SCI期刊 | 网站地图 周一至周日 8:00-22:30
你的位置:首页 >  » 正文

信息保护与防泄漏系统设计探讨

2021-4-10 |

1设计系统相关措施

主要是通过浏览器插件、策略库、服务端代理、客户端等方面构成。云服务代理提供商与组织机构间存在的HTTP流量会受到服务端代理与客户端的截获,通过的数据则会受到网络域中存在的代理代表检测,通常提供商客户在对策略进行指定时,服务代理均会全面执行,同时代理还会做好标记数据的工作。一般一个策略库均有代理进行维护,将“事件-条件-动作”等一系列的(ECA)规则存储在策略库中,ECA规则对传播数据的措施起到指定的作用,一旦传输文件过程中对代理行为则会起到控制的目的。ECA规则的格式相对来说较为容易理解,在一定程度上降低代理间存在的通信难度。浏览器的插件在用户信息获得收集后则有效的标记上传的问题,在代理检测过程中客户端的代理通信以及插件会在上传文件时对用户进行明确的告知。

上述系统架构示意图对云服务提供商与组织机构之间传输文件的具体过程进行全面展示:(1)用户在提交文件时主要是采用Web表单完成,浏览器插件在外发HTTP请求上附加本地存储文件位置信息、文件元数据信息、当前用户信息等方面系列标识信息。(2)代理服务器将请求截获,对用户标识信息进行取回以及检测,接着与策略库中存在的ECA规则进行有效配置,一旦规则得到满足后,请求动作则会得到代理的执行。(3)采用动作对文件上传中存在的用户认证信息进行查询,通过分析用户反映的内容,在文件中加入标签,并且记录请求,给今后审计工作提供便利,代理会在云计算服务的提供商中转发请求。(4)服务代理会通过分析标签的情况,对内容进行检测,且参照ECA规则对客户端传送的文件进行处理,例如,倘若云计算服务提供商会参照ECA规则的要求,对某企业上传敏感类型的文件进行有效处理或者拒绝保存,倘若文件上传后处于接收的状态,那么存储服务中则会接收到转发的请求。文件上传的请求被取回时,服务代理对存储服务发出的相应则会做出截获操作,文件上使用附着的标签对响应的请求做出决定时,服务代理则会对客户端代理进行联系,执行获取策略。例如,防止数据发布给企业内网之外的用户。

1.1标签

文件控制过程中标签的使用主要是通过标签、标识参数、标示符等3部分构成的,标示符属于文本类型的,其主要是通过容易读懂的命名数据传输数据,例如,可以通过标识符user-private对云计算服务内存储的文件进行有效限制。标识参数能够具体规定以及制定传输数据的策略。通常情况下,代理地址与标签对应的状态应该唯一绑定传输数据策略以及确保标签。

1.2ECA规则

云计算环境下存在的ECA规则的触发条件是针对性的事件,倘若事件具体条件与相关规则互相满足时,则要将相应的动作全面执行。事件:因为HTTP在云计算存储服务中具体是将协议有效传输,因此,ECA规则触发的时间同时也是调用HTTP的方式。倘若HTTP从外部于进入一个规则后触发请求,则会收到HTTP在内部域外发传来的触发请求,管理人员能够对HTTP调用方法进行制定。例如,事件通过外发的形式请求与Dropbox服务器中的POST、PUT进行匹配时,主要是通过正则表达式对HTTP中存在的URI进行匹配,组织机构能够采用上述操作规则对Dropbox上传文件的操作进行阻止。条件:系统通过条件对触发动作的基础进行表示,响应里文件与HTTP请求均会标记满足相关条件。

通常是服务或者服务无关制定条件,倘若条件属于服务无关类型的,则会忽略服务的HTTPAPI,这种情况下,文件标签会基本满足条件。倘若是需要通过部分请求与参数制定来满足服务制定状态下的条件,因为响应或者HTTP请求会出现文件以不同参数存储的情况,造成不相同的标记可能会在每个文件上做打上处理,服务制定条件对HTTP参数作了一系列的指定工作,同时对标记给予参数赋值的肯定。动作:云计算服务提供商或者组织机构在数据传播策略上主要是通过动作进行指定,则是对应的数据分类应该选择针对性的规则。Log、Return、Issue属于相对基本的操作方式,分别在存储HTTP请求、回复、创建等方面使用。动作脚本能够通过上述方法满足防火墙传统规则内的具体需求。detLabel、attLabel、getLabels主要是在操作文件传输过程中获得的标签,确定标签是否在文件中附着是根据数据传输的实际情况而决定的,实现方式能够通过ask或者getContent完成。

1.3嵌入标签

要想文件中能嵌入标签,则应该通过原数据的基本含义,通过Adobe中的XMP在原型系统中使用。XMP主要是通过XML规范的将原数据任意的表达,能够在文件格式中自行存储。

2系统的实现

为了使云中数据流转对系统的控制得到验证,主要是在Dropbox的基础上将原型系统搭建在云计算服务提供商中,现今,Dropbox于在线存储云中属于相对流行的,一般是通过本地客户端对文件进行同步。因为本地客户端在Dropbox状态下对HTTPAPI不产生依赖,因此,仅仅能够于Web版状态下的Dropbox使用本原型系统。对相对容易的策略Policy1进行设置,对上传Dropbox到内部文件的工作起到阻止的作用,ECA规则相互对应的状态为:EventConditionActionEuploadsReturn(“403”)上诉规则仅仅对使用Dropbox产生影响,通常情况下,用户在文件交互时能正常进行。

3结语

总之,信息保护与防泄漏是妨碍云计算应用和推广的主要因素,也是业界关注和研究的重点。文中在结合云计算下的信息安全和风险基础上提出了云计算下信息保护与防泄漏系统,具体阐述了设计思路,并通过在Dropbox搭建原型系统证实了该系统的有效性,对云计算的具体应用和推广具有一定的指导意义。

作者:赵云霖 赵云霁 单位:梅州市职业技术学校 广东嘉应学院医学院

Top