云計(jì)算服務(wù)普及的一大障礙就是用戶對(duì)于敏感數(shù)據(jù)可能泄露的擔(dān)心，企事業(yè)單位常常對(duì)關(guān)鍵數(shù)據(jù)采取符合法律法規(guī)以及滿足自身需求的安全防護(hù)措施，但使用云計(jì)算以后，用戶對(duì)數(shù)據(jù)的控制力度減弱了，而云計(jì)算服務(wù)提供商常常又不能滿足數(shù)據(jù)安全防護(hù)的需求，使得云中的敏感數(shù)據(jù)面臨種種風(fēng)險(xiǎn)。為了保持對(duì)敏感數(shù)據(jù)的控制，一些單位采取對(duì)云計(jì)算服務(wù)的嚴(yán)格限制措施，如禁止使用云計(jì)算等，但這種方法不僅限制了員工生產(chǎn)效率，也并不能完全阻止惡意內(nèi)部人員泄露敏感信息。

　　大部分云計(jì)算服務(wù)使用HTTP作為傳輸協(xié)議，由于HTTP提供良好的文件傳輸方法定義，通過對(duì)HTTP消息的檢測便可檢測到用戶和云服務(wù)之間的數(shù)據(jù)擴(kuò)散，而不用去關(guān)心云服務(wù)是怎么實(shí)現(xiàn)的。為了在使用云計(jì)算服務(wù)的同時(shí)確保對(duì)敏感數(shù)據(jù)的控制，截獲用戶和云計(jì)算服務(wù)之間的文件傳輸并進(jìn)行記錄，同時(shí)嚴(yán)格執(zhí)行數(shù)據(jù)擴(kuò)散的預(yù)制策略。在文件被上傳到云后控制文件的傳播，讓只有經(jīng)過授權(quán)的用戶可以訪問。在實(shí)現(xiàn)方法上，主要采取兩個(gè)思路：首先，利用內(nèi)嵌安全標(biāo)簽將數(shù)據(jù)傳播策略和文件綁定，由于內(nèi)嵌安全標(biāo)簽和文件相關(guān)聯(lián)，可以在這個(gè)文件第一次被上傳到云時(shí)就能判定該文件可以被怎樣傳播，并且在接下來的操作中始終貫穿這一策略，這個(gè)功能不需要云計(jì)算服務(wù)商做出任何額外的改動(dòng)。其次，需要對(duì)用戶的瀏覽器進(jìn)行修改，以獲取用戶信息，如是誰提交了什么樣的文件等，這樣就避免了對(duì)云計(jì)算服務(wù)系統(tǒng)的修改，同時(shí)也不用和某一個(gè)具體的云計(jì)算服務(wù)提供商綁定起來。

　　在用戶上傳文件到云計(jì)算服務(wù)提供商時(shí)，該技術(shù)可以確保：操作是被記錄的；操作可以被定位到具體用戶；其他用戶只能通過制定的網(wǎng)絡(luò)訪問此文件。

　　1、相關(guān)工作

　　對(duì)于政府以及一些商業(yè)用戶，保持對(duì)自身數(shù)據(jù)的有效控制是非常重要的，目前常見的技術(shù)有信息版權(quán)管理(IRM，Information Rights Management)和信息流控制(IFC，Information Flow Control)以及數(shù)據(jù)防泄露(DLP，Data Loss Prevention)技術(shù)。IRM又叫數(shù)字權(quán)限管理，通常由服務(wù)器存儲(chǔ)未加密的文檔版本，當(dāng)一個(gè)文檔從服務(wù)器下載后，得到的是一個(gè)加密后的版本，文件接收者需要訪問服務(wù)器獲得解密密鑰才能得到文件內(nèi)容。IRM需要文件客戶端并需要共享信任的服務(wù)器，在云環(huán)境幾乎無法使用。IFC是一種將安全標(biāo)簽附加在文件的強(qiáng)制訪問控制模型，可以確保在處理過程中數(shù)據(jù)得到保護(hù)，但通常需要修改操作系統(tǒng)或者用戶的應(yīng)用程序，使其很難應(yīng)用于云環(huán)境。DLP通常使用一個(gè)代理來監(jiān)控分析所有用戶單位的外發(fā)流量，代理通過文件特征值識(shí)別敏感數(shù)據(jù)，阻止敏感信息外泄，但DLP不會(huì)關(guān)注文件通過代理檢測發(fā)布出去的后繼操作。文中的技術(shù)使用了標(biāo)簽技術(shù)并且在單位邊界設(shè)置流量檢測，同時(shí)還將對(duì)文件的控制延續(xù)到上傳之后，使其可以應(yīng)用于云計(jì)算環(huán)境。

　　2、系統(tǒng)設(shè)計(jì)

