云安全防護(hù)：數(shù)據(jù)安全本章內(nèi)容云計(jì)算數(shù)據(jù)安全綜述數(shù)據(jù)加密：應(yīng)用及限制云數(shù)據(jù)安全：敏感數(shù)據(jù)分類云數(shù)據(jù)存儲云鎖定云計(jì)算數(shù)據(jù)安全綜述在公共云、社區(qū)云、混合云中存儲和處理敏感數(shù)據(jù)相對于私有數(shù)據(jù)中心而言引起的顧慮：當(dāng)數(shù)據(jù)不再在機(jī)構(gòu)內(nèi)部管理時，數(shù)據(jù)擁有機(jī)構(gòu)的控制力降低數(shù)據(jù)擁有機(jī)構(gòu)擔(dān)心多重租賃的云本身會對敏感數(shù)據(jù)帶來風(fēng)險云計(jì)算數(shù)據(jù)安全綜述數(shù)據(jù)控制與公用云經(jīng)濟(jì)將數(shù)據(jù)移動至遠(yuǎn)程運(yùn)行模式并不一定會帶來新的風(fēng)險，事實(shí)上這還可能會提高安全性。將數(shù)據(jù)委托給外部保管者所產(chǎn)生的結(jié)果可能是：更好的安全性，以及更加經(jīng)濟(jì)有效。為存儲高度敏感數(shù)據(jù)提供災(zāi)難恢復(fù)的服務(wù)確保磁介質(zhì)完全銷毀的服務(wù)云計(jì)算數(shù)據(jù)安全綜述機(jī)構(gòu)責(zé)任：所有權(quán)與保管權(quán)兩種狀態(tài)的數(shù)據(jù)：靜態(tài)數(shù)據(jù)（存儲在云中的數(shù)據(jù)）動態(tài)數(shù)據(jù)（出入云的數(shù)據(jù)）安全三元組：保密性完整性可用性數(shù)據(jù)擁有機(jī)構(gòu)對數(shù)據(jù)的控制和責(zé)任逐漸增加應(yīng)用程序中間件客戶操作系統(tǒng)管理程序存儲硬件網(wǎng)絡(luò)應(yīng)用程序中間件客戶操作系統(tǒng)管理程序存儲硬件網(wǎng)絡(luò)應(yīng)用程序中間件客戶操作系統(tǒng)管理程序存儲硬件網(wǎng)絡(luò)對安全能力的深入需求數(shù)據(jù)擁有機(jī)構(gòu)對數(shù)據(jù)的控制和責(zé)任逐漸增加SaaSPaaSIaaS數(shù)據(jù)擁有機(jī)構(gòu)云服務(wù)提供商云計(jì)算數(shù)據(jù)安全綜述靜態(tài)數(shù)據(jù)定義：任何存儲在計(jì)算機(jī)中的數(shù)據(jù)，包括雇員計(jì)算機(jī)中的文件、服務(wù)器中的企業(yè)文件、以及這些文件拷貝在異地的磁帶備份。準(zhǔn)備利用外部云提供商對數(shù)據(jù)進(jìn)行存儲需要考慮的問題：泄露風(fēng)險是可接受的確保提供商有能力成為你的數(shù)據(jù)保管者可能趨勢：較高安全保障的云服務(wù)可能會收取額外費(fèi)用云計(jì)算數(shù)據(jù)安全綜述動態(tài)數(shù)據(jù)定義：是指數(shù)據(jù)從以文件或數(shù)據(jù)庫條目存儲的形式，轉(zhuǎn)變成位于相同

