檔案信息系統云安全等級保護需求與策略

曾薩 黃新榮

摘? 要：為了提高云環境下檔案信息系統的安全防護能力，本文從檔案信息系統安全等級保護定級工作指南存在的問題入手，對比《云等保2.0》《云安全指南4.0》等，分析檔案信息系統云安全的合規性需求與發展性需求，針對安全需求，提出在進行檔案信息系統云安全保護時，應將云安全納入檔案信息系統等級保護標準與規范、加強檔案館與云服務商的合作、培養檔案信息系統云安全保護的能力，為檔案信息系統云安全建立起全方位防護體系。

關鍵詞：檔案信息系統;云安全等級保護;云安全

Abstract： In order to improve the security protection capability of archive information system under the cloud environment， this article analysis the problems in the Archive Information System Security Level Protection Rating Work Guide firstly. Then， extracted the legally and developmental needs of archive information system cloud security from comparing Chapter 2： security extension requirements for cloud computing （Cloud security 2.0） and Security Guidance V4.0. For these security needs， we should establish the archival information system cloud security all-round protection system， including incorporate cloud security into the archive information system level protection standards and specifications， strengthen cooperation between archives and cloud service providers， cultivate the ability of archive information system cloud security protection.

Keywords： Archive information system; Cloud security level protection; Cloud security

隨著云計算、大數據技術的成熟，數字檔案館的建設經由早期的“個體模式”轉變到以云計算平臺為支撐的“云模式”。物聯網、移動計算、人工智能等技術的發展，智慧城市建設的推進，業界提出將數字檔案館推向更高級的建設模式——智慧檔案館。無論是“云模式”的數字檔案館，還是更高形態的智慧檔案館，都需要無處不在的互聯網支撐，需要云計算技術的應用，這對檔案館安全需求提出了更高的要求。

作為數字檔案館的重要組成部分——檔案信息系統，是業務人員管理檔案的工具，也是提供檔案服務的窗口，聯結著檔案信息資源、檔案工作人員、用戶等，是安全保護的重中之重。為了提高檔案信息系統的安全防護能力，國家檔案局編制《檔案信息系統安全等級保護定級工作指南》（以下簡稱指南），指導我國檔案信息系統安全等級保護工作。但是等級保護定級指南存在一些問題，不能滿足云計算環境下數字檔案館、智慧檔案館對檔案信息系統的安全要求。本文以此為基點，結合《信息安全技術 網絡安全等級保護基本要求第2部分：云計算安全擴展要求（云等保2.0）》、云安全指南4.0（Security Guidance V4.0_Chinese）等，分析檔案信息系統云安全的需求，在檔案信息系統云安全等級保護方面提出合理建議。

1 檔案信息系統安全等級保護定級工作指南

檔案信息系統作為國家重點行業信息系統組成部分，為了貫徹落實國家信息安全等級保護制度，國家檔案局在2013年印發了《檔案信息系統安全等級保護定級工作指南》[1]。指南參考《中華人民共和國計算機信息系統安全保護條例》等標準、規范制定，指導我國檔案信息系統安全保護工作。

1.1 檔案信息系統安全等級保護定級工作指南內容。指南的主要內容為檔案信息系統的劃分與檔案信息系統的定級。指南將檔案信息系統劃分為：檔案信息管理系統，主要用于對檔案信息資源的管理，如數字檔案管理系統;檔案信息服務系統，主要為用戶提供檔案信息服務，如檔案網站系統;檔案辦公系統，與檔案工作相關的、輔助辦公的系統，如公文制發系統等。

檔案信息系統的定級，主要確定了檔案信息系統安全保護等級的劃分依據——受侵害客體。按照檔案信息系統受到破壞時對社會的影響程度，將受侵害客體分為：國家安全;社會秩序、公共利益;公民、法人、社會組織。根據檔案信息系統受到破壞時對客體的侵害程度，確定檔案信息系統的安全等級。在綜合分析業務信息安全與系統服務安全等級基礎上，考慮檔案信息的重要程度和敏感程度，再確定等級。

