楊璐

摘要：數(shù)字信息的海量生成促使數(shù)字倉(cāng)儲(chǔ)的出現(xiàn)，而數(shù)字資源的真實(shí)可靠也對(duì)數(shù)字倉(cāng)儲(chǔ)的可信任程度提出了更高要求。本文首先簡(jiǎn)介了可信數(shù)字倉(cāng)儲(chǔ)認(rèn)證的必要性，然后闡述可信數(shù)字倉(cāng)儲(chǔ)的認(rèn)證標(biāo)準(zhǔn)與主體。

關(guān)鍵詞：可信任數(shù)字倉(cāng)儲(chǔ)認(rèn)證信任

The Certification of Digital Repositories： the Necessity， Standards and bodies

Abstract： The massive amounts of digital informa？ tion promote the emergence of digital repository， while the trusted and reliable of digital resource also put forward higher requirements for the trusty of digi？ tal repositories. At the beginning， the paper briefly de？ scribes the necessity of certification of trusted digital repositories， and then mainly describes the certifica？ tion standards and bodies in the certification process.

Key words： trusted digital repository；authentica？ tion；trusted

什么是可信數(shù)字倉(cāng)儲(chǔ)？可信數(shù)字倉(cāng)儲(chǔ)（Trusted Dig？ ital Repository，TDR）概念最早出現(xiàn)在1996年的美國(guó)。為了解決數(shù)字信息面臨的安全等問(wèn)題，美國(guó)研究圖書(shū)館協(xié)會(huì)和保存與獲取委員會(huì)2002年發(fā)表了《可信數(shù)字倉(cāng)儲(chǔ)——屬性與責(zé)任》報(bào)告，將可信數(shù)字倉(cāng)儲(chǔ)定義為“一個(gè)可信任數(shù)字倉(cāng)儲(chǔ)的任務(wù)為現(xiàn)在和將來(lái)提供可靠的、長(zhǎng)期可訪問(wèn)的、在其管理社區(qū)內(nèi)的數(shù)字資源”[1]?？梢?jiàn)，可信數(shù)字倉(cāng)儲(chǔ)就是存放數(shù)字資源的倉(cāng)庫(kù)。那么，這個(gè)倉(cāng)庫(kù)是否安全呢，又是“誰(shuí)”依據(jù)什么標(biāo)準(zhǔn)來(lái)評(píng)判其安全性呢？

一、可信數(shù)字倉(cāng)儲(chǔ)認(rèn)證的必要性

第一，數(shù)字倉(cāng)儲(chǔ)中保存有大量數(shù)字資源，未被認(rèn)證的數(shù)字倉(cāng)儲(chǔ)不能被信任，貿(mào)然將資源存放于未被認(rèn)可的數(shù)字倉(cāng)儲(chǔ)中會(huì)有很大風(fēng)險(xiǎn)。2012年國(guó)際檔案大會(huì)在澳大利亞布里斯班召開(kāi)，來(lái)自95個(gè)國(guó)家的近千名檔案工作者圍繞“變化的環(huán)境”這一主題進(jìn)行了探討。因?yàn)閿?shù)字資源的迅猛龐大讓環(huán)境發(fā)生“變化”，讓人們面臨“挑戰(zhàn)”。在這變化了的環(huán)境中，“信任”作為一個(gè)分主題在大會(huì)上得到了充分的認(rèn)可和討論，組委會(huì)給“信任”的解釋為“檔案通過(guò)提供真實(shí)、可靠、值得信賴及有價(jià)值的信息，輔助善治、良政和問(wèn)責(zé)制度”[2]。也就是說(shuō)只有保證檔案的真實(shí)可信，才能發(fā)揮檔案的重要價(jià)值。所以，保存數(shù)字資源的倉(cāng)儲(chǔ)需要通過(guò)認(rèn)證來(lái)贏得信任，既要贏得數(shù)字資源提供方的信任，以便贏得存放數(shù)字資源的機(jī)會(huì)；又要贏得使用者對(duì)倉(cāng)儲(chǔ)的信任，從而讓倉(cāng)儲(chǔ)內(nèi)保存的數(shù)字資源被認(rèn)可。如果未經(jīng)過(guò)權(quán)威認(rèn)證，那么可信數(shù)字倉(cāng)儲(chǔ)是否“可信”難以言明。只有“DR”轉(zhuǎn)化為“TDR”時(shí)，才能夠保證這一倉(cāng)儲(chǔ)值得信賴。

