1設計系統相關措施
主要是通過瀏覽器插件、策略庫、服務端代理、客戶端等方面構成。云服務代理提供商與組織機構間存在的HTTP流量會受到服務端代理與客戶端的截獲,通過的數據則會受到網絡域中存在的代理代表檢測,通常提供商客戶在對策略進行指定時,服務代理均會全面執行,同時代理還會做好標記數據的工作。一般一個策略庫均有代理進行維護,將“事件-條件-動作”等一系列的(ECA)規則存儲在策略庫中,ECA規則對傳播數據的措施起到指定的作用,一旦傳輸文件過程中對代理行為則會起到控制的目的。ECA規則的格式相對來說較為容易理解,在一定程度上降低代理間存在的通信難度。瀏覽器的插件在用戶信息獲得收集后則有效的標記上傳的問題,在代理檢測過程中客戶端的代理通信以及插件會在上傳文件時對用戶進行明確的告知。
上述系統架構示意圖對云服務提供商與組織機構之間傳輸文件的具體過程進行全面展示:(1)用戶在提交文件時主要是采用Web表單完成,瀏覽器插件在外發HTTP請求上附加本地存儲文件位置信息、文件元數據信息、當前用戶信息等方面系列標識信息。(2)代理服務器將請求截獲,對用戶標識信息進行取回以及檢測,接著與策略庫中存在的ECA規則進行有效配置,一旦規則得到滿足后,請求動作則會得到代理的執行。(3)采用動作對文件上傳中存在的用戶認證信息進行查詢,通過分析用戶反映的內容,在文件中加入標簽,并且記錄請求,給今后審計工作提供便利,代理會在云計算服務的提供商中轉發請求。(4)服務代理會通過分析標簽的情況,對內容進行檢測,且參照ECA規則對客戶端傳送的文件進行處理,例如,倘若云計算服務提供商會參照ECA規則的要求,對某企業上傳敏感類型的文件進行有效處理或者拒絕保存,倘若文件上傳后處于接收的狀態,那么存儲服務中則會接收到轉發的請求。文件上傳的請求被取回時,服務代理對存儲服務發出的相應則會做出截獲操作,文件上使用附著的標簽對響應的請求做出決定時,服務代理則會對客戶端代理進行聯系,執行獲取策略。例如,防止數據發布給企業內網之外的用戶。
1.1標簽
文件控制過程中標簽的使用主要是通過標簽、標識參數、標示符等3部分構成的,標示符屬于文本類型的,其主要是通過容易讀懂的命名數據傳輸數據,例如,可以通過標識符user-private對云計算服務內存儲的文件進行有效限制。標識參數能夠具體規定以及制定傳輸數據的策略。通常情況下,代理地址與標簽對應的狀態應該唯一綁定傳輸數據策略以及確保標簽。
1.2ECA規則
云計算環境下存在的ECA規則的觸發條件是針對性的事件,倘若事件具體條件與相關規則互相滿足時,則要將相應的動作全面執行。事件:因為HTTP在云計算存儲服務中具體是將協議有效傳輸,因此,ECA規則觸發的時間同時也是調用HTTP的方式。倘若HTTP從外部于進入一個規則后觸發請求,則會收到HTTP在內部域外發傳來的觸發請求,管理人員能夠對HTTP調用方法進行制定。例如,事件通過外發的形式請求與Dropbox服務器中的POST、PUT進行匹配時,主要是通過正則表達式對HTTP中存在的URI進行匹配,組織機構能夠采用上述操作規則對Dropbox上傳文件的操作進行阻止。條件:系統通過條件對觸發動作的基礎進行表示,響應里文件與HTTP請求均會標記滿足相關條件。
通常是服務或者服務無關制定條件,倘若條件屬于服務無關類型的,則會忽略服務的HTTPAPI,這種情況下,文件標簽會基本滿足條件。倘若是需要通過部分請求與參數制定來滿足服務制定狀態下的條件,因為響應或者HTTP請求會出現文件以不同參數存儲的情況,造成不相同的標記可能會在每個文件上做打上處理,服務制定條件對HTTP參數作了一系列的指定工作,同時對標記給予參數賦值的肯定。動作:云計算服務提供商或者組織機構在數據傳播策略上主要是通過動作進行指定,則是對應的數據分類應該選擇針對性的規則。Log、Return、Issue屬于相對基本的操作方式,分別在存儲HTTP請求、回復、創建等方面使用。動作腳本能夠通過上述方法滿足防火墻傳統規則內的具體需求。detLabel、attLabel、getLabels主要是在操作文件傳輸過程中獲得的標簽,確定標簽是否在文件中附著是根據數據傳輸的實際情況而決定的,實現方式能夠通過ask或者getContent完成。
1.3嵌入標簽
要想文件中能嵌入標簽,則應該通過原數據的基本含義,通過Adobe中的XMP在原型系統中使用。XMP主要是通過XML規范的將原數據任意的表達,能夠在文件格式中自行存儲。
2系統的實現
為了使云中數據流轉對系統的控制得到驗證,主要是在Dropbox的基礎上將原型系統搭建在云計算服務提供商中,現今,Dropbox于在線存儲云中屬于相對流行的,一般是通過本地客戶端對文件進行同步。因為本地客戶端在Dropbox狀態下對HTTPAPI不產生依賴,因此,僅僅能夠于Web版狀態下的Dropbox使用本原型系統。對相對容易的策略Policy1進行設置,對上傳Dropbox到內部文件的工作起到阻止的作用,ECA規則相互對應的狀態為:EventConditionActionEuploadsReturn(“403”)上訴規則僅僅對使用Dropbox產生影響,通常情況下,用戶在文件交互時能正常進行。
3結語
總之,信息保護與防泄漏是妨礙云計算應用和推廣的主要因素,也是業界關注和研究的重點。文中在結合云計算下的信息安全和風險基礎上提出了云計算下信息保護與防泄漏系統,具體闡述了設計思路,并通過在Dropbox搭建原型系統證實了該系統的有效性,對云計算的具體應用和推廣具有一定的指導意義。
作者:趙云霖 趙云霽 單位:梅州市職業技術學校 廣東嘉應學院醫學院