或不同地點(diǎn)的另一種形式。傳輸中的數(shù)據(jù)動態(tài)數(shù)據(jù)只存在于點(diǎn)對點(diǎn)的傳輸中數(shù)據(jù)包可能緩存在中間系統(tǒng)上任何一個端點(diǎn)都可能創(chuàng)建臨時文件保護(hù)數(shù)據(jù)最好的方法是加密云計(jì)算數(shù)據(jù)安全綜述云數(shù)據(jù)安全的常見風(fēng)險釣魚（Phishing）保護(hù)措施：S邏輯過濾GoogleApps/Docs/Services登錄會話和密碼復(fù)查AmazonWebService認(rèn)證引用URL監(jiān)測行為策略有特權(quán)訪問的提供商人員數(shù)據(jù)起始點(diǎn)與沿襲數(shù)據(jù)加密：應(yīng)用及限制密碼技術(shù)綜述為了達(dá)到密碼數(shù)據(jù)的保密性，需要滿足：在將明文轉(zhuǎn)換成密文的過程中，算法和實(shí)施必須有計(jì)算效率，解密也是如此算法必須公開，經(jīng)過密碼專家和其他團(tuán)體的廣泛分析生成的結(jié)果必須經(jīng)受住甚至由大量計(jì)算機(jī)所實(shí)施的暴力破解對稱加密和非對稱加密密碼學(xué)的四種基本使用：塊密碼流密碼密碼哈希函數(shù)認(rèn)證數(shù)據(jù)加密：應(yīng)用及限制數(shù)據(jù)加密的常見失誤或錯誤當(dāng)密碼安全是可選項(xiàng)時沒有使用密碼當(dāng)你有選擇時，沒有使用密碼安全協(xié)議相信自己是密碼專家，或者發(fā)明自己的算法認(rèn)為自己可以實(shí)施一套現(xiàn)存的密碼算法在二進(jìn)制、配置或保密文件中嵌入了密碼或明文密鑰將密鑰與數(shù)據(jù)一起存儲汽車測試通過未加密電子郵件發(fā)送敏感數(shù)據(jù)云數(shù)據(jù)安全：敏感數(shù)據(jù)分類認(rèn)證與身份用戶認(rèn)證的形式個體所知道的，如密碼個體所擁有的，如安全令牌個體內(nèi)在的一些可測量的特性，如指紋聯(lián)合身份管理是云計(jì)算中身份管理的有效基礎(chǔ)云數(shù)據(jù)安全：敏感數(shù)據(jù)分類訪問控制技術(shù)自主訪問控制（DiscretionaryAccessControl，DAC）基于角色的訪問控制（RoleBasedAccessControl，RBAC）強(qiáng)制訪問控制（MandatoryAccessControl，MAC）云數(shù)據(jù)安全：敏感數(shù)據(jù)分類數(shù)據(jù)分類以及數(shù)據(jù)標(biāo)簽的使用數(shù)據(jù)或信息標(biāo)簽是一項(xiàng)信息安全技術(shù)，在機(jī)密信息的使用中已經(jīng)獲得了很大的成功，例如對于機(jī)密信息的非機(jī)密、機(jī)密、秘密、絕密和隔離的分層分類。標(biāo)簽頁支持非機(jī)密和非分級的分類，例如金融、業(yè)務(wù)戰(zhàn)略和人力資源。信息確定和分類的目標(biāo)是搭建用于控制和數(shù)據(jù)管理的以信息為中心的框架。鴕鳥方法：將有價值的事物隱藏在顯而易見的地方并抱有樂觀的想法。保密級別的國度使用：將所有信息都分類或標(biāo)記為敏感的或者秘密。云數(shù)據(jù)安全：敏感數(shù)據(jù)分類靜態(tài)數(shù)據(jù)的加密應(yīng)用全磁盤目錄級（或文件系統(tǒng)）文件級應(yīng)用程序級

對用來加密和解密數(shù)據(jù)的密鑰的管理需求。還需要確定恢復(fù)方法，以應(yīng)對加密密鑰丟失的情況。另外還需考慮加密中可能存在的信道攻擊。云數(shù)據(jù)安全：敏感數(shù)據(jù)分類動態(tài)數(shù)據(jù)的加密應(yīng)用動態(tài)數(shù)據(jù)安全防護(hù)的兩個目標(biāo)是阻止數(shù)據(jù)被篡改以及當(dāng)數(shù)據(jù)處于運(yùn)動中時確保數(shù)據(jù)保持保密性。除了發(fā)送者和接受者以外，確保沒有其他地方可以監(jiān)測、理解或更改數(shù)據(jù)。