學術信息資源安全體制建設探討范文
本站小編為你精心準備了學術信息資源安全體制建設探討參考范文,愿這些范文能點燃您思維的火花,激發您的寫作靈感。歡迎深入閱讀并收藏。
云環境下國家學術信息資源安全的實現,既需要理解其安全保障機制與規律,突破關鍵技術問題,也需要進行配套的體制創新與完善。從云環境下國家學術信息資源安全保障機制出發,安全體制創新的方向是建設政府主導、機構主體、社會協同的安全體制。為實現這一目標,立足于當前實際,需要重點從以下幾個方面推進:強化政府與行業組織安全保障職能,完善相關法律法規和安全標準體系,面向學術信息資源進行云服務組織與可信認證,完善國家學術信息資源服務主體與云服務商的安全保障協同機制。
1國家學術信息資源安全保障中的政府與行業組織職能強化
當前情況下,相關政府機關和行業組織對國家學術信息資源仍然持“重建設,輕安全”的態度,其安全保障和監管職能也相對較弱,這種情況無法適應云環境下國家學術信息資源安全保障的要求,因此需要從組織架構和工作安排上強化其安全職能。
1.1國家學術信息資源安全保障中的政府職能強化
云環境下,國家學術信息資源安全保障主體的多元化和保障模式的集中化要求在安全監管上打破部門限制,更加注重監管的統一性和協同性;同時,云環境下國家學術信息資源面臨的安全問題更加嚴重,安全威脅更加復雜[1-2],這就要求更加重視安全保障工作。基于此,為實現云環境下國家學術信息資源安全保障的政府主導,需要從兩個方面強化政府的安全職能:設立國家學術信息資源安全保障議事協調機構和加強對國家學術信息資源安全的監管。
1)設立國家學術信息資源安全保障議事協調機構。國家學術信息資源安全保障議事協調機構設立的目的是為了適應云環境下國家學術信息資源安全保障機制的要求,做好頂層設計,打破九龍治水、各自為政的局面,統籌協調相關職能部門和主管部門協同開展工作,突破云環境下國家學術信息資源安全保障中的全局性、戰略性問題,提升安全保障能力。針對云環境,其主要職能包括以下3個方面。①研究制定云環境下國家學術信息資源安全保障的戰略、規劃、政策,推動相關法律法規、標準規范的制定和完善。②針對國家學術信息資源安全保障中的關鍵問題,以重點工程的形式進行突破,增強安全保障能力。③統籌協調相關職能部門和主管部門,增強其工作的一致性和協同性,指導、監督國家學術信息資源安全保障工作開展。在國家學術信息資源安全保障議事協調機構設立的推進上,建議由科技部牽頭組建。其原因是,盡管科技部、教育部和文化部均是重要的國家學術信息資源服務主體的主管部門,但從部門職能看科技部更為合適,因為其擔負著推進國家科技基礎條件平臺建設和科技資源共享、推進科技體制改革的職責[3]。同時,根據《國務院行政機構設置和編制管理條例》的規定,“設立議事協調機構,應當明確規定承擔辦事職能的具體工作部門,一般不單設實體性辦事機構”,因此可以將該機構掛靠到科技部。
2)加強對國家學術信息資源安全的監管。在國家學術信息資源安全保障的監管方面,需要深入貫徹落實“網絡安全和信息化是一體之兩翼、驅動之雙輪,必須統一謀劃、統一部署、統一推進、統一實施”講話精神,既要扭轉“重建設,輕安全”的思路,加大監管力度,也不能因噎廢食,影響國家學術信息資源的開放共享利用,而要安全與利用并重,實現其同步推進。首先,為增強安全監管的針對性和靈活性,需要將國家學術信息資源安全監管獨立出來,作為專門工作推進。目前,國家學術信息資源系統往往是作為其依托單位的一個組成部分進行統一監管的,這種體制下其安全監管只能是粗放型監管,無法結合其特點進行針對性的監管。其次,需要以信息安全等級保護制度為基礎進行差異化監管。一方面,需要根據國家學術信息資源系統安全等級的差異,制定云服務部署模式規范,安全等級高的系統要慎用社會化云服務,尤其是公有云。另一方面,在云平臺選擇上,需貫徹云平臺安全等級不得低于國家學術信息資源系統的基本原則。此外,對于資源重要性高、獨占性強、資源量大的重要國家學術信息資源系統,如NSTL,CALIS等,需要加大監管力度,確保其資源和服務安全。
1.2國家學術信息資源安全保障中的行業組織職能強化
