学术信息资源安全体制建设探讨范文

云环境下国家学术信息资源安全的实现，既需要理解其安全保障机制与规律，突破关键技术问题，也需要进行配套的体制创新与完善。从云环境下国家学术信息资源安全保障机制出发，安全体制创新的方向是建设政府主导、机构主体、社会协同的安全体制。为实现这一目标，立足于当前实际，需要重点从以下几个方面推进:强化政府与行业组织安全保障职能，完善相关法律法规和安全标准体系，面向学术信息资源进行云服务组织与可信认证，完善国家学术信息资源服务主体与云服务商的安全保障协同机制。

1国家学术信息资源安全保障中的政府与行业组织职能强化

当前情况下，相关政府机关和行业组织对国家学术信息资源仍然持“重建设，轻安全”的态度，其安全保障和监管职能也相对较弱，这种情况无法适应云环境下国家学术信息资源安全保障的要求，因此需要从组织架构和工作安排上强化其安全职能。

1.1国家学术信息资源安全保障中的政府职能强化

云环境下，国家学术信息资源安全保障主体的多元化和保障模式的集中化要求在安全监管上打破部门限制，更加注重监管的统一性和协同性;同时，云环境下国家学术信息资源面临的安全问题更加严重，安全威胁更加复杂［1-2］，这就要求更加重视安全保障工作。基于此，为实现云环境下国家学术信息资源安全保障的政府主导，需要从两个方面强化政府的安全职能:设立国家学术信息资源安全保障议事协调机构和加强对国家学术信息资源安全的监管。

1)设立国家学术信息资源安全保障议事协调机构。国家学术信息资源安全保障议事协调机构设立的目的是为了适应云环境下国家学术信息资源安全保障机制的要求，做好顶层设计，打破九龙治水、各自为政的局面，统筹协调相关职能部门和主管部门协同开展工作，突破云环境下国家学术信息资源安全保障中的全局性、战略性问题，提升安全保障能力。针对云环境，其主要职能包括以下3个方面。①研究制定云环境下国家学术信息资源安全保障的战略、规划、政策，推动相关法律法规、标准规范的制定和完善。②针对国家学术信息资源安全保障中的关键问题，以重点工程的形式进行突破，增强安全保障能力。③统筹协调相关职能部门和主管部门，增强其工作的一致性和协同性，指导、监督国家学术信息资源安全保障工作开展。在国家学术信息资源安全保障议事协调机构设立的推进上，建议由科技部牵头组建。其原因是，尽管科技部、教育部和文化部均是重要的国家学术信息资源服务主体的主管部门，但从部门职能看科技部更为合适，因为其担负着推进国家科技基础条件平台建设和科技资源共享、推进科技体制改革的职责［3］。同时，根据《国务院行政机构设置和编制管理条例》的规定，“设立议事协调机构，应当明确规定承担办事职能的具体工作部门，一般不单设实体性办事机构”，因此可以将该机构挂靠到科技部。

2)加强对国家学术信息资源安全的监管。在国家学术信息资源安全保障的监管方面，需要深入贯彻落实“网络安全和信息化是一体之两翼、驱动之双轮，必须统一谋划、统一部署、统一推进、统一实施”讲话精神，既要扭转“重建设，轻安全”的思路，加大监管力度，也不能因噎废食，影响国家学术信息资源的开放共享利用，而要安全与利用并重，实现其同步推进。首先，为增强安全监管的针对性和灵活性，需要将国家学术信息资源安全监管独立出来，作为专门工作推进。目前，国家学术信息资源系统往往是作为其依托单位的一个组成部分进行统一监管的，这种体制下其安全监管只能是粗放型监管，无法结合其特点进行针对性的监管。其次，需要以信息安全等级保护制度为基础进行差异化监管。一方面，需要根据国家学术信息资源系统安全等级的差异，制定云服务部署模式规范，安全等级高的系统要慎用社会化云服务，尤其是公有云。另一方面，在云平台选择上，需贯彻云平台安全等级不得低于国家学术信息资源系统的基本原则。此外，对于资源重要性高、独占性强、资源量大的重要国家学术信息资源系统，如NSTL，CALIS等，需要加大监管力度，确保其资源和服务安全。

