檔案信息化下的信息安全風險和策略研究

黃 林 ，楊 翼，陳雪萍

(1.國網上海市電力公司電力科學研究院，上海 200437；2.國網上海市電力公司市北供電公司，上海 200072；3.國網上海市電力公司，上海 200120)

檔案作為一種信息資源，是企業生產、技術、科研和經營等活動的真實記錄在企業管理等各方面發揮著的重要作用。隨著大數據、云計算、物聯網、人工智能等各種新技術不斷涌現，檔案信息化建設也不斷升級，從檔案數字化、數字檔案館到智慧檔案館，使檔案信息得以脫離傳統載體的束縛，以數字形態存儲、傳播與利用，給檔案工作帶來革命性變革，改變了傳統檔案管理采用人工管理方式，有利于檔案的長期保存，豐富了檔案收集整理渠道，極大地提高了檔案檢索、利用效率，便于開展深層次的編研。國家2020年新通過的檔案法更是增加了檔案信息化章節，進一步要求加強檔案信息化建設，保障電子檔案、傳統載體檔案數字化成果等檔案數字資源的安全保存和有效利用。

但是隨著信息技術給檔案管理帶來了高效便捷，同時也為檔案管理帶來新的安全風險。在傳統檔案管理中，往往注重對檔案實體安全的管理，對檔案的電子信息安全管理重視不足。檔案管理對信息化的依賴，增加了信息安全風險可能帶來的影響。信息安全風險往往是潛在的，并不明顯，但是一旦遇到極端情況，就會立馬顯現出來，所造成的損失可能無法估量。所以我們需要對這些安全風險進行識別，制定應對措施，降低風險發生的可能性，減少其帶來的危害，提高檔案管理的安全性和可靠性。

1 信息安全風險識別

1.1 人員風險

檔案管理質量很大程度取決于檔案人員的技術水平。專業檔案人員往往對信息技術了解不足，信息化建設更多依賴外包隊伍，檔案人員自身往往信息安全防范意識薄弱，不具備信息防范技術掌握，使檔案信息化管理存在諸多安全風險：

(1) 檔案人員進行實體信息數字化時，由于操作技術等問題引起數據失真、著錄信息錯誤不完整等風險。

(2) 檔案人員使用檔案系統時，檔案人員對系統的訪問操作不當，可能為檔案系統帶來各種風險。如未按要求設置強密碼，將賬號密碼交給外包人員使用，或為方便起見隨意將他人權限設為最大，都將可能造成泄密、數據刪改等風險。

(3) 檔案人員對個人計算機管理不善，如未安裝防病毒軟件或未及時更新補丁庫，由于病毒的易傳染性，極有可能感染服務器，造成不可估量的損失。甚至有可能成為攻擊服務器的橋梁。

(4) 檔案信息化引入外部廠商和供應商，通過外包服務或合作開發的模式進行信息系統開發、運維等信息化工作，外部人員介入檔案工作，為此帶來了檔案管理風險。

1.2 技術風險

檔案系統利用信息技術將檔案人員從簡單性、重復性勞動中解放出來，但同時由于信息系統技術的復雜性也為檔案管理帶來了新的風險。目前信息系統建設的大都基于OSI七層架構(物理層、數據鏈路層、網絡層、傳輸層、會話層、表示層、應用層)，每一層本身都存在者潛藏風險，隨著系統日益復雜，業務規模不斷擴大，業務關聯性和架構復雜性、數據總量爆炸式增長，受技術發展和人為認知的局限，檔案系統軟硬件的建設都難免出現技術漏洞和人為缺陷，因而增加了風險發生的概率。另一方面系統建設時往往滿足于實現業務功能，對系統安全防護功能投入不足，系統安全配置簡單，專業信息安全人員配置不足，無法應對日益復雜的信息安全形勢。

