1700426132
当数据在两人(设备)之间传递时,为最大化数据完整性,需要在安全防护中考虑三个要素。终端应当安全——即需要对数据的收寄双方进行认证,保证他们确为其人;传送信息的渠道应当安全,不会轻易被第三方窃取或更换数据(中间人攻击);数据本身应当加密,不能被第三方轻易解读。这三个要素并不互斥,也常常互相组合来保证数据完整。
1700426133
1700426134
接下来考虑的问题包括,如何运用加密技术保证数据完备,如何用校检(checksum)来确认数据完整性,以及数据完整性在数据防损整体策略中的位置。
1700426135
1700426136
加密
1700426137
1700426138
在传输敏感信息时,为保证所使用的渠道或网络安全,还需要对渠道进行加密,当然也可以对渠道中发送的数据进行加密,但这并非常规做法。以证书方式加密的渠道可以让收寄双方通过可信任的路径进行交流,这种加密渠道被称为安全套接层(Secure Socket Layer, SSL)连接。当双方通过安全渠道交流时,要用到以下握手协议(handshake protocol):
1700426139
1700426140
发送设备使用公共和私人密钥来加密渠道,
1700426141
1700426142
最佳做法是使用由受信任的证书作者(certificate authority, CA)签署的有效证书(包含公共密钥)来启动流程,
1700426143
1700426144
双方对使用的加密协议达成一致,
1700426145
1700426146
协商共享密钥(私人密钥),
1700426147
1700426148
接收设备使用公共和私人密钥来对渠道解密。
1700426149
1700426150
当握手协议配对完成,双方就用协商好的加密算法和密钥,以安全方式开始交流,从而免受窃听或中间人攻击之扰。
1700426151
1700426152
数据加密的概念也与之类似,只不过数据是由云服务进行加密,由你安装的应用进行解密,或者随数据流方向反向操作。数据加密行为主体是应用程序,而不是网络服务器或浏览器。
1700426153
1700426154
校验
1700426155
1700426156
为对接收到的信息进行鉴真检测,需要以一定算法来计算数据的校验,接收方通过验证数据及校验,来确定接收到的数据是否值得信任。比如你要发一封信给我,就可以另外发送一条信息,说明“全信包含251个词,其中有105个名词、81个形容词,其余为代词或动词;信中包含45个句子和5个段落。”这段信息对信件内容进行了描述,与校验的作用相仿。有许多算法可以对校验进行自动计算,接收方就可以利用其来确认信息的准确性。校验能有效防范中间人攻击,保证从硬盘中提取或从中转设备接收的数据没有被截取并篡改。其另一用途是确保收到的数据没有因无线网络等通信渠道的损耗或干扰而丢失。
1700426157
1700426158
数据防损
1700426159
1700426160
数据防损是指用于发现、识别、监控、管理、保护数据的系统,所涉及的数据可以是在使用状态、传输状态或闲置状态,也可以位于任意位置。图20定义了上述三种状态下的数据防损范围,并给出每一状态下数据所处的常见位置。这三种状态构成了数据的整个生命周期:创建、传输、使用、存储、提取及最终的销毁。闲置状态数据指的是以字符形式存储在物理设备中的不活跃或半活跃数据;传输状态数据指的是从一个终端向另一个终端流动的数据;而使用状态数据是指正在被持续使用的活跃数据。
1700426161
1700426162
1700426163
1700426164
1700426165
作为云服务的用户,你需要避免数据在整个生命周期中的任何损耗,用到的工具包括加密技术(保护数据安全)、校验(验证数据完整性)、监控措施(知道谁曾访问过数据)及管理(确认过期数据在限期内销毁)。
1700426166
1700426167
数据隐私性
1700426168
1700426169
我们所称的隐私指能用于认定一个人身份的信息,即通常称为“个人识别数据”(PID)或“个人识别信息”(PII),NIST对PII的定义是,关于个人的任何以下信息:
1700426170
1700426171
(1)可用于区分或追踪个人身份的信息,如姓名、社会保障号、出生日期和地点、父亲的姓名、生物识别记录;
1700426172
1700426173
(2)任何其他与个人关联的信息,如医疗、教育、金融、雇佣信息等。
1700426174
1700426175
大多数国家都有数据保护相关法律,来确保数据不会落入未经授权的第三方之手,而这类法律大多包括数据保管指令(data retention directives),如“服务提供者应当在流量数据使用完毕后将其删除或者匿名化”,这是云服务供应商应当遵守的一个指令。然而,同一部法律中也含有无法施行的部分——特别是与信息记录程序相关的内容,现今的网站并未遵守也不打算遵守这样的指令,这就使数据保护法律面临失效,许多服务供应商都不会特别当真。
1700426176
1700426177
数据隐私与数据完备性紧密相关。为保证数据的私密性,需要确认在其保存与传输过程中都使用了数据完备性工具。用于加强安全的常用工具包括入侵检测工具、防入侵工具、防火墙、反病毒与反恶意软件工具等,但这些防线常常存在漏洞,一旦被突破,你未经加密的隐私数据就会被人读取。不过,你可以将存储于硬盘、软盘、云存储中的数据加密,即加密“闲置数据”,就算数据因安全漏洞而泄露,其内容也不会轻易被人获取。除了“闲置数据”的加密,你也可以对通过电子邮件、Dropbox之类文件共享工具发给他人的数据或发到自己云存储中的数据进行加密,这保护数据在传输过程中不被拦截者读取。
1700426178
1700426179
然而,加密技术和其他数据保护措施一样,只对非政府行为生效。有些政府能够在战略部位留下后门,以便随时获取你的数据,甚至已经在这么操作。驱动程序就属于战略部位,这些程序的作用包括(1)数据通路,如路由器、语音电话(VOIP)服务器和调制解调器等;(2)储存数据,如硬盘;(3)数据安全,如防火墙和入侵检测等;(4)数据加密。这些后门往往被植入设备固件中,用户或软件都不会察觉它们的存在,更不用说对其进行防范。随着物联网的兴起,后门更是变得无处不在,因为接入互联网的“物”中可能就包含留有后门的驱动程序。不过目前只有一小部分(我的猜测是两三个)政府有这种能力。要让你的“物联网”设备含有这类后门的概率较小,方法之一是坚持使用开源驱动程序,软件开发商和工程师如果对驱动程序源代码进行检查,就能发现后门的存在。
1700426180
1700426181
合法合规问题