1.2 檔案信息系統安全保護定級指南存在的問題。定級指南已經在一段時間內指導我國檔案信息系統安全保護定級工作，維護檔案信息以及檔案信息系統安全。隨著計算機技術、移動互聯網技術、物聯網、云計算等新技術的發展，數字檔案館的建設邁入新階段，對檔案安全提出了更高的要求。隨著檔案實踐的推進，指南也浮現出一些新問題。

1.2.1 指南內容簡略，不符合實際定級需求。指南除了最核心的檔案信息系統劃分與定級外，也有對一些系統定級建議。但是整體看來，指南內容簡略，不能詳細地指導檔案信息系統安全保護。

作為檔案信息系統安全等級定級指南，對檔案信息安全缺乏詳細分析。指南將檔案信息系統安全分為業務信息安全與系統服務安全，信息安全保障檔案信息的真實性、完整性、可用性，系統安全是指系統可以及時有效地提供服務。這樣的安全概念太過簡略，對于不同等級的檔案信息系統，具有何種安全需求，采取何種安全防護措施，指南并沒有提及。可能會造成檔案部門為了定級而定級，沒有達到真正的安全防護要求，無法達到檔案信息安全保護的動機。

1.2.2 指南內容傳統，缺乏對新技術的跟進。指南在2013年7月發布，至今未更新版本。但是在此期間，云計算、大數據、人工智能等技術逐步成熟，web2.0、互聯網技術、存儲技術、數據庫技術發展日新月異，信息時代正在走向數據時代，數據時代也在走向計算時代[2]。檔案領域也在不斷采用現代信息技術，特別是云計算的應用，要求我們重新審視檔案館安全建設，反思傳統的安全對策。

檔案信息系統作為檔案資源、用戶、檔案人員的紐帶，任何一個環節出現安全漏洞都會造成無法彌補的損失。特別是云技術支撐下的數字檔案館，一個區域內所有非加密的檔案數據都存儲在云中，資源池一旦遭到泄露后果不堪設想。云技術服務商的參與，也使得云環境下檔案信息安全保護更加復雜，責任更加分散，不同責任主體可能會產生糾紛。但是在指南中，對于新技術出現帶來的安全隱患并沒有提及，特別是云計算的應用，并沒有推薦的應用范圍以及安全指導。

1.2.3 指南缺乏風險管控意識。指南同《信息安全指南 網絡安全等級保護定級指南》一樣，根據客體受侵害的程度判定保護等級。但是在計算時代，超鏈接性使得網絡系統更加脆弱，客體受侵害程度很難把握，組織信息受損也可能會危害國家利益。從預測客體受損程度反推安全等級保護等級，不是萬全之策，缺乏對風險的預先洞察和評估。任何檔案信息系統都會有風險，指南應該具備風險管控意識，按照風險管理的思想，對系統的每一個細節和業務的每一個環節的風險進行識別、評估，對可能產生的風險制定應對措施，將風險化解或者將損失降到最低。

上述問題的出現，使得在檔案館利用云計算的環境下指南的適用性降低，檔案信息系統安全建設在云計算環境下缺乏規范指導。文章以下部分從分析檔案信息系統的云安全的合規性和發展性需求展開，以需求為導向，制定檔案信息系統保護策略。

2 檔案信息系統云安全的合規性需求

檔案信息系統安全建設首先要考慮合規性需求，符合《網絡安全法》《檔案法》等法律要求，符合《中華人民共和國計算機信息系統安全保護條例》《信息安全技術》等計算機安全法規，符合《數字檔案館建設指南》《電子檔案管理系統基本規定》等檔案領域的規范。在云環境下建設檔案信息系統，在上述合規的基礎上，要十分注意云計算建設的合規性，結合上述規范以及《信息安全技術 網絡安全等級保護基本要求第2部分：云計算安全擴展要求》，提出檔案信息系統云安全的合規性需求，達到檔案館在利用云計算時的技術合規與管理合規。

