黃書書 楊兵 廖芳

自2006年Google首席執(zhí)行官埃里克·施密特首次提出云計算概念后，云計算技術(shù)以其獨有的數(shù)據(jù)計算和資源共享優(yōu)勢，迅速成為全球?qū)W者關(guān)注的焦點。2010年國家檔案局發(fā)布《數(shù)字檔案館建設(shè)指南》，提出數(shù)字檔案館建設(shè)要以先進的信息技術(shù)為手段，優(yōu)化數(shù)字檔案信息資源的網(wǎng)絡(luò)化管理和社會共享服務(wù)。2016年《中華人民共和國國民經(jīng)濟和社會發(fā)展第十三個五年規(guī)劃綱要》提到，要加強行業(yè)云服務(wù)平臺建設(shè)，支持行業(yè)信息系統(tǒng)向云平臺遷移。云存儲技術(shù)作為一種新的技術(shù)手段和服務(wù)方式被引入檔案行業(yè)，并進行了廣泛的探索研究。如2015年10月，紹興市政府將檔案登記備份系統(tǒng)平臺和部分備份數(shù)據(jù)遷移至政務(wù)云平臺。王春葉以國家博物館圖書館為例對數(shù)資概況以及云存儲現(xiàn)狀進行了梳理和回顧， 提出了采用云存儲的必要性，構(gòu)建了基于云存儲技術(shù)的數(shù)字資源保存系統(tǒng)并提出了此類圖書館云存儲解決方案和相應(yīng)建設(shè)策略。密歇根州檔案館于2012年與英國的Tessella公司合作，選擇該公司的Preservica服務(wù)進行電子文件云存儲。多塞特歷史中心檔案館、牛津大學圖書館、英國國會檔案館等都進行了云存儲模式的積極嘗試。然而，數(shù)字檔案信息資源對云存儲服務(wù)提供商的依賴性增強，對服務(wù)的可靠性、可用性要求更高，面臨的安全風險更加復(fù)雜，遭遇的安全損失更大。因此，探討在云存儲環(huán)境下影響數(shù)字檔案信息資源安全的主要原因、制定相應(yīng)的可行性對策，是十分有意義的。

一、云存儲環(huán)境對數(shù)字檔案信息資源的主要威脅

數(shù)字檔案信息資源云存儲是指通過一定的技術(shù)手段和特定載體，將數(shù)字化的檔案信息永久存儲在云端虛擬空間中的過程。由于數(shù)字信息的不穩(wěn)定性與易修改性等特點，存儲于云端的檔案信息資源的真實性、完整性、可用性、安全性及其數(shù)字知識產(chǎn)權(quán)面臨嚴峻考驗。

1.真實性

數(shù)字檔案信息資源存儲于云端后，數(shù)據(jù)被托管至第三方進行保存，可能由于操作系統(tǒng)的遷移及存儲技術(shù)的不穩(wěn)定性導(dǎo)致數(shù)字檔案信息面臨被篡改、被竊取、被刪除的風險，且被修改刪除后，很難發(fā)現(xiàn)痕跡，因而對數(shù)字檔案的真實性造成了極大威脅。

2.完整性

電子文件存儲介質(zhì)和格式種類繁多，同一電子文件內(nèi)的文字、圖像、音頻、視頻等內(nèi)容，可能連續(xù)或不連續(xù)地存儲在相同或不同的載體內(nèi)，其物理結(jié)構(gòu)和邏輯結(jié)構(gòu)關(guān)系也經(jīng)常變化。當遷移至云端存儲時，可能由于存儲格式的變化或元數(shù)據(jù)的丟失造成數(shù)字檔案信息的不完整、不可讀，甚至丟失。