保護(hù)動態(tài)數(shù)據(jù)最常見的方法是使用加密和認(rèn)證，創(chuàng)建一個管道，在這個管道中可以安全地傳送出入云的數(shù)據(jù)。加密用于確定雙方的通信完整性是否遭到破壞，以及數(shù)據(jù)是否保持保密性。使用認(rèn)證以確定正在數(shù)據(jù)通信的多方是否是他們所聲稱的身份。常見的認(rèn)證方法自身會以各種方式使用密碼系統(tǒng)。云數(shù)據(jù)安全：敏感數(shù)據(jù)分類數(shù)據(jù)的刪除清除：是指在安全等級可接受的環(huán)境中再次使用介質(zhì)之前，清除介質(zhì)上數(shù)據(jù)的過程。所有內(nèi)部存儲、緩存或其他可用的存儲都應(yīng)當(dāng)清除干凈，以有效防止對先前存儲信息的訪問。銷毀：銷毀是在安全等級不可接受的環(huán)境中再次使用介質(zhì)之前，消除介質(zhì)上數(shù)據(jù)的過程。信息系統(tǒng)資源在解除機(jī)密信息控制之前，或者授權(quán)在低等級機(jī)密環(huán)境下使用之前，應(yīng)當(dāng)被銷毀。數(shù)據(jù)的屏蔽數(shù)據(jù)屏蔽是一種用于移除數(shù)據(jù)所有可確認(rèn)以及明顯特征的技術(shù)，目的是使數(shù)據(jù)變得無個性特征而依然可以操作，從而在技術(shù)上減少了敏感信息泄露的風(fēng)險。云數(shù)據(jù)存儲云服務(wù)的數(shù)據(jù)安全：安全通道訪問控制加密安全三元組：保密性完整性可用性數(shù)據(jù)在多個物理設(shè)備間存儲，這些物理設(shè)備是作為存儲“單元”：基于RAID或先進(jìn)文件系統(tǒng)的數(shù)據(jù)復(fù)制數(shù)據(jù)在非共處的多個存儲單元之間同步為了獲得最大可用性跨單元的數(shù)據(jù)復(fù)制（數(shù)據(jù)在多個存儲單元間冗余存儲）云存儲：復(fù)制與可用性云數(shù)據(jù)存儲云的在線存儲將客戶端使用的API和協(xié)議（例如，代表性狀態(tài)傳輸REST或簡單對象訪問協(xié)議SOAP）解釋給那些由基于云的存儲服務(wù)使用的對象（例如，網(wǎng)絡(luò)文件系統(tǒng)NFS、Internet小型計(jì)算機(jī)系統(tǒng)接口iSCSI、光纖信道）。目標(biāo)是通過標(biāo)準(zhǔn)網(wǎng)絡(luò)協(xié)議支持對現(xiàn)有應(yīng)用程序的集成。與云內(nèi)存儲合作的備份和恢復(fù)功能。數(shù)據(jù)的現(xiàn)場加密，將密鑰本地保存到現(xiàn)場設(shè)備中。供應(yīng)商和產(chǎn)品：Gladnet、Nasuni云存儲網(wǎng)管、StorSimple和Emulex。云鎖定元數(shù)據(jù)定義：關(guān)于數(shù)據(jù)的數(shù)據(jù)，更準(zhǔn)確地說，它是關(guān)于高層面的信息，如數(shù)據(jù)來自哪里，誰對數(shù)據(jù)實(shí)施了什么操作，以及這些變動是何時發(fā)生的。避免云鎖定大型公共云服務(wù)機(jī)構(gòu)都提供數(shù)據(jù)導(dǎo)出功能，不僅包括數(shù)據(jù)的導(dǎo)出，還包括元數(shù)據(jù)的導(dǎo)出。案例：GoogleDocs可以多種格式導(dǎo)出托管的文檔，包括Microsoft和OpenOffice格式。AmazonWeb服務(wù)，提供一個導(dǎo)入/導(dǎo)出功能，可以容納海