云環(huán)境下數(shù)字檔案館面臨的安全風(fēng)險(xiǎn)及其應(yīng)對(duì)措施

被視為第三次信息技術(shù)革命浪潮的云計(jì)算，正在迅速改變當(dāng)今的商業(yè)模式和人們的日常生活方式，其獨(dú)特的技術(shù)優(yōu)勢(shì)為各行業(yè)領(lǐng)域的信息化建設(shè)描繪了美好的圖景。數(shù)字檔案館作為檔案領(lǐng)域信息化建設(shè)的重要內(nèi)容，同樣對(duì)云計(jì)算這種全新的計(jì)算和網(wǎng)絡(luò)應(yīng)用服務(wù)模式充滿了無(wú)限憧憬和期盼。然而，世界知名公司的云服務(wù)都曾出現(xiàn)過(guò)安全問(wèn)題，如微軟的云平臺(tái)Windows Azure在2009年3月出現(xiàn)服務(wù)中斷導(dǎo)致數(shù)據(jù)丟失；Google先后在2009年和2010年分別發(fā)生了文檔錯(cuò)誤共享情況；2012年8月，盛大云服務(wù)在無(wú)錫的數(shù)據(jù)中心因?yàn)橐慌_(tái)物理服務(wù)器磁盤發(fā)生損壞，導(dǎo)致“個(gè)別用戶”數(shù)據(jù)的丟失，等等。這些安全問(wèn)題無(wú)疑為數(shù)字檔案館在進(jìn)軍云計(jì)算途中敲響了“警鐘”。那么，云環(huán)境下的數(shù)字檔案館究竟存在著哪些風(fēng)險(xiǎn)問(wèn)題？檔案界又該采取何種措施來(lái)應(yīng)對(duì)這些安全風(fēng)險(xiǎn)？這將是本文所要探討、剖析的重點(diǎn)內(nèi)容。

1 云計(jì)算及其特征

當(dāng)前，IT界群雄逐“云”，風(fēng)起“云”涌，云計(jì)算已經(jīng)成為人們關(guān)注的熱點(diǎn)和焦點(diǎn)。從本質(zhì)上來(lái)說(shuō)，云計(jì)算并不能稱得上是一種新技術(shù)，它是基于服務(wù)共享需求下的傳統(tǒng)并行計(jì)算、分布式計(jì)算、網(wǎng)格計(jì)算和虛擬化計(jì)算等多種技術(shù)上的整合和發(fā)展，是當(dāng)今社會(huì)對(duì)低耗能、低成本、高效率、優(yōu)質(zhì)服務(wù)在IT應(yīng)用模式上迫切需求的具體體現(xiàn)。云計(jì)算主要通過(guò)組建大規(guī)模的服務(wù)器集群來(lái)形成超級(jí)計(jì)算能力，用戶通過(guò)網(wǎng)絡(luò)以按需按易的方式租賃使用云端的虛擬資源。綜合來(lái)看，云計(jì)算具有以下幾方面的明顯特征：所有服務(wù)通過(guò)網(wǎng)絡(luò)提供；資源高度集在提供商的服務(wù)器集群上；以用戶為中心，可以為用戶提供多元化、個(gè)性化的服務(wù)；云邊界具有模糊性，用戶很難知道資源的確切位置。這些特征決定了云計(jì)算應(yīng)用于數(shù)字檔案館領(lǐng)域具有傳統(tǒng)IT模式無(wú)法比擬的優(yōu)勢(shì)，同時(shí)，也可能會(huì)帶來(lái)一些新的安全問(wèn)題。

2 云環(huán)境下數(shù)字檔案館安全特點(diǎn)

2.1 對(duì)服務(wù)提供商的依賴性增強(qiáng)。云環(huán)境下，檔案館只需要花費(fèi)較少的投入以按需、按易的方式來(lái)租用提供商的軟硬件資源，無(wú)需花費(fèi)大量的資金購(gòu)買、升級(jí)正版軟件和硬件。同時(shí)，檔案館無(wú)需規(guī)劃自己的數(shù)據(jù)中心，也不需要將精力耗費(fèi)在與自己主管業(yè)務(wù)無(wú)關(guān)的IT管理上，所需一切都由服務(wù)商提供。正如美國(guó)計(jì)算機(jī)專家Michael Miller 所說(shuō)：“用戶不必關(guān)心資源在哪里、如何部署，只需要把自己的需求告訴云，剩下的工作就交給云了。”毋庸置疑，這種應(yīng)用模式將大大降低檔案館在信息化建設(shè)方面的軟硬件和技術(shù)人才的投入。然而，在軟硬件資源的運(yùn)行管理上，數(shù)字檔案館對(duì)云服務(wù)提供商和作為保持云服務(wù)持續(xù)暢通的網(wǎng)絡(luò)通信服務(wù)商的依賴性將會(huì)增強(qiáng)。相應(yīng)地，數(shù)字檔案館的安全需求將在更大程度上依賴服務(wù)提供商。

