新形勢下機要檔案面臨的信息安全風險及策略

文/南京科技職業學院 董林玨

近年來，我國對檔案信息化建設中所涉及的信息安全問題高度重視，特別是對保密要求較高的機要檔案，制訂了多項政策并取得了一定成效，但互聯網環境、線上操作流程、檔案的可復制性等問題給信息安全帶來巨大挑戰，特別是云計算、物聯網、大數據等新興技術應用的安全性有待進一步驗證。對此，檔案管理部門應準確把握信息化時代機要檔案面臨的各種信息安全風險，進一步明晰機要檔案信息安全風險存在的原因及應對措施，為檔案工作的創新發展提供了良好條件。

一、新形勢下機要檔案信息安全工作的新特點

（一）保密范圍進一步擴大。隨著機關事業單位各項業務的改革與優化，機要檔案的內容和種類愈加豐富。同時，信息技術的普遍應用，使信息在收集、儲存、檢索、查詢、傳播等方面趨于數字化、網絡化、模塊化，也引領了現代辦公模式和國家秘密存在形式、運行方式的重大變革。其中，最為明顯的趨勢就是傳統紙質檔案開始逐漸轉變為以電子文檔為載體的數字檔案，呈現出內容與載體分離、信息密度變大、傳輸網絡化的特點，這使得機要檔案信息安全管理從對實體檔案管理延伸為數字檔案和存儲環境的管理。未來，隨著單套制檔案管理制度的大范圍推廣，越來越多的機要檔案將僅以數字檔案的形式存在，機要檔案信息安全管理工作的范圍也會不斷擴大、難度不斷增加、要求相應提高。

（二）信息安全環境愈加復雜。相對于其他類型檔案，機要檔案的保密要求較高，其接收到的上級下發文件的行政級別也較高，不僅包括中央及各部委的，地方等其他職能部門的涉密文件也較多。機要文件的特殊性使得其極容易成為境外敵對勢力的重點竊密對象，特別是在信息化時代，機關單位不僅要預防內部管理疏漏所帶來的主客觀風險，同時也面臨著開放的互聯網環境下不可控的風險，如有組織、有規模地撞庫攻擊是大部分單位無法應對的。此外，隨著機要檔案開發與利用方式的不斷創新，機要檔案的應用場景、渠道和對象更加多元，這使得機要檔案面臨著前端、后端等多方面的信息安全威脅，信息安全形勢愈加嚴峻。

（三）更加依賴信息技術。新形勢下，機要檔案信息安全風險的來源更加復雜，保密技術也更加科學化。一般來說，檔案信息安全風險主要通過人防、物防、技防三個方面來實現。風險類型的增多并不能通過策略的簡單疊加來應對，特別是對于難度較大的技術防范來說，要通過多方面的努力。以計算機的網絡信息安全為例，基本的保密技術就涉及部署防火墻系統、安全隔離與信息交換系統、防病毒系統、網頁防篡改系統和終端安全準入控制系統等多個方面，同時還伴隨云計算的虛擬化技術安全。可以預見到的是，隨著大數據、云計算和區塊鏈等新興計算機技術應用的不斷推廣，未來的機要檔案信息安全風險應對對信息技術的依賴會越來越大，這也提醒檔案管理部門要做好技術上的儲備與部署工作。

（四）信息安全管理系統化。新形勢下，機要檔案信息安全風險的應對不是各種安全領域的簡單疊加，而是要通過各個系統的容錯與整合，實現“大安全”。如針對機要檔案查閱權限設施，頂層設計層面要提出相應規章制度，完善保障機制；執行層面則要加強檔案管理人員的責任意識和保密意識；技術層面則要實現對機要檔案全過程的記錄、監管和回溯等等，其中任何一個環節出了問題都會導致整個系統面臨著信息安全風險。因此，機要檔案信息安全風險的應對不僅要考慮到各個環節面臨的安全風險，同時也要設計好“熔斷”機制，將信息安全事件的損失降到最低。

