数字保存系统技术支持质量标准框架解析

〔摘要〕认为技术支持质量标准框架是整个数字保存系统质量保证标准框架体系的一个重要组成部分，主要包括技术支持和系统安全两个模块。技术支持模块由软硬件支持、系统性能监控、数据备份、数据更新与检测4个部分组成 ；系统安全模块由日常运行安全、灾难预防与恢复2个部分组成。提出构建技术支持质量标准框架的目的在于为其标准的制定提供结构基础，保证用户对数字保存系统中的数字资源进行长期安全存取。

〔关键词〕数字保存系统技术支持质量标准框架

〔分类号〕G250

Analysis on Framework for Technological Supporting Quality Standard in Digital Preservation System

Xu Ruiping

Distance Education School of Zhengzhou University,Zhengzhou 450052

〔Abstract〕 Framework for technological supporting quality standard is a very important composition of the digital preservation system quality standard framework. It includes two models of technological support and system safety. There are four parts in technological supporting model: software and hardware support, system performance supervision, data backup, data updating and measurement, and two parts in system safety model: daily operation safety, calamity prevention and recovery. The aim to build the framework is to provide the structural basis for setting up the standard, and ensure the digital resources being long-term and safely accessed.

〔Keywords〕digital preservation system,technologicalsupport,quality standard framework

1选题缘起

数字资源的快速增长使用户对其存取、管理和服务的质量要求与日俱增。由于数字资源的固有特性，即保存时间越长，其可用性、真实性、完整性和可靠性所面临的挑战越大，使得数字资源保存日益受到重视。数字保存系统又称数字仓储系统，其保存的内容是数字化的信息资源产品（如美国国会图书馆的American Memory），或原生型数字资源（如荷兰国家图书馆的KB e-Depot），或这两种类型的复合（如CNKI的中国期刊全文数据库）。数字保存系统的基本价值在于：提供值得用户信任的数字资源存取能力，确保数字资源的质量，并有利于数字资源的开发利用。实现该价值的最有效方法是制定质量保证标准框架，并按规范程序对其认证。

制定数字保存系统质量保证标准的意义在于：①有利于用户选择和使用数字保存系统。数字保存系统的用户有团体和个人两种类型，依据质量保证标准对数字保存系统进行质量体系认证，不仅意味着经过认证机构的严格审核和定期监督，而且也可使用户产生信任感。②有利于数字保存系统的可持续发展。标准化质量体系可使数字资源的生产、加工、服务和管理全过程规范化和科学化，从而提高数字保存系统的经济效益和社会效益；③有利于数字资源生产者进行委托保存。越来越多的生产者将其生产的部分乃至全部的数字资源委托给专业数字保存系统进行长期保存并提供增值服务，可信任性是选择委托数字保存系统的基础，依据质量标准进行认证是判断可信任性的一个重要参考。

数字保存系统质量保证的研究起始于1999年。当年，美国空间数据系统咨询委员会管理中心（CCSDS）同北美、欧洲和日本等国家的重要空间科学机构共同开发并于2003年成为国际标准(ISO14721)的OAIS参考模型[1]，定义了数字资源长期保存的总体框架。2000年，RLG与OCLC合作成立的全球范围内从事数字资源长期保存重要研究机构的专家工作组，参照OAIS模型，发表了《可信任数字保存系统属性与职责》[2]。2003年，RLG与美国国家档案与文件管理署（NARA）联合成立的数字保存系统认证工作组，致力于构建一个质量保证指标体系，用于审查数字保存系统的存贮、迁移和提供服

务的能力，并于2005年8月出台了《可信任数字保存系统认证审查指标》（征求意见稿）[3]，在因特网上供公共讨论，目前该项讨论仍在进行中。上述这些成果严格意义上都是“指标体系”，真正的质量保证“标准”还没有形成，既没有国际标准，也没有国家标准和行业标准。