網絡環境下,我國學術信息資源領域的行業協會、聯盟等行業自治組織的工作重心一直都是以促進各國家學術信息資源服務主體間的資源共建共享為主,而對其安全保障關注不夠,這方面的職能較弱。為發揮云環境下安全保障中行業組織的作用,需要從以下3個方面強化其安全職能。首先,從業務范圍調整和組織體制變革入手,將安全保障納入其業務范圍并從組織層面上加以保障。將安全協調納入其業務范圍,有助于其根本上扭轉輕視安全、忽視安全的心理狀態,為強化安全職能奠定基礎。在現有的國家學術信息資源行業組織中,鮮有組織設立以安全為核心的業務部門,這也使得行業組織在安全工作開展上缺乏人才支撐。因此,在調整業務范圍的同時,需要進行體制創新,設立專門的安全保障推進部門,并將其作為核心部門,保持其權威性。其次,加強云環境下國家學術信息資源安全保障的研究。掌握安全保障的基本規律,是行業組織協助政府進行安全保障監管和開展行業自律的基礎,因此行業組織需要加強云環境下國家學術信息資源安全保障研究工作,包括安全框架、技術應用、管理機制、安全規范和標準等方面。最后,發揮行業組織的橋梁作用,積極參與云環境下國家學術信息資源安全的治理。一方面,需要協助政府機關做好安全監督,比如在政府授權下組織開展可信云服務認證、國家學術信息資源系統安全認證等;另一方面,需要引導國家學術信息資源服務主體加強自律,包括法律法規宣貫、國家和行業安全標準推廣、安全技能培訓等;此外,還需要充分發揮其代表作用,與云服務商及其行業組織溝通協調,保障國家學術信息資源服務主體的利益。
2云環境下國家學術信息資源安全法律法規和標準體系
健全完善的法律法規和標準體系是開展云環境下國家學術信息資源安全保障社會化安全監督、維護各方權益的依據,但目前情況相關信息法律法規和安全標準的建設都落后于實踐發展的需要,因此需要加快推進。
2.1國家學術信息資源安全法律法規健全
云環境下國家學術信息資源安全保障不僅需要依靠信息安全技術的應用,而且需要通過法律法規對相關主客體的權利義務進行規范,為各關聯方提供制度支持。由于云計算技術的特殊性,傳統IT環境下制定的法律法規不能全面滿足其應用要求,因此需要針對云環境下的技術和服務特點加以完善。1)明確云服務商的安全責任。對云服務商安全保障行為監督的有效開展,必須以明確的安全責任規范為前提。在實踐推進中,首先需要根據云服務組織模式明確安全責任范圍,在此過程中尤其要注意多級云服務模式下的安全責任劃分。其次,需要根據安全事故引發的根本原因(如自然災害等不可抗力,云計算技術本身的安全缺陷,云服務商的工作疏忽等)進行安全責任類型劃分,并據此進行差異化處理規范的制定。2)云服務合同干預。合同簽訂中,云服務商往往提供標準格式合同供國家學術信息服務主體簽署,而且在合同中其可能利用自身優勢地位對安全風險進行規避性約定。盡管出現法律糾紛時,法院可以對合同進行校正,但是直接簽訂一份公平的合同更為合理。基于此,主管部門或行業組織可以出具指導性云服務合同示范文本,或者對合同作出規范,以保護國家學術信息資源服務主體的權益。3)保障國家學術信息資源服務主體的知情權和隱私權。知情權和隱私權是國家學術信息資源服務主體的兩項基本權利,需要重點加以保護。其中,知情權是隱私權等各項權利的基礎[4],因此需要優先予以保護。其核心是要求云服務商全面、客觀、真實、及時地告知與云服務相關的信息,尤其是涉及國家學術信息資源安全、隱私信息安全的信息,以便及時作出應對。而在隱私保護中,首先需要通過立法明確隱私信息的范疇,并確定隱私保護標準,其基本原則是既要充分保護權利,又要限制權利的過分擴張。
2.2國家學術信息資源安全標準體系健全
安全標準的制定和推行是提升云環境下國家學術信息資源安全保障能力和效果的重要途徑,但目前而言,我國僅制定了兩個關于云計算的通用安全標準,而針對學術信息資源云計算應用的安全標準還處于空白狀態。因此,云計算信息安全標準的健全和完善亟待推進。1)加快制定云計算信息安全通用標準建設。云環境下國家學術信息資源安全保障具有一般云計算信息安全保障的共性,因此通用安全標準建設對其安全保障也具有重要參考作用,而且通用標準能夠為行業標準的制定提供指導和借鑒,因此需要加快云計算信息安全通用標準建設。在實踐上,工信部已經從安全基礎(包括云安全術語、云安全指南、模型與框架)、安全技術與產品(包括軟件安全、設備安全、技術和產品安全測評)、服務安全(包括運營安全、服務安全測評)、安全管理(包括管理基礎、管理支撐技術、安全監管)4個方面進行了系統規劃[5],全面涵蓋了云計算信息安全的各個方面。