国外的数字学术信息资源是我国科研人员了解最新科研动态的重要途径,吴国芹等在论文中统计了169篇博士学位论文的引文情况并分析引文分布,结果发现引文中的外文引文量占引文总量的75.5%[1],可见国外的数字学术信息资源已经成为我国研究人员不可或缺的研究资料,极大地推动和促进了我国学术研究的发展。与此同时,这些学术资源的可持续使用和安全状况亟需关注。基于此,本文探讨了当前国外数字学术信息资源存在的信息安全风险,通过对国内外现有的解决信息安全风险的措施的分析,提出建议,以期对资源建设、学术研究的持续发展有所裨益。
1国外数字学术信息资源的信息安全风险
国内用户访问国外的数字学术信息资源的途径主要有3种:①专线访问,即利用数据库出版商提供的免费专线直接访问远程服务器;②国际网访问,即利用数据库出版商提供常规的Internet数据库访问服务直接访问,但需要支付国际通讯流量;③本地访问,即通过数据库出版商授权,建立镜像服务器或本地存储服务器,用户进行本地访问,这种方式主要应用于二次文献数据库,如文摘索引类数据库。另外,可以根据实际需要建立1个或多个镜像站点[2]。由以上访问途径可以看出,国内的图书馆、科研机构引进学术资源的使用大多通过互联网访问国外的服务器和存储,存在“潜在”的信息安全风险。
1.1资源的“可用性”存在风险
国内用户使用国外数据库,尤其是全文数据库都需要通过互联网访问国外的服务器和存储,相对来说,对国外互联网的依赖性更大一些,一旦访问国外网络出现问题,大部分基于互联网的检索都将失效,所以说资源的可用性存在风险。这里的“可用性”是指美国可以随时“影响”我国的学术研究。尽管现在网络很发达,但实际上支撑这个互联网运转的根服务器的数量仍相当有限。现在全世界一共有13台DNS根服务器。其中1台是主根服务器,12台是副根服务器。主根服务器设在美国,12台副根服务器当中9台设在美国,剩下的1台在英国、1台在瑞典、1台在日本。这些DNS根服务器的管理者都是由美国政府授权的互联网域名与号码分配机构(ICANN),ICANN是由美国商务部授权的,这就意味着美国商务部有权随时否决ICANN的管理权。从技术上讲,一旦某个国家的后缀从根服务器中被封住或删除,这个国家便在互联网世界中消失了[3]。
1.2资源的“可持续性”存在风险
引进国外数字学术信息资源的单位大多是公共事业单位,这些单位的存在和发展拥有相应的资金、物质和人员保障,相对稳定。但是数字资源提供商是企业,其经营活动是一种商业行为,受到市场规律的约束,一旦出现资源提供商公司倒闭、订购合同到期、版权纠纷等问题都可能会导致资源被停止使用,进而造成某一部分资源的不连续,影响研究人员对资源的获取,也影响到各个研究机构、图书馆对读者的正常服务。
2国内外现有的应对措施分析
针对学术信息资源面临的可用性方面的安全风险,国内外学者提出利用“数字资源长期保存”的方式来解决。欧洲各国、美国、日本、澳大利亚等国相继启动了一系列数字资源长期保存项目。
2.1国外的数字资源长期保存项目
(1)欧洲包括英国、荷兰、瑞典、德国、挪威等国都先后开启了数字资源长期保存项目的研究,并通过欧洲各国之间的区域联盟形成分工协作、资源共享的高效存取模式[4]。①德国通过Nestor推广数字资源长期保存意识、构建长期保存战略与政策解决德国数字资源的长期保存问题,通过KOPAL项目着力研究存储系统的测试和存取技术的共享。②英国的CEDARS项目研究了数字资源长期保存的战略框架和具体方法,并建立了一个分布式的长期存储系统。另外,CAMiLEON项目和FAIR项目分别从仿真技术和资源获取的角度为数字资源的长期保存提供了策略。③瑞典、挪威和荷兰分别建立了Kulturarw、Paradigma和e-Depot等保存项目。