云存儲環(huán)境下數(shù)字檔案信息資源安全保障研究

黃書書 楊兵 廖芳

自2006年Google首席執(zhí)行官埃里克·施密特首次提出云計算概念后，云計算技術以其獨有的數(shù)據(jù)計算和資源共享優(yōu)勢，迅速成為全球學者關注的焦點。2010年國家檔案局發(fā)布《數(shù)字檔案館建設指南》，提出數(shù)字檔案館建設要以先進的信息技術為手段，優(yōu)化數(shù)字檔案信息資源的網(wǎng)絡化管理和社會共享服務。2016年《中華人民共和國國民經濟和社會發(fā)展第十三個五年規(guī)劃綱要》提到，要加強行業(yè)云服務平臺建設，支持行業(yè)信息系統(tǒng)向云平臺遷移。云存儲技術作為一種新的技術手段和服務方式被引入檔案行業(yè)，并進行了廣泛的探索研究。如2015年10月，紹興市政府將檔案登記備份系統(tǒng)平臺和部分備份數(shù)據(jù)遷移至政務云平臺。王春葉以國家博物館圖書館為例對數(shù)資概況以及云存儲現(xiàn)狀進行了梳理和回顧， 提出了采用云存儲的必要性，構建了基于云存儲技術的數(shù)字資源保存系統(tǒng)并提出了此類圖書館云存儲解決方案和相應建設策略。密歇根州檔案館于2012年與英國的Tessella公司合作，選擇該公司的Preservica服務進行電子文件云存儲。多塞特歷史中心檔案館、牛津大學圖書館、英國國會檔案館等都進行了云存儲模式的積極嘗試。然而，數(shù)字檔案信息資源對云存儲服務提供商的依賴性增強，對服務的可靠性、可用性要求更高，面臨的安全風險更加復雜，遭遇的安全損失更大。因此，探討在云存儲環(huán)境下影響數(shù)字檔案信息資源安全的主要原因、制定相應的可行性對策，是十分有意義的。

一、云存儲環(huán)境對數(shù)字檔案信息資源的主要威脅

數(shù)字檔案信息資源云存儲是指通過一定的技術手段和特定載體，將數(shù)字化的檔案信息永久存儲在云端虛擬空間中的過程。由于數(shù)字信息的不穩(wěn)定性與易修改性等特點，存儲于云端的檔案信息資源的真實性、完整性、可用性、安全性及其數(shù)字知識產權面臨嚴峻考驗。

1.真實性

數(shù)字檔案信息資源存儲于云端后，數(shù)據(jù)被托管至第三方進行保存，可能由于操作系統(tǒng)的遷移及存儲技術的不穩(wěn)定性導致數(shù)字檔案信息面臨被篡改、被竊取、被刪除的風險，且被修改刪除后，很難發(fā)現(xiàn)痕跡，因而對數(shù)字檔案的真實性造成了極大威脅。

2.完整性

電子文件存儲介質和格式種類繁多，同一電子文件內的文字、圖像、音頻、視頻等內容，可能連續(xù)或不連續(xù)地存儲在相同或不同的載體內，其物理結構和邏輯結構關系也經常變化。當遷移至云端存儲時，可能由于存儲格式的變化或元數(shù)據(jù)的丟失造成數(shù)字檔案信息的不完整、不可讀，甚至丟失。

3.可用性

數(shù)字檔案信息資源的可用性要求在利用計算機技術的前提下，可以實現(xiàn)自動查找、定位所需的文件，并能將文件轉化為人可直讀的形式。然而，當數(shù)字檔案信息資源被遷移至云端存儲后，除傳統(tǒng)的物理設備因素帶來的數(shù)據(jù)不可用外，云存儲服務商提供的操作系統(tǒng)、應用程序等也可能無法適應文件信息轉換的需要，從而導致數(shù)字檔案信息不可用。

4.安全性

數(shù)字檔案信息資源存儲于云端后，除面臨傳統(tǒng)的病毒攻擊、木馬攻擊、黑客攻擊等風險外，還面臨著多租戶共享環(huán)境、虛擬化技術和內部管理人員泄密等威脅，容易導致服務中斷、數(shù)據(jù)破壞、信息被竊取和篡改。

