圖1云服務(wù)模式
SAAS是指服務(wù)商基于web網(wǎng)絡(luò)提供軟件應(yīng)用的種服務(wù),以軟件為基礎(chǔ)使多個(gè)用戶共享���,用戶在交互運(yùn)用軟件的基礎(chǔ)上獲益���。SAAS運(yùn)用較成功的商業(yè)案例是Salesforce和Google Apps。PAAS指服務(wù)商為用戶提供個(gè)開發(fā)產(chǎn)品的平臺(tái)��,用戶利用平臺(tái)來檢測(cè)應(yīng)用程序���。這個(gè)平臺(tái)包括應(yīng)用設(shè)計(jì)及開發(fā)�����、對(duì)用戶的監(jiān)察和語義追蹤�����,目前較為典刑的PAAS平臺(tái)是Windows Azure���,F(xiàn)acebook等����。IAAS指基于Xen服務(wù)器建立統(tǒng)的API�,使用戶能夠通過APl運(yùn)行和控制部署多個(gè)虛擬機(jī)內(nèi)資源的種服務(wù)。用戶可以利用IAAS提供的軟硬件等基礎(chǔ)設(shè)施來開發(fā)滿足自身需求的產(chǎn)品或服務(wù)��,比如Amazon推出的EC2和S3��。
2.2云計(jì)算下電子文件管理概述
電子文件管理研究人員和檔案學(xué)者己經(jīng)開始關(guān)注云計(jì)算��,并從數(shù)字檔案館建設(shè)的角度探討了云計(jì)算技術(shù)給文檔管理帶來的便捷與機(jī)遇���。然而��,任何技術(shù)都有兩而性��,云計(jì)算在給電子文件管理帶來便捷的同時(shí)��,也帶來了巨大的挑戰(zhàn)��。
Brent.G指出云計(jì)算環(huán)境下電子文件存儲(chǔ)存在的問題��,即企業(yè)組織和機(jī)構(gòu)在利用SAAS時(shí)對(duì)文件存儲(chǔ)地點(diǎn)不知曉��,因此文件存儲(chǔ)位置的不確定性造成了難以預(yù)料一的風(fēng)險(xiǎn)�。Lawrence.W認(rèn)為云計(jì)算為解決電子文件的存儲(chǔ)提供了足夠大的空間���,但是��,在這個(gè)空間里能夠準(zhǔn)確高效地滿足用戶需求也應(yīng)該受到關(guān)注�����。囚此����,云計(jì)算環(huán)境下如何利用高效的搜索引擎安全檢索到所需文件也是影響向電子文件管理的重要因素之一���。Sourya從應(yīng)用主體—人的角度入手�,來闡釋云計(jì)算應(yīng)用中存在的數(shù)據(jù)風(fēng)險(xiǎn),他指出山特權(quán)人員引起的信息泄露將會(huì)給公司或企業(yè)帶來嚴(yán)重?fù)p失�。Donghee.S等人認(rèn)為云計(jì)算為傳遞個(gè)人文件信息提供了極大的方便,但是如果缺乏對(duì)這些電子文件的管理或者是管理時(shí)小注意云計(jì)算自身存在的漏洞���,將會(huì)導(dǎo)致個(gè)人電子文件泄密甚至丟失����。2008-2009年山“信息管理與信息組織”(AIIM)組織的一項(xiàng)調(diào)查顯示����,在澳大利亞77%的機(jī)構(gòu)叫能是出于信任機(jī)制問題而小愿意使用公共云。2010年��,盛拓公司對(duì)中國的云計(jì)算情況進(jìn)行了調(diào)查�,調(diào)查內(nèi)容主要包括六大部分,其調(diào)查報(bào)告指出關(guān)于云計(jì)算利用中存在的問題主要涵蓋一七個(gè)方而�,詳見表1所示
3.云計(jì)算環(huán)境下電子文件管理而臨的挑戰(zhàn)及對(duì)策
