■

云端數(shù)據(jù)面臨安全隱患

伴隨著虛擬化應(yīng)用越來越普及，用戶數(shù)據(jù)的存儲位置、存放方式發(fā)生了很大變化，用戶可以隨時隨地通過網(wǎng)絡(luò)獲取數(shù)據(jù)，這就使得傳統(tǒng)的數(shù)據(jù)安全管理方案已經(jīng)無法應(yīng)對云環(huán)境下的安全問題。云端數(shù)據(jù)安全面臨新的安全隱患，數(shù)據(jù)安全防護也要轉(zhuǎn)換思路，更加有效地識別相關(guān)人及設(shè)備。

目前，云環(huán)境下用戶的各類應(yīng)用以及重要數(shù)據(jù)都集中保存在云端，由于云端自身合法原因（例如為了達到預(yù)防災(zāi)難目的，進行的不同位置備份），或不合法的原因（云平臺有強制復(fù)制用戶數(shù)據(jù)的權(quán)利），造成的云環(huán)境下數(shù)據(jù)可控性問題以及隱私外泄問題顯得極為突出。重要數(shù)據(jù)集中保存在一個位置，容易吸引外網(wǎng)惡意用戶和內(nèi)網(wǎng)不懷好意人員偷偷竊取，例如與云端數(shù)據(jù)相關(guān)的云服務(wù)商、云平臺、存儲管理員以及第三方服務(wù)商對隱私數(shù)據(jù)的非法訪問，上傳到云端的重要數(shù)據(jù)被云平臺廠商備份及利用，而且有的云平臺在用戶上傳了數(shù)據(jù)后，連用戶基本的徹底刪除操作權(quán)限也被取消了，這讓用戶在想保護自己隱私數(shù)據(jù)時，顯得無能為力。所以，在不影響單位或個人正常工作的情況下，確保云端重要數(shù)據(jù)不被無關(guān)人員非法訪問，已經(jīng)成為亟需解決的問題。

圖1 美國FedRAMP

保護云端數(shù)據(jù)安全措施

雖然云端數(shù)據(jù)存儲的出現(xiàn)給用戶帶來了極大的便利，但是用戶在使用的過程中，可能還會遇到一些比如數(shù)據(jù)丟失、密碼被盜等安全方面的問題。在此，本文為用戶們提供了幾種簡單的應(yīng)對措施，可以有效地保護云端數(shù)據(jù)的安全。

1.選用安全可信平臺

為了保護云端數(shù)據(jù)安全，單位用戶必須要從云端平臺產(chǎn)品的信譽度、安全性、易用性以及性價比等方面，選用安全可信平臺。首先要關(guān)心云端平臺服務(wù)提供商的信譽?？梢韵日{(diào)查云端平臺服務(wù)提供商的技術(shù)水平、服務(wù)歷史以及相關(guān)軟硬件產(chǎn)品的市場影響。同時還要調(diào)查它們的市場表現(xiàn)、客戶評價以及服務(wù)能力，畢竟優(yōu)秀的云平臺服務(wù)商都有不錯的市場影響，試著上網(wǎng)尋找有關(guān)的用戶使用評論，有利于用戶選擇合適的云平臺服務(wù)廠商。此外，對于追求7*24小時安全機制的用戶來說，管理服務(wù)能力是又一重點考察對象。

其次要關(guān)心云平臺服務(wù)提供商的安全認證能力。主要考察云平臺服務(wù)提供商有沒有提供通過專業(yè)認證的技術(shù)，相關(guān)技術(shù)有沒有獲得廠商的官方支持，這些細節(jié)因素都會關(guān)系到云端數(shù)據(jù)存儲的安全性。例如，美國的FedRAMP就是一個強制性的政府機構(gòu)（如圖1所示），它規(guī)范了云端存儲認證的安全評估，能夠通過該機構(gòu)認證的云平臺服務(wù)提供商，提供的云端存儲服務(wù)自然也是安全可信的。

要提醒大家的是，很多著名的云端存儲服務(wù)提供商都沒有通過FedRAMP的認證，而在國內(nèi)，可信云服務(wù)認證工作已由官方部門開啟，阿里、騰訊、百度等廠商的云平臺產(chǎn)品都順利通過了這方面的安全認證，當然也有部分廠商的產(chǎn)品沒有通過這種可信云服務(wù)認證。因此，用戶一定要依照自身實際情況，選用通過官方認證的云平臺產(chǎn)品。

