依据风险管理和文档生命周期理论,根据档案信息利用过程中的安全保护原则,我们认为,应当将档案信息利用安全的功能扩展到收集整理、存储传输等领域,从前端把控好权限和数据的分类,从而整体上推动档案信息利用的安全。另外,由于系统调阅过程涉及到的功能点较多,我们将一部分功能与离线利用合并,归于信息公布功能,因此,最终将档案信息利用安全的功能大致分为收集整理、存储传输、查询利用、信息公布、对外发布等方面。同时,在每个具体的过程中,通过事前、事中、事后的功能需求分析,围绕安全保护目标,从整体上系统设计各级国家综合档案馆电子文件与电子档案管理系统在档案信息利用过程中安全保护的功能需求方案。其中:事前防范主要是指通过安全策略的设定,事先防范安全风险。事中控制主要是指通过对操作过程的控制以及对其中档案信息的控制来实现过程中风险的规避、发现和告警。事后审计主要是指在档案信息利用过程中发生的所有行为,包括用户行为、设备行为以及网络行为等,进行审计跟踪,做到事后可以追溯。
1 收集整理
我们把档案信息收集整理纳入研究的范畴,一则是由于在收集整
理中也涉及到档案信息的利用,如在数字化加工中对原有档案目录数据的使用;二则是从全生命周期来看,如果在收集整理时没有做好相应的分类,捕获必要的元数据等,就会对后面的档案信息利用过程中的安全带来风险隐患,因此我们在这里简要地论述下收集整理方面的功能需求。
收集,一般包括电子档案接收和传统载体档案数字化转换这两个方面,其他的收集渠道虽然五花八门,但最终也要通过这两个步骤才能进入系统。整理,这里我们特指与收集相关的对档案数据的整理。因此我们分别概述需求如下:
1.1 电子档案接收
在电子档案接收流程中,各级国家综合档案馆要对电子档案进行解密、解压缩、验证签名等,经检验合格的电子档案才能入库。这个检验的过程非常关键,目前一般强调电子档案数据的准确性、完整性、可用性、安全性四性检验。通过四性检验,既避免了有病毒或木马的档案数据进入系统,同时保证了档案数据的准确、完整和规范,便于下一步进行数据权限的管控。四性检验不合格的电子档案数据要及时退回到形成单位,并附上相应表单,标记所缺要件或不符合接收规范的原因等。
除了四性检验外,为保证电子档案的安全,从需求上来说,在电子档案接收中还应当做到以下几点:
(1)事前,应启用访问控制功能,依据安全策略控制档案用户对资源的访问,仅授予用户所需的最小权限;应当采用有效的身份认证技术,防抵赖、可追踪;减少档案用户在接收过程中的不必要操作,避免因误操作带来的风险。
(2)事中,应建立安全的传输通道,对传输内容进行加密。当电子档案迁移时需要保证在传输中安全,避免被非法窃取或信息完整性被破坏。传输通道要采用加密协议,最好能指定点对点传输,在传输之前,先确定对方的身份,同时保证传输的过程不被窃取、篡改,或者被窃取后的文件是不可解密的;应实现对档案信息存储空间的安全防护,避免非法入侵和篡改数据,或者数据由于硬件问题而损毁、丢失。
(3)事后,要加强对电子档案操作的审计,尤其要注意对电子档案的四性检测结果进行审计,以保障档案数据的安全和规范性。根据审计结果,各级国家综合档案馆可以对各立档单位和相关人员提出相应的整改要求。
1.2 数字化转换
目前,很多国家综合档案馆在档案数字化转换时选择服务外包的方式,在档案数字化加工过程中可能涉及到较多的外部人员,在档案扫描、图像处理、数据质检、数据挂接、数据迁移、光盘备份等环节中都可能存在数据被拷走或被拍照的风险。如果缺乏对数字化过程中敏感和危险操作的记录和审计,数据被盗或泄密后也难以追查。
其次,档案数字化过程并不是一个瞬时工作,而是需要一个较长时间的转换过程,扫描后的数据文件会保存在扫描仪、图像处理软件等应用软件及设备中,同时加工后的档案信息一般直接保存到文件服务器或以光盘、移动存储介质形式进行备份存储。这些存储介质如果缺乏应有的管控,可能会档案信息的损坏或丢失,并存在被非法拷贝的风险,都将带来巨大的损失和外泄事件的发生。
因此,在档案数字化加工过程中,各级国家综合档案馆应加强对档案信息的安全保护:
