基于云平臺的商業(yè)數字資源脫敏訪問系統的設計與實現*

摘 要 以南京森林警察學院圖書館商業(yè)數字資源訪問系統為例，針對傳統系統存在的不足，提出了若干脫敏模式的構建以及相應的改進策略，并通過分析云平臺的特點，設計出基于云平臺的脫敏訪問系統，以期優(yōu)化資源訪問。

關鍵詞 數字資源 脫敏 訪問系統 VPN358

分類號 G250.72

DOI 10.16810/j.cnki.1672-514X.2019.10.011

The Design and Implementation of Desensitized Access System for Electronic Resources Based on Cloud Platform： Taking the Library of Nanjing Forestry Police College as an Example

Xu Hanzhi

Abstract This article takes the access system for electronic resources of Nanjing Forestry Police College Library for instance， proposes the construction of several desensitized model and relative improving strategies against flaws of traditional systems. By analyzing the characteristics of cloud platform， a desensitized access system based on cloud platform is designed to optimize resource access.

Keywords Electronic resources. Desensitization. Access system. VPN358.

0 引言

隨著互聯網+和5G時代的來臨，數字資源正成為圖書館資源建設的重點內容之一。其中作為圖書館數字資源的主要來源的商業(yè)數據庫，出于版權保護、商家自身利益的考慮，通常將合法訪問者IP地址作為資源訂購者的標識[1]，合法用戶一般通過訪問系統使用已訂購的商業(yè)數據庫。但由于訪問系統架設于校園網內，無法和校園網內敏感信息（例如涉及師生隱私信息的其他管理系統）相分離，受到校園內網訪問規(guī)則的限制，使得商業(yè)資源庫的可用性和共享性有所降低，導致校園網的管理維護成本增加。為了解決這一問題，本文以南京森林警察學院圖書館為例，基于“云平臺的數字圖書館”項目主要原理，通過對校園網和本地硬件環(huán)境的校外數字資源訪問系統的現狀分析，立足云平臺的優(yōu)勢，設計出基于云平臺的商業(yè)數字資源脫敏訪問系統，以期把校園內多個物理硬件計算設備整合、管理成一個計算功能強大的資源池，按需存放數字資源[2]，以提高商業(yè)數字資源的共享度并增強服務的可靠性。

1 校園網內傳統訪問系統現存問題

基于URL重寫[3]、代理服務器和VPN等技術[4]的訪問系統被普遍使用于各大圖書館，合法用戶可隨時通過網頁訪問使用已購置的數字資源而不受地理位置、IP地址的限制。以南京森林警察學院圖書館為例，該系統自運行以來，雖然在數字資源的利用方面取得了一定的成效，但鑒于上述技術手段的局限性，還存在著以下幾個方面的問題。

1.1 敏感信息易于泄露

校園網內的圖書館數字資源網絡服務依賴于校園網本地的硬件、網絡環(huán)境，難免與學校其他涉及個人隱私的敏感信息網絡服務產生關聯。服務器受攻擊后可能影響到學校的其他網絡服務或造成個人隱私、敏感信息的泄露。

1.2 網絡服務安全防護能力偏弱

網絡服務的安全防護能力與網絡防火墻和自身操作系統有關，而目前校園網內的圖書館數字資源系統防攻擊能力偏弱。一旦受到諸如漏洞攻擊、密碼破解、病毒攻擊、DDos攻擊等網絡安全威脅時，就會面臨服務或網絡癱瘓[5]。

1.3 受軟硬件、人員能力制約

訪問系統由于受校園內網訪問控制規(guī)則、網絡節(jié)點拓撲、設備轉發(fā)性能的限制，在網絡發(fā)生變更時可能會停止服務，從而增加信息部門人員的維護負擔，難以保證服務的持續(xù)性、穩(wěn)定性和高可用性。隨著師生對已購置數字資源的使用頻率的提高，勢必會造成傳統訪問系統的負載增大，需相應增加額外的軟硬件資源。高校圖書館或因經費緊張和時間局限性等因素影響，會不時使軟硬件生態(tài)環(huán)境存在著擴展性差、擴容周期長、花費高、流程復雜等問題，尤其對于維護人員的專業(yè)技能會提出更高要求。

