萬(wàn)莉，呂美嬌

（1. 南昌大學(xué)新聞與傳播學(xué)院，南昌 330031；2. 武漢大學(xué)信息管理學(xué)院，武漢 430072）

云環(huán)境下數(shù)字學(xué)術(shù)信息資源安全保障的標(biāo)準(zhǔn)化推進(jìn)*

萬(wàn)莉1，呂美嬌2

（1. 南昌大學(xué)新聞與傳播學(xué)院，南昌 330031；2. 武漢大學(xué)信息管理學(xué)院，武漢 430072）

云環(huán)境下，數(shù)字學(xué)術(shù)信息資源安全保障涉及服務(wù)鏈中諸多機(jī)構(gòu)和社會(huì)用戶，具有多元組合服務(wù)特征，因此推進(jìn)安全保障的標(biāo)準(zhǔn)化是必須面對(duì)的社會(huì)問(wèn)題。在此背景下，本文立足國(guó)內(nèi)外現(xiàn)狀，進(jìn)行國(guó)家層面的學(xué)術(shù)資源云服務(wù)系統(tǒng)安全保障標(biāo)準(zhǔn)化推進(jìn)分析，從學(xué)術(shù)信息資源安全審查、組織與服務(wù)安全責(zé)任劃分、安全保障三方面進(jìn)行標(biāo)準(zhǔn)化推進(jìn)探索，結(jié)合現(xiàn)實(shí)情況提出對(duì)策建議。

數(shù)字學(xué)術(shù)信息；安全保障；標(biāo)準(zhǔn)化

云計(jì)算環(huán)境下我國(guó)學(xué)術(shù)信息資源建設(shè)正處于迅速發(fā)展階段，與學(xué)術(shù)信息資源云服務(wù)同步的云安全保障已成為服務(wù)組織與實(shí)施中不可回避的問(wèn)題。鑒于學(xué)術(shù)信息云服務(wù)利用的普遍性和服務(wù)鏈諸多機(jī)構(gòu)組合的現(xiàn)實(shí)，在安全保障中推進(jìn)標(biāo)準(zhǔn)化建設(shè)顯得十分重要。從整體上看，云計(jì)算環(huán)境下國(guó)家學(xué)術(shù)信息資源安全保障是一項(xiàng)社會(huì)化系統(tǒng)工程，需有章可循，以確保其安全保障措施的可靠性。其中，信息安全標(biāo)準(zhǔn)一直是我國(guó)信息安全保障體系的重要組成部分，其實(shí)踐發(fā)展為我國(guó)信息資源云安全保障的全面實(shí)現(xiàn)提供組織基礎(chǔ)。同時(shí)，云安全標(biāo)準(zhǔn)作為衡量云服務(wù)用戶安全目標(biāo)與云服務(wù)提供安全能力的標(biāo)尺，對(duì)云計(jì)算環(huán)境下國(guó)家學(xué)術(shù)信息資源安全保障的改進(jìn)有重要支撐作用[1]。目前，云安全問(wèn)題已成為制約數(shù)字學(xué)術(shù)信息云服務(wù)發(fā)展的關(guān)鍵因素，亟需推動(dòng)云安全標(biāo)準(zhǔn)化建設(shè)，提升云服務(wù)整體安全保障能力。

1 國(guó)家學(xué)術(shù)信息資源云系統(tǒng)構(gòu)建安全的標(biāo)準(zhǔn)化

目前，國(guó)內(nèi)外諸多云安全標(biāo)準(zhǔn)化研究組織在開(kāi)展云計(jì)算安全標(biāo)準(zhǔn)方面的工作。美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院立足為云計(jì)算的高效應(yīng)用提供標(biāo)準(zhǔn)服務(wù)，專注于為政府提供云計(jì)算安全相關(guān)策略與技術(shù)路線，于是先后推出《云計(jì)算標(biāo)準(zhǔn)路線圖》《云計(jì)算參考體系架構(gòu)》等。