2.1 檔案信息系統云安全的技術需求。檔案信息系統的建設已經比較成熟，云環境下建設檔案信息系統技術要求主要在云計算方面，關鍵之處是云計算與檔案的結合，既要注重系統安全，也要注重數據安全。

2.1.1 基礎安全。檔案信息系統與其他信息系統組成相同，由計算機軟硬件、網絡和通信設備、信息資源等組成，從系統基礎安全角度出發，需要保障檔案信息系統的以下安全：

物理和環境安全，檔案信息系統的基礎設施、云計算的基礎設施，都應該位于中國境內。按照數字檔案館聯合建設的模式，一個區域內只有一個云檔案信息中心，云計算的基礎設施應該在區域內，遵循異地備份的原則。

網絡和通信安全，主要包括網絡架構、訪問控制、入侵防范、安全審計等指標。傳統云計算的架構由接入層、匯聚層、核心層構成，多線路、設備HA技術以及探測和切換機制、巡檢和監測的存在使得云計算網絡架構具有高可靠性。但是高級性能是把雙刃劍，容易出現線路故障和堆疊分裂等故障，這使得云計算平臺不能承載超過其安全保護等級的業務系統。

設備和計算安全，如網絡設備、服務器、終端等節點設備通常通過安裝操作系統、防護性軟件等支撐性系統軟件來實現自身安全防護。設備和計算安全要注意身份鑒別，在網絡策略控制器和網絡設備（或設備代理）之間建立雙向驗證機制[3]。此時的入侵防范應該從最小化安裝組建入手，關閉不必要的端口，對重要節點的攻擊進行檢測和報警，對虛擬機間隔離資源的隔離實效能進行及時處理。盡量采用防范惡意代碼攻擊的技術措施，或者是采用可信計算技術建立從系統到應用的信任鏈[4]。在資源控制中，對物理資源和計算資源進行統一管理調度與分配，要注意限制單個用戶或進程對系統資源的最大使用限度，以免造成云負載過重;對重要節點進行監視，屏蔽虛擬資源故障，為監控信息的匯集提供接口。

2.1.2 應用和數據安全。近幾年，云計算事故頻發，數據安全成了云計算應用的最大隱患。一方面傳統信息系統的數據安全隱患依舊存在;另一方面由于不涉及自身利益，云服務商可能會忽視云計算的長期潛在安全隱患，甚至會為了自身利益損害云租戶數據安全[5]。加之檔案數據作為機構的活動記錄具有特殊性，保障檔案信息的真實性、完整性、可靠性在云計算時代具有更高的要求。

為了保障數據和應用安全，要確保云計算服務接口的安全性;確保在虛擬機遷移時，重要數據的完整性，在完整性遭到破壞時有及時的恢復措施;確保云服務商和檔案館可以對各自控制的數據進行安全審計;確保做好數據備份，云中檔案數據應有本地備份。此外，檔案信息作為機構的重要顯性知識資產，具有一定特殊性，堅持保密信息不上網，不進入云檔案服務中心，對部分重要信息進行密鑰管理。

2.2 檔案信息系統云安全的管理需求。從Cloudflare的數百萬網絡托管客戶數據泄露的“云出血”事件，到亞馬遜AWS選民個人信息曝光，說明“三分靠技術，七分靠管理”的策略在云計算安全建設中同樣適用。

檔案信息系統云安全的管理較之傳統檔案信息系統的管理，需要有效的安全管理機制、協調機制，統籌數據管理。信息技術部門和業務部門需要更加密切配合，檔案信息系統運維人員應將系統安全需求、檔案數據安全需求提前告知系統設計人員，進行提前控制，達到對數據全生命周期的管理和監控，提供及時的數據支持。明確數據的增刪、修改、使用等權限，建立合理的數據使用流程。同時安全管理機制也要承擔起建立全面、準確、完整的數據視圖，不僅對于數據流、信息流可以進行全方位的監管，也為檔案業務部門提供知識挖掘的素材。安全管理是一個長期工程，從檔案信息系統的建設開始就應該設計安全方案，對信息系統進行安全測評審核驗收。