(1)事前,应建立完整、严格的数字化安全管理制度,并设计一整套统一的针对数字化加工的认证体系,任何人未经认证无法登陆和访问档案信息。
(2)事中,对数字化加工的各个环节分配不同的权限,每个账号只能由本人使用,严禁串用。同时,加强对数字化人员、场地和设
备的管控,不允许任何人员带入手机、计算机、U 盘和数码相机等。只允许人员采用专用的、已标识过的设备,并对存储输入和输出口 r(USB、串口、红外、Wifi 等)进行管控。建立数字化加工设备台账,严格落实登记制度,如设备损坏或报废,应由专门人员进行处理。数字化加工网络应单独建设,与档案馆的其他网络物理隔离。
(3)事后,对整个数字化过程中的敏感和危险操作记录进行审计,便于监控和追查。
(4)事中和事后,安排专人统一接收数字化加工完成的档案数据,并设置相应的数据备份措施,防止数字化加工成果丢失。
1.3 数据整理
档案数据整理功能主要涉及事先的规则定义、事中的操作管控和事后的行为审计。在档案数据整理环节,需要按照预先设定好的权限进行,并且要经过相应的审批流程。同时,对档案数据的整理,应当按照相应的标准来进行(如《档案著录规则》等),这点可以通过将标准内嵌入档案信息系统来实现,当人工作出不符合系统设定标准的整理时,系统应予以警告或禁止,这些是为了保障档案信息的规范性,从而在其他阶段可以根据档案数据整理的结果进行相应的权限管控。数据整理后,要保存完整的档案数据整理记录,同时要由专人或专业的系统对记录进行审计分析。
2 存储传输
由于在档案信息利用过程中多多少少都涉及到数据存储和传输的问题,因此,我们在这里集中探讨数据存储和传输的安全保护需求。
2.1 数据传输
档案数据传输的安全功能需求包括以下几点:
(1)用户身份认证
档案信息系统对要求进行档案数据传输的用户应进行身份认证,结合系统的权限管理,避免非法的传输申请。
(2)文件分块、断点续传
档案信息系统应根据网络情况、文件大小等对需要传送的文件进行智能分块传送,并支持断点续传及自动重组。
(3)不改变文件属性
对传输中的文件保持其文件属性,包括创建时间、最后修改时间等信息,这样可以用于事后跟踪、备查,并且这些文件信息能被读取到系统数据库中,作为传输文件的文件属性保存。(如:电子档案创建时间等)
(4)网络带宽智能检测
针对网络情况,档案信息系统应设置网络带宽智能检测,传输带宽满足一定带宽的时候启动或中断传输,并且可以设置上传的速率或满负荷传送,支持在网络不通的状态下设置传输任务,一旦网络正常则启动传输或定时传输。这样可以减少传输过程中的堵塞问题并且防止恶意传输。
(5)传输过程加密
档案信息系统应建立安全的传输通道,传输通道要采用加密协议,最好能指定点对点传输,使用户在传输之前,先确定对方的身份,同时对传输内容进行加密,保证传输的过程不被窃取或信息完整性被破坏。
(6)监控日志审计管理
档案信息系统的监控日志要跟踪传输情况,可以根据传输内容、传输类别、传输单位或个人、传送数量、传送效果等信息进行有效的查询、汇总、统计、生成报表,并可以根据需要形成月度报表、季度报表、年度统计等报表。通过审计分析,及时发现传输过程中的问题,并在下一次传输前予以调整。
(7)实时状态管理
档案信息系统应对数据传输的实时状态进行管理,设置实时查询传输情况、传输状态,实时显示传输文件、传输流量等信息。对传输过程以及传输结果中遇到的各类情况实时告警,包括:连接速率、传输过程网络故障、传输端对服务器的网络攻击行为、传输文件不完整、传输文件破坏或感染病毒、传输端被篡改等信息,并根据严重程度做出不同等级的告警,不同的告警信息用不同的颜色予以区分。
2.2 数据存储
档案数据存储要保证数据层面的安全,一方面,通过采用现代密码算法对数据进行主动保护,如:数据保密、数据完整性、双向强身份认证等;另一方面,主要通过采用现代信息存储手段对数据进行主
动防护,如:通过磁盘阵列、数据备份、异地容灾等手段保证数据的安全。
1.存储策略
首先要建立规范合理的数据存储策略,明确档案数据的分库以及各自存储的位置、采用的存储方式和载体,建立并落实定期的数据监测、备份、迁移等内容的数据存储管理制度。
