云數(shù)據(jù)安全風險檢測研究

（公安部第三研究所華南技術研究中心 上海 200031）

隨著我國的計算機網(wǎng)絡與互聯(lián)網(wǎng)技術的飛速發(fā)展，云平臺等新型的服務模式與計算機技術應運而生。而云平臺產(chǎn)生的云數(shù)據(jù)是信息領域的一項重大的技術革命，隨著信息技術的發(fā)展向規(guī)模化、集約化、專業(yè)化的特點發(fā)展，從而存在處置風險成本較低、存儲容量大、計算能力強、便于管理和優(yōu)化等優(yōu)點，因而受到各云平臺用戶的熱衷，同時也得到了社會各界的重視。但是，隨著云平臺的不斷普及與應用、以及云平臺用戶不斷增加，云數(shù)據(jù)面臨的安全威脅不斷增加，云數(shù)據(jù)安全風險漏洞也隨之暴露。一旦云數(shù)據(jù)的安全風險未能得到有效的控制，勢必影響云數(shù)據(jù)的交互和應用，從而導致云平臺用戶遭受到巨大的經(jīng)濟損失，甚至對我國的國家安全造成一定的影響。

1 云數(shù)據(jù)的安全現(xiàn)狀分析

隨著云計算服務模式的誕生，社會用戶開始將自己的數(shù)據(jù)存儲在云端的服務器，從而產(chǎn)生眾多復雜的云數(shù)據(jù)。目前市面上云平臺結構復雜，云平臺用戶種類多樣，網(wǎng)絡程序交互開放，數(shù)據(jù)的流向難以摸索，云數(shù)據(jù)的全生命周期涉及多個平臺設備以及人員，云數(shù)據(jù)的安全防護貫穿了云數(shù)據(jù)的全生命周期。在數(shù)據(jù)管理責任、數(shù)據(jù)存儲方式以及數(shù)據(jù)的維護等方面，云平臺的數(shù)據(jù)安全與傳統(tǒng)數(shù)據(jù)中心的數(shù)據(jù)安全有重大的區(qū)別，云數(shù)據(jù)安全難以采用傳統(tǒng)的安全檢測和防護措施。對客戶而言，客戶通過依賴云計算對數(shù)據(jù)的處理從而實現(xiàn)了對自有數(shù)據(jù)的控制權，云數(shù)據(jù)相當于一種盒子數(shù)據(jù)，數(shù)據(jù)的存儲位置是透明不可見，客戶難以開展對自家數(shù)據(jù)的安全風險檢測和防護工作。綜上來看，云數(shù)據(jù)的安全風險涉及面廣，關系復雜，需要進行深入分析探討。

2 云數(shù)據(jù)的安全風險分析

2.1 數(shù)據(jù)采集風險

云平臺在進行數(shù)據(jù)采集時，需要告知被采集人數(shù)據(jù)采集范圍、數(shù)量和頻度，在征得被收集人的同意后方可進行，而且對采集后的數(shù)據(jù)進行分級分類，明確數(shù)據(jù)的密級和共享原則。但是往往部分云平臺為了工作方便，直接無視客戶的意愿強行采集數(shù)據(jù)，并且對用戶部分重要信息與其他普通數(shù)據(jù)進行共同存放，如個人敏感數(shù)據(jù)。如果云平臺在數(shù)據(jù)采集過程中沒有做好相關的告知工作和數(shù)據(jù)分級分類，容易導致數(shù)據(jù)被濫用等風險，數(shù)據(jù)一旦被不法分子利用，甚至出現(xiàn)電信詐騙等危害社會安全的事件。

2.2 數(shù)據(jù)傳輸風險

在數(shù)據(jù)的云計算過程中，用戶們的數(shù)據(jù)都是通過網(wǎng)絡來進行傳輸?shù)摹?shù)據(jù)通過網(wǎng)絡傳輸將會經(jīng)過多種多樣的電子設備、通訊設備以及相關的基礎設施。如果數(shù)據(jù)在傳輸?shù)倪^程中遭到外界干擾或者是被黑客采用中間人攻擊等攻擊行為時，那么就會出現(xiàn)數(shù)據(jù)的可用性、完整性和保密性遭到破壞的情況，進而產(chǎn)生數(shù)據(jù)泄露、數(shù)據(jù)網(wǎng)絡不可達、數(shù)據(jù)篡改等安全事件，直接影響到用戶的數(shù)據(jù)安全。

