檔案信息安全概述

檔案信息安全應包括檔案信息系統(tǒng)安全和檔案信息內(nèi)容安全兩項基本要求。一般所說的檔案信息系統(tǒng)安全、檔案信息網(wǎng)絡安全、計算機系統(tǒng)安全、（傳統(tǒng)狹義的）檔案信息安全都可以歸類為檔案信息系統(tǒng)安全。檔案信息系統(tǒng)安全的目標是檔案信息系統(tǒng)的保密性、完整性、可用性、可控性、不可抵賴性等。檔案信息內(nèi)容安全是指由于檔案信息內(nèi)容可能引起的社會安全。因此，檔案信息安全保障就包括兩個基本方面：檔案信息系統(tǒng)安全保護和用戶信息保護。

1 檔案信息安全的涵義與要求

人們常說的檔案信息安全是指檔案信息系統(tǒng)的安全，而現(xiàn)實的檔案信息系統(tǒng)多數(shù)是與網(wǎng)絡并存的，所以確切地說應該是檔案信息系統(tǒng)網(wǎng)絡的信息安全。它主要應包括以下五個方面的主要內(nèi)容：

1.保密性

即確保檔案信息不泄露給非授權的用戶、實體或過程，或供其利用的特性，即防止檔案信息泄露給非授權個人或?qū)嶓w，檔案信息只為授權用戶使用的特性。保密性是在可靠性和可用性基礎之上，保障檔案信息安全的重要手段。

常用的保密技術包括：防偵收（使對手偵收不到有用的信息）、防輻射（防止有用檔案信息以各種途徑輻射出去）、信息加密（在密鑰的控制下，用加密算法對檔案信息進行加密處理）、物理保密（利用各種物理方法保護檔案信息不被泄露）。

2.完整性

即確保檔案信息未經(jīng)授權不能進行改變的特性，即檔案信息在存儲或傳輸過程中保持不被偶然或蓄意地刪除、修改、偽造、亂序、重放、插入等破壞和丟失的特性。完整性是一種面向檔案信息的安全性，它要求保持檔案信息的原樣，即檔案信息的正確生成、正確存儲和傳輸。

完整性與保密性不同，保密性要求信息不被泄露給未授權的人，而完整性則要求檔案信息不致受到各種原因的破壞。影響檔案信息完整性的主要因素有：設備故障、軟件錯誤、人為攻擊、計算機病毒等。

顯然，要想保證檔案信息的完整性使用一種方法是不夠的，在應用數(shù)據(jù)加密技術的基礎上，還應綜合運用故障應急方案和多種預防性技術，諸如歸檔、備份、鏡像、檢驗、崩潰轉儲和故障前兆分析等手段，來實現(xiàn)檔案信息安全的目標。

3.可用性

即確保檔案信息可被授權實體訪問并按需求使用的特性，即檔案信息服務在需要時，允許授權用戶或?qū)嶓w使用的特性，或者是網(wǎng)絡部分受損或需要降級使用時，仍能為授權用戶提供有效服務的特性。

可用性是檔案信息系統(tǒng)面向用戶的安全性能。檔案信息系統(tǒng)最基本的功能是向用戶提供服務，而用戶的需求是隨機的、多方面的，有時還有時間要求。可用性一般用系統(tǒng)正常使用時間和整個工作時間之比來度量。如果一個合法用戶需要得到系統(tǒng)或網(wǎng)絡服務時，系統(tǒng)和網(wǎng)絡不能提供正常的服務，那么和文件資料被鎖在保險柜里，開關和密碼系統(tǒng)因混亂而不能取出一樣，雖然數(shù)據(jù)完好無損地存在于系統(tǒng)之中，卻眼看著拿不出來。例如，網(wǎng)絡環(huán)境下拒絕服務、破壞網(wǎng)絡和系統(tǒng)的正常運行等都屬于對可用性的攻擊。

4.可控性

即確保檔案信息的傳播及內(nèi)容具有控制能力的特性。首先，系統(tǒng)需要能夠控制誰能夠訪問系統(tǒng)或網(wǎng)絡上的數(shù)據(jù)，以及如何訪問，即是否可以修改數(shù)據(jù)還是只能讀取數(shù)據(jù)。其次，即使擁有合法的授權，系統(tǒng)仍需要對檔案信息網(wǎng)絡上的用戶進行驗證，以確保他確實是他所聲稱的那個人，通過握手協(xié)議和數(shù)據(jù)加密進行身份驗證；最后，系統(tǒng)還要將用戶的所有網(wǎng)絡活動記錄在案，包括網(wǎng)絡中機器的使用時間、敏感操作和違紀操作等，為系統(tǒng)進行事故原因查詢、定位、事故發(fā)生前的預測、報警以及為事故發(fā)生后的實時處理提供詳細可靠的依據(jù)或支持。

