標(biāo)準(zhǔn)化視角下檔案服務(wù)信息安全風(fēng)險(xiǎn)及防護(hù)策略探析

李長敏

（天津阿克威資信息技術(shù)有限公司，天津 301700）

檔案服務(wù)信息安全風(fēng)險(xiǎn)是指在檔案數(shù)字化服務(wù)外包過程中可能出現(xiàn)的隱患和風(fēng)險(xiǎn)。《“十四五”全國檔案事業(yè)發(fā)展規(guī)劃》中針對信息安全提出了嚴(yán)苛要求，規(guī)劃提出數(shù)字檔案資源體系及檔案信息安全等是數(shù)字中國建設(shè)的重要基礎(chǔ)。文利君，周文泓針對我國的檔案信息化建設(shè)政策法規(guī)體系進(jìn)行研究，表明信息安全問題是檔案信息化建設(shè)要解決的主要問題，包括完善政策法規(guī)結(jié)構(gòu)、建立檔案安全管理制度和工作機(jī)制、配備安全可靠的庫房和設(shè)施設(shè)備，以及推進(jìn)檔案信息資源共享服務(wù)平臺的建設(shè)等。

1 數(shù)字檔案信息系統(tǒng)安全風(fēng)險(xiǎn)的相關(guān)標(biāo)準(zhǔn)

1.1 CC 標(biāo)準(zhǔn)

CC 標(biāo)準(zhǔn)是指Common Criteria for Information Technology Security Evaluation，即信息技術(shù)安全性評估準(zhǔn)則。20 世紀(jì)八九十年代信息安全風(fēng)險(xiǎn)問題愈發(fā)嚴(yán)重，最初由美國政府、加拿大和歐共體共同針對應(yīng)對計(jì)算機(jī)信息安全風(fēng)險(xiǎn)進(jìn)行了相關(guān)標(biāo)準(zhǔn)建設(shè)，即CC 標(biāo)準(zhǔn)。在近年來其被美國等五眼聯(lián)盟國家廣泛應(yīng)用并將其推向國際標(biāo)準(zhǔn)。CC 標(biāo)準(zhǔn)的目的是建立一個(gè)各國都能接受的通用的信息安全產(chǎn)品和系統(tǒng)的安全性評估準(zhǔn)則。CC 標(biāo)準(zhǔn)自1993 年起經(jīng)歷了多次演變，其在2021 年發(fā)布了CC4.0 版本。CC 標(biāo)準(zhǔn)始終致力于減少標(biāo)準(zhǔn)復(fù)雜性、適應(yīng)新型產(chǎn)品需求，在保證安全性的同時(shí)降低評估成本。包括評估對象的選擇、評估目標(biāo)的確定、評估等級的劃分以及評估過程的執(zhí)行等。CC 的評估框架能夠適用于所有IT 產(chǎn)品，包括基于檔案服務(wù)信息安全風(fēng)險(xiǎn)研發(fā)的各種軟件程序。因?yàn)镃C標(biāo)準(zhǔn)是一個(gè)通用的安全性評估準(zhǔn)則，其提供了一套統(tǒng)一的評估方法和標(biāo)準(zhǔn)，無論是硬件還是軟件，都可以按照這套框架進(jìn)行評估。

1.2 GB/T18336 標(biāo)準(zhǔn)

GB/T18336《信息技術(shù)安全評估準(zhǔn)測》是我國檔案信息系統(tǒng)安全建設(shè)的重要技術(shù)依據(jù)之一。該標(biāo)準(zhǔn)規(guī)定了檔案信息系統(tǒng)應(yīng)具備的安全性要求，旨在保護(hù)檔案信息的機(jī)密性、完整性和可用性，防止信息泄露、篡改和丟失。根據(jù)GB/T18336《信息技術(shù)安全評估準(zhǔn)測》，檔案信息系統(tǒng)應(yīng)滿足以下要求。

