1、1云数字档案馆安全风险分析及防范策略摘要:云数字档案馆的安全管理具有其独特性。本文从云数字档案馆承载的安全职能出发,逐层分析其安全风险和相关因素,结合其用户使用特点,提出云数字档案馆安全中心的建设框架、主体内容和防范对策。 关键词:云计算云数字档案馆风险分析安全管理中心防范策略 云数字档案馆是基于云计算的关键技术和管理模式而构建的数字档案馆,其主要功能是面向档案形成机构、档案管理机构、档案利用者提供档案数字资源的采集、整理、编目、管理、保存和利用服务,通常会在一个较广的区域范围内进行统一规划和组织实施,其目的是能够实现跨多个实体档案馆、跨地域地开展档案资源的集约化管理和档案信息的综合性服务。云
2、数字档案馆的建设和运营管理过程,将充分体现云计算虚拟化技术支撑下的统一管理、智能动态调度、信息分布式存储和自动化处理、规模化部署和多元化服务、使用的按需响应和服务的计量管理等特点,这将大大节省全国档案系统内档案信息化基础设施投入,提高档案管理信息系统的开发效率,增强档案信息服务能力,促进全国档案系统现代化发展的均衡性和协调性。这一 IT 集约化的建设模式必将改变当前我国档案层级集中的多级管理模式,将会通过网络将国家档案资源实现更加扁平化的管理。但这会将更多的安全风险转移到云数字档案馆服务端,即未来档案数字资源的安全在很大程度上取决于云数字档案馆2的安全防范措施和管理控制能力。 1 云数字档案馆
3、基础架构和服务功能 按照云计算的 IT 服务模式,云数字档案馆的服务功能将会跨越三个层级,软件即服务、平台即服务、基础设施即服务。在基于云计算建设数字档案馆时,用户可以选择其中任意一个层级的服务模式,也可以组合使用任意两个或三个层级服务,这与数字档案馆建设承担方的人力、物力、财力和持续运维能力密切相关。 SaaS 层提供用于支撑档案业务活动的应用系统服务,如档案数据采集、整理、分类、编目、管理、编研、统计、存储、利用等;以及档案管理基础性技术服务,如封装、校验、凭证、监控、溯源等。 PaaS 层提供档案管理应用开发平台和运行环境支撑服务,如开发工具、数据库管理系统、中间件和运行服务平台等。 l
4、aaS 层提供基础设施和虚拟资源供给服务,包括虚拟的服务器、计算资源以及分布式集群管理的调度、控制与同步等。 2 云数字档案馆服务层级的风险要素分析 对网络信息技术环境而言,安全风险来源于安全威胁或安全漏洞。安全威胁可分为自然和物理的(火灾、水灾、风暴、地震和停电等) 、无意的或不知情、故意的(攻击者、恐怖分子、工业间谍、政府、恶意代码)三大类。安全漏洞是资源容易遭受攻击的位置,可分为物理的(未锁门窗) 、自然的(地震) 、硬件和软件(防病毒软件过期) 、媒介(电干扰) 、通信(未加密协议) 、人为(不可靠的技术支持)等吲。只有及时地识别漏洞和威胁并采取预防措施,安全才有保障。 32.1 Sa
5、aS 层风险要素分析 SaaS 层的主要用户为档案馆、档案室、档案存放的个人及其他机构。一套软件系统同时支持多个租户,通过参数应用、自定义空间、集成器等技术手段,用户可根据自己的实际需求,透明地定制个性化软件应用服务,应用管理员负责本层档案用户的定制服务、管理、统计、分析、安全、服务级别协议等事务。如图 1 所示。 来自云终端用户即档案管理人员的风险主要有非授权操作、恶意攻击、病毒等,对云数字档案馆形成威胁,影响档案数据的安全性。 在 SaaS 层中,基于多租户架构和元数据开发模式的在线软件技术,安全风险存在下面几个方面:多用户隔离安全。虚拟机的主要目的是为减少达到隔离目的而产生的独占性资源。
6、多用户的典型应用环境下,采用虚拟化方法,不同档案馆、档案室等用户在使用时可以独享一台虚拟机,而一台物理机有无数的虚拟机,这种隔离是逻辑上的,透明的,非独占性特点会导致用户隔离出现漏洞,一个合法用户的数据可能被另一个合法用户非授权操作;身份认证和访问权限安全。对不同服务水平的档案用户、应用管理员的身份认证和访问控制出现漏洞,或技术或管理原因导致非授权登录、发送、修改、盗用档案信息;档案用户权限树安全。用户权限树的设计和维护机制出现漏洞,用户权限在各 SaaS 应用程序中失去继承性,导致安全隐患;网络和应用系统安全。云数字档案馆的网络和应用软件系统遭受恶意攻击,无法正常运行;人员安全意识。来自应用
7、系统管理员和用户安全风险可能是无意的或有意的人为风险。 2.2 PaaS 层风险因素分析 4云数字档案馆 PaaS 层提供档案管理应用软件及中间件开发、运行、测试、部署的完整支撑软件环境,可以离线或在线方式给用户专属性使用。包括档案管理软件上线测试应用服务平台、开发运行和运维的基础服务平台、管理平台。PaaS 层的主要用户是档案软件系统开发人员、平台管理员、应用管理员。如图 2 所示。 平台管理员侧重对档案云平台中主要的软件资源进行监控和管理。应用管理员侧重对应用的 SLA 管理,因此来自云终端的风险主要是恶意攻击、病毒、非授权操作。 对于云数字档案馆“平台即服务”层,安全风险存在下列几个方面
