萬莉，呂美嬌

（1. 南昌大學(xué)新聞與傳播學(xué)院，南昌 330031；2. 武漢大學(xué)信息管理學(xué)院，武漢 430072）

云環(huán)境下數(shù)字學(xué)術(shù)信息資源安全保障的標(biāo)準(zhǔn)化推進(jìn)*

萬莉1，呂美嬌2

（1. 南昌大學(xué)新聞與傳播學(xué)院，南昌 330031；2. 武漢大學(xué)信息管理學(xué)院，武漢 430072）

云環(huán)境下，數(shù)字學(xué)術(shù)信息資源安全保障涉及服務(wù)鏈中諸多機(jī)構(gòu)和社會用戶，具有多元組合服務(wù)特征，因此推進(jìn)安全保障的標(biāo)準(zhǔn)化是必須面對的社會問題。在此背景下，本文立足國內(nèi)外現(xiàn)狀，進(jìn)行國家層面的學(xué)術(shù)資源云服務(wù)系統(tǒng)安全保障標(biāo)準(zhǔn)化推進(jìn)分析，從學(xué)術(shù)信息資源安全審查、組織與服務(wù)安全責(zé)任劃分、安全保障三方面進(jìn)行標(biāo)準(zhǔn)化推進(jìn)探索，結(jié)合現(xiàn)實(shí)情況提出對策建議。

數(shù)字學(xué)術(shù)信息；安全保障；標(biāo)準(zhǔn)化

云計(jì)算環(huán)境下我國學(xué)術(shù)信息資源建設(shè)正處于迅速發(fā)展階段，與學(xué)術(shù)信息資源云服務(wù)同步的云安全保障已成為服務(wù)組織與實(shí)施中不可回避的問題。鑒于學(xué)術(shù)信息云服務(wù)利用的普遍性和服務(wù)鏈諸多機(jī)構(gòu)組合的現(xiàn)實(shí)，在安全保障中推進(jìn)標(biāo)準(zhǔn)化建設(shè)顯得十分重要。從整體上看，云計(jì)算環(huán)境下國家學(xué)術(shù)信息資源安全保障是一項(xiàng)社會化系統(tǒng)工程，需有章可循，以確保其安全保障措施的可靠性。其中，信息安全標(biāo)準(zhǔn)一直是我國信息安全保障體系的重要組成部分，其實(shí)踐發(fā)展為我國信息資源云安全保障的全面實(shí)現(xiàn)提供組織基礎(chǔ)。同時(shí)，云安全標(biāo)準(zhǔn)作為衡量云服務(wù)用戶安全目標(biāo)與云服務(wù)提供安全能力的標(biāo)尺，對云計(jì)算環(huán)境下國家學(xué)術(shù)信息資源安全保障的改進(jìn)有重要支撐作用[1]。目前，云安全問題已成為制約數(shù)字學(xué)術(shù)信息云服務(wù)發(fā)展的關(guān)鍵因素，亟需推動云安全標(biāo)準(zhǔn)化建設(shè)，提升云服務(wù)整體安全保障能力。

1 國家學(xué)術(shù)信息資源云系統(tǒng)構(gòu)建安全的標(biāo)準(zhǔn)化

目前，國內(nèi)外諸多云安全標(biāo)準(zhǔn)化研究組織在開展云計(jì)算安全標(biāo)準(zhǔn)方面的工作。美國國家標(biāo)準(zhǔn)與技術(shù)研究院立足為云計(jì)算的高效應(yīng)用提供標(biāo)準(zhǔn)服務(wù)，專注于為政府提供云計(jì)算安全相關(guān)策略與技術(shù)路線，于是先后推出《云計(jì)算標(biāo)準(zhǔn)路線圖》《云計(jì)算參考體系架構(gòu)》等。