5.不可抵賴性

不可抵賴性也稱不可否認，即確保在檔案信息系統(tǒng)的信息交互過程中，確信參與者的真實同一性，即所有參與者都不可能否認或抵賴曾經(jīng)完成的操作和承諾。利用信息源證據(jù)可以防止發(fā)信方不真實地否認已發(fā)送信息，利用遞交接收證據(jù)可以防止收信方事后否認已經(jīng)接收的檔案信息。

檔案信息安全工作的目的就是在安全法律、法規(guī)、政策的支持與指導下，通過采用適當?shù)陌踩夹g與安全管理措施，提供安全系數(shù)所要求的保證，具體一點講，就是指使用訪問控制機制，阻止非授權用戶進入網(wǎng)絡，即“進不來”，從而保證檔案信息網(wǎng)絡系統(tǒng)的可用性；使用授權機制，實現(xiàn)對用戶的權限控制，即不該拿走的“拿不走”，同時結合內(nèi)容審計機制，實現(xiàn)對檔案網(wǎng)絡資源及信息的可控性；使用加密機制，確保信息不暴露給未授權的實體或進程，即“看不懂”，從而實現(xiàn)檔案信息的保密性；使用數(shù)據(jù)完整性鑒別機制，保證只有得到允許的人才能修改數(shù)據(jù)，而其他人“改不了”，從而確保檔案信息的完整性；使用審計、監(jiān)控、防抵賴等安全機制，使攻擊者、破壞者、抵賴者“逃不掉”，并進一步對檔案信息網(wǎng)絡出現(xiàn)的安全問題提供調(diào)查的依據(jù)和手段，實現(xiàn)檔案信息安全的可審查性。

2 檔案信息安全管理分類

檔案信息安全管理包括預防、檢測、抑制與恢復等四個方面的功能。按系統(tǒng)的層次將檔案信息安全及其管理分類，有利于對安全的理解和系統(tǒng)安全管理的實現(xiàn)。通過對檔案信息安全管理分層的分析，了解各種檔案信息安全管理需要的技術，因而進一步了解檔案信息安全對檔案信息化發(fā)展提出的需求。

1.設備層的安全管理

設備層的安全管理是檔案信息安全管理的基礎，一個設備一般是由硬件系統(tǒng)和軟件系統(tǒng)構成。

硬件系統(tǒng)本身的安全稱為物理安全。物理安全是指在物理介質(zhì)層上對存儲和傳輸?shù)木W(wǎng)絡信息的安全保護。物理安全是檔案信息的最基本保障，是整個安全系統(tǒng)不可缺少和忽視的組成部分。一方面，在各種軟件和硬件系統(tǒng)中要充分考慮到系統(tǒng)所受的物理安全威脅和相應的防護措施；另一方面提高安全意識的提高、安全制度的完善、完全操作的提倡等方式使用戶和管理維護人員在物理層次上實現(xiàn)對檔案信息的有效保護。由于計算機網(wǎng)絡與信息的廣泛應用，電子對抗技術將不僅用于軍事，而且在公共信息安全方面也會有重要的應用。防電磁輻射、防電磁干擾、固化軟件的安全將是硬件系統(tǒng)安全管理的重要方面。

安全軟件的固化或安全功能由硬件實現(xiàn)在有些情況下是必須的，特別是在安全等級要求比較高的系統(tǒng)或要求一定的安全保障而對性能要求比較高的系統(tǒng)將非常有效。只讀存儲器（ROM ）技術和專用芯片技術將成為檔案信息安全的核心技術之一。

軟件系統(tǒng)的安全主要有操作系統(tǒng)的安全、編譯系統(tǒng)的安全、網(wǎng)絡系統(tǒng)的安全、驅(qū)動系統(tǒng)的安全及各種功能的應用軟件系統(tǒng)安全和數(shù)據(jù)庫系統(tǒng)安全等。由于應用軟件的不可見性、易修改性以及大型軟件的復雜性，任何軟件系統(tǒng)在其生命周期中都存在錯誤或缺陷，因而就使軟件系統(tǒng)特別容易受到攻擊。顯然，軟件系統(tǒng)的安全管理成為檔案信息安全管理的重點。特別是操作系統(tǒng)和數(shù)據(jù)庫等平臺軟件的安全管理也成為信息安全管理的核心技術之一。