国内对该主题的完整研究还未见报道。比较相关的研究主题有文献数据库标准实例和数字图书馆标准，前者的一个代表性实例是清华同方的企业标准《CNKI系列数据库产品与技术服务标准》（征求意见稿），后者的一个代表性实例是2003年度科技部科技基础条件平台专项资金重点项目“数字图书馆标准与规范建设”的相关研究成果。

实际上，数字保存系统可以视为数字保存机构生产销售的一类产品。根据朱兰（J.M.Juran）的“全面质量管理”观点，产品质量不仅取决于生产过程，也体现在决策、设计、检查、使用和服务等环节。对数字保存系统来说，“决策”、“设计”和“服务”由保存机构实施，“生产”和“检查”由数字资源生产机构实施（有的数字保存系统的数字资源生产者与保存者是同一个机构，有的则是不同机构），“使用”由用户实施。另外，数字保存系统的整个生命周期均需信息技术支撑。因此，数字保存系统的质量保证标准体系包括系统管理质量标准、系统性能质量标准、用户服务质量标准和技术支持质量标准等4个部分。

构建数字保存系统技术支持质量标准的目的在于保证数字资源的长期且安全存取。本文致力于从技术支持和系统安全两个层面构建这个标准的框架结构，并对它们所包含的要素进行说明，其目的是为标准的制定提供结构基础。

2技术支持标准框架解析

2.1软硬件支持

2.1.1数字保存系统应实时监控并及时更新所采用的软件技术数字保存系统所采用的软件技术应能保证其提供的存取服务满足用户要求。比如，当保存容量非常大的数字对象时，数字保存系统采用的软件就需增加数据分割服务，从而方便通过网络传输给用户。

2.1.2数字保存系统运行的操作系统和核心基础软件应具有良好的支持性操作系统和核心基础软件对数字保存系统中系统构架基础元素和各个子系统的支持水平，应以满足整个系统运营需求为原则。数字保存系统必须知晓可能面临的风险所在，对操作系统和核心基础软件的支持要求与整个系统以及各个子系统存在的风险种类和风险程度密切相关。比如，数字资源获取子系统使用了一种支持软件，数字保存系统能够接受这个软件的条件是：当该软件过时时，能够被其他软件所替换，并且整个替换过程不会影响数字保存系统其他功能的执行。在操作系统和核心基础软件的支持类型和程度方面，数字保存系统中用于内务管理的子系统与面向用户提供服务的外部子系统之间可能存在较大差异。

2.1.3数字保存系统采用的计算机操作系统应具备安全性数字保存系统应及时对其使用的计算机操作系统进行安全更新。数据库的应用以及Web服务器等都与操作系统密切相关，一旦操作系统遭到破坏，数字保存系统则无法提供应有的服务。

2.1.4数字保存系统应实时监控和及时更新所采用的硬件技术数字保存系统所采用的硬件技术应能保证其提供的存取服务符合用户的要求。比如，随着技术的发展，用户对数据的存取量越来越大，数字保存系统就必须增加网络带宽来满足不断增长的数据访问量要求。

2.1.5数字保存系统应该记录数字资源存储介质的迁移过程存储介质的迁移又称介质刷新，意指仅在不同存储介质之间进行数据拷贝，而不对数据格式进行转换。迁移过程对系统的其他性能也可能会带来影响，迁移结果也可能会存在偏差，所以，迁移之前必须进行风险评估，只有风险值低于系统的设定值者，方可实施迁移。为了使数字迁移具有可追踪性，数字保存系统必须详细记录迁移的全过程，包括迁移开始时间、迁移过程耗费时间、迁移结果的错误检测等。

2.2系统性能监控

2.2.1数字保存系统应及时发现系统关键性能的变化，并对这些变化进行记录和管理这些关键性能的变化可能发生在数字保存系统的任何一个模块中（如：数据管理模块，访问模块，存储模块，数字资源获取模块，安全模块等）。对于数字保存系统来说，关键的问题是应该知晓发生了哪些变化以及什么时间发生了变化，从而分析出这些变化可能带来的影响。

