云计算环境下档案信息管理系统风险分析,本文主要内容关键词为:信息管理系统论文,风险论文,环境论文,档案论文,此文献不代表本站观点,内容供学术参考,文章仅供参考阅读下载。
云计算是在网格计算的基础上,借助互联网的高速传输能力,将数据的处理过程从个人计算机或服务器转移到互联网上的计算机集群中,通过利用集群内大量异构计算机的CPU周期和磁盘存储空间,把存储和计算作为一种服务提供给用户。业界将“云计算”界定为继个人计算机、互联网变革之后的第三次IT浪潮[1]。
相对于“云计算”定义的不确定性,目前国内外对云计算可提供的服务模式则较为统一地分为三个层次:基础设施即服务(Infrastructure as a Service,IaaS)、平台即服务(Platform as a Service,PaaS)和软件即服务(Software as a Service,SaaS)。三个服务层次的名称很好地诠释了各自提供的服务范围。
1 我国档案信息管理系统应用现状
以笔者所在的城市为例具体说明:
上海市档案局(馆)的档案信息管理系统是在与Internet隔离的内部局域网上运行的。普通查询者虽然可以通过Internet查询到馆藏档案的目录,但无法调阅全文信息。馆内接入局域网的专门调阅电子文件全文信息的查询终端对利用者有严格的限制要求,甚至不可以有移动存储设备接入。局(馆)工作人员的办公电脑也是只能上内网。外来电子文件如果要进入办公电脑,只能先拷贝或下载到办公区域的公用电脑上,经过一系列的规范操作,然后再发送到各自的办公电脑。这一系列规定,做到了内、外网络,内、外部文件信息的绝对隔离。
各区县的档案局(馆)也各自采用不同的档案信息管理系统,系统间不互通共享。虽然为方便利用者,目前大部分局(馆)之间已达成协议,实现了就地查询、跨馆出证。利用者只要在距离自己最近的档案管理机构填写《远程协同服务档案利用申请表》,就可在几个工作日后得知查询结果,拿到需要的相关证明。但这一服务目前仅限于涉及民生问题的婚姻、独生子女、知青等八大类档案的出具证明,还未能实现基于科学研究目的的大批量档案的查询利用服务。
相对独立的普通高校的档案馆(室),目前大部分已使用了档案信息管理系统。除交大、复旦等自身科研、技术保障能力较强的院校是应用自己独立设计、开发的系统,大部分是购买的市面流行的操作系统,其中又以南京大学档案馆研发的《南大之星档案管理系统》为主。再有就是考虑应用档案信息管理系统较晚的院校,反而搭乘了学校信息化发展的便利,直接挂接了本校的信息资源管理平台,在系统设计时就加入了档案管理的模块,可以使OA、人事、科研、教务等系统产生的文件在线完成直接归档。目前独立运行档案信息管理系统的高校档案馆(室)大多有自己独立的服务器,相对来说,在服务器的性能、维护人员的专业化程度等方面不及利用校级统一平台的。同时,这些管理系统大多只限于本校档案馆和学校各部门兼职档案员使用,不提供对外登录查询服务。无论是市教委还是国务院学位办,都无法直接从这些系统获得有关学生学历、学位等的相关信息。全国高等学校学生信息咨询与就业指导中心(教育部学历认证中心)通过教育部唯一指定发布高等教育学历信息的网站——中国高等教育学生信息网(http://www.chsi.com.cn),虽然可以直接查询2001年(含)以后研究生、普通本专科、成人本专科、网络教育以及自学考试等国家承认的全国高等教育学历证书的信息。但因求职、出国、升学、证书丢失等需要提供学历证明或需出具《中国高等教育学历认证报告》的,则需要认证中心或其委托代理机构的相关工作人员,通过信件、传真(因无法核实利用者身份,一般情况下,各大高校不接受此类档案的电子邮件、电话查询)等方式,委托各大高校的档案馆进行。所以这一认证过程往往在利用者看来是漫长得离谱——“一般情况下,认证工作在申请正式受理后20-30个工作日内(不含节假日、双休日)完成”[2]。