8、:分布式文件系统安全。分布式文件系统可以把云数字档案馆中的文件资源以统一的视点呈现给用户,但其中服务器组件失效、海量数据存储和快速读取响应,多档案用户同时访问文件系统引起的并发控制和访问效率、档案数据私有性和冲突时的数据恢复等都是潜在风险;分布式数据库安全。档案数字资源中结构化数据采用分布式数据库进行管理。档案海量数据的存储和快速检索、多用户并发、数据操作的同步性,服务器动态扩展性等是潜在风险。 身份认证和访问安全。档案软件开发人员、平台管理员、应用管理员身份认证和访问权限控制出现漏洞,会引起安全隐患,应用间安全隔离和用户间安全隔离出现漏洞,将是重大的安全隐患。网络安全。网络和开发运行环境遭受
9、攻击,无法正常运行。安全人员。档案管理软件开发者、平台管理员和应用管理员是造成有意或无意的人为风险。 52.3 laaS 层风险因素分析 laaS 是把计算、存储、网络及搭建应用环境所需的一些工具当成服务提供给用户。将某一区域内档案行业的 IT 资源整合起来,采用虚拟化技术,分布式技术,提供“资源部署、负载管理、计算服务、数据管理、资源监控、认证/定价、计费管理”基础服务和虚拟资源池的基础设施服务。如图 3 所示。 该层主要用户是硬件设施租用客户和 IT 管理人员。由于该层是物理机上运行无数虚拟机,提供给用户计算机、存储、网络资源等服务,安全隐患涉及物理机、虚拟机、管理等方面。 对于 laaS
10、 层而言,影响安全的因素有物理设施(机房建筑、门镜系统、电磁、防火、防灾等) ,计算机病毒和权限控制,网络攻击,虚拟化技术下的资源分配、负载均衡、数据迁移、备份与恢复,虚拟机中用户隔离、数据位置、数据残留、数据多副本容错、灾难恢复,IT 管理人员安全意识和安全管理制度,数据库安全,操作系统安全,安全审计等。 由此可以看到档案云安全可分为数据安全、应用安全、网络安全、物理安全、虚拟化安全和安全管理等六大部分。每个层次在运营服务的过程中都遇到不同的安全威胁,潜藏不可预测或难以预测的风险,安全管理将跨越云数字档案馆从机房环境、硬件设施到网络虚拟化服务的各个层面。 3 云数字档案馆安全管理中心 建设与
11、风险防范对策 云安全联盟(CSA:CloudSecurityAIliance)在 2009 年发布了云计6算安全实施指南,其中将云服务的安全措施划分为管制类和操作类,落实到云数字档案馆的建设、实施和运营方面,可搭建档案云安全架构,对云终端用户恶意代码保护,档案云整体监管(合规性、状态与事件监控) ,实现云中的数据安全、物理安全、网络安全、应用安全、虚拟化安全的管理,通过第三方机构认证和监管,保证档案云的安全运行。主要风险防范策略包括: (1)档案云整体监管。这是档案云安全架构最顶层的管理,主要完成基于档案行业特点的安全规划、安全策略、安全运营机制、风险管理框架、合规审计策略、监控告警策略等设计
12、,以及相关的安全措施和指南,对物理资源、网络资源、虚拟资源的动态监测、事件报警,档案用户虚拟机健康状态显示进行全面监控。 (2)档案云合规性控制。定义与合规性和审计相关的流程,确定档案云提供商与档案用户在满足合规和审计过程中的责任,通过合同、服务等级协议清晰表达双方责任的划分,确保整个档案云系统遵循必要的协议。引入具备很好公信力的第三方审计机构,对整个档案云安全架构进行认证。 (3)档案数字资源生命周期管理。主要是档案数据的全过程管理,包括档案数字资源的访问控制、加密方式、验证档案数据在生命周期(采集、传输、管理、保存、销毁)各阶段的安全性,以及档案用户对自身数据安全管理的控制机制。 (4)档
13、案用户身份和访问控制的管理。用于认证与授权档案云用户进入系统和访问数据的权限,保护档案数字资源或应用免受非授权访问。7(5)云数字档案馆安全制度规范制定。全员动员,建立云数字档案馆安全运营机制,从安全组织体系、人员分工与职责、工作流程、操作性手册、人员安全培训、安全跟踪审计、奖惩等方面,加强安全管理,提高人员安全意识。 (6)虚拟化安全管理。档案云服务商在保证不同虚拟层次上的安全性具有更大的责任,需要划分不同的安全区域供档案用户选择,加强区域边界的安全措施,保证暴露在外的访问 Web 接口安全控制,提高虚拟机引擎的安全能力。 (7)档案云的安全核心技术合理选择。用户认证、授权技术、海量数据分布
14、存储、多租户隔离技术、分布式锁服务以及负载均衡等技术,都是云数字档案馆实施安全监控的关键技术,需要合理选择和正确使用。(8)档案信息化人才培养。档案人员作为终端用户需要进行安全意识和操作培训,确保终端用户主机安全、密码安全、应用安全的基础上,保障云数字档案馆的安全。 总之,秉承“安全即服务” ,是数字档案馆建设、实施、运营和持续发展的重要保障,是需要在云数字档案馆规划、设计阶段进行充分的论证、研究和分析,需要在系统建设的各个阶段、系统作用的各个层次和运行维护的各个时期进行高度重视和检查,需要在云开发商、云集成商、云运营与维护以及使用云的各方利益相关者之间建立广泛的共识,才能最终达成良性的、可靠的安全云生态系统,这是云数字档案馆能够落地8实施和得以广泛应用的基础。
