数字保存仓储系统认证的兴起、模型及实施

　　1 数字保存仓储系统认证缘起

　　随着数字资源的快速增长，对其存取和管理服务的可信任性要求也与日俱增。从本质上讲，数字资源从形式到内容都是容易改变的，也是最容易受到攻击的。保存时间越长，数字资源的可用性、真实性、完整性和可靠性所面临的挑战就越大。简单地说，数字保存仓储系统是存储数字资源的集合，并向用户提供各种形式的服务。数字保存仓储系统的基本价值在于其可信任性和存取数字信息的能力，确保数字资源的安全和真实，并有利于数字资源的各种利用。实现该目的的最有效方法就是对保存数字资源的仓储系统进行认证。由于仓储系统的建立和运行是由保存机构来实现的，所以，对其认证不仅仅包括系统性能和所存储数字资源的可信任性，还包括保存机构及其相关设施的可信任性。

　　对数字保存仓储系统认证的研究至少已有10年历史。早在1996年，受研究图书馆集团（RLG）和数字资源存取委员会（CPA）的委托，数字信息保存工作组（TFADI）在其着名的研究报告5保存数字信息6中论述到，/数字保存基础设施的关键因素之一是要有足够的值得信赖的数字保存机构对数字资源进行存储、迁移和存取。可信任保存机构不能自我鉴别产生，需要一个科学的认证过程来创建一个可信任的环境。0但在当时，认证引起了强烈的争议，因为业界很多人认为将严格的认证指标强加给正处于萌芽和形成阶段的数字保存仓储系统是非常勉强的，另外一个主要原因是当时几乎没有实际运行数字保存仓储系统的机构，所以该工作组停止了认证程序的细节制订。

　　然而，随着时间的推移，业界普遍认为数字资源的长期保存需要付出更多的代价、技能和资源。即使保存机构具有多年在保存非数字资源的良好信誉，但也不能断言，这些机构在长期保存数字资源方面值得信任。数字资源的保存风险是与生俱来的，保存机构必须通过对数字仓储系统的认证方可证明其具有保存数字资源可信任的能力。另外，各种数字化项目产生的数字资源快速增长，甚至出版商也广泛采用电子出版模式将其电子出版物的长期保存工作委托给专业保存机构，数字资源的安全和长期存取不仅来自于技术的挑战，也来自于保存机构的挑战，如基础设施、资金以及对利润的追求等。虽然数字保存增长迅速，但支撑这些数字仓储的系统大都缺乏确保数字资源可信任性的一些重要功能。实际上，已有很多有名的或无名的机构在提供数字保存服务，但具备5保存数字信息6中确定的长期保存管理条件者为数不多。

　　5OAIS参考模型6的出现使得数字保存仓储系统基础设施的构建得到进一步发展。该参考模型试图建立一个统一的数字资源长期保存所需的条件，并提供一个用来描述数字资源长期保存系统的共同环境、功能组件和数字对象。

　　实际上，5OAIS参考模型6在2002年作为ISO标准发布之前，许多数字保存机构就采用OAIS来设计数字保存仓储系统的基本框架。很多机构声称符合OAIS,并将其作为运行的数字保存仓储系统具有可信任性的参照点。但是，当时根本就不存在/符合OAIS0的确切定义，更谈不上对其进行测度的机制。

　　2002年， RLG和OCLC共同发表了5可信任数字保存仓储系统：属性和职责6,对于不同规模的文化和学术机构所运行的数字保存仓储系统的可信任性和可持续性进一步构建了一个属性和职责框架。这个框架非常宽泛，足以包容各种环境、技术基础和机构职责，为可信任的数字保存仓储系统提供了一个认证基础。该框架所建立的高级别的组织和技术属性以及所探讨的数字保存仓储系统的可能的认证模型，对保存机构非常实用，并可与OAIS结合一起作为数字资源保存规划的工具。这个认证框架比较全面地总结了数字保存仓储系统的特性，强调了对数字保存仓储系统进行认证的必要性，推荐了认证程序和审计指标。

　　2005年5月，研究图书馆中心（CRL）发布了5数字资源保存系统认证项目6,同年8月， RLG）NARA也联合发布了5数字保存仓储系统认证项目草案6.这两项成果不仅制订了认证标准，而且还制订了认证过程所采用的方法。

　　2 数字保存仓储系统认证模型

　　有很多方法可用来构建和维护一个可信任的数字保存仓储系统。有些情况下，由于它们的经历或名声，数字资源的保存者或服务提供者已经被认为是值得信任的。但在更多的情况下，数字资源的保存者没有处理数字资源足够长的历史，就必须采用一些新的方法来展示它们的能力和可靠性。一些机构，如国家图书馆，在传统环境中已经被广泛信任，那么一般的推理是，在数字环境下，它们也同样能够继续扮演这种角色。实际上，新的环境需要所有的参与者重新建立他们的可信任机制，但如何建立？这里有几个相关的问题：可信任状态一开始怎样构建？维持这种可信任状态需要什么？也许最重要的是，采用什么机制来核实可信任状态？一个数字保存仓储系统怎样断定其处于可信任状态？实际上，大多数可信任状态的实现都来自于过程的有效性。