除此而外,林林总总的部门档案馆、专门档案馆、企事业档案馆应用档案信息管理系统的现状更是千差万别。
对在目前的管理体制下,为什么要引入档案云计算这一论题,国家档案局技术部副主任蔡学美在2012年5月8日的“档案云服务高峰论坛”上给出了自己的见解:熟悉档案管理、能进行档案信息资源深层次研究和开发的复合型专业人才匮乏;档案管理基础设施欠完善,众多小型机构专门档案保管条件欠缺,档案行政管理部门要求使用的软件更新慢,滞后时代发展需求,现行档案管理软件无自主管理模块,不能适应本单位档案检索归档的一些个性需要;电子文档的使用安全上比纸质文档易损坏,保密性差[3]。
而对在一线工作的笔者,认为引进这一概念的最终目的有二:一是方便利用;二是让专业的人做专业的事。首先,利用“云计算”的理念,可以建立跨档案信息管理系统的统一检索平台,实现了资源整合;其次,一定级别的管理部门如果有了综合查询几个级别的档案信息管理系统的权限,譬如市教委或教育部有查询全市或是全国学生学历、学位信息的权限,市档案局或相当级别的机构有综合查询各区、县档案局(馆)的权限,完全可以实现在这些部门当场出具相关证明、提供综合查询服务的档案利用需求;再次,各单位将自己的档案信息管理系统委托给云服务,既节约了扩容、设备更新、系统维护的成本,又减少了对档案从业人员要求有相当水平计算机知识的需求,使档案从业人员能更安心地做档案的事;最后,如果国家档案局(馆)最终实现了基于档案云服务的最高层次,也即实现软件即服务层次的档案信息资源管理,就可以实现全国档案信息的统一著录、综合查询,不论对管理者还是对利用者来说,无疑都是一个令人憧憬的目标。
2 云服务风险构成
云计算不是一项新技术,而是一种包括应用模式、管理模式和技术研发模式在内的新型理念。“云”中汇集了互联网信息服务、数据存储、计算空间、软件应用等可以随需使用、付费的服务模式。利用者无需购买服务器、无需专门的IT部门和人员即可实现数字化管理。也正是由于云计算的这种特性,产生了相应的风险。
美国从事信息技术研究和咨询的公司Gartner,在2008年发布的《云计算安全风险评估》中总结了目前云计算技术存在的7个安全风险[4]:
1)特权用户访问风险
2)法规遵守风险
3)数据位置不确定风险
4)共享存储数据风险
5)数据恢复风险
6)调查支持(数据跟踪功能)风险
7)长期发展风险
评估报告主要从提供商的角度分析了云计算将要面临的风险,侧重于对云服务提供者架构云服务本身的安全能力、灾难响应机制等方面的考量。
而于2009年4月在RSA大会上宣布成立的旨在推进云计算安全最佳实践的非营利性质的联盟CSA(Cloud Security Alliance,云安全联盟),则在成立会议上即发布了《云计算关键领域安全指南》,并于当年的12月24日,又发布了第二版安全应用指南《云计算关键领域安全指南V2.1》[5],共涉及13个方面的考虑:
D1云计算架构框架
D2治理和企业风险管理
D3法律与电子证据发现
D4合规与审计
D5信息生命周期管理
D6可移植性和互操作性
D7传统安全业务连续性和灾难恢复
D8数据中心运行
D9应急响应通告和补救
D10应用安全
D11加密和密钥管理
D12身份和访问管理
D13虚拟化
指南主要从用户的角度归纳了云计算服务环境在云架构、云的治理、云的运行方面可能面临的主要威胁,涉及云计算中特有的安全问题。由于指南同时给出了相应的建议,故具有一定的指导性。
风险投资机构North Bridge近日公布了一份关于云计算发展的调查报告:相对而言,云计算是成熟的;可扩展性是主要驱动力;安全问题仍然是主要障碍……[6]
综合所述,云计算服务主要包括三个层面的安全问题:云计算用户的数据安全和应用安全;提供云计算服务的平台自身的安全和服务的持续性;云计算资源的安全。
3 档案信息管理系统云服务风险分析