二、新形勢下機要檔案面臨的信息安全風險環境

新形勢下機要檔案信息安全工作主要面臨著外部和內部兩方面的風險。其中，外部風險較容易識別，包括三個方面：一是政策法規風險。主要是指政府主導制定的關于檔案的政策、政府對檔案檔案管理要求的變化（如機構改革、智慧政務等）以及檔案管理部門提供服務能力的變化。如2021年11月1日開始施行的《個人信息保護法》就對檔案風險治理中個人檔案部分提出更高要求，同時明確相關管理單位的法律責任。二是外部網絡環境風險。如網絡服務器常遭受到黑客的襲擊，個別網絡中的信息系統受到攻擊后無法恢復正常運行等。三是自然環境風險。例如停電、自然災害、蟲咬、潮濕等情況。

內部風險包括三個方面：一是組織架構風險。具體體現在檔案管理部門是否有專門機構負責檔案數據安全治理，是否有資金、制度、機制等方面的支撐和保障。二是技術風險。這一風險在信息化環境下較為普遍。如檔案管理部門是否配置了足夠的帶寬環境，對重要價值文件是否有完備的備份，在技術層面能否防范黑客攻擊、脫庫裝酷等。三是業務風險。主要是指檔案各項業務特別是面對用戶的檔案服務是否有規范的流程，如檔案流轉中是否存在信息泄露風險、密鑰授權和檔案查閱權限是否合規等。

機要檔案工作的特殊性決定了其是依托行政管理體系開展的，這也讓檔案管理部門與內部職能部門和外部相關部門無法形成有效的溝通機制。在信息安全方面也存在多頭管理的情況，責任邊界模糊，責任性事故定位不明確。這導致很多部門缺乏檔案信息風險管理意識，使檔案信息安全工作面臨嚴重的安全風險隱患。與此同時，新形勢下，機要檔案信息安全工作在硬件、軟件、系統研發方面費用的投入比常規實體檔案管理的費用要多，部分地區在檔案信息風險識別與應對上的硬件投入明顯不足，存在著一定的安全隱患。

三、新形勢下機要檔案信息安全風險的應對策略

（一）健全信息化環境下機要檔案信息風險管理。健全信息化環境下機要檔案信息風險管理主要包括三個環節：一是對信息安全風險內容識別，具體而言，就是應基于新形勢下機要檔案管理信息化的特征識別新的信息風險內容，圍繞檔案信息化管理的共性風險和機要檔案的特有風險，逐步構建起完善的信息風險識別和應對策略。一般來說，應加強四類信息安全風險的識別：一是硬件強行入侵。此類風險可能導致硬件設備被入侵者直接劫持，造成大量機要文件泄露或丟失，應對方法包括更新查殺病毒，更新硬件組件。二是組件欺騙。該漏洞能夠讓惡意程序偽裝成為受信任的組件欺騙用戶進行安裝感染，從而導致文件丟失或者硬件損壞，應對該風險的主要措施是及時更新操作系統，做好防火墻和殺毒軟件的更新。三是闖入通信。闖入通信。我們將這種威脅分為兩種類型，即未經授權的信息讀取訪問以及改變或攔截組件之間的流量從而導致丟失或者損壞電子檔案的行為發生。應對措施為加強機要秘書的密鑰管理，對于特定檔案采用局域網內網操作。四是使用威脅。入侵者可以嘗試以耗盡資源的方式使用系統，例如將隨機垃圾添加到存檔中或者采取撞庫攻擊電子檔案數據庫。第一，應對這種風險時，檔案管理部門應加強實時監管，及時封禁IP或限制訪問。第二，在明確風險內容和應對策略后，還應及時優化風險識別的方法。考慮到信息化環境下機要檔案管理呈現出開放化和網絡化的特征，風險識別和應對應采用專家咨詢法、系統識別法和調查法相結合的方式，保證風險識別和應對在制度上、技術上持續改進。其中，專家咨詢法要覆蓋檔案業務領域的專家和信息安全專家，系統識別法則需要管理部門基于信息化的特征在前期就布置相應的軟硬件予以識別。第三是風險識別后的應對。具體而言，可以根據業務特點構建信息安全網絡模型。如美國網絡安全屆常用的PDRR模型，即防護（P：Protection）、檢測（D：Detection）、恢復（R：Recovery）和響應（R：Reaction）四部分，以強化各個環節的風險識別與應對。

