今兒想聊聊云安全的云數(shù)據(jù)安全，畢竟云計算技術(shù)的發(fā)展導致大數(shù)據(jù)在收集、存儲、共享、使用等過程面臨的安全威脅愈演愈烈，大數(shù)據(jù)泄露的企業(yè)個人隱私信息給用戶帶來了巨大的損失。

一、加密和密鑰管理

加密根本不是一項新技術(shù)，但在過去，加密的數(shù)據(jù)存儲在服務(wù)器上，而服務(wù)器擺放在公司內(nèi)部，公司直接控制著它們。由于如今許多流行的業(yè)務(wù)應(yīng)用程序托管在云端，企業(yè)主管們要么需要依賴合同條文來保護資產(chǎn)，選擇一家讓客戶可以先加密數(shù)據(jù)，然后發(fā)送到云端以便存儲或處理的云服務(wù)提供商，要么與軟件即服務(wù)(SaaS)提供商合作，由對方管理其企業(yè)數(shù)據(jù)的加密和解密工作。

1. 客戶端加密方式

其實在客戶端主要做的是數(shù)據(jù)的可見性，主要的安全問題還是放在服務(wù)端，畢竟所有的數(shù)據(jù)都是在服務(wù)端，服務(wù)端收到數(shù)據(jù)還會進行校驗，還要看是否是重放攻擊等;而客戶端要做的無非防止反編譯和傳輸數(shù)據(jù)加密。

一般的都會做傳輸數(shù)據(jù)加密，有的公司app不存在敏感信息，就只用post get方式。之前的加密是用的DES和RSA加密方式，先生成一個DESKey然后用RSA公鑰加密DESKey，然后用DESKey加密數(shù)據(jù)，最后將加密后的數(shù)據(jù)和加密后的DESKey一同傳輸?shù)胶笈_;后臺先用RSA私鑰解密DESKey，然后用解密后的DESKey解密數(shù)據(jù)。

這是整個加解密過程，但是因為后臺解密速度達不到要求(后臺解密壓力太大，因為RSA解密太耗時，客戶端可能沒什么感覺)，所以進行了改進：先和服務(wù)端交換DESKey(先將加密后的DESKey傳輸?shù)胶笈_)，返回交換成功后，再將用DESKey加密的數(shù)據(jù)傳輸?shù)胶笈_。這樣做服務(wù)端可以用傳輸間隙進行解密，適當?shù)木徑夥?wù)端壓力。

PS：AES和DES加密都是對稱加密，RSA是非對稱加密，區(qū)別和使用可以查查相關(guān)資料~

2. 云服務(wù)端加密方式

內(nèi)容感知加密和保格式加密是云計算的常用加密方法：

內(nèi)容感知加密：在數(shù)據(jù)防泄露中使用，內(nèi)容感知軟件理解數(shù)據(jù)或格式，并基于策略設(shè)置加密，如在使用email將一個信用卡卡號發(fā)送給執(zhí)法部門時會自動加密;

保格式加密：加密一個消息后產(chǎn)生的結(jié)果仍像一個輸入的消息，如一個16位信用卡卡號加密后仍是一個16位的數(shù)字，一個電話號碼加密后仍像一個電話號碼，一個英文單詞加密后仍像一個英語單詞;

云服務(wù)端加密服務(wù)是云上的加密解決方案。服務(wù)底層使用經(jīng)國家密碼管理局檢測認證的硬件密碼機，通過虛擬化技術(shù)，幫助用戶滿足數(shù)據(jù)安全方面的監(jiān)管合規(guī)要求，保護云上業(yè)務(wù)數(shù)據(jù)的隱私性要求。借助加密服務(wù)，用戶能夠?qū)γ荑€進行安全可靠的管理，也能使用多種加密算法來對數(shù)據(jù)進行可靠的加解密運算。

3. 云密碼機服務(wù)

云服務(wù)器密碼機是硬件密碼機，采用虛擬化技術(shù)，在一臺密碼機中按需生成多臺虛擬密碼機(以下簡稱VSM)，每臺VSM對外提供與普通服務(wù)器密碼機一致的密鑰管理和密碼運算服務(wù)(支持SM1/SM2/SM3/SM4算法)。同時，云服務(wù)器密碼機采用安全隔離技術(shù)，保障各VSM之間密鑰的安全隔離。

4. 密鑰管理服務(wù)

現(xiàn)有的云服務(wù)提供商可以提供基礎(chǔ)加密密鑰方案來保護基于云的應(yīng)用開發(fā)和服務(wù)，或者他們將這些保護措施都交由他們的用戶決定。當云服務(wù)提供商向支持健壯密鑰管理的方案發(fā)展時，需要做更多工作來克服采用的障礙。

5. 數(shù)據(jù)加密(存儲&傳輸)

加密技術(shù)就是用來保護數(shù)據(jù)在存儲和傳輸(鏈路加密技術(shù))過程中的安全性，對做存儲的技術(shù)人員來說，平常遇到的加密方案和技術(shù)主要是存儲后端支持加密，如加密盤或存儲加密。但加密技術(shù)從數(shù)據(jù)加密位置一般分為應(yīng)用層加密(如備份軟件，數(shù)據(jù)庫)，網(wǎng)關(guān)層加密(如加密服務(wù)器，加密交換機等)，存儲系統(tǒng)加密和加密硬盤技術(shù)。