2.2.2数字保存系统应设计一套程序，以检测关键性能变化所带来的影响这种检测的对象可能是整个系统，也可能是系统的一个具体模块。这种类型的检测成本较高，尤其是对整个系统的安全检测成本更高。但是，如果不对关键性能改变所带来的影响进行检测，就可能会产生一些预想不到的问题。为节约成本，系统还可以采用其他方法。例如，系统保证其操作都是可逆的，这样，当出现问题时，便可以把系统恢复到它的初始状态。

2.3数据备份

2.3.1数字保存系统应确保所有平台都具有备份功能数据备份是数字保存系统的核心功能之一，其目的在于保证系统所提供服务的安全性和数字资源的完整性。数字保存系统必须保证其备份系统能够正常运行。与其他一些系统相比，数字保存系统需要更加详细的备份机制。

2.3.2数字保存系统应规定所有数字对象的副本数量和存放位置这里的副本是指同一版本的拷贝，而不是数字对象的不同版本。

数字对象的存储位置必须准确定位。在存储介质或者存储子系统中，存储位置可能是物理位置，也可能是逻辑位置。验证存储位置正确性的一种方法是，随机抽取一件数字对象，确定其副本数量，并找寻其所存储的介质和具体的位置。

针对不同类型的数字对象，数字保存系统可能会执行不同政策，产生不同数量的副本，这主要取决于以下因素：数字资源生产者、信息类型、数字对象的内容价值等。有些数字保存系统为了节省存储空间和方便操作，对保存的所有数字对象仅产生一个副本，并且所有副本均存放在同一位置，这种做法不利于长期保存。根据数据完整性机制的要求，使用新副本代替失效副本时，数字保存系统应给予详细记录。

2.4数据更新与检测

2.4.1数字保存系统必须实施数字对象与其所有副本之间的同步更新机制数字保存的一个基本原则是：一件数字对象的内容发生变化时，由该对象产生的所有副本的内容必须同步更新。实现这种更新操作的方法可以是自动的，也可以是人工的。同步更新的时间有长有短，从几秒到几周不等，取决于系统设置和要更新的数据量，但数字保存系统必须准确知道同步更新操作的开始时间和完成时间。

数字保存系统必须对同步更新过程进行详细记录，这对一些灾难性恢复尤其重要。另外，系统还必须指定同步更新过程中突发事件的应对方案。比如，在同步更新过程中出现意外故障，某一副本无法完成更新，系统就必须能够确保该副本的成功恢复。

2.4.2数字保存系统应建立一套有效机制，对其保存的数字资源的损坏和丢失情况进行检测数字保存系统必须能准确地掌握数字资源的损坏和丢失情况，并确保数字资源的损坏和丢失数量在系统允许的范围之内。不论什么原因导致数字资源的丢失和损坏，数字保存系统都应该准确地检测。

检测内容应该全面。比如，数字对象集合的总体损坏和丢失的数量，一件数字对象的破坏程度，在数字迁移或副本同步更新过程中出现的复制错误，等等。另外，数字保存系统还应对损坏和丢失的数字资源的相关元数据进行处理，保证元数据内容描述的准确性以及与数字对象之间对应关系的正确性。

检测方法应该可靠。标准的且已被广泛应用的方法的可靠性能够得到保证，比如MD5。但是，如果采用自己创建的检测方法，数字保存系统必须提供可信性证据，以证明这种方法的可靠性。检测仅仅是手段，数字保存系统应该建立一个完善的预防措施，尽量降低软硬件故障、人为失误以及恶意攻击等因素对数字资源造成损坏和丢失的可能性。

检测周期应该明确。一般来说，检测周期应根据系统实际情况来确定，以防止长时间积累导致数字资源的损坏和丢失增加，超出系统允许的范围。比如，一个数字保存系统所保存的每件数字资源只有一件副本，如果经检测数字资源的原件和副本所保存的存储介质的自然损坏导致两者的数据丢失的概率分别是每年1%，那么它们同时丢失的概率就是每年0.01%。如果数字保存系统允许的数据丢失率为每年不超过0.001%，那么就应该至少以一年的十分之一为周期进行检测。这个例子仅仅说明了储存介质的自然损坏对数据丢失的影响，但实际操作中，导致数据丢失的因素会更多，情况会更复杂。