ISO/IEC JTC1/SC27的云安全標(biāo)準(zhǔn)化推進(jìn)主要集中在安全評(píng)估、身份管理與隱私保護(hù)、安全技術(shù)與機(jī)制、信息安全管理體系、安全控制與服務(wù)等方面，信息安全技術(shù)領(lǐng)域發(fā)布《供應(yīng)商關(guān)系的信息安全》，內(nèi)含云服務(wù)安全技術(shù)指南；信息安全管理領(lǐng)域發(fā)布《基于ISO/IEC 27002的云計(jì)算服務(wù)的信息安全控制措施使用規(guī)則》著重云計(jì)算環(huán)境下信息安全管理問(wèn)題的解決；身份管理與隱私技術(shù)領(lǐng)域發(fā)布《基于ISO/IEC 27018公共云計(jì)算服務(wù)的數(shù)據(jù)保護(hù)控制措施實(shí)用規(guī)則》[2]。

云安全聯(lián)盟重點(diǎn)關(guān)注云計(jì)算環(huán)境下最佳安全方法的確定，被廣泛認(rèn)可的《云計(jì)算關(guān)鍵領(lǐng)域安全指南》提出架構(gòu)、治理和實(shí)施規(guī)則，還推出《云計(jì)算的主要風(fēng)險(xiǎn)》和云計(jì)算安全威脅的調(diào)查報(bào)告[3]。

我國(guó)云計(jì)算標(biāo)準(zhǔn)的研究正處于與國(guó)際標(biāo)準(zhǔn)融合的階段，于2012年成立全國(guó)信息安全標(biāo)準(zhǔn)化委員會(huì)云計(jì)算標(biāo)準(zhǔn)工作組，負(fù)責(zé)我國(guó)的云計(jì)算標(biāo)準(zhǔn)化工作（涉及云安全框架、云安全技術(shù)、云安全服務(wù)和云安全管理）。全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)已完成《信息安全技術(shù)云計(jì)算服務(wù)安全指南》和《信息安全技術(shù)云計(jì)算服務(wù)安全能力要求》的草案。

從云安全研究現(xiàn)狀看，國(guó)內(nèi)外標(biāo)準(zhǔn)化組織主要集中于云安全機(jī)構(gòu)、安全管理等基礎(chǔ)或通用標(biāo)準(zhǔn)。歐美國(guó)家政府機(jī)構(gòu)主要關(guān)注政府部門(mén)的云計(jì)算安全保障，行業(yè)標(biāo)準(zhǔn)化協(xié)會(huì)則關(guān)注云計(jì)算安全技術(shù)和互操作安全。國(guó)內(nèi)外更多的云計(jì)算安全標(biāo)準(zhǔn)尚處于草案和試行階段，國(guó)家學(xué)術(shù)信息資源云服務(wù)安全標(biāo)準(zhǔn)，需要從總體上進(jìn)行構(gòu)架。

學(xué)術(shù)信息資源云信息系統(tǒng)構(gòu)建是云計(jì)算環(huán)境下國(guó)家學(xué)術(shù)信息資源建設(shè)的重要組成部分，雖然我國(guó)學(xué)術(shù)信息資源云信息系統(tǒng)構(gòu)建的相關(guān)標(biāo)準(zhǔn)還未出臺(tái)，但仍需開(kāi)展相關(guān)工作，以保障云計(jì)算環(huán)境下信息系統(tǒng)的安全性及數(shù)據(jù)的可用性。傳統(tǒng)信息系統(tǒng)安全標(biāo)準(zhǔn)已相對(duì)完善，信息安全等級(jí)保護(hù)管理方法從定級(jí)、備案、建設(shè)整改、等級(jí)測(cè)評(píng)和監(jiān)督檢查五個(gè)方面明確信息安全等級(jí)保護(hù)的工作步驟[4]。云計(jì)算環(huán)境下國(guó)家學(xué)術(shù)信息資源系統(tǒng)仍然具有傳統(tǒng)信息系統(tǒng)的特征，國(guó)家學(xué)術(shù)信息資源云服務(wù)平臺(tái)在進(jìn)行安全保障的過(guò)程中可參考信息安全等級(jí)管理辦法，落實(shí)云計(jì)算環(huán)境下國(guó)家學(xué)術(shù)信息資源云服務(wù)平臺(tái)保護(hù)措施。

