云數(shù)字檔案館安全風險分析及防范策略

摘要：云數(shù)字檔案館的安全管理具有其獨特性。本文從云數(shù)字檔案館承載的安全職能出發(fā)，逐層分析其安全風險和相關因素，結合其用戶使用特點，提出云數(shù)字檔案館安全中心的建設框架、主體內容和防范對策。

關鍵詞：云計算云數(shù)字檔案館風險分析安全管理中心防范策略

云數(shù)字檔案館是基于云計算的關鍵技術和管理模式而構建的數(shù)字檔案館，其主要功能是面向檔案形成機構、檔案管理機構、檔案利用者提供檔案數(shù)字資源的采集、整理、編目、管理、保存和利用服務，通常會在一個較廣的區(qū)域范圍內進行統(tǒng)一規(guī)劃和組織實施，其目的是能夠實現(xiàn)跨多個實體檔案館、跨地域地開展檔案資源的集約化管理和檔案信息的綜合性服務。云數(shù)字檔案館的建設和運營管理過程，將充分體現(xiàn)云計算虛擬化技術支撐下的統(tǒng)一管理、智能動態(tài)調度、信息分布式存儲和自動化處理、規(guī)模化部署和多元化服務、使用的按需響應和服務的計量管理等特點，這將大大節(jié)省全國檔案系統(tǒng)內檔案信息化基礎設施投入，提高檔案管理信息系統(tǒng)的開發(fā)效率，增強檔案信息服務能力，促進全國檔案系統(tǒng)現(xiàn)代化發(fā)展的均衡性和協(xié)調性。這一IT集約化的建設模式必將改變當前我國檔案層級集中的多級管理模式，將會通過網(wǎng)絡將國家檔案資源實現(xiàn)更加扁平化的管理。但這會將更多的安全風險轉移到云數(shù)字檔案館服務端，即未來檔案數(shù)字資源的安全在很大程度上取決于云數(shù)字檔案館的安全防范措施和管理控制能力。

1 云數(shù)字檔案館基礎架構和服務功能

按照云計算的IT服務模式，云數(shù)字檔案館的服務功能將會跨越三個層級，軟件即服務、平臺即服務、基礎設施即服務。在基于云計算建設數(shù)字檔案館時，用戶可以選擇其中任意一個層級的服務模式，也可以組合使用任意兩個或三個層級服務，這與數(shù)字檔案館建設承擔方的人力、物力、財力和持續(xù)運維能力密切相關。

SaaS層提供用于支撐檔案業(yè)務活動的應用系統(tǒng)服務，如檔案數(shù)據(jù)采集、整理、分類、編目、管理、編研、統(tǒng)計、存儲、利用等；以及檔案管理基礎性技術服務，如封裝、校驗、憑證、監(jiān)控、溯源等。

PaaS層提供檔案管理應用開發(fā)平臺和運行環(huán)境支撐服務，如開發(fā)工具、數(shù)據(jù)庫管理系統(tǒng)、中間件和運行服務平臺等。

laaS層提供基礎設施和虛擬資源供給服務，包括虛擬的服務器、計算資源以及分布式集群管理的調度、控制與同步等。

2 云數(shù)字檔案館服務層級的風險要素分析

對網(wǎng)絡信息技術環(huán)境而言，安全風險來源于安全威脅或安全漏洞。安全威脅可分為自然和物理的（火災、水災、風暴、地震和停電等）、無意的或不知情、故意的（攻擊者、恐怖分子、工業(yè)間諜、政府、惡意代碼）三大類。安全漏洞是資源容易遭受攻擊的位置，可分為物理的（未鎖門窗）、自然的（地震）、硬件和軟件（防病毒軟件過期）、媒介（電干擾）、通信（未加密協(xié)議）、人為（不可靠的技術支持）等吲。只有及時地識別漏洞和威脅并采取預防措施，安全才有保障。

2.1 SaaS層風險要素分析

SaaS層的主要用戶為檔案館、檔案室、檔案存放的個人及其他機構。一套軟件系統(tǒng)同時支持多個租戶，通過參數(shù)應用、自定義空間、集成器等技術手段，用戶可根據(jù)自己的實際需求，透明地定制個性化軟件應用服務，應用管理員負責本層檔案用戶的定制服務、管理、統(tǒng)計、分析、安全、服務級別協(xié)議等事務。如圖1所示。