2.2 對(duì)服務(wù)的可靠性、可用性要求更高。為用戶提供的服務(wù)是否可靠和可用，關(guān)系到數(shù)字檔案館服務(wù)質(zhì)量與用戶滿意度，因此，系統(tǒng)提供服務(wù)的可靠性、可用性始終是數(shù)字檔案館最為關(guān)心的問(wèn)題。云平臺(tái)是一個(gè)拓?fù)浣Y(jié)構(gòu)龐大、應(yīng)用程序復(fù)雜并不斷成長(zhǎng)更新的系統(tǒng)，其中的個(gè)體計(jì)算單元及其運(yùn)行軟件具有很大的不確定性，以及它們之間的相互關(guān)系具有復(fù)雜性。因此，云環(huán)境下的數(shù)字檔案館只有對(duì)服務(wù)的可靠性與服務(wù)的可持續(xù)性提出更高的要求，才能保證云服務(wù)系統(tǒng)中高度集中的檔案信息資源安全。

2.3 面臨的安全風(fēng)險(xiǎn)更加復(fù)雜。云環(huán)境是一個(gè)復(fù)雜多變的新環(huán)境，涉及技術(shù)、管理、標(biāo)準(zhǔn)規(guī)范和法律等各方面的安全問(wèn)題，并且，這些問(wèn)題彼此交叉融合，這使得通過(guò)任何單獨(dú)的技術(shù)或管理手段都難以解決數(shù)字檔案館所面臨的安全問(wèn)題。有的學(xué)者就此提出“僅從技術(shù)角度出發(fā)探索解決云計(jì)算安全問(wèn)題是不夠的，需要信息安全學(xué)術(shù)界、產(chǎn)業(yè)界以及政府相關(guān)部門的共同努力才能實(shí)現(xiàn)”。

2.4 遭遇的安全損失更大。云環(huán)境下，各個(gè)數(shù)字檔案館的信息資源上傳到成千上萬(wàn)臺(tái)甚至更多服務(wù)器組成的虛擬云端，位于同一共享平臺(tái)的所有信息資源將高度集中，并由云服務(wù)提供商進(jìn)行統(tǒng)一的軟硬件管理，而且，在各數(shù)字檔案館達(dá)成協(xié)議的前提下可能進(jìn)行統(tǒng)一的檔案信息資源管理、調(diào)度和共享服務(wù)。這意味著，“如果攻擊者通過(guò)某種方式成功攻擊云系統(tǒng)，將會(huì)給云計(jì)算服務(wù)提供商和用戶帶來(lái)更大損失”。

3 云環(huán)境下數(shù)字檔案館面臨的安全風(fēng)險(xiǎn)

3.1 云服務(wù)提供商選擇的風(fēng)險(xiǎn)。云環(huán)境下，數(shù)字檔案館可以租賃位于世界不同地域的云服務(wù)提供商的軟硬件設(shè)施，將檔案信息資源分布存儲(chǔ)于不同的云設(shè)施上。因此，云服務(wù)提供商的選擇關(guān)乎數(shù)字檔案館的安全。首先，不同的云服務(wù)提供商的發(fā)展水平和應(yīng)對(duì)風(fēng)險(xiǎn)的能力不同。一些發(fā)展不夠成熟、應(yīng)對(duì)風(fēng)險(xiǎn)能力較弱的云服務(wù)提供商可能會(huì)使數(shù)字檔案館遭遇更多的風(fēng)險(xiǎn)。其次，云環(huán)境下，數(shù)據(jù)的管理權(quán)與所有權(quán)發(fā)生分離，數(shù)字檔案館將數(shù)據(jù)托管給云服務(wù)提供商管理，云服務(wù)提供商工作人員可能通過(guò)獲得超級(jí)權(quán)限非法訪問(wèn)，甚至篡改、盜取數(shù)字檔案館的核心數(shù)據(jù)。最后，云環(huán)境下，“特別是對(duì)于跨國(guó)大型云計(jì)算服務(wù)而言，數(shù)字檔案館無(wú)從得知自己的檔案信息資源存在什么位置，存在哪個(gè)國(guó)家；檔案信息在傳輸過(guò)程中經(jīng)過(guò)的線路更是難以控制”。由于不同國(guó)家的法律對(duì)信息資源尤其是重要信息資源的存儲(chǔ)位置和IT內(nèi)控具有不同的要求，這在無(wú)形中給數(shù)字檔案館帶來(lái)了一定的法律風(fēng)險(xiǎn)。

