1設(shè)計(jì)系統(tǒng)相關(guān)措施
主要是通過瀏覽器插件、策略庫(kù)、服務(wù)端代理、客戶端等方面構(gòu)成。云服務(wù)代理提供商與組織機(jī)構(gòu)間存在的HTTP流量會(huì)受到服務(wù)端代理與客戶端的截獲,通過的數(shù)據(jù)則會(huì)受到網(wǎng)絡(luò)域中存在的代理代表檢測(cè),通常提供商客戶在對(duì)策略進(jìn)行指定時(shí),服務(wù)代理均會(huì)全面執(zhí)行,同時(shí)代理還會(huì)做好標(biāo)記數(shù)據(jù)的工作。一般一個(gè)策略庫(kù)均有代理進(jìn)行維護(hù),將“事件-條件-動(dòng)作”等一系列的(ECA)規(guī)則存儲(chǔ)在策略庫(kù)中,ECA規(guī)則對(duì)傳播數(shù)據(jù)的措施起到指定的作用,一旦傳輸文件過程中對(duì)代理行為則會(huì)起到控制的目的。ECA規(guī)則的格式相對(duì)來說較為容易理解,在一定程度上降低代理間存在的通信難度。瀏覽器的插件在用戶信息獲得收集后則有效的標(biāo)記上傳的問題,在代理檢測(cè)過程中客戶端的代理通信以及插件會(huì)在上傳文件時(shí)對(duì)用戶進(jìn)行明確的告知。
上述系統(tǒng)架構(gòu)示意圖對(duì)云服務(wù)提供商與組織機(jī)構(gòu)之間傳輸文件的具體過程進(jìn)行全面展示:(1)用戶在提交文件時(shí)主要是采用Web表單完成,瀏覽器插件在外發(fā)HTTP請(qǐng)求上附加本地存儲(chǔ)文件位置信息、文件元數(shù)據(jù)信息、當(dāng)前用戶信息等方面系列標(biāo)識(shí)信息。(2)代理服務(wù)器將請(qǐng)求截獲,對(duì)用戶標(biāo)識(shí)信息進(jìn)行取回以及檢測(cè),接著與策略庫(kù)中存在的ECA規(guī)則進(jìn)行有效配置,一旦規(guī)則得到滿足后,請(qǐng)求動(dòng)作則會(huì)得到代理的執(zhí)行。(3)采用動(dòng)作對(duì)文件上傳中存在的用戶認(rèn)證信息進(jìn)行查詢,通過分析用戶反映的內(nèi)容,在文件中加入標(biāo)簽,并且記錄請(qǐng)求,給今后審計(jì)工作提供便利,代理會(huì)在云計(jì)算服務(wù)的提供商中轉(zhuǎn)發(fā)請(qǐng)求。(4)服務(wù)代理會(huì)通過分析標(biāo)簽的情況,對(duì)內(nèi)容進(jìn)行檢測(cè),且參照ECA規(guī)則對(duì)客戶端傳送的文件進(jìn)行處理,例如,倘若云計(jì)算服務(wù)提供商會(huì)參照ECA規(guī)則的要求,對(duì)某企業(yè)上傳敏感類型的文件進(jìn)行有效處理或者拒絕保存,倘若文件上傳后處于接收的狀態(tài),那么存儲(chǔ)服務(wù)中則會(huì)接收到轉(zhuǎn)發(fā)的請(qǐng)求。文件上傳的請(qǐng)求被取回時(shí),服務(wù)代理對(duì)存儲(chǔ)服務(wù)發(fā)出的相應(yīng)則會(huì)做出截獲操作,文件上使用附著的標(biāo)簽對(duì)響應(yīng)的請(qǐng)求做出決定時(shí),服務(wù)代理則會(huì)對(duì)客戶端代理進(jìn)行聯(lián)系,執(zhí)行獲取策略。例如,防止數(shù)據(jù)發(fā)布給企業(yè)內(nèi)網(wǎng)之外的用戶。
1.1標(biāo)簽
文件控制過程中標(biāo)簽的使用主要是通過標(biāo)簽、標(biāo)識(shí)參數(shù)、標(biāo)示符等3部分構(gòu)成的,標(biāo)示符屬于文本類型的,其主要是通過容易讀懂的命名數(shù)據(jù)傳輸數(shù)據(jù),例如,可以通過標(biāo)識(shí)符user-private對(duì)云計(jì)算服務(wù)內(nèi)存儲(chǔ)的文件進(jìn)行有效限制。標(biāo)識(shí)參數(shù)能夠具體規(guī)定以及制定傳輸數(shù)據(jù)的策略。通常情況下,代理地址與標(biāo)簽對(duì)應(yīng)的狀態(tài)應(yīng)該唯一綁定傳輸數(shù)據(jù)策略以及確保標(biāo)簽。
1.2ECA規(guī)則