3.可用性

數(shù)字檔案信息資源的可用性要求在利用計算機技術(shù)的前提下，可以實現(xiàn)自動查找、定位所需的文件，并能將文件轉(zhuǎn)化為人可直讀的形式。然而，當數(shù)字檔案信息資源被遷移至云端存儲后，除傳統(tǒng)的物理設(shè)備因素帶來的數(shù)據(jù)不可用外，云存儲服務(wù)商提供的操作系統(tǒng)、應(yīng)用程序等也可能無法適應(yīng)文件信息轉(zhuǎn)換的需要，從而導(dǎo)致數(shù)字檔案信息不可用。

4.安全性

數(shù)字檔案信息資源存儲于云端后，除面臨傳統(tǒng)的病毒攻擊、木馬攻擊、黑客攻擊等風險外，還面臨著多租戶共享環(huán)境、虛擬化技術(shù)和內(nèi)部管理人員泄密等威脅，容易導(dǎo)致服務(wù)中斷、數(shù)據(jù)破壞、信息被竊取和篡改。

5.知識產(chǎn)權(quán)

云端數(shù)據(jù)的所有權(quán)與控制權(quán)掌握在云存儲服務(wù)商手中，數(shù)字檔案信息資源極有可能被保存在異地或海外的數(shù)據(jù)中心與其他數(shù)據(jù)存儲在一起，用戶很難發(fā)現(xiàn)自己的知識產(chǎn)權(quán)被侵犯，或因為地方法律的不同造成維權(quán)困難。

二、云存儲環(huán)境影響數(shù)字檔案信息資源安全的主要因素

云存儲環(huán)境下，數(shù)字檔案信息資源不僅面臨著傳統(tǒng)網(wǎng)絡(luò)環(huán)境下外部攻擊的風險，同時由于云存儲技術(shù)的特殊性和服務(wù)商內(nèi)部管理等原因，對數(shù)字檔案信息資源的長期、安全保管帶來極大的威脅。

1.多租戶共享環(huán)境

多租戶資源共享是云存儲的特征之一，其基本含義是通過數(shù)據(jù)隔離機制和虛擬化技術(shù)實現(xiàn)多個用戶能夠共享云平臺的物理資源或虛擬資源。

如圖1所示，在多租戶資源共享環(huán)境下，一個租戶可對應(yīng)多個應(yīng)用，一個應(yīng)用也可對應(yīng)多個租戶，屬于典型的多對多關(guān)系。多租戶共同使用邏輯空間內(nèi)的所有資源，租戶的資料被存儲在共同的物理空間中。由于數(shù)字檔案信息資源在云平臺中是混合存儲且存在大量的數(shù)據(jù)冗余，如果缺乏有效的隔離機制和數(shù)據(jù)刪除機制，易導(dǎo)致存儲于云端的數(shù)字檔案信息資源的混同、丟失，甚至存在泄露重要商業(yè)機密的可能。

2.技術(shù)原因

云存儲主要利用虛擬化技術(shù)、加密技術(shù)以及身份認證和訪問控制技術(shù)等為用戶提供相應(yīng)的存儲服務(wù)，但這些技術(shù)也存在泄露數(shù)字檔案信息資源的風險。

（1）虛擬化技術(shù)

虛擬化技術(shù)指使用虛擬機監(jiān)視器（Hypervisor）將一臺物理機虛擬化為一臺或多臺虛擬機，每臺虛擬機都能獨立運行，并復(fù)用物理機的CPU、網(wǎng)絡(luò)、內(nèi)存、硬盤等資源。虛擬化技術(shù)是實現(xiàn)多租戶存儲空間共享的技術(shù)基礎(chǔ)。

如表1所示，當虛擬機或虛擬機監(jiān)視器（Hypervisor）受到虛擬機跳躍、逃逸，拒絕服務(wù)，不安全應(yīng)用程序接口和非法竊取訪問權(quán)限時，將對存儲于云端的數(shù)字檔案信息資源造成極大的威脅。

（2）加密技術(shù)