由于檔案性質的特殊性，檔案館要十分注重對云服務商的選擇，不同的檔案機構選擇最適合自己的云服務商，如：企業檔案館可以選擇將數據托管給類似于阿里云的云計算平臺，選擇公有云服務;對于國家綜合數字檔案館的云服務中心，最好由檔案館構建云數據中心或選擇同級的電子政務云平臺，以云的方式提供內部IT服務，但是考慮到檔案館的經費以及技術情況也可以考慮選擇混合云。在服務水平協議上，應注意保密條款，安全生命等的范圍，確保權責明確。

云環境下的檔案信息系統安全需求對管理人員的素質有更高的要求。管理人員需要有更高的安全素養，懂得云計算與檔案管理的專業知識，具有全生命周期數據管理的意識。檔案館要加強對員工云計算知識的普及，對云環境下檔案信息系統安全運維的教育，確保檔案人員行為合規。

3 檔案信息系統云安全的發展性需求

安全管理是一個系統工程，信息技術在不斷發展，信息系統安全需求也會逐步提升，合規性安全需求只能滿足一段時間內的需求。為了提高檔案信息系統的安全性能，應該結合關鍵技術的技術成熟度曲線（The Hype Cycle），從長遠角度考慮安全需求。作為云環境下的檔案信息系統，云計算是關鍵技術，利用云計算成熟度曲線，對比分析《云等保2.0》與《Security Guidence For Critical Areas of Focus in Cloud Computing V4.0 》（云計算關鍵領域安全指南4.0）[6]，以找到檔案信息系統云安全的發展性需求。

3.1 檔案信息系統云安全的發展性技術需求。云計算成熟度曲線指出了云安全產品和技術的發展趨勢和成熟度，但并不是所有的前瞻性的技術都是檔案信息系統云安全所要考慮的安全需求。檔案為業務服務、為社會服務，發展性技術需求，既要考慮安全性，又要考慮經濟性。

3.1.1 數據丟失防護（DLP）。數據丟失防護（DLP）作為《云安全成熟度曲線》指出的處于光明期的技術之一，在檔案領域同樣值得關注。數據丟失防護是在操作時基于內容和上下文的策略進行數據丟失防護的動態應用程序，可以幫助識別導致數據意外泄露的未登記或有缺陷的業務流程，并提供政策和程序方面的教育，降低數據意外丟失的風險、減少敏感數據的暴露[7]。在未來的智慧檔案館時代，檔案信息系統由于物聯網與云計算的混合應用將會更加復雜、數據集更加龐大，檔案數據開放更加注重隱私，數據丟失防護技術的應用可以更好地滿足檔案信息系統的安全需求。雖然DLP在應對內部故意泄露和外部有意攻擊上還有弱點，但是相對來說比較經濟。

3.1.2 數字業務安全。數字安全是在業務系統中保證信任安全和可靠性的實踐，所涉及的系統包括操作技術（OT）、網絡物理系統安全（CPSS）和物聯網（物聯網）。系統包括設備、網絡、通信、應用以及商業、政府和社會中的數據等數字商業活動。數字安全控制信任建立，為數字基礎設施提供安全、可靠、隱私和彈性等功能[8]。檔案信息系統為了數字業務安全，可以持續關注云上數據備份、云數據防護網管、LaaS容器加密、數據災難恢復等技術方向，使檔案數字業務生態系統更加牢固。

3.2 檔案信息系統云安全的發展性管理需求。管理雖不似技術發展風云多變，但也要跟上時代發展脈搏，檔案信息系統安全管理也一樣，需要有大格局、大視野，不局限于系統內部，也不局限于當下，從預測未來安全需求反推管理需求，制定管理策略。

