云计算环境下敏感数据防泄漏方法与系统研究工作总结报告武汉大学二零一二年四月目录TOC\o"1-3"\h\z\uHYPERLINK\l"_Toc323387032"一、任务来源PAGEREF_Toc323387032\h1HYPERLINK\l"_Toc323387033"二、背景意义PAGEREF_Toc323387033\h1HYPERLINK\l"_Toc323387034"三、保障任务完成的条件PAGEREF_Toc323387034\h2HYPERLINK\l"_Toc323387035"1、组织机构人员配备PAGEREF_Toc323387035\h4HYPERLINK\l"_Toc323387036"2、资金的落实情况PAGEREF_Toc323387036\h4HYPERLINK\l"_Toc323387037"3、研究设备情况PAGEREF_Toc323387037\h6HYPERLINK\l"_Toc323387038"4、研究任务的时间安排PAGEREF_Toc323387038\h7HYPERLINK\l"_Toc323387039"5、项目的经济效益分析PAGEREF_Toc323387039\h8HYPERLINK\l"_Toc323387040"6、发表论文情况PAGEREF_Toc323387040\h10HYPERLINK\l"_Toc323387041"7、国家发明专利申请情况PAGEREF_Toc323387041\h13HYPERLINK\l"_Toc323387042"8、软件著作权情况PAGEREF_Toc323387042\h14任务来源“云计算环境下敏感数据防泄漏方法与系统”是由国家高技术发展计划（863计划）项目（2009AA01Z442）支持，武汉大学计算机学院和空天信息安全与可信计算教育部重点实验室研制的一款计算机软件，属于信息安全类产品。背景意义数据是信息时代的重要战略资源，敏感数据泄漏事关国家安全和社会稳定。国家信息安全测评认证中心的调查结果表明：在众多的攻击行为和事件中，最主要的安全事件是信息泄漏事件。此外，相关研究资料表明，我国金融等重要部门深度依赖境外软件，敏感数据泄漏事件仍呈上升趋势。敏感数据防泄漏是信息安全研究领域一个亟待解决的重要问题，且在云计算环境下尤为突出，直接影响到云计算的广泛部署和应用。在云计算环境下，云服务平台是开放的，为多个用户所共享，不同用户的数据都交由同一个云服务平台处理和存储，且云服务平台的内部技术细节等对用户也是透明不可知的，用户一旦将敏感数据外包给了云服务平台就失去了对敏感数据的可控性。此外，云服务平台也不是可信的，会出于各种原因泄漏用户的敏感数据。这些都导致了在云计算环境下，用户的敏感数据被泄漏的风险和概率大大增加了。用户的敏感数据泄漏的原因是多方面的，目前的防泄漏方法根据不同的安全需求，在保密性、完整性、可控性等安全方面的侧重点各异，无法适应云计算环境下的敏感数据防泄漏的多样性要求。必须采取综合措施才能解决用户的敏感数据泄漏问题，针对加密、访问控制等现有的安全技术无法从根本上解决敏感用户防泄漏问题的现状，引入新技术手段是解决该问题的关键。该系统结合了可信计算和虚拟化技术，从一个新的、更全面的角度考虑数据防泄漏问题。通过可信计算技术从硬件和操作系统等底层着手保障开放的云服务平台的安全性和可信性；通过虚拟化技术的良好隔离特性为多个应用提供单独的执行环境，防止在共享的云服务平台中多个用户的应用和数据相互影响而导致敏感数据的泄漏；通过与平台相关的透明加解密方法保证用户的机密性，使得即使用户的密钥被泄漏也不会导致敏感数据被泄漏。本系统可应用于政府机要部门、国家安全部门、军队安全保密部门、金融机构的数据中心及相关部门及具有敏感及隐私信息保护需求的相关部门。能够在一定程度上解决云计算环境下的某些敏感数据泄漏问题，为云计算的广泛部署和应用提供一些技术支撑和铺垫。本系统已经在一些单位中实际应用，证明其具有安全级别高、能够防止多种途径的数据泄漏、性能开销低、操作性好、应用广泛等特点，取得了良好的社会，为企业产生了上亿元的经济效益。保障任务完成的条件武汉大学计算机学院和空天信息安全与可信计算教育部重点实验室长期从事信息安全保密与可信计算方向的研究，积累了丰富的经验和成果，形成了一支老中青三结合的水平高、稳定的研究队伍。在可信计算与信息安全领域中的可信计算机、密码学、网络安全和信息系统安全等方