（1）認(rèn)證與授權(quán)：要求對用戶進(jìn)行身份認(rèn)證，限制用戶訪問權(quán)限，并記錄用戶操作日志。

（2）數(shù)據(jù)安全：要求對檔案信息進(jìn)行加密、備份和恢復(fù)，確保數(shù)據(jù)的完整性和可用性。

網(wǎng)絡(luò)安全：要求采取網(wǎng)絡(luò)防火墻、入侵檢測系統(tǒng)等措施，保護(hù)檔案信息系統(tǒng)免受網(wǎng)絡(luò)攻擊。

（3）應(yīng)用軟件安全：要求對檔案信息系統(tǒng)的應(yīng)用軟件進(jìn)行安全審計(jì)，確保其安全性和可靠性。

（4）物理安全：要求對檔案信息系統(tǒng)的物理環(huán)境進(jìn)行嚴(yán)格管理，防止未經(jīng)授權(quán)的人員進(jìn)入。

1.3 BS7799 標(biāo)準(zhǔn)

BS7799 是由英國出臺的信息安全管理系統(tǒng)（ISMS）的國際標(biāo)準(zhǔn)，也稱為ISO/IEC 27001。其提供了一套幫助組織建立、實(shí)施、維護(hù)和持續(xù)改進(jìn)信息安全管理體系。BS7799 標(biāo)準(zhǔn)包含了一系列的控制要求，涵蓋了信息安全管理的各個(gè)方面，包括組織安全策略、資產(chǎn)管理、人員安全、物理和環(huán)境安全、通信和運(yùn)營管理、訪問控制、系統(tǒng)開發(fā)和維護(hù)、供應(yīng)商關(guān)系管理等。BS7799 標(biāo)準(zhǔn)的文件信息包括標(biāo)準(zhǔn)的標(biāo)題、版本、發(fā)布日期、范圍、引用文件、定義術(shù)語等。此外，它還包括了關(guān)于標(biāo)準(zhǔn)的目的和背景、適用范圍、基本原則和方法、實(shí)施ISMS 的步驟和要求、ISMS的監(jiān)視、審計(jì)和改進(jìn)等內(nèi)容。

對于想要實(shí)施數(shù)字檔案信息系統(tǒng)安全風(fēng)險(xiǎn)防護(hù)策略來說，BS7799 標(biāo)準(zhǔn)的檔案信息是非常重要的參考資料，可以幫助理解和遵守信息安全管理的最佳實(shí)踐。

2 檔案服務(wù)信息安全風(fēng)險(xiǎn)及標(biāo)準(zhǔn)化下的風(fēng)險(xiǎn)評估

2.1 檔案服務(wù)信息安全風(fēng)險(xiǎn)

檔案服務(wù)信息安全風(fēng)險(xiǎn)是指在檔案服務(wù)過程中可能發(fā)生的威脅和潛在風(fēng)險(xiǎn)，包括但不限于信息泄露、數(shù)據(jù)損毀、未經(jīng)授權(quán)訪問等。

其中數(shù)據(jù)泄露：檔案服務(wù)中存儲的信息可能包含敏感和機(jī)密的數(shù)據(jù)，如個(gè)人身份信息、財(cái)務(wù)數(shù)據(jù)等。如果未能采取適當(dāng)?shù)陌踩胧@些數(shù)據(jù)可能會被未經(jīng)授權(quán)的人員訪問、獲取或泄露，導(dǎo)致用戶隱私泄露或財(cái)務(wù)損失。

數(shù)據(jù)丟失：檔案服務(wù)中的數(shù)據(jù)可能會因?yàn)榧夹g(shù)故障、人為錯(cuò)誤或自然災(zāi)害等原因而丟失。如果沒有進(jìn)行適當(dāng)?shù)膫浞莺突謴?fù)措施，數(shù)據(jù)的丟失可能導(dǎo)致用戶無法訪問重要的信息，影響業(yè)務(wù)運(yùn)營和持續(xù)性。