1.4 因資源訪問路徑不一致導致服務受限

學校有多個網絡出口，而每個網絡出口固定公網IP地址段不同，有的出口因IP地址動態(tài)分配而不斷變化。這種因負載均衡設備的流量策略以及校園公網IP地址的變更，使得資源訪問路徑出現不一致的問題，可能導致商業(yè)數字資源服務器無法根據IP地址準確識別合法機構用戶。此外，校園網內用戶繞過校外訪問系統直接通過校園IP地址訪問數字資源，可能導致基于用戶的各項統計以及匯總數據的缺失，不利于管理員針對單個用戶的行為進行管理和監(jiān)控（例如切斷非法訪問、防止惡意下載），也不利于構建用戶肖像，進行個性化服務推送等。

2 基于脫敏模式構建的改進策略

“脫敏”源于醫(yī)學，計算機與信息技術領域通常指數據脫敏，即對某些敏感信息通過脫敏規(guī)則進行數據變形，實現敏感隱私數據的可靠保護。這樣， 就可以在開發(fā)、 測試和其它非生產環(huán)境以及外包環(huán)境中安全地使用脫敏后的數據集[6]。針對傳統訪問系統存在的不足之處，擬從以下幾個方面進行作脫敏處理。

2.1 賬戶脫敏

目前訪問系統一般通過圖書館OPAC系統來讀取用戶信息，一定程度上存在著用戶隱私泄露的風險，因此需要對用戶信息作脫敏處理。筆者認為最佳脫敏方式擬采用微信ID綁定用戶賬號的方式，即“一次綁定，終身有效”，之后用戶通過掃碼即可登錄系統。以用戶微信ID作為有效的認證方式而非用戶名和密碼，可以避免敏感信息多次在互聯網上傳遞的過程，從而實現用戶信息的脫敏。

2.2 環(huán)境脫敏

隨著國家網絡信息安全管理制度的不斷完善，作為高校，尤其是公安類院校，網絡信息安全的管理更趨于嚴格，關停某些有安全漏洞的對外網絡服務，會導致校園外的合法用戶無法正常訪問已購置的商業(yè)資源。為使合法用戶正常訪問，筆者認為在云平臺使用虛擬化軟件將硬件融合成若干虛擬服務器，提供統一、標準化的服務平臺是進行脫敏的最佳方式，其提供的計算性能按需收費，用戶無需因軟硬件更新升級產生額外花費。相較于本地硬件、系統環(huán)境的搭建，云平臺所提供的成熟、低價的“托管”服務方案，能有效降低運維成本和硬件開銷。因此，將服務架設于和校園網絡、物理硬件無關的云平臺上，不僅使之脫離校園敏感環(huán)境，避免校園網訪問控制、管理策略所帶來的不利影響，還能提高系統的擴展性與可用性，減輕圖書館IT人員的負擔。

2.3 訪問路徑脫敏

商業(yè)數字資源提供商通常根據訪問用戶的公網IP來識別已購置該資源的機構用戶。若IP地址在允許的范圍內，則提供免費下載服務。系統架設在公有云平臺后，即可聯系服務廠商授權云平臺的IP成為唯一機構合法IP地址，同時關閉對學校IP的使用授權。這一做法將使合法用戶在訪問數字資源系統時只有通過使用云平臺系統訪問路徑，杜絕非法用戶繞過訪問系統訪問數字資源的行為。

2.4 日志數據脫敏

訪問系統的日志功能記錄了用戶瀏覽、下載等行為。為了保護用戶隱私，系統需根據不同管理員權限決定是否進行脫敏處理，并根據不同規(guī)則，決定日志內容關鍵字是否完全顯示。