2.3 數(shù)據(jù)的存儲風險

云計算中通過將資源進行儲存，實現(xiàn)了資源的共享。在資源的儲存過程中也存在以下幾個風險：其一，由于云平臺儲存的設備存在老化的情況，不排除因磁盤機械損壞而導致客戶的數(shù)據(jù)丟失；其二，在部分云平臺上進行數(shù)據(jù)加密之后，數(shù)據(jù)管理系統(tǒng)難以實現(xiàn)基本的數(shù)據(jù)運算檢索操作。因此部分用戶為了使用方便未對數(shù)據(jù)進行加密存儲，那么這容易導致黑客入侵對數(shù)據(jù)進行竊取，從而帶來資源泄露的情況；其三，部分云數(shù)據(jù)的管理商為降低工作成本，將不同的用戶共有數(shù)據(jù)進行集合處理，卻未對其重新進行數(shù)據(jù)標記，這容易出現(xiàn)數(shù)據(jù)的原有標簽沖突或破壞的情況以及出現(xiàn)數(shù)據(jù)混雜的情況：其四，云數(shù)據(jù)管理商在進行數(shù)據(jù)儲存的過程中，為了有效節(jié)省儲存的空間，未對數(shù)據(jù)進行必要的容錯或者異地備份，如果云平臺發(fā)生意外情況，可能導致數(shù)據(jù)無法恢復，從而影響到數(shù)據(jù)的存儲安全。

2.4 數(shù)據(jù)在使用過程中的風險

在云數(shù)據(jù)使用數(shù)據(jù)的過程中，由于云供應商或云平臺用戶有意或者無意對數(shù)據(jù)進行了一系列不正確的操作，如越權共享數(shù)據(jù)、未對既定的發(fā)布對象進行數(shù)據(jù)發(fā)布等，容易出現(xiàn)數(shù)據(jù)泄露等風險。而發(fā)生數(shù)據(jù)使用的安全風險主要有以下方面的原因：其一，云平臺供應商的管理員在內(nèi)部安全培訓中缺乏數(shù)據(jù)安全的相關培訓，在設置云數(shù)據(jù)的管理權限時，未能按照安全要求識別不能共享的機密數(shù)據(jù)，亦未能精準識別有關人員的職責，從而導致云平臺供應商管理員直接泄露用戶重要信息；其二，由于云平臺用戶使用數(shù)據(jù)途徑簡單，只需要通過互聯(lián)網(wǎng)終端設備即可訪問云端服務器，且云平臺用戶的安全意識較為薄弱，未接受過專業(yè)化的數(shù)據(jù)使用安全知識，因此，容易出現(xiàn)因自身操作不當而導致的數(shù)據(jù)信息外泄的情況。其三，平臺系統(tǒng)在使用數(shù)據(jù)交換時，往往采用數(shù)據(jù)接口等技術工具。如果這些數(shù)據(jù)接口未做好安全防護措施，缺少身份鑒別、訪問控制、授權策略、簽名、時間戳等安全手段，可能會被黑客利用直接導出數(shù)據(jù)，從而導致數(shù)據(jù)泄露問題。

2.5 數(shù)據(jù)的銷毀風險

用戶在對數(shù)據(jù)完成了儲存或者使用之后，需要將原始的數(shù)據(jù)從云端服務器進行銷毀，如果云數(shù)據(jù)的管理操作人員采用的是邏輯刪除的方式，則容易出現(xiàn)客戶的數(shù)據(jù)殘留等未徹底銷毀數(shù)據(jù)的情況，一旦被黑客利用一系列的操作進行數(shù)據(jù)恢復，則造成了客戶隱私數(shù)據(jù)被泄露的情況。

2.6 數(shù)據(jù)的合規(guī)風險

在對云數(shù)據(jù)開展數(shù)據(jù)全生命周期的維護時，由于云平臺供應商相關法律意識較為薄弱，未能及時識別與數(shù)據(jù)有關的安全法律法規(guī)，如《中華人民共和國網(wǎng)絡安全法》，容易出現(xiàn)數(shù)據(jù)跨境、數(shù)據(jù)落地不合規(guī)等違法違規(guī)的情況。

2.7 數(shù)據(jù)的審計風險。

在對云數(shù)據(jù)進行治理過程中，云平臺供應商往往缺少國內(nèi)第三方有關部門機關對存在的風險進行審計。由于云平臺缺少內(nèi)審內(nèi)控的管理制度，亦缺乏內(nèi)部的有效監(jiān)管，導致云數(shù)據(jù)治理過程中潛在的安全風險未能及時識別，一旦相關風險被黑客利用，容易產(chǎn)生一系列的數(shù)據(jù)安全問題。

