等保2.0下的云计算数据安全建设

王永红

（安徽省电子产品监督检验所［安徽省信息安全评测中心］，安徽 合肥 230061）

0 引言

近年来，随着信息革命的不断发展，传统方式的应用越趋于复杂，需要更多的用户访问，计算能力要求更强，对完全可靠性要求更高。越来越多的用户将数据上传到云服务器中，数据安全也越来越受到人们的重视。已有的《信息安全技术 信息系统安全等级保护基本要求》已经不能满足等级保护工作的需要，因此2019年5月3日，国家市场监督管理总局正式发布《信息安全技术网络安全等级保护基本要求》2.0版本，针对云计算、大数据、移动互联、物联网、工业控制等技术提出了安全扩展要求。本文基于云计算的安全扩展要求，从数据安全角度出发，详细阐述了相关的数据风险，并结合健康医疗数据案例给出了相对应的措施。提高了云计算平台和用户抵御信息安全风险的能力。

1 云计算环境下数据存在的安全问题

任何一个事物都是有生命周期的，数据也不例外。作为计算机网络中最有价值的信息实体，其生命周期分为数据的采集、传输、存储、使用、共享、销毁环节。在云计算环境下，云服务商、不法攻击者和数据厂商等都可能成为数据安全威胁的因素。数据泄露在定程度上肯定会给用户造成经济损失，涉及个人信息的泄露可能会给用户带来人身攻击和精神伤害。诸多问题的存在，一定程度上阻碍了云计算技术的发展。

1.1 数据完整性问题

数据完整性[1]是指在云服务器上存储的数据未经授权不能修改的特点，从而确保数据的可靠性和一致性，即数据通过云计算环境产生、传输、处理和使用过程中不会遭到非授权对数据破坏或篡改，在云计算的环境下，使用者传送数据后，基本很难去校验数据完整性，且无法对自身数据进行控制，仅依靠云计算平台的安全性。常用的数据完整性验证方法有常用的数字签名技术、哈希算法以及目前动态签名完整性验证、基于第三方机构的完整性校验和基于双线性对等公开校验方法等。

1.2 数据泄露

在云计算环境下，数据的保密性可分为数据的机密性以及隐私性。其中数据的机密性指的是信息不能被非授权者、实体或进程利用或泄露的特性。而数据的隐私性指的是在数据收集、数据发布、数据挖掘等过程中不被恶意攻击者利用已有背景知识还原出原始数据信息或分析得到单个用户的敏感信息的特性。无论是机密性还是隐私性遭到破坏，都会造成数据的泄露。数据泄露是传统网络和云环境下的重要威胁。数据泄露后，给用户带来的不仅仅是经济方面的损失，负面影响是可想而知的。

1.3 数据的备份与恢复

因为在云计算的环境下，应用数据均存储在云服务器中，如果发生突发事件，导致数据丢失或损坏，对用户来说损失是难以估量的。所以如何确保云计算平台数据高效被反的同事，一旦发生灾难能够及时恢复数据是个很重要的问题。

2 数据保护方案

2.1 数据的完整性

针对云存储数据的完整性存在的问题，研究方面的成果不断涌现，以密码学为基础，提出了不同的解决方案。本文通过介绍一种PDP安全模型[2]，2007年Ateniese等人提出了此模型，它属于概率性验证的模型，通过验证数据文件的一个数据块从而判断整个数据文件的完整性，无需遍历访问整个数据文件。

其中主要有4个算法：

该模型主要分为两个过程，一是Setup初始化阶段，客户端运用密钥生成算法生成一对可匹配的公钥和密钥，再将原始文件F分为n 块，每个数据块，算法，产生其标签。最后客户端储存公私钥对，然后把原始文件数据F以及标签集合一同发送给服务器存储并将本地的原始数据和标签集合进行删除。二是Challenge-Verify：客户端进行周期性的随机选择文件数据块发起请求chal并发送给服务器，服务器收到挑战请求后，运行生成数据拥有证明的算法生成的证据V，从而返回到客户端。客户端收到证据V后，作为验证者，运行验证数据拥有证明的算法来验证V的正确性，从而检验原始文件F还是否完整。

2.2 数据的保密性

对于数据的机密性，目前能够使用的加密方法有对称加密与非对称加密方法，具体有流密码、分组密码和RSA密码等，对数据进行加密然后上传至服务器，这些方法可有效的处理数据机密性的问题。对于数据的隐私保护，本文结合健康医疗数据的案例提出将差分隐私、同态加密以及安全索引密文检索方法应用到其中，保护数据的隐私不被泄露，即使攻击者拥有最大的背景知识。