　　整個(gè)系統(tǒng)構(gòu)架如圖1所示，由客戶端和服務(wù)端代理、策略庫、瀏覽器插件組成。客戶端和服務(wù)端代理截獲組織機(jī)構(gòu)和云服務(wù)代理提供商之間的HTTP流量，每個(gè)代理代表其所在的網(wǎng)絡(luò)域檢測通過的數(shù)據(jù)，服務(wù)代理可能會(huì)執(zhí)行提供商的客戶指定的策略。代理還要負(fù)責(zé)對(duì)數(shù)據(jù)的標(biāo)記。每個(gè)代理維護(hù)一個(gè)策略庫，每個(gè)策略庫存儲(chǔ)了一系列“事件——條件——動(dòng)作”(ECA)規(guī)則，ECA規(guī)則指定了數(shù)據(jù)傳播的策略，當(dāng)文件傳輸時(shí)可以控制代理的行為。ECA采取比較容易理解的格式，使得代理間的通信難度降低。瀏覽器插件收集用戶信息并用來對(duì)上傳文件做標(biāo)記，插件和客戶端代理通信并在代理檢測到文件上傳時(shí)明確地告知用戶。
 

　　圖1展示了一個(gè)文件在組織機(jī)構(gòu)和云服務(wù)提供商之間的文件傳輸流程：

　　1)用戶通過Web表單提交文件，瀏覽器插件將一系列標(biāo)識(shí)信息附加在外發(fā)HTTP請求上，如當(dāng)前用戶信息、文件元數(shù)據(jù)信息以及文件的本地存儲(chǔ)位置信息等。

　　2)代理服務(wù)器截獲請求，檢測其內(nèi)容以及取回用戶標(biāo)識(shí)信息，然后和策略庫里的ECA規(guī)則匹配，當(dāng)滿足規(guī)則時(shí)代理執(zhí)行請求動(dòng)作。

　　3)動(dòng)作查詢上傳文件的用戶認(rèn)證信息，根據(jù)用戶的反饋將標(biāo)簽加入文件，再將這個(gè)請求進(jìn)行記錄以供今后審計(jì)，代理將請求轉(zhuǎn)發(fā)到云計(jì)算服務(wù)提供商。

　　4)服務(wù)代理根據(jù)請求的標(biāo)簽檢測其內(nèi)容，并根據(jù)ECA規(guī)則處理客戶端傳過來的文件，如一個(gè)云計(jì)算服務(wù)提供商可能根據(jù)規(guī)則拒絕保存和處理從某個(gè)企業(yè)傳來的敏感文件，如果上傳文件被接收，請求被轉(zhuǎn)發(fā)到存儲(chǔ)服務(wù)。

　　5)取回1)-4)上傳文件的請求，服務(wù)代理截獲存儲(chǔ)服務(wù)的響應(yīng)，使用附著在文件上的標(biāo)簽決定怎樣響應(yīng)請求。服務(wù)代理還有可能聯(lián)系客戶端代理來獲取策略執(zhí)行，如避免發(fā)布數(shù)據(jù)給一個(gè)不在企業(yè)內(nèi)網(wǎng)的用戶。

　　2.1標(biāo)簽

　　在控制文件時(shí)使用的標(biāo)簽由3部分組成：標(biāo)識(shí)符、標(biāo)識(shí)參數(shù)、標(biāo)簽對(duì)應(yīng)的代理地址。標(biāo)識(shí)符是一個(gè)文本，以易讀的命名數(shù)據(jù)傳輸策略，如標(biāo)識(shí)符user-private可能用來限制云計(jì)算存儲(chǔ)服務(wù)里的文件共享。標(biāo)識(shí)參數(shù)可以對(duì)數(shù)據(jù)傳輸策略進(jìn)行具體的制定和規(guī)定，如user-private的參數(shù)user=-[ip108，prp]可以用來指定文件只能在某些特定用戶之間共享。標(biāo)簽對(duì)應(yīng)的代理地址用來確保標(biāo)簽和數(shù)據(jù)傳輸策略的唯一綁定。

　　2.2 ECA規(guī)則

　　每個(gè)ECA規(guī)則都根據(jù)相應(yīng)的事件觸發(fā)，假如事件的條件滿足規(guī)則，則執(zhí)行相應(yīng)的動(dòng)作。事件：由于云計(jì)算存儲(chǔ)服務(wù)中HTTP是主要傳輸協(xié)議，所以觸發(fā)ECA規(guī)則的事件也是HTTP方法的調(diào)用。一個(gè)規(guī)則可能被外部域進(jìn)入的HTTP請求觸發(fā)，也可能被內(nèi)部域外發(fā)的HTTP請求觸發(fā)，管理員可以指定什么樣的HTTP方法調(diào)用可以觸發(fā)什么樣的事件。比如，事件euploads：{out}{put out}{(.*\.)*dropbox.com(/.*)*}，這個(gè)事件和所有外發(fā)到Dropbox服務(wù)器的PUT、POST請求匹配，它使用了正則表達(dá)式來匹配HTTP的URI。一個(gè)組織機(jī)構(gòu)可能使用這樣的規(guī)則來阻止任意文件上傳到Dropbox。