其次,存储空间的访问应设置权限,非数据库管理员无法访问存储空间,避免普通用户通过远程连接直接登录到后台的存储空间。
2.数据真实性
档案数据在存储时应为每份原文生成唯一摘要码或验证码,并存放在数据库中,可以实时对原文情况进行比对,确保原文内容与产生时一致,未被篡改,信息无丢失。
3.数据完整性
应能够检测到档案信息以及系统相关数据在存储过程中一致性、完整性受到破坏的情况,并在检测到完整性错误时采取必要的恢复措施,确保数据的完整性。
4.数据保密性
应采用加密或访问限制与监控等其他保护措施实现档案信息以及系统相关数据的存储保密性。
5.长期保存性
档案信息存储应采用符合相关标准的通用的格式,并存放在符合国家有关标准规范的环境中。
6.备份和恢复
应提供档案信息的数据备份与恢复功能,根据数据情况定期进行备份和迁移,备份介质场外存放;提供档案信息的异地数据备份功能,利用通信网络或人工方式将关键数据定时批量传送至备份场地;采用冗余技术设计网络拓扑结构,避免关键节点存在单点故障等问题;提供主要网络设备、通信线路和数据处理系统的硬件冗余,保证系统的高可用性。
3 查询利用
档案信息查询利用是最主要的一种利用形式,它指的是用户通过档案信息管理系统对档案信息进行查询、浏览乃至一定的输出(如复制、打印等)等方面的利用。档案查询利用方面的功能需求主要包括以下几点:
3.1 利用登记注册
在档案信息查询利用前,利用者的信息要经过登记,新增用户要经过申请、审批、反馈的流程。同时,系统应具备身份认证、用户设置与权限分配等管理功能。
在档案信息利用时,应当按照实际情况设置相应的利用者角色和审批流程。审批应由档案利用的管理人员执行,并对审批过程进行记录。首先,要根据各种人员级别、层次进行使用权限的认定,并依此向利用系统注册登记。其次,在档案信息利用上,要根据档案信息的
密级和开放程度,来确定其使用控制程度,系统要能够控制到每个电子档案或每条档案信息的操作控制权限,操作控制权限可以定义在一定的期限内、或某个固定终端上,可以进行操作种类等等。尤其,对于外来人员,应当进行有效的身份确认,如用身份证、工作证、介绍信等进行确认。外来利用者用户的临时账号,应当具有授权有效时间、指定专用计算机的限制。
系统在设置相应的访问权限时,应遵循以下几点:
(1)最小特权原则。规定用户应当只被授权访问那些完成其指定工作任务所需的最小权限,也就是说,应当阻止档案馆用户访问那些与其工作任务无关的内容。按工作需要能够赋予最小权限的就赋予最小权限,不得赋予超出工作需要的权限。而当用户想要访问超出其权限访问内的档案信息时,系统应能直接禁止并进行告警,并同时通知系统管理员。这样做到用户只能访问修改其工作任务要求修改的那些数据文件时,就确保了系统中的文件保密性和完整性。
(2)“知其所需”访问。在特定的分类级别或安全域内,某些档案信息可能会被划分或间隔化,使得对这些档案信息的访问有所限制,只有当用户能够提出与工作任务相关的合理访问理由,或能够证明“知其所需”访问的正当性,才会被授予访问权限。“知其所需”访问由应档案馆主管部门依照审批手续决定,并且只授予有限时间的
访问权限。
(3)分权制约原则。该原则是针对管理员的,一般来说,重要的档案信息管理系统,不允许超级管理员的出现,通过合理的划分管理员权限,使系统管理员、数据库管理员、安全审计员等之间相互牵制,避免管理员的一些违规行为。
3.2 操作过程管控
在档案信息查询利用时,应结合权限分配,启用访问控制功能,依据安全策略控制用户对档案信息资源的访问。系统授权用户对受保护的档案信息进行操作时,操作权限受到统一安全策略和档案信息状态的控制,包括查看时间、查看次数、截屏等。对档案目录和全文的检索应该有所区分,对档案信息在不同网络的浏览应该分别予以管控。高级别操作权限应当通过审核、审批来实现授权,保证对档案信息进行不同的操作时,仅授予用户最小的权限,从而确保敏感信息不被泄漏。
