政務云環(huán)境下電子文件歸檔安全保障策略研究

宋 華/浙江省檔案局

駱建珍 姜悅霞/上海中信信息發(fā)展股份有限公司

近年來云技術(shù)應用快速發(fā)展，在國務院《關(guān)于加快推進“互聯(lián)網(wǎng)+政務服務”工作的指導意見》（國發(fā)[2016]55號）的指引下，各級政府部門不再大規(guī)模自建機房及基礎(chǔ)軟硬件設(shè)施，而是將各類政務業(yè)務系統(tǒng)集中遷移至政務云上運行，由此政務云上電子文件數(shù)量呈指數(shù)級增長。

電子文件具有易篡改、易損毀、環(huán)境依賴性強等特點。在政務云環(huán)境下，電子文件所面臨的安全風險遞增，保障其真實性、完整性、可靠性的任務更為艱巨。電子文件歸檔是電子檔案管理中的重要業(yè)務環(huán)節(jié)，確保電子文件歸檔安全對于保障政務云環(huán)境下電子檔案的安全具有重要意義。因此，必須采用系列安全管理手段與技術(shù)措施，保證電子文件歸檔過程的安全，防止電子文件丟失或被破壞，有效維護電子文件的原始性和憑證價值。

1 政務云環(huán)境下電子文件存在的安全隱患分析

在政務云環(huán)境下，由于云計算技術(shù)的鮮明特征，電子文件不僅要面臨與傳統(tǒng)IT架構(gòu)環(huán)境類似的病毒攻擊、木馬攻擊、黑客攻擊、拒絕服務攻擊 DoS、信息被篡改或損毀、信息泄露等各種安全威脅, 而且還會因為虛擬化、云存儲等技術(shù)的使用，使安全風險的復雜度進一步提高。根據(jù)調(diào)查統(tǒng)計，主要存在的安全隱患包括以下幾方面。

1.1 政務云網(wǎng)絡環(huán)境存在的安全隱患

較之于傳統(tǒng)的電子政務網(wǎng)絡環(huán)境，政務云屬于開放共享的網(wǎng)絡平臺。在傳統(tǒng)的電子政務環(huán)境下，信息安全問題是局部性的，某個部門的信息安全問題不會影響其他部門。而在政務云環(huán)境下，信息安全問題是全局性的，政務云平臺一旦發(fā)生安全問題，電子文件會受到嚴重破壞。此外，政務云平臺自身也存在缺陷和漏洞，非法操作者一旦進入云平臺就可以隨意篡改、竊取或破壞電子文件信息，這將對電子文件的安全產(chǎn)生嚴重威脅。

1.2 電子文件自身特點帶來的安全隱患

網(wǎng)絡化的環(huán)境為電子文件形成、整理、歸檔的一體化帶來便利，但是由于易篡改、易損毀、環(huán)境依賴性強等特點，電子文件從形成、辦理的業(yè)務系統(tǒng)歸檔至電子檔案管理的系統(tǒng)過程中，若缺乏相應的管理方式及技術(shù)保護措施，電子文件極易遭受破壞，被非法篡改或信息丟失，電子文件的真實性、完整性、可用性、安全性得不到保障。

1.3 相關(guān)制度缺失造成的安全隱患

建立規(guī)范的制度體系是保證電子文件歸檔安全的關(guān)鍵。在當前政務云環(huán)境下，由于還沒有制定并出臺完善的網(wǎng)上歸檔規(guī)范，沒有對電子文件的歸檔責任人、歸檔范圍、歸檔流程、歸檔方式、歸檔時間等進行明確規(guī)定，政府部門對網(wǎng)上各類電子文件歸檔的重視程度不夠，電子文件散落保存在各個業(yè)務系統(tǒng)之中，面臨遺失風險。

1.4 突發(fā)事件帶來的安全隱患

突發(fā)事件指所有能夠損害或可能損害電子文件的突發(fā)事故，包括自然災害（如地震、海嘯）和人為破壞。政務云上突發(fā)事件會對各類云上運行業(yè)務系統(tǒng)的電子文件的安全帶來災難性破壞，造成不可彌補的損失。

2 電子文件安全防護模型設(shè)計

針對政務云環(huán)境下電子文件歸檔存在的安全隱患，必須建立完善、高效、可靠的安全保障體系。按照《檔案信息系統(tǒng)安全保護基本要求》（檔辦發(fā)[2016]1號）及相關(guān)安全標準規(guī)范要求，需要從技術(shù)和管理兩個方面對電子文件進行全面安全防護。電子文件安全防護模型如下圖所示。