云計(jì)算環(huán)境下存在的ECA規(guī)則的觸發(fā)條件是針對(duì)性的事件,倘若事件具體條件與相關(guān)規(guī)則互相滿足時(shí),則要將相應(yīng)的動(dòng)作全面執(zhí)行。事件:因?yàn)镠TTP在云計(jì)算存儲(chǔ)服務(wù)中具體是將協(xié)議有效傳輸,因此,ECA規(guī)則觸發(fā)的時(shí)間同時(shí)也是調(diào)用HTTP的方式。倘若HTTP從外部于進(jìn)入一個(gè)規(guī)則后觸發(fā)請(qǐng)求,則會(huì)收到HTTP在內(nèi)部域外發(fā)傳來的觸發(fā)請(qǐng)求,管理人員能夠?qū)TTP調(diào)用方法進(jìn)行制定。例如,事件通過外發(fā)的形式請(qǐng)求與Dropbox服務(wù)器中的POST、PUT進(jìn)行匹配時(shí),主要是通過正則表達(dá)式對(duì)HTTP中存在的URI進(jìn)行匹配,組織機(jī)構(gòu)能夠采用上述操作規(guī)則對(duì)Dropbox上傳文件的操作進(jìn)行阻止。條件:系統(tǒng)通過條件對(duì)觸發(fā)動(dòng)作的基礎(chǔ)進(jìn)行表示,響應(yīng)里文件與HTTP請(qǐng)求均會(huì)標(biāo)記滿足相關(guān)條件。
通常是服務(wù)或者服務(wù)無關(guān)制定條件,倘若條件屬于服務(wù)無關(guān)類型的,則會(huì)忽略服務(wù)的HTTPAPI,這種情況下,文件標(biāo)簽會(huì)基本滿足條件。倘若是需要通過部分請(qǐng)求與參數(shù)制定來滿足服務(wù)制定狀態(tài)下的條件,因?yàn)轫憫?yīng)或者HTTP請(qǐng)求會(huì)出現(xiàn)文件以不同參數(shù)存儲(chǔ)的情況,造成不相同的標(biāo)記可能會(huì)在每個(gè)文件上做打上處理,服務(wù)制定條件對(duì)HTTP參數(shù)作了一系列的指定工作,同時(shí)對(duì)標(biāo)記給予參數(shù)賦值的肯定。動(dòng)作:云計(jì)算服務(wù)提供商或者組織機(jī)構(gòu)在數(shù)據(jù)傳播策略上主要是通過動(dòng)作進(jìn)行指定,則是對(duì)應(yīng)的數(shù)據(jù)分類應(yīng)該選擇針對(duì)性的規(guī)則。Log、Return、Issue屬于相對(duì)基本的操作方式,分別在存儲(chǔ)HTTP請(qǐng)求、回復(fù)、創(chuàng)建等方面使用。動(dòng)作腳本能夠通過上述方法滿足防火墻傳統(tǒng)規(guī)則內(nèi)的具體需求。detLabel、attLabel、getLabels主要是在操作文件傳輸過程中獲得的標(biāo)簽,確定標(biāo)簽是否在文件中附著是根據(jù)數(shù)據(jù)傳輸?shù)膶?shí)際情況而決定的,實(shí)現(xiàn)方式能夠通過ask或者getContent完成。
1.3嵌入標(biāo)簽
要想文件中能嵌入標(biāo)簽,則應(yīng)該通過原數(shù)據(jù)的基本含義,通過Adobe中的XMP在原型系統(tǒng)中使用。XMP主要是通過XML規(guī)范的將原數(shù)據(jù)任意的表達(dá),能夠在文件格式中自行存儲(chǔ)。
2系統(tǒng)的實(shí)現(xiàn)
為了使云中數(shù)據(jù)流轉(zhuǎn)對(duì)系統(tǒng)的控制得到驗(yàn)證,主要是在Dropbox的基礎(chǔ)上將原型系統(tǒng)搭建在云計(jì)算服務(wù)提供商中,現(xiàn)今,Dropbox于在線存儲(chǔ)云中屬于相對(duì)流行的,一般是通過本地客戶端對(duì)文件進(jìn)行同步。因?yàn)楸镜乜蛻舳嗽贒ropbox狀態(tài)下對(duì)HTTPAPI不產(chǎn)生依賴,因此,僅僅能夠于Web版狀態(tài)下的Dropbox使用本原型系統(tǒng)。對(duì)相對(duì)容易的策略Policy1進(jìn)行設(shè)置,對(duì)上傳Dropbox到內(nèi)部文件的工作起到阻止的作用,ECA規(guī)則相互對(duì)應(yīng)的狀態(tài)為:EventConditionActionEuploadsReturn(“403”)上訴規(guī)則僅僅對(duì)使用Dropbox產(chǎn)生影響,通常情況下,用戶在文件交互時(shí)能正常進(jìn)行。
3結(jié)語
總之,信息保護(hù)與防泄漏是妨礙云計(jì)算應(yīng)用和推廣的主要因素,也是業(yè)界關(guān)注和研究的重點(diǎn)。文中在結(jié)合云計(jì)算下的信息安全和風(fēng)險(xiǎn)基礎(chǔ)上提出了云計(jì)算下信息保護(hù)與防泄漏系統(tǒng),具體闡述了設(shè)計(jì)思路,并通過在Dropbox搭建原型系統(tǒng)證實(shí)了該系統(tǒng)的有效性,對(duì)云計(jì)算的具體應(yīng)用和推廣具有一定的指導(dǎo)意義。
作者:趙云霖 趙云霽 單位:梅州市職業(yè)技術(shù)學(xué)校 廣東嘉應(yīng)學(xué)院醫(yī)學(xué)院