3.2 檔案信息資源存儲(chǔ)的風(fēng)險(xiǎn)。正如有些學(xué)者擔(dān)心的那樣，“云計(jì)算是一個(gè)復(fù)雜龐大的系統(tǒng)，用戶海量數(shù)據(jù)存儲(chǔ)、處理、傳輸過(guò)程都有可能造成關(guān)鍵或隱私信息丟失、竊取、破壞”，云計(jì)算系統(tǒng)結(jié)構(gòu)的復(fù)雜性可能影響檔案信息資源存儲(chǔ)的安全性。同時(shí)，云計(jì)算采用多租戶技術(shù)，數(shù)字檔案館和其他客戶共享同一物理空間很難做到數(shù)據(jù)獨(dú)立和相互隔離。另外，當(dāng)云平臺(tái)遭遇意外災(zāi)難時(shí)，沒(méi)有備份的云端檔案信息資源可能會(huì)丟失。

3.3 檔案信息泄密的風(fēng)險(xiǎn)。在傳統(tǒng)數(shù)字檔案館中，檔案信息資源存儲(chǔ)在本地系統(tǒng)中，控制、保護(hù)機(jī)密檔案信息相對(duì)容易。云環(huán)境下，基于分布式網(wǎng)絡(luò)的數(shù)據(jù)異地集中存儲(chǔ)，網(wǎng)絡(luò)上的每一臺(tái)計(jì)算機(jī)都可以被認(rèn)為是一個(gè)節(jié)點(diǎn)。當(dāng)數(shù)字檔案館的計(jì)算機(jī)聯(lián)網(wǎng)以后，就成為互聯(lián)網(wǎng)的一部分，如果沒(méi)有有效的安全保護(hù)機(jī)制，云中的每一臺(tái)計(jì)算機(jī)都可以通過(guò)一定的手段訪問(wèn)到它的節(jié)點(diǎn)，獲取它的機(jī)密信息和隱私數(shù)據(jù)。這種云平臺(tái)的開(kāi)放接口為非法訪問(wèn)提供了可能，當(dāng)今技術(shù)條件下即使采用數(shù)據(jù)加密也很難確保機(jī)密信息的絕對(duì)安全。

3.4 云平臺(tái)服務(wù)不可靠、中斷的風(fēng)險(xiǎn)。一方面，云環(huán)境下的基礎(chǔ)設(shè)施和網(wǎng)絡(luò)結(jié)構(gòu)異常復(fù)雜，數(shù)據(jù)在存儲(chǔ)、傳輸、管理和提供服務(wù)過(guò)程中面臨諸多安全風(fēng)險(xiǎn)。另一方面，云計(jì)算服務(wù)是基于網(wǎng)絡(luò)提供的，當(dāng)數(shù)字檔案館把運(yùn)營(yíng)系統(tǒng)遷移到云計(jì)算系統(tǒng)后，一旦與云計(jì)算平臺(tái)連接中斷或者云平臺(tái)出現(xiàn)故障，造成服務(wù)中斷，將影響到數(shù)字檔案館服務(wù)的正常提供。另外，目前，云計(jì)算服務(wù)還沒(méi)有統(tǒng)一的標(biāo)準(zhǔn)，各服務(wù)提供商之間的系統(tǒng)接口互操作難度較大。如果在服務(wù)過(guò)程中需要更換云服務(wù)提供商，數(shù)字檔案館信息資源的可靠性、可用性將受到影響。

4 云環(huán)境下數(shù)字檔案館應(yīng)對(duì)安全風(fēng)險(xiǎn)的措施

4.1 正確選擇云服務(wù)提供商。在云環(huán)境下，云服務(wù)提供商的選擇對(duì)數(shù)字檔案館的安全有著重大影響，數(shù)字檔案館的安全性對(duì)其依賴性增強(qiáng)。因此，在選擇云服務(wù)提供商時(shí)，筆者建議：選擇發(fā)展成熟、實(shí)力雄厚、技術(shù)領(lǐng)先，尤其是在數(shù)字檔案信息方面有突出表現(xiàn)的云服務(wù)提供商；選擇內(nèi)部管理機(jī)制完善、社會(huì)信譽(yù)度高的云服務(wù)提供商；選擇遵從我國(guó)法律或服務(wù)器部署在我國(guó)境內(nèi)的云服務(wù)提供商；制定嚴(yán)密的合同協(xié)議，對(duì)云服務(wù)提供商的權(quán)責(zé)進(jìn)行明確規(guī)定。