从研究动向来看,我国各地档案管理部门也在积极进行基于云服务模式的档案信息管理方式的探索。上海市2012年度档案科研项目立项名单中就有由上海市档案局、上海中信信息发展有限公司联合承担的《基于云计算模式的区域数字档案馆群建设策略研究》。项目的批准立项,可以理解为正式将档案信息资源“云服务”提上了研究日程。在统一平台的服务模式还未正式推出前,目前各单位的档案信息管理系统推入云的基础设施服务可能涉及以下主要风险:
3.1 技术风险
技术风险是指由于云计算技术的不成熟、不完善而在运行过程中不可避免发生的技术障碍。
基础设施即服务的云服务提供商主要负责为用户提供基础设施服务,如提供服务器、存储、网络和管理工具在内的虚拟数据中心,而云计算基础设施的可靠性、物理安全、网络安全、信息存储安全、系统安全是其基本职责范畴,包括虚拟机的入侵检测、完整性保护等。云计算用户则需要负责其购买的虚拟基础设施以上层面的所有安全问题,如自身操作系统、应用程序的安全等[7]。亚马逊的弹性计算云(EC2)和简单存储服务(S3)等即为此。
3.1.1 服务中断 服务中断是指在云服务过程中发生的、由于不可抗力或人为原因造成的中心处理器、存储设备或网络故障。
在云计算环境下,用户数据的存储、处理和保护等都是在“云”中完成的,“云”架构的安全就不仅仅是一台服务器挂接一个档案信息管理系统那么简单。由于“云”的庞大,一旦发生事故,影响面也是较广的。细数近几年影响较大的事故:
从下表可以看出:黑客入侵、误操作、设计缺陷、设备故障、自然灾害等都是造成云服务中断的原因。虽然先进的技术已经可以将绝大部分风险化解,甚至绝大部分云计算服务中心已经有了相当完备的应急响应机制,但服务一旦中断,还是有不可估量的损失。以距离现在最近一次的亚马逊云服务事故为例,虽然有消息称数据中心断电9分钟后就恢复供电了,但其云服务可没有那么快恢复。从亚马逊专门公布其云计算服务运行状况的网站Amazon Web Services的健康公示板上,我们可以看到运行状况记录:EC2在6月29日晚上8:21的时候开始出现连接问题,8:40亚马逊官方宣布事故原因为风暴导致的数据中心电力中断。9分钟之后,电力得到恢复,EC2云服务重启并且更新相关数据。晚上11:19,半数以上的EC2用户和三分之一的相关数据得到恢复。但Elastic Load Balancers和Elastic Block Storage需要更多的时间来维护。30日10:25,亚马逊宣布大部分受到影响的EC2用户由于没有使用EBS硬盘,其服务已经得到恢复了正常;但使用EBS硬盘的客户还无法恢复正常使用。云搜索和相关数据服务则到30日早上后才逐步恢复使用[8]。
一般来说,任何一个云服务的提供商在系统设计时都考虑了灾难备份和灾难恢复。灾难备份是为了灾难恢复而对数据、数据处理系统、网络系统、基础设施、技术支持能力和运行管理能力进行备份的过程;灾难恢复则是将信息系统从灾难造成的故障或瘫痪状态恢复到可正常运行状态,并将其支持的业务功能从灾难造成的不正常状态恢复到可接受状态而设计的活动和流程[9]。但由于电子文件生成的复杂性,系统中每时每刻都有大量的信息流,如果在某一时刻出现断电,不仅当时的数据肯定作废,更为严重的是,由于不清楚计算系统在故障时所处的状态,即无法判断当时当刻哪些操作已经完成,哪些数据正在被计算、存取,故服务的恢复需要一个时间段。
3.1.2 数据失真 数据失真包括由非法入侵导致的数据篡改和由于灾难导致的数据丢失。
由于“云计算”的特点,数据可能存储在不同的物理地址,即用户的数据在“云服务”中没有相对独立、固定的存储区,并且都以明文的形式存储,这就决定了数据具有潜在的危险。黑客入侵导致的数据篡改和不可抗力造成的数据丢失无疑是对具有证据、凭证作用的档案信息的真实性提出了最大的挑战。
