數字資源保存安全風險評估體系構建及實證研究

楊晨柳，方安，婁培，王茜，胡佳慧（中國醫學科學院醫學信息研究所）

《中共中央關于制定國民經濟和社會發展第十四個五年規劃和二〇三五年遠景目標的建議》［1］指出要堅定不移地建設數字中國、加快數字化發展、建立數據資源安全保護等基礎制度和標準規范，保障國家數據安全。隨著信息技術的飛速發展及數據密集型計算科學的有力推動，數字技術給信息資源的管理、交互及利用帶來的便利顯而易見。然而，由于數字資源自身的脆弱性及其對保存環境的依賴性，數字資源在存儲和使用過程中容易受到技術、媒體和數據格式變革以及特定用戶團體變化等的影響而面臨數據機密性、完整性和可用性等方面的問題。同時，安全漏洞、數據泄露、網絡詐騙、勒索病毒等安全威脅日益嚴峻，進一步為數據安全防護工作帶來挑戰。因此，實現數字資源的安全風險管理已成為資源保障機構的重要課題。根據國際開放歸檔信息系統（Open Archival Information System，OAIS）［2］的定義，數字資源的長期保存是一項確保數字對象在足夠長時間內真實、完整和可理解的管理和維護行為。保護數字對象免受各種風險威脅是數字保存的一項重要內容，通過風險評估對可能影響數字對象的不確定因素進行風險分析［3］，有效識別、控制和消除保存風險，是數字資源保存安全風險管理的有效途徑。

本研究依據國內外相關標準規范，基于現有的風險管理研究成果，構建數字資源保存安全風險評估體系及風險評價指標，同時結合醫學數字資源真實保存環境開展實證研究，以期為我國數字資源保存過程中的安全風險管理提供理論和實踐參考。

1 研究現狀

1.1 風險管理策略研究

部分學者從數字資源保存的系統管理、系統運行、技術環境等方面進行探討。如，通過風險等級和關系分析，明確風險規避、處置、轉移和容忍等風險管理策略［4］，或者基于周期性和關聯性分析，提出風險辨識、風險評價分級、風險預警預控等風險管理策略［5］。還有部分學者針對數字保存的真實性、完整性、可識別性、可理解性等需求提出解決方案。如，建立全方位的風險檢測機制，提升數字資源保存質量，降低數字保存風險導致的損失［6-8］；對信息對象真實性保障模式進行梳理，提出健康科學數據長期保存真實性的保障方法［9］。也有研究通過對比現有風險評估方法，完善風險管理機制。如，將PDCA（Plan，Do，Check，Act）循環理論嵌入長期保存管理各流程階段，分析風險評估模型的構建要素［10］；識別數字保存管理流程中的潛在風險，創建風險處理計劃［11］；分析云計算、大數據、物聯網等引發的數據風險，提出風險緩解策略［12］；等。

1.2 風險評估模型構建

部分學者側重分析現有風險評估模型特征。如：探討SPOT模型在數字保存風險識別、風險評估與風險管理方面的應用情況［13］；對比已有風險管理模型，為數字資源風險評估模型選擇提供參考［14］；將風險管理模型應用于組織和資產安全風險管理，指定支撐管理決策和備份方案［15］。還有研究特定場景下的風險評估模型進行探索，提出自動過時風險管理系統，對長期保存中的文件格式版本、存儲媒體、軟硬件、操作系統等進行監測［16］，或者設計基于灰色神經網絡的云存儲風險評估模型，提升對云平臺大數據的安全保護［17］。

綜上所述，已有研究為數字資源保存提供了多種風險評估思路，但對于數字資源保存安全風險評估的策略研究多集中于模式分析和規范制定，對于風險評估模型構建的研究多集中于已有模型特征分析與發現，而對于真實場景下風險評估體系的構建與效果評價研究尚待開展。

2 相關標準

2.1 安全風險管理標準

出于對信息安全重要性的認同，國內外已相繼發布了一系列和信息安全風險評估與管理標準，如《信息技術 安全技術 信息安全風險管理》（ISO/IEC 27005：2018）［18］、《風險管理指南》（ISO 31000:2018）［19］、《空間數據和信息傳輸系統 可信任數位典藏審核與認證》（ISO16363:2012）［20］、《IT系統風險管理指南》（NIST SP800-30）［21］、《信息安全技術 信息安全風險管理指南》（GB/Z 24364-2009）［22］等。這些標準規范為信息系統和數字資源風險管理提供了指導，然而真實應用中的數字資源保存安全風險管理還需明確威脅環境、評估內容、優先管理的資源及范圍等要素。卡耐基梅隆大學軟件工程研究所提出的關鍵操作威脅、資產和漏洞評估（Operationally Critical Threat，Asset，and Vulnerability Evaluation，OCTAVE）方法，為數字資源提供了安全風險評估線性流程，其最新版本為OCTAVE Allegro［23］。