兼容性最好的當屬應(yīng)用層加密技術(shù)(很多辦公軟件都是這種加密實現(xiàn)方式)，因為這種加密方案在存儲、網(wǎng)絡(luò)層是無感知的。個人認為應(yīng)用層加密技術(shù)意義和實用價值更大些，可以保證數(shù)據(jù)端到端的安全性，而不是只在存儲側(cè)或磁盤上數(shù)據(jù)是安全加密的。

二、數(shù)據(jù)備份和恢復

1. 數(shù)據(jù)備份

百度上說：數(shù)據(jù)備份是容災(zāi)的基礎(chǔ)，是指為防止系統(tǒng)出現(xiàn)操作失誤或系統(tǒng)故障導致數(shù)據(jù)丟失，而將全部或部分數(shù)據(jù)集合從應(yīng)用主機的硬盤或陣列復制到其它的存儲介質(zhì)的過程。

隨著技術(shù)的不斷發(fā)展，數(shù)據(jù)的海量增加，不少的企業(yè)開始采用網(wǎng)絡(luò)備份。網(wǎng)絡(luò)備份一般通過專業(yè)的數(shù)據(jù)存儲管理軟件結(jié)合相應(yīng)的硬件和存儲設(shè)備來實現(xiàn)。企業(yè)還可以通過高速光纖通道線路和磁盤控制技術(shù)將鏡像磁盤延伸到遠離生產(chǎn)機的地方，鏡像磁盤數(shù)據(jù)與主磁盤數(shù)據(jù)完全一致，更新方式為同步或異步。

2. 數(shù)據(jù)恢復演練

當存儲介質(zhì)出現(xiàn)損傷或由于人員誤操作、操作系統(tǒng)本身故障所造成的數(shù)據(jù)看不見、無法讀取、丟失。工程師通過特殊的手段讀取卻在正常狀態(tài)下不可見、不可讀、無法讀的數(shù)據(jù)。

硬件故障占所有數(shù)據(jù)意外故障一半以上，常有雷擊、高壓、高溫等造成的電路故障，高溫、振動碰撞等造成的機械故障，高溫、振動碰撞、存儲介質(zhì)老化造成的物理壞磁道扇區(qū)故障，當然還有意外丟失損壞的固件BIOS信息等。硬件故障的數(shù)據(jù)恢復當然是先診斷，對癥下藥，先修復相應(yīng)的硬件故障，然后根據(jù)修復其他軟故障，最終將數(shù)據(jù)成功恢復。

亂入一下，其實數(shù)據(jù)恢復是一個技術(shù)含量比較高的行業(yè)，數(shù)據(jù)恢復技術(shù)人員需要具備匯編語言和軟件應(yīng)用的技能，還需要電子維修和機械維修以及硬盤技術(shù)

3. 備份加密

(1) 數(shù)據(jù)容災(zāi)

數(shù)據(jù)容災(zāi)是指建立一個異地的數(shù)據(jù)系統(tǒng)，為了保護數(shù)據(jù)安全和提高數(shù)據(jù)的持續(xù)可用性，企業(yè)要從RAID保護、冗余結(jié)構(gòu)、數(shù)據(jù)備份、故障預警等多方面考慮，將數(shù)據(jù)庫的必要文件復制到存儲設(shè)備的過程，備份是系統(tǒng)中需要考慮的最重要的事項,雖然他們在系統(tǒng)的整個規(guī)劃。

(2) 數(shù)據(jù)脫敏

數(shù)據(jù)脫敏是指對某些敏感信息通過脫敏規(guī)則進行數(shù)據(jù)的變形，實現(xiàn)敏感隱私數(shù)據(jù)的可靠保護。在涉及客戶安全數(shù)據(jù)或者一些商業(yè)性敏感數(shù)據(jù)的情況下，在不違反系統(tǒng)規(guī)則條件下，對真實數(shù)據(jù)進行改造并提供測試使用，如身份證號、手機號、卡號、客戶號等個人信息都需要進行數(shù)據(jù)脫敏。

(3) 數(shù)據(jù)刪除

百度說，如果表格中存在錯誤或重復的數(shù)據(jù)，比較簡單、快捷的方法就是選定該數(shù)據(jù)，然后將其刪除。進行數(shù)據(jù)刪除時分為兩種：常用數(shù)據(jù)刪除的方法和偽列數(shù)據(jù)刪除的方法。

偽列值刪除數(shù)據(jù)：

敏感數(shù)據(jù)處理：

加密以確保數(shù)據(jù)隱私，使用認可的算法和較長的隨機密鑰;

先進行加密，然后從企業(yè)傳輸?shù)皆铺峁┥?

無論在傳輸中、靜態(tài)還是使用中，都應(yīng)該保持加密;

云提供商及其工作人員根本無法獲得解密密鑰;

雖然加密是隱私專家們一致認為是安全基石的基本技術(shù)，但云端加密困難重重。如何構(gòu)建圍繞云端大數(shù)據(jù)全生命周期的可管、可控、可信的數(shù)據(jù)安全體系，將大數(shù)據(jù)安全和云數(shù)據(jù)應(yīng)用深度融合，制定頂層規(guī)劃，保障云安全產(chǎn)業(yè)健康發(fā)展，成為了大數(shù)據(jù)應(yīng)用和安全研究領(lǐng)域中的主要科學問題。