來自云終端用戶即檔案管理人員的風險主要有非授權操作、惡意攻擊、病毒等，對云數(shù)字檔案館形成威脅，影響檔案數(shù)據(jù)的安全性。

在SaaS層中，基于多租戶架構和元數(shù)據(jù)開發(fā)模式的在線軟件技術，安全風險存在下面幾個方面：多用戶隔離安全。虛擬機的主要目的是為減少達到隔離目的而產(chǎn)生的獨占性資源。多用戶的典型應用環(huán)境下，采用虛擬化方法，不同檔案館、檔案室等用戶在使用時可以獨享一臺虛擬機，而一臺物理機有無數(shù)的虛擬機，這種隔離是邏輯上的，透明的，非獨占性特點會導致用戶隔離出現(xiàn)漏洞，一個合法用戶的數(shù)據(jù)可能被另一個合法用戶非授權操作；身份認證和訪問權限安全。對不同服務水平的檔案用戶、應用管理員的身份認證和訪問控制出現(xiàn)漏洞，或技術或管理原因導致非授權登錄、發(fā)送、修改、盜用檔案信息；檔案用戶權限樹安全。用戶權限樹的設計和維護機制出現(xiàn)漏洞，用戶權限在各SaaS應用程序中失去繼承性，導致安全隱患；網(wǎng)絡和應用系統(tǒng)安全。云數(shù)字檔案館的網(wǎng)絡和應用軟件系統(tǒng)遭受惡意攻擊，無法正常運行；人員安全意識。來自應用系統(tǒng)管理員和用戶安全風險可能是無意的或有意的人為風險。

2.2 PaaS層風險因素分析

云數(shù)字檔案館PaaS層提供檔案管理應用軟件及中間件開發(fā)、運行、測試、部署的完整支撐軟件環(huán)境，可以離線或在線方式給用戶專屬性使用。包括檔案管理軟件上線測試應用服務平臺、開發(fā)運行和運維的基礎服務平臺、管理平臺。PaaS層的主要用戶是檔案軟件系統(tǒng)開發(fā)人員、平臺管理員、應用管理員。如圖2所示。

平臺管理員側重對檔案云平臺中主要的軟件資源進行監(jiān)控和管理。應用管理員側重對應用的SLA管理，因此來自云終端的風險主要是惡意攻擊、病毒、非授權操作。

對于云數(shù)字檔案館“平臺即服務”層，安全風險存在下列幾個方面：

分布式文件系統(tǒng)安全。分布式文件系統(tǒng)可以把云數(shù)字檔案館中的文件資源以統(tǒng)一的視點呈現(xiàn)給用戶，但其中服務器組件失效、海量數(shù)據(jù)存儲和快速讀取響應，多檔案用戶同時訪問文件系統(tǒng)引起的并發(fā)控制和訪問效率、檔案數(shù)據(jù)私有性和沖突時的數(shù)據(jù)恢復等都是潛在風險；分布式數(shù)據(jù)庫安全。檔案數(shù)字資源中結構化數(shù)據(jù)采用分布式數(shù)據(jù)庫進行管理。檔案海量數(shù)據(jù)的存儲和快速檢索、多用戶并發(fā)、數(shù)據(jù)操作的同步性，服務器動態(tài)擴展性等是潛在風險。

身份認證和訪問安全。檔案軟件開發(fā)人員、平臺管理員、應用管理員身份認證和訪問權限控制出現(xiàn)漏洞，會引起安全隱患，應用間安全隔離和用戶間安全隔離出現(xiàn)漏洞，將是重大的安全隱患。網(wǎng)絡安全。網(wǎng)絡和開發(fā)運行環(huán)境遭受攻擊，無法正常運行。安全人員。檔案管理軟件開發(fā)者、平臺管理員和應用管理員是造成有意或無意的人為風險。

2.3 laaS層風險因素分析

laaS是把計算、存儲、網(wǎng)絡及搭建應用環(huán)境所需的一些工具當成服務提供給用戶。將某一區(qū)域內檔案行業(yè)的IT資源整合起來，采用虛擬化技術，分布式技術，提供“資源部署、負載管理、計算服務、數(shù)據(jù)管理、資源監(jiān)控、認證/定價、計費管理”基礎服務和虛擬資源池的基礎設施服務。如圖3所示。

該層主要用戶是硬件設施租用客戶和IT管理人員。由于該層是物理機上運行無數(shù)虛擬機，提供給用戶計算機、存儲、網(wǎng)絡資源等服務，安全隱患涉及物理機、虛擬機、管理等方面。

對于laaS層而言，影響安全的因素有物理設施（機房建筑、門鏡系統(tǒng)、電磁、防火、防災等），計算機病毒和權限控制，網(wǎng)絡攻擊，虛擬化技術下的資源分配、負載均衡、數(shù)據(jù)遷移、備份與恢復，虛擬機中用戶隔離、數(shù)據(jù)位置、數(shù)據(jù)殘留、數(shù)據(jù)多副本容錯、災難恢復，IT管理人員安全意識和安全管理制度，數(shù)據(jù)庫安全，操作系統(tǒng)安全，安全審計等。

