[基于SLA的图书馆云服务参与方的信任管理]社会力量参与图书馆
摘 要:安全问题一直是云计算研究的焦点问题。随着云计算的广泛应用,安全问题更为突出。从某种程度上来说安全问题是信任问题的一种体现。文章从图书馆信息服务参与方的角度对这些由安全问题引发的信任问题进行了分析研究,并通过制定服务等级协议(SLA)的条款来保证信息的安全,从而缓解由安全引发的信任问题。
关键字:云计算 图书馆 安全 信任 服务等级协议
中图分类号: G250.7 文献标识码: A 文章编号: 1003-6938(2012)04-0016-051 引言
云计算所表现出的经济效益和社会效益使其应用的广度和深度不断扩展。然而安全问题一直困扰着云计算的发展,正慢慢地突出为削弱云计算创造巨大价值的力量。先后发生的一些事件也强化了人们担心的理由,如Google先后在2009年和2010年分别发生文档错误共享[1];社交网络Buzz泄漏用户好友隐私以及多次宕机事件;微软的云计算平台Windows Azure在2009年3月出现服务中断导致用户数据丢失;Amazon在线计算服务的主要组件简单存储服务(S3)在2008年和2009年多次出现服务中断,并且其基于云计算的EC2(弹性计算云)服务在2009年先后被黑客攻击、 旁道攻击和僵尸网络攻击[2],等等。这些事件说明,若要有效地应用云计算,就必须正视其安全问题。随着云计算在图书馆领域的应用,结合云计算在图书馆应用的实际情况对其安全问题进行深入的研究和分析,将是十分必要的。但事物往往有其另一面,对安全问题的过分渲染,导致人们考虑是否采纳云计算时犹豫不决,甚至裹足不前。安全问题可以说是云计算的硬伤,但并不足以影响其优势的发挥。云计算安全问题的影响及严重程度是与因特网相当的,而因特网在社会生活的各个领域发挥着巨大的作用。但人们对云计算的态度似乎更谨慎,当把数据存储在云中时,即使得到安全的承诺,在采用时仍是忧心忡忡,这实际上是一个信任问题。
安全问题与信任问题在一定程度上可以相互转化。安全问题是信任问题的一种体现,安全问题主要表现在物质上,信任问题主要体现在精神上。关于云安全的信任问题,EMC信息安全事业部RSA CTO Bret Hartman发表了题为“可信云安全”的演讲,他强调讨论云计算的可信度的时候,要考虑三个重要问题:合规、控制和可视度[3]。从不同信息服务参与方的角度来看待信任问题,则不同参与方对信息的控制及可视度将有所不同。
2 云服务各参与方的信任问题
在云计算环境下,图书馆信息服务的参与方大致可分为网络服务提供(ISP)、通信服务提供(TSP)、云服务提供(CSP)、信息资源服务提供(IRSP,如各种商业引文索引资料库、开放存取2.1 网络服务提供方
网络服务提供方主要为图书馆提供因特网连接服务,并提供相应的网络保护和安全。
为了适应用户的弹性需求,支持云服务功能的虚拟机时常需要重新创建和迁移,这使得在迁移的过程中虚拟机相对容易受到攻击。同时,由于多台虚拟机可以运行在同一台物理机上,这就可能会造成虚拟机之间的信息泄露。另外,云计算中大量的虚拟机本身可能存在一些漏洞,难以绝对安全等。这些安全问题都需要网络提供方对图书馆给予保证,这样,才能在图书馆与网络服务提供方之间建立信任。换句话来说,网络服务提供方要保证图书馆信息服务的虚拟化安全。
2.2 通信服务提供方
在图书馆提供的信息服务中,通信服务主要负责信息的高效安全即时的传递。
云计算环境下,为确保图书馆的数据安全,对于敏感信息则通过数据加密与隔离来确保信息安全[4]。但在数据传输的途中,大量用户数据在共享云中很难做到数据的独立和互相隔离,这就需要通信服务提供方能确保信息的安全。只有当通信服务提供者能有效保证数据的安全,才能获得图书馆的信任,为图书馆的选择提供强有力的依据。
2.3 云服务提供商方
云环境下图书馆提供信息服务时,可利用专业云计算公司提供的各层次的云服务,其中最常用的是云计算平台。云计算平台为用户提供了更廉价、更强大的计算能力[5],然而云计算平台既不能识别用户的使用目的,也不能区分这一计算任务是否合法,并且,由于云计算大大提升了计算的效率和能力,这就给非法行为带来了便利(如利用云计算资源破译口令和系统密码)。故如果云计算使用不当,将对当前信息安全体系带来极大的冲击[6]。
云服务提供方提供服务的对象不是单一的(非唯一性),这就决定了大量客户数据共享云计算存储空间,即使采用数据加密方式也不能确保数据的绝对安全。当云平台发生数据灾难时,没有经过备份的数据和应用程序都可能会出现问题。因此,云服务提供方恢复用户丢失数据的能力及效率决定了图书馆信息服务可靠性。
另外,图书馆应当知道云服务提供商数据存储的具体地理位置。市场研究机构Gartner的云服务全球IT委员会曾对此发表声明说:“云用户有权知道提供商运营活动所在的司法管辖区内的法律规定。否则,如果云服务提供商将客户的数据存储或转移至国外,那么用户将在不知情的情况下要被迫遵守一些法律规定。”[7]这一点不仅对图书馆中的外文资源重要,对中文资源也同样重要。
因而从数据安全的角度来看,有必要在图书馆和云服务提供商之间建立一定的信任关系。
2.4 信息资源提供方
对信息资源提供商而言,他们要保证自己信息的可视度,即能够很清楚的知道到底他们的数据保护的多好,他们应该有证据来证明他们的数据得到了恰当的保护[3]。当图书馆使用云服务时,由于数据存储在云端,这就使得信息服务提供商必须考虑图书馆是否能保证自己提供的数据得到恰当的保护,比如,网络犯罪者的攻击、云服务提供商的资料外泄、可能出现的信息提供延误以及数据丢失等等,这些都有可能会给信息提供者的利益造成损失。信息提供者为了自身利益,如果他们不信任这个云或者图书馆没法使其相信他们提供的数据是安全的,那么他们就没法把数据中心转到云上,作为图书馆信息服务的一部分内容提供给图书馆。