北京數字檔案館（電子文件中心）安全保障體系建設

郭少峰

一、概述

根據《信息系統安全等級保護定級指南》的要求，北京數字檔案館（電子文件中心）確定等級為三級，因此安全體系建設以等級保護三級為目標，以等級保護、風險測評、安全運維等工作為主線，通過采取邊界防護、訪問控制、監控審計、數字簽名、數據加密、身份識別、憑證保護等技術手段并制定配套的安全管理制度，構建北京數字檔案館（電子文件中心）安全保障體系。

二、安全風險分析

北京數字檔案館（電子文件中心）作為全市檔案數字資源集約化管理的區域性檔案數字資源綜合管理平臺，要滿足市屬200余家檔案移交單位對列入進館范圍的電子文件移交、歸檔、保管、利用的需求，并支持市區兩級17個綜合檔案館進行檔案數字資源接收、管理、保存和利用。平臺跨因特網、政務外網和檔案館專網3個不同網域，建設覆蓋檔案“收、管、存、用”等4大業務環節的綜合檔案服務平臺，建成全市共享的“北京市檔案數字資源庫”，其體系結構龐大、網絡環境復雜、使用單位多、覆蓋范圍廣、涉及檔案管理的各業務環節和全生命周期，因此在建設和運行中面臨多種安全風險。

（一）物理安全風險分析

物理安全風險可能導致網絡系統平臺或網絡內數據資源的損毀，主要表現在如下幾個方面：

1.意外事故（如自然災害、火災）造成的硬件系統破壞；

2.設備故障造成系統癱瘓或數據丟失；

3.設備失竊造成數據丟失或信息泄漏；

4.電磁輻射可能造成數據信息被竊取或偷閱。

（二）網絡安全風險分析

隨著攻擊技術的不斷發展，網絡攻擊對系統所構成的安全威脅也越來越大。如網絡非法入侵、網絡傳輸過程泄密、網絡非法外聯等等。攻擊者利用系統或網絡服務的漏洞，植入木馬程序或傳播病毒，毀損數據或竊取重要信息，或者導致系統服務性能下降，甚至系統癱瘓等嚴重安全問題。

（三）主機系統安全風險分析

計算機終端是每個工作人員處理檔案業務的重要工具，由于其分散性、易被忽視、安全手段缺乏的特點，已經成為信息安全體系的薄弱環節，除了本身易遭攻擊破壞外，還容易通過它迅速傳播網絡安全風險，如病毒攻擊、系統自身的安全漏洞等。

（四）應用安全風險分析

如假冒身份入侵、非授權的訪問行為、對行為的抵賴、內部用戶毀損、篡改數字檔案內容、泄露敏感或涉密檔案信息。應用系統的安全風險將直接影響到整個網絡的安全。

（五）數據安全風險分析

所有信息最終都是以數據文件的方式存儲在系統中。因此，信息的安全保密性，很大程度上取決于其存儲、使用的保護措施。對于數據信息的安全威脅，除應用系統對其存取控制外，主要還在于其存儲的安全保護。數據面臨的安全威脅主要表現在兩個方面：

一是異常情況。如自然災害、存儲介質損壞、攻擊行為等都有可能導致數據被破壞，如果沒有必要的備份措施，將使重要數據完全遺失，這直接影響到相關工作的開展，對系統的危害是相當大的。

二是數據存儲的安全性。對于重要數據信息，特別是涉密信息或工作敏感信息，如果在存儲過程中缺少必要的保障措施，任何人都可以直接從存儲介質中讀取，這顯然與信息的安全保密性要求相違背，可能直接導致泄密事件的發生。

（六）安全管理風險分析

安全管理是系統整體安全中較為重要的部分。如果責權不明、安全管理制度不健全及缺乏可操作性等都可能引起管理安全的風險。

如一些員工對自身應承擔的安全責任沒有充分認識，有意無意泄漏他們所知道的一些重要信息；網絡出現攻擊行為或網絡受到其他一些安全威脅（如內部人員的違規操作等）時，無法進行實時的檢測、監控、報告與預警；當事故發生后，無法提供追蹤線索及破案依據，即缺乏對網絡的可控性與可審查性等等。

三、安全保障體系框架

通過以上分析，北京市數字檔案館（電子文件中心）主要從技術和管理兩個方面來建設安全保障體系，全方位保障整個系統的安全。

（一）安全技術體系

1.物理安全

物理安全主要在環境安全、設備安全和介質安全三個方面采取保護措施，如按國家相關標準進行機房選址、建設，安裝門控系統、監控報警系統，采取區域保護措施；選擇高可靠的網絡設備和主機設備，重要設備要有備份。