通過上文分析國際上近年來對(duì)云計(jì)算管理問題的研究,并考慮到文檔管理工作時(shí)的應(yīng)用�,筆者認(rèn)為云計(jì)算環(huán)境下文檔管理存在的問題主要有如下幾項(xiàng):
3.1標(biāo)準(zhǔn)、規(guī)范問題及對(duì)策
3.1.1存在問題
表1云計(jì)算利用中存在的主要問題
目前在歐美發(fā)達(dá)國家��,針對(duì)個(gè)人數(shù)據(jù)安全和國家層而上的數(shù)據(jù)安全,己經(jīng)有了相關(guān)的法律和政策�,如《隱私權(quán)法》、《聯(lián)邦數(shù)據(jù)保護(hù)法》�、《數(shù)據(jù)保護(hù)法》等。盡管這些發(fā)達(dá)國家的信息保護(hù)法律法規(guī)己經(jīng)相當(dāng)完備���,但是在云計(jì)算環(huán)境下�,對(duì)電子文件管理的標(biāo)準(zhǔn)法規(guī)還沒有出現(xiàn)�����,云計(jì)算環(huán)境中數(shù)據(jù)遭受侵犯的事件一旦發(fā)生���,將會(huì)使得現(xiàn)存法律的完備性遭到質(zhì)疑��。沒有共同的行業(yè)標(biāo)準(zhǔn)�����,云計(jì)算服務(wù)商對(duì)軟件和硬件開發(fā)各自從自己的角度和優(yōu)勢(shì)著手,勢(shì)必會(huì)造成文件形成時(shí)格式的混亂及收集信息的冗雜����。
3.1.2應(yīng)對(duì)措施
筆者認(rèn)為,云計(jì)算環(huán)境下要高效優(yōu)質(zhì)地管理電子文件,首要解決的問題就是電子文件管理方面的法律問題��,只有構(gòu)建了法律規(guī)范���,才能夠推動(dòng)云環(huán)境下電子文件管理良好地開展�����。通過對(duì)云計(jì)算相關(guān)政策的研究�����,在文檔管理工作中促成相關(guān)的管理章程出臺(tái)��,檔案行政管理機(jī)構(gòu)也應(yīng)該制定出可以推行的標(biāo)準(zhǔn)�����,保證云計(jì)算技術(shù)的實(shí)施符合文檔管理和服務(wù)的要求�。
另外�����,國家在制定云計(jì)算管理政策時(shí)�,應(yīng)當(dāng)將文件管理人員和檔案管理人員納入到云計(jì)算體系設(shè)計(jì)中��,使文件管理人員積極參與了解并學(xué)習(xí)云計(jì)算的相關(guān)技術(shù)和工作原理��,與信息技術(shù)人員合作制定文件管理方案�。同時(shí)制定相關(guān)的管理指南����,作為云計(jì)算環(huán)境下確定文件保管期限的依據(jù),對(duì)于有永久保存價(jià)值的文件和數(shù)字檔案����,在托管到服務(wù)商時(shí),應(yīng)簽訂協(xié)議��,以明確文件捕獲�、保管、存儲(chǔ)�、遷移的責(zé)任,特別是還要制定對(duì)文件和代理服務(wù)器遷移到其他環(huán)境進(jìn)行定期檢測(cè)的使用說明����,以確保文件保持可遷移狀態(tài)�,保證文件的可讀性和可用性。最后��,需要制定可靠有效的文件管理政策來解決文件的遷移問題, 同時(shí)確保數(shù)據(jù)的可訪問性���。在用戶層面上��,國家或檔案管理機(jī)構(gòu)要積極推廣和傳播文件管理政策����,使用戶在使用云計(jì)算資源時(shí)對(duì)文件和數(shù)字檔案管理有所了解����,以保證文檔的合理使用。
3.2文件安全存儲(chǔ)問題及對(duì)策
3.2.1文件安全存儲(chǔ)和處置問題
