數字檔案館信息安全風險自評估軟件設計研究

趙寧燕 錢萬里

（蘇州市職業大學，蘇州大學，江蘇蘇州，215000)

檔案信息資源建設過程中，豐富多樣的數字信息大都由形成者使用和保管著，分散存儲在各自的單機、局域網機或互聯網絡機的信息系統中。由于網絡系統和信息系統自身的缺陷和潛在的威脅、管理人員安全意識的淡漠，及越來越猖狂的黑客侵入竊密事件，來自不同層面、不同方面的信息安全風險，時時刻刻威脅著數字檔案信息的安全。數字檔案信息安全管理形勢嚴峻、任務繁重、刻不容緩。

信息安全風險評估是利用風險管理理論進行檔案信息的安全管理，面對日益復雜的檔案信息管理系統和與日俱增的檔案數字信息資源，傳統手工的信息安全風險評估方法已難以勝任，考慮到檔案信息的封閉性和保密性特征，及檔案本身所具有的記憶、憑證和參考作用，也不適宜經常進行信息安全風險的委托評估。運用風險管理理論，從風險管理角度來研究適合檔案行業特點，具有可操作性和實用性［1］的數字檔案信息安全風險自評估軟件（以下簡稱“自評估軟件”），科學、系統地完成數字檔案信息安全風險的自評估，是解決檔案信息安全管理面臨困境的有效途徑之一。利用自評估軟件得出的評估結果，合理改進安全措施，將數字檔案信息安全風險控制在可接受范圍內，對保障數字檔案館信息安全有著積極和深遠的意義。

1.自評估軟件設計標準

自評估軟件設計除要遵守和執行軟件設計、數字檔案信息建設規范《計算機管理軟件設計規范》《檔案信息計算機管理軟件設計》《檔案信息化建設指南》《數字檔案館建設指南》《電子文件管理》等相關標準外，還應遵守和執行信息安全風險評估GB/T20984-2007《信息安全技術信息安全風險評估規范》、國務院信息化工作辦公室［2006］9號《信息安全評估指南（征求意見稿）》、GB/18336-2001《信息技術安全性評估準則》、GB/17859-1999《計算機信息系統安全保護等級劃分準則》等相關標準。

2.自評估軟件設計流程

自評估軟件設計時，應結合風險管理理念，充分考慮檔案業務和數字檔案館數據的特點，從安全管理信息的角度出發，遵守相關標準，確定有效算法，采用科學方法和技巧，緊緊圍繞風險管理目標進行設計。自評估軟件應能完成數字檔案館信息安全風險自評估過程的各項任務：準確識別數字檔案館信息資產、威脅及威脅所利用的脆弱點，科學評估資產面臨的風險，提供合理的風險評估結果及安全措施改進建議，最大限度地為保障數字檔案館資產安全提供科學依據，滿足數字檔案館信息安全管理的決策要求。

軟件整體設計思想：首先，軟件自身應具有較強的抵御風險能力，符合數字檔案信息安全風險評估要求，具有開放性特征、智能化能力和可擴展性潛質；其次，軟件應能與多種操作系統及應用環境兼容，具有與主流風險評估輔助工具（如：漏洞掃描工具、滲透測試工具等）的數據接口功能；第三，選用的評估方法典型、完善，提供的評估算法先進、成熟，得出的評估結果可信、實用，必要時，能夠實時提供安全預警信息；第四，軟件應用界面友好、便捷，數據處理高效、簡潔，數據導入/導出安全、流暢；數據庫結構靈活可變，數據庫間關聯性強；數據輸出格式組合自由，結果輸出形式多樣可選。軟件設計流程圖如圖1。