2.2 標準適用性分析

從適用范圍、評估流程、評估方法、處置措施、監控審查等方面將對表中所示6個安全風險管理標準進行對比分析（見表1），可以發現上述這些標準的評估流程基本一致，主要包含風險識別、分析、評估等基本內容，以及相應的風險處置措施與監控審查建議。但這些標準一般僅作為指導性文件，未提供具體的風險評估方法與工具，也未針對應用場景進行細化。數字資源保存安全風險評估需確定優先管理的資源及范圍，界定威脅環境及評估內容，針對性選擇風險評估與處置標準。就評估方法而言，OCTAVE對風險管理對象、風險評估流程、威脅場景信息、定量分析策略等進行了詳細說明，通過將定性描述與定量分析相結合，更適用于判斷數字資源保存亟須解決的潛在風險；就處置措施而言，GB/Z 24364-2009基于閉環控制、主動防御的動態安全模型，能夠為評估流程各階段提供更全面、針對性更強的風險處置措施與建議。但OCTAVE評估流程各階段內容較為簡單，未針對評估細節提供具體說明，也未將風險處置、監督、復測評等列入基本流程，仍需進一步完善。

表1 安全風險管理標準對比分析

3 數字資源保存安全風險評估體系構建

基于上述對現有標準規范及評估方法的分析，本研究依據《信息安全技術 信息安全風險管理指南》，結合OCTAVE設計思路，構建面向數字資源保存的安全風險評估體系（見圖1），具體包括4個階段，涉及13個步驟及9類記錄文檔。

圖1 數字資源保存安全風險評估體系

3.1 數字資源保存安全風險域及指標創建

創建風險度量及評估指標可以明確數字資源安全風險域和影響因素。本研究基于保存系統重要數字資源及關鍵應用服務，以文獻研究、用戶訪談、現場觀察等方式進行數據收集，分析安全風險管理內容，將應重點關注的內容定義為“風險域”（Impact Area，IA），如數據、系統、人員、經費等。確定待評估風險域后，創建風險域度量指標作為威脅程度的評價依據，如數字資源損失、系統服務異常、用戶信任度降低等。同時，對風險域的重要程度進行優先級排序及賦值，即重要程度越高，優先級越高，賦值越大。

3.2 數字資源保存環境安全評估范圍界定

對象識別和范圍界定是風險評估活動的基礎，對重要數字資源及保存環境進行標識，能夠避免混淆風險評估范圍以及降低評估對象的不明確性。在具體操作過程中：一方面，梳理基本情況，創建重要數字資源列表，記錄質量、特征、價值等重要信息，明確風險評估范圍及邊界；另一方面，在保存環境中引入“容器”概念，描述數字資源存儲、傳輸和處理等操作的位置和方式，通過將數字資源映射到其所關聯的容器來定義必須檢查的風險環境。

3.3 數字資源及保存環境安全威脅場景識別

安全風險要素與場景識別是風險評估的重要環節。首先，創建保存環境列表，結合容器信息定義“威脅場景”（Threat Scenarios，TS），描述與容器相關的可能造成風險域損失的活動，明確數字資源保存可能存在的安全風險。其次，基于安全威脅場景，采用問卷調查和專家咨詢法判斷威脅發生的情況及可能帶來的影響，使用“風險等級”（Risk Level，RL）描述威脅對風險域的影響程度。同時，對威脅場景信息進行記錄，如相關人員、威脅手段、威脅結果、安全要求等，作為后續風險評估和管理活動的依據。

3.4 數字資源保存相對風險指數分析及風險處置

威脅場景評分是數字資源保存風險分析與處置的關鍵，該評分可用于多威脅場景當前風險程度的比較，以及伴隨操作環境變化的跨時間比較?！跋鄬︼L險指數”是威脅場景評分的具體呈現，也是數字資源保存安全威脅場景的風險程度衡量指標，指數越大表示該場景的潛在風險程度越高、越緊迫。相對風險指數計算過程如下。

（1）采用問卷調查、現場咨詢、實際調研等方式，獲取威脅場景對每個風險域的威脅程度，完成風險等級賦值。

（2）將風險域（IA）的優先級a（IA）（取值為1到n，n越大優先級越高）與其對應的任一威脅場景（TS）的風險等級（RL）值b（RL）相乘，得到該威脅場景對風險域的影響指數R（IA），再累加單個威脅場景對應的所有風險域的影響指數R（IA），得到該威脅場景的相對風險指數f（TS），計算公式如下：