數據脫敏處理需遵循如下原則：（1）可用性原則：日志信息通過脫敏處理后，不影響大數據分析的結果，例如下載日志需完整記錄用戶賬號、時間、文件名和資源域名，用于用戶習慣分析。而用戶姓名，部門等隱私數據需脫敏顯示。（2）邏輯關聯性完整性原則：保證日志信息記錄ID、用戶信息、資源信息關聯性完整，不受脫敏處理的影響，用于統計分布特征、邏輯特征的分析。（3）脫敏后數據一致性原則：當配置的脫敏規(guī)則相同時，相同源數據脫敏后顯示的結果相同。（4）可配置性原則：根據具體的用戶隱私保護需求，根據管理員的不同權限配置不同的脫敏規(guī)則，實現不同級別的隱私保護。

通過上述策略的實施，一方面保證了訪問系統可持續(xù)穩(wěn)定地提供服務，使合法用戶在校外可不受限制地訪問已購置的商業(yè)數字資源，另一方面簡化了維護難度，優(yōu)化了系統的硬件環(huán)境并降低運維成本，使得管理員能有效地統計、監(jiān)控、匯總商業(yè)數字資源的使用情況。某些高校通過租用阿里云平臺取代原先校園內網的硬件平臺，用于架設訪問系統。

3 基于云平臺的脫敏訪問系統設計與實現

本文基于云平臺的脫敏訪問設想，將南京森林警察學院圖書館的VPN358系統架設于租用的知名企業(yè)云平臺上，以實現上文提到的若干個脫敏模式的構建，保證服務的穩(wěn)定性和高可用性，并減少了硬件等固定資產的支出。

VPN358遠程訪問系統使用反向代理和域名重寫技術提供合法用戶的校外數字資源訪問服務，且系統使用不間斷讀取和回寫技術并設立緩沖區(qū)提高用戶訪問速率，增加最大并發(fā)連接數，優(yōu)化請求響應處理流程。該系統支持IP地址或用戶號密碼登錄，HTTPS流量，細粒度地授權不同用戶訪問不同對象，同時提供流量控制，多維度地統計分析訪問和下載等功能，以便管理員直觀地了解各數字資源使用情況，也可綁定一卡通、匯文、域賬戶、LDAP和Radius賬戶[7]。

3.1 云平臺模型構建

該云平臺整合了信息資源的內容與服務，用戶通過網絡訪問云端即可獲取資源和服務。云平臺可以靈活地、快速地按需從資源共享池中獲取所需的資源，并可動態(tài)地占用或釋放資源空間，降低了管理和維護的工作量[8]。商業(yè)云平臺提供的服務模式包括基礎設施服務（IaaS）、平臺服務（PaaS）、軟件服務（SaaS），每個服務模式依次細化了前一個服務模式的具體內容[9]。IaaS模式提供計算、存儲以及網絡等基礎硬件服務;PaaS模式將為服務程序開發(fā)者提供平臺用以測試、編寫、運行和調試應用程序;SaaS模式的作用是發(fā)布服務，以便用戶隨時隨地使用云服務。

依據南京森林警察學院圖書館傳統訪問系統的各項硬件配置以及使用率，按需租用IaaS服務的各類硬件資源，即可搭建本校圖書館訪問系統的服務發(fā)布中心。PaaS服務為訪問系統開發(fā)者提供調試、發(fā)布服務的平臺，包含數據交互、存儲、身份驗證等服務的相關軟件。SaaS服務包含面向用戶的具體應用服務，例如電子文獻下載、數字資源配置、下載日志查看、用戶管理等。根據安全性的不同要求，可選用私有云、公有云與混合云。由于本校是公安類院校，筆者從安全角度考慮采用公有云模式，以實現網絡物理環(huán)境的隔離，保證與數字資源訪問信息無關的其他數據的安全性。

