如何實現云數據治理中的數據安全?
1. 介紹
數據治理承擔著分配有關決策的權利和義務,以便數據可以作為公司資產進行管理。數據治理體系與整個數據生命周期相關,包括數據的產生、傳輸、使用、共享、存儲、歸檔、銷毀。因此,組織應該有一個整體的企業級數據治理策略,以最大化數據的價值并最小化潛在風險。
面對日益增長的數據量和復雜性,以及對融合、操作、存儲和呈現信息的需求,組織越來越強調數據的治理。而數據安全是數據治理中的一個重要領域,安全性被認為是最大的數據治理挑戰。
2. 組織管理中的數據安全
2.1 外部組織
考慮到云數據治理需要與第三方交互,本文提出了問責機制來加強整體安全水平。它可以被定義為一種模型,可以向管理者和供應商提供交互式共享資源,如網絡、存儲、應用和服務。問責機制連接了三方,即組織、云提供商和證書協會(CA)。組織可以授權CA對云供應商采取監管行為 (如圖1所示)。
圖1 責任治理
在設計階段,圖2中的概念框架展示了對數據治理的設計。
圖2 數據治理設計的概念框架
2.2 內部組織
這一部分將研究管理架構。它主要包括三個相應的組,可以分為三級管理模型:一組高級管理人員,一個中層管理團隊和一個數據治理工作組:
圖2 數據治理中的三層管理模型
數據一直被認為是組織中的資產,與人力資產、金融資產、物理資產、知識產權資產一樣。數據訪問應由首席信息官和數據安全官管理,在數據訪問中控制安全性。為了解決IT和管理方面的組織問題,數據質量管理(DQM)應該建立與公司戰略和數據管理法律一致的組織范圍的指導方針和標準。這樣,從管理的角度來看,數據安全是相對具體的,因此,它可能不會達到戰略級別。總體數據安全治理模型總結如下:
圖4 數據安全管理框架
從安全管理框架中可以看出,組織中的數據安全將基于三層架構來實現。IT治理將與整個過程集成,以實現業務戰略的整體應變。
3. 技術層面的云數據安全問題
3.1 云計算安全框架
具體到云計算的技術方面,數據安全問題可以分為幾個方面。Garner指出,云用戶應該詢問七個具體的安全問題,包括特權用戶訪問、法規遵從性、數據位置、數據隔離、恢復、調查支持和長期可行性。云數據安全和云計算基礎設施相關的政策、控制和技術不同于傳統的IT環境。在這個范圍內,應該在整個數據生命周期中很好地部署數據安全和隱私。
云環境中的七個重大安全挑戰,包括數據定位、調查、數據隔離、長期生存能力、受損服務器、法規合規性和恢復。涉及未經授權的服務器、暴力攻擊、來自云服務提供商的威脅、篡改數據以及丟失用戶身份或密碼。可以在圖5中評估整體數據安全威脅。可以看出,安全緩解方法應該集成到數據生命周期的每個過程中,以實現數據的機密性、完整性和可用性。
圖5 數據生命周期中的數據安全威脅
根據評估,應重點關注與數據安全風險相關的四種技術方法,以保證數據的機密性、完整性和可用性:用戶認證、數據加密、三方協商和數據備份。
3.2 數據風險緩解機制
3.2.1 數據加密
加密被認為是防止入侵的最有效的方法之一,這是一種使用算法區分信息的方法。這是一種保護不受信任的云服務器中的數據的方法。加密是偽裝信息并將它們轉換成密文的過程,而解密是將它們恢復成可讀的形式。在云計算中,盡管有對稱加密和非對稱加密,但基于屬性的加密(ABE)和基于身份的加密(IBE)是具有細粒度訪問控制的高效系統。對于多個組織中生成的數據,訪問策略可以由多個機構執行。
a) 三種加密方法
在對稱加密中,用于加密消息的密鑰與用于解密消息的密鑰一致。使用非對稱加密時,用于加密消息的密鑰不同于用于解密的密鑰它。基于屬性的加密(ABE)和基于身份的加密 (IBE)可以通過授權管理來實現,這意味著所有的私鑰都應該在授權中心進行管理。為了避免集中攻擊,分層IBE和分層ABE在不同的級別進行管理,以便密鑰可以在不同的級別進行分配。
圖 6:對稱加
圖 7:不對稱加密
圖 8:基于屬性的加密
b) 三種加密方法的應用
在云計算中,結合使用這三種加密方法來保護數據安全。為了確保個人或企業使用的安全云存儲,可以首先使用唯一密鑰使用AES加密數據,然后基于屬性的加密可以加密唯一密鑰。哈梅內伊和哈納皮提出了一個使用 RSA和AES加密方法的數據共享方法。在這個框架中,發送者-接收者和云存儲系統 (CSS)。在第一個過程中,發送者將他的文檔傳輸到CSS系統。RSA算法將用于實現加密。之后,文檔應該從CSS系統交付給接收者。系統收到請求后,接收者的公鑰也將使用用戶的公鑰發送到CSS。最后,AES 加密算法將找到所需的文件,并將其與密鑰一起發送給用戶。
此外,還引入了許多其他加密應用程序。面向用戶的隱私保護協議(K2C)允許存儲,共享和管理他們的信息,這是不可信的匿名。
3.2.2 用戶認證
用戶認證意味著只有授權用戶才能訪問網絡內部的特定資源。通過回顧現有的認證方法,關鍵公共基礎設施(PKI)和單點登錄(SSO)技術主要用于云計算。公鑰基礎設施(PKI)。PKI提供了一個框架可以有效地大規模部署。它可以通過安全套接字層(SSL)和傳輸層安全性(TLS)支持網絡內外的身份管理和在線身份認證。它可以支持網絡內部和跨網絡的身份管理,以及使用安全套接字層(SSL)和傳輸層安全性(TLS)的在線身份認證。單點登錄技術利用單一認證動作來允許授權用戶訪問獨立但相關的軟件系統或應用程序。它降低了管理人員集中管理的風險,提高了用戶的工作效率。
3.2.3 數據備份和災難恢復技術
ISP在云計算中為用戶提供了顯著的存儲空間,用戶可以將數據更新到中央云。這樣,就產生了風險。一旦存儲在云中的數據由于特定原因消失,例如云破壞或自然災害,消費者的數據仍保留在云中,他們應該繼續依賴云提供商。為了解決這個問題,構建遠程數據備份服務是一種有效的方法。它是一個存儲領先云的全部數據的服務器,位于遠程位置,旨在當網絡或連接出現故障時,幫助客戶端從遠程服務器訪問數據。