1.2国家学术信息资源安全保障中的行业组织职能强化

网络环境下，我国学术信息资源领域的行业协会、联盟等行业自治组织的工作重心一直都是以促进各国家学术信息资源服务主体间的资源共建共享为主，而对其安全保障关注不够，这方面的职能较弱。为发挥云环境下安全保障中行业组织的作用，需要从以下3个方面强化其安全职能。首先，从业务范围调整和组织体制变革入手，将安全保障纳入其业务范围并从组织层面上加以保障。将安全协调纳入其业务范围，有助于其根本上扭转轻视安全、忽视安全的心理状态，为强化安全职能奠定基础。在现有的国家学术信息资源行业组织中，鲜有组织设立以安全为核心的业务部门，这也使得行业组织在安全工作开展上缺乏人才支撑。因此，在调整业务范围的同时，需要进行体制创新，设立专门的安全保障推进部门，并将其作为核心部门，保持其权威性。其次，加强云环境下国家学术信息资源安全保障的研究。掌握安全保障的基本规律，是行业组织协助政府进行安全保障监管和开展行业自律的基础，因此行业组织需要加强云环境下国家学术信息资源安全保障研究工作，包括安全框架、技术应用、管理机制、安全规范和标准等方面。最后，发挥行业组织的桥梁作用，积极参与云环境下国家学术信息资源安全的治理。一方面，需要协助政府机关做好安全监督，比如在政府授权下组织开展可信云服务认证、国家学术信息资源系统安全认证等;另一方面，需要引导国家学术信息资源服务主体加强自律，包括法律法规宣贯、国家和行业安全标准推广、安全技能培训等;此外，还需要充分发挥其代表作用，与云服务商及其行业组织沟通协调，保障国家学术信息资源服务主体的利益。

2云环境下国家学术信息资源安全法律法规和标准体系

健全完善的法律法规和标准体系是开展云环境下国家学术信息资源安全保障社会化安全监督、维护各方权益的依据，但目前情况相关信息法律法规和安全标准的建设都落后于实践发展的需要，因此需要加快推进。

2.1国家学术信息资源安全法律法规健全

云环境下国家学术信息资源安全保障不仅需要依靠信息安全技术的应用，而且需要通过法律法规对相关主客体的权利义务进行规范，为各关联方提供制度支持。由于云计算技术的特殊性，传统IT环境下制定的法律法规不能全面满足其应用要求，因此需要针对云环境下的技术和服务特点加以完善。1)明确云服务商的安全责任。对云服务商安全保障行为监督的有效开展，必须以明确的安全责任规范为前提。在实践推进中，首先需要根据云服务组织模式明确安全责任范围，在此过程中尤其要注意多级云服务模式下的安全责任划分。其次，需要根据安全事故引发的根本原因(如自然灾害等不可抗力，云计算技术本身的安全缺陷，云服务商的工作疏忽等)进行安全责任类型划分，并据此进行差异化处理规范的制定。2)云服务合同干预。合同签订中，云服务商往往提供标准格式合同供国家学术信息服务主体签署，而且在合同中其可能利用自身优势地位对安全风险进行规避性约定。尽管出现法律纠纷时，法院可以对合同进行校正，但是直接签订一份公平的合同更为合理。基于此，主管部门或行业组织可以出具指导性云服务合同示范文本，或者对合同作出规范，以保护国家学术信息资源服务主体的权益。3)保障国家学术信息资源服务主体的知情权和隐私权。知情权和隐私权是国家学术信息资源服务主体的两项基本权利，需要重点加以保护。其中，知情权是隐私权等各项权利的基础［4］，因此需要优先予以保护。其核心是要求云服务商全面、客观、真实、及时地告知与云服务相关的信息，尤其是涉及国家学术信息资源安全、隐私信息安全的信息，以便及时作出应对。而在隐私保护中，首先需要通过立法明确隐私信息的范畴，并确定隐私保护标准，其基本原则是既要充分保护权利，又要限制权利的过分扩张。