　　一些着名的国际组织已经出台了数字保存仓储系统的一些认证模型，这些模型给出了认证指标体系，界定了指标的含义，描述了指标的获取与实施方法。虽然数字保存仓储系统的认证实践刚刚开始，但无疑这些模型的建立对认证工作的广泛实施起着不可低估的作用。5可信任数字保存仓储系统：属性和责任6报告详细描述了一个数字保存仓储系统实现可信任状态的认证模型。该模型包括的认证项目主要有：仓储系统符合OAIS参考模型、运行机构的管理职责和生存能力、运行仓储系统所需资金的可持续保障、构建和实施仓储系统的技术和程序的合适性与开放性、系统安全以及过程的可控制性等。该模型还对认证项目的实施提供了操作性较强的方法，包括：

　　建立明晰的和可具操作性的方针和程序、实施所有相关的安全标准（包括灾难性破坏的恢复标准）、仓储系统长期使命的明确定义、商业活动的促销策略与方法、合理的商业计划的支撑、开放型技术解决方案（包括软硬件）的采纳、所有保存活动的详细记录、用户需求的全面分析、元数据的合理且详尽析出、管理机制和服务质量测度的标准化等。

　　该模型还进一步界定了数字保存仓储系统可信任性认证的三个最基本层面：仓储系统运行机构怎样赢得目标用户的信任、仓储系统运行机构如何信任数字资源提供者和服务提供商、以及用户又怎样信任一个数字保存仓储系统提供的数字资源。RLG-NASA数字保存仓储认证工作组发布的5数字保存仓储系统认证项目草案6中所设计的认证模型将认证项目分为四个大部分，每个部分又包括若干个指标。

　　第一部分是有关仓储系统运行机构的指标，包括机构的数字保存能力、机构的结构与人员组成、保存程序与保存方针的框架结构、资金的可持续性支持、保存机构与相关主体（数字资源提供者、服务提供商等）之间的合约与产权许可等。第二部分是有关数字保存仓储系统性能的指标，包括数字资源内容收录标准、数字资源的保存管理方针、保存计划、长期保存策略（如数字迁移和数字仿真等）、各种类型的元数据管理、数字资源存取功能和存取安全管理。

　　第三部分是有关目标用户管理和数字资源利用的指标，包括用户情况及其需求的调研与记录、系统拥有能够满足用户需求的元数据状况、用户对数字资源存取活动的方针与实施的完整记录、系统拥有确保其数字资源获取和管理的可被用户理解的机制。第四部分是有关仓储系统技术基础设施的指标，包括符合ISO17799认证标准、保障数字信息安全与可信任的技术基础、拥有检测、报告、管理与恢复数字资源损坏的有效机制、定义存储介质迁移的方法与策略、构建和测试由技术环境改变所产生影响的评估机制、系统拥有合适的软硬件技术以实现其目标的能力、系统环境分析的能力、拥有充分实施所有安全需求的机制、拥有灾难性准备和恢复方案并对该方案进行定期测试等。该模型在界定数字保存仓储系统的基本属性方面代表了一个新的起点，同时也提出了一些基本问题，如，没有遵循OAIS的数字保存仓储系统能否被认为是可信任的？也许问题的答案取决于系统框架以及系统被信任的目的。德国网络信息计划（DINI）和数字资源长期保存专家网络系统（NELSDR）在构建数字保存仓储系统认证模型以及认证标准的研发方面也颇具特色，在业界具有一定影响。

　　另外，商业代理发起组织委员会（COSO）、信息与相关技术控制组织（COBIT）和IT基础设施图书馆（ITIL）也都设计了基于IT的数字保存仓储系统的认证模型，这些都可视为RLG-NARA认证模型的补充。其中， COSO支持机构互检，通过商业伦理、有效的内部控制和合作管理等手段强化资金支持报告的质量。COBIT是一个开放的标准化IT控制框架，具有完善的数字资源传播机制和相关技术管理机制。ITIL是COBIT框架性能的一个补充。这些认证模型以及所建立的指标体系虽然没有一个声称可以完全确保数字资源的长期有效保存，但它们的确在许多方面都有非常优秀之处。

　　除此之外，比较重要的还有一些相关标准：如质量保障标准（ISO9000系列）、信息安全标准（ISO17799: 2005）和数字资源管理标准（ISO15489: 2001）等。这些标准虽然没有直接给出数字保存仓储系统的认证模型，但对这类模型的构建起着规范作用。