第二，未被認(rèn)證的數(shù)字倉(cāng)儲(chǔ)在建設(shè)過(guò)程中的不規(guī)范現(xiàn)象更加難以避免，這增加了數(shù)字資源的管理風(fēng)險(xiǎn)。任何數(shù)字資源的管理都需要依賴實(shí)體機(jī)構(gòu)進(jìn)行，除了機(jī)構(gòu)內(nèi)部的風(fēng)險(xiǎn)因素，一些社會(huì)環(huán)境因素也會(huì)造成數(shù)字資源管理的風(fēng)險(xiǎn)，比如說(shuō)多個(gè)主管部門(mén)在數(shù)字資源管理上的銜接問(wèn)題。故數(shù)字資源的管理本身就具有一定的風(fēng)險(xiǎn)性，倘若數(shù)字倉(cāng)儲(chǔ)的建設(shè)再缺少權(quán)威認(rèn)證，那么就更難做到嚴(yán)謹(jǐn)規(guī)范，也增加了數(shù)字資源長(zhǎng)期保存的風(fēng)險(xiǎn)。此外，沒(méi)有經(jīng)過(guò)權(quán)威的認(rèn)證，數(shù)字倉(cāng)儲(chǔ)的質(zhì)量級(jí)別和可信等級(jí)也難以區(qū)分。

二、可信數(shù)字倉(cāng)儲(chǔ)認(rèn)證的標(biāo)準(zhǔn)

數(shù)字倉(cāng)儲(chǔ)是在網(wǎng)絡(luò)環(huán)境下提供對(duì)數(shù)字對(duì)象保存、訪問(wèn)和管理的系統(tǒng)。[3]它能夠?qū)⒋罅康臄?shù)字信息囊括其中，并且保證這些數(shù)字信息的安全與完整。數(shù)字時(shí)代給我們帶來(lái)方便的同時(shí)，也帶來(lái)一種不安全感。人們對(duì)數(shù)字資源的安全需求促使認(rèn)證標(biāo)準(zhǔn)的出現(xiàn)。是故，認(rèn)證是對(duì)數(shù)字倉(cāng)儲(chǔ)可信賴程度的評(píng)估。國(guó)際上，對(duì)可信數(shù)字倉(cāng)儲(chǔ)的認(rèn)證始于20世紀(jì)90年代，經(jīng)歷了“認(rèn)證概念的萌芽階段”、“認(rèn)證概念形成和標(biāo)準(zhǔn)化階段”、“認(rèn)證成果的融合與集成階段”，在這過(guò)程中出現(xiàn)了很多認(rèn)證標(biāo)準(zhǔn)，如表1。

從附表可以看出，可信數(shù)字倉(cāng)儲(chǔ)的認(rèn)證越來(lái)越受到重視，認(rèn)證標(biāo)準(zhǔn)也在不斷走向成熟。較為典型的有加拿大圖書(shū)館在建設(shè)TDR過(guò)程中所使用的標(biāo)準(zhǔn)TRAC和具有標(biāo)志性意義的ISO 16363標(biāo)準(zhǔn)。

