數(shù)字圖書館云存儲技術(shù)服務(wù)安全問題探討

盧敬芳

關(guān)鍵詞：數(shù)字圖書館;云存儲技術(shù);服務(wù)安全;策略

摘?要：信息時代，圖書館數(shù)字化發(fā)展成為必然趨勢，云存儲技術(shù)融入圖書館管理帶動了圖書館數(shù)字化轉(zhuǎn)型的推進和創(chuàng)新管理體系的建構(gòu)，云存儲技術(shù)在圖書館的創(chuàng)新應(yīng)用也促進了圖書館館藏資源的優(yōu)化整合、資源的優(yōu)化配置和信息的高效共享。而圖書館在利用云存儲技術(shù)的同時，也不能忽略對其服務(wù)安全問題的關(guān)注。文章主要探討了數(shù)字圖書館云存儲技術(shù)的服務(wù)安全問題，以期更好地推動圖書館的數(shù)字化建設(shè)與發(fā)展。

中圖分類號：G250文獻標識碼：A文章編號：1003-1588（2019）02-0112-02

云存儲技術(shù)作為云圖書館的核心技術(shù)，在數(shù)字圖書館的應(yīng)用更為廣泛，其通過集群應(yīng)用、網(wǎng)絡(luò)技術(shù)、分布式文件系統(tǒng)等，實現(xiàn)了大量不同類型存儲設(shè)備的協(xié)同工作和數(shù)字圖書館的高效數(shù)據(jù)存儲與業(yè)務(wù)訪問。云儲存技術(shù)在數(shù)據(jù)存儲方面也有自身局限性，主要體現(xiàn)在安全性方面，因此，開展數(shù)字圖書館云存儲技術(shù)服務(wù)安全問題的探討具有現(xiàn)實必要性。

1?云存儲技術(shù)在數(shù)字圖書館應(yīng)用中的優(yōu)勢

1.1?降低圖書館數(shù)據(jù)存儲的成本

數(shù)據(jù)信息是圖書館館藏資源的基礎(chǔ)，數(shù)據(jù)信息的存儲力求完整、準確和安全，需要較大的成本投入。傳統(tǒng)的圖書館數(shù)據(jù)存儲需要專門的存儲空間或存儲設(shè)備，耗時耗力，需要人工操作及輔助管理，成本投入較大。而云存儲技術(shù)具有成本低的優(yōu)勢，其面向圖書館的用戶提供以網(wǎng)絡(luò)為基礎(chǔ)的存儲服務(wù)，屬于典型的在線存儲模式。圖書館用戶享有部分云存儲集群的使用便利，只需要通過網(wǎng)絡(luò)接口或輔助軟件就可以獲得相應(yīng)的存儲支持和訪問指導，無需配套的輔助設(shè)施，也省去了圖書館后期對輔助設(shè)施的安裝與維護投入，數(shù)據(jù)完整且有容災(zāi)備份，大大降低了圖書館數(shù)據(jù)存儲的成本。

1.2?提升數(shù)據(jù)存儲的安全穩(wěn)定性

數(shù)字圖書館引入云存儲技術(shù)，其分布式的存儲模式提升了數(shù)據(jù)存儲的安全性與穩(wěn)定性，一份數(shù)據(jù)可以多份備份，輔助以數(shù)據(jù)加密技術(shù)可以限制數(shù)據(jù)的訪問權(quán)，僅授權(quán)給特定用戶，身份驗證提升了數(shù)據(jù)使用的安全性。云存儲技術(shù)具備容災(zāi)性能，數(shù)據(jù)備份可以避免數(shù)據(jù)的損毀與遺失，確保云存儲自身的安全性與穩(wěn)定性。數(shù)字圖書館云存儲技術(shù)的成熟運用，可以有效應(yīng)對用戶突然增多、訪問量激增的特殊情況，云存儲的分布式存儲系統(tǒng)可以有效分擔存儲和訪問的壓力，避免數(shù)字圖書館系統(tǒng)的癱瘓，帶動數(shù)據(jù)存儲安全性能和穩(wěn)定性能的顯著提升。

1.3?帶動數(shù)據(jù)資源的傳播與共享

數(shù)字圖書館的創(chuàng)新發(fā)展力求實現(xiàn)共享數(shù)據(jù)平臺的打造，數(shù)據(jù)資源的傳播與共享使圖書館館藏資源流動起來，提升了數(shù)據(jù)信息的利用率。傳統(tǒng)的數(shù)據(jù)存儲模式相對靜態(tài)，數(shù)據(jù)資源的存儲被局限在固定的空間，限制了數(shù)據(jù)資源的傳播與共享。信息時代，讀者訴求更為多元，數(shù)據(jù)資源傳播共享的需求更為迫切，基于云存儲技術(shù)并以互聯(lián)網(wǎng)為依托，符合權(quán)限的讀者可以不受物理空間的限制自由訪問資源、傳播資源，帶動數(shù)據(jù)資源的傳播共享，提升圖書館的讀者滿意度。