未經(jīng)授權(quán)的訪問：如果檔案服務(wù)的訪問控制措施不嚴(yán)密，未經(jīng)授權(quán)的人員可能會獲取到敏感信息或篡改檔案數(shù)據(jù)，從而對用戶的利益和機(jī)構(gòu)的聲譽(yù)造成損害。

社會工程攻擊：社會工程是指攻擊者通過欺騙、誘騙等手段獲取目標(biāo)信息的行為。檔案服務(wù)中的信息可能成為攻擊者進(jìn)行社會工程攻擊的目標(biāo)，例如通過釣魚郵件、電話詐騙等手段獲取用戶的登錄憑證或其他敏感信息。

2.2 基于 BS7799 標(biāo)準(zhǔn) GB/T18336 標(biāo)準(zhǔn) CC 標(biāo)準(zhǔn)評估檔案服務(wù)的信息安全風(fēng)險(xiǎn)評估

基于BS7799 標(biāo)準(zhǔn)、GB/T18336 標(biāo)準(zhǔn)和CC 標(biāo)準(zhǔn)進(jìn)行評估檔案服務(wù)的信息安全風(fēng)險(xiǎn)可以更全面地考慮到不同標(biāo)準(zhǔn)的要求和指導(dǎo)。

（1）其中基于BS7799 標(biāo)準(zhǔn)評估檔案服務(wù)的信息安全風(fēng)險(xiǎn)評估。

安全政策和組織：評估檔案服務(wù)提供商是否有明確的安全政策和組織結(jié)構(gòu)，是否對信息安全進(jìn)行管理和指導(dǎo)。資產(chǎn)管理：評估檔案服務(wù)提供商是否對檔案數(shù)據(jù)和相關(guān)資產(chǎn)進(jìn)行恰當(dāng)?shù)淖R別、分類、評估和保護(hù)。訪問控制：評估檔案服務(wù)提供商是否實(shí)施了適當(dāng)?shù)脑L問控制措施，包括身份驗(yàn)證、授權(quán)和審計(jì)。人員安全：評估檔案服務(wù)提供商是否對員工進(jìn)行了適當(dāng)?shù)谋尘罢{(diào)查和安全意識培訓(xùn)，以防止內(nèi)部威脅。通信和運(yùn)營管理：評估檔案服務(wù)提供商是否有安全的通信和網(wǎng)絡(luò)管理措施，包括加密傳輸、防火墻和入侵檢測系統(tǒng)等。物理和環(huán)境安全：評估檔案服務(wù)提供商是否有適當(dāng)?shù)奈锢砗铜h(huán)境安全措施，包括訪問控制、監(jiān)控和災(zāi)難恢復(fù)計(jì)劃。供應(yīng)商關(guān)系管理：評估檔案服務(wù)提供商是否對與其合作的供應(yīng)商進(jìn)行風(fēng)險(xiǎn)評估和管理，以確保其信息安全性。

