论文部分内容阅读
摘 要:科技的进步是顺应历史的发展趋势,信息技术和社会形态发展到了新的阶段,新的问题也随之而来,个人信息安全的保护问题就是其中之一。
关键词:云服务;信息泄露;敏感信息;数据保护
引言
随着互联网和云计算技术的急速发展和普及,云计算在提高使用效率的同时,为数字内容安全和用户个人敏感信息保护带来了很大的挑战。
近年来针对云计算安全性的研究重点涉及数据安全、内容安全、隐私保护、运行环境安全、虚拟资源安全等几个方面,而针对敏感信息的保护问题,在虚拟化环境下尤为突出。从近年来发生网络信息平台用户信息泄露的事件来看,大多数系统安全隐患主要存在于两个方面:一方面是用户Web应用系统的后门或泄露,另一方面是用户IT支撑系统安全防护手段的缺失。这些事件都反映出云平台敏感信息保护工作的复杂性和多样性。
1 什么是云服务
云服务是基于互联网的相关服务的增加、使用和交互模式,通常涉及通过互联网来提供动态易扩展且经常是虚拟化的资源。云服务指通过网络以按需、易扩展的方式获得所需服务。这种服务可以是IT和软件、互联网相关,也可是其他服务。它意味着计算能力也可作为一种商品通过互联网进行流通。简单来说,云服务可以将企业、个人所需的软硬件、资料都放到网络上,在任何时间、地点,使用不同的IT设备互相连接,实现数据存取、运算等目的。当前,常见的云服务有公共云(Public Cloud)与私有云(Private Cloud)两种。
2 云服务面临的安全隐患和现状
科技的进步是顺应历史的发展趋势,信息技术和社会形态发展到了新的阶段,新的问题也随之而来,个人信息安全的保护问题就是其中之一。当互联网离大家生活越来越近,不难假设以下场景:起床开灯洗漱,看时间,乘坐交通工具,上班,消费,下班,休息,娱乐等等,在这过程中会使用到相关系统有的家庭电力系统,智能设备系统,智能家居系统,交通管理系统,财务系统,医疗系统等等,他们都会通过媒介将采集到的信息回传到各自搭建在云计算系统上的服务系统中。这些数据涵盖了個人社会生活工作中的所有方面,其中包括了个人信息的很多方面,也是行业数据的一部分。对这些数据进行挖掘分析和利用,将会产生很大的价值,对许多行业将产生作用。但是,社会中,存在复杂的利益团体,他们可能会为了自身的利益而滥用云系统中收集到的信息数据。技术上,广阔和复杂的网络环境和信息系统,给了破坏者可乘之机,并且有些技术本身就是存在两面:可以给用户带来方便和存在信息泄露的风险,比如用户追踪技术的应用:cookie追踪技术。分析可知,个人敏感信息的泄漏会发生在其任意生命周期中,产生,传播,存储,使用等等。在各个阶段中,除了意外情况以外,政府或其他监管方,个人,信息系统厂商或是第三方产品提供商,可能由于某一方或几方未能做好保护工作,最终导致个人信息敏感信息的泄漏。
2.1.缺乏信任的云计算
GreenSQL调查主要集中在一个主要问题:“当你将数据库转移到云端时,你最担心什么安全问题?”许多受访者表示,他们根本不相信目前云数据存储服务提供的安全水平,理由是,转移到云端意味着要完全信任服务供应商能够在庞大网络平台保持分割,而这个平台可以由多个客户端同时访问。
困扰云服务行业的另一个问题是数据备份机制,以及存储在云中的信息究竟如何避免滥用或丢失的问题。这些企业是不能确保数据备份会存储在单独的磁带或者专门的设备上的。事实是,你的这些备份信息会与其他客户的数据一起存储在供应商可以负担得起的备份媒介上。可怕的是,你不会知道谁,何时,能够访问这些信息。
2.2.供应商必须逐渐建立信任