國(guó)家學(xué)術(shù)信息資源云信息系統(tǒng)的安全保障，需要明確學(xué)術(shù)信息資源云計(jì)算數(shù)據(jù)中心的安全保護(hù)等級(jí)以及安全邊界。一般而言，云計(jì)算數(shù)據(jù)中心由多個(gè)信息系統(tǒng)組成，其正常運(yùn)行需對(duì)多個(gè)信息系統(tǒng)的安全保護(hù)等級(jí)進(jìn)行劃分，對(duì)關(guān)鍵信息系統(tǒng)進(jìn)行重點(diǎn)保護(hù)。因此，制定國(guó)家學(xué)術(shù)信息資源云安全定級(jí)標(biāo)準(zhǔn)很有必要。

無(wú)論是傳統(tǒng)信息系統(tǒng)，還是云信息系統(tǒng)的構(gòu)建都需要滿足基本的安全建設(shè)要求。傳統(tǒng)信息系統(tǒng)主要參照《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》，對(duì)信息系統(tǒng)建設(shè)所涉及的基本安全防護(hù)要求進(jìn)行規(guī)范[5]。國(guó)家學(xué)術(shù)信息資源云計(jì)算數(shù)據(jù)中心的構(gòu)建，同樣需要制定基本的安全防護(hù)參考規(guī)范。在此基礎(chǔ)上，云計(jì)算環(huán)境下的國(guó)家學(xué)術(shù)信息資源系統(tǒng)應(yīng)構(gòu)建在管理、技術(shù)上的支持體系，明確面對(duì)新的安全風(fēng)險(xiǎn)情況下的基本防護(hù)要求。

學(xué)術(shù)信息資源服務(wù)機(jī)構(gòu)和云服務(wù)提供方需要根據(jù)云信息系統(tǒng)出臺(tái)的安全保護(hù)標(biāo)準(zhǔn)，對(duì)學(xué)術(shù)信息資源云計(jì)算數(shù)據(jù)中心的安全防護(hù)措施是否達(dá)到等級(jí)保護(hù)要求進(jìn)行判定。目前，云服務(wù)已經(jīng)在全球范圍內(nèi)開(kāi)展，面向不同國(guó)家、不同領(lǐng)域進(jìn)行應(yīng)用，應(yīng)對(duì)不同學(xué)術(shù)信息云用戶的安全防護(hù)需求，就云安全的等級(jí)防護(hù)達(dá)成一致，從而開(kāi)展廣泛的云安全評(píng)估工作，促使云計(jì)算環(huán)境下信息系統(tǒng)的規(guī)范化實(shí)施。對(duì)于云計(jì)算環(huán)境下國(guó)家學(xué)術(shù)信息資源系統(tǒng)建設(shè)的協(xié)調(diào)與監(jiān)督工作，也具有重要的標(biāo)準(zhǔn)化指導(dǎo)意義。

2 云計(jì)算環(huán)境下國(guó)家學(xué)術(shù)信息資源安全審查標(biāo)準(zhǔn)化

云計(jì)算環(huán)境下國(guó)家學(xué)術(shù)信息資源安全是國(guó)家信息安全的重要組成部分，我國(guó)面向國(guó)家安全以及公共利益的保障，推出網(wǎng)絡(luò)審查制度。在審查過(guò)程中，將云計(jì)算納入網(wǎng)絡(luò)審查范圍，通過(guò)云安全審查對(duì)云計(jì)算平臺(tái)以及國(guó)家學(xué)術(shù)信息資源安全提供保障。云安全審查標(biāo)準(zhǔn)是推動(dòng)云計(jì)算環(huán)境下國(guó)家學(xué)術(shù)信息資源安全審查的重要依據(jù)[6]。目前，我國(guó)云計(jì)算服務(wù)安全審查制度仍在不斷完善，主要參考美國(guó)聯(lián)邦政府的云計(jì)算服務(wù)安全審查制度（FedRAMP），通過(guò)建立云安全基線進(jìn)行安全審查[7]。我國(guó)在借鑒美國(guó)安全審查經(jīng)驗(yàn)的基礎(chǔ)上，構(gòu)建對(duì)于云服務(wù)提供商的安全審查依據(jù)，并制定《信息安全技術(shù)云計(jì)算服務(wù)安全能力要求》[8]。

