2.2　數(shù)據(jù)生命周期中的安全風(fēng)險(xiǎn)

用戶將其數(shù)據(jù)存放到云存儲(chǔ)服務(wù)器，從數(shù)據(jù)的產(chǎn)生、數(shù)據(jù)存儲(chǔ)、數(shù)據(jù)利用、數(shù)據(jù)共享、數(shù)據(jù)遷移直至數(shù)據(jù)銷毀，就是數(shù)據(jù)的生命周期。

用戶數(shù)據(jù)在云服務(wù)器上靜態(tài)存儲(chǔ)時(shí)，可能因?yàn)槿轂?zāi)備份，數(shù)據(jù)有多個(gè)副本存儲(chǔ)在服務(wù)器上。數(shù)據(jù)被利用時(shí)，可能存在于內(nèi)存、網(wǎng)絡(luò)或磁盤緩存等介質(zhì)中。在數(shù)據(jù)生命周期中的每個(gè)階段，數(shù)據(jù)安全都面臨著不同的安全威脅，因此需要對(duì)應(yīng)的安全機(jī)制來抵御。

1. 數(shù)據(jù)產(chǎn)生

數(shù)據(jù)產(chǎn)生階段由數(shù)據(jù)擁有者生成數(shù)據(jù)，但還未存儲(chǔ)到云服務(wù)器。通常認(rèn)為這個(gè)階段的數(shù)據(jù)是安全的，但為了保障后續(xù)數(shù)據(jù)安全，需要對(duì)數(shù)據(jù)進(jìn)行一些處理，比如對(duì)數(shù)據(jù)進(jìn)行加密、建立索引、生成完整性驗(yàn)證標(biāo)簽、為數(shù)據(jù)添加屬性（數(shù)據(jù)類型、安全級(jí)別等）等。在數(shù)據(jù)產(chǎn)生階段，用戶必須了解自身數(shù)據(jù)的安全屬性，才能根據(jù)需要設(shè)置對(duì)應(yīng)的安全策略及進(jìn)行必要的預(yù)處理。

2. 數(shù)據(jù)存儲(chǔ)

將數(shù)據(jù)存儲(chǔ)到云存儲(chǔ)服務(wù)器，面臨以下安全風(fēng)險(xiǎn)。

（1）用戶失去對(duì)數(shù)據(jù)的物理控制權(quán)，數(shù)據(jù)存放位置不確定，與哪些用戶共享物理資源不可知，以及對(duì)數(shù)據(jù)的隔離機(jī)制也知之甚少。

（2）數(shù)據(jù)存儲(chǔ)在云服務(wù)器上，有內(nèi)部人員威脅，云服務(wù)器可能被病毒破壞、被木馬入侵，因此數(shù)據(jù)存在丟失和篡改的風(fēng)險(xiǎn)。

（3）云服務(wù)器可能遭受自然災(zāi)害、戰(zhàn)爭(zhēng)等不可抗力因素的破壞，對(duì)用戶數(shù)據(jù)造成不可挽回的損失。

因此，將數(shù)據(jù)保存到云平臺(tái)上，要考慮靜態(tài)數(shù)據(jù)的隱私性、機(jī)密性、完整性、可用性與可靠性等。目前保障以上安全性的機(jī)制有數(shù)據(jù)加密存儲(chǔ)、建立密文索引實(shí)現(xiàn)密文搜索、生成可驗(yàn)證標(biāo)簽對(duì)數(shù)據(jù)實(shí)施完整性驗(yàn)證、對(duì)數(shù)據(jù)進(jìn)行遠(yuǎn)程容災(zāi)備份等。因?yàn)樵拼鎯?chǔ)下大量的用戶以及海量的數(shù)據(jù)，所以對(duì)用戶數(shù)據(jù)的加密一般采用對(duì)稱密碼算法。

3. 數(shù)據(jù)利用

數(shù)據(jù)利用是指用戶將數(shù)據(jù)存儲(chǔ)后，可以定期或不定期地訪問數(shù)據(jù)，并可能對(duì)數(shù)據(jù)進(jìn)行增加、刪除或修改等更新操作，也可以對(duì)數(shù)據(jù)進(jìn)行檢索以及進(jìn)行完整性驗(yàn)證等。在數(shù)據(jù)利用階段，存在以下的安全風(fēng)險(xiǎn)。

（1）非法訪問風(fēng)險(xiǎn)：如果云服務(wù)提供商沒有嚴(yán)格的訪問控制與授權(quán)機(jī)制，可能讓攻擊者有機(jī)會(huì)非法訪問、篡改或破壞用戶的數(shù)據(jù)，甚至使合法用戶不能正常地訪問其數(shù)據(jù)。

（2）數(shù)據(jù)傳輸安全：用戶通過網(wǎng)絡(luò)遠(yuǎn)程訪問數(shù)據(jù)，在數(shù)據(jù)傳輸過程中，可能會(huì)遭受攻擊者攔截或篡改數(shù)據(jù)。

（3）服務(wù)質(zhì)量（Quality of Service，QoS）保證：用戶使用云數(shù)據(jù)時(shí)，會(huì)對(duì)數(shù)據(jù)的傳輸性能有一定的要求，但因?yàn)橛脩羰峭ㄟ^網(wǎng)絡(luò)訪問數(shù)據(jù)，會(huì)受到網(wǎng)絡(luò)環(huán)境等外部條件的限制，而不一定能夠達(dá)到用戶期待的服務(wù)質(zhì)量，滿足用戶的需求。

