期刊发表网电话

全国热线
022-83699069

云计算环境下信息保护与防泄露系统设计研究

作者: 发布时间:2020-01-05 12:13:43 阅读: 64 次

论文发表过程中论文是核心,一篇好的论文决定着期刊发表成功与否。下文就是本站为职称论文发表提供的范文。


云计算环境下信息保护与防泄露系统设计研究

 

摘要:近年来,信息系统建设时广泛的应用云计算技术,不仅提升了建设效率,而且节省建设成本,但在信息安全性方面,由于信息保护与防泄漏系统设计并不完善,导致信息安全面临一定的风险,还需要对信息保护与防泄漏系统做出完善,促进信息安全的提升。本文在分析云计算环境下面临的信息安全风险基础上,探讨了云计算环境下信息保护与防泄漏系统的设计策略。

关键词:云计算环境;信息保护;防泄漏;系统设计

 

前言:云计算(Cloud Computing)的概念由Goole公司在2006年时提出,这之后,云计算得到良好的发展,并逐渐的走入人们生活,发挥重要作用。云计算是一种网络访问模型,人们可根据自身的需求便捷的访问网络,满足人们的使用需求。不过,云计算应用过程中,存在比较严重的信息安全问题,导致其广泛部署与应用受到直接影响,因此,必须要采取相应的措施解决此种问题,提升信息的安全性,促进云计算的良好发展。

一、云计算环境下面临的信息安全风险

与传统平台相比,云计算虚拟化处理各类硬件资源,使其形成统一的资源池,促进资源配置与管理工作简化,可靠性及弹性均比较高,提升了硬件的利用率,真正的达到按需服务。对云资源池系统结构、业务模式综合分析后发现,目前,云计算环境下面临的信息安全风险主要体现在以下四个方面:

(一)虚拟流量交换安全风险

虚拟流量交换安全主要包含两个方面,一方面为南北向流量安全,即云资源池外部的流量安全,安全防护时,可利用现有等保制度中规定的手段,避免外部攻击与破坏发生,保护云资源池安全;另一方面为东西向流量安全,是指云资源池内部的,虚拟化环境下,网元包含单元中最小的为虚拟机,对于同一物理机上各VM之间的通信流量,传统安全设备并不能感知,导致VM虚拟机间访问开展时无法判断其与预定安全策略是否符合,影响访问控制工作的有效开展,增加风险事件的发生可能[1]

(二)虚拟化软件引入安全风险

对于虚拟化软件来说,如果安全漏洞存在,整个物理主机的安全会受到较大的影响,同时,虚拟化软件使用过程中,更新基本不会进行,或间隔非常长的时间更新一次,当攻击阵发现其存在的安全漏洞,即可以此为侵入点,向主机系统做出侵入行为,之后恶意的破坏整个主机上的虚拟机,不仅会导致相关数据被切取,甚至可能造成系统瘫痪。

(三)资源分配安全风险

虚拟机蔓延后,不仅会在一定程度上浪费资源,而且运作的复杂程度也明显提升,同时,同一个物理资源由多台虚拟机共享,存在资源竞争风险,一台虚拟机使用物理内存数据存储后,如果又将其分配给另一台虚拟机,数据泄露事件即有可能发生[2]。删除不再使用的虚拟机时,原来被占用的资源释放出来,并将其分配给正在使用的虚拟机,此种做法也会使数据泄露风险增加。更多资源被新的虚拟机获得后,通过取证调查技术,可使整个物理内存、数据存储镜像被新的虚拟机获取,经分析之后,若重要信息在前一台虚拟机中遗留,可被新的虚拟机获取。

(四)多租户引发安全风险

    当使用的租户比较多的情况下,应采取适当的措施隔离每个租户间的应用程度环境,并隔离各自的数据,避免相互干扰现象出现在各租户之间,同时,使存储的数据保密性得到良好的保障,各租户应用开发者访问数据库时,如果权限控制未使用,数据泄露会发生。另外,在租户与服务提供商之间,可能存在着信任危机,租户使用过程中,服务供应商要想获得其相应的数据,采取监听、逆向工程等技术即可实现,而且目前尚不具备成熟的针对此种问题的防护技术,也使得信息的安全性降低。

二、云计算环境信息保护与防泄漏系统设计策略

现阶段,社会各领域在应用云计算时,均比较关注信息安全与防泄漏问题,目前,数据控制技术中比较常见的包含信息流控制、数据防泄漏等,云计算环境下,信息保护与防泄漏系统的设计工作应在综合多种数据控制的基础上,科学的设计,实现保证信息安全的目的。