（3）降序排列風險指數，結合資源價值、安全要求、相關容器、操作環境等因素，確定哪些風險需要處置，進而選擇并執行合適的風險控制措施。如，參照《信息安全技術 信息安全風險管理指南》提出的規避、轉移、降低、接受4類風險處置建議，或結合數字保存系統風險處置能力和現狀進行適當調整。

（4）對處置方式和結果進行周期性檢驗，驗證數字保存安全風險管理效果，優化和完善管理流程。當數字資源保存環境發生改變時，需及時修改并調整風險度量指標，重新進行風險評估，以保證評估結果準確、可靠。

4 實證研究分析

4.1 對象選擇及實驗規劃

健康醫療數據作為國家戰略性資源，是數字資源保存的重點。本研究選取醫學數字資源長期保存系統MedPRES［24］及其存檔內容為安全風險評估對象，采用問卷調查和定量分析法，評估數字資源保存的潛在安全威脅，識別、控制和消除潛在風險，在保證存檔資源機密性、完整性、可用性的同時提高內容的安全性。

（1）創建安全風險域及度量標準。采集并分析系統風險管理數據，將數字資源保存活動重點關注的數字對象、系統性能、用戶信任度和運行成本4部分內容定義為安全風險域。創建風險度量指標，完成風險域優先級排序（數字對象＞系統性能＞用戶信任度＞運行成本）。

（2）界定保存環境與評估范圍。基于管理數據分析結果，標識長期保存的關鍵數字資源，確認風險評估范圍。識別評估范圍中與資源保存活動密切相關的設施、服務、程序等主要內容，作為數字資源保存相關的3個容器，分別定義為基礎設施、系統服務和應用程序。

（3）安全威脅場景識別。本研究從《空間數據和信息傳輸系統 可信任數位典藏審核與認證》中選取與3個容器對應的18項評估指標作為威脅場景，分析威脅活動對風險域的影響程度以及可能造成的后果。

（4）相對風險指數分析討論。通過問卷調查法，收集18個威脅場景對風險域影響程度的調查數據，結合相對風險指數公式，對評估結果進行對比、分析。

4.2 實驗方法及過程

4.2.1 問卷設計、發放與回收

采取李克特5分量表形式，根據安全威脅場景對不同風險域的影響程度設計調查問卷，其中，Q1至Q18表示數字資源保存面臨的18種威脅場景，C1至C4表示威脅場景對風險域造成的4類影響（見表2），選項“非常不贊同”“不贊同”“一般贊同”“贊同”“非常贊同”分別對應風險等級1-5。為確保問卷調查結果的科學性與嚴謹性，筆者分別向衛生健康和信息安全領域專家、數字資源管理人員以及數字保存服務用戶發放問卷。

表2 數字資源保存威脅場景影響程度分析問卷

本研究通過網絡共發放260份問卷（C1-C4問卷各65份），回收問卷248份，經過篩選，得到有效問卷240份。

4.2.2 信效度檢驗

信度是指問卷所測得結果的穩定性及一致性，在李克特量表中常用的信度檢驗方法為Cronbach α系數。本研究采用SPSS軟件對有效問卷進行信度分析（見表3），發現所有Cronbach α系數均大于0.9，表明數據真實可靠。效度分析用于檢驗問卷題項信息的有效程度。本研究根據KMO和Bartlett球形檢驗進行問卷的效度分析（見表3），發現KMO檢驗系數均大于0.5，Bartlett球體檢驗的顯著性概率均小于0.05，說明各變量之間存在顯著相關性，因而問卷設計合理。

表3 信效度檢驗結果

4.2.3 相對風險指數計算

基于數字資源保存風險域的優先級排序，本研究對數字資源、系統服務、用戶信任度、運行成本分別賦值4、3、2、1。對問卷采集的樣本進行統計，取眾數選項作為問卷每個場景下對應風險域的風險值，根據3.4節風險指數計算公式，計算威脅場景的相對風險指數f（TS）（見圖2）。

4.3 實驗結論與建議

4.3.1 實驗結果與分析

根據圖2可知，數字資源保存關聯項中，系統服務與基礎設施的威脅場景整體風險較高，應用程序的威脅場景相對風險較低，有以下內容需重點關注。①系統服務部分。軟件支撐服務的可持續性，即安全可靠的保存管理團隊（Q5）是本次評估風險指數（47分）最高的威脅。同時，為系統服務可持續性提供支撐的重要因素——保存服務運行資金（Q7、Q6）也存在較高風險（36分、33分）。②基礎設施部分。相關威脅占據風險指數排序第2-4位，即備份載體配置（Q4）、應用系統模塊（Q1）和存儲設備模塊（Q3）均存