3.2 登錄流程脫敏實現

管理員可手工導入包含用戶信息數據的Excel模板，或通過匯文OPAC網絡接口同步變更后的用戶數據，其字段包括學（工）號、口令、姓名、部門等。用戶通過微信登錄并掃描二維碼，關注指定公眾號，并進行微信ID和匯文賬號的綁定。綁定成功后，用戶只要通過掃描登錄頁面的二維碼即可使用VPN358系統訪問學校已購置的數字資源，其具體認證流程如圖1所示。

通過關聯用戶微信ID和匯文賬號，規(guī)定用戶必須以微信ID作為登錄憑據，避免匯文賬號密碼等敏感信息的互聯網傳遞過程，實現了賬戶脫敏。系統不開放用戶自主解除微信ID和學（工） 號關聯功能，需通過管理員后臺才能解除。此外，管理員亦可使用黑名單功能限制違規(guī)用戶使用該系統訪問數字資源。

3.3 商業(yè)資源配置

管理員首先將已購置的商業(yè)數字資源配置到訪問系統中。用戶在通過認證后，可瀏覽使用所有資源。通過設置資源的科目、文檔類型、語言和所屬組實現對資源的有效管理。管理員需根據數字資源的訂購狀態(tài)動態(tài)調整具體條目的設置參數，例如當數字資源采用HTTPS協議訪問時需更新“端口號”和“協議類型”字段;數字資源訪問的域名變更后需更新對應條目的“URL”字段;添加試用資源需設置試用結束日期。若配置無誤，合法用戶可使用該系統訪問對應的數字資源。

3.4 統計與日志分析脫敏處理

系統記錄用戶的登錄、瀏覽、下載、檢索等行為，生成日志并從多個維度進行統計。詳細的日志記錄與強大的分析功能可更精確地分析用戶的行為并提出針對性的建議[10]。登錄日志記錄了用戶登錄系統的時間、IP、瀏覽器、操作系統等信息;下載統計記錄了用戶有效下載數字資源文獻的時間、文件名、資源域名等，通過餅狀圖、折線圖等方式顯示指定時間內數據庫有效下載情況及下載統計數據和趨勢;檢索統計記錄了用戶的詳細檢索記錄，包括檢索詞、時間、數字資源名稱等;瀏覽日志記錄了使用該系統訪問數字資源的用戶行為，包括時間、用戶名、訪問頁面的標題等。管理員可根據搜索日志信息借助大數據結果推測出用戶的專業(yè)、研究方向等，以便構建用戶學術畫像，并進行針對性地推送資源。

鑒于日志數據表格結構的多樣性，針對不同日志功能模塊顯示的不同側重點，本文對脫敏規(guī)則實施更細粒度的劃分。在遵守前文提及的數據脫敏原則的前提下，根據日志模塊業(yè)務實際情況，對用戶學（工）號、專業(yè)（部門）和訪問資源詳情等不同類別數據，實施不同類別的脫敏處理。運用不同級別的脫敏規(guī)則后數據的處理結果如表1到表3所示。

采用上述脫敏機制，根據數據的側重和業(yè)務的差別配置設定不同級別的脫敏規(guī)則。如使用下載日志分析各個商業(yè)數據庫所占比重時，文獻URL作為統計主要參考數據，需保留域名進行二級處理;用戶姓名、學（工） 號采用一級脫敏，保護了用戶隱私的同時又確保了源數據有據可查，統計分析的結果精確。

3.5 訪問路徑脫敏的實現

傳統的數字資源校外訪問系統架設于校園網內，而資源服務商將學校固定公網IP段作為合法訪問的憑證。通常用戶習慣于直接在瀏覽器的導航欄內輸入網站的URL訪問數字資源，導致HTTP請求不經過該系統直接發(fā)送到數字資源服務器，而經過訪問系統的路徑則是管理員預期用戶訪問數字資源的適宜方式。