(一)系统框架

在整个系统框架中,构成部分主要包含浏览器插件、策略库、服务端代理、客户端等。HTTP流量存在于云服务代理提供商与组织机构见,服务端代理与客户端会截获HTTP流量,代理代表存在于网络域中,数据通过时,代理代表会对其作出检测,通常,提供商客户指定策略过程中,服务代理执行会全面的进行,而且标记工作会由代理做好。维护策略库时,由代理负责一个策略库,于策略库中存储一系列的ECA规则,如事件-条件-动作,对于数据传播来说,ECA规则的作用为制定传播措施,文件传输器件,ECA规则能够良好的控制代理行为。相对来说,较易理解ECA规则的格式,由此一来,代理间通信时,通信难度可在一定程度上降低。收集用户信息之后,浏览器插件对上传问题作出有效的标记,代理检测时,客户端代理通信及其插件会明确的告知用户文件传输。

(二)文件传输过程

文件传输工作开展时,需通过以下5个步骤:,通过W eb表单,用户完成文件的提交工作,外发HTTP请求发出,此基础上,浏览器插件将一系列的标识信息附加在文件上,如本地存储文件位置信息、当前用户信息等;第二,请求被代理服务器截获后,开展取回、检测用户标识信息,并有效的配置策略库中存储的相应ECA规则,满足规则之后,代理会执行请求动作;第三,文件上传过程中,采用动作会查询用户认证信息,对用户反映内容作出分析,将相应标签加入到文件中,并对请求做好记录工作,便于日后审计工作的顺利开展,通过云计算服务提供商,代理将转发请求发出;第四,服务代理对标签情况作出分析后,检测其内容,同时,以ECA规则为参照,处理客户端传送过来的文件,例如文件属于敏感型时,云计算服务提供商以ECA规则为参照,有效处理文件,或拒绝保存文件,再如文件上传后,如状态一直为接受,那么转发请求会传输到存储服务中;第五,取回步与第四部的文件上传请求后,服务代理响应存储服务,截获操作同时进行,文件使用附着标签决定响应请求时,服务代理会联系客户端代理,保证获取策略的执行[3]

(三)标签

控制文件时,使用的标签构成包含三部分,分比为标签、标识参数、标示符(文本类型),传输数据利用简单易懂的命名数据进行,如,为能有效限制云计算服务内存储文件,使用的标示符应为user-private。标识参数是一种策略,可针对传输数据做出具体的规定及制定。一般来说,代理地址对应标签状态时,绑定的数据传输策略、确保标签均应具备性。

(四)ECA规则

云计算环境下,针对性时间为触发ECA规则的条件,如果事件具体条件满足于相关的规则,则会全面的执行相应的动作。

,事件。在云计算存储服务中,HTTP是指有效传输协议,因此,触发ECA规则时,其时间即为调用HTTP的方式。如果请求触发是在HTTP从外部域中进入一个规则后进行,那么触发请求的发出位置内部域外,管理人员即可制定HTTP调用方法,例如,事件请求匹配Dropbox服务器中的POST、PUT时,采用外发形式,那么匹配HTTP中的URI时,则主要利用正则表达式,组织机构阻止Dropbox上传文件的操作能够利用上述操作规则。

第二,条件。利用条件,系统表示触发动作的基础,响应过程中,无论是文件,或是HTTP请求,均会标记为与相关条件满足。一般,制定条件与服务无关时,服务的HTTPAPI则会被忽略,此时,文件标签可与条件基本满足。服务制定状态下,如果条件的满足需要采取制定参数、部分请求的方式,由于响应或HTTP请求过程中,文件存储的参数通常会不同,导致不相同的标记可能会将处理打在每个文件上,服务制定条件进行制定HTTP参数的工作,同时,肯定了标记的参数赋值[4]

第三,动作。指定数据传播策略时,无论是组织机构,或是云计算服务提供商,动作均为其采取的主要方式,即利用针对性规则进行对应的数据分类。实际脚本由代理执行时,执行通过动作实现,动作脚本API的方法包含Issue、Log、attLabed等方法进行,其中,相对基本的操作方式为Log、Return、Issue,这三种方式使用的通常为HTTP存储请求、恢复、创建等。利用上述方法,对于防火墙传统规则内做出的需求,动作脚本基本可以满足。

(五)嵌入标签

    标签要想嵌入文件中,应利用原数据的基本含义进行,在原型系统中应用Asobe的XMP,通过XML规范,XMP任意表达原数据,使存储在文件格式中自动进行,完成标签的嵌入。

结论:云计算环境下,通过合理的设计信息保护与防泄漏系统,有利于提升信息保护效果,降低安全风险的发生几率。

参考文献:

[1]沈昌祥.做好云计算环境下的涉密信息系统分级保护工作[J].保密科学技术,2012,(10):6-10+1.

[2]王建国.云计算环境下法定计量检测信息系统应用与设计[J].中国质量技术监督,2016,(08):44-46.

[3]黄勤龙,马兆丰,傅镜艺,.云计算环境中支持隐私保护的数字版权保护方案[J].通信学报,2014,(02):95-103.

[4]陈鄂湘,裴俊豪,项晖.云计算环境下信息安全体系架构研究[J].电信工程技术与标准化,2016,(12):72-77.