黑客和病毒的攻擊都是通過操作系統(tǒng)實現(xiàn)的；各種各樣的“后門”可以通過軟件系統(tǒng)在各個層次上實現(xiàn)；操作系統(tǒng)可以旁路（Bypass ）應用層的安全管理功能。高級的黑客已經(jīng)可以通過攻擊而改變操作系統(tǒng)核心的功能。各種各樣的防黑客技術、防病毒技術、軟件恢復技術以及安全操作系統(tǒng)的實現(xiàn)和應用將是軟件系統(tǒng)安全管理的重點。而軟件系統(tǒng)安全管理最有效的辦法是將其中的安全關鍵部件固化或硬化，當然這樣做的代價是比較高的。然而在為保證檔案信息安全而需要不惜代價的情況下，用硬件實現(xiàn)系統(tǒng)中的關鍵部件安全是必要的。

設備層的安全主要通過采用物理防范、保護軟硬件設備免受外來攻擊造成的意外損失，制定完整物理層面的管理規(guī)范和措施提供安全技術方案。

2.網(wǎng)絡層的安全管理

網(wǎng)絡互聯(lián)互通（協(xié)議、結構）所存在的缺陷或漏洞嚴重影響檔案信息系統(tǒng)的安全，因而網(wǎng)絡層的安全管理主要是針對網(wǎng)絡協(xié)議和結構及其所導致的安全問題所采取的安全措施。

網(wǎng)絡層安全管理包括：內(nèi)部流量和活動模型分析，網(wǎng)絡安全告警，網(wǎng)絡入侵恢復，網(wǎng)絡結構數(shù)據(jù)保護，網(wǎng)絡安全審計管理，內(nèi)部加密與密鑰管理，內(nèi)部接入管理，內(nèi)部認證管理等。

網(wǎng)絡層安全管理的關鍵之一是各個子網(wǎng)的出入口設備的安全管理，如路由器等。因而安全的嵌入式操作系統(tǒng)將成為網(wǎng)絡安全管理的核心技術之一。因此，重點發(fā)展安全的嵌入式操作系統(tǒng)將不可避免地成為整個信息產(chǎn)業(yè)發(fā)展的重點之一。由于嵌入式操作系統(tǒng)一般比較小并且比較專用，從檔案信息安全的角度出發(fā)，采用我國自主的安全嵌入式操作系統(tǒng)比采用通用的操作系統(tǒng)更需要，并且較容易實現(xiàn)。同時，加強傳輸層安全協(xié)議，在通信的應用程序之間提供私有性和數(shù)據(jù)完整性保護。

網(wǎng)絡層的安全主要通過使用防火墻技術、安全路由器設置、相關網(wǎng)絡安全策略的制定提供安全解決方案。

3.應用層的安全管理

應用層的安全管理并不是獨立的，它依賴于操作系統(tǒng)、下層平臺所提供的運行環(huán)境的安全，即保證應用程序本身必須是安全的。在應用程序運行過程中，必須防止計算機病毒、特洛伊木馬的攻擊，必須防止對程序關鍵部分的替代和修改。防止程序被冒充、泄漏、抵賴、篡改等是檔案信息安全管理的內(nèi)容。通過對發(fā)行軟件的簽名和簽名驗證可以有效地保證應用程序的真實性，但必須有響應的安全基礎設施支持（如證書發(fā)行和授權機構等）。

應用層的安全還主要反映在針對不同應用環(huán)境的安全需要，指定不同的安全體系結構、安全策略和實現(xiàn)方案，平衡安全風險和代價。一個良好的應用安全體系可以盡量減少對網(wǎng)絡下層協(xié)議堆棧、系統(tǒng)、通信信道的安全要求，將安全保護措施盡可能地集中在應用程序自身中，使數(shù)據(jù)在用戶終端錄入開始就受到徹底的保護。

應用層的安全主要通過使用網(wǎng)站監(jiān)控與恢復技術、防病毒、漏洞檢測，入侵檢測技術對網(wǎng)絡安全進行掃描、監(jiān)視及相關應用策略的制定提供安全解決方案。

另外，社會安全是檔案信息安全的最高層，是檔案信息安全的目的。社會層的信息安全管理除了技術上的管理外，法律的和行政的管理將成為重要的方面，技術管理的可行性也需要法律法規(guī)來保證。

以上對信息安全管理的分層解釋是基于所涉及的技術、生產(chǎn)的方式、管理的手段等因素而劃分的；其中，設備層和網(wǎng)絡層的安全管理可以統(tǒng)稱為網(wǎng)絡安全管理。網(wǎng)絡是由通信線路和結點設備組成，是信息存儲、傳播和處理的載體。應用層的安全管理可統(tǒng)稱為信息安全管理。