3.自評估軟件核心模塊設計思路

3.1 數據采集模塊

圖1 自評估軟件設計流程圖

圖2 數字檔案館指標體系

數據采集指的是收集滿足自評估過程中所需的各類信息［2］。數據采集模塊主要負責完成數字檔案館資產、威脅、脆弱性三項關鍵要素的數據采集工作及安全措施確認工作。組織、管理和存儲所采集的數據，形成數字檔案館資產數據庫，這三項關鍵要素數據的客觀、精準和真實性，直接影響到數字檔案館信息安全風險指標體系的建立和風險計算結果，是數字檔案館信息安全風險評估工作的基礎工作。

step1：以數字檔案館資產基于表現形式分類的原則，設計參數輸入界面,主要包含檔案數據、軟件、硬件、服務、人員等五大類和若干小類［3］參數的輸入，采集資產分類數據庫。提供資產管理工具、主動探測工具、手工記錄表格等方式，輔助參數的采集。

step2：資產威脅主要來源于組織管理、環境影響、人為因素、硬件設備、網絡系統、館藏檔案數據等六個方面，考慮到一項資產可能面臨多個威脅，一個威脅也可能對不同的資產造成影響［4］，參數輸入界面設計成多選項操作模式，允許用戶根據實際環境有選擇地輸入資產可能面臨的威脅源，準確地采集資產威脅數據庫。模塊提供IDS/IPS采樣分析工具、安全審計工具、人員訪談數據接入模式等，幫助用戶快速完成資產所面臨威脅數據的采集。

step3：從技術脆弱和管理脆弱兩個方面設計參數輸入界面，采集資產脆弱性數據庫。允許用戶根據已有的安全措施，輸入資產實際的脆弱源，并能根據安全措施的改進，自動調整脆弱源。提供漏洞掃描工具、滲透測試工具，快速、準確地協助對現有環境下資產脆弱源數據的采集。

step4：參照《信息安全技術信息安全風險評估規范》，在確認和識別其安全措施的基礎上，分別對資產數據庫進行資產保密性、完整性、可用性、真實性、不可否認性、可控性和可追溯性［5］等安全屬性的賦值，安全屬性對風險所起作用的比重用“權重”因子區分；對資產威脅數據庫進行資產威脅出現頻率賦值；對資產脆弱數據庫進行資產脆弱嚴重程度賦值，形成自評估軟件資產評估三項關鍵要素數據庫，該庫與前面采集的三個數據庫進行關聯，隨著采集庫數據的改變，能自動、動態地更新該庫中相應的數據。

3.2 評估指標體系模塊

信息安全風險評估是一項復雜的動態系統工程，評估因素繁多、零亂，相互關系交叉、重疊，許多評估因素可以量化，而有些因素卻難以量化［6］。自評估軟件采用綜合評估思想，用指標體系的方式層次化分解評估因素，清晰地勾勒出數字檔案館信息安全風險評估指標體系脈絡，形象地反映出數字檔案館信息安全風險評估的全貌關系。由于數字檔案館自身所處的物理環境和地理位置不同、安全措施實施的差異，信息安全風險評估指標體系將有所不同。限于篇幅，文中列出了數字檔案館風險評估通用指標體系的6個一級指標和25個二級指標。（如圖2）指標庫為開放性設計，允許用戶根據實際情況，自行增加下級指標層，最多允許增加到五級指標層，并能保存為自己的評估指標體系庫。

數字檔案館指標體系的建立，使雜亂、無序的風險評估因素層次分明、歸類清晰，使復雜的評估過程化繁為簡、規范有序，且有利于信息安全措施的分塊實施、分層改進。體系模塊內嵌多種體系指標量化算法，如：標度法、模糊數法、專家調查表法、特征向量法、順序指標量化方法等［7］。力爭能最大限度、最科學地量化評估對象的所有評估因素。

3.3 評估模型庫模塊

用戶在完成相關數據采集和指標體系建立的基礎上，選擇一種或多種適合的評估模型，快捷、準確地完成對自身數字檔案館信息安全風險的自評估工作。評估模型庫中內嵌多個典型、成熟、算法多樣的風險評估模型，以適應不同數字檔案館信息安全風險評估環境。評估模型主要分成三大類：a.基于多元統計的評估模型：故障樹分析法（FTA）、事件樹分析法、因子分析法、風險圖法；b.基于知識與決策技術的評估模型：因素分析法、邏輯分析法、群決策方法；c.基于系統的綜合評估方法：模糊理論綜合評估模型FAHP、模糊神經網絡綜合評估模型FNN、灰色理論評估模型AHP［8］等。