ISO/IEC JTC1/SC27的云安全標(biāo)準(zhǔn)化推進(jìn)主要集中在安全評估、身份管理與隱私保護(hù)、安全技術(shù)與機(jī)制、信息安全管理體系、安全控制與服務(wù)等方面，信息安全技術(shù)領(lǐng)域發(fā)布《供應(yīng)商關(guān)系的信息安全》，內(nèi)含云服務(wù)安全技術(shù)指南；信息安全管理領(lǐng)域發(fā)布《基于ISO/IEC 27002的云計(jì)算服務(wù)的信息安全控制措施使用規(guī)則》著重云計(jì)算環(huán)境下信息安全管理問題的解決；身份管理與隱私技術(shù)領(lǐng)域發(fā)布《基于ISO/IEC 27018公共云計(jì)算服務(wù)的數(shù)據(jù)保護(hù)控制措施實(shí)用規(guī)則》[2]。

云安全聯(lián)盟重點(diǎn)關(guān)注云計(jì)算環(huán)境下最佳安全方法的確定，被廣泛認(rèn)可的《云計(jì)算關(guān)鍵領(lǐng)域安全指南》提出架構(gòu)、治理和實(shí)施規(guī)則，還推出《云計(jì)算的主要風(fēng)險(xiǎn)》和云計(jì)算安全威脅的調(diào)查報(bào)告[3]。

我國云計(jì)算標(biāo)準(zhǔn)的研究正處于與國際標(biāo)準(zhǔn)融合的階段，于2012年成立全國信息安全標(biāo)準(zhǔn)化委員會云計(jì)算標(biāo)準(zhǔn)工作組，負(fù)責(zé)我國的云計(jì)算標(biāo)準(zhǔn)化工作（涉及云安全框架、云安全技術(shù)、云安全服務(wù)和云安全管理）。全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會已完成《信息安全技術(shù)云計(jì)算服務(wù)安全指南》和《信息安全技術(shù)云計(jì)算服務(wù)安全能力要求》的草案。

從云安全研究現(xiàn)狀看，國內(nèi)外標(biāo)準(zhǔn)化組織主要集中于云安全機(jī)構(gòu)、安全管理等基礎(chǔ)或通用標(biāo)準(zhǔn)。歐美國家政府機(jī)構(gòu)主要關(guān)注政府部門的云計(jì)算安全保障，行業(yè)標(biāo)準(zhǔn)化協(xié)會則關(guān)注云計(jì)算安全技術(shù)和互操作安全。國內(nèi)外更多的云計(jì)算安全標(biāo)準(zhǔn)尚處于草案和試行階段，國家學(xué)術(shù)信息資源云服務(wù)安全標(biāo)準(zhǔn)，需要從總體上進(jìn)行構(gòu)架。

學(xué)術(shù)信息資源云信息系統(tǒng)構(gòu)建是云計(jì)算環(huán)境下國家學(xué)術(shù)信息資源建設(shè)的重要組成部分，雖然我國學(xué)術(shù)信息資源云信息系統(tǒng)構(gòu)建的相關(guān)標(biāo)準(zhǔn)還未出臺，但仍需開展相關(guān)工作，以保障云計(jì)算環(huán)境下信息系統(tǒng)的安全性及數(shù)據(jù)的可用性。傳統(tǒng)信息系統(tǒng)安全標(biāo)準(zhǔn)已相對完善，信息安全等級保護(hù)管理方法從定級、備案、建設(shè)整改、等級測評和監(jiān)督檢查五個(gè)方面明確信息安全等級保護(hù)的工作步驟[4]。云計(jì)算環(huán)境下國家學(xué)術(shù)信息資源系統(tǒng)仍然具有傳統(tǒng)信息系統(tǒng)的特征，國家學(xué)術(shù)信息資源云服務(wù)平臺在進(jìn)行安全保障的過程中可參考信息安全等級管理辦法，落實(shí)云計(jì)算環(huán)境下國家學(xué)術(shù)信息資源云服務(wù)平臺保護(hù)措施。