排除了云服务提供商和内部别有用心的工作人员因篡改或破坏而造成的数据失真情况,其他危害大都是来自网络行为,因与普通的网络安全研究没有太大差别,本文此处论述从略。
3.1.3 敏感信息泄漏 2012年7月,黑客发布了一份包含453492名用户明文账号密码的文件,据推测此文件是从Yahoo Voice中获得的。“这次攻击手段是SQL注入,然而重点在于服务商完全没有为这些数据加密,所有账号密码都是明文存储。”信息安全公司Trusted SEC事后对此表示担忧[10]。但实际上,除了软件即服务的提供商之外,系统设置使云服务的提供商一般没有资格处理用户的隐私数据,而大多数把服务推给云的使用者会错误地认为“云”即代表“安全”,不给自己的隐私数据加载任何安全措施及手段。虽然云中的防火墙能够对恶意的外来攻击提供一定程度的保护,但这种架构模式同时使得一些关键性的数据可能被泄露。对延续社会记忆的档案馆来说,任何技术的引入都不能使档案馆忽视最基本的档案信息安全问题[11]。
3.2 管理风险
管理风险是指国家将档案信息管理推送给云服务后相应产生的组织、管理方面的风险和由于云服务提供商在商业活动中自身的发展起伏相应产生的进入、退出变化带来的管理风险。
3.2.1 组织策略 网络作为信息的承载体,已成为继领土、领海、领空之后的第四维空间,并对现实空间有直接制约作用。有专家指出,国家的综合实力在很大程度上将取决于互联网的建设和管理能力,而云计算则将成为互联网应用的核心和依托[12]。
既然已经有国家将云服务发展到一定水平了,为什么我国还要斥资6.6个亿在北京、上海、深圳等地展开试点?大家都知道上世纪90年代的海湾战争,但有多少人知道美国当年利用自己在互联网上的优势,将伊拉克所有国家域名的网站封锁并激活预先安装在伊拉克军队购置的打印机中的所有病毒,在信息战中取得先期胜利?如果未来某个国家的数据都集中在这些国际公司的云计算中心,毫无疑问,该国的信息安全必将面临严峻考验。云计算的发展不仅是信息技术应用模式的更新,更将是一场互联网中枢神经系统的争夺战。
政府部署、主导国家云计算的发展是必由之路。当档案信息数据交由第三方托管时,服务提供商具有数据的优先访问权,这就决定了其可能进行的数据窃取行为,以及通过数据挖掘等技术寻找可用的关键信息的行为。这些行为,即使用户知道可能发生,但很难找到蛛丝马迹,更别说追查取证。
3.2.2 准入、退出机制
有资料显示,自2010年以来,美国联邦政府陆续将电子邮件系统和网站从政府的服务器转移到供应商的云服务器上,随后关闭了政府的数据中心。但联邦官员表示,更为敏感一些的数据可能随后转移……最敏感的信息,例如来自白宫或者中央情报局的信息,最终可能会转移到由政府自己维护的云服务器,从而最大限度地实现控制,确保安全[13]。
由此可见,尽管云提供商千方百计地证明他们能确保数据的安全及访问的连续性,但涉及敏感数据,尤其是与国家安全有关的数据,任何一个国家都是小心翼翼的。在档案信息管理系统在部门内部的服务器上跑的时候,安全似乎是可控的。推送给“云”后,我们不得不考虑当服务中止后,数据不被泄露,并且所有数据都是完整的、并可以迁移至新的服务提供商。这就需要从体制、机制等方面对服务提供商设置标准并进行必要的考量。
云计算业务的高弹性、大规模、分布化的特性,使应用者对安全问题特别敏感,而当这种敏感再遭遇了“档案”,就使人不得不对风险问题大加考虑了。“注重战略思维,从长远和根本的视角去观察、分析、思考问题……研究思考档案事业发展中带有方向性、规律性的问题,尤其要密切跟踪‘物联网’、‘云计算’、‘海计算’等最新信息技术,超前思考档案工作信息化的未来图景”[14],保证档案信息不因偶然的或者恶意的原因遭到破坏、更改、泄露,保证云计算环境下档案信息管理系统持续、可靠、正常地运行,是本文风险分析的目标所在——分析风险,是为了确保安全。
标签:云计算论文; 信息系统论文; 企业档案工作规范论文; 档案管理系统论文;