4.6. Bezpečnostní opatření
K zajištění bezpečnosti a integrity ukládaných dat byla přijata celá řada (vzájemně nezávislých, vhodně se doplňujících) bezpečnostních opatření.
4.6.1. Zabezpečení diskového pole
Archivní balíčky jsou ukládány výhradně na disková pole, která disponují:
ochranou pomocí dvojité distribuované parity standardu RAID6
dedikovanými hotspare disky
Tímto opatřením je zajištěna základní vrstva ochrany na úrovni HW.
4.6.2. Redundance diskových polí
Výše uvedená disková pole jsou v rámci hlavního pracoviště asynchronně zrcadlena mezi dvěma dostatečně vzdálenými lokalitami (Serverovna UK v Praze - Jinonících a Serverovna UK v Praze 1 (Karolinum)). Na obou stranách jsou pak jako doplněk (opět na úrovni logiky diskových polí, tj. nezávisle na systému) pořizovány asynchronní snímky stavu LUNů v čase (tzv. snapshoty).
Základní snapshoty se dělají v intervalu 1 den s retencí 14 dnů a jsou chráněny logikou diskov0ho pole proti cílenému smazání/modifikaci.
Tímto opatřením je zajištěna ochrana proti selhání jednotlivého diskového pole jako takového, popř. ochrana proti poškození celé lokality (např. při požáru apod.).
4.6.3. Zabezpečení na úrovni souborového systému
Na úrovni operačního systému je hlavní úložiště umístěno nad moderním souborovým systémem ZFS, který disponuje kontrolou integrity na úrovni bloků (každý zapisovaný blok je chráněn kontrolním součtem), technologií copy-on-write a nezbytnými samoopravnými mechanizmy.
Toto opatření reprezentuje další úroveň kontroly integrity dat (nezávisle na HW i vlastním AIS).
4.6.4. Periodická kontrola kontrolních součtů
Na úrovni AIS je implementován mechanizmus periodické kontroly kontrolních součtů (algoritmus SHA512) na úrovni ukládaných datových a metadatových částí jednotlivých samonosných informačních balíčků, včetně pravidelného reportingu a mechanizmu pro zotavení (samoopravení balíčku s poškozenou integritou na základě kopie z jiného úložiště, viz dále v tomto textu).
Tyto kontrolní součty jsou ověřovány nejen v rámci periodických kontrol, ale při každé operaci s informačními balíčky (ukládání, vydávání, …).
Uvedené periodické kontroly probíhají na denní bázi (ve večerních hodinách), přičemž počet balíčků kontrolovaných za jeden den je průběžně upravován tak, aby došlo ke kontrole každého jednotlivého uloženého balíčku vždy minimálně za 6 měsíců. Informace o kontrolních součtech jsou uloženy jak v databázi modulu Archival Storage, tak i u samotných balíčků v souborovém úložišti (ke každému balíčku existuje META-soubor obsahující kontrolní součet).
Vlastní evidenci kontrolních součtů má pak i Modul pro offline média zajišťující nezávislé ukládání balíčků na magnetické pásky.
Mechanizmus průběžné kontroly integrity je implementován i na nižších úrovních, jmenovitě každý balíček obsahuje strukturální mapu s kontrolními součty jednotlivých digitálních objektů (komponent), které tvoří obsah archiválií. Tyto jsou průběžně vytvářeny a kontrolovány při manipulaci s obsahem uvnitř balíčku.
Tímto opatřením je hlídána integrita ukládaných dat na úrovni AIS jako takového (tj. klasická bitstremová ochrana, zajištovaná mechanizmy diskutovanými např. v rámci ISO 14721 - OAIS).
4.6.5. Logická replikace
Všechny ukládané samonosné informační balíčky z hlavní lokality jsou dále na úrovni logiky AIS (přesněji řečeno na úrovni logiky modulu Archival Storage, tedy technologie ArcLib) replikovány protokolem SSH na záložní pracoviště v Plzni (Záložní pracoviště), kde tato nezávislá kopie požívá obdobné úrovně ochrany (Zabezpečení diskového pole, Zabezpečení na úrovni souborového systému, Periodická kontrola kontrolních součtů) jako na hlavní lokalitě.
Tímto opatřením je naplněn požadavek české legislativy (zákona č. 499/2004 Sb., o archivnictví a spisové službě a navazujících právních předpisů) na uložení minimálně jedné kopie dat v lokalitě vzdálené minimálně 50 km.
4.6.6. Zálohování na pásky
Dalším nezávislým opatřením je průběžné nezávislé ukládání všech samonosných informačních balíčků na offline média, jmenovitě magnetické pásky standardu LTO-8 WORM. Ukládání je realizováno prostřednictvím robotické magnetopáskové knihovny. Ukládání je řízeno přímo AIS (Modul pro offline média), takto uložená data se tedy nacházejí uvnitř systému AIS a jsou plně pod jeho kontrolou. Ukládání probíhá na dvě nezávislé sady pásek, přičemž první se ponechává na místě, druhá průběžně odváží k uložení na záložní pracoviště v Plzni.
Tímto opatřením se jednak předchází potenciálním chybám vyplývajícím z použitého HW řešení (ukládání na pásky je od ukládání na disky diametrálně odlišné a to jak co se týče způsobu manipulace s daty, tak např. i trvanlivosti médií v čase, apod.), za druhé se jedná o významnou pojistku z pohledu kybernetické bezpečnosti (WORM média nelze bez fyzického přístupu k nim přepsat nebo zničit).
4.6.7. Kontrola záloh
Ukládání na pásky ve smyslu bodu Zálohování na pásky dále disponuje vlastními ochrannými mechanizmy, jako je pravidelná (systémem AIS aktivně hlídaná) kontrola integrity uložených dat i aktivní řízení životního cyklu médií (jsou definovány jasné předpisy, jak dlouho může být na pásku zapisováno, jak dlouho se poté může používat ke čtení, jaká je periodicita předepsaných kontrol atd.). Samozřejmostí je funkcionalita pro náhradu poškozených pásek či pásek na konci životnosti (systémem řízený a důsledně kontrolovaný zápis dat na nová média).
4.6.8. Zálohování
Posledním z řady opatření je pak standardní zálohování (ve smyslu nezávislého ukládání dat vně systému, včetně provozních dat a obslužného SW), samostatně popsané v kapitole Zálohování a obnova dat.
Tímto opatřením je zajištěna možnost obnovy systému v případě selhání kteréhokoli z ostatních opatření popsaných výše. V rámci převzetí díla (informačního systému AIS) do produkce byly tyto mechanizmy (zálohování a obnova) v reálných podmínkách odzkoušeny.