第三要考察云平臺的易用性。一些云平臺無法讓普通用戶徹底刪除相關(guān)重要數(shù)據(jù)，這往往會讓他們感到十分不安，因為這意味著數(shù)據(jù)控制權(quán)的丟失。還有一些云平臺產(chǎn)品包含有開源項目，可以讓用戶直觀看到內(nèi)部執(zhí)行的過程，但是它的技術(shù)門檻很高，有時不適合中小規(guī)模的企業(yè)用戶。

第四要關(guān)注產(chǎn)品的性價比。無論哪一種產(chǎn)品，不能單純看產(chǎn)品價格，還要看所選購平臺的功能和技術(shù)支持水平。要是云平臺服務(wù)提供商為用戶提供了價格相當?shù)土脑贫舜鎯Ψ?wù)，那企業(yè)用戶應(yīng)該更加關(guān)注它的服務(wù)細節(jié)和技術(shù)水平，以保證對方的服務(wù)能夠真正落到實處。

2.做好重要數(shù)據(jù)備份

當用戶嘗試將重要數(shù)據(jù)傳輸?shù)皆贫似脚_之前，必須認真考慮當云平臺服務(wù)提供商破產(chǎn)或用戶決定退出該服務(wù)時，會有什么樣的后果可能發(fā)生。最嚴重的后果自然就是無法找回自己的數(shù)據(jù)。為了避免這種問題的出現(xiàn)，最有效的辦法就是及時對自己的重要數(shù)據(jù)進行備份，而且確保不管在什么時候什么地方都可以輕松獲取備份內(nèi)容。及時備份重要數(shù)據(jù)是幫助有著重要數(shù)據(jù)存儲需求的用戶解除數(shù)據(jù)丟失擔憂的最佳途徑。

3.嚴肅認真對待密碼

相信這樣的建議，用戶已經(jīng)聽過若干次，但顯然并沒有引起足夠重視，所以還是要不厭其煩地提醒。大家知道，不法分子想要訪問用戶的隱私數(shù)據(jù)，必須要想方設(shè)法去竊取用戶的賬號和密碼。但不少用戶都有一個不良的習慣，不管什么情況，不管在什么位置，都喜歡使用相同的登錄賬號，甚至連登錄密碼都設(shè)置的一樣，這自然就加大了登錄密碼對外泄露的可能。

那么存儲有重要數(shù)據(jù)的云平臺登錄密碼在設(shè)置方面有什么要求呢？怎樣才能為云端存儲加上一把牢固的鎖呢？正常來說，在云端平臺系統(tǒng)完善不存在安全漏洞的情況下，惡意用戶通常會使用密碼字典、暴力破解等方式破譯密碼，非法訪問他人重要數(shù)據(jù)。想要給云端數(shù)據(jù)提供安全保護，那么就要讓惡意用戶不能輕易突破密碼驗證機制。換句話說，就是只要設(shè)置足夠“強壯”的密碼，那么不法分子就不會輕易破解密碼了，除非云端系統(tǒng)自身有重大安全漏洞。如果用戶在設(shè)置“強壯”密碼的基礎(chǔ)上，再使用二次驗證，那么安全防護效果就會更好。

那么，怎樣才能設(shè)置好足夠“強壯”的密碼呢？第一要增強密碼復(fù)雜程度。類似生日、名字這樣的密碼內(nèi)容，很容易被破解，只有將各種類型的字符混雜起來使用，才能增加黑客暴力破解密碼的難度，例如用感嘆號代替數(shù)字6，￥符號代替數(shù)字2等，密碼內(nèi)容組合越復(fù)雜、位數(shù)越長，那么它被成功破解的幾率就會越小。而且，在設(shè)置密碼內(nèi)容時，不要讓密碼位數(shù)低于12位，不要使用與登錄賬號關(guān)聯(lián)的密碼，不要以英文單詞作為密碼，不要使用連續(xù)相同字符的密碼，不要將單位管理者個人信息作為密碼。

第二，要定期修改密碼內(nèi)容。強度再高的密碼也容易被人偷窺到，定期修改密碼內(nèi)容，可以避免偷窺帶來的安全風險。一般來說，如果用戶有經(jīng)常更換強密碼的習慣，被破解的可能性可見是極低的。但捫心自問一下，有多少人會自覺定期修改密碼內(nèi)容呢？而到了必須調(diào)整密碼內(nèi)容的時間，是不是有用戶僅僅調(diào)整個別字符來應(yīng)對密碼策略的強制要求呢？對于單位來說，要強制員工定期修改密碼，必須加強對他們進行培訓，讓他們意識到強壯密碼的重要性，以及定期調(diào)整密碼內(nèi)容的原因。作為密碼策略的一部分，單位管理者也能借助第三方工具，來禁止員工使用相同或相近的密碼應(yīng)付密碼策略強制要求。