目前的核心問題是,需要加強標準研發的技術力量,加快標準研發的進度,以盡快為云計算信息安全保障提供指導。2)建立云環境下國家學術信息資源安全行業標準體系。在通用標準體系的基礎上,應加強面向國家學術信息資源的行業安全標準建設,針對國家學術信息資源的特點,進行安全技術標準選擇和改造,增強對國家學術信息資源安全保障指導的針對性。在推進過程中,需要特別關注以下幾個方面。第一,加強云環境下國家學術信息資源安全標準體系建設的頂層設計,注重標準的協調性。第二,在標準制定時,盡量使用通用安全標準,避免無謂的標新立異和重復建設。第三,從國外及相關領域的實踐經驗看[6-7],云服務采購對最終的安全保障效果具有重要影響,因此需要特別注重該領域的標準制定,全面規范從云服務和云服務商選擇到云服務退出的每一個環節。
3面向學術信息資源的云服務組織與可信認證
由于各類國家學術信息資源服務主體的資源特征和安全需求具有較強的共性,因此面向學術信息資源進行云服務的組織有助于在安全保障方面提供更具針對性的保護,從而提升國家學術信息資源安全保障能力。同時,面向學術信息資源云計算應用進行可信云計算認證,也有助于為國家學術信息資源服務主體推薦更合適的云服務商,降低其云服務商選擇成本。
3.1面向學術信息資源的PaaS和SaaS云服務組織
由于國家學術信息資源服務主體在資源特點、業務類型和安全需求上較為相近,同時與國家學術信息資源服務主體相比,云服務商的安全技術能力更強,管理機制和組織機制更加健全,因此,推進面向學術信息資源的PaaS和SaaS云服務組織不僅能夠提升國家學術信息資源安全保障能力,而且具有現實可行性。在組織模式上,既可以基于市場化的方式進行推進,也可以從國家學術信息資源PaaS和SaaS云服務的公共物品屬性入手,以公共物品供給的模式進行云服務的組織,由政府或學術信息資源行業組織等推進。1)社會化IaaS公有云。其自身安全是學術信息資源PaaS和SaaS云服務安全的基礎,因此在選擇云服務商時需要慎重。同時,為提升安全性,可以基于多家IaaS云服務商進行構建,這樣彼此之間可以互為備份,在提升服務穩定性的同時避免被云服務商鎖定。2)面向學術信息資源的PaaS云服務。其既可以作為獨立的服務業務,也可以作為學術信息資源SaaS服務構建的基礎。在實現中,除了滿足國家學術信息資源服務主體的功能需求外,也需要滿足其基本安全保障需求。3)面向學術信息資源的SaaS云服務。在組織實現中,既可以推出整體化解決方案,也可以將各類服務需求做成獨立模塊,供國家學術信息資源服務主體進行個性化定制。與PaaS服務類似,在服務組織中需要保障其安全性。4)面向學術信息資源的安全組件。由于部分國家學術信息資源的安全保障要求較高,只依靠PaaS和SaaS云服務內嵌的基礎安全措施無法滿足其需求,因此可以提供一些防護能力更強的獨立安全工具,供國家學術信息資源服務主體靈活定制。
3.2面向學術信息資源的可信云服務認證
可信云服務認證是建立客戶對云服務商的信任,幫助客戶減少云服務商選擇的盲目性,降低篩選成本的有效手段[8-10],基于此,我國也由工信部會同數據中心聯盟等行業自治組織開展了可信云服務認證工作,并取得了初步成效。但當前的認證主要是面向通用云計算應用需求的認證,缺乏面向學術信息資源應用的針對性。因此,為更好地服務國家學術信息資源服務主體,需要組織開展面向學術信息資源的可信云服務認證。在組織推進上,需要建立由國家學術信息資源安全保障議事協調機構主導的認證體制,其牽涉到的主體還包括學術信息資源行業組織、第三方考評機構。考評認證的實施流程如圖3所示:①在獲得工信部可信認證的基礎上,云服務商向行業組織提出認證申請。②學術信息資源行業組織接到申請后,將其分配給第三方考評機構進行評估。③第三方考評機構根據標準對其進行考評,并將考評結果提交給學術信息資源行業組織。④學術信息資源行業組織對各第三方考評機構的考評結果進行匯總,并提交給國家學術信息資源安全保障議事協調機構。⑤國家學術信息資源安全保障議事協調機構組織專家對考評結果進行審核,并對通過考評的云服務商頒發學術信息資源可信云服務證書。