2?數(shù)字圖書館云存儲技術(shù)服務(wù)安全問題

2.1?來自不安全接口的安全威脅

云存儲技術(shù)優(yōu)勢的發(fā)揮需要通過標準接口和API加以執(zhí)行，因此接口的安全性決定了數(shù)據(jù)存儲的安全度，也影響到云存儲管理、圖書館業(yè)務(wù)流程和配置建設(shè)等。API涉及多個方面，從云用戶身份的認證、訪問控制和加密到用戶行為的監(jiān)督等。當前，云服務(wù)提供商只關(guān)注將云圖書館存儲業(yè)務(wù)遷移到云，忽略了接口和API應(yīng)用程序編程接口的安全性分析，對數(shù)據(jù)安全造成了一定的威脅。

2.2?數(shù)據(jù)傳輸存儲中的安全威脅

網(wǎng)絡(luò)是圖書館云存儲技術(shù)數(shù)據(jù)存儲與傳遞的主要通道，網(wǎng)絡(luò)的安全性與穩(wěn)定性對數(shù)字圖書館數(shù)據(jù)存儲的安全性有著直接影響。云數(shù)據(jù)在數(shù)字圖書館存儲及傳輸?shù)倪^程中，需要通過不同類型的網(wǎng)絡(luò)，但不同網(wǎng)絡(luò)的性能和安全標準不同，一旦出現(xiàn)網(wǎng)絡(luò)惡意攻擊將直接導致云服務(wù)的中斷、數(shù)據(jù)的損毀或遺失、信息的被竊取及篡改等。因此，圖書館必須重視云圖書館數(shù)據(jù)傳輸與存儲設(shè)施的安全威脅，做好云數(shù)據(jù)存儲物理空間的有效劃分，確保數(shù)據(jù)的完整與安全，做好網(wǎng)絡(luò)傳輸中的數(shù)據(jù)加密工作。此外，圖書館對存儲設(shè)施的安全關(guān)注也必不可少。

2.3?云存儲服務(wù)商信用安全風險

數(shù)字圖書館所采用的云存儲技術(shù)多由服務(wù)商開發(fā)，并擁有所有權(quán)，這意味著數(shù)字圖書館在使用云存儲技術(shù)進行數(shù)據(jù)存儲管理時，面臨第三方的信用風險威脅。數(shù)字圖書館的信息資源數(shù)據(jù)存儲在公共云上，無法保證云服務(wù)商在得到數(shù)據(jù)時會嚴格遵守規(guī)定，確保數(shù)據(jù)的安全。雖然為了規(guī)避云存儲服務(wù)商信用安全風險，圖書館與云服務(wù)商簽訂了協(xié)議，明確規(guī)定數(shù)據(jù)未經(jīng)授權(quán)與許可，不得使用、破壞、刪除及泄露等，但多數(shù)協(xié)議中并不承諾對任何數(shù)據(jù)泄密事件及被破壞行為承擔法律責任，這也意味著云存儲服務(wù)商信用安全風險無法徹底規(guī)避，從而影響數(shù)字圖書館的數(shù)據(jù)安全。

2.4?知識產(chǎn)權(quán)保護方面的風險

信息時代，知識為王，公民的知識產(chǎn)權(quán)保護意識不斷強化，數(shù)字圖書館的知識產(chǎn)權(quán)問題基于云存儲技術(shù)也有了新特征，會涉及一定的知識產(chǎn)權(quán)風險問題。一般來說，圖書館自主購買云存儲技術(shù)，將本館的數(shù)據(jù)信息交給云存儲提供商，負責數(shù)據(jù)的托管與保存?；诶碚搶用?，圖書館應(yīng)該享有被托管數(shù)據(jù)的完全知識產(chǎn)權(quán)，而在實際操作中，云存儲服務(wù)商會進行數(shù)據(jù)的整合、挖掘、分析和利用，現(xiàn)有的知識產(chǎn)權(quán)保護法律無法有效界定其產(chǎn)權(quán)歸屬。對于數(shù)字圖書館來說，知識產(chǎn)權(quán)保護方面的風險不容小覷。

3?數(shù)字圖書館云存儲技術(shù)安全威脅的應(yīng)對

3.1?用戶身份驗證，強化訪問控制

對于數(shù)字圖書館安全存儲建設(shè)來說，驗證用戶身份可以達到訪問控制的目的，有效提升數(shù)據(jù)存儲的安全性。云存儲服務(wù)訪問控制有認證和授權(quán)兩個方面，分別對應(yīng)身份鑒別和權(quán)限判定。身份鑒別就是圖書館用戶向云存儲服務(wù)提交身份認證請求，云存儲服務(wù)收到請求后，根據(jù)用戶分配的密鑰和標識進行讀者身份的鑒別。讀者訪問云存儲服務(wù)時，會先生成請求報文，利用密鑰采用某種HMAC方式對請求報文進行簽名，簽名、訪問密鑰及標識附加到報文中，云存儲服務(wù)基于這些信息進行匹配驗證。而權(quán)限判定則是圖書館云存儲服務(wù)在完成對用戶的驗證后，進一步驗證該讀者是否有進行所請求操作的權(quán)限，經(jīng)權(quán)限判定認可后的讀者才可以進行相應(yīng)的操作。云存儲服務(wù)還可以通過對用戶進行授權(quán)并實施授權(quán)控制，實現(xiàn)用戶的優(yōu)化管理。