在档案信息利用的动态过程中,由系统自动判定当前使用者身份的合法性及其所使用功能的范围,并由系统自动对其使用各种功能操作的路径进行跟踪与记录,对涉及使用未经授权的功能,应能拒绝响应并给予警告提示。如检索过程中,可根据检索者检索的档案类别权限设定控制,防止检索非授权的档案类别数据。
同时,应禁止非认证的应用程序对档案信息的操作,避免加密的档案信息被另保存为非加密信息。对不开放的档案信息,应当能严格控制利用,确保档案信息的安全。
3.3 文件内容保护
在档案信息查询利用前,应通过版权控制管理技术保护电子档案信息,对系统中的档案信息绑定版权信息,防止其信息被拷贝,并使得对文件的保护不依赖于网络、系统或存储介质。同时,通过摄像监控、利用电子水印等技术防止档案信息内容被拍照。
同时,在档案信息浏览时,应能设置允许浏览时间,并能控制浏览原文的页码,如:一个原文共有 10 页,可以只提供其中的第 2 页和第 3 页给利用者浏览。还可以设置浏览密码等授权认证,需要输入授权密码后才能打开原文。
在档案信息查询利用后,对于浏览时限到期的电子档案(如文件档案借阅)进行权限撤消,实现档案信息的回收。
3.4 档案输出安全
档案输出的安全是查询利用中需要重点考虑的方面,除了前面提到的操作过程管控外,还应控制有浏览权限的人是否能复制、打印、摘录、传播等,从而保证敏感档案信息不被泄漏。对打印时间,打印次数,打印份数等,都应该进行控制。在档案输出时,可以自动加入水印,防止原文信息的扩散。
对于档案输出中的原文下载,应当控制下载后原文的打开权限,只有有相应身份认证的用户才能打开,并可以控制下载原文的打开设备,如:指定在某台计算机或设备上才能打开。同时,对下载后的原文进行打开次数的控制,屏蔽原文的截屏功能,并做到下载原文超过时限后的自动销毁。同时,实现对用户查询利用过程中输出的数据进行追踪控制,追踪控制的内容包括传输情况、操作行为等。
应当实现终端计算机不留密功能,所有对档案信息管理系统的访问应当指向某一安全终端访问平台,使档案信息不能未经系统许可就直接下载到本地终端上,确保档案信息不被拷贝和泄漏。
3.5 安全审计分析
档案信息管理系统应当具备对利用过程的记录监控功能,通过安全审计对档案信息的使用过程进行详细的记录,每个审计事件与引起该事件的用户身份相关联,日常对可能有风险的事件行为进行分析查看,发生问题时能够追朔问题的源头。审计记录的内容至少应包括:事件发生的时间(或时间段)、事件发起用户 ID、用户操作的客户端、事件内容、事件的结果,对审计记录数据进行统计、排序、分类、搜索以及分析生成报表的功能,并实现安全可视化,所有的安全行为事件、分析结果等。安全审计功能尽可能有一个统一的界面进行展示,以方便管理。同时,可以自定义安全规则,针对操作行为与规则的匹配度自动进行相应的审计。审计中应包括分析和警告的功能,如一个用户在非工作时间段访问系统,或者在工作时时间段访问非授权的档案信息,系统应予以拒绝并记录在案,并通过警告提示管理员,以便进行跟踪处理。
同时,安全审计应可以对利用者的利用情况进行综合管理,包含利用者信息、利用时间、利用档案信息、利用目的、利用人次、利用效果等,既便于档案馆响应各种各类利用需求,又能够在其中发现在利用过程中可能存在的风险点,提高安全防护水平。
3.6 人员、场地、设备等的管控
查询利用过程中的安全还涉及对人员、场地、设备等的管控。在档案查询利用场所,一般应限制利用人员携带手机、U 盘、数码相机、笔记本电脑等设备。在查询利用的场地上要有严格的监控措施,避免利用人员不当操作,并记录整个利用过程。同时,不同级别的档案信息利用应实现网络隔离,对查阅利用计算机的输入和输出口(USB、串口、红外、Wifi 等)进行安全管控。同时系统应实现只能在指定专用的查阅利用计算机上进行电子档案的利用,禁止传阅到其他计算机上等功能,保证档案信息查询利用的安全。
4 信息公布
信息公布,这里指的是档案信息通过编研、出版、展览等方式提供利用,既包括在线利用,也包括离线利用的过程。
4.1 编研开发