5.知識產權

云端數(shù)據(jù)的所有權與控制權掌握在云存儲服務商手中，數(shù)字檔案信息資源極有可能被保存在異地或海外的數(shù)據(jù)中心與其他數(shù)據(jù)存儲在一起，用戶很難發(fā)現(xiàn)自己的知識產權被侵犯，或因為地方法律的不同造成維權困難。

二、云存儲環(huán)境影響數(shù)字檔案信息資源安全的主要因素

云存儲環(huán)境下，數(shù)字檔案信息資源不僅面臨著傳統(tǒng)網(wǎng)絡環(huán)境下外部攻擊的風險，同時由于云存儲技術的特殊性和服務商內部管理等原因，對數(shù)字檔案信息資源的長期、安全保管帶來極大的威脅。

1.多租戶共享環(huán)境

多租戶資源共享是云存儲的特征之一，其基本含義是通過數(shù)據(jù)隔離機制和虛擬化技術實現(xiàn)多個用戶能夠共享云平臺的物理資源或虛擬資源。

如圖1所示，在多租戶資源共享環(huán)境下，一個租戶可對應多個應用，一個應用也可對應多個租戶，屬于典型的多對多關系。多租戶共同使用邏輯空間內的所有資源，租戶的資料被存儲在共同的物理空間中。由于數(shù)字檔案信息資源在云平臺中是混合存儲且存在大量的數(shù)據(jù)冗余，如果缺乏有效的隔離機制和數(shù)據(jù)刪除機制，易導致存儲于云端的數(shù)字檔案信息資源的混同、丟失，甚至存在泄露重要商業(yè)機密的可能。

2.技術原因

云存儲主要利用虛擬化技術、加密技術以及身份認證和訪問控制技術等為用戶提供相應的存儲服務，但這些技術也存在泄露數(shù)字檔案信息資源的風險。

（1）虛擬化技術

虛擬化技術指使用虛擬機監(jiān)視器（Hypervisor）將一臺物理機虛擬化為一臺或多臺虛擬機，每臺虛擬機都能獨立運行，并復用物理機的CPU、網(wǎng)絡、內存、硬盤等資源。虛擬化技術是實現(xiàn)多租戶存儲空間共享的技術基礎。

如表1所示，當虛擬機或虛擬機監(jiān)視器（Hypervisor）受到虛擬機跳躍、逃逸，拒絕服務，不安全應用程序接口和非法竊取訪問權限時，將對存儲于云端的數(shù)字檔案信息資源造成極大的威脅。

（2）加密技術

云存儲服務商均聲稱采用加密技術來保障用戶上傳的資料安全，但用戶無法準確得知服務商所使用的密碼協(xié)議，也無法確保云端數(shù)字資料真正做到加密存儲。云存儲服務商作為數(shù)字檔案信息資源的實際控制者，可以輕而易舉地獲取加密密鑰。云存儲服務商一般采用的是單方密鑰安全協(xié)議，即只要求加密水平達到避免第三方非法獲取數(shù)據(jù)隱私的程度，不限制服務商掌握密鑰。這種安全協(xié)議雖然能保障云端數(shù)據(jù)資料不被黑客竊取，卻無法杜絕云存儲服務商內部管理人員的篡改、竊取數(shù)據(jù)資料的風險。

（3）身份認證與訪問控制技術

身份認證與訪問控制管理是為了安全、有效訪問IT資源而進行的身份認證、授權和身份數(shù)據(jù)集中管理與審計的過程及技術手段。云存儲平臺通常采用“用戶名+密碼”的單點登錄身份認證技術，而用戶為方便記憶，往往設置較為簡單的用戶名和密碼，或將多個應用系統(tǒng)的密碼設為相同的形式，加大了用戶身份泄露的風險。攻擊者通過暴力破解的方式獲取合法用戶的用戶名和密碼，竊取云端的存儲資料，客觀上降低了云存儲平臺的安全性。

3.管理因素

云存儲技術使數(shù)字檔案信息資源的所有權與控制權相分離，檔案部門無法掌握數(shù)據(jù)存放的位置和實際控制權。因此云存儲服務商對云平臺的管理手段對數(shù)字檔案信息資源的安全起著決定性作用。

（1）法律法規(guī)