惠普软件高级安全策略师兼著名云安全专家Rafal Los表示,云数据存储供应商可以通过持续的保障措施来增加客户对其服务的信任,例如主动安全监测,定期发布安全状态报告以及遵守可行的法规。
Los表示:“客户不是要一份过时的合规报告,显示你即时打补丁,或者数月之久的渗透测试结果,他们想知道你的环境现在是健康和安全的。系统安全与系统健康紧密联系,这两者必须与分析平台整合,例如与惠普OpsAnalytics平台—提供实时性能遥测分析和全面的日志分析,让用户能够确定是否有现实世界无法检测的攻击,或者说找出‘未知攻击’。”
3 云服务泄露信息的方式
数据泄露的方式是比较多的,云服务产生信息泄露的方式当然也包括在其中,主要有以下几种:
(1)黑客和间谍窃密
(2)外部竞争对手窃密
(3)人员离职带走数据
(4)内部人员泄密
(5)文档权限失控
(6)存储设备丢失和维修失密
(7)对外信息发布失控
4 怎样安全使用云服务
用户是整个网络安全体系的短板,作为互联网时代的网民,应该必备的信息安全知识和方法。
(1)作为常识,我们都应该选择面向全球或全国提供云服务的比较出名的服务商。
(2)遵循强密码约束(大小写字母、数字以及特殊符号混编,10位以上),区别对待重要程度不同的帐户,避免使用相同密码。
(3)防止木马或钓鱼陷阱。建议不要浏览色情网站、不要打开来源不明的链接。
(4)对重要的数据做好备份,以防止数据丢失。
(5)免费云存储服务没有商业级安全承诺和保障,尽量不要存储个人的敏感信息和隐私数据。
(6)云存储服务基本都提供文件分享功能,应尽可能选择加密分享,完全公开前应先确定是否涉及秘密信息。
5 总结
对于个人,在提高人们对自身个人敏感信息保护意识的同时,尽可能的防止没有意识的个人信息泄漏,避免给恶意攻击者可乘之机。各种信息系统的安全漏洞可能会客观一直存在,直到被发现后得到修复,所以系统用户如果发现了,就应该尽快的反馈到系统提供的厂商。
关键词:云服务;信息泄露;敏感信息;数据保护
引言
随着互联网和云计算技术的急速发展和普及,云计算在提高使用效率的同时,为数字内容安全和用户个人敏感信息保护带来了很大的挑战。
近年来针对云计算安全性的研究重点涉及数据安全、内容安全、隐私保护、运行环境安全、虚拟资源安全等几个方面,而针对敏感信息的保护问题,在虚拟化环境下尤为突出。从近年来发生网络信息平台用户信息泄露的事件来看,大多数系统安全隐患主要存在于两个方面:一方面是用户Web应用系统的后门或泄露,另一方面是用户IT支撑系统安全防护手段的缺失。这些事件都反映出云平台敏感信息保护工作的复杂性和多样性。
1 什么是云服务
云服务是基于互联网的相关服务的增加、使用和交互模式,通常涉及通过互联网来提供动态易扩展且经常是虚拟化的资源。云服务指通过网络以按需、易扩展的方式获得所需服务。这种服务可以是IT和软件、互联网相关,也可是其他服务。它意味着计算能力也可作为一种商品通过互联网进行流通。简单来说,云服务可以将企业、个人所需的软硬件、资料都放到网络上,在任何时间、地点,使用不同的IT设备互相连接,实现数据存取、运算等目的。当前,常见的云服务有公共云(Public Cloud)与私有云(Private Cloud)两种。
2 云服务面临的安全隐患和现状