（二）強化信息風險應對的技術保障。第一，加強對機要檔案信息風險應對的需求調研。內部主要由黨辦、檔案管理部門和涉及機要檔案流轉的職能部門對各自信息安全管理現狀進行系統梳理和摸排，發現風險點和薄弱點，不僅要考慮到機要檔案保密性強的業務特征，也要遵循差異化和層次化的原則，對檔案信息化可能帶來的新的安全風險進行預判，采用量化評價的方式對信息風險治理技術的應用及成效進行預測，為后續新技術的部署和應用提供參考。外部則要由單位負責信息化的單位從技術角度分析外網和局域網的信息安全風險，定期提出新的安全管理需求。第二，加強對基礎設施的投入。基于前期內外部的需求調研，有的放矢地做好機要檔案信息安全管理軟硬件設施的規劃與采購。在執行層面，加大對服務器、存儲設備和內部網絡的安全建設，應實現內部IP的實時查詢，對于機要檔案的利益攸關方應實現實名IP登錄，能夠及時切斷通信和封禁登錄等等。同時，推動各類數據與管理平臺的共享共建，進一步完善檔案資源易地備份模式，定時更新計算機終端的系統和殺毒軟件，防止木馬病毒和利用系統漏洞而侵入計算機設備。第三，加強數據庫安全防護。主要針對信息化環境下機要檔案的產生、歸檔、管理和利用等各個流程所涉及的數據庫，包括檔案編輯數據庫、元數據數據庫和密鑰數據庫等電子檔案存儲等核心環節進行防護，其工作重點包括兩個方面：一是防止數據的丟失和損毀，針對此類問題主要采用數據備份技術。對電子檔案的數據備份應采用異地備份方式，當下較為主流的是采用云存儲，確保數據的永久保存；二是防止數據被竊取。要加強機要檔案查閱的授權管理，采用全面的數據標記進行全過程留痕，確保數據在可控范圍內。同時，要嚴格執行加密和解密流程，讓攻擊者無法識別有價值的信息。第四，應推動機要檔案管理平臺的共享鏈接。通過統一的云平臺整合不同檔案部門的服務與系統，實現檔案資源跨界、跨領域、跨系統的資源整合，為檔案異地備份奠定基礎。此外，還可以通過招標形式引進第三方供應商，提供安全管理服務，通過云端做好重要價值檔案的備份與應急處理。

（三）完善機要檔案信息風險應對體制機制。一是建立完善的應急響應機制。機要檔案信息安全事件的應急響應機制包括以下幾個方面：信息安全事件分級，參照《信息安全技術信息安全事件分類分級指南》，結合單位網絡及系統的實際，以及機要檔案安全事件緊急程度、發展態勢和可能造成的危害程度等，根據其危害程度分為四級：特別重大（Ⅰ級）、重大（Ⅱ級）、較大（Ⅲ級）、一般（Ⅳ級），應急響應。經分析研判，初判為較大及以上安全事件的，應立即報告上級網絡安全應急辦，對于人為破壞活動，應同時報當地網信部門和公安機關。經上級網絡安全應急辦組織研判，認定為重大及以上網絡安全事件的，需報上級主管部門領導小組；應急處置，遵循控制事態防止蔓延、消除隱患恢復系統、調查取證、信息發布、協調外部支持、次生事件處置的工作程序和原則，及時消解或信息安全事件影響。二是強化機要檔案信息安全管理過程中的問責制度。問責制度的關鍵應在于對風險治理中“不作為”或重大失誤進行懲戒，在完善制度的同時，也能夠提高管理人員的責任意識。特別是針對瀏覽器、管理信息系統中的數據收集以及過度授權問題制訂嚴格規定，對產生重大信息安全疏漏或導致個人信息泄露等問題依法追究其民事責任或刑事責任。三是建立健全監管機制。要健全內部監管機制，根據信息化環境下機要檔案信息風險治理的重點、痛點和難點建立考核體系，定期考察工作推進情況。同時，由單位內部的紀檢部門牽頭，對檔案信息風險治理進行巡查，持續追蹤其整改情況。在外部監管方面，由政府牽頭，動員社會和民眾的力量對檔案信息風險治理情況進行監督，逐步搭建起互相監督機制，有效保障機要檔案信息安全工作持續推進。