云时代的数据与信息安全防护

-3-云时代的数据与信息安全防护信息平安的主要目标之一是爱护用户数据和信息平安。当向云计算过渡时，传统的数据平安方法将遭到云模式架构的挑战。弹性、多租户、新的物理和规律架构，以及抽象的掌握需要新的数据平安策略。数据与信息平安的详细防护可分为以下几个方面。云计算用户的数据传输、处理、存储等均与云计算系统有关，在多租户、瘦终端接入等典型应用环境下，用户数据面临的平安威逼更为突出。针对云计算环境下的信息平安防护要求，需要通过采纳数据隔离、访问掌握、加密传输、平安存储、剩余信息爱护等技术手段，为云计算用户供应端对端的信息平安与隐私爱护，从而保障用户信息的可用性、保密性和完整性。

信息平安的主要目标之一是爱护用户数据和信息平安。当向云计算过渡时，传统的数据平安方法将遭到云模式架构的挑战。弹性、多租户、新的物理和规律架构，以及抽象的掌握需要新的数据平安策略。数据与信息平安的详细防护可分为以下几个方面。

1、数据平安隔离：为实现不同用户间数据信息的隔离，可依据应用详细需求，采纳物理隔离、虚拟化和Multi-tenancy等方案实现不同租户之间数据和配置信息的平安隔离，以爱护每个租户数据的平安与隐私。

2、数据访问掌握：在数据的访问掌握方面，可通过采纳基于身份认证的权限掌握方式，进行实时的身份监控、权限认证和证书检查，防止用户间的非法越权访问。如可采纳默认"denyall'的访问掌握策略，仅在有数据访问需求时才显性打开对应的端口或开启相关访问策略。在虚拟应用环境下，可设置虚拟环境下的规律边界平安访问掌握策略，如通过加载虚拟防火墙等方式实现虚拟机间、虚拟机组内部精细化的数据访问掌握策略。

3、数据加密存储：对数据进行加密是实现数据爱护的一个重要方法，即使该数据被人非法窃取，对他们来说也只是一堆乱码，而无法知道详细的信息内容。在加密算法选择方面，应选择加密性能较高的对称加密算法，如AES、3DES等国际通用算法，或国有商密算法SCB2等。在加密密钥管理方面，应采纳集中化的用户密钥管理与分发机制，实现对用户信息存储的高效平安管理与维护。对云存储类服务，云计算系统应支持供应加密服务，对数据进行加密存储，防止数据被他人非法窥探；对于虚拟机等服务，则建议用户对重要的用户数据在上传、存储前自行进行加密。

4、数据加密传输：在云计算应用环境下，数据的网络传输不行避开，因此保障数据传输的平安性也很重要。数据传输加密可以选择在链路层、网络层、传输层等层面实现，采纳网络传输加密技术保证网络传输数据信息的机密性、完整性、可用性。对于管理信息加密传输，可采纳SSH、SSL等方式为云计算系统内部的维护管理供应数据加密通道，保障维护管理信息平安。对于用户数据加密传输，可采纳IPSecVPN、SSL等VPN技术提高用户数据的网络传输平安性。

5、数据备份与恢复：不论数据存放在何处，用户都应当慎重考虑数据丢失风险，为应对突发的云计算平台的系统性故障或灾难大事，对数据进行备份及进行快速恢复非常重要。如在虚拟化环境下，应能支持基于磁盘的备份与恢复，实现快速的虚拟机恢复，应支持文件级完整与增量备份，保存增量更改以提高备份效率。

6、剩余信息爱护：由于用户数据在云计算平台中是共享存储的，今日安排给某一用户的存储空间，明天可能安排给另外一个用户，因此需要做好剩余信息的爱护措施。所以要求云计算系统在将存储资源重安排给新的用户之