云存儲環(huán)境下，數(shù)字檔案信息資源的安全保存不僅需要技術與方法的支持，更需要相關法律法規(guī)、標準的約束。然而，目前我國唯一一部涉及云計算服務安全問題的標準是2014年由全國信息安全標準化技術委員會制訂的《信息安全技術：云計算服務安全指南》。2015年國內云計算首個行業(yè)安全標準《數(shù)據(jù)保護倡議書》誕生。其他相關數(shù)據(jù)保護規(guī)定散見于《計算機信息系統(tǒng)安全保護條例》《計算機網(wǎng)絡國際聯(lián)網(wǎng)安全保護管理辦法》等司法解釋條款中。云存儲環(huán)境下，保護用戶數(shù)據(jù)安全的專門性法律法規(guī)尚顯空白。而數(shù)字檔案信息資源還面臨著保密性和特殊性等管理要求，因此檔案機構在采納云存儲技術的過程時必須協(xié)同立法、司法等相關部門制定涉及檔案領域云安全的相關法規(guī)和政策。

（2）格式合同

檔案部門在使用云存儲技術保管和利用數(shù)字檔案資源時，均不可避免需要與云存儲服務商簽署服務合同條款。檔案部門希望在服務合同中約束云存儲服務商確保數(shù)字檔案在其保管期限內的真實性、完整性、安全性和可用性等。而云存儲服務商為了規(guī)避風險、免除責任，通常會采用具有定型化、附從性特點的格式合同。由于檔案信息資源本身的特殊性，且尚無相關標準指導檔案部門與云存儲服務商的制定行之有效的服務合同，而一旦合同的條款不明確或是缺少，就會導致云端檔案數(shù)據(jù)損毀、泄露及維權不力等問題。因此，要進一步規(guī)范云存儲服務格式合同的制定與完善，在法律框架內尋求檔案部門和云存儲服務商之間的利益平衡點。

（3）內部人員

由于云存儲服務商直接掌握著海量的云端信息，很多服務商能夠通過監(jiān)聽或使用惡意軟件直接獲取云端數(shù)據(jù)，普通的管理人員能夠直接從后臺訪問、推演用戶的訪問數(shù)據(jù)，有意或無意的操作不當很可能泄露云端數(shù)據(jù)。因此，云存儲服務內部管理人員的信息素養(yǎng)和職業(yè)道德水平直接影響著存儲于云端的數(shù)字檔案信息資源的安全。

三、云存儲環(huán)境下數(shù)字檔案信息資源的安全保障措施

1.基礎環(huán)境安全保障措施

基礎安全保障是指提供云存儲服務的平臺IT架構層、基礎設施和物理環(huán)境的安全。①云平臺IT架構層安全：為保證云存儲平臺的可用性和服務的連續(xù)性，需要保證存儲虛擬化技術的安全可靠，確保虛擬機和虛擬機監(jiān)視器的正常運轉;同時采用有效的多租戶隔離方案，避免可能出現(xiàn)的數(shù)據(jù)混同。②基礎設施安全：保障主機和網(wǎng)絡的正常運作。存儲層中選用網(wǎng)絡連接式存儲（NAS）等IP存儲設備或服務器連接存儲（SAS）等直連式存儲設備。為保證這些數(shù)量龐大且分布于不同地域的存儲設備良好運轉，需對其進行定期的保養(yǎng)和維護，同時進行防盜防毀、防電磁泄露、安全電源等保護。③物理環(huán)境安全：物理環(huán)境的安全是云存儲安全的最基本保障，物理環(huán)境的好壞直接影響著云存儲中心的安全可靠。因此，要保證其具有良好的機房選址、消防報警、電能供給、溫濕度控制系統(tǒng)等設施。

2.技術安全保障措施

技術是保障云端數(shù)字檔案信息資源安全存儲的重要手段，數(shù)據(jù)加密是現(xiàn)階段保證數(shù)據(jù)安全最基本和最有效的方式，數(shù)據(jù)加密存儲應選擇安全性能較高的國際通用算法或我國國有商密算法等，積極探索最優(yōu)的加密方案、數(shù)據(jù)存儲模式，確保數(shù)據(jù)的安全存取，防止失泄密事件的發(fā)生。例如日本筑波大學JanAskhoj等學者創(chuàng)建的云存檔系統(tǒng)的整體模型、清華大學Zhang Guigang等學者開發(fā)的云數(shù)據(jù)存檔系統(tǒng)、微軟研究院的Kamara等人提出的面向公有云的加密存儲框架以及加拿大國家檔案館 Stuart等學者研究的云中加密數(shù)據(jù)的存儲技術等。

