云數(shù)字檔案館安全風(fēng)險(xiǎn)分析及防范策略

摘要：云數(shù)字檔案館的安全管理具有其獨(dú)特性。本文從云數(shù)字檔案館承載的安全職能出發(fā)，逐層分析其安全風(fēng)險(xiǎn)和相關(guān)因素，結(jié)合其用戶使用特點(diǎn)，提出云數(shù)字檔案館安全中心的建設(shè)框架、主體內(nèi)容和防范對策。

關(guān)鍵詞：云計(jì)算云數(shù)字檔案館風(fēng)險(xiǎn)分析安全管理中心防范策略

云數(shù)字檔案館是基于云計(jì)算的關(guān)鍵技術(shù)和管理模式而構(gòu)建的數(shù)字檔案館，其主要功能是面向檔案形成機(jī)構(gòu)、檔案管理機(jī)構(gòu)、檔案利用者提供檔案數(shù)字資源的采集、整理、編目、管理、保存和利用服務(wù)，通常會在一個(gè)較廣的區(qū)域范圍內(nèi)進(jìn)行統(tǒng)一規(guī)劃和組織實(shí)施，其目的是能夠?qū)崿F(xiàn)跨多個(gè)實(shí)體檔案館、跨地域地開展檔案資源的集約化管理和檔案信息的綜合性服務(wù)。云數(shù)字檔案館的建設(shè)和運(yùn)營管理過程，將充分體現(xiàn)云計(jì)算虛擬化技術(shù)支撐下的統(tǒng)一管理、智能動態(tài)調(diào)度、信息分布式存儲和自動化處理、規(guī)?；渴鸷投嘣?wù)、使用的按需響應(yīng)和服務(wù)的計(jì)量管理等特點(diǎn)，這將大大節(jié)省全國檔案系統(tǒng)內(nèi)檔案信息化基礎(chǔ)設(shè)施投入，提高檔案管理信息系統(tǒng)的開發(fā)效率，增強(qiáng)檔案信息服務(wù)能力，促進(jìn)全國檔案系統(tǒng)現(xiàn)代化發(fā)展的均衡性和協(xié)調(diào)性。這一IT集約化的建設(shè)模式必將改變當(dāng)前我國檔案層級集中的多級管理模式，將會通過網(wǎng)絡(luò)將國家檔案資源實(shí)現(xiàn)更加扁平化的管理。但這會將更多的安全風(fēng)險(xiǎn)轉(zhuǎn)移到云數(shù)字檔案館服務(wù)端，即未來檔案數(shù)字資源的安全在很大程度上取決于云數(shù)字檔案館的安全防范措施和管理控制能力。

1 云數(shù)字檔案館基礎(chǔ)架構(gòu)和服務(wù)功能

按照云計(jì)算的IT服務(wù)模式，云數(shù)字檔案館的服務(wù)功能將會跨越三個(gè)層級，軟件即服務(wù)、平臺即服務(wù)、基礎(chǔ)設(shè)施即服務(wù)。在基于云計(jì)算建設(shè)數(shù)字檔案館時(shí)，用戶可以選擇其中任意一個(gè)層級的服務(wù)模式，也可以組合使用任意兩個(gè)或三個(gè)層級服務(wù)，這與數(shù)字檔案館建設(shè)承擔(dān)方的人力、物力、財(cái)力和持續(xù)運(yùn)維能力密切相關(guān)。

SaaS層提供用于支撐檔案業(yè)務(wù)活動的應(yīng)用系統(tǒng)服務(wù)，如檔案數(shù)據(jù)采集、整理、分類、編目、管理、編研、統(tǒng)計(jì)、存儲、利用等；以及檔案管理基礎(chǔ)性技術(shù)服務(wù)，如封裝、校驗(yàn)、憑證、監(jiān)控、溯源等。

PaaS層提供檔案管理應(yīng)用開發(fā)平臺和運(yùn)行環(huán)境支撐服務(wù)，如開發(fā)工具、數(shù)據(jù)庫管理系統(tǒng)、中間件和運(yùn)行服務(wù)平臺等。

laaS層提供基礎(chǔ)設(shè)施和虛擬資源供給服務(wù)，包括虛擬的服務(wù)器、計(jì)算資源以及分布式集群管理的調(diào)度、控制與同步等。