（2）其中基于GB/T18336 標(biāo)準(zhǔn)評估檔案服務(wù)的信息安全風(fēng)險(xiǎn)評估。

安全策略和目標(biāo)：評估檔案服務(wù)提供商是否有明確的信息安全策略和目標(biāo)，并且是否與組織的整體戰(zhàn)略和目標(biāo)一致。資產(chǎn)管理：評估檔案服務(wù)提供商是否有有效的資產(chǎn)管理措施，包括標(biāo)識、分類、評估和保護(hù)檔案數(shù)據(jù)和相關(guān)設(shè)備。訪問控制：評估檔案服務(wù)提供商是否實(shí)施了適當(dāng)?shù)脑L問控制措施，包括身份驗(yàn)證、授權(quán)和審計(jì)。系統(tǒng)開發(fā)和維護(hù)：評估檔案服務(wù)提供商是否采用安全的軟件開發(fā)生命周期和維護(hù)管理流程，以確保檔案服務(wù)的安全性。供應(yīng)商關(guān)系管理：評估檔案服務(wù)提供商是否對與其合作的供應(yīng)商進(jìn)行風(fēng)險(xiǎn)評估和管理，以確保其安全性。物理和環(huán)境安全：評估檔案服務(wù)提供商是否有適當(dāng)?shù)奈锢砗铜h(huán)境安全措施，包括控制訪問、監(jiān)控和災(zāi)難恢復(fù)計(jì)劃。通信和運(yùn)營管理：評估檔案服務(wù)提供商是否有安全的通信和網(wǎng)絡(luò)管理措施，以保護(hù)檔案數(shù)據(jù)在傳輸和存儲過程中的安全性。

（3）基于CC 標(biāo)準(zhǔn)評估檔案服務(wù)的信息安全風(fēng)險(xiǎn)評估包括以下幾個(gè)方面。

安全需求分析：評估檔案服務(wù)的安全需求，包括對機(jī)密性、完整性和可用性等方面的要求。安全威脅分析：識別和分析可能對檔案服務(wù)造成的安全威脅，包括外部攻擊、內(nèi)部威脅和自然災(zāi)害等。安全功能分析：評估檔案服務(wù)提供的安全功能，包括身份認(rèn)證、訪問控制、數(shù)據(jù)加密和審計(jì)等。安全驗(yàn)證和認(rèn)證：對檔案服務(wù)進(jìn)行安全驗(yàn)證和認(rèn)證，確保其滿足CC 標(biāo)準(zhǔn)中的安全要求。安全評估和審計(jì)：進(jìn)行定期的安全評估和審計(jì)，確保檔案服務(wù)的持續(xù)安全性。安全管理和改進(jìn)：制定安全管理措施和改進(jìn)計(jì)劃，包括制定安全策略、培訓(xùn)員工、建立應(yīng)急響應(yīng)機(jī)制等。通過以上評估內(nèi)容，可以識別出檔案服務(wù)的信息安全風(fēng)險(xiǎn)，并制定相應(yīng)的風(fēng)險(xiǎn)管理措施和改進(jìn)計(jì)劃，以提高檔案服務(wù)的信息安全性。同時(shí)，根據(jù)CC 標(biāo)準(zhǔn)的要求，進(jìn)行安全驗(yàn)證和認(rèn)證，確保檔案服務(wù)符合國際安全標(biāo)準(zhǔn)。

3 標(biāo)準(zhǔn)化視角下的檔案服務(wù)信息安全風(fēng)險(xiǎn)防護(hù)策略

3.1 基于BS7799 標(biāo)準(zhǔn)評估檔案服務(wù)的信息安全風(fēng)險(xiǎn)防護(hù)策略

基于BS7799 標(biāo)準(zhǔn)評估檔案服務(wù)的信息安全風(fēng)險(xiǎn)防護(hù)措施可以參考ISO27001 信息安全管理體系。ISO27001 適用于各種類型和規(guī)模的組織，包括企業(yè)、政府機(jī)構(gòu)和非營利組織，旨在幫助組織建立、實(shí)施、運(yùn)行、監(jiān)控、審查、維護(hù)和改進(jìn)信息安全管理體系。ISO27001 信息安全管理體系主要包括以下要求和措施：制定和實(shí)施信息安全政策，明確定義信息安全目標(biāo)和控制措施。進(jìn)行風(fēng)險(xiǎn)評估和風(fēng)險(xiǎn)管理，確定信息資產(chǎn)的價(jià)值和敏感性，并采取相應(yīng)的安全措施。建立和運(yùn)行信息安全管理體系，包括組織結(jié)構(gòu)、責(zé)任分工和資源管理。進(jìn)行內(nèi)部和外部的信息安全審計(jì)，評估信息安全管理體系的有效性和合規(guī)性。管理供應(yīng)商和合作伙伴的信息安全，確保其符合相應(yīng)的安全要求。建立應(yīng)急響應(yīng)和恢復(fù)機(jī)制，及時(shí)應(yīng)對和處理信息安全事件。提供員工的信息安全培訓(xùn)和意識教育，提高信息安全意識和能力。