該模塊為開放性設計，允許用戶自行添加和編輯評估模型，刪除不用或不需要的評估模型，逐步積累成通用或專用的評估模型庫。自評估完成后，軟件會以多種形式給出評估結果報告，并從降低風險、避免風險、接受風險三個角度，提出科學、合理的風險處理建議。必要時，評估結果可與預先設置的安全預警指標進行比對，形成安全預警提示報告。

3.4 輔助評估工具管理模塊

數字檔案館建設規劃、設計、運行維護的每個階段都需要進行信息安全風險自評估，這是貫穿于整個建設過程中的一項常態工作，如果所有參數都采用手工輸入，將是一項無法想象的復雜、繁瑣、高強度、高難度的工作。管理模塊提供流行、成熟的輔助評估工具，來幫助用戶快速完成自評估中資產數據采集、指標體系建立等基礎工作，以提高評估效率。

管理模塊提供的輔助評估工具類型有：漏洞掃描工具、滲透測試工具、入侵檢測工具。該模塊為開放性設計，可隨時添加、刪除各類輔助評估工具，并能自適應最新輔助評估工具，評估工具產生的數據可以無縫對接到用戶定義的自評估數據庫中，成為后續風險自評估的部分或全部數據。

3.5 通用模塊

與常用管理軟件相同，自評估軟件也需要若干通用模塊來協助完成自評估過程中數據處理、存儲和傳輸、結果輸出、報（圖）表打印等任務，和自評估軟件核心模塊共同組成一個功能完整、操作簡便的自評估軟件。

通用模塊含用戶管理模塊：用戶身份驗證、用戶權限設定、用戶增加/刪除、用戶密碼更新等；系統設置模塊：軟件使用環境設置、網絡設置、郵件設置、數據更新時間設置、數據保存目錄設置、日志管理等；數據導入/導出模塊：接收外部專業工具產生的多種格式數據，支持本地保存、發送至郵件、文件傳輸等形式導出多種格式數據；數據管理模塊：維護各數據庫數據（增加、刪除、編輯），支持對數據庫數據的檢索、分類、匯總、查詢和瀏覽；文檔打印模塊：支持各類文檔、圖表、報表的變格式輸出；幫助模塊：軟件用戶手冊、版本信息、升級信息等。

4.自評估軟件應用價值

盡管數字檔案館在建設的各個時期會充分考慮信息的安全，會盡最大的力量，采用最先進的技術手段和各種安全措施來防護數字檔案可能受到的威脅，避免可能的脆弱性，然而，世上沒有“永遠、絕對”的安全環境和“確保、肯定”的無漏洞信息系統，受各種因素影響和各種條件限制，在安全措施缺失或薄弱的情形下，資產總是客觀存在著各式各樣的安全風險。應用自評估軟件可以在數字檔案館建設和運行的各個生命周期中進行定期或不定期的信息安全風險自評估，通過持續不斷地循環評估，實時、動態地確定信息安全風險等級，進行合理的安全措施改進，保障數字檔案信息在相對時間內的“絕對”安全。

自評估軟件的使用，將會規范數字檔案信息安全風險自評估的流程，解決評估過程中繁瑣的數據采集工作，理順雜亂無序的評估因素指標，提高評估時效，使評估結果更加客觀、可信，對數字檔案館信息安全風險評估長效機制的建立和實施，有著極高的應用價值。

*本文系國家檔案局科技項目計劃“數字檔案館信息安全風險自評估軟件的研究與開發”（2009-X-20）研究成果之一。

［1］項文新.檔案信息安全風險評估流程［J］.檔案學研究 2012（1）：76-79.

［2］張健.電子文件信息安全管理評估體系研究［J］.檔案學通訊 2011（4）：67-69.

［3］中華人民共和國國家標準.信息安全技術信息安全風險評估規范GB/T 20984-2007：6-7“表1一種基于表現形式的資產分類方法”.

［4］張澤虹.信息安全管理與風險評估［M］.北京：電子工業出版社，2010：136.

［5］項文新.檔案信息安全保障體系框架研究［J］.檔案學研究 2010（2）：68-73.

［6］［8］吳曉平，付鈺.信息安全風險評估教程［M］.武漢：武漢大學出版社，2011：54.

［7］吳曉平，付鈺.信息安全風險評估教程［M］.武漢：武漢大學出版社，2011.