2.4.3数字保存系统应对系统内所有的数字资源损坏和丢失情况以及所采取的补救措施给予详细记录记录中应说明数据损坏和丢失的原因、系统所采取的数据恢复措施、数据恢复效果的检测以及这种检测所用的标准等。数据恢复应该是及时的。

3系统安全标准框架解析

3.1日常运行安全

3.1.1数字保存系统应对工作环境因素进行安全分析工作环境因素有很多，比如：数据因素、系统因素、人员因素、物理设施因素等。不同因素可以采用不同分析方法，比如，测量工作场所的温度和湿度，评估和测试建筑等物理设施的安全性，审查内部员工资格等。

3.1.2数字保存系统应建立一套完善的安全措施，以保证系统安全运行在对安全因素分析的基础上，数字保存系统必须建立一套切实可行的应对措施，以解决可能出现的安全威胁。比如，当测试到所保存的某种类型数据容易受到攻击时，就必须针对这种类型的数据制定特殊保护措施。

3.1.3数字保存系统应清晰界定其员工的任务、责任和权限每一个岗位都应有明确的岗位职责，每一位员工都要有清晰的任务、责任和权限。比如，就权限而言，数字保存系统应界定各种权限的拥有者，哪些员工可以添加用户，哪些员工有权访问元数据，哪些员工能够读取审核记录等。

3.2 灾难预防与恢复

3.2.1数字保存系统应建立完备的灾难应对方案在灾难应对方案中，应详细描述针对不同灾难（火灾，水灾，系统崩溃等）应采取的措施，并明确规定执行这些措施的员工。数据备份是最常用的措施，大多数数字保存系统可能会采取多份异地备份，然而并非所有数字保存系统都需这样，一个基本原则是每一件数字资源至少应有一份异地备份。灾难应对方案应对潜在的突发事件具有预见性，不同的数字保存系统建立的灾难应对方案会有所不同，主要取决于地理位置和提供的服务等因素。比如，所有的数字保存系统都应该考虑火灾带来的可能威胁，但并不是所有的数字保存系统都会受到地震的威胁。

3.2.2数字保存系统应定期测试灾难应对方案实践证明，一个没有经过测试的危机应对计划是难以有效防范灾难的。测试可以以模拟的方式进行，也可以以真正关闭系统来测试。对于大多数数字保存系统来说，模拟测试可能更可行，这样可以避免在真实测试中所造成客户服务的暂停问题。测试并不需要得到一个非常完美的结果，但应从测试所发现的问题中获得启示，完善灾难应对方案。随着系统基础框架和外部环境的变化，测试计划也应随之改变。另外，数字保存系统必须明确对灾难应对计划进行测试的周期。

灾难应对计划的测试内容应该全面。比如，在对员工职责进行测试时，可采用随机抽查方式，询问员工当不同类型灾难发生时应该怎么做，是自己决定还是请示上级，如果上级不在现场又该怎么办，等等。

3.2.3数字保存系统应确保服务的连续性以及重大灾难事件的恢复能力连续能力受制于很多因素，其中两个重要的因素是：目标用户团体的现实需求和未来需求，自身资金支持的力度和可持续性。对一些数字保存系统来说，重大灾难预防和恢复的最好方法可能是委托给专业机构实施，但这需要时间。任何一种灾难预防和恢复方案都不会完美无缺，数字保存系统必须承担一切风险，即使有些风险无法预料。

参考文献:

[1]Reference model for an open archival information system (OAIS).[2006-12-25].省略/documents/650x0b1.pdf.

[2]RLG/OCLC Working Group on Digital Archive Attributes. Trusteddigital repositories: attributes and responsibilities. [2006-12-25].www.省略/en/pdfs/repositories.pdf.

[3]RLG-National Archives and Records Administration (NARA).RLG Completes checklist for the certification of trusted digital repositories. [2006-11-25]. www.省略/en/page.php?Page_ID=20647.