3 云數(shù)據(jù)安全風險檢測的方法

3.1 等級保護

云平臺供應商依照《中華人民共和國網(wǎng)絡安全法》的要求落實好云平臺的等級保護測評工作，及時發(fā)現(xiàn)云平臺風險。

3.2 定期巡檢

云平臺供應商內(nèi)部對數(shù)據(jù)管理系統(tǒng)進行定期巡檢，檢測數(shù)據(jù)管理系統(tǒng)的漏洞。

3.3 安全考核

云平臺供應商和云平臺用戶定期對涉及數(shù)據(jù)的相關人員進行安全考核，發(fā)現(xiàn)安全意識不足的人員。

3.4 安全審計

協(xié)助上級部門以及國家機關定期對云平臺數(shù)據(jù)依照國家法律法規(guī)以及國家對數(shù)據(jù)分級分類要求進行數(shù)據(jù)安全審計，以發(fā)現(xiàn)數(shù)據(jù)違規(guī)問題。

4 云數(shù)據(jù)安全風險的建議

4.1 云平臺供應商要加強云數(shù)據(jù)的技術研究

如果云平臺供應商對云數(shù)據(jù)風險檢測技術落后，容易導致數(shù)據(jù)的安全風險隱患難以被發(fā)現(xiàn)。建議云平臺供應商要不斷加強對云數(shù)據(jù)技術的研發(fā)與應用，特別是云數(shù)據(jù)的權限控制、隱私保護、海量數(shù)據(jù)分布等方面，加強相關數(shù)據(jù)的隔離、銷毀與追回的技術研究，學習國內(nèi)外先進的研發(fā)技術，盡可能地改變我國目前云數(shù)據(jù)核心技術對國外技術過于依賴的情況，確保云計算數(shù)據(jù)可以得到安全可靠的落實與保障。

4.2 加強云平臺的數(shù)據(jù)維護人員的安全防范意識

為了更好促進云數(shù)據(jù)安全風險的防范工作，相關的數(shù)據(jù)維護人員必須要全面增強自身的網(wǎng)絡安全防范意識，加強自身的學習，通過網(wǎng)課、線下培訓、沙龍等方式來了解云數(shù)據(jù)的最新技術，實時關注信息的安全動態(tài)問題。例如云數(shù)據(jù)信息儲存的過程中，要部署數(shù)據(jù)的加密防護、入侵檢測等措施，對客戶的重要信息要進行雙重認證、數(shù)字簽名、對重要數(shù)據(jù)進行安全備份等措施。

4.3 云平臺數(shù)據(jù)管理員在工作的過程中堅持自己的職業(yè)道德規(guī)范

日常工作時，要接收安全培訓，堅持自己的職業(yè)道德，拒絕誘惑，遵守法律法規(guī)要求，杜絕出現(xiàn)泄露內(nèi)部機密和用戶敏感信息的情況。

4.4 云平臺用戶要養(yǎng)成良好的上網(wǎng)習慣

云平臺用戶在接觸數(shù)據(jù)的過程中，要養(yǎng)成良好的上網(wǎng)習慣，即在上網(wǎng)時，相關的終端設備要配備殺毒的軟件，定期對殺毒軟件進行檢查、更換、升級，防止出現(xiàn)惡意用戶非法訪問的情況。同時對于一些來歷不明的郵件、網(wǎng)站以及鏈接，不要隨便點開或者訪問。在選用工作設備的過程中，要響應國家號召，積極購買國產(chǎn)設備，拒絕使用具有后門的國外產(chǎn)品，有效維護我國的云數(shù)據(jù)的安全問題。

4.5 云平臺用戶要合理地選擇供應商

市場上云平臺供應商的服務質量參差不齊，云平臺用戶要合理地選擇供應商，最大程度確保云數(shù)據(jù)服務的質量與安全，為數(shù)據(jù)的安全防護提供相關的措施。

5 結束語

綜上所述，隨著我國經(jīng)濟社會的不斷發(fā)展，云數(shù)據(jù)是我國目前信息技術的核心，對人們的生產(chǎn)生活產(chǎn)生了越來越大的影響，人們必須要正確認識到云數(shù)據(jù)目前存在的一系列缺點和不足，采取有效的措施，全面提高云數(shù)據(jù)的安全防護能力，提高人員的安全意識與職業(yè)道德修養(yǎng)，推動云數(shù)據(jù)專業(yè)技術研究，使我國的云數(shù)據(jù)風險問題得到更好的解決，有效推動我國云數(shù)據(jù)技術向著更好更穩(wěn)定的方向發(fā)展。