在档案编研开发过程中同样存在着对操作过程的控制和审计。同时,编研过程中会通过复制、剪切、编辑等生成新文件,应当要防止编辑生成的新文件中档案信息外泄。因此,应该对编研开发过程中的档案信息进行加密,避免其被直接复制到本地计算机中。系统应当可以控制目录数据的字段值内容、电子原文的内容等在编研过程中的复制。同时,要严格控制文件的下载权限,避免在编研过程中获取到没有下载权限的重要信息。
在编研成果发布时,可以控制专题发布的目录字段、原文格式、是否加水印、发布的页码、是否需要身份认证才能利用等。对于编研成果的发布情况,也应当专门记录发布日志。同时,系统要加强编研过程的终端控制。编研人员必须在具有权限的终端计算机上才能进行操作,并且要绑定身份认证信息,防止其他人员通过编研操作获取不应知晓的档案信息。
4.2 离线利用
在档案信息公布过程中,往往涉及到档案信息的离线利用。这里的离线利用,特指档案信息脱离系统后的各种利用。现实情况下,不管是在档案查询利用还是在信息公布时,都存在着档案信息导出系统提供利用的情况。
离线利用安全保护主要要考虑的是档案信息及其相关的存储介质的加密控制,具体地,应当包括以下几个方面:
(1)事前,设置好身份认证措施,必须要经过身份认证后的用户才能访问离线档案信息,如通过管理手段或与数字证书绑定等,没有插入相应的证书则无法访问;对于某些特别重要的文件,禁止离线查看,必须通过终端不留密的方式在线阅读。
(2)事前,在档案信息导出系统时,应当限制对离线档案信息的访问时间和访问次数,并通过档案信息系统将此属性嵌入到信息内部,做到“阅后即焚”。
(3)事中,为了防止档案信息的复制而导致传播范围扩散的问
题,应当设置对电子档案的副本拷贝无法操作或者结果无效;应当根据权限情况,限制对档案信息中内容的复制,禁止截屏功能,利用电子水印等技术防止拍照;对于档案信息的篡改,要能做到一经篡改便不可使用,或者不可按既定的规则打开,从而使其他使用者可以看出来这是一个被篡改过的文件。
(4)事后,在访问时间或访问次数到达时,能自动销毁离线利用的档案信息;必要时可以对档案信息及其相关的存储介质进行追踪,记录访问和操作情况。
(5)对终端计算机及存储介质进行安全管控,避免造成被病毒感染、木马程序窃取或通过邮件等方式流传到公众网络中。对档案信息存储介质及其相关设备进行标识,严格登记设备台账,并记录设备管理人员以及设备去向,如设备损坏或报废,应由指定的专门机构进行处理。
5 对外发布
前面提到,档案信息对外发布指两种情况,一种是在政务网或互联网站上发布公开的档案信息;另一种是依据某个特定的系统,向有权限查阅的用户主动的分发共享档案信息。它应当包括以下的功能需求:(1)事前,应当对档案信息进行分类,按照相应权限进行分发。所有的对外发布请求必须通过审批,并记录在案,可查阅、可审计、可跟踪。
(2)事中,对外发布的档案信息的使用必须经过身份审批,只能由指定的用户打开或调阅;对外发布的档案信息进行硬件绑定,不允许脱离该硬件,即使脱离该硬件也无法访问;对发布所采用的硬件设备进行管控,登记在案;对可能产生泄密的重要行为或异常行为进行告警,如批量外发、尝试非法操作等。
(3)事后,对外发布的档案信息超过指定时间期限或达到指定打开次数,文件自动销毁。
(4)对档案信息网站进行安全加固。为网站安全保护提供统一的策略管理和服务,包括用户操作策略、进程策略、文件密级策略、审计跟踪策略等等。进行网络的隔离,避免由于网络的开放性、互连性等特征而导致其易受黑客的攻击和病毒的入侵,造成档案信息的泄密、假冒、篡改的问题。实行网站系统管理员、信息安全管理员、信息发布审计员“三员分开”制度,建立操作日志。
(5)对外发布后的档案信息应进行追踪,包括传输路径、利用情况等,并对相关情况进行分析,必要时向系统发送警告信息。档案信息利用过程中的安全防护是一项整体的工作,因此,要对以上的这些档案信息利用过程中各个环节的功能需求进行统筹考虑和规划,使之在统一的安全管控之下实施,使得安全防护工作成为一个有机的整体,以达到档案信息利用过程中主动性、动态性、全过程安全管控的目的。
|
您现在的位置: