads：{out}{put out}{(.*\.)*dropbox.com(/.*)*}，這個事件和所有外發(fā)到Dropbox服務(wù)器的PUT、POST請求匹配，它使用了正則表達式來匹配HTTP的URI。一個組織機構(gòu)可能使用這樣的規(guī)則來阻止任意文件上傳到Dropbox。

　　條件：系統(tǒng)使用條件來表示觸發(fā)動作的前提，每個條件都要被HTTP請求或響應(yīng)里的文件標記滿足。條件可以是服務(wù)無關(guān)和服務(wù)指定的，對于服務(wù)無關(guān)的條件，服務(wù)的HTTP API被忽略，這類條件被已有的文件標簽滿足；而服務(wù)指定的條件需要有指定的參數(shù)或部分請求來滿足。由于HTTP請求或響應(yīng)有可能以不同的參數(shù)存儲不同的文件，這使得每個文件都有可能被打上不同的標記，服務(wù)指定條件指定了一系列HTTP參數(shù)，標記還必須對每個參數(shù)賦值。比如，服務(wù)指定條件Cbank：file=>{secret}{cf\.bank\.com}，這個條件匹配所有在代理cd.bank.com的標記為secret的包含參數(shù)file的HTTP請求，可以用來在服務(wù)端代理阻止包含秘密信息的文件上傳。

　　動作：動作指定了組織機構(gòu)或云計算服務(wù)提供商的數(shù)據(jù)傳播策略，即什么樣的數(shù)據(jù)分類對應(yīng)哪些具體的規(guī)則。動作是一些由代理執(zhí)行的具體的腳本，如表1所示。
 

　　Issue、Return和Log是3個基本操作，這3個方法分別用于創(chuàng)建、回復(fù)以及存儲HTTP請求。一個動作腳本可使用這些方法達到傳統(tǒng)防火墻規(guī)則里的allow/deny功能。getLabels、attLabel、detLabel這3個方法用于操作傳輸中文件里的標簽。決定是否將標簽附著到文件可能需要看具體傳輸?shù)臄?shù)據(jù)，這個可以通過getContent以及ask方法實現(xiàn)。

　　2.3標簽嵌入

　　為了將標簽嵌入文件，使用原數(shù)據(jù)的概念，在原型系統(tǒng)中，使用了Adobe的XMP(Extensible Metadata Platform)。XMP是一種以XML表達任意原數(shù)據(jù)的規(guī)范，可以將自己存儲在多種文件格式內(nèi)。目前的SDK支持pdf、eps以及Jpeg等常見的文件格式。下面展示了一個標簽user-private的XMP表達形式：
 

　　3、系統(tǒng)實現(xiàn)

　　為驗證系統(tǒng)對云中數(shù)據(jù)流轉(zhuǎn)的控制，以Dropbox為云計算服務(wù)提供商搭建了原型系統(tǒng)，Dropbox是目前最為流行的在線存儲云，通常使用本地客戶端來同步文件。服務(wù)支持HTTP API并提供Web接口。由于Dropbox的本地客戶端不依賴H1TrP API，故本原型系統(tǒng)目前只能在Web版的Dropbox使用。

　　首先設(shè)置最簡單的策略Policy 1：阻止任何內(nèi)部文件上傳到Dropbox，對應(yīng)的ECA規(guī)則為：
 

　　這個規(guī)則只會影響Dropbox的使用，用戶可以正常進行其他文件交互。

　　Policy2：只允許公開文件上傳到Dropbox，對應(yīng)的ECA規(guī)則為：
 

　　4、結(jié)語

　　文中采用新的防泄露技術(shù)來保護敏感數(shù)據(jù)，利用HTTP提供的良好定義文件傳輸方法，通過對HTTP消息的檢測便可檢測到用戶和云服務(wù)之間的數(shù)據(jù)擴散，而不用修改云服務(wù)API。為了在使用云計算服務(wù)的同時確保對敏感數(shù)據(jù)的控制，截獲用戶和云計算服務(wù)之間的文件傳輸并進行記錄，同時嚴格執(zhí)行數(shù)據(jù)擴散的預(yù)制策略。在文件被上傳到云后控制文件的傳播，讓只有經(jīng)過授權(quán)的用戶可以訪問，并通過在Dropbox搭建原型系統(tǒng)證實了技術(shù)的有效性。

核心關(guān)注：拓步ERP系統(tǒng)平臺是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用，蘊涵了豐富的ERP管理思想，集成了ERP軟件業(yè)務(wù)管理理念，功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理，全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域，是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。

轉(zhuǎn)載請注明出處：拓步ERP資訊網(wǎng)http://www.ezxoed.cn/

本文標題：云計算敏感數(shù)據(jù)防泄露技術(shù)

本文網(wǎng)址：http://www.ezxoed.cn/html/consultation/10839513669.html