將訪問系統部署在互聯網的云平臺上，在確認供應商開通云平臺公網IP作為合法訪問憑據的授權后，關閉對校園公網的IP授權。如果用戶繞過訪問系統，數字資源服務器即可識別到用戶IP非校園公網IP（非授權），如圖2中路徑2所示拒絕訪問。反向代理技術使得數字資源服務器能識別到用戶的IP是授權的云平臺公網IP（已授權），如路徑1所示，用戶即可（只能）通過登錄基于云平臺的訪問系統獲取合法授權后下載數字資源。

基于云平臺的訪問系統強制規(guī)定校園網內所有用戶通過系統本身的逆向代理技術訪問數字資源，從而統一訪問路徑，確保需進行脫敏處理的信息經過訪問系統時不易被識別，脫離不受監(jiān)控和管理的敏感路徑。

4 存在的問題與反思

將訪問系統部署在云平臺上的優(yōu)勢明顯，但也要正視如下問題：（1）系統負載隨著用戶訪問下載數字資源量的遞增而升高，可能導致用戶端的訪問下載速率變慢。為此需要根據實際并發(fā)數，適當增加租用云平臺的帶寬、計算資源以解決高負載問題;（2）作為圖書館和用戶之間的橋梁[11]，校外訪問系統可在后續(xù)版本中，對各類日志進行大數據分析，根據結果提供定制化服務，定期推送可能感興趣的新增數字資源到用戶郵箱，使數字資源被更有效地使用[12];（3）系統在主頁面上設置公告欄準確而實時地發(fā)布數字資源的動態(tài)，包括新增、停用、升級和開通試用等，同時顯示管理員的聯系方式，以便對用戶進行指導、答疑?？傊枰ㄟ^收集用戶的反饋，獲得較全面的參考信息，以便更好地實現后續(xù)數字資源選購和系統優(yōu)化升級。

參考文獻：

[ 1 ]呂文娟.醫(yī)學院校圖書館校外遠程訪問系統應用實踐[J].醫(yī)學信息學雜志，2018，39（8）：73-76，88.

[ 2 ]張海玉.云平臺下數字圖書館的安全策略研究[J].圖書館學研究，2013（3）：42-46.

[ 3 ]劉慧，陸康.基于OLAP的域外訪問數字資源管理研究[J].圖書館學研究，2017（19）：35-41.

[ 4 ]雷澤勇.用戶合法訪問圖書館數字資源的方式研究[J].蘭臺世界，2014（2）：101-102.

[ 5 ]鮑建軍.高校計算機網絡安全探討[J].科學技術創(chuàng)新，2018（27）：87-88.

[ 6 ]張嘉迅，張傳國.網絡借貸中個人信息安全保護的數據脫敏技術綜述[J].網絡安全技術與應用，2018（9）：73-74.

[ 7 ]焦陽，劉泉鳳.圖書館數字資源遠程訪問系統比較研究[J].情報探索，2017（8）：75-82.

[ 8 ]王世慧，杜偉.云計算環(huán)境下圖書館IT服務向IaaS遷移探析[J]，圖書館理論與實踐，2012，8 （1）：71-73.

[ 9 ]江偉玉，劉麗敏，查達仁.面向云存儲的訪問控制服務研究：第28次全國計算機安全學術交流會論文集[C].貴陽，2013.

[10]鄒榮，張成昱.數字資源校外訪問控制系統的實現和應用[J].情報理論與實踐，2009，32（10）：119-121.

[12]柳麗花，葉新明.我國高校圖書館數字資源校外訪問現狀調查及與美國高校圖書館的比較分析[J].圖書情報工作，2006（12）：116-118.

[13]周欣，陸康，張迎春.數字資源校外訪問及統計分析系統探討[J].中華醫(yī)學圖書情報雜志，2016，25（6）：39-44.

許瀚之 南京森林警察學院圖書館助理館員。 江蘇南京，210023。

（收稿日期：2019-06-25 編校：劉 明，陳安琪）