云存儲服務(wù)商均聲稱采用加密技術(shù)來保障用戶上傳的資料安全，但用戶無法準確得知服務(wù)商所使用的密碼協(xié)議，也無法確保云端數(shù)字資料真正做到加密存儲。云存儲服務(wù)商作為數(shù)字檔案信息資源的實際控制者，可以輕而易舉地獲取加密密鑰。云存儲服務(wù)商一般采用的是單方密鑰安全協(xié)議，即只要求加密水平達到避免第三方非法獲取數(shù)據(jù)隱私的程度，不限制服務(wù)商掌握密鑰。這種安全協(xié)議雖然能保障云端數(shù)據(jù)資料不被黑客竊取，卻無法杜絕云存儲服務(wù)商內(nèi)部管理人員的篡改、竊取數(shù)據(jù)資料的風險。

（3）身份認證與訪問控制技術(shù)

身份認證與訪問控制管理是為了安全、有效訪問IT資源而進行的身份認證、授權(quán)和身份數(shù)據(jù)集中管理與審計的過程及技術(shù)手段。云存儲平臺通常采用“用戶名+密碼”的單點登錄身份認證技術(shù)，而用戶為方便記憶，往往設(shè)置較為簡單的用戶名和密碼，或?qū)⒍鄠€應(yīng)用系統(tǒng)的密碼設(shè)為相同的形式，加大了用戶身份泄露的風險。攻擊者通過暴力破解的方式獲取合法用戶的用戶名和密碼，竊取云端的存儲資料，客觀上降低了云存儲平臺的安全性。

3.管理因素

云存儲技術(shù)使數(shù)字檔案信息資源的所有權(quán)與控制權(quán)相分離，檔案部門無法掌握數(shù)據(jù)存放的位置和實際控制權(quán)。因此云存儲服務(wù)商對云平臺的管理手段對數(shù)字檔案信息資源的安全起著決定性作用。

（1）法律法規(guī)

云存儲環(huán)境下，數(shù)字檔案信息資源的安全保存不僅需要技術(shù)與方法的支持，更需要相關(guān)法律法規(guī)、標準的約束。然而，目前我國唯一一部涉及云計算服務(wù)安全問題的標準是2014年由全國信息安全標準化技術(shù)委員會制訂的《信息安全技術(shù)：云計算服務(wù)安全指南》。2015年國內(nèi)云計算首個行業(yè)安全標準《數(shù)據(jù)保護倡議書》誕生。其他相關(guān)數(shù)據(jù)保護規(guī)定散見于《計算機信息系統(tǒng)安全保護條例》《計算機網(wǎng)絡(luò)國際聯(lián)網(wǎng)安全保護管理辦法》等司法解釋條款中。云存儲環(huán)境下，保護用戶數(shù)據(jù)安全的專門性法律法規(guī)尚顯空白。而數(shù)字檔案信息資源還面臨著保密性和特殊性等管理要求，因此檔案機構(gòu)在采納云存儲技術(shù)的過程時必須協(xié)同立法、司法等相關(guān)部門制定涉及檔案領(lǐng)域云安全的相關(guān)法規(guī)和政策。

（2）格式合同

檔案部門在使用云存儲技術(shù)保管和利用數(shù)字檔案資源時，均不可避免需要與云存儲服務(wù)商簽署服務(wù)合同條款。檔案部門希望在服務(wù)合同中約束云存儲服務(wù)商確保數(shù)字檔案在其保管期限內(nèi)的真實性、完整性、安全性和可用性等。而云存儲服務(wù)商為了規(guī)避風險、免除責任，通常會采用具有定型化、附從性特點的格式合同。由于檔案信息資源本身的特殊性，且尚無相關(guān)標準指導(dǎo)檔案部門與云存儲服務(wù)商的制定行之有效的服務(wù)合同，而一旦合同的條款不明確或是缺少，就會導(dǎo)致云端檔案數(shù)據(jù)損毀、泄露及維權(quán)不力等問題。因此，要進一步規(guī)范云存儲服務(wù)格式合同的制定與完善，在法律框架內(nèi)尋求檔案部門和云存儲服務(wù)商之間的利益平衡點。