④由荷兰国家图书馆牵头,欧洲7个国家图书馆(荷、法、挪威、德、葡萄牙、瑞士、意)以及3个主要出版社参与的NEDLIB项目,以合作项目形式研究长期保存基础结构,建立了1种电子出版物长期存储系统模型。⑤欧洲各国之间的区域合作长期保存项目还包括DE-LOS、ERPANET、PRESTO、SEPIA等项目,从保存资源的选择性、联合保存的战略政策、联合保存的系统技术等方面对数字资源长期保存进行了研究,避免了资源的重复获取劳动,获得了区域之间的最大利益化。⑥2013年2月1日,由欧盟委员会出资180万欧元赞助的Succeed项目正式启动,其核心目标是促进欧洲文化遗产数字化和保存领域的研究中心和技术公司的研究结果的整合,并通过组织数字化领域的专家会议、开展评估技术的竞赛,以及召开技术会议来传播其成果,利用网上平台来演示评估工具,以达到整合图书馆、博物馆和档案馆的最新技术工具的目的。⑦2013年2月1日,欧盟启动了4C项目,来自7个不同国家的13所机构共同参与其中,来探究其在数据保管和长期保存上的投入所能获得的回报,实现效益最大化。(2)美国是最早关注数字资源长期保存问题并作为国家战略考虑的国家之一。近年来由美国国会图书馆、各知名大学图书馆、联机计算机图书馆中心等主要机构带头,在政府政策的支持下已相继启动了一系列数字资源长期保存项目[5]。①NDIIPP项目,即“国家数字信息基础设施和保存计划”,是由美国国会立法通过,政府拨款实施的国家级数字资源保存策略,目标是对分散环境下非纸质电子资源的长期保存构建保存体系、开发保存技术、制定保存政策。②由斯坦福大学牵头开展的LOCKSS项目通过建立出版商与图书馆、图书馆与图书馆之间的协作平台,实现了电子资源的永久保存。目前已加入LOCKSS项目的机构包括20多个国家的180多家公共图书馆、高校图书馆和200多家出版机构。③康奈尔大学图书馆的PRISM项目,北卡罗莱纳州立大学图书馆的DigCCurt项目、加利福尼亚大学图书馆的eScholarship项目、麻省理工大学与剑桥大学图书馆联合协作的Dspace项目,这些项目为数字资源的永久保存提供了有效技术支持。(3)澳大利亚国家图书馆于1996年启动了保护和存取澳大利亚网络信息资源PANDORA项目,目的是要建立一个澳大利亚电子资源保存系统,并为电子资源的长期保存和使用提供相应的政策和策略。该项目由澳大利亚国家图书馆与另外9家澳大利亚图书馆及文化机构联合建设,通过对可用网络资源的价值评估选择具有长效使用价值的联机出版物和网站进行保存[5]。(4)日本的WARP项目,是由日本国立国家图书馆开展的一项关于数字资源长期保存的研究项目。该项目有选择性地收集信息资源,重点收集有关政策和学术方面的数字资源。日本还制订了NDL元数据标准,规范了信息收集的工作流程,同时针对数字信息资源修改了缴送法和著作权法等[5]。
2.2国内数字资源长期保存的研究与实践
2.2.1中国科学院文献情报中心以张晓林为代表的中国科学院文献情报中心研究团队在2004年就对中科院数字图书馆外购数字文献提出了长期保存的策略。2008年,对国家图书馆、数字文献资源比较丰富的部分省市公共图书馆、985高校图书馆、主要国家级专业图书馆进行了数字资源长期保存方面的调查和研究,指出数字文献资源长期保存的现实紧迫性已经不言而喻。同时,这个团队从国家层面出发,对数字资源长期保存的机制、战略、技术、实践等方面做了详细的研究。同时,中国科学院文献情报中心进行了“数字资源长期保存”的实践,但到2013年底,中国科学院文献情报中心的长期保存系统已存档10种国外数据库的资源,如Springer、VIPJournal、RSCJournal、NatureJournal、IOPJour-nal、BioMedCentral、RSC-ebook等,其中英文期刊约2500种,不到引进外刊的6%,外文电子书仅有约16000种[6]。