數(shù)據(jù)安全生命周期與信息生命周期管理是不同的，其反映了安全受眾的不同需要。數(shù)據(jù)安全生命周期可分為六個(gè)階段：

關(guān)于在云計(jì)算數(shù)據(jù)生命周期安全的關(guān)鍵挑戰(zhàn)包括如下：

數(shù)據(jù)安全。保密性、完整性、可用性、真實(shí)性、授權(quán)、認(rèn)證和不可抵賴性。

數(shù)據(jù)存放位置。必須保證所有的數(shù)據(jù)包括所有副本和備份，存儲(chǔ)在合同、服務(wù)水平協(xié)議和法規(guī)允許的地理位置。例如，使用由歐盟的“法規(guī)遵從存儲(chǔ)條例”管理的電子健康記錄，可能對(duì)數(shù)據(jù)擁有者和云服務(wù)提供商都是一種挑戰(zhàn)。

數(shù)據(jù)刪除或持久性。 數(shù)據(jù)必須徹底有效地去除才被視為銷毀。因此，必須具備一種可用的技術(shù)，能保證全面和有效地定位云計(jì)算數(shù)據(jù)、擦除/銷毀數(shù)據(jù)，并保證數(shù)據(jù)已被完全消除或使其無法恢復(fù)。

不同客戶數(shù)據(jù)的混合：數(shù)據(jù)尤其是保密/敏感數(shù)據(jù)不能在使用、儲(chǔ)存或傳輸過程中，在沒有任何補(bǔ)償控制的情況下與其它客戶數(shù)據(jù)混合。數(shù)據(jù)的混合將在數(shù)據(jù)安全和地緣位置等方面增加了安全的挑戰(zhàn)。

數(shù)據(jù)備份和恢復(fù)重建(Recovery and Restoration)計(jì)劃：必須保證數(shù)據(jù)可用，云數(shù)據(jù)備份和云恢復(fù)計(jì)劃必須到位和有效，以防止數(shù)據(jù)丟失、意外的數(shù)據(jù)覆蓋和破壞。不要隨便假定云模式的數(shù)據(jù)肯定有備份并可恢復(fù)。

數(shù)據(jù)發(fā)現(xiàn)(discovery)：由于法律系統(tǒng)持續(xù)關(guān)注電子證據(jù)發(fā)現(xiàn)，云服務(wù)提供商和數(shù)據(jù)擁有者將需要把重點(diǎn)放在發(fā)現(xiàn)數(shù)據(jù)并確保法律和監(jiān)管當(dāng)局要求的所有數(shù)據(jù)可被找回。這些問題在云環(huán)境中是極難以回答的，將會(huì)需要管理、技術(shù)和必要的法律控制互相配合。

數(shù)據(jù)聚合和推理：數(shù)據(jù)在云端時(shí)，會(huì)有新增的數(shù)據(jù)匯總和推理的方面的擔(dān)心，可能會(huì)導(dǎo)致違反敏感和機(jī)密資料的保密性。因此，在實(shí)際操作中，應(yīng)要保證數(shù)據(jù)擁有者和數(shù)據(jù)的利益相關(guān)者的利益，在數(shù)據(jù)混合和匯總的時(shí)候，避免數(shù)據(jù)遭到任何哪怕是輕微的泄漏(例如，帶有姓名和醫(yī)療信息的醫(yī)療數(shù)據(jù)與其它匿名數(shù)據(jù)混合，兩邊存在交叉對(duì)照字段)。

建議

• 理解如何維護(hù)完整性、如何檢測(cè)違反完整性、如何提交報(bào)告給客戶。同樣的建議適用于數(shù)據(jù)的機(jī)密性。

• 云服務(wù)提供商必須向數(shù)據(jù)所有者保證按照SLA中定義的安全實(shí)踐和規(guī)程提供“全面披露”(也即透明性)。

• 確保在數(shù)據(jù)的生命周期中所使用的所有控制的都是規(guī)范和可識(shí)別的。確保所有控制對(duì)于數(shù)據(jù)擁有者和云服務(wù)提供商來說，有明確的職責(zé)分工。

• 維持一個(gè)關(guān)于數(shù)據(jù)具體位置的基本原則。確保有能力知道存儲(chǔ)的地理位置，并在服務(wù)水平協(xié)議SLA和合同中約定。在地理位置定義和強(qiáng)制執(zhí)行方面，需要有適當(dāng)?shù)目刂苼肀ＷC。

• 理解什么情況下存儲(chǔ)可以由第三方或政府機(jī)構(gòu)進(jìn)行抓取。當(dāng)數(shù)據(jù)擁有者的信息已經(jīng)或?qū)⒈蛔ト�，需確定服務(wù)水平協(xié)議中是否規(guī)定云服務(wù)提供商要預(yù)先通知數(shù)據(jù)擁有者。