可以看出，電子文件的安全防護需要從物理層、網(wǎng)絡層、系統(tǒng)層、應用層、管理層五個層面采取防護措施。一是物理層，要從電力保障、防電池泄露、防物理破壞、環(huán)境安全、設(shè)備安全、介質(zhì)安全等方面采取防護措施保障物理層安全；二是網(wǎng)絡層，要從從防火墻、入侵檢測、違規(guī)外聯(lián)、鏈路加密、安全隔離、安全審計、VLAN劃分等方面采取防護措施保障網(wǎng)絡層安全；三是系統(tǒng)層，要從防病毒、漏洞掃描、備份恢復、數(shù)據(jù)庫加固、操作系統(tǒng)加固等方面采取防護措施保障系統(tǒng)層安全；四是應用層，要從身份認證、權(quán)限控制、數(shù)據(jù)簽名、應用審計、格式固化等方面采取防護措施保障應用層安全；五是管理層，要從組織上、措施上、制度上為信息系統(tǒng)的安全運行提供強有力的保障。

3 政務云環(huán)境下電子文件歸檔安全保障策略

基于以上電子文件安全防護模型，結(jié)合浙江政務服務網(wǎng)電子文件的具體特點，在浙江政務服務網(wǎng)電子文件歸檔過程中，主要采用了以下安全保障策略。

3.1 按照等保三級的要求建設(shè)電子文件歸檔系統(tǒng)

參照《檔案信息系統(tǒng)安全等級保護定級工作指南》（檔辦發(fā)[2013]5號）和《檔案信息系統(tǒng)安全保護基本要求》（檔辦發(fā)[2016]1號）的要求，基于政務云的電子文件歸檔系統(tǒng)嚴格按照等保三級的要求進行建設(shè)。

基于等保三級要求，電子文件歸檔系統(tǒng)的建設(shè)應從物理層安全、網(wǎng)絡層安全、系統(tǒng)層安全、應用層安全和管理層安全五個方面進行安全防護，其中物理層安全、網(wǎng)絡層安全、系統(tǒng)層安全在政務云建設(shè)之時已經(jīng)綜合全面考慮，因此電子文件歸檔系統(tǒng)建設(shè)要重點考慮管理層安全，同時加強應用層安全建設(shè)。

管理層安全應從安全管理制度、安全管理機構(gòu)、人員安全管理、系統(tǒng)建設(shè)管理和系統(tǒng)運維管理五方面提供強有力的防護。一是安全管理制度，要形成由安全策略、管理制度、操作規(guī)程等構(gòu)成的全面信息安全管理制度體系；定期組織相關(guān)部門和相關(guān)人員對安全管理制度體系的合理性和適用性進行審定，對存在不足或需要改進的安全管理制度進行修訂。二是安全管理機構(gòu)，要設(shè)置信息安全管理崗位，明確崗位職責和分工，配置崗位人員，按照安全管理制度的要求定期進行安全審核和安全檢查活動，并對安全檢查結(jié)果進行通報。三是人員安全管理，要從人員錄用、人員離崗、人員考核、安全意識教育和培訓、外部人員訪問等方面進行安全管理。四是系統(tǒng)建設(shè)管理，要在系統(tǒng)建設(shè)之初對系統(tǒng)進行定級并設(shè)計安全方案，在系統(tǒng)建設(shè)過程中做好安全管理控制，在開發(fā)過程中形成完整的文檔；還要做好系統(tǒng)備案、等級測評等工作。五是系統(tǒng)運維管理，要在系統(tǒng)運維過程中進行環(huán)境管理、資產(chǎn)管理、介質(zhì)管理、設(shè)備管理、監(jiān)控管理、網(wǎng)絡安全管理、系統(tǒng)安全管理、惡意代碼防范管理、密碼管理、變更管理、備份與恢復管理、安全事件處置、應急預案管理等運維管理工作。

應用層安全要采用各種技術(shù)手段進行安全防護，如按照三權(quán)分立的原則進行權(quán)限分離；提供敏感標記設(shè)置功能，對敏感信息資源進行保護；采用密碼技術(shù)進行會話初始化驗證，并保證通信過程中數(shù)據(jù)的完整；采用數(shù)據(jù)簽名技術(shù)保證數(shù)據(jù)的真實性和原始性；提供應用審計功能，對系統(tǒng)所有的登錄及操作日志進行全方位記錄和管理。

3.2 通過制度規(guī)范建設(shè)推進浙江政務服務網(wǎng)電子文件歸檔工作

浙江省人民政府非常重視浙江政務服務網(wǎng)電子文件歸檔工作， 2017年1月發(fā)布了《浙江政務服務網(wǎng)電子文件管理暫行辦法》（浙政辦發(fā)[2017]4號）（以下簡稱《暫行辦法》），對浙江服務服務網(wǎng)電子文件的形成、辦理、歸檔、移交、保管、利用等工作提出了明確要求，并規(guī)定了各行政機關(guān)的職責。《暫行辦法》的發(fā)布有效推進了浙江政務服務網(wǎng)電子文件歸檔工作，確保了電子文件及時歸檔。

為確保行政審批電子文件規(guī)范歸檔，省檔案局對歸檔過程中存檔信息包的命名規(guī)則、數(shù)據(jù)結(jié)構(gòu)、存儲結(jié)構(gòu)等展開了深入研究，并形成了《政務服務網(wǎng)電子文件歸檔數(shù)據(jù)規(guī)范》。目前，該文件已經(jīng)作為浙江省地方標準，以《政務辦事“最多跑一次”工作規(guī)范 第3部分：政務服務網(wǎng)電子文件歸檔數(shù)據(jù)規(guī)范》（DB33/T 2036.3—2017）在全省發(fā)布執(zhí)行。