由此可以看到檔案云安全可分為數(shù)據(jù)安全、應用安全、網(wǎng)絡安全、物理安全、虛擬化安全和安全管理等六大部分。每個層次在運營服務的過程中都遇到不同的安全威脅，潛藏不可預測或難以預測的風險，安全管理將跨越云數(shù)字檔案館從機房環(huán)境、硬件設施到網(wǎng)絡虛擬化服務的各個層面。

3 云數(shù)字檔案館安全管理中心

建設與風險防范對策

云安全聯(lián)盟（CSA：CloudSecurityAIliance）在2009年發(fā)布了云計算安全實施指南，其中將云服務的安全措施劃分為管制類和操作類，落實到云數(shù)字檔案館的建設、實施和運營方面，可搭建檔案云安全架構，對云終端用戶惡意代碼保護，檔案云整體監(jiān)管（合規(guī)性、狀態(tài)與事件監(jiān)控），實現(xiàn)云中的數(shù)據(jù)安全、物理安全、網(wǎng)絡安全、應用安全、虛擬化安全的管理，通過第三方機構認證和監(jiān)管，保證檔案云的安全運行。主要風險防范策略包括：

（1）檔案云整體監(jiān)管。這是檔案云安全架構最頂層的管理，主要完成基于檔案行業(yè)特點的安全規(guī)劃、安全策略、安全運營機制、風險管理框架、合規(guī)審計策略、監(jiān)控告警策略等設計，以及相關的安全措施和指南，對物理資源、網(wǎng)絡資源、虛擬資源的動態(tài)監(jiān)測、事件報警，檔案用戶虛擬機健康狀態(tài)顯示進行全面監(jiān)控。

（2）檔案云合規(guī)性控制。定義與合規(guī)性和審計相關的流程，確定檔案云提供商與檔案用戶在滿足合規(guī)和審計過程中的責任，通過合同、服務等級協(xié)議清晰表達雙方責任的劃分，確保整個檔案云系統(tǒng)遵循必要的協(xié)議。引入具備很好公信力的第三方審計機構，對整個檔案云安全架構進行認證。

（3）檔案數(shù)字資源生命周期管理。主要是檔案數(shù)據(jù)的全過程管理，包括檔案數(shù)字資源的訪問控制、加密方式、驗證檔案數(shù)據(jù)在生命周期（采集、傳輸、管理、保存、銷毀）各階段的安全性，以及檔案用戶對自身數(shù)據(jù)安全管理的控制機制。

（4）檔案用戶身份和訪問控制的管理。用于認證與授權檔案云用戶進入系統(tǒng)和訪問數(shù)據(jù)的權限，保護檔案數(shù)字資源或應用免受非授權訪問。

（5）云數(shù)字檔案館安全制度規(guī)范制定。全員動員，建立云數(shù)字檔案館安全運營機制，從安全組織體系、人員分工與職責、工作流程、操作性手冊、人員安全培訓、安全跟蹤審計、獎懲等方面，加強安全管理，提高人員安全意識。

（6）虛擬化安全管理。檔案云服務商在保證不同虛擬層次上的安全性具有更大的責任，需要劃分不同的安全區(qū)域供檔案用戶選擇，加強區(qū)域邊界的安全措施，保證暴露在外的訪問Web接口安全控制，提高虛擬機引擎的安全能力。

（7）檔案云的安全核心技術合理選擇。用戶認證、授權技術、海量數(shù)據(jù)分布存儲、多租戶隔離技術、分布式鎖服務以及負載均衡等技術，都是云數(shù)字檔案館實施安全監(jiān)控的關鍵技術，需要合理選擇和正確使用。

（8）檔案信息化人才培養(yǎng)。檔案人員作為終端用戶需要進行安全意識和操作培訓，確保終端用戶主機安全、密碼安全、應用安全的基礎上，保障云數(shù)字檔案館的安全。

總之，秉承“安全即服務”，是數(shù)字檔案館建設、實施、運營和持續(xù)發(fā)展的重要保障，是需要在云數(shù)字檔案館規(guī)劃、設計階段進行充分的論證、研究和分析，需要在系統(tǒng)建設的各個階段、系統(tǒng)作用的各個層次和運行維護的各個時期進行高度重視和檢查，需要在云開發(fā)商、云集成商、云運營與維護以及使用云的各方利益相關者之間建立廣泛的共識，才能最終達成良性的、可靠的安全云生態(tài)系統(tǒng)，這是云數(shù)字檔案館能夠落地實施和得以廣泛應用的基礎。