4.2 采用先進(jìn)的安全技術(shù)。在應(yīng)對(duì)和處理安全風(fēng)險(xiǎn)時(shí)，我們可以采取一些安全方面的先進(jìn)技術(shù)措施。在檔案信息保密方面，采用先進(jìn)的數(shù)據(jù)加密算法可以確保數(shù)字檔案信息的安全存儲(chǔ)和安全隔離，防止檔案數(shù)據(jù)被偷竊、攻擊和篡改；在檔案數(shù)據(jù)傳輸方面，采用VPN技術(shù)，數(shù)字檔案館可以通過(guò)身份認(rèn)證、授權(quán)等方式從VPN提供的虛擬內(nèi)部網(wǎng)和加密的網(wǎng)絡(luò)通道訪問(wèn)云中實(shí)例，最大限度地防止網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)被泄露；在檔案數(shù)據(jù)存儲(chǔ)方面，采用基于多副本形式容錯(cuò)機(jī)制的虛擬海量存儲(chǔ)技術(shù)，數(shù)字檔案館不需要維護(hù)規(guī)模龐大的映射表，即使磁盤被破壞，也不會(huì)影響正常的讀寫訪問(wèn)。

4.3 加強(qiáng)用戶的訪問(wèn)控制管理。數(shù)字檔案館中的數(shù)據(jù)不同于其他數(shù)據(jù)，一般具有不同的保密等級(jí)要求，因此，必須對(duì)訪問(wèn)這些數(shù)據(jù)的用戶進(jìn)行統(tǒng)一身份認(rèn)證，實(shí)現(xiàn)有效的控制，并進(jìn)行分級(jí)管理，明確誰(shuí)可以訪問(wèn)數(shù)字檔案館的信息資源以及可以訪問(wèn)哪些信息資源。這方面比較先進(jìn)的技術(shù)是特權(quán)管理基礎(chǔ)設(shè)施PMI，它是基于屬性證書AC的授權(quán)管理平臺(tái)，以公鑰基礎(chǔ)設(shè)施PKI為基礎(chǔ)，可以向所有用戶提供數(shù)字檔案館管理與數(shù)據(jù)資源使用的授權(quán)與權(quán)限認(rèn)證服務(wù)。數(shù)字檔案館的用戶根據(jù)認(rèn)證獲得不同授權(quán)，才能訪問(wèn)云端的檔案信息資源。

4.4 制定安全評(píng)估體系和應(yīng)急預(yù)案。為了對(duì)云環(huán)境下數(shù)字檔案館安全狀況進(jìn)行了解和掌握，以便在發(fā)生風(fēng)險(xiǎn)時(shí)及時(shí)采取應(yīng)對(duì)策略，檔案部門應(yīng)該和信息技術(shù)部門合作組成安全評(píng)估小組，并制定科學(xué)合理的安全評(píng)估體系，以及設(shè)定評(píng)價(jià)指標(biāo)。安全評(píng)估小組應(yīng)根據(jù)各項(xiàng)評(píng)價(jià)指標(biāo)對(duì)云環(huán)境下數(shù)字檔案館的各種安全風(fēng)險(xiǎn)進(jìn)行定期評(píng)估，并形成安全評(píng)估報(bào)告，指明系統(tǒng)中存在和潛在的安全問(wèn)題，并提出應(yīng)對(duì)風(fēng)險(xiǎn)問(wèn)題的解決方案。

4.5 制定檔案數(shù)據(jù)安全備份策略。云環(huán)境下，為了防止信息資源遭遇災(zāi)難導(dǎo)致數(shù)據(jù)意外丟失，制定數(shù)據(jù)安全備份策略是很有必要的。科學(xué)合理的數(shù)據(jù)安全備份策略能夠保證中心數(shù)據(jù)庫(kù)在遭遇攻擊、受到致命損害、數(shù)據(jù)丟失的情況下，數(shù)字檔案館啟動(dòng)快速高效的備份系統(tǒng)，保障其數(shù)據(jù)安全恢復(fù)。

（作者單位：上海大學(xué)圖書情報(bào)檔案系 來(lái)稿日期：2012-10-30 ）