（1）差分隐私技术。针对数据的隐私性问题，研究者不断提出多种隐私保护技术，诸如k-anonymity、l-Diversity、t-Closeness等方法，但这些方法的缺陷是都需要特殊攻击假设和背景知识，2006年Dwork提出差分隐私模型[3]，该模型针对任意背景知识攻击给出了严格的隐私性的量化评估方法。差分隐私严格的数学定义如下：

中心化差分隐私[3]和本地化差分隐私[4]属于差分隐私主要两大类，中心化差分隐私认为服务器可信，本地化差分隐私则认为服务器不可信。

差分隐私不关注恶意攻击者是否拥有多少文化背景，即对于数据集中任意一条记录的添加或删除，都不影响算法的最终结果。在健康医疗数据中，当医院发布HIV病人的统计结果时，统计结果是100个人中有十个人感染HIV，假如攻击者知道99个人的患病信息，那么他把知道的99个人信息与医院发布的信息进行对比就可以知道第100个人进行对比，此时我们可以用差分隐私技术对发布结果进行加噪，不泄露第一百个人是否患HIV。

（2）同态加密与安全索引。同态加密属是将在传输过程中的数据进行加密，不需要密钥来解密就能对加密数据进行相关处理，且不会泄露任何原始内容，是一种对加密数据进行处理的功能。同时，持有密钥的用户在解密后就可以得到最终处理结果。本文介绍Paillier加密方案[5]，针对于统计数据，该算法噪声小，具体步骤如下：

选取两个大素数p和q，计算，随机选取参数g，，设函数，且g、n满足。

在2004年斯坦福大学的Eu-Jin Joh等人在提出了一种安全索引密文检索方法[6]，因为采用单Hash函数，所以它具有很高的安全性。该方法的基本原理是：在上传数据文件之前，为每个文件构造安全索引，该索引使用布隆过滤器进行加密。当进行检索时，首先生成关键词陷门，然后进行布隆检测就可以通过文件所对应的安全索引来确定关键词是否存在于这个文件中。其过程实现如下：

在健康医疗数据中，当我们需要统计HIV患者的男女比例，我们可以将艾滋疾，病人的性别作为关键词，用安全索引密文检索方法获得统计结果，得到HIV患者的男女比例；当我们需要统计怀孕妇女的平均年龄时，我们可以使用同态加密技术对密文进行计算，在本地进行解密密文得到怀孕妇女的平均年龄。在服务器不可信的情况下，使用这两种加密方法我们可以做到数据的隐私不被泄露。

2.3 数据的备份与恢复

（1）数据备份技术。当系统出现灾难或者故障以后，能够通过备份的数据文件将数据尽可能的恢复到原来的系统上，这称为数据的备份与恢复。

数据备份系统又称为容灾系统[7]，通过各种常用的备份机制将数据最大化的还原到原来的系统上，数据备份系统的核心是备份成功的数据，数据备份的常用三种机制包括LAN备份，LAN Free备份和Server Free备份。其中 LAN 为局域网，其适用范围最广，而后两种备份主要适用于专用于SAN（Storage Area Network，区域存储网络）数据存储。

（2）数据恢复技术。数据恢复技术主要有两种类型[7]，一种是容灾恢复技术，即数据丢失或破坏后，使用之前的备份数据迅速进行恢复，使用这种方式去恢复数据必须要有数据备份的存在。另外一种在系统数据丢失的时候通过较为底层的数据手段进行数据恢复的技术，不通过备份的数据去恢复数据。包括对磁盘片、硬盘磁道等进行恢复的硬件恢复技术，以及对文件系统、操作系统等进行恢复的软件恢复技术等。

当系统发生故障的时候，如果有数据备份的存在，且数据备份可以正常使用，就优先使用容灾恢复技术，如果出现备份的数据丢失或磁盘等硬件损坏等情况，需要根据不同的情况采用相应硬件或软件技术来进行数据恢复。

3 结语

本文在对现行等保2.0要求以及云计算发展趋势及基础上进行了分析，针对于数据安全所面临的风险，从数据的完整性，保密性，以及数据的备份与恢复进行了阐述，并结合健康医疗数据案例就数据的保密性提供了具体的防范措施。将相应的安全技术投入到系统中使用。不仅能有利于信息系统的安全，更能促进我国信息安全等级保护工作的展开，随着云计算技术的不断发展和应用，安全实践经验越来越多，数据的安全性将会不断的提高。