科学数据中心资源和用户访问控制体系
曹乔卓然1,陈祖刚,李国庆,李静
1郑州大学地球科学与技术学院,河南郑州
中国科学院空天信息创新研究院,北京
摘要:大数据时代,各个国家及政府普遍重视科学数据开放并积极推动数据共享,广泛开放共享的数据对全过程数据安全保障提出了新的挑战。在借鉴国际科学数据共享最新政策与分析我国实际状况的基础上,提出了科学数据中心资源和用户访问控制体系。通过在开放系统平台中应用数据分级、用户分类以及系统访问权限控制策略,解决了数据中心资源安全共享缺乏系统性方案的问题。研究成果已被应用于国家对地观测科学数据中心的实际业务工作中,取得了良好的效果。
关键词:大数据平台;资源共享;用户分类;资源分级;授权访问控制
论文引用格式:
曹乔卓然,陈祖刚,李国庆,等.科学数据中心资源和用户访问控制体系[J].大数据,0,8(1):98-11.
CAOQZR,CHENZG,LIGQ,etal.Resourceanduseraccesscontrolsystemofscientificdatacenter[J].BigDataResearch,0,8(1):98-11.
0引言
近年来,随着科学研究进入数据驱动的第四范式,科学数据资源成为国家重要的战略性支撑资源。为了促进科学数据资源共享,提高科学研究的支持保障水平,国内外越来越重视科学数据的管理,兴建了一大批科学数据中心。例如美国国家空间科学数据中心(NationalSpaceScienceDataCenter,NSSDC)、英国数字保存中心(DigitalCurationCentre,DCC)、英国数据档案(UKDataArchive)中心以及澳大利亚国家数据服务(AustralianNationalDataService,ANDS)中心等。年,我国科学技术部和财政部发文,成立了国家高能物理科学数据中心、国家基因组科学数据中心、国家天文科学数据中心等0个国家级科学数据中心,我国海量科学数据管理与共享工作也进入了新的发展阶段。
科学数据中心的兴起带来的不仅仅是各学科新的发展机遇,往往也伴随着大量科学数据资源的开放共享中较大的安全风险问题。例如,网络病毒和黑客肆意侵犯用户隐私,数据资源易泄露、丢失,数据安全管理机制不完善,访问权限管理不严密等。因而,各国政府普遍非常重视科学数据安全工作,并相继开展相关法律法规的制定工作。年,欧盟通过了《通用数据保护条例》,讨论了数据使用者、数据管理者及数据本体间的关系,提出要对敏感数据进行分类。年,我国国务院办公厅印发《科学数据管理办法》,着重强调了要保障科学数据安全,要求科学数据必须分级分类管理,从而更好地支撑国家科技创新、经济社会发展和国家安全。
保障科学数据安全共享需要构建包括系统层面、数据层面和服务层面的科学数据安全框架。对数据、用户进行分类分级、建立系统访问权限控制体系是搭建科学数据安全框架的重要内容,也是实现科学数据有序管理与共享的一个可行的方法。
分类分级是实现数据安全的基石,是科学数据中心有序管理各项资源的基础,分类分级管理极大程度地平衡了数据安全与数据开放之间的关系。分类分级是将数据资源划分为学科范畴明确、访问等级清晰的数据产品,并把使用数据的用户依据自身的特征划分为数据需求清晰一致的群体,进而实现不同分类分级的数据和用户之间的关联匹配,确保合适的数据资源被合适的用户获取和使用。系统访问权限控制是数据信息安全防范和保护的核心策略之一,有效保证了系统资源不被非法使用。系统访问授权控制机制授予合法用户访问特定资源的权限,并拒绝非权限用户访问。系统访问权限控制体系的建立降低了系统维护成本,保障了系统运行安全。明确而完整的服务访问授权体系对于提高数据中心的服务质量和优化用户的使用体验具有重要作用。
当前,我国各个科学数据中心缺乏明确而完善的数据和用户分类分级体系以及面向数据管理和共享服务系统的访问权限控制策略来保障科学数据中心安全、高效地开展科学数据共享工作。本文借鉴国际科学数据共享最新政策,并与我国实际状况相结合,提出了一套完善的面向科学数据中心的数据、用户分类分级体系和业务系统访问权限控制策略,并以国家对地观测科学数据中心(NationalEarthObservationDataCenter,NODA)为例,应用本文提出的分类分级体系与业务系统的访问权限控制策略,最终形成一个科学数据业务有序管理与安全共享服务平台。
1数据共享安全控制方法研究进展
在数据密集型研究范式背景下,国内外科学数据中心十分重视海量数据开放共享过程中面临的安全问题,展开了相关研究,提出了一系列保障科学数据安全共享的方法和政策,并进行了实践。
美国国家海洋与大气管理局(NationalOceanicandAtmosphericAdministration,NOAA)鼓励以进一步分析或重用的形式提供数据。例如,数据必须以机器可读的格式编码,最好使用现有的开放格式标准;必须充分记录数据,最好使用开放元数据标准;根据NOAA信息质量指南,应进行数据质量控制,并在元数据中引用质量控制过程和结果的描述。世界数据系统(WorldDataSystem,WDS)通过在工作流中使用持久标识符实现准确的数据访问与引用,从而完成对平台数据的保护与控制。国际地球观测组织(GrouponEarthObservations,GEO)提出了地球观测数据的免费且不限制重复使用、不超过复制和分发成本的情况下提供、最短时间提供3项共享原则,该原则已经被国际社会和各国政府广泛接受。中国国家海洋科学数据中心(NationalMarineDataCenter,NMDC)将用户划分为普通用户、个人认证用户和单位认证用户3种类型,并规定了各类别用户可浏览、检索和收藏下载指定海洋数据和产品的范围以及单日数据订单下载规模。中国国家微生物科学数据中心(NationalMicrobiologyDataCenter,NMDC)制定了数据库访问协议,将数据访问权限分为完全公开和协议公开两种类型,并规定了不同类型用户对数据访问与使用的许可条件。国家基础学科公共科学数据中心面向科学数据资源的组织管理与资源发现,发展了基于元数据的数据检索、基于语义网的查询、关联扩展以及基于用户行为分析的相关度修正4项新增的科学数据资源建设与服务规范。
当下,国际通用的数据授权许可协议是知识共享协议(creative