云計(jì)算數(shù)據(jù)存儲(chǔ)服務(wù)是以分布式網(wǎng)絡(luò)��、伸縮性存儲(chǔ)����、虛擬化技術(shù)為基礎(chǔ)的,數(shù)據(jù)可能存儲(chǔ)在網(wǎng)絡(luò)上任何一個(gè)節(jié)點(diǎn)��,其數(shù)據(jù)存儲(chǔ)位置不確定�、存儲(chǔ)邊界模糊、數(shù)據(jù)共享存儲(chǔ)等特點(diǎn)也帶來數(shù)據(jù)安全風(fēng)險(xiǎn)�。比如谷歌和微軟云每年都會(huì)出現(xiàn)登陸中斷現(xiàn)象,這種中斷影響到數(shù)據(jù)傳輸����,使大量電子文件不能及時(shí)發(fā)揮現(xiàn)行效用���。這些故障影響到文件利用服務(wù)的開展,進(jìn)而影響到云計(jì)算在文檔管理領(lǐng)域的進(jìn)程��。
云服務(wù)是基于互聯(lián)網(wǎng)發(fā)展起來的一項(xiàng)服務(wù)���,不可避免地要承受來自互聯(lián)網(wǎng)的一系列攻擊���,比如惡意代碼、網(wǎng)絡(luò)病毒�、木馬、賬戶盜用等�����,托管云服務(wù)的企業(yè)內(nèi)部員工若經(jīng)常登錄社交網(wǎng)絡(luò)很可能就會(huì)使公司托管到云中的數(shù)據(jù)遭到攻擊�,這種攻擊可能會(huì)使文件內(nèi)容信息遭到更改,進(jìn)而導(dǎo)致電子文件“失真”�。在企業(yè)或組織中,對(duì)托管在云中的電子文件同樣非常擔(dān)憂��。根據(jù)201 1年企業(yè)云服務(wù)應(yīng)用調(diào)查顯示閻:在美國25%的公司表示在利用云計(jì)算后更加關(guān)注數(shù)據(jù)安全問題�����。在新加坡和巴西���,對(duì)云計(jì)算數(shù)據(jù)安全的擔(dān)憂高達(dá)47%和53% ���。
另外,在電子文件存儲(chǔ)方面���,云計(jì)算存儲(chǔ)的文件信息是浩瀚的����,這些信息都是通過云平臺(tái)上的信息獲取軟件隨時(shí)抓取過來的��,正因如此�����,云存儲(chǔ)的文件信息比較廣泛全面�。但是,對(duì)于檔案管理而言�����,并不是每片信息都具有保管價(jià)值,雖然在云計(jì)算中有重復(fù)數(shù)據(jù)刪除技術(shù)能夠刪除冗余的信息�,然而,云計(jì)算缺少文件鑒定的程序功能使得云環(huán)境中的文檔處置存在一定的風(fēng)險(xiǎn)�����,在沒有鑒定的情況下數(shù)據(jù)一旦刪除��,將會(huì)給文件和檔案用戶的檢索利用和資源選擇帶來不便��。
云計(jì)算環(huán)境下文檔信息數(shù)據(jù)的安全對(duì)國家和檔案管理機(jī)構(gòu)非常重要��。文件和檔案獨(dú)有的政治性及保密性�,對(duì)信息的存儲(chǔ)安全要求很高,而且在文件未開放的期間文檔利用者也有特定的限制�,無論是文檔內(nèi)容信息數(shù)據(jù)、用戶數(shù)據(jù)還是流通數(shù)據(jù)一旦丟失����,后果將是不堪設(shè)想。對(duì)于數(shù)字檔案館稀有檔案信息和特色信息數(shù)據(jù)的泄漏或丟失��,更會(huì)讓文檔管理工作者對(duì)云計(jì)算技術(shù)望而卻步����。
3.2.2應(yīng)對(duì)策略
第一��,檔案因其特定的保密性�����,需要在管理中加強(qiáng)保管,以保護(hù)檔案的信息和宴體安全�。在云環(huán)境中,可以采用加密技術(shù)比如加密存儲(chǔ)�、虛擬局域網(wǎng)、網(wǎng)絡(luò)中間層(如防火墻����、過濾器),對(duì)具有重大價(jià)值和影響的文件和檔案進(jìn)行保管���。
