王永紅

（安徽省電子產(chǎn)品監(jiān)督檢驗所［安徽省信息安全評測中心］，安徽 合肥 230061）

0 引言

近年來，隨著信息革命的不斷發(fā)展，傳統(tǒng)方式的應(yīng)用越趨于復(fù)雜，需要更多的用戶訪問，計算能力要求更強，對完全可靠性要求更高。越來越多的用戶將數(shù)據(jù)上傳到云服務(wù)器中，數(shù)據(jù)安全也越來越受到人們的重視。已有的《信息安全技術(shù) 信息系統(tǒng)安全等級保護基本要求》已經(jīng)不能滿足等級保護工作的需要，因此2019年5月3日，國家市場監(jiān)督管理總局正式發(fā)布《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護基本要求》2.0版本，針對云計算、大數(shù)據(jù)、移動互聯(lián)、物聯(lián)網(wǎng)、工業(yè)控制等技術(shù)提出了安全擴展要求。本文基于云計算的安全擴展要求，從數(shù)據(jù)安全角度出發(fā)，詳細闡述了相關(guān)的數(shù)據(jù)風險，并結(jié)合健康醫(yī)療數(shù)據(jù)案例給出了相對應(yīng)的措施。提高了云計算平臺和用戶抵御信息安全風險的能力。

1 云計算環(huán)境下數(shù)據(jù)存在的安全問題

任何一個事物都是有生命周期的，數(shù)據(jù)也不例外。作為計算機網(wǎng)絡(luò)中最有價值的信息實體，其生命周期分為數(shù)據(jù)的采集、傳輸、存儲、使用、共享、銷毀環(huán)節(jié)。在云計算環(huán)境下，云服務(wù)商、不法攻擊者和數(shù)據(jù)廠商等都可能成為數(shù)據(jù)安全威脅的因素。數(shù)據(jù)泄露在定程度上肯定會給用戶造成經(jīng)濟損失，涉及個人信息的泄露可能會給用戶帶來人身攻擊和精神傷害。諸多問題的存在，一定程度上阻礙了云計算技術(shù)的發(fā)展。

1.1 數(shù)據(jù)完整性問題

數(shù)據(jù)完整性[1]是指在云服務(wù)器上存儲的數(shù)據(jù)未經(jīng)授權(quán)不能修改的特點，從而確保數(shù)據(jù)的可靠性和一致性，即數(shù)據(jù)通過云計算環(huán)境產(chǎn)生、傳輸、處理和使用過程中不會遭到非授權(quán)對數(shù)據(jù)破壞或篡改，在云計算的環(huán)境下，使用者傳送數(shù)據(jù)后，基本很難去校驗數(shù)據(jù)完整性，且無法對自身數(shù)據(jù)進行控制，僅依靠云計算平臺的安全性。常用的數(shù)據(jù)完整性驗證方法有常用的數(shù)字簽名技術(shù)、哈希算法以及目前動態(tài)簽名完整性驗證、基于第三方機構(gòu)的完整性校驗和基于雙線性對等公開校驗方法等。

1.2 數(shù)據(jù)泄露

在云計算環(huán)境下，數(shù)據(jù)的保密性可分為數(shù)據(jù)的機密性以及隱私性。其中數(shù)據(jù)的機密性指的是信息不能被非授權(quán)者、實體或進程利用或泄露的特性。而數(shù)據(jù)的隱私性指的是在數(shù)據(jù)收集、數(shù)據(jù)發(fā)布、數(shù)據(jù)挖掘等過程中不被惡意攻擊者利用已有背景知識還原出原始數(shù)據(jù)信息或分析得到單個用戶的敏感信息的特性。無論是機密性還是隱私性遭到破壞，都會造成數(shù)據(jù)的泄露。數(shù)據(jù)泄露是傳統(tǒng)網(wǎng)絡(luò)和云環(huán)境下的重要威脅。數(shù)據(jù)泄露后，給用戶帶來的不僅僅是經(jīng)濟方面的損失，負面影響是可想而知的。

1.3 數(shù)據(jù)的備份與恢復(fù)

因為在云計算的環(huán)境下，應(yīng)用數(shù)據(jù)均存儲在云服務(wù)器中，如果發(fā)生突發(fā)事件，導(dǎo)致數(shù)據(jù)丟失或損壞，對用戶來說損失是難以估量的。所以如何確保云計算平臺數(shù)據(jù)高效被反的同事，一旦發(fā)生災(zāi)難能夠及時恢復(fù)數(shù)據(jù)是個很重要的問題。