2.網絡安全

（1）防火墻設計

部署多臺防火墻來實現網絡邏輯隔離、安全域劃分，在安全域的邊界（如各部門之間、業務上下級之間等）設置網絡訪問控制策略。

（2）安全審計系統設計

部署安全審計系統對內部網各類系統全部活動的過程軌跡進行記錄，以便為事后的安全審計追蹤、系統安全漏洞分析提供原始證據。安全審計功能是很多其他安全技術的基礎。

（3）漏洞掃描系統設計

可以利用漏洞掃描技術定期對網絡進行安全掃描，從而提前發現系統中存在的漏洞，及時進行修補，消除安全隱患，進而提高網絡安全水平。

（4）抗拒絕服務系統設計

部署抗拒絕服務系統產品可以幫助用戶有效識別各種常見的攻擊行為，并通過集成的機制實時對這些攻擊流量進行檢測及阻斷，具備遠程網絡監控和數據包分析功能，能夠迅速獲取、分析最新的攻擊特征，防御最新的攻擊手段。

（5）上網行為管理系統設計

部署上網行為管理系統避免信息泄漏，防止非法信息惡意傳播，實時監控、管理網絡資源使用情況，提高整體工作效率。

（6）流量監控系統設計

將系統部署在網絡出口來緩存P2P和HTTP流量，對同一種資源的后續請求將由緩存來響應，從而降低網絡流量、節省帶寬，確保廣域網有限資源的按需動態分配。endprint

（7）入侵防御系統設計

作為防火墻和防病毒軟件的補充，及時識別攻擊程序或有害代碼及其克隆和變種，采取預防措施，先期阻止入侵，防患于未然。

（8）設備冗余設計

為規避因通信設備意外損壞或其他故障造成的網絡中斷，需對網絡中的關鍵節點設備采用雙機冗余的部署方式，提升系統的可靠性和可用性。

3.主機安全

（1）用戶身份認證

系統采用基于Radius（針對網絡設備）和基于數字證書（針對應用系統和系統使用者）的用戶身份鑒別機制，實現系統強身份認證登錄，防止對信息資源的非授權訪問。

（2）訪問控制

進一步加強對系統內數據信息資源訪問的可控性，防止信息資源被非授權訪問，在身份有效性識別的基礎上，對不同角色人員（設備）采取授權訪問措施，從系統級和資源級兩方面進行訪問控制。

（3）主機系統加固

主機系統加固主要包括操作系統的安全加固和數據庫的安全加固。

（4）惡意代碼防范

在因特網接入域部署網絡防病毒網關實現網絡邊界惡意代碼主動的檢測和清除，并依托已有防病毒服務，完善惡意代碼防范機制。

（5）數據安全

使用SSL技術、數字簽名以及加密技術從數據傳輸過程和數據存儲過程兩方面保障應用系統數據的完整性和保密性。

（6）剩余信息處理

部署文件粉碎機對存儲介質的剩余信息進行處理，徹底清除工作中殘留在存儲介質上的信息和各種使用數據的痕跡，確保信息安全。

（7） PC終端安全

PC保護是對使用計算機的主體進行驗證的過程，是保護計算機終端安全及網絡登錄安全，防止惡意用戶通過非法獲得合法用戶的賬號、口令來非法獲得或破壞本地資源和網絡資源。

（8）區域邊界安全

在原有的網絡分域基礎上，根據等保三級的相關要求，針對各安全分域，在邊界配置相應的安全策略。

4.應用安全

（1）應用軟件安全

應用軟件安全保證是指在應用軟件的設計、開發、測試、分發和升級等整個生命周期中通過安全設計評估、版本控制、測試、按安全策略分發等安全的運作方式保證軟件的安全性。

（2） WEB應用程序安全設計

軟件設計開發時針對跨站腳本攻擊和SQL注入攻擊等常用WEB程序攻擊采取必要的技術手段來防范。

（3）網頁防篡改系統設計

部署網頁防篡改系統來防范網頁被黑客篡改。

（4）統一認證管理

配置一套北京數字證書認證中心的安全應用支撐平臺，實現對各類應用系統、用戶以及管理員提供統一的身份認證、用戶管理、單點登錄以及安全審計服務。

（5）可信時間服務

部署授時服務器實現網絡中設備的時鐘同步，保證數據交互過程中時間的準確性，同時為業務處理的不可抵賴性和可審計性提供支持。

（6）堡壘主機系統

部署堡壘主機攔截非法訪問和惡意攻擊，對不合法命令進行阻斷、過濾掉所有對目標設備的非法訪問行為，進行統一的身份鑒別和操作行為審計。

（7）安全審計

采取網絡安全審計手段實現對應用系統的訪問審計，在核心交換機上針對業務訪問進行記錄，使系統管理人員了解應用系統的被訪問情況。

（8）剩余信息保護

在應用系統的設計中通過腳本來實現對緩存中的認證信息、磁盤中的臨時文件、中間文件等剩余信息的及時清除。

（9）通信完整性

應用軟件設計中利用PKI數字證書的Hash算法和摘要算法來實現通信的完整性。

（10）通信保密性

應用軟件設計中利用PKI數字證書的密碼技術和HTTPS應用協議實現通信的保密性。

（11）抗抵賴

應用軟件設計中利用PKI數字證書、非對稱密鑰技術來實現基于應用軟件的抗抵賴保護措施。

（12）軟件容錯

應用軟件設計中充分考慮軟件對輸入、發生異常、自我保護等方面的容錯能力。

（13）資源控制

應用軟件設計中充分考慮結束回話、連接數、重復登錄、資源分配、進程優化等方面的軟件資源控制的能力。

5.數據安全及備份

（1）傳輸安全與通訊抗抵賴

利用IPSec/SSL VPN數據加密傳輸技術來解決敏感數據安全傳輸和抗抵賴問題。

（2）數據存儲與備份安全

建立統一存儲池，按數據生命周期分三級存儲數據：一級是數據庫數據和業務數據，存儲在高性能、快速磁盤陣列中；二級是近線備份和共享文件系統的遷移歸檔數據，采用慢速大容量磁盤；三級是系統、數據庫、數字資源的備份，采用磁帶。