2.2.2中国高等教育文献保障系统(CALIS)2002年,中国高等教育文献保障系统(以下简称CALIS)探索利用“本地存档服务模式”来保存国外的数据库资源,在CALIS管理中心、上海交通大学图书馆和中国科学技术信息研究所设了3个镜像站,存档6个数据库(Kluwer、IOP、RSC、Nature、PQDD等)的资源,目前,由于经费等问题已经停止。CALIS还采用“外商本地镜像服务模式”建立26个数据库的本地镜像服务,但是随着互联网的迅速发展和云计算带来的冲击,近4年26个数据库全部撤离了中国,改为远程服务方式[7]。国内开展数字资源长期保存实践的还有国家图书馆、清华大学等单位。
2.3国内外数字资源长期保存项目对比分析
国内的数字资源长期保存的研究和实践都处于起步阶段,通过对比国内外数字资源长期保存项目的情况,认为国外的数字资源长期保存项目有明显的共性和值得借鉴之处[8-9]:2.3.1政策推动一些国家的国家图书馆、大学图书馆、相关保存机构作为数字资源长期保存项目的组织者,自主制定了数字资源保存政策,并且在各自的数字资源保存项目中实施。如美国2005年发布的“OCLC数字存档长期保存政策”反映了数字内容管理新形成的标准、最优化实践协议和一系列的支持性文件。OCLC在2000-2005年进行的PREMIS项目就是在此政策下实施的一项数字资源长期保存项目。除此之外,英国、澳大利亚、加拿大以及联合国教科文组织都制定了相应的数字资源长期保存政策作为保存项目的有力后盾。2.3.2资金支持数字资源长期保存项目需要巨额费用的支持。国外的数字资源长期保存项目有的得到了政府拨款的经费资助,如美国的NDIIPP项目、荷兰国家图书馆的项目、澳大利亚的PANDORA项目等。有一些是由各种基金会、协会等资助的,如英国CEDARS项目由JISC资助建成,NEDLIB、ERPANET、PRESTO项目由欧洲委员会资助。2.3.3政府机构主导国外的数字资源长期保存项目,尤其是区域合作的项目大多是由政府机构如国家图书馆主导,大学图书馆、出版机构以及掌握大量数字资源和先进技术的部门或某个行业的公益部门作为项目的主要实施者。如澳大利亚、美国、荷兰、英国、法国、加拿大等国的国家图书馆不论是在政策的制定上还是项目的实施上都起到了主导作用,对本国的数字资源长期保存起到了推动作用。2.3.4注重交流合作由于数字资源长期保存项目涉及的方向比较广泛,所以单一的机构很难独自完成一个项目,多方合作是国外数字资源长期保存的主要模式。合作方可能是同一个国家的多个机构,也有可能是国与国之间的区域合作。如DELOS项目的成员来自13个国家,欧盟4C项目的成员来自7个不同国家的13所机构等等。实践证明,多方合作的项目一方面可以实现资源共享、避免工作的重复;另一方面在项目进行中通过沟通,可以使项目的成果具有较好的通用性、移植性和互操作性。
2.4数字资源长期保存在解决学术资源信息安全问题上的不足
数字资源长期保存的对象不仅包括原来就以数字形式存在的文献资源,还包括由传统形式的文献转化为数字形式的文献资源,国外学术信息资源也是数字资源长期保存的对象之一。但在解决国外学术信息资源信息安全问题上,数字资源长期保存解决了资源在“可用性”方面的风险,但是在解决资源“可持续性”风险上还有一定的不足。具体表现为数字资源长期保存所需的经费、技术、人力成本高,单一机构难以保证长期投入。利用数字资源长期保存解决国外数字学术信息资源潜在的信息安全风险,需要在基础设施、技术和人员培训方面投入大量的资金,这是一个长期性和持续性项目,不仅要求有前期的固定成本投入,在后期数字资源维护上也需要长期和持续的成本投入。数字资源长期保存是一个长期投入的项目,单一的机构难以保证大量资金的持续投入。保证不了长期和持续性的投入,数字资源长期保存就难以解决国外数字学术信息资源面临的“可持续性”方面的风险。