云計(jì)算環(huán)境下國(guó)家學(xué)術(shù)信息資源建設(shè)要求各學(xué)術(shù)信息資源機(jī)構(gòu)在面向公眾的共享服務(wù)組織中，將學(xué)術(shù)信息資源數(shù)據(jù)遷移到云端存儲(chǔ)。為保障云計(jì)算環(huán)境下國(guó)家學(xué)術(shù)信息資源數(shù)據(jù)的安全，需要云服務(wù)提供方對(duì)學(xué)術(shù)信息資源服務(wù)機(jī)構(gòu)提供的云服務(wù)進(jìn)行安全審查。云計(jì)算環(huán)境下國(guó)家學(xué)術(shù)信息資源建設(shè)參與的學(xué)術(shù)信息資源服務(wù)機(jī)構(gòu)眾多，為避免出現(xiàn)各學(xué)術(shù)信息資源服務(wù)機(jī)構(gòu)重復(fù)審查的問(wèn)題，擬由國(guó)家學(xué)術(shù)信息資源建設(shè)管理部門(mén)進(jìn)行統(tǒng)一的安全審查。由學(xué)術(shù)信息資源服務(wù)機(jī)構(gòu)參與，在參照相應(yīng)規(guī)范的基礎(chǔ)上構(gòu)建云安全基線。由云計(jì)算環(huán)境下學(xué)術(shù)信息資源建設(shè)的管理部門(mén)或委托的第三方評(píng)估機(jī)構(gòu)，對(duì)云平臺(tái)提供的服務(wù)進(jìn)行評(píng)估，并根據(jù)評(píng)估結(jié)果對(duì)云服務(wù)提供商進(jìn)行安全審查；安全審查結(jié)果可對(duì)學(xué)術(shù)信息資源服務(wù)機(jī)構(gòu)公開(kāi)，以減少重復(fù)審查，提高云安全審查效率。

《信息安全技術(shù)云計(jì)算服務(wù)安全能力要求》對(duì)云服務(wù)提供商提出應(yīng)具備基本安全能力的要求，其內(nèi)容涉及云計(jì)算平臺(tái)用戶信息以及業(yè)務(wù)信息安全。上述標(biāo)準(zhǔn)的制定和執(zhí)行，對(duì)云計(jì)算環(huán)境下國(guó)家學(xué)術(shù)信息資源安全保障具有重要意義[9]。在《信息安全技術(shù)云計(jì)算服務(wù)安全能力要求》的基礎(chǔ)上，構(gòu)建云服務(wù)提供商的安全審查要求（見(jiàn)表1）。

表1 云服務(wù)提供商的安全審查要求

云計(jì)算環(huán)境下國(guó)家學(xué)術(shù)信息資源安全審查，需要在云安全審查的通用標(biāo)準(zhǔn)上進(jìn)行拓展，針對(duì)云計(jì)算環(huán)境下國(guó)家學(xué)術(shù)信息資源安全的特征，在實(shí)踐探索基礎(chǔ)上建立規(guī)范。云計(jì)算環(huán)境下國(guó)家學(xué)術(shù)信息資源云存儲(chǔ)的數(shù)據(jù)安全、用戶隱私保護(hù)、跨云認(rèn)證、知識(shí)產(chǎn)權(quán)保護(hù)等問(wèn)題都需要進(jìn)一步探討，以確立符合實(shí)際和具有可操作性的云安全基線。

3 云計(jì)算環(huán)境下學(xué)術(shù)信息資源安全責(zé)任劃分標(biāo)準(zhǔn)化

云計(jì)算環(huán)境下學(xué)術(shù)信息資源安全建設(shè)以及云服務(wù)提供的安全保障實(shí)施，一般由云用戶和云服務(wù)提供者以基于協(xié)議的形式，對(duì)安全問(wèn)題及相應(yīng)的責(zé)任進(jìn)行約定。目前，基于SLA的服務(wù)等級(jí)協(xié)議雖然可起到一定的約束作用，但在實(shí)際執(zhí)行中云服務(wù)提供商通常無(wú)法達(dá)到預(yù)期的服務(wù)質(zhì)量要求[8]。由于云計(jì)算環(huán)境下的調(diào)查取證困難，因此云安全責(zé)任認(rèn)定常難以有效進(jìn)行。在實(shí)施云計(jì)算環(huán)境下國(guó)家學(xué)術(shù)信息資源安全保障的過(guò)程中，需要與云服務(wù)提供商基于相關(guān)標(biāo)準(zhǔn)框架明確雙方的信息安全保障責(zé)任與義務(wù)。

