云計算環(huán)境下信息保護與防泄露系統(tǒng)設(shè)計及實現(xiàn)

王勇

[摘 要] 云計算作為大范圍資源共享型服務(wù)計算模式，它在信息保護和防泄漏系統(tǒng)設(shè)計當(dāng)中仍存在一定的不足，只有不斷提升云計算安全，才能夠逐步完善云計算信息保護和防泄漏系統(tǒng)。本文針對云計算環(huán)境下的信息保護和防泄漏系統(tǒng)進(jìn)行深入的分析研究，并提出明確的系統(tǒng)設(shè)計思路和實現(xiàn)方法。

[關(guān)鍵詞] 信息保護；系統(tǒng)設(shè)計；數(shù)據(jù)防護系統(tǒng)；云計算平臺

doi ： 10 . 3969 / j . issn . 1673 - 0194 . 2017. 01. 094

[中圖分類號] TP309；TP393.08 [文獻(xiàn)標(biāo)識碼] A [文章編號] 1673 - 0194（2017）01- 0167- 02

0 引 言

我們需要充分認(rèn)識到云計算環(huán)境下信息服務(wù)和防泄露工作建設(shè)的重要性，做好云計算系統(tǒng)全面科學(xué)部署，從根本上解決用戶信息的泄露問題，下面我們就云計算環(huán)境下的信息保護與防泄露系統(tǒng)設(shè)計和實現(xiàn)進(jìn)行闡述，不斷加強綜合措施建設(shè)，更好地滿足系統(tǒng)應(yīng)用安全和使用需求。

1 云計算環(huán)境下的信息保護與防泄露相關(guān)工作

開展信息防泄露工作無論是對政府部門還是商業(yè)機構(gòu)用戶的自身數(shù)據(jù)控制均發(fā)揮著重要的作用，當(dāng)前較為常見的數(shù)據(jù)控制技術(shù)有信息流控制、數(shù)據(jù)防泄露以及信息版權(quán)管理等。其中數(shù)字權(quán)限管理技術(shù)又被稱為IRM，通常是在文檔未加密的情況下進(jìn)行的存儲，而通過服務(wù)器進(jìn)行的文檔下載則必須要加密，文件使用人員只有進(jìn)行服務(wù)器訪問獲得秘鑰，方可打開文件。

IFC強制訪問控制模型通過增加安全標(biāo)簽的方式來加強數(shù)據(jù)處理效果，其前提條件是要用戶進(jìn)行操作系統(tǒng)和應(yīng)用程序，實際應(yīng)用難度較大。而DLP則是利用代理權(quán)的使用來完成用戶外發(fā)流量的全方位分析監(jiān)控，進(jìn)而發(fā)揮自身文件特征，實現(xiàn)全方位數(shù)據(jù)分析監(jiān)控，謹(jǐn)防敏感數(shù)據(jù)泄露，它采用了發(fā)布代理檢測信息相關(guān)后繼操作。同時，標(biāo)簽技術(shù)還能夠通過流量檢測方式來完成單位邊界設(shè)置，上傳的文件仍能夠?qū)嵤﹪?yán)格的控制，但在云計算環(huán)境仍較為適用。

2 設(shè)計系統(tǒng)相關(guān)措施

系統(tǒng)整體框架如圖1所示，從中可知系統(tǒng)主要構(gòu)成內(nèi)容包括策略庫、瀏覽器插件、服務(wù)端代理和客戶端等，云服務(wù)代理商同組織機構(gòu)之間的HTTP流量被客戶端和服務(wù)端代理所截獲，并提供商業(yè)客戶策略指定，全面執(zhí)行服務(wù)代理，代理還會做好數(shù)據(jù)標(biāo)記工作。每個策略庫都有代理維護，并按照ECA規(guī)則存儲于策略庫當(dāng)中，充分發(fā)揮傳播數(shù)據(jù)制定作用，進(jìn)而起到傳輸文件過程中行為的控制目的。ECA規(guī)則格式非常容易理解，其與代理間通信難度較低。同時瀏覽器插件能夠在用戶信息收集標(biāo)記上傳，明確代理檢測過程中的插件文件上傳用戶告知。