另外，除傳統(tǒng)的單點登錄身份認證技術外，還可采取合適的生物特征識別技術來保障云存儲平臺的安全性。

3.管理安全保障措施

從管理角度來看，要依法制定相應的保護信息安全的法律法規(guī)、規(guī)范云存儲服務合同、加強人員管理等手段來保證云端數(shù)字檔案信息資源的安全性。

（1）完善信息安全法律法規(guī)

數(shù)字檔案信息資源云存儲是數(shù)字檔案館建設的新一輪嘗試，涉及到較為復雜的網(wǎng)絡、技術環(huán)境，各方權責劃分也尚不清晰，缺乏針對性的法律保護條例。因此，檔案管理部門要積極與相關立法部門溝通、協(xié)調，反映檔案信息安全保護訴求、提供合理化建議，明確數(shù)據(jù)存放和跨境遷移的具體規(guī)定以及侵權責任的界定、賠償，通過立法手段，確定數(shù)字檔案相關業(yè)務規(guī)范與工作條例，使數(shù)字檔案安全保障有法可依。例如，根據(jù)我國《保密法》以及其他相關法律規(guī)定，涉密檔案在境外存放涉嫌違法;根據(jù)歐盟保護個人信息的相關法案，個人信息不得遷移至歐盟境外。

（2）規(guī)范云存儲服務合同

由于云存儲服務的低成本、流動性等特點，服務商為了規(guī)避風險，在簽署服務合同時往往不愿承擔過多義務。根據(jù)《合同法》第四十條規(guī)定：“提供格式條款一方免除其責任、加重對方責任、排除對方主要權利的，該條款無效?！比绻品丈淘诜蘸贤忻鞔_免除自己的安保義務，該條款屬于無效條款。因此，對于檔案部門來說，為確保托管的數(shù)字檔案信息的安全性，在要求云存儲服務商確保數(shù)據(jù)安全和系統(tǒng)安全的前提下，還可以根據(jù)數(shù)字檔案信息資源的特殊性，在合同中增加系統(tǒng)安全方面的需求性條款;增加檔案部門有權隨時監(jiān)督云服務商系統(tǒng)安全的條款;規(guī)定在發(fā)現(xiàn)云服務商的系統(tǒng)漏洞，或者系統(tǒng)改變的情況下，要求云服務商作出相應的安保承諾、采取相應的安保措施、變更合同、解除合同等條款，并就造成的侵權損失提出具體賠償方案。例如英國國家檔案館為保證文件檔案管理云平臺的安全性及自身的合法權益，在與云服務商簽訂服務合同時針對服務的可用性、安全性、數(shù)據(jù)保護、數(shù)據(jù)所有權、元數(shù)據(jù)等重要內容提出了20條關鍵條款。

（3）加強人員管理

一方面，檔案部門在構建數(shù)字檔案信息云存儲平臺時，要加強對數(shù)字檔案信息產品及其衍生產品的產權保護，同時選用資質較高、穩(wěn)定性強、發(fā)展前景廣闊的云存儲服務商;另一方面，云存儲服務商作為云端數(shù)據(jù)的管理者，在遴選運維人員時，要審查其身份、背景，簽署保密協(xié)定，并對其進行保密教育，提高信息素質和道德修養(yǎng)，降低數(shù)字檔案信息由于人為的誤操作而導致的信息泄露、侵犯知識產權的風險。

四、結語

云存儲技術能實現(xiàn)海量數(shù)字檔案信息資源便捷、高效的存儲管理及利用服務，檔案部門可以租用或購買云存儲服務商提供的軟件、操作系統(tǒng)或應用程序，從而節(jié)省人力、物力和財力，用戶可以利用云存儲技術的優(yōu)勢，進入到云歸檔虛擬資源中心進行檢索，從而打破館際之間的“信息壁壘”。從數(shù)字化發(fā)展的角度來看，數(shù)字檔案信息資源云存儲既是大勢所趨，也是數(shù)字檔案館建設的方向之一。要從技術和管理的角度加強對云存儲平臺和云存儲服務商的管控，保證數(shù)據(jù)存儲的安全性，促進數(shù)字檔案信息資源共建共享目標的實現(xiàn)。

注：本文系湖北省青年檔案工作者學術論壇二等獎作品

（作者單位：中建三局檔案室）