1.3 環境風險

隨著智慧城市建設要求及企業經營模式的變化，計算機應用已滲透到社會的各個角落，工作人員的日常辦公也高度依賴計算機網絡。檔案信息化大環境發生了很大的變化。網絡安全攻擊不斷加劇，數據泄露風險日益突出，新型渠道網絡邊界風險加大，檔案系統面臨著更多的安全風險。隨著網絡環境的開放，面臨的網絡威脅邊界不斷擴大，暴露的信息越來越多，檔案信息被訪問、被篡改、被盜竊的可能性加大，安全防護難度也隨之增加。安全漏洞攻擊、木馬攻擊、DDOS攻擊等外部攻擊，特別是伴隨著信息技術的進步以及計算機網絡的深度運用，操作系統、數據庫、應用軟件的漏洞不斷被發現、破解，如果不能做到安全隱患及時消除或者降低以及安全整改閉環管理，更是會造成檔案系統癱瘓、數據被篡改、秘密被泄露等嚴重問題。

綜合以上種種，為保障檔案信息系統安全，必須建立多重有效的信息安全防御體系，防止檔案系統數據丟失、信息泄露、無法提供服務等諸多風險。

2 多重有效的信息安全防御體系

將我們所歸納的安全現狀、安全風險、安全需求以及已有的信息安全有效控制措施，以實現保障檔案信息系統保密性、完整性和可用性為最終目標，將其逐個映射到ISO 27001中18個控制項中所涉及的技術對象和被管理對象或過程的某一個或幾個控制點的集合，經疊加合并后形成一個最終并集，形成了以安全管理控制點、安全技術控制點和安全驅動控制點所組 成的多重有效的信息安全防御體系。

其中安全管理控制點是基礎，安全技術控制點是具體的管理實踐和技術實踐，而安全驅動控制是保障管理控制點和技術控制點得與落實的最佳手段。分解其細節覆蓋信息安全目標、安全策略、人員、組織、運維、建設、網絡通信、網絡邊界、主機、終端、應急響應、同報機制、事件責任追究制、安全監管以及風險管理等全方位的安全管理。

根據業務需要，按緊迫性、可實施難易性、同時還要考慮安全的成本與效益，分階段分步驟開展檔案信息安全防御體系建設，同時隨著組織環境的變化、業務發展和信息技術提高而不斷改進，不能一勞永逸，一成不變，需要不斷完善來保證安全的持續改善。檔案信息安全防御體系架構具體分解細節如下：

2.1 體系安全管理控制點

2.1.1 安全管理制度

安全管理制度是對信息安全目標和工作原則的規定，其表現形式是一序列為實現安全策略形成的制度文件。是信息安全保障系統的核心，是信息安全管理工作、技術工作和運維工作的目標和依據。

各類安全管理規定、管理辦法和暫行規定。從安全策略主文檔中規定的安全各個方面所應遵守的原則方法和指導性策略引出的具體管理規定、管理辦法和實施辦法，是必須具有可操作性，而且必須得到有效推行和實施的。與其它部分的關系為向上遵照公司安全目標。向下延伸到用戶簽署的文檔和協議。用戶協議必須遵照管理規定和管理辦法，不與之發生違背。

2.1.2 安全機構和安全人員管理

安全管理組織機構和人員的安全職責，包括的安全管理機構組織形式和運作方式，機構和人員的一般責任和具體責任。作為機構和員工具體工作時的具體職責依照，此部分必須具有可操作性，而且必須得到有效推行和實施的。與其它部分的關系為從信息安全目標中延伸出來，其具體執行和實施由管理規定、技術標準規范、操作流程和用戶手冊來落實。

2.1.3 系統建設管理

系統建設管理主要內容包括公司應用系統的需求、設計、開發、測試、驗收過程注意的安全問題；公司應用系統在用戶管理和訪問控制以及公司應用系統安全審計等方面。

2.1.4 系統運維管理

系統運維管理主要內容包括環境管理、資產管理、介質管理、設備管理、監控管理、網絡安全管理、系統安全管理、惡意代碼管理、密碼管理、變更管理、備份與恢復管理、安全事件處置以及應急預案管理等。

2.1.5 物理環境管理

根據設備部署安裝位置的不同，選擇相應的防護措施。室內機房物理環境安全需滿足相關標準對應信息系統保護物理安全要求，室外設備物理安全需滿足國家對于防盜、電氣、環境、噪音、電磁、機械結構、銘牌、防腐蝕、防火、防雷、電源等要求。

2.2 體系安全技術控制點

2.2.1 網絡通信安全

網絡通信安全具體包括網絡中提供連接的路由、交換設備及安全防護體系建設所引入的安全設備、網絡基礎服務設施，各業務系統在進行網絡安全建設時，應當繪制網絡拓撲結構圖以體現網絡結構，并在網絡拓撲結構圖上體現網絡安全防護結構。