• 在某些情況下，傳票或取證書面命令可能會(huì)發(fā)給云服務(wù)提供商。在這種情況下，當(dāng)云服務(wù)提供商具有客戶數(shù)據(jù)的監(jiān)護(hù)權(quán)，此提供商應(yīng)告知數(shù)據(jù)所有者，他們將不得不披露數(shù)據(jù)擁有者的數(shù)據(jù)。

• 服務(wù)懲罰的制度應(yīng)包含在數(shù)據(jù)擁有者和云服務(wù)提供商之間的合同中。具體而言，合同中數(shù)據(jù)保護(hù)條款應(yīng)遵從于國(guó)家和國(guó)際數(shù)據(jù)違反條例，由云服務(wù)提供商提供保護(hù)(如：加州參議院法案1386或新的HIPAA的數(shù)據(jù)違反法則)。

• 數(shù)據(jù)的擁有者有責(zé)任來決定誰應(yīng)該獲得權(quán)限和特權(quán)訪問數(shù)據(jù)，以及在何種條件下可以訪問數(shù)據(jù)。數(shù)據(jù)的擁有者應(yīng)該保持一個(gè)策略：默認(rèn)狀態(tài)下，所有的數(shù)據(jù)擁有者的雇員和云服務(wù)提供商沒有任何訪問權(quán)限。

• 云服務(wù)提供者應(yīng)通過合同化語言或合同條款，保證無權(quán)訪問作為基本原則(即否認(rèn)，“默認(rèn)拒絕所有”)。這一原則適用于云服務(wù)提供商員工和其他顧客，而不是數(shù)據(jù)擁有者的雇員和授權(quán)訪問人員。

• 數(shù)據(jù)擁有者有責(zé)任定義和識(shí)別數(shù)據(jù)分類。云服務(wù)提供商有責(zé)任在數(shù)據(jù)擁有者制定的數(shù)據(jù)分類基礎(chǔ)上執(zhí)行數(shù)據(jù)訪問控制需求，這些責(zé)任應(yīng)體現(xiàn)在合同中，并按遵從性強(qiáng)化和審計(jì)。

• 當(dāng)客戶被迫披露數(shù)據(jù)，必須避免“污染”數(shù)據(jù)。數(shù)據(jù)擁有者不僅必須確保所有傳票，電子證據(jù)發(fā)現(xiàn)的裁決要求的數(shù)據(jù)是完整的，并正確披露，還必須確保沒有其他數(shù)據(jù)受到影響。

• 數(shù)據(jù)加密。

• 確定整個(gè)IT架構(gòu)和抽象層的信任邊界。確保子系統(tǒng)只有在需要時(shí)才跨越安全邊界，并需要配合適當(dāng)?shù)谋Ｕ洗胧�，以防止未�?jīng)授權(quán)的披露、更改或銷毀數(shù)據(jù)。

• 理解云服務(wù)提供商使用了什么隔離技術(shù)來實(shí)現(xiàn)客戶的彼此隔離。云服務(wù)提供商可能根據(jù)服務(wù)的類型和數(shù)量而使用不同隔離技術(shù)。

• 當(dāng)嘗試進(jìn)行數(shù)據(jù)發(fā)現(xiàn)時(shí)，應(yīng)了解云服務(wù)提供商在數(shù)據(jù)搜索方面的能力和限制。

• 了解多租戶存儲(chǔ)環(huán)境中是如何進(jìn)行加密管理的。是所有數(shù)據(jù)擁有者共享一個(gè)密鑰?每個(gè)數(shù)據(jù)擁有者各自擁有一個(gè)密鑰?或者一個(gè)數(shù)據(jù)擁有者使用多個(gè)密鑰?是否有制度或系統(tǒng)防止不同的數(shù)據(jù)擁有者使用相同的密鑰?

• 數(shù)據(jù)擁有者應(yīng)要求云服務(wù)提供商確保他們的備份數(shù)據(jù)不與其他云服務(wù)的客戶數(shù)據(jù)混合。

• 理解云服務(wù)提供商存儲(chǔ)的回收流程。在多租戶環(huán)境中，數(shù)據(jù)銷毀是非常困難的，云服務(wù)提供商應(yīng)使用加強(qiáng)型加密，避免存儲(chǔ)被任何授權(quán)以外的應(yīng)用、進(jìn)程和實(shí)體等非法回收、分解或讀取。

• 數(shù)據(jù)保存和銷毀的計(jì)劃是數(shù)據(jù)擁有者的責(zé)任。根據(jù)客戶要求銷毀數(shù)據(jù)是云服務(wù)提供商的責(zé)任，需要強(qiáng)調(diào)的是，銷毀數(shù)據(jù)時(shí)候，應(yīng)該包括所有位置和所有形式的數(shù)據(jù)。如有可能，數(shù)據(jù)擁有者應(yīng)強(qiáng)制執(zhí)行、并審計(jì)這些操作。

• 了解信息的邏輯隔離和已實(shí)施的保護(hù)控制。

• 理解自己公司委托管理的數(shù)據(jù)的固有隱私限制，數(shù)據(jù)擁有者可能需要在把數(shù)據(jù)托管給某個(gè)云服務(wù)提供商之前，先選定其作為合作伙伴。

• 了解云服務(wù)提供商的數(shù)據(jù)保存和銷毀策略和程序，并與其內(nèi)部組織策略對(duì)比。請(qǐng)注意，云服務(wù)提供商對(duì)于數(shù)據(jù)保存的保證是較容易演示，數(shù)據(jù)銷毀的演示就非常困難。

• 需要嚴(yán)肅對(duì)待談判云服務(wù)提供商發(fā)生數(shù)據(jù)外泄的相關(guān)懲罰。如果可行，客戶應(yīng)該要求賠償其作為云服務(wù)提供商的合同中涉及的數(shù)據(jù)恢復(fù)的所有費(fèi)用。如果不切實(shí)際，客戶應(yīng)探討確定轉(zhuǎn)移風(fēng)險(xiǎn)的媒介，如通過保險(xiǎn)。

• 定期執(zhí)行備份和恢復(fù)測(cè)試，以確保邏輯隔離和控制是有效的。

• 確保云服務(wù)提供商人員控制措施是到位的，具備合理的邏輯職責(zé)隔離SOD。

• 理解在多租戶存儲(chǔ)情況下如何進(jìn)行加密管理。所有客戶共享一個(gè)密鑰、每個(gè)客戶擁有一個(gè)密鑰或者每個(gè)客戶擁有多個(gè)密鑰。

基于ILM每個(gè)階段的數(shù)據(jù)安全建議

我們會(huì)結(jié)合信息生命周期管理的每個(gè)階段提出一些通用建議、以及其它的具體控制。請(qǐng)記住，建議和控制方法與云服務(wù)模式相關(guān)(SaaS、PaaS或IaaS)，有些建議需要客戶進(jìn)行實(shí)施，另一些需要由云服務(wù)提供商實(shí)施。

創(chuàng)建

• 識(shí)別可用的數(shù)據(jù)標(biāo)簽和分類。

• 企業(yè)數(shù)字權(quán)限管理(DRM)可能是一種選擇。

• 數(shù)據(jù)的用戶標(biāo)記在WEB2.0環(huán)境中應(yīng)用已經(jīng)非常普遍，可能對(duì)分類數(shù)據(jù)會(huì)有較大幫助。

存儲(chǔ)

• 識(shí)別文件系統(tǒng)、數(shù)據(jù)庫(kù)管理系統(tǒng)DBMS和文檔管理系統(tǒng)等環(huán)境中的訪問控制。

• 加密解決方案，涵蓋如電子郵件、網(wǎng)絡(luò)傳輸、數(shù)據(jù)庫(kù)、文件和文件系統(tǒng)。

• 在某些需要控制的環(huán)節(jié)上，內(nèi)容發(fā)現(xiàn)工具(如DLP數(shù)據(jù)丟失防護(hù))會(huì)有助于識(shí)別和審計(jì)。

使用

• 活動(dòng)監(jiān)控，可以通過日志文件和基于代理的工具。

• 應(yīng)用邏輯。

• 基于數(shù)據(jù)庫(kù)管理系統(tǒng)解決方案的對(duì)象級(jí)控制。

共享

• 活動(dòng)監(jiān)控，可以通過日志文件和基于代理的工具。

• 應(yīng)用邏輯。

• 基于數(shù)據(jù)庫(kù)管理系統(tǒng)解決方案的對(duì)象級(jí)控制。

• 識(shí)別文件系統(tǒng)、數(shù)據(jù)庫(kù)管理系統(tǒng)和文檔管理系統(tǒng)等環(huán)境中的訪問控制。

• 加密解決方案，涵蓋如電子郵件、網(wǎng)絡(luò)傳輸、數(shù)據(jù)庫(kù)、文件和文件系統(tǒng)。

• 通過DLP實(shí)現(xiàn)基于內(nèi)容的數(shù)據(jù)保護(hù)。

歸檔

• 加密，如磁帶備份和其他長(zhǎng)期儲(chǔ)存介質(zhì)。

• 資產(chǎn)管理和跟蹤。

銷毀

• 加密和粉碎：所有加密數(shù)據(jù)相關(guān)的關(guān)鍵介質(zhì)的銷毀。

• 通過磁盤“擦拭”和相關(guān)技術(shù)實(shí)現(xiàn)安全刪除。

• 物理銷毀，如物理介質(zhì)消磁。

• 通過內(nèi)容發(fā)現(xiàn)以確認(rèn)銷毀過程。