2 云數(shù)字檔案館服務(wù)層級的風(fēng)險(xiǎn)要素分析

對網(wǎng)絡(luò)信息技術(shù)環(huán)境而言，安全風(fēng)險(xiǎn)來源于安全威脅或安全漏洞。安全威脅可分為自然和物理的（火災(zāi)、水災(zāi)、風(fēng)暴、地震和停電等）、無意的或不知情、故意的（攻擊者、恐怖分子、工業(yè)間諜、政府、惡意代碼）三大類。安全漏洞是資源容易遭受攻擊的位置，可分為物理的（未鎖門窗）、自然的（地震）、硬件和軟件（防病毒軟件過期）、媒介（電干擾）、通信（未加密協(xié)議）、人為（不可靠的技術(shù)支持）等吲。只有及時(shí)地識別漏洞和威脅并采取預(yù)防措施，安全才有保障。

2.1 SaaS層風(fēng)險(xiǎn)要素分析

SaaS層的主要用戶為檔案館、檔案室、檔案存放的個(gè)人及其他機(jī)構(gòu)。一套軟件系統(tǒng)同時(shí)支持多個(gè)租戶，通過參數(shù)應(yīng)用、自定義空間、集成器等技術(shù)手段，用戶可根據(jù)自己的實(shí)際需求，透明地定制個(gè)性化軟件應(yīng)用服務(wù)，應(yīng)用管理員負(fù)責(zé)本層檔案用戶的定制服務(wù)、管理、統(tǒng)計(jì)、分析、安全、服務(wù)級別協(xié)議等事務(wù)。如圖1所示。

來自云終端用戶即檔案管理人員的風(fēng)險(xiǎn)主要有非授權(quán)操作、惡意攻擊、病毒等，對云數(shù)字檔案館形成威脅，影響檔案數(shù)據(jù)的安全性。

在SaaS層中，基于多租戶架構(gòu)和元數(shù)據(jù)開發(fā)模式的在線軟件技術(shù)，安全風(fēng)險(xiǎn)存在下面幾個(gè)方面：多用戶隔離安全。虛擬機(jī)的主要目的是為減少達(dá)到隔離目的而產(chǎn)生的獨(dú)占性資源。多用戶的典型應(yīng)用環(huán)境下，采用虛擬化方法，不同檔案館、檔案室等用戶在使用時(shí)可以獨(dú)享一臺虛擬機(jī)，而一臺物理機(jī)有無數(shù)的虛擬機(jī)，這種隔離是邏輯上的，透明的，非獨(dú)占性特點(diǎn)會導(dǎo)致用戶隔離出現(xiàn)漏洞，一個(gè)合法用戶的數(shù)據(jù)可能被另一個(gè)合法用戶非授權(quán)操作；身份認(rèn)證和訪問權(quán)限安全。對不同服務(wù)水平的檔案用戶、應(yīng)用管理員的身份認(rèn)證和訪問控制出現(xiàn)漏洞，或技術(shù)或管理原因?qū)е路鞘跈?quán)登錄、發(fā)送、修改、盜用檔案信息；檔案用戶權(quán)限樹安全。用戶權(quán)限樹的設(shè)計(jì)和維護(hù)機(jī)制出現(xiàn)漏洞，用戶權(quán)限在各SaaS應(yīng)用程序中失去繼承性，導(dǎo)致安全隱患；網(wǎng)絡(luò)和應(yīng)用系統(tǒng)安全。云數(shù)字檔案館的網(wǎng)絡(luò)和應(yīng)用軟件系統(tǒng)遭受惡意攻擊，無法正常運(yùn)行；人員安全意識。來自應(yīng)用系統(tǒng)管理員和用戶安全風(fēng)險(xiǎn)可能是無意的或有意的人為風(fēng)險(xiǎn)。

2.2 PaaS層風(fēng)險(xiǎn)因素分析

云數(shù)字檔案館PaaS層提供檔案管理應(yīng)用軟件及中間件開發(fā)、運(yùn)行、測試、部署的完整支撐軟件環(huán)境，可以離線或在線方式給用戶專屬性使用。包括檔案管理軟件上線測試應(yīng)用服務(wù)平臺、開發(fā)運(yùn)行和運(yùn)維的基礎(chǔ)服務(wù)平臺、管理平臺。PaaS層的主要用戶是檔案軟件系統(tǒng)開發(fā)人員、平臺管理員、應(yīng)用管理員。如圖2所示。

平臺管理員側(cè)重對檔案云平臺中主要的軟件資源進(jìn)行監(jiān)控和管理。應(yīng)用管理員側(cè)重對應(yīng)用的SLA管理，因此來自云終端的風(fēng)險(xiǎn)主要是惡意攻擊、病毒、非授權(quán)操作。