3建议
本文指出目前国外数字学术信息资源面临的潜在的信息安全风险有两点,即在“可用性”和“可持续性”两个方面存在风险。分析这两个“潜在”风险的成因,对找到解决风险措施有重要的指导意义。“可用性”方面的风险成因在于大部分的国外数字学术信息资源都存储在国外的存储设备上,访问或使用这部分资源收到国外互联网的限制。解决资源“可用性”方面的风险有两种:一是将这部分信息资源存储在国内的存储设备上,即使国外互联网访问出问题,也不影响使用;二是将这部分信息资源转由第三方托管,资源拥有者不能随意影响资源使用者的使用权限。“可持续性”方面的风险成因一方面是数字资源提供商的商业活动必有的风险;另一方面是经费不足,不仅是引进国外数字学术信息资源的经费不足,也是数字资源长期保存持续性成本投入的经费不足。综上可见,国外数字学术信息资源面临的信息安全潜在风险不是某个单一机构能解决的,就目前的潜在的信息安全风险,借鉴国外数字资源长期保存项目的经验,有必要利用新技术建立国家级的保障体系,从国家层面上制定预防风险的政策和指导意见。建立国家层面的学术信息资源保障体系应考虑应用云计算。一方面,云计算的安全性得到了认可;另一方面有研究表明[10]云计算可以显著节约成本。调查发现,利用云计算规避信息安全风险是国外的发展战略,是欧美政府、企业和图书馆规避信息安全风险的新趋势。亚马逊AWSGovCloud的云服务的用户包括美国国家航空航天局(NASA)在内的美国100多家政府部门[11]。麻省理工学院、哥伦比亚大学、西北大学等多家图书馆都已使用DuraCloud来保存其数字资源[12],DuraCloud可确保数字内容长期可访问以及便利使用的功能[13]。利用云计算,构建国家级数字学术信息资源保障体系,本文认为应该分以下3步:(1)建立和完善国家级数字学术信息资源保障体系的规章制度,包括国家数字学术信息资源安全保障政策法规、标准、综合布局、经费筹措机制等。国家数字学术信息资源是科教兴国的战略资源,需要国家层面制定政策法规给予保障,从全局进行规划。(2)建立国家数字学术信息资源安全保障联盟,探索联盟与云计算企业的合作机制。云计算是需求驱动的行业,只有全国数字资源创建单位的大联合,集合成大需求,才能和云计算企业进行良好的资源对接,形成规模效应,需要发挥国家的权威性作用。在国家主导下建立“国家数字学术信息资源安全保障联盟”,以“联盟”为主体与云计算企业进行合作,并与国外资源集成商谈判,将国外的学术信息资源落户国内云计算服务商。存储在“国内云”的数字学术信息资源仅在发生信息安全问题的时候作为备份启动,不影响其在国内的销售。(3)大力建设国内的云环境,发展国内的云计算企业。相对国外的云计算企业,国内的云计算企业较少,但是已经逐渐发展。如阿里云2012年获国际信息安全管理体系ISO27001认证,2013年再获全球首张云安全国际认证金牌(CSA-STAR)。只有构建了成熟、安全保护水平可信的云生态环境,才能让国外的资源集成商自愿的将资源“落户”国内。学术资源的信息安全问题是国家层面问题,“十八大报告”也明确提出“健全信息安全保障体系”的战略目标。如何保证学术信息资源的安全是一个非常复杂、涉及面广的重要问题,本文提供的建议仅是一个初步构想,更多的细节需要在后续工作中进一步扩展、研究。
作者:刘万国 黄颖 周利 单位:东北师范大学图书馆