第三，要注意不同場合使用不同密碼。不要在任何場合下，讓一個密碼“走天下”，這樣在遇到安全威脅時，可能會帶來連鎖反應(yīng)?，F(xiàn)在用到密碼的場合很多，用戶不能圖一時方便，而將所有密碼內(nèi)容都設(shè)置成一樣的，不然的話惡意用戶在一處得手，那么在其他地方就會一路綠燈，這是因為惡意用戶會首先用已竊取到的密碼，去破譯其他位置處的密碼內(nèi)容。

圖2 AxCrypt工具

圖3 設(shè)置界面

4.善于使用加密措施

不管這種措施是否可行，它都是目前為止保護數(shù)據(jù)安全最直接的方法。一般情況下，當用戶需要上傳重要數(shù)據(jù)到云端平臺時，可以借助專業(yè)工具為目標數(shù)據(jù)文件創(chuàng)建密碼，之后將設(shè)置了密碼的數(shù)據(jù)文件傳輸?shù)皆贫似脚_，這樣在云端的數(shù)據(jù)如果沒有用戶的訪問密鑰，別人是打不開的，這就相當于為數(shù)據(jù)文件多加了一份保障。例如，用戶可以在“AxCrypt”專業(yè)工具的幫助下，通過如圖2所示菜單中的“make key-file”命令為重要數(shù)據(jù)生成密鑰文件，再通過“GnuPG”工具為密鑰文件加密，最后將數(shù)據(jù)文件和密鑰文件分別上傳到不同的服務(wù)平臺中，這種加密方式至今為止無人能夠破解，但它也有明顯缺陷，操作起來相當麻煩。

此外，用戶也能選擇可信第三方對用戶頒發(fā)證書，用戶對重要數(shù)據(jù)文件進行數(shù)字簽名加密后，傳輸?shù)皆贫似脚_，確保其他人無法對其解密。該加密方式雖然也很安全，但是它的加密解密速度較慢，加密靈活性也比較差，無法對不同數(shù)據(jù)文件采用不同密鑰內(nèi)容。

值得注意的是，一些證書企業(yè)制作數(shù)字證書的過程不很透明，證書企業(yè)在生成并交付用戶私鑰的過程中，存在偷偷備份證書私鑰的可能，因此大家在選擇證書頒發(fā)機構(gòu)時，必須要選用值得信任的機構(gòu)，例如可以選用大多數(shù)企業(yè)首選的VeriSign數(shù)字證書。

當然，如果用戶嫌上述加密措施操作起來麻煩，也可以直接選用一些云平臺自身提供的本地加密和解密服務(wù)。換句話說，就是用戶可以嘗試使用云平臺自身服務(wù)加密重要數(shù)據(jù)文件，然后安全地將加密數(shù)據(jù)上傳到云端平臺進行存儲，這將為用戶的云端數(shù)據(jù)安全添加一份更為可靠的保障，因為連云平臺提供商也不能輕易訪問加密數(shù)據(jù)。

5.重要數(shù)據(jù)碎片存儲

所謂碎片存儲，就是使用外力工具，將重要數(shù)據(jù)分割成若干個碎片文件，再將不同的碎片文件上傳到不同的云端平臺進行存儲，例如一個存放到騰訊云，另外一個存放到百度云中。這樣，即使其中某個云平臺服務(wù)提供商想非法訪問用戶的重要數(shù)據(jù)，它只能獲取到不完整的碎片文件，不能訪問到具體的數(shù)據(jù)內(nèi)容，這樣用戶就不用擔心重要數(shù)據(jù)被人私下使用、備份、拷貝、編輯了。

將特定數(shù)據(jù)分割成碎片文件，操作其實很簡單，只要通過常見的“WinRAR”程序就能輕松做到。只要在壓縮數(shù)據(jù)文件時，進入“WinRAR”程序的壓縮設(shè)置對話框，點擊“默認卷大小”按鈕，切換到如圖3所示的設(shè)置界面，在這里輸入適當?shù)臄?shù)字即可。一般來說，輸入的數(shù)字大小與被分割數(shù)據(jù)的尺寸有直接關(guān)系，正常將數(shù)據(jù)文件分割成三個碎片文件，每個文件大小應(yīng)該為原始數(shù)據(jù)尺寸的1/3。