3.2.1 信息治理。檔案管理者協會 （the Association of Records Managers and Administrators， ARMA） 認為“信息治理是為了達成組織目標使得組織和個人能夠負責形成、組織、保護、維護、利用和處置信息的標準、流程、組織、職責和評估工具組成的戰略性框架，具有關鍵性作用和統領性價值”[9]。隨著數據集的不斷增長、數據多元化，檔案館不僅要進行安全管理，更要進行信息治理，確保數據遵循組織策略、標準和戰略。在分析治理需求后，制定信息治理框架，將信息治理擴展到云端數據，使用數據生命安全周期模型幫助數據治理，確保云端數據的真實性、完整性、可靠性、可用性。

3.2.2 風險管理。無論檔案館建設發展到何種程度，風險管理都是信息治理工具之一。云計算是一把“雙刃劍”，云模式下的數字檔案館，要全面評估應用云計算的風險，不僅僅是技術風險，也有信息本身存在的風險、管理上的風險。在云環境下，風險管理更強調責任共享，劃分權責體系，明確每個人員的角色和職責。任何系統都有風險，檔案館在引進云計算之前進行風險評估，評估云計算風險是否超過風險容忍度。在云計算應用后，進行定期的風險審查、評估，針對可能出現的風險，制定風險防范策略。建立風險接受方法，評估每個解決方案的風險，評估剩余風險的接受度和規避度。依據風險評估結果與防范措施，依托于虛擬技術，模擬風險發生情況，以確定風險防范措施的合理性。

3.2.3 隱私保護。作為重要的數據控制機構，檔案館應該注重對用戶隱私權和員工隱私權的保護。檔案館是數據開放的重要機構，將數據放入云端后將會有更多的訪問量和使用量。國外檔案機構針對云中文件管理制定了相關政策，如美國文件與檔案管理署（NARA）《云環境中的文件管理指南》[10]、澳大利亞國家檔案館（NAA）《云計算與信息管理》[11]，從隱私、技術標準、業務要求等角度出發，明確云服務帶來的好處與挑戰，并在評估下進行指導。

為了長期發展考慮，我國檔案館應該依據已有的法律法規，制定云環境下數字檔案館安全管理規范。此外，歐盟在2018年5月生效了《一般數據保護條例》（GDPR）[12]，對數據保護能力提出了更高的要求。檔案館雖然目前還不需要合規，但是可以以此條例規范自己的行為。在高標準的要求下，將數據力量轉化為知識力量，更好地服務于社會。

4 檔案信息系統云安全等級保護策略

4.1 將云安全納入檔案信息系統安全等級建設標準與規范。未來的檔案信息系統，必然是向云平臺發展，信息系統安全是檔案館云安全的重要組成部分，有必要將云安全納入檔案信息系統安全等級定級指南等規范或標準。根據信息資源的重要性、風險評估等結果評定檔案信息系統云安全的等級，從檔案信息系統對云計算平臺LaaS、PaaS、SaaS層分別出發，制定相應的安全等級建設標準與規范。

云安全的納入可以解決指南內容傳統、落后的問題，使得指南與時俱進，在新技術環境下發揮指導作用。更重要的是云安全的納入，全面分析了檔案信息系統的云安全需求，可以滿足數字檔案館建設的實際需求，為檔案信息系統的安全防護行為提供權威指導;此外，此舉也可以向檔案領導人員、檔案管理人員、信息技術人員普及云安全知識，提高對云安全重視，為云計算在數字檔案館的大范圍應用提供鋪墊。

云安全納入后，對于云風險可能造成的損失，既要從受侵害客體評估，也要從數據負載的價值、通過數據挖掘等技術手段對數據進行深度利用帶來的價值等進行二次危害評估，從而確定檔案信息系統云安全保護等級。指南需要形成云安全擴展需求，對不同等級的檔案信息系統安全等級，提出不同的云安全需求，以及云風險應對策略。