2.2国家学术信息资源安全标准体系健全

安全标准的制定和推行是提升云环境下国家学术信息资源安全保障能力和效果的重要途径，但目前而言，我国仅制定了两个关于云计算的通用安全标准，而针对学术信息资源云计算应用的安全标准还处于空白状态。因此，云计算信息安全标准的健全和完善亟待推进。1)加快制定云计算信息安全通用标准建设。云环境下国家学术信息资源安全保障具有一般云计算信息安全保障的共性，因此通用安全标准建设对其安全保障也具有重要参考作用，而且通用标准能够为行业标准的制定提供指导和借鉴，因此需要加快云计算信息安全通用标准建设。在实践上，工信部已经从安全基础(包括云安全术语、云安全指南、模型与框架)、安全技术与产品(包括软件安全、设备安全、技术和产品安全测评)、服务安全(包括运营安全、服务安全测评)、安全管理(包括管理基础、管理支撑技术、安全监管)4个方面进行了系统规划［5］，全面涵盖了云计算信息安全的各个方面。目前的核心问题是，需要加强标准研发的技术力量，加快标准研发的进度，以尽快为云计算信息安全保障提供指导。2)建立云环境下国家学术信息资源安全行业标准体系。在通用标准体系的基础上，应加强面向国家学术信息资源的行业安全标准建设，针对国家学术信息资源的特点，进行安全技术标准选择和改造，增强对国家学术信息资源安全保障指导的针对性。在推进过程中，需要特别关注以下几个方面。第一，加强云环境下国家学术信息资源安全标准体系建设的顶层设计，注重标准的协调性。第二，在标准制定时，尽量使用通用安全标准，避免无谓的标新立异和重复建设。第三，从国外及相关领域的实践经验看［6-7］，云服务采购对最终的安全保障效果具有重要影响，因此需要特别注重该领域的标准制定，全面规范从云服务和云服务商选择到云服务退出的每一个环节。

3面向学术信息资源的云服务组织与可信认证

由于各类国家学术信息资源服务主体的资源特征和安全需求具有较强的共性，因此面向学术信息资源进行云服务的组织有助于在安全保障方面提供更具针对性的保护，从而提升国家学术信息资源安全保障能力。同时，面向学术信息资源云计算应用进行可信云计算认证，也有助于为国家学术信息资源服务主体推荐更合适的云服务商，降低其云服务商选择成本。

3.1面向学术信息资源的PaaS和SaaS云服务组织

由于国家学术信息资源服务主体在资源特点、业务类型和安全需求上较为相近，同时与国家学术信息资源服务主体相比，云服务商的安全技术能力更强，管理机制和组织机制更加健全，因此，推进面向学术信息资源的PaaS和SaaS云服务组织不仅能够提升国家学术信息资源安全保障能力，而且具有现实可行性。在组织模式上，既可以基于市场化的方式进行推进，也可以从国家学术信息资源PaaS和SaaS云服务的公共物品属性入手，以公共物品供给的模式进行云服务的组织，由政府或学术信息资源行业组织等推进。1)社会化IaaS公有云。其自身安全是学术信息资源PaaS和SaaS云服务安全的基础，因此在选择云服务商时需要慎重。同时，为提升安全性，可以基于多家IaaS云服务商进行构建，这样彼此之间可以互为备份，在提升服务稳定性的同时避免被云服务商锁定。2)面向学术信息资源的PaaS云服务。其既可以作为独立的服务业务，也可以作为学术信息资源SaaS服务构建的基础。在实现中，除了满足国家学术信息资源服务主体的功能需求外，也需要满足其基本安全保障需求。3)面向学术信息资源的SaaS云服务。在组织实现中，既可以推出整体化解决方案，也可以将各类服务需求做成独立模块，供国家学术信息资源服务主体进行个性化定制。与PaaS服务类似，在服务组织中需要保障其安全性。4)面向学术信息资源的安全组件。由于部分国家学术信息资源的安全保障要求较高，只依靠PaaS和SaaS云服务内嵌的基础安全措施无法满足其需求，因此可以提供一些防护能力更强的独立安全工具，供国家学术信息资源服务主体灵活定制。

3.2面向学术信息资源的可信云服务认证

可信云服务认证是建立客户对云服务商的信任，帮助客户减少云服务商选择的盲目性，降低筛选成本的有效手段［8-10］，基于此，我国也由工信部会同数据中心联盟等行业自治组织开展了可信云服务认证工作，并取得了初步成效。但当前的认证主要是面向通用云计算应用需求的认证，缺乏面向学术信息资源应用的针对性。因此，为更好地服务国家学术信息资源服务主体，需要组织开展面向学术信息资源的可信云服务认证。在组织推进上，需要建立由国家学术信息资源安全保障议事协调机构主导的认证体制，其牵涉到的主体还包括学术信息资源行业组织、第三方考评机构。考评认证的实施流程如图3所示:①在获得工信部可信认证的基础上，云服务商向行业组织提出认证申请。②学术信息资源行业组织接到申请后，将其分配给第三方考评机构进行评估。③第三方考评机构根据标准对其进行考评，并将考评结果提交给学术信息资源行业组织。④学术信息资源行业组织对各第三方考评机构的考评结果进行汇总，并提交给国家学术信息资源安全保障议事协调机构。⑤国家学术信息资源安全保障议事协调机构组织专家对考评结果进行审核，并对通过考评的云服务商颁发学术信息资源可信云服务证书。