圖2 不同威脅場景下的相對風險指數

在較高風險（41分、40分、38分）。③應用程序部分。僅有個別場景需要優先處置，如未配置數字資源損壞檢測和恢復程序（場景Q14）存在較高風險（38分）。值得注意的是，可信賴系統的建設及認證涉及整個長期保存流程，尤其是對關鍵軟硬件的監控預警（Q9、Q13）是影響數字資源可靠性、可用性的重要因素（風險指數36分和35分）。

4.3.2 研究建議

基于上述試驗結果建議從以下四個方面加強數字資源保存的安全風險管理。

（1）注重數據管理人員的專業素養。保存管理團隊是數字資源保存需要優先處置的最高風險。數字資源長期保存包含資源采集、接收、攝入、保存、訪問等一系列活動，系統管理過程繁雜，存在諸多不確定因素，管理團隊成員一旦出現問題（如實施誤操作、惡意破壞、非授權訪問等），將直接造成數字資源損失。因此，建議注重數字資源保存團隊的培養和建設，提升可持續的系統服務保障能力。如：面對不斷變化的保存環境，如何制定有效的業務連續性保障計劃；面對復雜的數字資源管理流程，如何對團隊成員進行合理分配，滿足系統運維及管理需求；面對工作人員知識結構存在差異，如何合理規劃人員崗位職責，保障其專業性和可靠性等。

（2）保障數字資源保存有持續穩定的資金投入。軟硬件等系統運行資金的可持續性是需要重點關注的問題。數字資源保存活動需要長期的資金投入，不僅包括問卷中涉及的軟硬件運行費用，還包括日常運維、物理環境、人力資源等相關費用。然而，由于長期保存活動一般難以在短期內取得可見效益，數字資源的戰略保存往往缺少持續專用經費的支持，而一旦失去穩定的資金來源支持，將無法保障長期保存活動的持續開展。因此，需制定合理的保存策略，有效規劃運行資金，保障數字資源保存有持續穩定的資金投入。

（3）加強數字資源全生命周期的監控管理。數字資源長期保存和管理過程中涉及的仿真、遷移等操作，包括自然災害等不確定因素，均可能造成數字資源的損壞或丟失。同時，無預警故障也將造成長期保存系統服務異?；蛑袛啵苯悠茐拇鏅n環境，對數字資源保存狀態和保存期限造成影響。此外，隨著科學技術的發展，軟件不斷更新升級，相繼出現文件格式過時、軟件不兼容導致的數字資源不可讀等問題，嚴重威脅數字資源長期的可用性。因此，建議加強存檔數字資源及其關聯軟硬件全生命周期的監控，確保潛在風險能夠及時被發現和解決，實現數字資源的安全、高效管理。

（4）建議共同努力推動國家行業標準的制定。長期保存載體對數字資源安全性、完整性具有較大威脅。目前廣泛應用的磁性載體壽命普遍較短，但在經歷數次變革后，保存介質從容量、壽命、穩定性與安全性方面都得到了較大改善，最新的微縮膠片技術、磁光電混合技術能進一步延長存儲載體壽命，但是否可以大量應用于長期保存活動仍需驗證，永久保存更是尚未解決的技術難題。備份載體主要用于保存數字資源副本，當系統軟硬件故障造成資源損壞時，能夠及時對受影響資源進行恢復，保障資源完整性。當前，環境和資金仍是影響備份載體的主要原因，不適宜的溫度、濕度可能造成載體損壞，導致資源丟失。載體數量及空間不足也將無法滿足所有存檔數字資源的備份需求，一旦出現問題，將無法利用備份完成恢復。因此，應盡快形成保存載體選擇及使用標準，確保數字資源長期安全可用。

5 結語

本研究構建了一種數字資源保存風險評估體系，該體系可用于對數字資源保存潛在風險的防范，以及對現有保存策略的可信度驗證。結合醫學數字資源保存開展實證研究，為可信賴系統建設和數字資源安全風險管理提供了有效支撐。因此，本研究的成果可用于輔助數字資源保存機構和保存服務對象制定保存規劃和保存策略。對保存機構而言，有效的風險評估和管理方法能夠提升保存服務能力，保障數字資源完整性和可用性；對保存服務對象而言，擁有較強風險評估和管理能力的保存環境具有更高的可信度，數字資源保存在這樣的環境中會具有更高的安全性和可靠性。

本研究也存在一定的局限性：實證部分側重對可信賴的數字資源保存環境中的技術風險評估，對于數字資源保存過程中面臨的臺風等自然災害、戰爭等災難事件以及法律政策因素等外部風險評估尚未涉及，后續研究將考慮擴大風險評估范圍，持續優化和完善真實場景下的數字資源保存風險管理體系。