第二����,對(duì)于文件的真實(shí)性和可審計(jì)性�,可以增加一個(gè)審計(jì)層作為一個(gè)虛擬客戶操作系統(tǒng)(虛擬應(yīng)用環(huán)境)沒有權(quán)限的附加層,需要指出的是在云環(huán)境下的審計(jì)主要是指內(nèi)容審計(jì)����,它主要是指對(duì)影響云環(huán)境文件安全的相關(guān)因素進(jìn)行記錄����、識(shí)別和分析��。審計(jì)層就是云環(huán)境中的“監(jiān)察機(jī)構(gòu)”�����,它能夠記錄用戶訪問數(shù)據(jù)庫過程的一切信息��,對(duì)網(wǎng)絡(luò)進(jìn)行動(dòng)態(tài)監(jiān)控��。
第三�����,根據(jù)檔案機(jī)構(gòu)的實(shí)際情況����,建立適合自身需要的云計(jì)算文檔管理模式,這個(gè)模式不僅要能夠根據(jù)需求任意地增大或縮減比例����、滿足程序與資源管理的可測(cè)性����,而且還要滿足數(shù)據(jù)的穩(wěn)定性�����、高獲得性等有關(guān)期望�����。
3.3信息隱私問題及對(duì)策
3.3.1隱私問題
在云環(huán)境下�����,用戶把信息傳到云服務(wù)器上后����,就很難對(duì)數(shù)據(jù)信息進(jìn)行方便的控制�����,而這些數(shù)據(jù)對(duì)服務(wù)商而言�����,卻是透明的,服務(wù)商可以隨時(shí)隨地對(duì)數(shù)據(jù)進(jìn)行處理;同時(shí)在開放云環(huán)境中很難控制特權(quán)訪問人員泄露數(shù)據(jù)的風(fēng)險(xiǎn)�����。云計(jì)算的這種服務(wù)模式對(duì)用戶的信息隱私造成極大的風(fēng)險(xiǎn) �。H·Katzan·Jr指出云計(jì)算環(huán)境下信息的應(yīng)用首先應(yīng)該注意信息的安全和用戶的信息隱私問題,其中最關(guān)鍵的是用戶的屬性信息(如年齡�����、性別����、種族)及用戶在網(wǎng)上活動(dòng)的信息應(yīng)受到保護(hù)㈣。最鮮明的例子是美國《愛國者法案》規(guī)定的條款所引起的風(fēng)波��,由于美國有世界上三大云計(jì)算中心��,這些云計(jì)算中心成為加拿大和歐盟大型企業(yè)數(shù)據(jù)托管的重要基地���。但是美國《愛國者法案》規(guī)定聯(lián)邦調(diào)查局可以進(jìn)入任何一個(gè)“云” 調(diào)查數(shù)據(jù)�����,出于對(duì)隱私信息的保護(hù)���,國外媒體報(bào)道稱歐盟將封殺美國云計(jì)算服務(wù)商��,以保證數(shù)據(jù)的安全和國家隱私�。
傳統(tǒng)的文件管理很注重文件的信息隱私���。通常把文件分為內(nèi)部文件和外部文件���,機(jī)密文件和絕密文件。但是云計(jì)算提供了一個(gè)開放的電子文件管理環(huán)境���,內(nèi)部文件和外部文件的劃分也日趨模糊��,導(dǎo)致電子文件的隱私遭到各方面的挑戰(zhàn),所以基于新技術(shù)的個(gè)人信息如博客�、電子郵件都應(yīng)受到規(guī)范的文件管理,來確保云環(huán)境下的文件信息安全��。