3.2 基于GB/T18336 標(biāo)準(zhǔn)評估檔案服務(wù)的信息安全風(fēng)險(xiǎn)防護(hù)策略

安全引領(lǐng)：建立檔案信息系統(tǒng)時(shí)應(yīng)樹立“安全第一”的思想，確保系統(tǒng)的安全性。對于準(zhǔn)備建設(shè)的檔案信息系統(tǒng)，應(yīng)按照同步規(guī)劃、同步建設(shè)、同步運(yùn)行的原則，建立健全檔案信息安全防護(hù)體系。對于已建設(shè)的檔案信息系統(tǒng)，應(yīng)按照國家有關(guān)信息系統(tǒng)安全的要求，查找安全隱患，堵塞風(fēng)險(xiǎn)漏洞，提升安全防護(hù)水平，并進(jìn)行定級、測評、整改、檢查等信息安全工作。

安全需求分析：對檔案服務(wù)進(jìn)行安全需求分析，明確信息安全的保障措施。根據(jù)GB/T18336 標(biāo)準(zhǔn)，對檔案服務(wù)的數(shù)據(jù)機(jī)密性、完整性、可用性等進(jìn)行評估，為后續(xù)的安全措施提供依據(jù)。

安全控制措施：根據(jù)安全需求分析的結(jié)果，制定相應(yīng)的安全控制措施。例如，建立訪問控制機(jī)制，限制檔案服務(wù)的訪問權(quán)限；加密敏感數(shù)據(jù)，確保檔案信息的機(jī)密性；建立備份和恢復(fù)機(jī)制，保障檔案信息的可用性等。按照計(jì)算機(jī)信息系統(tǒng)安全等級保護(hù)工作的要求，遵循國家有關(guān)信息系統(tǒng)安全保護(hù)相關(guān)標(biāo)準(zhǔn)規(guī)范，結(jié)合檔案信息系統(tǒng)特點(diǎn)，完善檔案信息系統(tǒng)安全保護(hù)的規(guī)章制度和操作規(guī)程，建立本單位檔案信息系統(tǒng)安全管理機(jī)制，明確領(lǐng)導(dǎo)責(zé)任和崗位職責(zé)。

預(yù)防為主：制定應(yīng)急預(yù)案，定期進(jìn)行安全演練，提高應(yīng)對突發(fā)事件的能力。要不斷加強(qiáng)對安全隱患和風(fēng)險(xiǎn)的預(yù)防和監(jiān)控，及時(shí)發(fā)現(xiàn)和解決安全問題。

安全監(jiān)測和評估：定期進(jìn)行安全監(jiān)測和評估，檢測檔案服務(wù)中的安全風(fēng)險(xiǎn)和漏洞。通過安全評估結(jié)果，及時(shí)采取相應(yīng)的風(fēng)險(xiǎn)防護(hù)措施，提升檔案服務(wù)的信息安全性。