國家學(xué)術(shù)信息資源云信息系統(tǒng)的安全保障，需要明確學(xué)術(shù)信息資源云計(jì)算數(shù)據(jù)中心的安全保護(hù)等級以及安全邊界。一般而言，云計(jì)算數(shù)據(jù)中心由多個(gè)信息系統(tǒng)組成，其正常運(yùn)行需對多個(gè)信息系統(tǒng)的安全保護(hù)等級進(jìn)行劃分，對關(guān)鍵信息系統(tǒng)進(jìn)行重點(diǎn)保護(hù)。因此，制定國家學(xué)術(shù)信息資源云安全定級標(biāo)準(zhǔn)很有必要。

無論是傳統(tǒng)信息系統(tǒng)，還是云信息系統(tǒng)的構(gòu)建都需要滿足基本的安全建設(shè)要求。傳統(tǒng)信息系統(tǒng)主要參照《信息系統(tǒng)安全等級保護(hù)基本要求》，對信息系統(tǒng)建設(shè)所涉及的基本安全防護(hù)要求進(jìn)行規(guī)范[5]。國家學(xué)術(shù)信息資源云計(jì)算數(shù)據(jù)中心的構(gòu)建，同樣需要制定基本的安全防護(hù)參考規(guī)范。在此基礎(chǔ)上，云計(jì)算環(huán)境下的國家學(xué)術(shù)信息資源系統(tǒng)應(yīng)構(gòu)建在管理、技術(shù)上的支持體系，明確面對新的安全風(fēng)險(xiǎn)情況下的基本防護(hù)要求。

學(xué)術(shù)信息資源服務(wù)機(jī)構(gòu)和云服務(wù)提供方需要根據(jù)云信息系統(tǒng)出臺的安全保護(hù)標(biāo)準(zhǔn)，對學(xué)術(shù)信息資源云計(jì)算數(shù)據(jù)中心的安全防護(hù)措施是否達(dá)到等級保護(hù)要求進(jìn)行判定。目前，云服務(wù)已經(jīng)在全球范圍內(nèi)開展，面向不同國家、不同領(lǐng)域進(jìn)行應(yīng)用，應(yīng)對不同學(xué)術(shù)信息云用戶的安全防護(hù)需求，就云安全的等級防護(hù)達(dá)成一致，從而開展廣泛的云安全評估工作，促使云計(jì)算環(huán)境下信息系統(tǒng)的規(guī)范化實(shí)施。對于云計(jì)算環(huán)境下國家學(xué)術(shù)信息資源系統(tǒng)建設(shè)的協(xié)調(diào)與監(jiān)督工作，也具有重要的標(biāo)準(zhǔn)化指導(dǎo)意義。

2 云計(jì)算環(huán)境下國家學(xué)術(shù)信息資源安全審查標(biāo)準(zhǔn)化

云計(jì)算環(huán)境下國家學(xué)術(shù)信息資源安全是國家信息安全的重要組成部分，我國面向國家安全以及公共利益的保障，推出網(wǎng)絡(luò)審查制度。在審查過程中，將云計(jì)算納入網(wǎng)絡(luò)審查范圍，通過云安全審查對云計(jì)算平臺以及國家學(xué)術(shù)信息資源安全提供保障。云安全審查標(biāo)準(zhǔn)是推動云計(jì)算環(huán)境下國家學(xué)術(shù)信息資源安全審查的重要依據(jù)[6]。目前，我國云計(jì)算服務(wù)安全審查制度仍在不斷完善，主要參考美國聯(lián)邦政府的云計(jì)算服務(wù)安全審查制度（FedRAMP），通過建立云安全基線進(jìn)行安全審查[7]。我國在借鑒美國安全審查經(jīng)驗(yàn)的基礎(chǔ)上，構(gòu)建對于云服務(wù)提供商的安全審查依據(jù)，并制定《信息安全技術(shù)云計(jì)算服務(wù)安全能力要求》[8]。