3 檔案信息安全管理的原則

檔案信息安全管理要遵循如下基本原則：

（1）規(guī)范原則。檔案信息系統(tǒng)的規(guī)劃、設計、實現(xiàn)、運行要有安全規(guī)范要求，要根據(jù)本機構或本部門的安全要求制定相應的安全政策：行政法律手段、各種管理制度（人員審查、維護保障制度等）以及專業(yè)技術措施（訪問控制、加密技術、認證技術、攻擊檢測技術、容錯、防病毒等）。安全政策中要根據(jù)需要選擇采用必要的安全功能，選用必要的安全設備，不應盲目開發(fā)、自由設計、違章操作、無人管理。一個較好的安全政策和措施是多種方法適當綜合的應用結果。

（2）預防原則。在檔案信息系統(tǒng)的規(guī)劃、設計、采購、集成、安裝中應該同步考慮安全政策和安全功能具備的程度，以預防為主的指導思想對待檔案信息安全問題，不能心存僥幸。任何安全措施都不是絕對安全的，都可能被攻破。要建立一個多重保護系統(tǒng)，各層保護相互補充，當一層保護被攻破時，其他層保護仍可保護檔案信息的安全。

（3）立足國內(nèi)原則。網(wǎng)絡安全與保密問題關系著一個國家的主權和安全，所以安全技術和設備不可能依賴從國外進口，必須要立足國內(nèi)，建立我們自主的網(wǎng)絡安全產(chǎn)品和產(chǎn)業(yè)。不能未經(jīng)許可、未能消化改造直接應用境外的安全保密技術和設備。為了防止安全技術被不正當?shù)挠脩羰褂茫仨毑扇∠鄳拇胧ζ溥M行控制，比如密鑰托管技術等。

（4）注重實效原則。安全無價，不應盲目追求一時難以實現(xiàn)或投資過大的目標，應使投入與所需要的安全功能相適應，有的放失，具體問題具體分析，把有限的經(jīng)費花在刀刃上。同時要有系統(tǒng)工程的思想，前期的投入和建設與后期的提高要求要匹配和銜接，以便能夠不斷擴展安全功能，保護已有的投資。

（5）均衡防護原則。人們經(jīng)常用木桶裝水來形象地比喻應當注重安全防護的均衡性，箍桶的木板中只要有一塊短板，水就會從那里泄漏出來。設置安全防護中要注意是否存在薄弱環(huán)節(jié)，要充分、全面、完整地對系統(tǒng)的安全漏洞和安全威脅進行分析、評估和檢測（包括模擬攻擊）。

（6）分權制約原則。重要環(huán)節(jié)的安全管理要采取分權制約的原則，要害部位的管理權限如果不加以限制，有可能由于超級用戶的惡意行為、口令泄密、偶然破壞等對系統(tǒng)造成不可估量的損失和破壞，一旦出問題就將全線崩潰。分權可以相互制約，提高安全性。

（7）應急原則。安全防護不怕一萬就怕萬一。因此要有安全管理的應急響應預案，并且要進行必要的演練，一旦出現(xiàn)相關的問題馬上采取對應的措施。安全管理應該包括三種機制：安全防護機制、安全監(jiān)測機制和安全恢復機制。安全防護機制是根據(jù)具體系統(tǒng)存在的各種安全漏洞和安全威脅采取響應的防護措施，避免非法攻擊的進行；安全監(jiān)測機制是監(jiān)測系統(tǒng)的運行情況，及時發(fā)現(xiàn)和制止對系統(tǒng)進行的各種攻擊；安全恢復機制是在安全防護機制失效的情況下，進行應急處理和盡量及時地恢復信息、減少攻擊的破壞程度。

（8）災難恢復原則。越是重要的檔案信息系統(tǒng)越要重視災難恢復。在可能的災難不能同時波及的地區(qū)設立備份中心。要求實時運行的系統(tǒng)要保持備份中心和主系統(tǒng)的數(shù)據(jù)的一致性。一旦遇到災難，立即啟動備份系統(tǒng)，保證系統(tǒng)的連續(xù)工作。

檔案信息安全管理是涉及高技術的管理，要求管理人員對系統(tǒng)各個安全環(huán)節(jié)有清晰的了解和熟練的掌握，這就要求對從事檔案信息安全的人員不斷進行培訓教育，使他們具有相應的素質(zhì)和技能。同時增加教育投入，制定長遠計劃，采取得力措施，培養(yǎng)人才，留住人才，確保我國檔案信息安全有一支強大的信息安全專業(yè)隊伍。