在平臺建設(shè)中，省檔案局同步制定了《浙江政務服務網(wǎng)行政審批電子文件歸檔系統(tǒng)功能要求》《浙江政務服務網(wǎng)行政審批電子文件歸檔元數(shù)據(jù)方案》《浙江政務服務網(wǎng)行政審批電子文件歸檔數(shù)據(jù)交換標準》等技術(shù)規(guī)范，以指導省本級各單位以及各市、縣（市、區(qū)）浙江政務服務網(wǎng)行政審批電子文件歸檔工作實施。

2.3 采用技術(shù)手段保證電子文件的“四性”

電子文件的“四性”是指真實性、完整性、可用性和安全性。保證電子文件的“四性”是電子文件能夠成為電子檔案的前提，也是保證電子文件憑證價值、保存價值的關(guān)鍵。在電子文件歸檔過程中，綜合采用了時間戳、格式固化、電子簽章等手段確保電子文件的“四性”。

一是保證真實性。真實性指電子文件的內(nèi)容、邏輯結(jié)構(gòu)和背景與形成時的原始狀況相一致的性質(zhì)。浙江政務服務網(wǎng)電子文件的真實性通過采用時間戳技術(shù)來保障。時間戳是用來標明一個事件所發(fā)生日期和時間的一種記號，一般同生成該記號的人或經(jīng)紀機構(gòu)的身份在一起，該印記一般被附加在消息后面或以某種方式與消息形成邏輯上的關(guān)聯(lián)。這是數(shù)字簽名技術(shù)的一種變種應用，通過有效的第三方專門機構(gòu)所出示的時間來證明文件的真實性。

電子文件歸檔過程中，存檔信息包打包完成后對存檔信息包加蓋時間戳。存檔信息包采集歸檔時，通過對時間戳進行校驗來確保存檔信息包未被篡改，從而保證電子文件的原始性和真實性。歸檔電子文件辦理交接過程采用了加蓋電子簽章以及電子簽章的認證方式，確保電子檔案真實性。《暫時辦法》中規(guī)定“行政機關(guān)通過浙江服務服務網(wǎng)辦結(jié)歸檔的加蓋可靠電子印章的文書類、證照類電子文件，與紙質(zhì)文書具有同等的法律效力”，這從制度層面為電子文件賦予了法律效力，維護了電子文件的憑證價值。

二是保證完整性。完整性指電子文件的內(nèi)容、結(jié)構(gòu)和背景信息齊全且沒有破壞、變異或丟失的性質(zhì)。浙江政務服務網(wǎng)電子文件的完整性主要是確保電子文件元數(shù)據(jù)的完整和歸檔文件材料的完整。浙江政務服務網(wǎng)電子文件歸檔工作開展過程中，各行政機關(guān)在省檔案局的指導下制定了各類行政事項文件材料的歸檔范圍和保管期限。在浙江政務服務網(wǎng)預歸檔模塊，可按照本單位制定的行政審批事項歸檔范圍和保管期限表對各事項的檔號生成規(guī)則、歸檔范圍、保管期限等進行設(shè)置，并生成存檔信息包。存檔信息包采集至電子文件歸檔系統(tǒng)后，電子文件歸檔系統(tǒng)內(nèi)置了“四性”檢測工具，參照歸檔范圍對對電子文件的完整性進行檢測。當檢測不合格時，系統(tǒng)將通過檢測結(jié)果反饋接口將檢測不合格信息發(fā)送給浙江政務服務網(wǎng)預歸檔模塊，要求按照檢測結(jié)果重新進行整理打包。整個過程如下圖所示。

三是保證可用性。可用性指電子文件可以被檢索、呈現(xiàn)和理解的性質(zhì)。在浙江政務服務網(wǎng)電子文件歸檔過程中，對電子文件的歸檔格式做了明確要求。在對電子文件的可用性檢測時，對電子文件的格式進行校驗，如果格式不符合歸檔要求則檢測不通過，從而保證了電子文件的可用性。

四是保證安全性。安全性指電子文件的管理過程可控、數(shù)據(jù)存儲可靠，未被破壞、未被非法訪問的性質(zhì)。在浙江政務服務網(wǎng)電子文件歸檔過程中，安全性保證主要是確保電子文件未被病毒感染。在技術(shù)實現(xiàn)上，系統(tǒng)通過調(diào)用本地的殺毒軟件對電子文件進行病毒檢測，從而保證電子文件的安全。

參考文獻：

[1]畢建新.政務云環(huán)境下電子文件一體化管理模型研究[D].南京:南京大學,2016:29.

[2]李明華.在全國檔案安全工作會議上的講話.中國檔案,2017(7):14-21.

[3]浙江省人民政府辦公廳.浙江政務服務網(wǎng)電子文件管理暫行辦法（浙政辦發(fā)[2017]4號）.