（一）可信任的館藏審計(jì)和認(rèn)證：標(biāo)準(zhǔn)和清單（TRAC）

標(biāo)準(zhǔn)中最主要的部分為第三部分，即“審計(jì)和認(rèn)證的原則”，這部分劃為三層對(duì)可信數(shù)字倉(cāng)儲(chǔ)進(jìn)行了規(guī)定。一是組織結(jié)構(gòu)層面，詳細(xì)規(guī)定了一個(gè)倉(cāng)儲(chǔ)機(jī)構(gòu)應(yīng)有的管理和組織能力、組織結(jié)構(gòu)和員工、流程的可說(shuō)明性和政策框架、財(cái)務(wù)的可持續(xù)性以及合同、許可及相關(guān)責(zé)任。二是數(shù)字資源管理層面，這部分主要是規(guī)定數(shù)字資源應(yīng)如何攝取、存儲(chǔ)和訪問(wèn)。三是技術(shù)和安全層面，對(duì)系統(tǒng)框架、技術(shù)方案和安全性方面有詳細(xì)介紹。這一層面的受眾主要是系統(tǒng)技術(shù)人員，而上兩層則主要是數(shù)字資源的提供方和使用者。TRAC認(rèn)證考察表（如下圖1）附在最后，筆者認(rèn)為它們頗具實(shí)踐應(yīng)用性，這些表就好像標(biāo)尺一樣，只要填好這些表格，即可摸清某一數(shù)字倉(cāng)儲(chǔ)的基本建設(shè)情況。而TRAC中的這三層劃分角度，也沿用到了ISO 16363國(guó)際標(biāo)準(zhǔn)上。

（二）可信任數(shù)字館藏的審計(jì)和認(rèn)證（ISO 16363）

2012年ISO發(fā)布了數(shù)字檔案館認(rèn)證的國(guó)際標(biāo)準(zhǔn)——《可信任數(shù)字館藏的審計(jì)和認(rèn)證》（以下簡(jiǎn)稱ISO 16363），它的出現(xiàn)也讓數(shù)字檔案館的認(rèn)證進(jìn)入到了一個(gè)新的階段，即“數(shù)字檔案館認(rèn)證實(shí)踐階段”。ISO 16363繼承了TRAC中“三位一體”的認(rèn)證框架，即從數(shù)字檔案館組織機(jī)構(gòu)、系統(tǒng)功能、基礎(chǔ)設(shè)施三方面進(jìn)行考量和評(píng)估。[4]endprint

一是對(duì)組織機(jī)構(gòu)的認(rèn)證。數(shù)字檔案館項(xiàng)目的建設(shè)都是依賴實(shí)體機(jī)構(gòu)，數(shù)字倉(cāng)儲(chǔ)的建設(shè)也不例外。對(duì)實(shí)體機(jī)構(gòu)的認(rèn)證成為認(rèn)證第一步。TRAC以及CC？ SDS 652.0-M-1標(biāo)準(zhǔn)又將這部分分為五方面，即管理和組織的能力、組織結(jié)構(gòu)和員工、流程的可說(shuō)明性和政策框架、財(cái)務(wù)的可持續(xù)性以及合同、許可及相關(guān)責(zé)任。認(rèn)證的重點(diǎn)主要是制度政策、人力、財(cái)力和法律四個(gè)方面。組織機(jī)構(gòu)本身要有完整的制度政策，擁有長(zhǎng)期保存的戰(zhàn)略規(guī)劃，為數(shù)字檔案館的建設(shè)提供指導(dǎo)思想；一定數(shù)量的員工才能夠完成組織機(jī)構(gòu)的具體任務(wù)，而員工的素質(zhì)水平則影響任務(wù)實(shí)現(xiàn)的質(zhì)量；財(cái)政支持猶如血液，只有它不斷“流動(dòng)”才能促使數(shù)字檔案館建設(shè)的持續(xù)進(jìn)行；法律合同、許可和相關(guān)責(zé)任方面，如“在機(jī)構(gòu)以合同或協(xié)議的方式轉(zhuǎn)讓必要的保存權(quán)利時(shí)，必須將這些轉(zhuǎn)讓的權(quán)利都記錄下來(lái)，這么做是為了保證組織對(duì)長(zhǎng)期保存的信息地有效控制，以免倉(cāng)儲(chǔ)機(jī)構(gòu)承擔(dān)法律責(zé)任”[5]。

二是對(duì)系統(tǒng)功能的認(rèn)證。對(duì)數(shù)字檔案館系統(tǒng)功能認(rèn)證可分為六類，分別對(duì)應(yīng)OAIS的功能實(shí)體。這是因?yàn)閺母瓷峡?，?shù)字檔案館認(rèn)證是在OAIS的模型出現(xiàn)之后，基于OAIS數(shù)字檔案館屬性認(rèn)識(shí)之上提出的。[6]故認(rèn)證標(biāo)準(zhǔn)以O(shè)AIS的內(nèi)容作為模型，衡量系統(tǒng)構(gòu)建的具體情況。