云計(jì)算環(huán)境下安全責(zé)任的劃分與云計(jì)算服務(wù)模式密切相關(guān)，如SaaS、PaaS、IaaS用戶承擔(dān)的安全管理責(zé)任不同[10]。在不同的服務(wù)模式下，安全責(zé)任的邊界和內(nèi)容也不一樣，越接近IaaS，云用戶承擔(dān)的安全責(zé)任越大。云服務(wù)模式與控制范圍的關(guān)系如圖1所示。

圖1 云服務(wù)模式與控制范圍的關(guān)系

在SaaS中，云服務(wù)商需要承擔(dān)物理資源層、資源抽象和控制層、操作系統(tǒng)、應(yīng)用程序等的相關(guān)責(zé)任；用戶需要承擔(dān)自身數(shù)據(jù)安全、用戶端安全等的相關(guān)責(zé)任。在PaaS中，云服務(wù)商需要承擔(dān)物理資源層、資源抽象和控制層、操作系統(tǒng)、開(kāi)發(fā)平臺(tái)等的相關(guān)責(zé)任；用戶需要承擔(dān)應(yīng)用部署與管理，以及SaaS中客戶應(yīng)承擔(dān)的相關(guān)責(zé)任；在IaaS中，云服務(wù)商需要承擔(dān)物理資源層、資源抽象和控制層等的相關(guān)責(zé)任，用戶需要承擔(dān)操作系統(tǒng)部署與管理，以及PaaS、SaaS中用戶應(yīng)承擔(dān)的相關(guān)責(zé)任。目前，云服務(wù)提供商間的協(xié)同合作已成為一種趨勢(shì)，為提高競(jìng)爭(zhēng)力、優(yōu)化資源配置，越來(lái)越多的云服務(wù)提供商采用其他供應(yīng)商的產(chǎn)品與服務(wù)。如SaaS、PaaS服務(wù)提供商可能依賴于IaaS服務(wù)提供商的基礎(chǔ)資源服務(wù)。在這種情況下，安全保障措施涉及云供應(yīng)鏈中其他服務(wù)提供商的參與。因此，云計(jì)算安全措施的實(shí)施責(zé)任有四類(lèi)，如表2所示。

表2 云計(jì)算安全責(zé)任

云服務(wù)提供商所提供的云平臺(tái)滿足安全標(biāo)準(zhǔn)，并不意味著云服務(wù)提供商的安全能力達(dá)到合同要求。一般而言，需第三方審計(jì)機(jī)構(gòu)對(duì)云服務(wù)提供商進(jìn)行測(cè)評(píng)，測(cè)評(píng)結(jié)果可作為云用戶選定云服務(wù)提供商的參考[11]。當(dāng)云用戶通過(guò)評(píng)估選定云服務(wù)提供商，需要云服務(wù)提供商對(duì)其信息安全保障進(jìn)行申明，使云用戶遷移到云端的數(shù)據(jù)受到合理保護(hù)。

4 結(jié)語(yǔ)

云計(jì)算環(huán)境下國(guó)家學(xué)術(shù)信息資源安全面臨諸多新的復(fù)雜問(wèn)題，無(wú)法參照傳統(tǒng)環(huán)境下的安全保障措施進(jìn)行保護(hù)。云計(jì)算環(huán)境下國(guó)家學(xué)術(shù)信息資源建設(shè)中的安全標(biāo)準(zhǔn)建設(shè)和實(shí)施問(wèn)題，需要在現(xiàn)有信息安全標(biāo)準(zhǔn)和云計(jì)算安全標(biāo)準(zhǔn)基礎(chǔ)上，圍繞國(guó)家學(xué)術(shù)信息資源云系統(tǒng)構(gòu)建的安全標(biāo)準(zhǔn)化體系、云計(jì)算環(huán)境下數(shù)字學(xué)術(shù)信息資源的安全審查標(biāo)準(zhǔn)構(gòu)架和安全責(zé)任劃分標(biāo)準(zhǔn)完善進(jìn)行標(biāo)準(zhǔn)化推進(jìn)。同時(shí)，為進(jìn)一步健全國(guó)家數(shù)字學(xué)術(shù)信息資源云安全標(biāo)準(zhǔn)化推進(jìn)中的制度建設(shè)，實(shí)現(xiàn)學(xué)術(shù)信息資源數(shù)據(jù)遷移、存儲(chǔ)、管理、開(kāi)發(fā)，以及應(yīng)用安全標(biāo)準(zhǔn)的采用，需從制度、系統(tǒng)和技術(shù)上全面實(shí)現(xiàn)。

