如何掌控存儲企業海量數據的“云”安全

信息技術的車輪在朝著生產力的發展方向堅定不移的前進，每一次新技術、新理念的出現都讓互聯網時代的人們振奮不已。06年，谷歌顛覆性的提出了“Google 101計劃”，并正式提出云的概念和理論，隨后亞馬遜、微軟、英特爾、IBM等都宣布了自己的云計劃，一時之間，“云存儲”、“云安全”、“公有云”、“私有云”等云概念風靡全球。服務器在進化、虛擬化應用與云計算技術不斷引入，促使越來越多的企業在邁向云端。云計算提供了開放的標準、可伸縮的系統和面向服務的架構，使用戶能夠以靈活且經濟實惠的方式享受可靠、隨需應變的自助服務。大量的資源共享池、更低的成本以及更高的工作效率等，云計算為我們使用網絡提供了幾乎無限多的可能，各種美麗的景象讓一大群人激動難耐。

但是，在人們紛紛暢享云服務的背后，有些疑慮一直盤踞在心里：海量的數據被轉移到用戶掌控范圍之外的設備(云)上時，如何確保存儲海量重要信息的“云”安全?對具有敏感信息的企業而言，這種所謂的便利性，恰恰也是數據泄密的風險所在，“云”的應用不能以核心數據的泄密為代價!要想真正體現云的價值，最不能輕視、最嚴重和最需考慮的就是云數據的安全。明朝萬達云安全專家解析，目前云服務所面臨的安全風險主要在以下幾個方面：

采用數據“云”端存儲技術時，云終端可以通過物理硬件防止數據從終端泄露，但由于數據是明文存儲在終端，依然無法解決文檔的授權管理，即如何防止員工查看非授權文件?內部失密風險仍然存在。

云面臨多種終端的訪問需求，如PC、筆記本、Pad、智能手機等。如何保證終端身份的合法性與文檔存儲在設備內的安全性?

云建設依賴于云服務商的服務能力與技術可靠性，但如何保障數據在云端的安全存儲，如何保證存儲在云端的數據不被運營商監守自盜或不被一鍋端呢?

法律和合規性風險，因為"云端(服務器)"所在的地域不同，使用期間可能面臨的法律風險也會大不相同。雖然網絡無邊界，但用于進行"云計算"業務的服務器畢竟真實的處于各國法律的管轄之下，因此，對于"云計算"的不當應用，將可能面臨極其嚴重的法律風險和侵權風險。

據統計，現市面上已有的云服務商的安全產品主要是從云計算平臺本身出發，圍繞平臺的穩定性、用戶數據安全性、完整性、保密性、網絡攻擊防護等方面展開，主要包括系統冗余、用戶安全認證、權限控制、端對端的數據傳輸加密、系統安全防護等技術手段，而這些安全手段并未涉及存儲數據級的安全。作為企業，不得不考慮將核心數據統一歸檔集中存儲在第三方存儲設備(云端)上后，云服務提供商能否確保企業云端數據的存儲安全與訪問安全?相信“盛大云”的事件也讓很多企業心有余悸!

明朝萬達公司信息安全專家分析目前公認的云服務技術主要采用虛擬化技術的云終端和B/S客戶端架構兩種形態來實現，而不同的技術手段分別會面臨不同的泄密風險點：

采用虛擬化技術的云終端，一般是“桌面云終端+存儲”或“虛擬云桌面+存儲”的模式構成。在對云端非結構化數據(文檔)訪問與使用時，云服務商是否可以提供數據的權限級別設置，以防非權限訪問?而基于瀏覽器(或云客戶端)操作來提供云服務的客戶端架構技術，數據在使用過程中普遍會以明文的形式存儲在終端，這種情況無疑增多了數據的不安全性，如計算機的外設、郵件、網絡應用等均會成為泄密的途徑;而云服務支持多種設備對云端連接的便利性，在方便用戶共享數據的同時，亦帶來了身份有效性驗證、通訊鏈路的安全性保障、數據落地存儲與使用安全等問題。

鑒于以上分析，@北京明朝萬達Chinasec“云”數據安全解決方案的思路將根據云服務的兩種形態來區別對待，以數據安全為核心，圍繞敏感數據的存儲、傳輸和使用過程中可能觸發的風險提供針對性的完整云安全解決方案。

云數據安全解決方案

云端數據加密存儲。云架構進一步推動了數據的集中存儲和快速共享，對于黑客或其他心懷惡意的信息竊取者來說，目標更加清晰，途徑更加便利，無論是采用虛擬化技術還是客戶端架構，企業都繞不開云端數據安全保護的問題。將文件加密存儲在云端，從而解決用戶對于云存儲的數據安全性的不信任，規避數據在云端泄密的風險。

文檔權限管理。Chinasec數據管理平臺提供以密級為核心的文檔安全管理系統，可根據管理角色的不同靈活劃分多種細粒度的文檔訪問權限，可針對文件、文件夾或應用系統內的文檔設置不同的使用權限，還可以為單個用戶、用戶組、部門進行權限配置，從而簡化權限的分配和管理。通過文檔權限管理可實現文檔的分級管理和授權訪問，杜絕數據窺探和非授權訪問事件發生。

云數據安全。Chinasec數據管理平臺通過設置云平臺的URL或IP地址，在所有接入云端的設備上安裝代理客戶端，并采用自動解析策略來設置云平臺參數，同時透明加解密技術可對從云平臺下載的云數據進行自動加密存儲，規避因明文存儲造成的數據泄密。由于動態加解密技術不僅不改變用戶使用習慣，而且無需用戶太多的干預操作即可實現云數據的安全，提供了極大的便利性。

終端設備接入安全。云架構進一步推動了信息的快速共享，Chinasec數據安全管理平臺支持對各類接入云端的設備(如PC、筆記本、Pad、智能手機等)進行用戶身份認證和鏈路加密，增強移動終端接入的安全性，確保用戶共享的數據安全。

日志的追蹤和審計。Chinasec數據安全管理平臺對從云端同步的數據提供文件級的日志追蹤和審計，如從云平臺上下載了哪個文件，該文件在終端上做了哪些操作以及管理員在管理平臺上的操作日志等。還可通過報表系統根據時間、文件關鍵字、發送人、IP地址、計算機名等多種信息進行綜合查詢。

Chinasec數據安全管理平臺采用模塊化設計的B/S和C/S混合架構，整個管理平臺運用了加密、認證、控制等技術手段，上述各功能均是數據管理平臺的子功能，可依據企業實際情況和需求進行不同的功能組合，以滿足不同類型、不同應用場景下的用戶需求。且各類接入設備均由Chinasec數據安全管理平臺統一管控，包括密鑰交換、策略下發、身份認證等，因此各類設備內的加密文件可以達到透明加解密。在云實現了移動互聯的同時，Chinasec數據安全管理平臺亦實現了安全互通。

目前，“云”已經在企業級市場得到了越來越廣泛的應用，而這一新IT時代的產物如果想要進化得盡善盡美，需要整個產業鏈成員的集體遷移，尤其是信息安全廠商，它將是云發展拼圖中至關重要的一塊，沒有信息和數據安全的保障，云架構的搭建注定只能是空中樓閣。因此，如何應對數據安全風險問題任重道遠。明朝萬達將一如既往的以數據安全為核心，關注企業敏感數據的流轉方向，對數據的整個生命周期采取完善的數據安全管控方法，讓廣大用戶能夠安全無憂的暢享新技術帶來的惠利。