4云環境下國家學術信息資源安全保障主體責任劃分與融合
云環境下,為更好地實現國家學術信息資源服務主體與云服務商在安全保障上協同,需明確兩者的安全保障責任范圍,并在實踐工作中積極推進其在安全保障上融合。
4.1云環境下國家學術信息資源安全保障主體責任劃分
云計算的技術特點決定了云環境下國家學術信息資源安全保障需要由國家學術信息資源服務主體與云服務商協同完成。明確兩者的定位及其在安全保障中的職責,是建立協同安全保障機制的基礎。云環境下,盡管隨著IT資源管理與運營的外包,國家學術信息資源服務主體也實現了部分安全保障具體工作的外包,但是安全責任不能轉移,其依然是國家學術信息資源安全的最終責任人[11]。因此,其需要主導國家學術信息資源安全保障工作的開展,并對最終效果負責。體現在工作實踐中,其需要扮演好安全保障措施的執行者和云服務商安全保障工作的監督者兩個角色。作為執行者,國家學術信息資源服務主體的主要職責包括兩類:一是選擇安全可信的云服務商和云服務業務;二是與云服務商明確安全保障的職責范圍,并切實做好職責內的安全保障工作。在安全保障職責劃分上,其職責范圍大小與所采用的云服務模式有關,IaaS模式下范圍最大,PaaS模式次之,SaaS模式最小,如圖4所示。值得指出的是,鑒于一個國家學術信息資源服務主體可能同時采用多種云服務,因此其在安全職責劃分上需要與每一個云服務商單獨進行商定。作為監督者,國家學術信息資源服務主體需要對云服務商的安全保障工作進行監督,主要職責包括:監督云服務商嚴格履行合同規定的各項責任和義務,遵守相關規章制度和標準;對云服務商的云平臺定期開展安全檢查;在云服務商的支持配合下,對服務運行狀態、性能指標、重大變更監管、監視技術和接口、安全事件等進行監控。云服務商作為安全保障的主要協同機構,其定位是安全保障措施的執行者,主要職責包括3個方面。①根據安全保障責任劃分,采取有效的管理和技術措施確保國家學術信息資源及業務系統的保密性、完整性和可用性。②主動接受國家學術信息資源服務主體的監管,及時主動通報相關信息,并為其監管的實施提供工具支持。③云服務商作為市場經營主體,需要符合我國政府監管部門的安全符合性要求,包括遵守信息安全政策、法規和標準,保證安全能力持續符合國家安全標準,按照約定對安全事故賠償負責等。
4.2國家學術信息資源服務主體與云服務商的安全保障融合
推進國家學術信息資源服務主體與云服務商在安全保障中的融合,其目標是實現兩者在安全保障中的無縫協同,既不留下安全保障盲區,也不出現安全保障效果參差不齊的問題,為此,需要從以下幾個方面加以推進。
1)分工明確,并建立安全保障效果量化指標體系和約束機制。分工細致、明確是確保不留安全保障盲區的基礎,因此在安全責任劃分中,需要將其具體化至特定的模塊、資源甚至操作。在此基礎上,針對每一項工作,建立量化指標體系,以便于雙方對于安全要求達成一致理解,更好地把握安全保障工作的力度,選擇合適的安全保障工具或技術方案。同時,需要建立對云服務商的約束機制,以督促其保質保量地完成安全保障工作,實踐中應用較為廣泛的解決方案是基于SLA協議對其進行約束。
2)對于需要國家學術資源服務主體和云服務商共同參與的安全保障工作,建立響應和合作機制。在安全保障實踐中,部分安全措施的部署和安全事件的處理需要雙方配合完成,為保障此類工作的效率和效果,需要將這些工作進行類型細分,并分別建立響應和合作機制,實現處理流程上的規范化。
3)云服務商需要面向國家學術信息資源服務主體提供安全防護和管理工具、最佳實踐指南等,以幫助其做好安全保障工作。針對共性安全防護和管理工具需求,提供可定制和二次開發的技術工具,有助于降低國家學術信息資源服務主體的開發成本,改善安全保障效果。同時,提供最佳實踐指南有助于設計出在該云平臺下效率更高、效果更好的安全保障方案。
4)在進行云計算部署時,需要充分適應云平臺的技術特點和安全保障機制,這一點尤其適用于IaaS和PaaS云服務的部署。在采用這兩類云服務時,實質上是基于云服務商的基礎IT環境進行學術信息資源系統的構建。由于不同云服務商有其自身的技術特點,因此需要進行適應性的架構與技術方案設計,從而與其安全保障機制相兼容并取得最佳安全保障效果。