三是對(duì)基礎(chǔ)設(shè)施的認(rèn)證。無(wú)論是組織機(jī)構(gòu)認(rèn)證，還是系統(tǒng)功能認(rèn)證，都充滿著較多的主觀色彩，比如說(shuō)組織機(jī)構(gòu)的法律政策、人力財(cái)力，再比如說(shuō)OAIS功能模型也是一種人為制定的標(biāo)準(zhǔn)，相比之下，基礎(chǔ)設(shè)施的認(rèn)證則更客觀，比如說(shuō)載體是否已經(jīng)過(guò)時(shí)，比如說(shuō)是否存在運(yùn)行風(fēng)險(xiǎn)等等，對(duì)這些問(wèn)題的判定會(huì)比較清晰。

可見(jiàn)，認(rèn)證標(biāo)準(zhǔn)為數(shù)字倉(cāng)儲(chǔ)的建設(shè)起著三方面的作用。一是建設(shè)指南的作用。無(wú)論是TRAC還是ISO 16363標(biāo)準(zhǔn)，它們從審計(jì)的角度對(duì)可信數(shù)字倉(cāng)儲(chǔ)做出規(guī)范的同時(shí)，也為T(mén)DR的構(gòu)建提供客觀的分析思路和框架。直接采用標(biāo)準(zhǔn)來(lái)構(gòu)建一個(gè)TDR可以避免走彎路。二是內(nèi)部評(píng)估作用，如TRAC中的表格也可以作為一個(gè)可信數(shù)字倉(cāng)儲(chǔ)自我評(píng)估的工具，從組織機(jī)構(gòu)、系統(tǒng)運(yùn)行以及安全性方面進(jìn)行自我檢查和提高，以進(jìn)一步完善數(shù)字倉(cāng)儲(chǔ)系統(tǒng)。三是外部審計(jì)認(rèn)證作用，它為已經(jīng)建成的數(shù)字倉(cāng)儲(chǔ)提供了一套較為完整的資格認(rèn)證系統(tǒng)，通過(guò)對(duì)上圖表格的認(rèn)真填寫(xiě)，可以完成對(duì)一個(gè)數(shù)字倉(cāng)儲(chǔ)的審計(jì)和認(rèn)證，通過(guò)最后的評(píng)估獲得是否“可信”的結(jié)果。

三、可信數(shù)字倉(cāng)儲(chǔ)認(rèn)證的主體

有了需求，有了標(biāo)尺，就只待拿尺測(cè)量之“人”——可信數(shù)字倉(cāng)儲(chǔ)認(rèn)證的主體。盡管可信數(shù)字倉(cāng)儲(chǔ)認(rèn)證的國(guó)際標(biāo)準(zhǔn)已出現(xiàn)，但它并未明確規(guī)定由誰(shuí)來(lái)實(shí)行。是實(shí)體機(jī)構(gòu)內(nèi)部進(jìn)行自我審計(jì)，還是交由某權(quán)威的認(rèn)證組織進(jìn)行外部評(píng)估？這一權(quán)威認(rèn)證組織又如何取信于實(shí)體機(jī)構(gòu)？且可信數(shù)字倉(cāng)儲(chǔ)的表現(xiàn)形式存在第二種形式，即由實(shí)體機(jī)構(gòu)進(jìn)行邏輯和思想上的規(guī)劃與指導(dǎo)，將具體的實(shí)際操作交給第三方機(jī)構(gòu)（這里指的是某一側(cè)重技術(shù)發(fā)展的企業(yè)），這給認(rèn)證問(wèn)題又增加了難度。

筆者嘗試把數(shù)字資源提供方（檔案室或文件中心）、檔案館或者圖書(shū)館（即實(shí)體機(jī)構(gòu)，接收其他機(jī)構(gòu)移交的資源）、第三方機(jī)構(gòu)（主要是商業(yè)性機(jī)構(gòu)，比如提供技術(shù)服務(wù)的企業(yè)）和認(rèn)證組織（權(quán)威的標(biāo)準(zhǔn)認(rèn)證機(jī)構(gòu)或組織）四者的關(guān)系表示如圖2：