2 數(shù)據(jù)保護方案

2.1 數(shù)據(jù)的完整性

針對云存儲數(shù)據(jù)的完整性存在的問題，研究方面的成果不斷涌現(xiàn)，以密碼學為基礎(chǔ)，提出了不同的解決方案。本文通過介紹一種PDP安全模型[2]，2007年Ateniese等人提出了此模型，它屬于概率性驗證的模型，通過驗證數(shù)據(jù)文件的一個數(shù)據(jù)塊從而判斷整個數(shù)據(jù)文件的完整性，無需遍歷訪問整個數(shù)據(jù)文件。

其中主要有4個算法：

該模型主要分為兩個過程，一是Setup初始化階段，客戶端運用密鑰生成算法生成一對可匹配的公鑰和密鑰，再將原始文件F分為n 塊，每個數(shù)據(jù)塊，算法，產(chǎn)生其標簽。最后客戶端儲存公私鑰對，然后把原始文件數(shù)據(jù)F以及標簽集合一同發(fā)送給服務(wù)器存儲并將本地的原始數(shù)據(jù)和標簽集合進行刪除。二是Challenge-Verify：客戶端進行周期性的隨機選擇文件數(shù)據(jù)塊發(fā)起請求chal并發(fā)送給服務(wù)器，服務(wù)器收到挑戰(zhàn)請求后，運行生成數(shù)據(jù)擁有證明的算法生成的證據(jù)V，從而返回到客戶端?？蛻舳耸盏阶C據(jù)V后，作為驗證者，運行驗證數(shù)據(jù)擁有證明的算法來驗證V的正確性，從而檢驗原始文件F還是否完整。

2.2 數(shù)據(jù)的保密性

對于數(shù)據(jù)的機密性，目前能夠使用的加密方法有對稱加密與非對稱加密方法，具體有流密碼、分組密碼和RSA密碼等，對數(shù)據(jù)進行加密然后上傳至服務(wù)器，這些方法可有效的處理數(shù)據(jù)機密性的問題。對于數(shù)據(jù)的隱私保護，本文結(jié)合健康醫(yī)療數(shù)據(jù)的案例提出將差分隱私、同態(tài)加密以及安全索引密文檢索方法應(yīng)用到其中，保護數(shù)據(jù)的隱私不被泄露，即使攻擊者擁有最大的背景知識。

（1）差分隱私技術(shù)。針對數(shù)據(jù)的隱私性問題，研究者不斷提出多種隱私保護技術(shù)，諸如k-anonymity、l-Diversity、t-Closeness等方法，但這些方法的缺陷是都需要特殊攻擊假設(shè)和背景知識，2006年Dwork提出差分隱私模型[3]，該模型針對任意背景知識攻擊給出了嚴格的隱私性的量化評估方法。差分隱私嚴格的數(shù)學定義如下：

中心化差分隱私[3]和本地化差分隱私[4]屬于差分隱私主要兩大類，中心化差分隱私認為服務(wù)器可信，本地化差分隱私則認為服務(wù)器不可信。

差分隱私不關(guān)注惡意攻擊者是否擁有多少文化背景，即對于數(shù)據(jù)集中任意一條記錄的添加或刪除，都不影響算法的最終結(jié)果。在健康醫(yī)療數(shù)據(jù)中，當醫(yī)院發(fā)布HIV病人的統(tǒng)計結(jié)果時，統(tǒng)計結(jié)果是100個人中有十個人感染HIV，假如攻擊者知道99個人的患病信息，那么他把知道的99個人信息與醫(yī)院發(fā)布的信息進行對比就可以知道第100個人進行對比，此時我們可以用差分隱私技術(shù)對發(fā)布結(jié)果進行加噪，不泄露第一百個人是否患HIV。

（2）同態(tài)加密與安全索引。同態(tài)加密屬是將在傳輸過程中的數(shù)據(jù)進行加密，不需要密鑰來解密就能對加密數(shù)據(jù)進行相關(guān)處理，且不會泄露任何原始內(nèi)容，是一種對加密數(shù)據(jù)進行處理的功能。同時，持有密鑰的用戶在解密后就可以得到最終處理結(jié)果。本文介紹Paillier加密方案[5]，針對于統(tǒng)計數(shù)據(jù)，該算法噪聲小，具體步驟如下：