4. 數(shù)據(jù)共享

數(shù)據(jù)共享是指用戶將其存儲(chǔ)在云服務(wù)器上的數(shù)據(jù)與第三方共享。在數(shù)據(jù)共享過程中存在較多的安全風(fēng)險(xiǎn)。除了以上網(wǎng)絡(luò)安全風(fēng)險(xiǎn)外，重點(diǎn)要防范數(shù)據(jù)訪問控制與授權(quán)風(fēng)險(xiǎn)，即與第三方共享數(shù)據(jù)時(shí)可能造成的非法訪問數(shù)據(jù)的風(fēng)險(xiǎn)。這就需要數(shù)據(jù)擁有者及云服務(wù)提供商協(xié)同提供合理的訪問控制與授權(quán)機(jī)制，使得只有被授權(quán)的第三方可以訪問數(shù)據(jù)。

5. 數(shù)據(jù)遷移

數(shù)據(jù)遷移是指將很少使用或不使用的數(shù)據(jù)遷移到一個(gè)單獨(dú)的存儲(chǔ)設(shè)備（如磁帶或光盤）進(jìn)行長(zhǎng)期保存的存檔過程。在數(shù)據(jù)遷移準(zhǔn)備階段，要對(duì)待遷移數(shù)據(jù)的屬性有詳細(xì)的了解，包括數(shù)據(jù)的存儲(chǔ)方式、數(shù)據(jù)量、數(shù)據(jù)的時(shí)間跨度等。在數(shù)據(jù)遷移過程中，要制定詳細(xì)的遷移策略。在數(shù)據(jù)遷移完成后，還要對(duì)數(shù)據(jù)進(jìn)行校驗(yàn)，數(shù)據(jù)校驗(yàn)的結(jié)果是判斷數(shù)據(jù)遷移是否成功的重要依據(jù)。對(duì)數(shù)據(jù)進(jìn)行校驗(yàn)的內(nèi)容包括數(shù)據(jù)格式、數(shù)據(jù)完整性與一致性等方面。

在數(shù)據(jù)遷移過程中要注意以下問題。

（1）平滑過渡：無論是同構(gòu)數(shù)據(jù)遷移還是異構(gòu)數(shù)據(jù)遷移，要考慮遷移過程中，用戶仍然可以訪問數(shù)據(jù)，如何實(shí)現(xiàn)不同格式數(shù)據(jù)服務(wù)可以在用戶無感知的情況下做到平滑遷移是要注意的問題。

（2）出錯(cuò)處理：在數(shù)據(jù)遷移過程中發(fā)生錯(cuò)誤要怎么處理是遷移過程中要注意的問題，要求在遷移準(zhǔn)備階段做好錯(cuò)誤預(yù)判，并在實(shí)施階段設(shè)計(jì)錯(cuò)誤追蹤方案及相應(yīng)的解決方案。

（3）數(shù)據(jù)遷移測(cè)試：要保障數(shù)據(jù)遷移完成后數(shù)據(jù)的正確性、完整性與可用性。

在數(shù)據(jù)遷移階段，云數(shù)據(jù)除了面臨和數(shù)據(jù)存儲(chǔ)階段類似的安全風(fēng)險(xiǎn)外，還面臨如下安全風(fēng)險(xiǎn)。

（1）大規(guī)模數(shù)據(jù)遷移造成數(shù)據(jù)的可用性問題：當(dāng)遷移的數(shù)據(jù)量非常大時(shí)，數(shù)據(jù)遷移過程可能需要花費(fèi)幾個(gè)月甚至幾年的時(shí)間，這樣長(zhǎng)時(shí)間的遷移過程，隨時(shí)有可能影響數(shù)據(jù)的使用。

（2）合規(guī)性風(fēng)險(xiǎn)：某些特殊數(shù)據(jù)對(duì)歸檔使用的存儲(chǔ)介質(zhì)以及時(shí)間期限有一些特殊規(guī)定，而云服務(wù)提供商不一定能滿足這些特殊要求，造成數(shù)據(jù)的合規(guī)性風(fēng)險(xiǎn)。

6. 數(shù)據(jù)銷毀

對(duì)于自主控制的存儲(chǔ)，數(shù)據(jù)銷毀很容易做到，可一旦將數(shù)據(jù)存儲(chǔ)到云上后，數(shù)據(jù)銷毀卻成為一件非常困難的事情。通常，計(jì)算機(jī)刪除數(shù)據(jù)時(shí)，并沒有將數(shù)據(jù)從計(jì)算機(jī)的硬盤上真正地刪除，只是刪除了文件相應(yīng)的索引，使得用戶不能通過文件系統(tǒng)訪問該文件。而對(duì)硬盤進(jìn)行格式化操作時(shí)，也并沒有將磁盤上數(shù)據(jù)刪除，而只是重新創(chuàng)建文件系統(tǒng)并創(chuàng)建新的索引，將磁盤的扇區(qū)標(biāo)記為未使用過。因此，攻擊者仍然可以在獲取硬盤后利用一定的數(shù)據(jù)恢復(fù)方式來還原被刪除的數(shù)據(jù)。

同時(shí)，因?yàn)樵品?wù)提供商不一定是可信的，用戶無法確信云服務(wù)器是否真正地刪除了數(shù)據(jù)。因此，對(duì)于用戶的敏感數(shù)據(jù)，通常需要加密后再存儲(chǔ)到云服務(wù)器上，可以避免因?yàn)樵品?wù)器不可信帶來的數(shù)據(jù)銷毀問題。對(duì)于云服務(wù)提供商，為了完成數(shù)據(jù)銷毀，可以采用磁盤擦寫的方式來刪除用戶的數(shù)據(jù)。