云計(jì)算環(huán)境下國家學(xué)術(shù)信息資源建設(shè)要求各學(xué)術(shù)信息資源機(jī)構(gòu)在面向公眾的共享服務(wù)組織中，將學(xué)術(shù)信息資源數(shù)據(jù)遷移到云端存儲。為保障云計(jì)算環(huán)境下國家學(xué)術(shù)信息資源數(shù)據(jù)的安全，需要云服務(wù)提供方對學(xué)術(shù)信息資源服務(wù)機(jī)構(gòu)提供的云服務(wù)進(jìn)行安全審查。云計(jì)算環(huán)境下國家學(xué)術(shù)信息資源建設(shè)參與的學(xué)術(shù)信息資源服務(wù)機(jī)構(gòu)眾多，為避免出現(xiàn)各學(xué)術(shù)信息資源服務(wù)機(jī)構(gòu)重復(fù)審查的問題，擬由國家學(xué)術(shù)信息資源建設(shè)管理部門進(jìn)行統(tǒng)一的安全審查。由學(xué)術(shù)信息資源服務(wù)機(jī)構(gòu)參與，在參照相應(yīng)規(guī)范的基礎(chǔ)上構(gòu)建云安全基線。由云計(jì)算環(huán)境下學(xué)術(shù)信息資源建設(shè)的管理部門或委托的第三方評估機(jī)構(gòu)，對云平臺提供的服務(wù)進(jìn)行評估，并根據(jù)評估結(jié)果對云服務(wù)提供商進(jìn)行安全審查；安全審查結(jié)果可對學(xué)術(shù)信息資源服務(wù)機(jī)構(gòu)公開，以減少重復(fù)審查，提高云安全審查效率。

《信息安全技術(shù)云計(jì)算服務(wù)安全能力要求》對云服務(wù)提供商提出應(yīng)具備基本安全能力的要求，其內(nèi)容涉及云計(jì)算平臺用戶信息以及業(yè)務(wù)信息安全。上述標(biāo)準(zhǔn)的制定和執(zhí)行，對云計(jì)算環(huán)境下國家學(xué)術(shù)信息資源安全保障具有重要意義[9]。在《信息安全技術(shù)云計(jì)算服務(wù)安全能力要求》的基礎(chǔ)上，構(gòu)建云服務(wù)提供商的安全審查要求（見表1）。

表1 云服務(wù)提供商的安全審查要求

云計(jì)算環(huán)境下國家學(xué)術(shù)信息資源安全審查，需要在云安全審查的通用標(biāo)準(zhǔn)上進(jìn)行拓展，針對云計(jì)算環(huán)境下國家學(xué)術(shù)信息資源安全的特征，在實(shí)踐探索基礎(chǔ)上建立規(guī)范。云計(jì)算環(huán)境下國家學(xué)術(shù)信息資源云存儲的數(shù)據(jù)安全、用戶隱私保護(hù)、跨云認(rèn)證、知識產(chǎn)權(quán)保護(hù)等問題都需要進(jìn)一步探討，以確立符合實(shí)際和具有可操作性的云安全基線。

3 云計(jì)算環(huán)境下學(xué)術(shù)信息資源安全責(zé)任劃分標(biāo)準(zhǔn)化

云計(jì)算環(huán)境下學(xué)術(shù)信息資源安全建設(shè)以及云服務(wù)提供的安全保障實(shí)施，一般由云用戶和云服務(wù)提供者以基于協(xié)議的形式，對安全問題及相應(yīng)的責(zé)任進(jìn)行約定。目前，基于SLA的服務(wù)等級協(xié)議雖然可起到一定的約束作用，但在實(shí)際執(zhí)行中云服務(wù)提供商通常無法達(dá)到預(yù)期的服務(wù)質(zhì)量要求[8]。由于云計(jì)算環(huán)境下的調(diào)查取證困難，因此云安全責(zé)任認(rèn)定常難以有效進(jìn)行。在實(shí)施云計(jì)算環(huán)境下國家學(xué)術(shù)信息資源安全保障的過程中，需要與云服務(wù)提供商基于相關(guān)標(biāo)準(zhǔn)框架明確雙方的信息安全保障責(zé)任與義務(wù)。