[1]王惠蒞,楊晨,楊建軍.云計(jì)算安全和標(biāo)準(zhǔn)研究[J].信息技術(shù)與標(biāo)準(zhǔn)化,2012(5):16-19,27.

[2]顏斌.云計(jì)算安全相關(guān)標(biāo)準(zhǔn)研究現(xiàn)狀初探[J].信息安全與通信保密,2012(11):66-68.

[3]CSA.Securityguidance for critical areas of focus in cloud computing V3.0[EB/OL].[2017-05-27].https://cloudsecurityalliance.org/guidance/csaguide.v3.0.pdf.

[4]王文文,孫新召.信息安全等級(jí)保護(hù)淺議[J].計(jì)算機(jī)安全,2013(1):68-71.

[5]公安部信息安全等級(jí)保護(hù)評(píng)估中心.信息系統(tǒng)安全等級(jí)保護(hù)基本要求:GB/T 22239—2008[S].北京:中國(guó)標(biāo)準(zhǔn)出版社,2008.

[6]高林.關(guān)于云安全審查國(guó)家標(biāo)準(zhǔn)制定的思考[J].中國(guó)信息安全,2014(6):104-105.

[7]顧偉,劉振宇.英美網(wǎng)絡(luò)安全審查機(jī)制及其啟示[J].信息安全與通信保密,2017(3):72-78.

[8]何明,沈軍.云計(jì)算安全測(cè)評(píng)體系研究[J].電信科學(xué),2017,30(Z2):98-102.

[9]云計(jì)算服務(wù)安全能力要求[EB/OL].(2015-05-08)[2017-06-10].http://wenku.baidu.com/view/3e5d836b19e8b8f67d1cb95e.html?from=search.

[10]林闖,蘇文博,孟坤,等.云計(jì)算安全:架構(gòu)、機(jī)制與模型評(píng)價(jià)[J].計(jì)算機(jī)學(xué)報(bào),2013,36(9):1765-1784.

[11]PATEL A,TAGHAVI M,BAKHTIYARI K,et al.An intrusion detection and prevention system in cloud computing: a systematic review[J].Journal of Network and Computer Applications,2013,36(1):25-41.

Standardization Promotion of Digital Academic Information Resources Security under Cloud Environment

WAN Li1, LV MeiJiao2
(1. School of Journalism & Communication, Nanchang University, Nanchang 330031, China;2. School of Information Management, Wuhan University, Wuhan 430072, China)

In the cloud environment, the security of digital academic information resource involves many organizations and social users in the service chain, and has multiple combinations of service features. Therefore, promoting the standardization of safety guarantee is a social problem. In this context, this article based on the reality at home and abroad, carried on analysis of academic resources cloud service system security standardization promotion from the national level; from the academic information resources security review, the division of security responsibilities for the organization and services of academic information resources, and the organization of academic information resources security guarantee, explored the promotion of the standardization; furthermore, put forward countermeasures and suggestions combined with reality.

Digital Academic Information; Safety Guarantee; Standardization

G203

10.3772/j.issn.1673-2286.2017.07.004

萬(wàn)莉，女，1985年生，博士，講師，研究方向：數(shù)字信息資源管理與服務(wù)，E-mail：393506143@qq.com。

呂美嬌，女，1987年生，博士研究生，研究方向：信息安全，E-mail：416852559@qq.com。

2017-07-06）

* 本研究得到國(guó)家社會(huì)科學(xué)基金重大項(xiàng)目“云環(huán)境下國(guó)家數(shù)字學(xué)術(shù)資源信息安全保障體系研究”（編號(hào)：14ZDB168）資助。