　　可信任认证实施的一个关键步骤在于实现可信任状态能给仓储系统带来的益处。数字资源生产的资金提供者和用户都期望存在一个可信任机制用来判断一个数字保存仓储系统是否值得信任以及可信任的等级。数字保存仓储系统采用认证模型对其可信任状态进行认证时，要考虑的最主要因素有：认证模型与运行仓储系统的机构目标的相吻合程度、对实现机构特定商业价值的有利程度、以及实现可信任状态的成本与收益之间的权衡比较。

　　3 数字保存仓储系统认证实施

　　早在1996年，数字资源保存工作组（TFADI）在大力提倡建立可信任数字保存仓储系统的同时，指出可信任状态不能简单地自我授予，需要一个认证模型来对其进行全面认证。数字保存仓储系统认证的实施涉及到许多因素，其中最主要的可能是认证对象的选择、认证的级别、认证师的信息保障和认证阶段之间的审计等。对一个特定的数字保存仓储系统来说，在确定认证项目之后，就要确定要认证的数字资源提供商和服务提供商。

　　仓储系统的运行管理机构可能与其保存的数字资源提供者不一致，更多情况下是一个仓储系统拥有多个数字资源提供者，如日本着名的数字保存仓储系统/the KB e-Deopt0的数字资源提供商就包括了全球十多个着名的电子期刊出版商，不同的提供商所提供的数字资源的质量可能不同，有些提供商所提供的数字资源可能是免认证的。同样，如果大多数用户认为认证是其选择服务提供商的一个重要因素，那么从商业角度来讲，服务提供商就必须进行认证。

　　甚至在一些领域里，对一些服务提供商的认证是法律上的义务。当然，如果认证成本太高或认证过程过于复杂，那么认证就失去了吸引力。但对于绝大多数的数字资源提供商和服务提供商来说，并非一定要进行认证，成本效益分析是认证对象选择的权衡基础。

　　认证有不同的等级。很明显，数字保存仓储系统自我认证是级别最低的认证，对系统内部过程管理很有用处，可以使用类似于RLG-NARA的认证项目来进行。对于那些申请更高级别认证的仓储系统，自我认证是必须进行的。

　　另外，为了降低存储风险，自我认证也是一种最常用的方法。有效的自我认证可以降低外部认证的成本。级别越高的认证涉及到的认证项目越多，认证成本也越高，因此并非每一个数字保存仓储系统都需要最高级别的认证。

　　认证工作的具体实施者是系统认证师。认证师需要大量信息来对认证对象进行理解。最初的仓储系统自我认证已确认其信息基础设施足够充分，完全能够满足外部认证的严格要求。认证师需求的信息包括：数字资源保存方针、工作流程、保存记录、资金和人力资源记录以及整个系统的运行数据等。只有认证指标具有可测度性，目标具有可计量性，认证师才可能得出比较客观结论。认证过程需要分析仓储系统中各种对象之间的关系，对数字资源生产者和消费者的需求分析将有助于考察仓储系统的运行绩效。系统的各种功能以及与操作者之间的关系也是认证的重点，因为这方面的认证将有助于考察仓储系统的健壮性和保存数字资源真实性和可理解性。

　　认证的时间跨度也是要考虑的一个重要因素。从时间维度，对任何一个数字保存仓储系统的认证不可能是无限的。随着时间的推移，环境的改变，认证项目的变化，使得再次认证不可避免。因此，数字保存仓储系统可信任性认证具有阶段性，每两个阶段之间要进行若干次的审计。

　　审计的目的在于在下次认证之前确保仓储系统可信任状态的连续性，主要方式是对仓储系统进行评估，主要内容是将评估结果与上次的认证状态进行相符性比较。对仓储系统进行审计有时会出现一些问题，比如，应该审计的内容有哪些？是全面审计还是有重点地审计？机构内部审计还是聘请外部机构进行审计？审计结果是否要公开？荷兰国家档案馆的Hans Hofman在对如何处理审计结果时评价到，公布外部审计报告本身就是对仓储系统的一个有力促进机制，对那些存在诸多缺憾的仓储系统尤其如此，至少在保存机构内部公布审计结果将有助于仓储系统的完善。

　　参考文献

　　[1] TheTaskForce onArchiving of Digital Information. PreservingDigital Information [EB]. http:Mwww.rlg.org/ArchTF/[2005-10-10]

　　[2 ] S1Anderson and R1Heery. Digital Repositories Review[EB].

　　[3] Reference Model for an Open Archival Information System（OAIS） [EB]. http:Mwww.ccsds.org/documents/650x0b1.pdf[2005-10-20]