云計(jì)算環(huán)境下安全責(zé)任的劃分與云計(jì)算服務(wù)模式密切相關(guān)，如SaaS、PaaS、IaaS用戶承擔(dān)的安全管理責(zé)任不同[10]。在不同的服務(wù)模式下，安全責(zé)任的邊界和內(nèi)容也不一樣，越接近IaaS，云用戶承擔(dān)的安全責(zé)任越大。云服務(wù)模式與控制范圍的關(guān)系如圖1所示。

圖1 云服務(wù)模式與控制范圍的關(guān)系

在SaaS中，云服務(wù)商需要承擔(dān)物理資源層、資源抽象和控制層、操作系統(tǒng)、應(yīng)用程序等的相關(guān)責(zé)任；用戶需要承擔(dān)自身數(shù)據(jù)安全、用戶端安全等的相關(guān)責(zé)任。在PaaS中，云服務(wù)商需要承擔(dān)物理資源層、資源抽象和控制層、操作系統(tǒng)、開發(fā)平臺等的相關(guān)責(zé)任；用戶需要承擔(dān)應(yīng)用部署與管理，以及SaaS中客戶應(yīng)承擔(dān)的相關(guān)責(zé)任；在IaaS中，云服務(wù)商需要承擔(dān)物理資源層、資源抽象和控制層等的相關(guān)責(zé)任，用戶需要承擔(dān)操作系統(tǒng)部署與管理，以及PaaS、SaaS中用戶應(yīng)承擔(dān)的相關(guān)責(zé)任。目前，云服務(wù)提供商間的協(xié)同合作已成為一種趨勢，為提高競爭力、優(yōu)化資源配置，越來越多的云服務(wù)提供商采用其他供應(yīng)商的產(chǎn)品與服務(wù)。如SaaS、PaaS服務(wù)提供商可能依賴于IaaS服務(wù)提供商的基礎(chǔ)資源服務(wù)。在這種情況下，安全保障措施涉及云供應(yīng)鏈中其他服務(wù)提供商的參與。因此，云計(jì)算安全措施的實(shí)施責(zé)任有四類，如表2所示。

表2 云計(jì)算安全責(zé)任

云服務(wù)提供商所提供的云平臺滿足安全標(biāo)準(zhǔn)，并不意味著云服務(wù)提供商的安全能力達(dá)到合同要求。一般而言，需第三方審計(jì)機(jī)構(gòu)對云服務(wù)提供商進(jìn)行測評，測評結(jié)果可作為云用戶選定云服務(wù)提供商的參考[11]。當(dāng)云用戶通過評估選定云服務(wù)提供商，需要云服務(wù)提供商對其信息安全保障進(jìn)行申明，使云用戶遷移到云端的數(shù)據(jù)受到合理保護(hù)。

4 結(jié)語

云計(jì)算環(huán)境下國家學(xué)術(shù)信息資源安全面臨諸多新的復(fù)雜問題，無法參照傳統(tǒng)環(huán)境下的安全保障措施進(jìn)行保護(hù)。云計(jì)算環(huán)境下國家學(xué)術(shù)信息資源建設(shè)中的安全標(biāo)準(zhǔn)建設(shè)和實(shí)施問題，需要在現(xiàn)有信息安全標(biāo)準(zhǔn)和云計(jì)算安全標(biāo)準(zhǔn)基礎(chǔ)上，圍繞國家學(xué)術(shù)信息資源云系統(tǒng)構(gòu)建的安全標(biāo)準(zhǔn)化體系、云計(jì)算環(huán)境下數(shù)字學(xué)術(shù)信息資源的安全審查標(biāo)準(zhǔn)構(gòu)架和安全責(zé)任劃分標(biāo)準(zhǔn)完善進(jìn)行標(biāo)準(zhǔn)化推進(jìn)。同時(shí)，為進(jìn)一步健全國家數(shù)字學(xué)術(shù)信息資源云安全標(biāo)準(zhǔn)化推進(jìn)中的制度建設(shè)，實(shí)現(xiàn)學(xué)術(shù)信息資源數(shù)據(jù)遷移、存儲、管理、開發(fā)，以及應(yīng)用安全標(biāo)準(zhǔn)的采用，需從制度、系統(tǒng)和技術(shù)上全面實(shí)現(xiàn)。