另外��,給電子文件管理帶來的挑戰(zhàn)還來自用戶登錄數(shù)據(jù)庫時(shí)的身份認(rèn)證方面存在漏洞�����。云基礎(chǔ)設(shè)施依賴web通過利用SSL表來創(chuàng)建和管理用戶的賬戶信息,并且允許用戶重新設(shè)置密碼��,但是新的密碼會(huì)通過一個(gè)不安全的電子郵件傳遞給用戶����,用戶一般單點(diǎn)登錄就能夠輕松登錄云服務(wù),訪問多個(gè)數(shù)據(jù)中心��,這樣很難確認(rèn)訪問人員的真實(shí)身份�。換句話說,云環(huán)境下用戶在很容易地利用電子文件的同時(shí)也會(huì)侵犯到個(gè)人的隱私����。所以,在管理電子文件時(shí)應(yīng)該制定規(guī)則來預(yù)防電子文件泄密事件的發(fā)生�,保證電子文件的信息安全。
3.3.2應(yīng)對(duì)措施
解決電子文件數(shù)據(jù)隱私風(fēng)險(xiǎn)的對(duì)策主要有IAM(身份和訪問管理)和隱私保護(hù)系統(tǒng)���。IAM 是最主要的應(yīng)對(duì)策略�����,主要涉及用戶身份建立和注銷���、認(rèn)證�����、聯(lián)合身份管理以及授權(quán)和用戶檔案管理 �。通過SAML(安全斷言標(biāo)記語言)實(shí)現(xiàn)SSO(單點(diǎn)登錄)功能���,可以完成對(duì)云用戶的安全集成管理和訪問控制�����。SSO實(shí)現(xiàn)云平臺(tái)多應(yīng)用程序的用戶集成管理���,通過持續(xù)動(dòng)態(tài)地維護(hù)用戶信息中心,確保用戶身份的真實(shí)可靠;而SAML又可以確保管理系統(tǒng)中不同安全域(服務(wù)提供商和身份提供商)交換認(rèn)證和授權(quán)數(shù)據(jù)過程中的安全通信���,其中服務(wù)提供商可以是Google Apps���、Azure�����、AmazonEC2等云服務(wù)平臺(tái)�,身份提供商可以是統(tǒng)一的用戶檔案數(shù)據(jù)中心���。另外,為了防止用戶非正常登陸����,系統(tǒng)還應(yīng)該記錄下“是誰登陸”、“何時(shí)”�����、“從伺地登陸”��、“執(zhí)行了什么活動(dòng)”���、“訪問了什么數(shù)據(jù)”等用戶歷史行為����。不僅可以方便用戶賬戶管理���,還可以實(shí)現(xiàn)用戶的自助服務(wù)�����,確保身份的真實(shí)性�����。
3.4第三方審計(jì)問題及對(duì)策
雖然云服務(wù)商控制用戶的數(shù)據(jù)���,但是對(duì)數(shù)據(jù)的安全并不負(fù)責(zé)�����,一旦數(shù)據(jù)存在安全問題�。風(fēng)險(xiǎn)只能用戶自己承擔(dān)�,這將會(huì)給用戶帶來困擾,所以��,第三方審計(jì)工作亟待建立和完善�。如果云服務(wù)商符合一些監(jiān)管安全的要求并受到外部審計(jì)和第三方認(rèn)證的約束,將會(huì)保證云內(nèi)的電子文件長期真實(shí)性和可存取性���,電子文件的憑證價(jià)值才能有所保證��。
基于這個(gè)問題�,電子文件管理部門在向云服務(wù)商托管電子文件的時(shí)候��,應(yīng)該與服務(wù)商達(dá)成協(xié)議�,共同受第三方的審計(jì)。電子文件管理部門和云服務(wù)商可以從以下幾方面來考慮:
(1)法規(guī)團(tuán)隊(duì)���。云服務(wù)商的服務(wù)標(biāo)準(zhǔn)條款可能無法滿足用戶或?qū)徲?jì)方的法規(guī)遵從需求���,因此,法規(guī)人員應(yīng)盡早與服務(wù)商協(xié)作�,參與到服務(wù)商規(guī)章的制定活動(dòng)中,以保證其條款符合審計(jì)和遵從要求����。可見相應(yīng)的法規(guī)團(tuán)隊(duì)對(duì)服務(wù)商滿足審計(jì)和法規(guī)遵從要求有極大的促進(jìn)作用����。
