面向数据安全体系结构初步研究.docVIP

面向数据安全体系结构初步研究 　　摘要：提出了一种以数据为核心和面向数据的信息安全解决方案，即面向数据的安全体系结构（DOSA）。DOSA将通过网络用户身份认证、数据所有权确立、数据注册、加密呈现、授权使用、水印记录、过程溯源、数据监管、安全应用等方法，建立一套开放环境下的数据安全体系，从数据的采集、管理、应用等层面上，最大限度地保护数据安全。在数据交易、数据存储、数据传输、数据应用、数据隐私保护等方面，具有较大的应用前景。 　　关键词：面向数据的安全体系结构；数据所有权；加密呈现；数据安全 　　1 信息安全面临的挑战 　　信息安全关乎国家安全、社会稳定、企业利益和个人隐私。随着环境的开放，数据的急剧扩张，人们对数据的依赖程度越来越高。由于数据集中存放、系统安全漏洞、数据越权访问等情况，使信息安全问题愈发突出。随着数据时代的到来，要求我们以新的数据体系结构去适应新的社会发展要求。 　　（1）开放环境下需要有新一代的数据安全解决方案 　　中国政府提出的“互联网+”行动计划，要将移动互联网、云计算、大数据、物联网等作为新时期经济发展的重要推力，信息系统或应用体系所面临的环境更为开放，对数据和信息安全的要求更高。 　　通常情况下，一个相对安全的信息系统或应用体系，是建立在一个相对封闭和安全的环境中，通过“门窗加固”等方式来保证这个封闭环境是安全的或可信的，更加强调的是网络空间安全、系统安全、环境安全和应用安全。虽然和外部交换信息时是通过数据加密或虚拟专用网络（VPN）通道来传输数据，但在这个相对“安全”的内部环境里，大多数数据却是处于“裸露”状态的。一旦有不速之客通过各种漏洞或非法获得权限进入到这个环境，裸露的数据就面临着极大的危险。 　　一些数据中心所涉及的数据安全，多是指利用数据备份、数据灾备等技术来保障数据不丢失、不被破坏，但仍存在着越权访问等危险行为，造成数据和信息泄露的隐患。 　　封闭环境下的安全方法在开放环境下的面临着极大的挑战，开放环境下的数据安全成为重要的研究课题。文献[1]提出了开放网络环境下数据的发布与管理，涉及了单向加密、新人凭证等属性概念；文献[2]较系统地了开放环境下敏感数据的安全问题；文献[3]提出了开放环境下敏感数据防泄露若干关键技术，其中主要涉及威胁模型、数据管理机制、可信执行、数据封装加密、秘钥保存等问题；文献[4]提出基于关系数据库上基于数据目的概念分层的隐私数据访问控制机制（R-PAACEE）模型的隐私分析算法，可以判断用户隐私，且该方法，对于结构化数据、日志数据、XML数据均有判断力，并且依据不同场景进行了实验分析。 　　在开放环境下，除了网络安全和系统安全保障之外，还需要在安全的体系结构和安全的数据保护机制等方面有相应的举措。2012年，美国一些知名的数据管理领域的专家学者联合发布白皮书《Challenges and Opportunities with Big Data》，提出数据安全及系统架构问题的挑战[5]。 　　信息安全的核心就是数据的安全，开展面向数据和以数据为核心的数据安全体系研究是十分必要的。文献[6]在无线传感网络上的应用中对面向数据的安全模型进行过研究，但没有从面向数据的安全体系结构上开展研究。 　　因此，需要有一种新的安全体系结构，即面向数据的安全体系结构，来应对这个挑战。文章针对开放环境下数据安全性问题，进行了安全体系设计，引入了面向数据的技术架构，构建安全的数据访问机制。 　　（2）新时代下需要更底层的体系结构来保证数据安全和其应用 　　“互联网+”行动计划带给我们两点启示：一是以互联网为代表的信息技术集合由过去的行业性质，转变为了可以支撑其他行业发展的基础；二是只有“互联网+数据”，才能把传统行业加到互联网上去发展。 　　随着人类的发展，人们在地球上构建了不同的皮肤（见表1），让人类赖以生存、生活和发展，否则，就会被地球所淘汰。在由互联网构成的新皮肤上，承载着数据，使人的智慧得到提高，人类本身得到更好地发展。 　　人类经过漫长的文明发展之路，从物质文明进入到了非物质文明，亦即进入到目前以信息社会和数据时代为特征的非物质文明或文明3阶段，如表2所示。 　　由表2中可见，文明3的核心就是数据。从映射真实世界的虚拟世界，到信息、知识、智慧的根本，都是数据；从数据出发，才有信息、知识、智慧和决策；从网络连接传输的内容，到服务器、云主机、终端所存储、处理和展示的内容，也都是数据。数据是人类认识世界、沟通交流、获得知识、智慧决策的本源。一切技术、业务、功能、流程都是为了数据，并围绕数据而开展的。 　　数据在文明3和非物质文明中是至关重要的基本要素，因此以数据视角来看待文明3，就需要有面向数据的体系结构和安全体系结构，来支撑非物质文明的社会发