筆者認(rèn)為，無(wú)論實(shí)體機(jī)構(gòu)是否進(jìn)行自我審計(jì)，外部權(quán)威機(jī)構(gòu)的評(píng)估都必不可少。因此，欲進(jìn)行認(rèn)證首先要確定認(rèn)證主體。對(duì)于第三方認(rèn)證機(jī)構(gòu)的標(biāo)準(zhǔn)要求，目前還未出現(xiàn)國(guó)際通用的標(biāo)準(zhǔn)，國(guó)際空間數(shù)據(jù)系統(tǒng)咨詢委員會(huì)（CCSDS）在2011年11月制定CCSDS 652.1-M-1推薦實(shí)踐（Recommended Practice）——《可信任館藏審計(jì)和認(rèn)證機(jī)構(gòu)需求》（Requirements For Bodies Provid？ ing Audit And Certification Of Candidate Trustworthy Digital Repositories），[7]文件中提到幾個(gè)名詞，一個(gè)是認(rèn)證機(jī)構(gòu)（Certification Body），為客戶組織提供審計(jì)與認(rèn)證的第三方機(jī)構(gòu)；一個(gè)是重要的可信數(shù)字倉(cāng)儲(chǔ)授權(quán)機(jī)構(gòu)（The Primary TDR Authorisation Body，PTAB），它是由數(shù)字資源長(zhǎng)期保存方面的國(guó)際專家組成的權(quán)威機(jī)構(gòu)，負(fù)責(zé)候選TDR的審計(jì)與認(rèn)證，以及審計(jì)者們的認(rèn)證培訓(xùn)課程。這兩者間的關(guān)系是前者也許要通過(guò)后者的審定認(rèn)可。筆者認(rèn)為這為可信數(shù)字倉(cāng)儲(chǔ)認(rèn)證主體的出現(xiàn)提供了良好方向，但令人迷惑的是，在2014年3月份CCSDS最新修訂的CCSDS 652.1-M-2中，卻未明確再提及上述兩個(gè)認(rèn)證主體。

其次，參照國(guó)際認(rèn)證標(biāo)準(zhǔn)，認(rèn)證主體需要查看依托實(shí)體機(jī)構(gòu)的數(shù)字倉(cāng)儲(chǔ)的文檔記錄，以了解倉(cāng)儲(chǔ)的建設(shè)情況。ISO 16363不僅為實(shí)體機(jī)構(gòu)提供了很好的構(gòu)思，也為認(rèn)證組織提供了明確的評(píng)估步驟，但以何種方式才能了解某一項(xiàng)目的建設(shè)情況呢？毋庸置疑，必然是通過(guò)實(shí)體單位形成的文檔記錄來(lái)按圖索驥。在CCSDS.CCS？ DS 652.0-M-1/ISO 16363中，每條規(guī)定下面除了有文本解釋外，還包括一個(gè)特別模塊——“能夠證明數(shù)字倉(cāng)儲(chǔ)符合此條標(biāo)準(zhǔn)的方法實(shí)例”，在這模塊當(dāng)中都會(huì)列舉說(shuō)明。比如說(shuō)第三部分組織架構(gòu)下的3.1.1條標(biāo)準(zhǔn)“倉(cāng)儲(chǔ)需要有一個(gè)能夠反映它對(duì)數(shù)字信息進(jìn)行長(zhǎng)期保存、管理和提供利用的保證的任務(wù)聲明”[8]，考察倉(cāng)儲(chǔ)是否做到了這一點(diǎn)，則可以通過(guò)考察它是否做到了“針對(duì)數(shù)字資源的長(zhǎng)期保存、管理和利用而制定的法律、法規(guī)或者政府法規(guī)要求”。再比如說(shuō)第四部分?jǐn)?shù)字對(duì)象管理4.1.1條標(biāo)準(zhǔn)“倉(cāng)儲(chǔ)需要鑒定它將要保存的信息內(nèi)容和信息屬性”，若想考察倉(cāng)儲(chǔ)落實(shí)的如何，則可以考察它的“工作流程和保存政策性文件”等?？梢?jiàn)，無(wú)論是對(duì)倉(cāng)儲(chǔ)的哪一部分進(jìn)行認(rèn)證，均需要文檔的幫助才能實(shí)現(xiàn)。endprint