3.3 基于CC 標(biāo)準(zhǔn)評估檔案服務(wù)的信息安全風(fēng)險(xiǎn)防護(hù)策略

根據(jù)CC 標(biāo)準(zhǔn)建立鑒別服務(wù)、訪問控制、數(shù)據(jù)機(jī)密性和抗抵賴等安全服務(wù)。鑒別服務(wù)是指通過技術(shù)手段實(shí)現(xiàn)身份鑒別和權(quán)限管理的聯(lián)動控制，以驗(yàn)證訪問請求的主體身份和數(shù)據(jù)來源的真實(shí)性。訪問控制是指防止未經(jīng)授權(quán)的用戶以未授權(quán)的方式使用資源，包括對系統(tǒng)設(shè)置的設(shè)定和訪問日志的記錄等措施。數(shù)據(jù)機(jī)密性是指通過加密等手段保護(hù)數(shù)據(jù)在傳輸過程中的安全性，防止數(shù)據(jù)泄露和竊聽等被動威脅。抗抵賴是指防止主體否認(rèn)其在系統(tǒng)中的操作行為，以保證操作的可追溯性和可審查性。鑒別與訪問控制統(tǒng)一：應(yīng)采用技術(shù)手段實(shí)現(xiàn)身份鑒別和權(quán)限管理的聯(lián)動控制。主體：主體就是發(fā)起訪問請求的對象，這個(gè)對象可以是一個(gè)用戶，也可以是一個(gè)信息系統(tǒng)。對于需要進(jìn)行訪問控制的操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、應(yīng)用系統(tǒng)、開發(fā)測試系統(tǒng)及網(wǎng)絡(luò)系統(tǒng)，要對系統(tǒng)設(shè)置，保證在進(jìn)入系統(tǒng)前必須執(zhí)行登錄操作，并且記錄登錄成功與失敗的日志。對于生產(chǎn)網(wǎng)和辦公網(wǎng)要實(shí)現(xiàn)物理隔離，核心設(shè)備要設(shè)置特別的物理訪問控制，并建立訪問日志。

提供五類安全服務(wù)包括認(rèn)證（鑒別）服務(wù)、訪問控制服務(wù)、數(shù)據(jù)保密性服務(wù)、數(shù)據(jù)完整性服務(wù)和抗否認(rèn)性服務(wù)。認(rèn)證（鑒別）服務(wù)：在網(wǎng)絡(luò)交互過程中，對收發(fā)雙方的身份及數(shù)據(jù)來源進(jìn)行驗(yàn)證。訪問控制服務(wù)：防止未授權(quán)用戶非法訪問資源，包括用戶身份認(rèn)證和用戶權(quán)限確認(rèn)。數(shù)據(jù)保密性服務(wù)：防止數(shù)據(jù)在傳輸過程中被破解、泄露。數(shù)據(jù)完整性服務(wù)：防止數(shù)據(jù)在傳輸過程中被篡改。抗否認(rèn)性服務(wù)：防止主體否認(rèn)其在系統(tǒng)中的操作行為。

網(wǎng)絡(luò)安全服務(wù)主要有5 項(xiàng)：鑒別服務(wù)、訪問控制服務(wù)、數(shù)據(jù)保密性服務(wù)、數(shù)據(jù)完整性服務(wù)和可審查性服務(wù)。鑒別服務(wù)：主要用于網(wǎng)絡(luò)系統(tǒng)中認(rèn)定識別實(shí)體（含用戶及設(shè)備等）和數(shù)據(jù)源等，包括同等實(shí)體鑒別和數(shù)據(jù)源鑒別兩種服務(wù)。訪問控制服務(wù)；訪問控制包括身份驗(yàn)證和權(quán)限驗(yàn)證。其服務(wù)既可防止未授權(quán)用戶非法訪問網(wǎng)絡(luò)資源，也可防止合法用戶越權(quán)訪問。數(shù)據(jù)保密性服務(wù)：主要用于信息泄露、竊聽等被動威脅的防御措施。

隨著科技的不斷發(fā)展，檔案服務(wù)面臨的信息安全風(fēng)險(xiǎn)也在不斷增加和變化。評估檔案服務(wù)信息安全風(fēng)險(xiǎn)需要持續(xù)不斷地進(jìn)行，特別是隨著新技術(shù)和新威脅的不斷出現(xiàn)。因此，及時(shí)評估和構(gòu)建防護(hù)措施至關(guān)重要，以保證檔案服務(wù)的安全性和可靠性。