云计算环境下信息保护和防泄漏系统设计和实现.docxVIP

云计算环境下信息保护和防泄漏系统设计 和实现 摘要：云计算是一种在大范围共享资源的新型服 务计算模式，但云用户信息保护与防泄漏是云计算应用中的 挑战之一，信息保护与防泄漏工作对云计算的安全至关重 要。本文就针对云计算环境下，提出了云计算信息保护与防 泄漏系统，并详细介绍了系统的设计思路与实现，对云计算 的推广应用具有一定的指导意义。 关键词：云计算；信息；保护；防泄漏；系统设计；ECA 规则；实现 中图分类号：TP311文献标识码：A DOI : 10.3969/j. issn. 1003-6970. 2013. 08. 031 本文著录格式：［1］赵云霖，赵云霁?云计算环境下信息 保护与防泄漏系统设计及实现［J］.软件，2013, 34 (8)： 101-103 0引言 自从2006年Google公司首次提出云计算(Cloud Computing)的概念以来，云计算已经开始慢慢走近我们的 生活。云计算是一种能使用户便捷、随需应变地对共享的可 配置计算资源共享池(如网络、服务器、存储器、应用程序 和服务)进行网络访问的模型，该模型可在最少的管理投入 或服务供应商介入的情况下快速实现资源的提供与发布 。云计算的好处是显而易见的。但是在云计算环境下信 息保护与防泄漏尤为突出，它直接影响到云计算的广泛部署 和应用。因此，必须采取综合措施才能解决用户的信息保护 与防泄漏问题，针对加密、访问控制等现有的安全技术无法 从根本上解决敏感用户防泄漏问题的现状，引入新技术手段 是解决该问题的关键。下面，就云计算环境下信息保护与防 泄漏系统的设计与实现展开研究。 1有关工作 目前，部分商业用户以及政府，维持有效控制自身数据 有着十分重要的作用，数据防泄漏、信息流控制、信息版权 管理等是目前较为常见的数据控制技术。数字权限管理技术 又称之为IRM, —般是文档版本在没有加密的状态下通过服 务器进行存储，一旦通过服务器将文档下载后，获得的版本 则属于加密类型的，接受文件的人员通过对服务器进行访问 得到解密祕钥后，才能够将文件内容打开。IRM采用文件客 户端的同时还应该对信任服务器进行共享，通常情况下，处 于云环境的状态时不能正常使用。IFC属于在强制访问控制 模型的文件中附加安全标签的类型，能够给数据处理时获得 保护提供保障，一旦需要对用户应用程序、操作系统进行修 改后才能时间，在云环境中应用有着较大的难度。一般DLP 是通过对代理权使用后，对用户所有的外发流量进行全面的 分析监控，代理釆用自身拥有的文件特征值对敏感数据进行 有效识别，避免出现泄露敏感信息的情况，由于DLP对文件 不会关注，主要是采取发布代理检测信息后进行相关的后继 操作，因此，标签技术使用在文中技术后便能够以流量检测 的方式设置在单位边界，并且在上传文件之后控制文件的工 作仍然能够继续，在云计算环境中适合使用。 2设计系统相关措施 整个系统框架示意图见图1,主要是通过浏览器插件、 策略库、服务端代理、客户端等方面构成。云服务代理提供 商与组织机构间存在的HTTP流量会受到服务端代理与客户 端的截获，通过的数据则会受到网络域中存在的代理代表检 测，通常提供商客户在对策略进行指定时，服务代理均会全 面执行，同时代理还会做好标记数据的工作。一般一个策略 库均有代理进行维护，将“事件-条件-动作”等一系列的 (ECA)规则存储在策略库中，ECA规则对传播数据的措施起 到指定的作用，一旦传输文件过程中对代理行为则会起到控 制的目的。ECA规则的格式相对来说较为容易理解，在一定 程度上降低代理间存在的通信难度。浏览器的插件在用户信 息获得收集后则有效的标记上传的问题，在代理检测过程中 客户端的代理通信以及插件会在上传文件时对用户进行明 确的告知。 上述系统架构示意图对云服务提供商与组织机构之间传输文件的具体过程进行全面展示： 用户在提交文件时主要是采用Web表单完成，浏 览器插件在外发HTTP请求上附加本地存储文件位置信息、 文件元数据信息、当前用户信息等方面系列标识信息。 代理服务器将请求截获，对用户标识信息进行取 回以及检测，接着与策略库中存在的ECA规则进行有效配置, 一旦规则得到满足后，请求动作则会得到代理的执行。 采用动作对文件上传中存在的用户认证信息进行 查询，通过分析用户反映的内容，在文件中加入标签，并且 记录请求, 记录请求, 给今后审计工作提供便利，代理会在云计算服务 的提供商中转发请求。 服务代理会通过分析标签的情况，对内容进行检 测，且参照ECA规则对客户端传送的文件进行处理，例如， 倘若云计算服务提供商会参照ECA规则的要求，对某企业上 传敏感类型的文件进行有效处理或者拒绝保存，倘若文件上 传后处于接收的状态，那么存储服务中则会接收到转发的请 求。 (1) (4)文