對于云數(shù)字檔案館“平臺即服務(wù)”層，安全風(fēng)險(xiǎn)存在下列幾個(gè)方面：

分布式文件系統(tǒng)安全。分布式文件系統(tǒng)可以把云數(shù)字檔案館中的文件資源以統(tǒng)一的視點(diǎn)呈現(xiàn)給用戶，但其中服務(wù)器組件失效、海量數(shù)據(jù)存儲和快速讀取響應(yīng)，多檔案用戶同時(shí)訪問文件系統(tǒng)引起的并發(fā)控制和訪問效率、檔案數(shù)據(jù)私有性和沖突時(shí)的數(shù)據(jù)恢復(fù)等都是潛在風(fēng)險(xiǎn)；分布式數(shù)據(jù)庫安全。檔案數(shù)字資源中結(jié)構(gòu)化數(shù)據(jù)采用分布式數(shù)據(jù)庫進(jìn)行管理。檔案海量數(shù)據(jù)的存儲和快速檢索、多用戶并發(fā)、數(shù)據(jù)操作的同步性，服務(wù)器動態(tài)擴(kuò)展性等是潛在風(fēng)險(xiǎn)。

身份認(rèn)證和訪問安全。檔案軟件開發(fā)人員、平臺管理員、應(yīng)用管理員身份認(rèn)證和訪問權(quán)限控制出現(xiàn)漏洞，會引起安全隱患，應(yīng)用間安全隔離和用戶間安全隔離出現(xiàn)漏洞，將是重大的安全隱患。網(wǎng)絡(luò)安全。網(wǎng)絡(luò)和開發(fā)運(yùn)行環(huán)境遭受攻擊，無法正常運(yùn)行。安全人員。檔案管理軟件開發(fā)者、平臺管理員和應(yīng)用管理員是造成有意或無意的人為風(fēng)險(xiǎn)。

2.3 laaS層風(fēng)險(xiǎn)因素分析

laaS是把計(jì)算、存儲、網(wǎng)絡(luò)及搭建應(yīng)用環(huán)境所需的一些工具當(dāng)成服務(wù)提供給用戶。將某一區(qū)域內(nèi)檔案行業(yè)的IT資源整合起來，采用虛擬化技術(shù)，分布式技術(shù)，提供“資源部署、負(fù)載管理、計(jì)算服務(wù)、數(shù)據(jù)管理、資源監(jiān)控、認(rèn)證/定價(jià)、計(jì)費(fèi)管理”基礎(chǔ)服務(wù)和虛擬資源池的基礎(chǔ)設(shè)施服務(wù)。如圖3所示。

該層主要用戶是硬件設(shè)施租用客戶和IT管理人員。由于該層是物理機(jī)上運(yùn)行無數(shù)虛擬機(jī)，提供給用戶計(jì)算機(jī)、存儲、網(wǎng)絡(luò)資源等服務(wù)，安全隱患涉及物理機(jī)、虛擬機(jī)、管理等方面。

對于laaS層而言，影響安全的因素有物理設(shè)施（機(jī)房建筑、門鏡系統(tǒng)、電磁、防火、防災(zāi)等），計(jì)算機(jī)病毒和權(quán)限控制，網(wǎng)絡(luò)攻擊，虛擬化技術(shù)下的資源分配、負(fù)載均衡、數(shù)據(jù)遷移、備份與恢復(fù)，虛擬機(jī)中用戶隔離、數(shù)據(jù)位置、數(shù)據(jù)殘留、數(shù)據(jù)多副本容錯(cuò)、災(zāi)難恢復(fù)，IT管理人員安全意識和安全管理制度，數(shù)據(jù)庫安全，操作系統(tǒng)安全，安全審計(jì)等。

由此可以看到檔案云安全可分為數(shù)據(jù)安全、應(yīng)用安全、網(wǎng)絡(luò)安全、物理安全、虛擬化安全和安全管理等六大部分。每個(gè)層次在運(yùn)營服務(wù)的過程中都遇到不同的安全威脅，潛藏不可預(yù)測或難以預(yù)測的風(fēng)險(xiǎn)，安全管理將跨越云數(shù)字檔案館從機(jī)房環(huán)境、硬件設(shè)施到網(wǎng)絡(luò)虛擬化服務(wù)的各個(gè)層面。

3 云數(shù)字檔案館安全管理中心

建設(shè)與風(fēng)險(xiǎn)防范對策

云安全聯(lián)盟（CSA：CloudSecurityAIliance）在2009年發(fā)布了云計(jì)算安全實(shí)施指南，其中將云服務(wù)的安全措施劃分為管制類和操作類，落實(shí)到云數(shù)字檔案館的建設(shè)、實(shí)施和運(yùn)營方面，可搭建檔案云安全架構(gòu)，對云終端用戶惡意代碼保護(hù)，檔案云整體監(jiān)管（合規(guī)性、狀態(tài)與事件監(jiān)控），實(shí)現(xiàn)云中的數(shù)據(jù)安全、物理安全、網(wǎng)絡(luò)安全、應(yīng)用安全、虛擬化安全的管理，通過第三方機(jī)構(gòu)認(rèn)證和監(jiān)管，保證檔案云的安全運(yùn)行。主要風(fēng)險(xiǎn)防范策略包括：