科技的进步是顺应历史的发展趋势,信息技术和社会形态发展到了新的阶段,新的问题也随之而来,个人信息安全的保护问题就是其中之一。当互联网离大家生活越来越近,不难假设以下场景:起床开灯洗漱,看时间,乘坐交通工具,上班,消费,下班,休息,娱乐等等,在这过程中会使用到相关系统有的家庭电力系统,智能设备系统,智能家居系统,交通管理系统,财务系统,医疗系统等等,他们都会通过媒介将采集到的信息回传到各自搭建在云计算系统上的服务系统中。这些数据涵盖了個人社会生活工作中的所有方面,其中包括了个人信息的很多方面,也是行业数据的一部分。对这些数据进行挖掘分析和利用,将会产生很大的价值,对许多行业将产生作用。但是,社会中,存在复杂的利益团体,他们可能会为了自身的利益而滥用云系统中收集到的信息数据。技术上,广阔和复杂的网络环境和信息系统,给了破坏者可乘之机,并且有些技术本身就是存在两面:可以给用户带来方便和存在信息泄露的风险,比如用户追踪技术的应用:cookie追踪技术。分析可知,个人敏感信息的泄漏会发生在其任意生命周期中,产生,传播,存储,使用等等。在各个阶段中,除了意外情况以外,政府或其他监管方,个人,信息系统厂商或是第三方产品提供商,可能由于某一方或几方未能做好保护工作,最终导致个人信息敏感信息的泄漏。
2.1.缺乏信任的云计算
GreenSQL调查主要集中在一个主要问题:“当你将数据库转移到云端时,你最担心什么安全问题?”许多受访者表示,他们根本不相信目前云数据存储服务提供的安全水平,理由是,转移到云端意味着要完全信任服务供应商能够在庞大网络平台保持分割,而这个平台可以由多个客户端同时访问。
困扰云服务行业的另一个问题是数据备份机制,以及存储在云中的信息究竟如何避免滥用或丢失的问题。这些企业是不能确保数据备份会存储在单独的磁带或者专门的设备上的。事实是,你的这些备份信息会与其他客户的数据一起存储在供应商可以负担得起的备份媒介上。可怕的是,你不会知道谁,何时,能够访问这些信息。
2.2.供应商必须逐渐建立信任
惠普软件高级安全策略师兼著名云安全专家Rafal Los表示,云数据存储供应商可以通过持续的保障措施来增加客户对其服务的信任,例如主动安全监测,定期发布安全状态报告以及遵守可行的法规。
Los表示:“客户不是要一份过时的合规报告,显示你即时打补丁,或者数月之久的渗透测试结果,他们想知道你的环境现在是健康和安全的。系统安全与系统健康紧密联系,这两者必须与分析平台整合,例如与惠普OpsAnalytics平台—提供实时性能遥测分析和全面的日志分析,让用户能够确定是否有现实世界无法检测的攻击,或者说找出‘未知攻击’。”
3 云服务泄露信息的方式
数据泄露的方式是比较多的,云服务产生信息泄露的方式当然也包括在其中,主要有以下几种:
(1)黑客和间谍窃密
(2)外部竞争对手窃密
(3)人员离职带走数据
(4)内部人员泄密
(5)文档权限失控
(6)存储设备丢失和维修失密
(7)对外信息发布失控
4 怎样安全使用云服务
用户是整个网络安全体系的短板,作为互联网时代的网民,应该必备的信息安全知识和方法。
(1)作为常识,我们都应该选择面向全球或全国提供云服务的比较出名的服务商。
(2)遵循强密码约束(大小写字母、数字以及特殊符号混编,10位以上),区别对待重要程度不同的帐户,避免使用相同密码。
(3)防止木马或钓鱼陷阱。建议不要浏览色情网站、不要打开来源不明的链接。
(4)对重要的数据做好备份,以防止数据丢失。
(5)免费云存储服务没有商业级安全承诺和保障,尽量不要存储个人的敏感信息和隐私数据。
(6)云存储服务基本都提供文件分享功能,应尽可能选择加密分享,完全公开前应先确定是否涉及秘密信息。
5 总结
对于个人,在提高人们对自身个人敏感信息保护意识的同时,尽可能的防止没有意识的个人信息泄漏,避免给恶意攻击者可乘之机。各种信息系统的安全漏洞可能会客观一直存在,直到被发现后得到修复,所以系统用户如果发现了,就应该尽快的反馈到系统提供的厂商。