4.2 加強檔案館與云服務商的合作。根據檔案信息系統云安全的安全需求分析，現有的檔案信息系統并不能滿足云環境下的安全需求。并非云計算的技術不能滿足安全需求帶來風險，問題在于檔案信息系統安全需求與云服務的不匹配。一方面檔案管理機構需要全面分析業務需求與安全需求，從長遠角度考慮云環境下的檔案信息系統特征，提高檔案系統對新技術的接受度與包容度，提高檔案云服務的風險意識，尋求可靠的云服務商簽訂服務等級協議;另一方面云服務商從檔案信息系統的安全需求出發，以檔案數據的特征為基點，依此設定所提供的云服務管理功能、環節、流程、細節、責任人等，并由此提供相應的技術配置與具體方案[13]，建立可信安全的云環境。檔案機構可以與云服務商展開深層合作，共同建立適合文件與檔案運營管理的云空間，貫穿檔案的生命周期，而不僅僅是存儲平臺。

4.3 培養適用于云環境下檔案信息系統安全管理的能力。合規性安全管理需求還是發展性安全管理需求，都體現出檔案信息系統云安全等級管理能力的重要性，信息治理與風險治理都在挑戰傳統檔案管理人員的知識儲備、信息素養，要長久保護檔案信息系統云安全，需要培養業務人員的信息安全素養和安全技能。檔案管理人員作為一名管理者，不僅要熟悉檔案安全需求，也要知悉云平臺的結構，做好風險防范和危機應對，處理安全事故。檔案人員更要作為云環境下檔案信息系統的架構者，將檔案業務安全需求嵌入云環境，維護檔案產生的元數據及其關聯數據。只有具備扎實的基礎與把控全局的能力，才能降低檔案信息系統事故出現的風險、將損失最小化。

參考文獻：

[1] 中華人民共和國國家檔案局.檔案信息系統安全等級保護定級工作指南[EB/OL].[2018-12-07].http：//www.saac.gov.cn/xxgk/2013-08/20/content_27120.htm.

[2] 張曉林.顛覆性變革與后圖書館時代——推動知識服務的供給側結構性改革[J].中國圖書館學報，2018，44（1）：4-16.

[3] 中華人民共和國國家質量監督檢驗檢疫總局，中國國家標準化管理委員會.信息安全技術 網絡安全等級保護基本要求 第2部分：云計算安全擴展要求[S].北京：中國標準出版社，2008.

[4] 陳衛平.可信計算3.0在等級保護2.0標準體系中的作用研究[J].信息安全研究，2018，4（7）：633-638.

[5] 中國信息通信研究院.云計算發展白皮書（2018）[R].北京：中國信息通信研究院，2018.

[6] Cloud Security Alliance.云計算關鍵領域安全指南4.0（中文版）[EB/OL].[2019-03-07].https：//www.c-csa.org.

[7] Gartner.2017年云安全成熟度曲線[EB/OL].[2019-02-15]. http：//www.sohu.com/a/190928470_465914.

[8] 佚名.云等保標準、云安全指南及Gartner技術剖析-互聯網專區[EB/OL].[2018-12-08].http：//software.it168.com/a2018/0115/3188/000003188837.shtml.

[9] 羅明，王愛蓮.基于信息治理的檔案服務質量優化機制研究[J].浙江檔案，2018（07）：10-12.

[10] NARA.Guidance on Managing Records in Cloud Computing Environments[EB/OL].[2019-03-06].https：//www.archives.gov/records-mgmt/bulletins/2010/2010-05.html.

[11] NAA.Cloud computing and information management[EB/OL]. [2019-03-06].https：//www.archives.gov/recordsmgmt/bulletins/2015/2015-02.html.

[12] EU GDPR Information Portal[EB/OL].[2019-03-02].https：//www.eugdpr.org/eugdpr.org-1.html.

[13] 周文泓，張黃麗，余文婷，張筠涵.云環境中電子文件管理的挑戰與策略研究——基于美澳政策的文本分析[J].蘭臺世界，2018（04）：13-15+12.

（作者單位：西北大學公共管理學院? ? ?來稿日期：2019-07-25）