（1）檔案云整體監(jiān)管。這是檔案云安全架構(gòu)最頂層的管理，主要完成基于檔案行業(yè)特點(diǎn)的安全規(guī)劃、安全策略、安全運(yùn)營機(jī)制、風(fēng)險(xiǎn)管理框架、合規(guī)審計(jì)策略、監(jiān)控告警策略等設(shè)計(jì)，以及相關(guān)的安全措施和指南，對物理資源、網(wǎng)絡(luò)資源、虛擬資源的動態(tài)監(jiān)測、事件報(bào)警，檔案用戶虛擬機(jī)健康狀態(tài)顯示進(jìn)行全面監(jiān)控。

（2）檔案云合規(guī)性控制。定義與合規(guī)性和審計(jì)相關(guān)的流程，確定檔案云提供商與檔案用戶在滿足合規(guī)和審計(jì)過程中的責(zé)任，通過合同、服務(wù)等級協(xié)議清晰表達(dá)雙方責(zé)任的劃分，確保整個(gè)檔案云系統(tǒng)遵循必要的協(xié)議。引入具備很好公信力的第三方審計(jì)機(jī)構(gòu)，對整個(gè)檔案云安全架構(gòu)進(jìn)行認(rèn)證。

（3）檔案數(shù)字資源生命周期管理。主要是檔案數(shù)據(jù)的全過程管理，包括檔案數(shù)字資源的訪問控制、加密方式、驗(yàn)證檔案數(shù)據(jù)在生命周期（采集、傳輸、管理、保存、銷毀）各階段的安全性，以及檔案用戶對自身數(shù)據(jù)安全管理的控制機(jī)制。

（4）檔案用戶身份和訪問控制的管理。用于認(rèn)證與授權(quán)檔案云用戶進(jìn)入系統(tǒng)和訪問數(shù)據(jù)的權(quán)限，保護(hù)檔案數(shù)字資源或應(yīng)用免受非授權(quán)訪問。

（5）云數(shù)字檔案館安全制度規(guī)范制定。全員動員，建立云數(shù)字檔案館安全運(yùn)營機(jī)制，從安全組織體系、人員分工與職責(zé)、工作流程、操作性手冊、人員安全培訓(xùn)、安全跟蹤審計(jì)、獎懲等方面，加強(qiáng)安全管理，提高人員安全意識。

（6）虛擬化安全管理。檔案云服務(wù)商在保證不同虛擬層次上的安全性具有更大的責(zé)任，需要劃分不同的安全區(qū)域供檔案用戶選擇，加強(qiáng)區(qū)域邊界的安全措施，保證暴露在外的訪問Web接口安全控制，提高虛擬機(jī)引擎的安全能力。

（7）檔案云的安全核心技術(shù)合理選擇。用戶認(rèn)證、授權(quán)技術(shù)、海量數(shù)據(jù)分布存儲、多租戶隔離技術(shù)、分布式鎖服務(wù)以及負(fù)載均衡等技術(shù)，都是云數(shù)字檔案館實(shí)施安全監(jiān)控的關(guān)鍵技術(shù)，需要合理選擇和正確使用。

（8）檔案信息化人才培養(yǎng)。檔案人員作為終端用戶需要進(jìn)行安全意識和操作培訓(xùn)，確保終端用戶主機(jī)安全、密碼安全、應(yīng)用安全的基礎(chǔ)上，保障云數(shù)字檔案館的安全。

總之，秉承“安全即服務(wù)”，是數(shù)字檔案館建設(shè)、實(shí)施、運(yùn)營和持續(xù)發(fā)展的重要保障，是需要在云數(shù)字檔案館規(guī)劃、設(shè)計(jì)階段進(jìn)行充分的論證、研究和分析，需要在系統(tǒng)建設(shè)的各個(gè)階段、系統(tǒng)作用的各個(gè)層次和運(yùn)行維護(hù)的各個(gè)時(shí)期進(jìn)行高度重視和檢查，需要在云開發(fā)商、云集成商、云運(yùn)營與維護(hù)以及使用云的各方利益相關(guān)者之間建立廣泛的共識，才能最終達(dá)成良性的、可靠的安全云生態(tài)系統(tǒng)，這是云數(shù)字檔案館能夠落地實(shí)施和得以廣泛應(yīng)用的基礎(chǔ)。