学文网[摘 要]随着云存储时代的到来和科技的进步,档案材料从纸质到数字化再到云数据的飞跃,每时每刻都有数据的飞速增长,信息档案数据量每秒更新亿万。但是对于敏感的个人数据、档案文件、文件等有关隐私和机密的文件数据也大量储存于互联网的云存储中,怎样让特定的人看到特定的数据文件,不仅关乎档案文件管理工作的保密性,甚至关乎到云存储存亡的关键,所以建立一个有效易行的加密方式就是文件安全存储的关键工作。
[关键词]加密技术 云存储
中***分类号:G270.7 文献标识码:A 文章编号:1009-914X(2016)16-0325-01
正文:
数据的机密性保护是一个老问题,现在由于可移动存储设备、笔记本电脑和手持智能设备的普遍使用,进一步地加剧了数据的泄漏问题。
因机密数据的泄漏不仅会带来经济和资产的损失,如果泄漏的机密数据是人们的隐私信息,例如银行信息、身份证号等信息,那么就会带来很大的社会问题。如果泄露的是国家机密文件的话,那么影响就巨大了。
因而国家出台法律,对很多敏感行业制定了数据保护法案,强制使用安全措施来保护机密数据的安全。以下对数据的加密方式进行详细讲解。
一、数据加密方式
现在市面上主要有以下三种数据加密方式:文件或文件夹加密方式,全盘加密(FDE技术)技术,智能加密产品,以下就三种文件加密方式进行详解。
1、文件或文件夹加密方式
文件/文件夹加密产品目前加密主要的方式,这三种主要方式包括:文件加密产品、文件夹加密产品和文件/文件夹加密产品。文件或文件/文件夹加密产品通常需要用户自己操作需要加密的文件或文件夹。文件或文件/文件夹加密产品是很容易实现的。
但是,这些产品需要用户参与,如果用户不注意就会造成遗漏,而且,这些产品并不能对临时文件夹和交换空间进行加密,这就造成了一些敏感信息的副本仍然没有被加密。而且,一些在远程系统上经过妥善加密了的文件及文件夹也不能轻易地证明它已经是被加密过了的。
2、全盘加密(FDE技术)技术
全盘加密技术产品,由它的名字就可以清楚地知道它是针对整个硬盘或某个卷的。这样,包括操作系统、应用程序和数据文件都可以被加密。通常这个加密解决方案在系统启动时就进行加密验证,一个没有授权的用户,如果不提供正确的密码,就不可能绕过数据加密机制获取系统中的任何信息。
全盘加密技术是一种非常成熟的技术,而且非常容易使用和配置,因为只需要用户决定如个磁盘或卷需要加密即可。而且除了需要用户记住加密密码之外,其它的操作都不需要用户参与。它还能保护操作系统、临时文件夹、交换空间,以及所有可以被加密保护的敏感信息。
但是,要加密整个磁盘的速度是非常慢的,对一些大容量的文件也是如此。虽然现在的全盘加密产品的加密速度有了长足的提高,但是,在实际的使用过程中,如果磁盘或卷中存款额大量的文件,那么其加密速度还是看起来非常慢的。并且,如果磁盘的主引导记录可能使它与备份和恢复程序很难共存,一旦磁盘发现故障或错误,那么将会造成数据无法被正确恢复的局面。
3、智能加密产品
新出现的智能加密产品结合了文件及文件夹加密产品和全盘加密产品的主要特点。例如国内比较有名的是思智ERM301企业数据智能加密系统。这些混合的解决方案与文件/文件夹加密产品有一定的相似之外,因为它可以由用户决定只加密文件或文件夹,而不需要加密操作系统或应用程序。这将大大减少加密所费的时间,提高加密的性能。另外,它还允许管理员指定加密文件的具体类型,例如电子表格或PPT,以及某些具体应用产品,例如财务和人力资源应用。
智能加密技术确保指定的文件类型或应用类型都能加密,而不需要文件是否存在于某个指定的加密文件夹。并且,这种技术不会干扰备份和恢复、补丁管理或强制认证产品。但是,要确保所有机密信息都得到保护,我们就需要知道它们是什么,以及存在于什么位置。如果我们没有一种了机密信息的处理机制,那么还是使用全盘加密技术比较可靠。
以下对特殊的文件存储--云存储加密进行具体讲解,并就优缺点进行分析。
二、云存储的加密方式
云存储模式所存在的问题已经困扰行业多年,在静态数据加密存储的过程中,只有实现真正意义上的数据私有化才能保证数据的安全,保障数据拥有者的利益。
1、云存储应用中的加密技术
云存储应用中的存储安全包括认证服务、数据加密存储、安全管理、安全日志和审计。对用户来说,在上述4类存储安全服务中,存储加密服务尤为重要。加密存储是保证客户私有数据在共享存储平台的核心技术,是对指定的目录和文件进行加密后存储,实现敏感数据存储和传送过程中的机密性保护。根据形态和应用特点的差异,云存储系统中的数据被分为两类:动态数据和静态数据。动态数据是指在网络中传输的数据,而静态数据主要是指存储在磁盘、磁带等存储介质中的数据。
(1)静态数据加密
对于那些在云中存储备份自己长期数据的客户,他们可以将自己的数据加密,然后发送密文到云存储提供商(cloud storage provider,CSP)。目前,大多数该类解决方案基于用户的数字证书进行认证和加密。用户使用数字证书向云管理系统进行身份认证,并使用对称密钥在本地加密云中存储的数据,同时使用证书公钥加密对称密钥,然后将加密后的数据传到云中进行存储。这些客户控制并保存密钥,当客户要获取数据时,先将云中密文***到本地,再由客户自行解密该数据。
该模式的优点是:只有客户可以解密云中的存储数据,可以有效地保证数据的私密性。缺点是:客户端需要较强的密码运算能力来实现加密功能,同时用户数据的加密密钥必须保管安全,一旦丢失,将无法恢复数据,且该模式只适用于客户自己生成的静态数据加密,对于在IaaS、PaaS、SaaS下在云中产生的动态数据无法使用该模式进行加密。
(2)动态数据加密
对于在云计算环境中产生的动态数据,只能由云计算管理系统进行加密,虽然CSP的网络比开放网络安全。在多租户的云计算应用模式下,客户租用云计算系统的计算能力,虚拟化技术使得一个客户的应用以不同层次与其他客户的应用共享物理资源,因此客户在云计算环境中产生的数据不可避免地交由云计算环境进行加密。
该模式的优点是:客户不需要为不同的云应用保管各种不同的密钥,而是交由云计算环境统一管理,具有更高计算服务提供商,同时云计算管理系统需要提供一个统一、有效、可扩展的云计算密钥管理框架,用于为各类客户提供各种类型密钥的统一管理,实现各种密钥操作。
结论:
从以上内容中就可以看出,部署一个数据加密解决方案是相当繁杂的过程,选择适当的云数据的加密方案,才能彻底解决数据安全问题。
转载请注明出处学文网 » 档案文件云存储加密安全研究