針對不同的對象采取不同的備份策略：操作系統和應用系統投入使用后，變更較少，采取每月一次的定期全備份；數據庫是結構化數據，量不大，采取每周一次全備份、每天增量備份的策略，同時在磁帶和磁盤中進行雙備份；檔案數字資源備份是備份體系的核心，但由于數據量巨大，故采用每年一次全備份，每天增量備份的策略，同時建立“一主三備”的存備體系?！耙恢魅齻洹笔侵笇n案數字資源進行一套在線備份和三套離線備份，其中在線備份存儲在本地磁盤陣列，離線備份一套保存在本地、一套保存在密云的容災備份中心、一套保存在陜西省檔案館。

（3）應急系統

部署CDAP設備，可以將所有重要服務器業務系統全部備份，通過應急模塊進行業務不間斷的接管，保證日常業務工作的正常運行。

（二）管理體系建設

安全管理在信息化系統中占有非常重要的地位，即使有了較完善的安全技術措施，如果管理措施不到位，仍將會有很大的安全隱患。因此，信息化系統特別強調不能忽視安全管理，并提供安全管理的具體措施。endprint

1.安全管理制度

安全管理制度包括信息安全工作的總體方針和策略、規范各種安全管理活動的管理制度、操作人員日常操作規程等。

本項目針對三級等保的要求制定了包括安全總體策略、安全組織人員崗位職責、信息安全檢查與審計管理制度、外部人員訪問信息安全管理規定、信息安全方案設計管理規定、信息系統工程實施管理制度、介質安全管理制度、網絡安全管理制度、備份與恢復管理制度、應急預案管理制度等28項制度，形成了較為完備的信息安全管理制度體系。

2.安全管理機構

在項目建設階段，安全由項目籌備組統籌管理，遵循“統一領導、分級管理”“誰主管、誰負責”的原則，建立項目安全保密責任制。安全保障體系建設由下設的基礎環境組負責。

項目建成投入使用之后，納入單位的安全管理體系統一管理，即在局（館）安委會的領導下，由負責信息安全日常工作的網管處來負責安全運維和管理。

3.人員安全管理

人是信息安全中最關鍵的因素，同時也是信息安全中最薄弱的環節。只有對人員進行正確全面的管理，才能降低人為錯誤和誤用設備的風險，從而減小信息系統因人為因素造成損失的概率。

項目建設階段外部人員較多，制定了外部人員訪問管理規定，對公司的建設開發人員進行了安全保密培訓，和建設承接公司簽訂的合同中附加安全保密條款，和公司人員簽訂安全保密協議。對內部人員按照三級等保相關制度管理，按要求設立系統管理員、安全管理員、審計員。

4.系統建設管理

信息系統的安全管理貫穿系統的整個生命周期，系統建設管理主要關注生命周期中的前三個階段（初始、采購、實施）中各項安全管理活動。

針對這些方面，專門制定了信息安全方案設計管理規定、信息系統產品采購和使用管理規定、信息系統工程實施管理制度、信息系統測試驗收管理規定、信息系統交付管理規定、信息系統等級測評管理規定等多項制度，對建設過程的各項活動進行制度化規范，按照制度要求進行活動的開展。

5.系統運維管理

本項目在原有的IT運維管理系統的基礎上實現在三個不同網段對原有和新增被管對象的資源自動發現與采集、拓撲管理、故障管理、性能管理、流量管理、IP/MAC地址管理等功能。實現對被管對象的自動預警及通知功能，幫助IT部門完成日常運維工作，推進運維管理工作的制度化、規范化和高效化，發揮整體優勢，實現快速決策反應。

四、結語

安全體系的建設不是一勞永逸的事情，隨著等級保護從1.0升級到2.0和《網絡安全法》的頒布實施，國家對網絡安全等級保護制度提出了新的要求，未來的安全體系面臨的威脅變得常態化，對我們的信息系統建設提出了新的挑戰和考驗，這就要求我們從現階段的被動防御變成主動防御，此外，北京市數字檔案館（電子文件中心）是區域性的，而目前安全體系建設和管理只考慮了市檔案館范圍內的，應該逐步把市屬單位和各區檔案館納入進來，因此數字檔案館的安全體系建設任重而道遠。

參考文獻：

王建文.北京數字檔案館（電子文件中心）存儲體系建設[J].北京檔案，2017（5）：7-9

熊艷萍.北京數字檔案館（電子文件中心）容災備份體系建設[J].北京檔案，2017（6）：5-7

作者單位：北京市檔案館endprint