本文筆者就設(shè)計系統(tǒng)架構(gòu)做了如下總結(jié)和歸納，并將設(shè)計系統(tǒng)架構(gòu)圖具體構(gòu)成列示如下：首先，用戶提交文件時必須要完成Web表單，并合理增加存儲文件位置信息、元數(shù)據(jù)信息以及用戶信息等相關(guān)資料；其次，以動作來完成用戶認(rèn)證信息查詢，綜合用戶情況和記錄請求等內(nèi)容，進(jìn)而提供審計工作便利，完成云計算服務(wù)轉(zhuǎn)發(fā)請求；再次，服務(wù)代理利用標(biāo)簽分析，就要進(jìn)行相關(guān)內(nèi)容檢測，并參照ECA規(guī)則進(jìn)行客戶端傳送文件處理，云計算提供商會根據(jù)ECA規(guī)則對企業(yè)上傳文件拒絕保存或是處理，而文件上傳后且處于接收狀態(tài)后，就能夠完成存儲服務(wù)轉(zhuǎn)發(fā)請求；最后，當(dāng)文件上傳請求取回后，服務(wù)代理就可截獲存儲服務(wù)操作，進(jìn)而執(zhí)行相應(yīng)獲取策略。

2.1 標(biāo)簽

標(biāo)簽使用包括標(biāo)識參數(shù)、標(biāo)示符、標(biāo)簽三部分所構(gòu)成，由于標(biāo)識符屬于文本類型，它通過易懂的命名數(shù)據(jù)完成數(shù)據(jù)傳輸。標(biāo)示參數(shù)能夠制定傳輸數(shù)據(jù)和相關(guān)數(shù)據(jù)的制定，代理地址和標(biāo)簽對應(yīng)狀態(tài)應(yīng)進(jìn)行傳輸數(shù)據(jù)策略的綁定。

2.2 ECA規(guī)則

ECA規(guī)則觸發(fā)條件具有一定的針對性，當(dāng)相關(guān)規(guī)則和具體條件得到滿足時，就要全面執(zhí)行相關(guān)操作。云計算存儲服務(wù)就是要實現(xiàn)協(xié)議的有效傳輸，ECA規(guī)則觸發(fā)也是調(diào)用了HTTP方式，若是HTTP從外部進(jìn)入規(guī)則觸發(fā)請求后，才能夠受到內(nèi)部域外觸發(fā)請求，進(jìn)而制定管理人員HTTP調(diào)用方法。同時，組織機構(gòu)能夠利用相關(guān)操作規(guī)則進(jìn)行Dropbox上傳文件操作的限制。

通過系統(tǒng)運行條件進(jìn)行觸發(fā)動作基礎(chǔ)表示，進(jìn)而滿足HTTP請求和文件標(biāo)記條件。若是想要通過參數(shù)和部分請求滿足服務(wù)制定狀態(tài)條件，對于不同參數(shù)存儲就可以進(jìn)行每個文件標(biāo)記打上處理，并按照服務(wù)制定條件明確指定工作。

2.3 嵌入標(biāo)簽

若想要在文件中嵌入標(biāo)簽，就必須要通過原數(shù)據(jù)含義，充分發(fā)揮系統(tǒng)作用。XMP通過了XML規(guī)范來實現(xiàn)原數(shù)據(jù)任意表達(dá)，進(jìn)而實現(xiàn)文件格式的自行存儲。

3 設(shè)計系統(tǒng)的實現(xiàn)

為了充分驗證云數(shù)據(jù)流轉(zhuǎn)對系統(tǒng)的控制，它是在Dropbox基礎(chǔ)上進(jìn)行云計算服務(wù)提供商原型系統(tǒng)搭建，這種方式在存儲云中的應(yīng)用較為流行，它通過本地客戶端來實現(xiàn)文件同步。同時本地客戶端Dropbox狀態(tài)并不依賴于HTTPAPI，這樣僅能夠在Web版狀態(tài)下使用原型系統(tǒng)，完成用戶文件正常交互。

4 結(jié) 語

綜上所述，信息保護和防泄露是對云計算應(yīng)用、推廣有著極大的影響，同時也是業(yè)界關(guān)注與研究的重要內(nèi)容。本文在云計算環(huán)境下的信息安全和風(fēng)險的理論基礎(chǔ)上進(jìn)行了云計算信息保護與防泄露系統(tǒng)設(shè)計，并明確了系統(tǒng)設(shè)計思路，希望能夠為云計算應(yīng)用和推廣有所助益。

主要參考文獻(xiàn)

[1]呂雪峰，張春芳.Wireshark網(wǎng)絡(luò)協(xié)議解析原理與新協(xié)議添加方法[J].軟件導(dǎo)刊，2011，10（12）：105-107.