（3）內(nèi)部人員

由于云存儲服務(wù)商直接掌握著海量的云端信息，很多服務(wù)商能夠通過監(jiān)聽或使用惡意軟件直接獲取云端數(shù)據(jù)，普通的管理人員能夠直接從后臺訪問、推演用戶的訪問數(shù)據(jù)，有意或無意的操作不當很可能泄露云端數(shù)據(jù)。因此，云存儲服務(wù)內(nèi)部管理人員的信息素養(yǎng)和職業(yè)道德水平直接影響著存儲于云端的數(shù)字檔案信息資源的安全。

三、云存儲環(huán)境下數(shù)字檔案信息資源的安全保障措施

1.基礎(chǔ)環(huán)境安全保障措施

基礎(chǔ)安全保障是指提供云存儲服務(wù)的平臺IT架構(gòu)層、基礎(chǔ)設(shè)施和物理環(huán)境的安全。①云平臺IT架構(gòu)層安全：為保證云存儲平臺的可用性和服務(wù)的連續(xù)性，需要保證存儲虛擬化技術(shù)的安全可靠，確保虛擬機和虛擬機監(jiān)視器的正常運轉(zhuǎn);同時采用有效的多租戶隔離方案，避免可能出現(xiàn)的數(shù)據(jù)混同。②基礎(chǔ)設(shè)施安全：保障主機和網(wǎng)絡(luò)的正常運作。存儲層中選用網(wǎng)絡(luò)連接式存儲（NAS）等IP存儲設(shè)備或服務(wù)器連接存儲（SAS）等直連式存儲設(shè)備。為保證這些數(shù)量龐大且分布于不同地域的存儲設(shè)備良好運轉(zhuǎn)，需對其進行定期的保養(yǎng)和維護，同時進行防盜防毀、防電磁泄露、安全電源等保護。③物理環(huán)境安全：物理環(huán)境的安全是云存儲安全的最基本保障，物理環(huán)境的好壞直接影響著云存儲中心的安全可靠。因此，要保證其具有良好的機房選址、消防報警、電能供給、溫濕度控制系統(tǒng)等設(shè)施。

2.技術(shù)安全保障措施

技術(shù)是保障云端數(shù)字檔案信息資源安全存儲的重要手段，數(shù)據(jù)加密是現(xiàn)階段保證數(shù)據(jù)安全最基本和最有效的方式，數(shù)據(jù)加密存儲應(yīng)選擇安全性能較高的國際通用算法或我國國有商密算法等，積極探索最優(yōu)的加密方案、數(shù)據(jù)存儲模式，確保數(shù)據(jù)的安全存取，防止失泄密事件的發(fā)生。例如日本筑波大學JanAskhoj等學者創(chuàng)建的云存檔系統(tǒng)的整體模型、清華大學Zhang Guigang等學者開發(fā)的云數(shù)據(jù)存檔系統(tǒng)、微軟研究院的Kamara等人提出的面向公有云的加密存儲框架以及加拿大國家檔案館 Stuart等學者研究的云中加密數(shù)據(jù)的存儲技術(shù)等。

另外，除傳統(tǒng)的單點登錄身份認證技術(shù)外，還可采取合適的生物特征識別技術(shù)來保障云存儲平臺的安全性。

3.管理安全保障措施

從管理角度來看，要依法制定相應(yīng)的保護信息安全的法律法規(guī)、規(guī)范云存儲服務(wù)合同、加強人員管理等手段來保證云端數(shù)字檔案信息資源的安全性。

（1）完善信息安全法律法規(guī)

數(shù)字檔案信息資源云存儲是數(shù)字檔案館建設(shè)的新一輪嘗試，涉及到較為復(fù)雜的網(wǎng)絡(luò)、技術(shù)環(huán)境，各方權(quán)責劃分也尚不清晰，缺乏針對性的法律保護條例。因此，檔案管理部門要積極與相關(guān)立法部門溝通、協(xié)調(diào)，反映檔案信息安全保護訴求、提供合理化建議，明確數(shù)據(jù)存放和跨境遷移的具體規(guī)定以及侵權(quán)責任的界定、賠償，通過立法手段，確定數(shù)字檔案相關(guān)業(yè)務(wù)規(guī)范與工作條例，使數(shù)字檔案安全保障有法可依。例如，根據(jù)我國《保密法》以及其他相關(guān)法律規(guī)定，涉密檔案在境外存放涉嫌違法;根據(jù)歐盟保護個人信息的相關(guān)法案，個人信息不得遷移至歐盟境外。