最后，認(rèn)證組織也需根據(jù)可信數(shù)字倉(cāng)儲(chǔ)的評(píng)估情況劃分出不同等級(jí)，對(duì)成績(jī)優(yōu)異者頒發(fā)有關(guān)證書(shū)。不同數(shù)字檔案館項(xiàng)目的建設(shè)質(zhì)量肯定存在差異，這些差異應(yīng)該怎樣在評(píng)估結(jié)果中顯示出來(lái)呢？筆者覺(jué)得，就像劃分同學(xué)的成績(jī)一樣，也可以給這些不同的項(xiàng)目不同的等級(jí)，比如說(shuō)A、B、C、D四個(gè)等級(jí)。檔案館或是圖書(shū)館，抑或是第三方商業(yè)性機(jī)構(gòu)，他們之所以請(qǐng)權(quán)威機(jī)構(gòu)來(lái)對(duì)其數(shù)字倉(cāng)儲(chǔ)進(jìn)行認(rèn)證，為的就是贏得更多的信任，如此才能獲得更多數(shù)字資源的“保管”權(quán)利。前者需要擴(kuò)大自己的功能，而后者則需要更多的利潤(rùn)。就像牛奶盒上的質(zhì)檢商標(biāo)，有了它，廣大消費(fèi)群眾才能夠放心使用。因此認(rèn)證組織需要為他們頒發(fā)級(jí)別有關(guān)證書(shū)。也許，當(dāng)這一系統(tǒng)環(huán)節(jié)發(fā)展完善的時(shí)候，提供云服務(wù)的商業(yè)機(jī)構(gòu)會(huì)出現(xiàn)再一次的發(fā)展高潮。

綜上所述，可信數(shù)字倉(cāng)儲(chǔ)認(rèn)證是數(shù)字檔案館建設(shè)的必然要求，實(shí)施可信數(shù)字倉(cāng)儲(chǔ)認(rèn)證需要采用權(quán)威的認(rèn)證標(biāo)準(zhǔn)，保證認(rèn)證主體的公信力。目前，我國(guó)仍需進(jìn)一步完善可信數(shù)字倉(cāng)儲(chǔ)認(rèn)證的條件。

參考文獻(xiàn)：

[1]Beagrie N， Bellinger M， Dale R， et al. Trusted Dig？ ital Repositories： Attributes and Responsibilities [J].Re？ search Libraries Group & Online Computer Library Cen？ ter， Report， 2002.

[2]付華，范悅.2012年國(guó)際檔案大會(huì)的過(guò)程，主題與特點(diǎn)[J].檔案學(xué)研究，2012，5：63-67.

[3]黃秋生，黃文.數(shù)字倉(cāng)儲(chǔ)及其應(yīng)用[J].中華醫(yī)學(xué)圖書(shū)情報(bào)雜志.2008，5：60-63.

[4]程妍妍.國(guó)際數(shù)字檔案館認(rèn)證：分析與啟示[J].檔案學(xué)通訊，2012，6：63-67.

[5]CCSDS.CCSDS 652.0-M-1： audit and certifica？ tion of trustworthy digital repositories （recommended prac？ tice）[s].2011.

[6]程妍妍.國(guó)際數(shù)字檔案館認(rèn)證：分析與啟示[J].檔案學(xué)通訊，2012，6：63-67.

[7]程妍妍.我國(guó)數(shù)字檔案館認(rèn)證及實(shí)施策略研究[J].檔案學(xué)研究，2012，6：56-60。

[8]ISO 16363/ CCSDS.CCSDS 652.0- M- 1： audit and certification of trustworthy digital repositories （recom？ mended practice）[s].2012.

作者單位：中國(guó)人民大學(xué)信息資源管理學(xué)院endprint