進行網絡通信安全防護的目標是防范惡意人員通過網絡對業務系統進行攻擊，同時阻止惡意人員對網絡設備發動的攻擊，在安全事件發生前可以通過集中的日志審計、入侵檢測時間分析等手段，以及對信息內網、信息外網、終端、網絡設備等安全狀態的感知和監測，實現安全事件的提前預警，發現攻擊意圖，在安全事件發生后可以通過集中的事件審計系統及入侵檢測系統進行事件追蹤、事件源定位以發現惡意人員位置或及時制定相應的安全策略防止事件再次發生，實現事后審計，對惡意行為和操作的追查稽核、探測入侵、重建事件和系統條件，生成問題報告。

2.2.2 網絡邊界安全

進行邊界安全防護目標是使邊界的內部不受來自外部的攻擊，同時也用于防止惡意的內部人員跨越邊界對外實施攻擊，或外部人員通過開放接口、隱蔽通道進入內部網絡；在發生安全事件前期能夠通過對安全日志及入侵檢測事件的分析發現攻擊企圖，安全事件發生后可以提供入侵事件記錄以進行審計追蹤。

2.2.3 應用安全

主要關注應用身份鑒別、訪問控制、軟件糾錯、剩余信息保護、資源控制以及代碼安全等方面。

2.2.4 主機安全

主機系統安全防護包括對服務器及桌面終端的安全防護。服務器包括業務應用服務器、網絡服務器、WEB服務器、文件與通信等。

保護主機系統安全的目標是采用信息保障技術確保業務數據在進入、離開或駐留服務器時保持可用性、完整性和保密性，采用相應的身份認證、訪問控制等手段阻止未授權訪問，采用主機防火墻、入侵檢測等技術確保主機系統的安全，進行事件日志審核以發現入侵企圖，在安全事件發生后通過對事件日志的分析進行審計追蹤，確認事件對主機的損害程度以進行后續處理。

按照公司相關要求，部署主機訪問控制、主機安全加固、主機入侵檢測、主機內容安全、病毒防范、主機身份鑒別、數據加密、主機監控審計、備份恢復、資源控制、剩余信息保護等安全防護措，從操作系統和數據庫兩個層面保障主機安全。

2.2.5 數據安全

主要關注系統管理數據、鑒別信息和用戶數據在傳輸過程中的完整性、系統的鑒別信息、敏感的系統管理數據和敏感的用戶數據是否采用加密或其他有效措施實現傳輸保密性，以及重要信息進行本地和異地備份等。

2.2.6 終端安全

關注如何對信息內網和信息外網的桌面辦公計算機終端以及接入信息內、外網的各種業務終端進行安全防護。

終端類型包括：辦公計算機終端；不在公司網絡區域，但經過終端安全加固后，通過公司專用安全可信專線和安全接入平臺接入網絡的移動辦公和移動作業終端；信息采集類終端。對于各種終端，需要根據具體終端的類型、應用環境以及通信方式等選擇適宜的防護措施。

2.3 體系安全驅動控制點

2.3.1 應急響應制

防范軟硬件故障以及惡意攻擊所造成的業務中斷，快速發現異常并處置，確保損失最小化。

2.3.2 安全監督制

結合入侵檢測系統和網絡安全審計系統集中收集網絡設備、主機設備、安全設備日志信息。對收集到得日志信息進行分析和存儲，由實時監控報警中心顯示安全事件。

2.3.3 事件責任獎懲制

對員工的獎懲實行以精神鼓勵和思想教育為主、經濟獎懲為輔的原則。設立嘉獎、記小功、記大功、功勛獎、破格晉升等獎勵類型。

2.3.4 風險管理制

通過對企業信息化系統所面對的風險和自身的脆弱性進行評估、采取手段降低風險到可接受的水平、并進行周期性監測的管理。

3 結語

信息化是檔案工作重要發展方向，信息安全是信息化發展的基礎保障，要充分認識信息安全的重要性，提升檔案人員的安全責任感，重視安全教育，管理和技術并重，以科學務實的態度建立安全保障措施，持續提升信息安全防護能力，加強安全風險評估，提高網絡安全監測預警和應急處置水平，為檔案信息化發展提供可靠的安全保證。