3.2?開展數(shù)據(jù)加密，實時存儲監(jiān)控

云存儲優(yōu)勢的發(fā)揮和風險的規(guī)避需要置于云存儲的動態(tài)監(jiān)控之下。數(shù)字圖書館管理員對云服務(wù)商具備資源訪問及行為的監(jiān)控權(quán)，做好數(shù)據(jù)訪問行為和訪問內(nèi)容的監(jiān)控，并在監(jiān)控的同時做好數(shù)據(jù)的加密處理，不涉及敏感數(shù)據(jù)的應(yīng)用程序設(shè)置在云服務(wù)中，完成對云圖書館信息的詳細審計與跟蹤。數(shù)字圖書館應(yīng)加強對用戶桌面應(yīng)用程序與服務(wù)器的托管，發(fā)揮云端的計算能力，及時發(fā)現(xiàn)潛在威脅，做好病毒攻擊的防范與抵御。圖書館必須將一些安全級別要求較高的程序存放在安全系數(shù)高的圖書館私有云上，私有云對接到公有云基礎(chǔ)設(shè)施，確保云存儲系統(tǒng)得到有效的管控，為圖書館數(shù)據(jù)安全保駕護航。

3.3?強化行業(yè)標準，有效約束行為

數(shù)字圖書館必須制定行業(yè)標準，加強對云服務(wù)商的統(tǒng)一化管理。鑒于當前不同云服務(wù)商信用等級的差異和數(shù)據(jù)技術(shù)管理能力的差異等，圖書館必須制定行業(yè)標準，約束其行為，加強規(guī)范與引導，實現(xiàn)國家層級云服務(wù)商的監(jiān)管，并基于OASIS標準強化認證標準、數(shù)據(jù)加密標準、密鑰管理標準以及VM安全配置標準等，作為云安全領(lǐng)域發(fā)展的行業(yè)規(guī)范。標準制定的最終目的是實現(xiàn)現(xiàn)有安全技術(shù)和云計算的有效對接和融合，實現(xiàn)二者優(yōu)勢的互補。相關(guān)管理部門還應(yīng)基于開放、共享和標準的理念，針對云服務(wù)提供商建立不同的行業(yè)等級標準，加強云存儲商的行為管控和經(jīng)營約束，促進安全級別更高的數(shù)字圖書館云業(yè)務(wù)的有效開展。云服務(wù)商也必須加強對內(nèi)部雇員的管理、教育和引導，杜絕數(shù)據(jù)的泄露與信息竊取行為，以聘用合同明確雇員的法律責任和義務(wù)，一旦出現(xiàn)違反安全規(guī)定的必須交由司法機關(guān)追究其刑事責任。數(shù)字圖書館只有在法律制度的約束下，在行為規(guī)范的引導下，才能從社會大的層面建設(shè)云存儲的安全環(huán)境，確保數(shù)據(jù)安全。

3.4?關(guān)注知識產(chǎn)權(quán)，建立保護屏障

在應(yīng)對知識產(chǎn)權(quán)風險時，政府部門應(yīng)發(fā)揮輿論導向作用，加強道德宣傳教育，提升用戶的知識產(chǎn)權(quán)保護意識。圖書館必須創(chuàng)新技術(shù)手段，通過身份驗證和授權(quán)設(shè)計等方式達到知識產(chǎn)權(quán)保護的目的，堅持知識產(chǎn)權(quán)保護與公共利益相協(xié)調(diào)的原則，堅持知識產(chǎn)權(quán)保護與信息資源公共獲取相統(tǒng)一的原則，堅持程序節(jié)約和手續(xù)簡單化的原則，積極建構(gòu)公正、實用的運營模式和技術(shù)平臺，奠定云存儲信息資源共享的知識產(chǎn)權(quán)保護屏障。

參考文獻：

[1] 鄒晴楓.區(qū)域聯(lián)盟圖書館云計算服務(wù)中心的構(gòu)建：以溫州大學圖書館為例[J].圖書館理論與實踐，2014（6）：92-95.

[2] 張艷，潘吳斌.基于云存儲的圖書館海量數(shù)字資源存儲研究與設(shè)計[J].圖書館學研究，2012（15）：31-35，50.

[3] 馬曉亭.云計算環(huán)境下數(shù)字圖書館數(shù)據(jù)安全存儲架構(gòu)與策略研究[J].高校圖書館工作，2012（4）：71-73.

[4] 馬曉亭，陳臣.基于分布式存儲的數(shù)字圖書館云存儲安全架構(gòu)研究[J].圖書館理論與實踐，2012（4）：88-91，101.

（編校：崔?萌）