（2）規(guī)范云存儲服務(wù)合同

由于云存儲服務(wù)的低成本、流動性等特點，服務(wù)商為了規(guī)避風險，在簽署服務(wù)合同時往往不愿承擔過多義務(wù)。根據(jù)《合同法》第四十條規(guī)定：“提供格式條款一方免除其責任、加重對方責任、排除對方主要權(quán)利的，該條款無效?！比绻品?wù)商在服務(wù)合同中明確免除自己的安保義務(wù)，該條款屬于無效條款。因此，對于檔案部門來說，為確保托管的數(shù)字檔案信息的安全性，在要求云存儲服務(wù)商確保數(shù)據(jù)安全和系統(tǒng)安全的前提下，還可以根據(jù)數(shù)字檔案信息資源的特殊性，在合同中增加系統(tǒng)安全方面的需求性條款;增加檔案部門有權(quán)隨時監(jiān)督云服務(wù)商系統(tǒng)安全的條款;規(guī)定在發(fā)現(xiàn)云服務(wù)商的系統(tǒng)漏洞，或者系統(tǒng)改變的情況下，要求云服務(wù)商作出相應(yīng)的安保承諾、采取相應(yīng)的安保措施、變更合同、解除合同等條款，并就造成的侵權(quán)損失提出具體賠償方案。例如英國國家檔案館為保證文件檔案管理云平臺的安全性及自身的合法權(quán)益，在與云服務(wù)商簽訂服務(wù)合同時針對服務(wù)的可用性、安全性、數(shù)據(jù)保護、數(shù)據(jù)所有權(quán)、元數(shù)據(jù)等重要內(nèi)容提出了20條關(guān)鍵條款。

（3）加強人員管理

一方面，檔案部門在構(gòu)建數(shù)字檔案信息云存儲平臺時，要加強對數(shù)字檔案信息產(chǎn)品及其衍生產(chǎn)品的產(chǎn)權(quán)保護，同時選用資質(zhì)較高、穩(wěn)定性強、發(fā)展前景廣闊的云存儲服務(wù)商;另一方面，云存儲服務(wù)商作為云端數(shù)據(jù)的管理者，在遴選運維人員時，要審查其身份、背景，簽署保密協(xié)定，并對其進行保密教育，提高信息素質(zhì)和道德修養(yǎng)，降低數(shù)字檔案信息由于人為的誤操作而導(dǎo)致的信息泄露、侵犯知識產(chǎn)權(quán)的風險。

四、結(jié)語

云存儲技術(shù)能實現(xiàn)海量數(shù)字檔案信息資源便捷、高效的存儲管理及利用服務(wù)，檔案部門可以租用或購買云存儲服務(wù)商提供的軟件、操作系統(tǒng)或應(yīng)用程序，從而節(jié)省人力、物力和財力，用戶可以利用云存儲技術(shù)的優(yōu)勢，進入到云歸檔虛擬資源中心進行檢索，從而打破館際之間的“信息壁壘”。從數(shù)字化發(fā)展的角度來看，數(shù)字檔案信息資源云存儲既是大勢所趨，也是數(shù)字檔案館建設(shè)的方向之一。要從技術(shù)和管理的角度加強對云存儲平臺和云存儲服務(wù)商的管控，保證數(shù)據(jù)存儲的安全性，促進數(shù)字檔案信息資源共建共享目標的實現(xiàn)。

注：本文系湖北省青年檔案工作者學術(shù)論壇二等獎作品

（作者單位：中建三局檔案室）