選取兩個大素數(shù)p和q，計算，隨機選取參數(shù)g，，設(shè)函數(shù)，且g、n滿足。

在2004年斯坦福大學的Eu-Jin Joh等人在提出了一種安全索引密文檢索方法[6]，因為采用單Hash函數(shù)，所以它具有很高的安全性。該方法的基本原理是：在上傳數(shù)據(jù)文件之前，為每個文件構(gòu)造安全索引，該索引使用布隆過濾器進行加密。當進行檢索時，首先生成關(guān)鍵詞陷門，然后進行布隆檢測就可以通過文件所對應(yīng)的安全索引來確定關(guān)鍵詞是否存在于這個文件中。其過程實現(xiàn)如下：

在健康醫(yī)療數(shù)據(jù)中，當我們需要統(tǒng)計HIV患者的男女比例，我們可以將艾滋疾，病人的性別作為關(guān)鍵詞，用安全索引密文檢索方法獲得統(tǒng)計結(jié)果，得到HIV患者的男女比例；當我們需要統(tǒng)計懷孕婦女的平均年齡時，我們可以使用同態(tài)加密技術(shù)對密文進行計算，在本地進行解密密文得到懷孕婦女的平均年齡。在服務(wù)器不可信的情況下，使用這兩種加密方法我們可以做到數(shù)據(jù)的隱私不被泄露。

2.3 數(shù)據(jù)的備份與恢復(fù)

（1）數(shù)據(jù)備份技術(shù)。當系統(tǒng)出現(xiàn)災(zāi)難或者故障以后，能夠通過備份的數(shù)據(jù)文件將數(shù)據(jù)盡可能的恢復(fù)到原來的系統(tǒng)上，這稱為數(shù)據(jù)的備份與恢復(fù)。

數(shù)據(jù)備份系統(tǒng)又稱為容災(zāi)系統(tǒng)[7]，通過各種常用的備份機制將數(shù)據(jù)最大化的還原到原來的系統(tǒng)上，數(shù)據(jù)備份系統(tǒng)的核心是備份成功的數(shù)據(jù)，數(shù)據(jù)備份的常用三種機制包括LAN備份，LAN Free備份和Server Free備份。其中 LAN 為局域網(wǎng)，其適用范圍最廣，而后兩種備份主要適用于專用于SAN（Storage Area Network，區(qū)域存儲網(wǎng)絡(luò)）數(shù)據(jù)存儲。

（2）數(shù)據(jù)恢復(fù)技術(shù)。數(shù)據(jù)恢復(fù)技術(shù)主要有兩種類型[7]，一種是容災(zāi)恢復(fù)技術(shù)，即數(shù)據(jù)丟失或破壞后，使用之前的備份數(shù)據(jù)迅速進行恢復(fù)，使用這種方式去恢復(fù)數(shù)據(jù)必須要有數(shù)據(jù)備份的存在。另外一種在系統(tǒng)數(shù)據(jù)丟失的時候通過較為底層的數(shù)據(jù)手段進行數(shù)據(jù)恢復(fù)的技術(shù)，不通過備份的數(shù)據(jù)去恢復(fù)數(shù)據(jù)。包括對磁盤片、硬盤磁道等進行恢復(fù)的硬件恢復(fù)技術(shù)，以及對文件系統(tǒng)、操作系統(tǒng)等進行恢復(fù)的軟件恢復(fù)技術(shù)等。

當系統(tǒng)發(fā)生故障的時候，如果有數(shù)據(jù)備份的存在，且數(shù)據(jù)備份可以正常使用，就優(yōu)先使用容災(zāi)恢復(fù)技術(shù)，如果出現(xiàn)備份的數(shù)據(jù)丟失或磁盤等硬件損壞等情況，需要根據(jù)不同的情況采用相應(yīng)硬件或軟件技術(shù)來進行數(shù)據(jù)恢復(fù)。

3 結(jié)語

本文在對現(xiàn)行等保2.0要求以及云計算發(fā)展趨勢及基礎(chǔ)上進行了分析，針對于數(shù)據(jù)安全所面臨的風險，從數(shù)據(jù)的完整性，保密性，以及數(shù)據(jù)的備份與恢復(fù)進行了闡述，并結(jié)合健康醫(yī)療數(shù)據(jù)案例就數(shù)據(jù)的保密性提供了具體的防范措施。將相應(yīng)的安全技術(shù)投入到系統(tǒng)中使用。不僅能有利于信息系統(tǒng)的安全，更能促進我國信息安全等級保護工作的展開，隨著云計算技術(shù)的不斷發(fā)展和應(yīng)用，安全實踐經(jīng)驗越來越多，數(shù)據(jù)的安全性將會不斷的提高。