(2)分析法規(guī)遵從范圍。制定法規(guī)時(shí)�,分析所要遵從的法規(guī)是否與給定的云服務(wù)有所沖突有極大的必要性,其可以保證制定的法規(guī)具有基本的適用性�。
(3)審計(jì)人員的資格與選擇。在許多情況下�����,云服務(wù)商沒有選擇審計(jì)機(jī)構(gòu)的權(quán)利,但是如果服務(wù)商對(duì)審計(jì)機(jī)構(gòu)的選擇具有一定的發(fā)言權(quán)將會(huì)對(duì)審計(jì)工作帶來一定的益處�,因?yàn)椴⒉皇撬械膶徲?jì)機(jī)構(gòu)都熟悉云服務(wù)的業(yè)務(wù)結(jié)構(gòu)。在公開可控的范圍內(nèi)���,允許服務(wù)商選擇熟悉自己業(yè)務(wù)結(jié)構(gòu)的審計(jì)機(jī)構(gòu)可以在很大程度上取得服務(wù)商的審計(jì)支持���。
(4)服務(wù)商法規(guī)遵從。云服務(wù)商對(duì)平臺(tái)數(shù)據(jù)和設(shè)施具有決定的控制權(quán)�����,因此���,云服務(wù)商自身及內(nèi)部人員的控制顯得尤為重要�����。耍滿足云服務(wù)安全性要求��,服務(wù)商必須制定保障平臺(tái)安全和約束內(nèi)部人員的規(guī)章制度��,并控制內(nèi)部人員嚴(yán)格遵守法律法規(guī)����、制度和流程要求。
(5)提供法規(guī)遵從證據(jù)�。收集眾多管理法規(guī)和要求的法規(guī)遵從性證據(jù)是一項(xiàng)艱巨的任務(wù)�。云服務(wù)的客戶和審計(jì)機(jī)構(gòu)應(yīng)該開發(fā)一定的流程來收集和存儲(chǔ)法規(guī)遵從性證據(jù),包括審計(jì)日志和活動(dòng)報(bào)告���,以及系統(tǒng)配置�����、管理報(bào)告更改和其它測(cè)試程序輸出的副本�����。同時(shí)�����,云服務(wù)商也應(yīng)該有提供法規(guī)遵從性證據(jù)的義務(wù)�����。
4.結(jié)語
綜上�����,本文結(jié)合國內(nèi)外文獻(xiàn)概括總結(jié)了云計(jì)算環(huán)境下的電子文件檔案管理中存在的問題��。云計(jì)算作為新興的技術(shù)���,在其巨大的優(yōu)勢(shì)下面��,也存在難以避免的問題���。文檔管理工作在合理利用云計(jì)算等社會(huì)媒體優(yōu)勢(shì)的情況下,要更加注重對(duì)云計(jì)算本身存在的缺陷進(jìn)行研究�����。同時(shí)����,不同類型的檔案館(室)和文件管理機(jī)構(gòu)要根據(jù)自身特點(diǎn)合理選擇“云”的模式,可以根據(jù)機(jī)構(gòu)的地域特點(diǎn)�、收藏特色等選擇適合自己的“云”。還應(yīng)該注意到�,云計(jì)算能在文檔管理工作中應(yīng)用的關(guān)鍵不僅是技術(shù),更重要的是文件和檔案行政管理機(jī)構(gòu)的組織和管理作用��,完善的標(biāo)準(zhǔn)��、規(guī)范,跨學(xué)科的管理方法����,靈活的技術(shù)運(yùn)用及高素質(zhì)的人才支撐,將會(huì)是云環(huán)境下文檔管理逐步形成���、發(fā)展和完善的必備條件。所以�,利用云計(jì)算技術(shù)優(yōu)勢(shì),改變傳統(tǒng)的文檔管理意識(shí)�,避免云計(jì)算的缺陷,取長補(bǔ)短��,這才能推動(dòng)社會(huì)媒體新環(huán)境下文檔工作的順利開展��。