4云环境下国家学术信息资源安全保障主体责任划分与融合

云环境下，为更好地实现国家学术信息资源服务主体与云服务商在安全保障上协同，需明确两者的安全保障责任范围，并在实践工作中积极推进其在安全保障上融合。

4.1云环境下国家学术信息资源安全保障主体责任划分

云计算的技术特点决定了云环境下国家学术信息资源安全保障需要由国家学术信息资源服务主体与云服务商协同完成。明确两者的定位及其在安全保障中的职责，是建立协同安全保障机制的基础。云环境下，尽管随着IT资源管理与运营的外包，国家学术信息资源服务主体也实现了部分安全保障具体工作的外包，但是安全责任不能转移，其依然是国家学术信息资源安全的最终责任人［11］。因此，其需要主导国家学术信息资源安全保障工作的开展，并对最终效果负责。体现在工作实践中，其需要扮演好安全保障措施的执行者和云服务商安全保障工作的监督者两个角色。作为执行者，国家学术信息资源服务主体的主要职责包括两类:一是选择安全可信的云服务商和云服务业务;二是与云服务商明确安全保障的职责范围，并切实做好职责内的安全保障工作。在安全保障职责划分上，其职责范围大小与所采用的云服务模式有关，IaaS模式下范围最大，PaaS模式次之，SaaS模式最小，如图4所示。值得指出的是，鉴于一个国家学术信息资源服务主体可能同时采用多种云服务，因此其在安全职责划分上需要与每一个云服务商单独进行商定。作为监督者，国家学术信息资源服务主体需要对云服务商的安全保障工作进行监督，主要职责包括:监督云服务商严格履行合同规定的各项责任和义务，遵守相关规章制度和标准;对云服务商的云平台定期开展安全检查;在云服务商的支持配合下，对服务运行状态、性能指标、重大变更监管、监视技术和接口、安全事件等进行监控。云服务商作为安全保障的主要协同机构，其定位是安全保障措施的执行者，主要职责包括3个方面。①根据安全保障责任划分，采取有效的管理和技术措施确保国家学术信息资源及业务系统的保密性、完整性和可用性。②主动接受国家学术信息资源服务主体的监管，及时主动通报相关信息，并为其监管的实施提供工具支持。③云服务商作为市场经营主体，需要符合我国政府监管部门的安全符合性要求，包括遵守信息安全政策、法规和标准，保证安全能力持续符合国家安全标准，按照约定对安全事故赔偿负责等。

4.2国家学术信息资源服务主体与云服务商的安全保障融合

推进国家学术信息资源服务主体与云服务商在安全保障中的融合，其目标是实现两者在安全保障中的无缝协同，既不留下安全保障盲区，也不出现安全保障效果参差不齐的问题，为此，需要从以下几个方面加以推进。

1)分工明确，并建立安全保障效果量化指标体系和约束机制。分工细致、明确是确保不留安全保障盲区的基础，因此在安全责任划分中，需要将其具体化至特定的模块、资源甚至操作。在此基础上，针对每一项工作，建立量化指标体系，以便于双方对于安全要求达成一致理解，更好地把握安全保障工作的力度，选择合适的安全保障工具或技术方案。同时，需要建立对云服务商的约束机制，以督促其保质保量地完成安全保障工作，实践中应用较为广泛的解决方案是基于SLA协议对其进行约束。

2)对于需要国家学术资源服务主体和云服务商共同参与的安全保障工作，建立响应和合作机制。在安全保障实践中，部分安全措施的部署和安全事件的处理需要双方配合完成，为保障此类工作的效率和效果，需要将这些工作进行类型细分，并分别建立响应和合作机制，实现处理流程上的规范化。

3)云服务商需要面向国家学术信息资源服务主体提供安全防护和管理工具、最佳实践指南等，以帮助其做好安全保障工作。针对共性安全防护和管理工具需求，提供可定制和二次开发的技术工具，有助于降低国家学术信息资源服务主体的开发成本，改善安全保障效果。同时，提供最佳实践指南有助于设计出在该云平台下效率更高、效果更好的安全保障方案。

4)在进行云计算部署时，需要充分适应云平台的技术特点和安全保障机制，这一点尤其适用于IaaS和PaaS云服务的部署。在采用这两类云服务时，实质上是基于云服务商的基础IT环境进行学术信息资源系统的构建。由于不同云服务商有其自身的技术特点，因此需要进行适应性的架构与技术方案设计，从而与其安全保障机制相兼容并取得最佳安全保障效果。