　　條件：系統(tǒng)使用條件來表示觸發(fā)動(dòng)作的前提，每個(gè)條件都要被HTTP請求或響應(yīng)里的文件標(biāo)記滿足。條件可以是服務(wù)無關(guān)和服務(wù)指定的，對(duì)于服務(wù)無關(guān)的條件，服務(wù)的HTTP API被忽略，這類條件被已有的文件標(biāo)簽滿足；而服務(wù)指定的條件需要有指定的參數(shù)或部分請求來滿足。由于HTTP請求或響應(yīng)有可能以不同的參數(shù)存儲(chǔ)不同的文件，這使得每個(gè)文件都有可能被打上不同的標(biāo)記，服務(wù)指定條件指定了一系列HTTP參數(shù)，標(biāo)記還必須對(duì)每個(gè)參數(shù)賦值。比如，服務(wù)指定條件Cbank：file=>{secret}{cf\.bank\.com}，這個(gè)條件匹配所有在代理cd.bank.com的標(biāo)記為secret的包含參數(shù)file的HTTP請求，可以用來在服務(wù)端代理阻止包含秘密信息的文件上傳。

　　動(dòng)作：動(dòng)作指定了組織機(jī)構(gòu)或云計(jì)算服務(wù)提供商的數(shù)據(jù)傳播策略，即什么樣的數(shù)據(jù)分類對(duì)應(yīng)哪些具體的規(guī)則。動(dòng)作是一些由代理執(zhí)行的具體的腳本，如表1所示。
 

　　Issue、Return和Log是3個(gè)基本操作，這3個(gè)方法分別用于創(chuàng)建、回復(fù)以及存儲(chǔ)HTTP請求。一個(gè)動(dòng)作腳本可使用這些方法達(dá)到傳統(tǒng)防火墻規(guī)則里的allow/deny功能。getLabels、attLabel、detLabel這3個(gè)方法用于操作傳輸中文件里的標(biāo)簽。決定是否將標(biāo)簽附著到文件可能需要看具體傳輸?shù)臄?shù)據(jù)，這個(gè)可以通過getContent以及ask方法實(shí)現(xiàn)。

　　2.3標(biāo)簽嵌入

　　為了將標(biāo)簽嵌入文件，使用原數(shù)據(jù)的概念，在原型系統(tǒng)中，使用了Adobe的XMP(Extensible Metadata Platform)。XMP是一種以XML表達(dá)任意原數(shù)據(jù)的規(guī)范，可以將自己存儲(chǔ)在多種文件格式內(nèi)。目前的SDK支持pdf、eps以及Jpeg等常見的文件格式。下面展示了一個(gè)標(biāo)簽user-private的XMP表達(dá)形式：
 

　　3、系統(tǒng)實(shí)現(xiàn)

　　為驗(yàn)證系統(tǒng)對(duì)云中數(shù)據(jù)流轉(zhuǎn)的控制，以Dropbox為云計(jì)算服務(wù)提供商搭建了原型系統(tǒng)，Dropbox是目前最為流行的在線存儲(chǔ)云，通常使用本地客戶端來同步文件。服務(wù)支持HTTP API并提供Web接口。由于Dropbox的本地客戶端不依賴H1TrP API，故本原型系統(tǒng)目前只能在Web版的Dropbox使用。

　　首先設(shè)置最簡單的策略Policy 1：阻止任何內(nèi)部文件上傳到Dropbox，對(duì)應(yīng)的ECA規(guī)則為：
 

　　這個(gè)規(guī)則只會(huì)影響Dropbox的使用，用戶可以正常進(jìn)行其他文件交互。

　　Policy2：只允許公開文件上傳到Dropbox，對(duì)應(yīng)的ECA規(guī)則為：
 

　　4、結(jié)語

　　文中采用新的防泄露技術(shù)來保護(hù)敏感數(shù)據(jù)，利用HTTP提供的良好定義文件傳輸方法，通過對(duì)HTTP消息的檢測便可檢測到用戶和云服務(wù)之間的數(shù)據(jù)擴(kuò)散，而不用修改云服務(wù)API。為了在使用云計(jì)算服務(wù)的同時(shí)確保對(duì)敏感數(shù)據(jù)的控制，截獲用戶和云計(jì)算服務(wù)之間的文件傳輸并進(jìn)行記錄，同時(shí)嚴(yán)格執(zhí)行數(shù)據(jù)擴(kuò)散的預(yù)制策略。在文件被上傳到云后控制文件的傳播，讓只有經(jīng)過授權(quán)的用戶可以訪問，并通過在Dropbox搭建原型系統(tǒng)證實(shí)了技術(shù)的有效性。

核心關(guān)注：拓步ERP系統(tǒng)平臺(tái)是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用，蘊(yùn)涵了豐富的ERP管理思想，集成了ERP軟件業(yè)務(wù)管理理念，功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理，全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域，是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。

轉(zhuǎn)載請注明出處：拓步ERP資訊網(wǎng)http://www.guhuozai8.cn/

本文標(biāo)題：云計(jì)算敏感數(shù)據(jù)防泄露技術(shù)

本文網(wǎng)址：http://www.guhuozai8.cn/html/consultation/10839513669.html