[1]王惠蒞,楊晨,楊建軍.云計(jì)算安全和標(biāo)準(zhǔn)研究[J].信息技術(shù)與標(biāo)準(zhǔn)化,2012(5):16-19,27.

[2]顏斌.云計(jì)算安全相關(guān)標(biāo)準(zhǔn)研究現(xiàn)狀初探[J].信息安全與通信保密,2012(11):66-68.

[3]CSA.Securityguidance for critical areas of focus in cloud computing V3.0[EB/OL].[2017-05-27].https://cloudsecurityalliance.org/guidance/csaguide.v3.0.pdf.

[4]王文文,孫新召.信息安全等級保護(hù)淺議[J].計(jì)算機(jī)安全,2013(1):68-71.

[5]公安部信息安全等級保護(hù)評估中心.信息系統(tǒng)安全等級保護(hù)基本要求:GB/T 22239—2008[S].北京:中國標(biāo)準(zhǔn)出版社,2008.

[6]高林.關(guān)于云安全審查國家標(biāo)準(zhǔn)制定的思考[J].中國信息安全,2014(6):104-105.

[7]顧偉,劉振宇.英美網(wǎng)絡(luò)安全審查機(jī)制及其啟示[J].信息安全與通信保密,2017(3):72-78.

[8]何明,沈軍.云計(jì)算安全測評體系研究[J].電信科學(xué),2017,30(Z2):98-102.

[9]云計(jì)算服務(wù)安全能力要求[EB/OL].(2015-05-08)[2017-06-10].http://wenku.baidu.com/view/3e5d836b19e8b8f67d1cb95e.html?from=search.

[10]林闖,蘇文博,孟坤,等.云計(jì)算安全:架構(gòu)、機(jī)制與模型評價(jià)[J].計(jì)算機(jī)學(xué)報(bào),2013,36(9):1765-1784.

[11]PATEL A,TAGHAVI M,BAKHTIYARI K,et al.An intrusion detection and prevention system in cloud computing: a systematic review[J].Journal of Network and Computer Applications,2013,36(1):25-41.

Standardization Promotion of Digital Academic Information Resources Security under Cloud Environment

WAN Li1, LV MeiJiao2
(1. School of Journalism & Communication, Nanchang University, Nanchang 330031, China;2. School of Information Management, Wuhan University, Wuhan 430072, China)

In the cloud environment, the security of digital academic information resource involves many organizations and social users in the service chain, and has multiple combinations of service features. Therefore, promoting the standardization of safety guarantee is a social problem. In this context, this article based on the reality at home and abroad, carried on analysis of academic resources cloud service system security standardization promotion from the national level; from the academic information resources security review, the division of security responsibilities for the organization and services of academic information resources, and the organization of academic information resources security guarantee, explored the promotion of the standardization; furthermore, put forward countermeasures and suggestions combined with reality.

Digital Academic Information; Safety Guarantee; Standardization

G203

10.3772/j.issn.1673-2286.2017.07.004

萬莉，女，1985年生，博士，講師，研究方向：數(shù)字信息資源管理與服務(wù)，E-mail：393506143@qq.com。

呂美嬌，女，1987年生，博士研究生，研究方向：信息安全，E-mail：416852559@qq.com。

2017-07-06）

* 本研究得到國家社會科學(xué)基金重大項(xiàng)目“云環(huán)境下國家數(shù)字學(xué)術(shù)資源信息安全保障體系研究”（編號：14ZDB168）資助。