标准化视角下档案服务信息安全风险及防护策略探析

李长敏

（天津阿克威资信息技术有限公司，天津 301700）

档案服务信息安全风险是指在档案数字化服务外包过程中可能出现的隐患和风险。《“十四五”全国档案事业发展规划》中针对信息安全提出了严苛要求，规划提出数字档案资源体系及档案信息安全等是数字中国建设的重要基础。文利君，周文泓针对我国的档案信息化建设政策法规体系进行研究，表明信息安全问题是档案信息化建设要解决的主要问题，包括完善政策法规结构、建立档案安全管理制度和工作机制、配备安全可靠的库房和设施设备，以及推进档案信息资源共享服务平台的建设等。

1 数字档案信息系统安全风险的相关标准

1.1 CC 标准

CC 标准是指Common Criteria for Information Technology Security Evaluation，即信息技术安全性评估准则。20 世纪八九十年代信息安全风险问题愈发严重，最初由美国政府、加拿大和欧共体共同针对应对计算机信息安全风险进行了相关标准建设，即CC 标准。在近年来其被美国等五眼联盟国家广泛应用并将其推向国际标准。CC 标准的目的是建立一个各国都能接受的通用的信息安全产品和系统的安全性评估准则。CC 标准自1993 年起经历了多次演变，其在2021 年发布了CC4.0 版本。CC 标准始终致力于减少标准复杂性、适应新型产品需求，在保证安全性的同时降低评估成本。包括评估对象的选择、评估目标的确定、评估等级的划分以及评估过程的执行等。CC 的评估框架能够适用于所有IT 产品，包括基于档案服务信息安全风险研发的各种软件程序。因为CC标准是一个通用的安全性评估准则，其提供了一套统一的评估方法和标准，无论是硬件还是软件，都可以按照这套框架进行评估。

1.2 GB/T18336 标准

GB/T18336《信息技术安全评估准测》是我国档案信息系统安全建设的重要技术依据之一。该标准规定了档案信息系统应具备的安全性要求，旨在保护档案信息的机密性、完整性和可用性，防止信息泄露、篡改和丢失。根据GB/T18336《信息技术安全评估准测》，档案信息系统应满足以下要求。

（1）认证与授权：要求对用户进行身份认证，限制用户访问权限，并记录用户操作日志。

（2）数据安全：要求对档案信息进行加密、备份和恢复，确保数据的完整性和可用性。

网络安全：要求采取网络防火墙、入侵检测系统等措施，保护档案信息系统免受网络攻击。

（3）应用软件安全：要求对档案信息系统的应用软件进行安全审计，确保其安全性和可靠性。

（4）物理安全：要求对档案信息系统的物理环境进行严格管理，防止未经授权的人员进入。

1.3 BS7799 标准

BS7799 是由英国出台的信息安全管理系统（ISMS）的国际标准，也称为ISO/IEC 27001。其提供了一套帮助组织建立、实施、维护和持续改进信息安全管理体系。BS7799 标准包含了一系列的控制要求，涵盖了信息安全管理的各个方面，包括组织安全策略、资产管理、人员安全、物理和环境安全、通信和运营管理、访问控制、系统开发和维护、供应商关系管理等。BS7799 标准的文件信息包括标准的标题、版本、发布日期、范围、引用文件、定义术语等。此外，它还包括了关于标准的目的和背景、适用范围、基本原则和方法、实施ISMS 的步骤和要求、ISMS的监视、审计和改进等内容。

对于想要实施数字档案信息系统安全风险防护策略来说，BS7799 标准的档案信息是非常重要的参考资料，可以帮助理解和遵守信息安全管理的最佳实践。

2 档案服务信息安全风险及标准化下的风险评估

2.1 档案服务信息安全风险

档案服务信息安全风险是指在档案服务过程中可能发生的威胁和潜在风险，包括但不限于信息泄露、数据损毁、未经授权访问等。

其中数据泄露：档案服务中存储的信息可能包含敏感和机密的数据，如个人身份信息、财务数据等。如果未能采取适当的安全措施，这些数据可能会被未经授权的人员访问、获取或泄露，导致用户隐私泄露或财务损失。

数据丢失：档案服务中的数据可能会因为技术故障、人为错误或自然灾害等原因而丢失。如果没有进行适当的备份和恢复措施，数据的丢失可能导致用户无法访问重要的信息，影响业务运营和持续性。

未经授权的访问：如果档案服务的访问控制措施不严密，未经授权的人员可能会获取到敏感信息或篡改档案数据，从而对用户的利益和机构的声誉造成损害。

社会工程攻击：社会工程是指攻击者通过欺骗、诱骗等手段获取目标信息的行为。档案服务中的信息可能成为攻击者进行社会工程攻击的目标，例如通过钓鱼邮件、电话诈骗等手段获取用户的登录凭证或其他敏感信息。

2.2 基于 BS7799 标准 GB/T18336 标准 CC 标准评估档案服务的信息安全风险评估

基于BS7799 标准、GB/T18336 标准和CC 标准进行评估档案服务的信息安全风险可以更全面地考虑到不同标准的要求和指导。

（1）其中基于BS7799 标准评估档案服务的信息安全风险评估。

安全政策和组织：评估档案服务提供商是否有明确的安全政策和组织结构，是否对信息安全进行管理和指导。资产管理：评估档案服务提供商是否对档案数据和相关资产进行恰当的识别、分类、评估和保护。访问控制：评估档案服务提供商是否实施了适当的访问控制措施，包括身份验证、授权和审计。人员安全：评估档案服务提供商是否对员工进行了适当的背景调查和安全意识培训，以防止内部威胁。通信和运营管理：评估档案服务提供商是否有安全的通信和网络管理措施，包括加密传输、防火墙和入侵检测系统等。物理和环境安全：评估档案服务提供商是否有适当的物理和环境安全措施，包括访问控制、监控和灾难恢复计划。供应商关系管理：评估档案服务提供商是否对与其合作的供应商进行风险评估和管理，以确保其信息安全性。

（2）其中基于GB/T18336 标准评估档案服务的信息安全风险评估。

安全策略和目标：评估档案服务提供商是否有明确的信息安全策略和目标，并且是否与组织的整体战略和目标一致。资产管理：评估档案服务提供商是否有有效的资产管理措施，包括标识、分类、评估和保护档案数据和相关设备。访问控制：评估档案服务提供商是否实施了适当的访问控制措施，包括身份验证、授权和审计。系统开发和维护：评估档案服务提供商是否采用安全的软件开发生命周期和维护管理流程，以确保档案服务的安全性。供应商关系管理：评估档案服务提供商是否对与其合作的供应商进行风险评估和管理，以确保其安全性。物理和环境安全：评估档案服务提供商是否有适当的物理和环境安全措施，包括控制访问、监控和灾难恢复计划。通信和运营管理：评估档案服务提供商是否有安全的通信和网络管理措施，以保护档案数据在传输和存储过程中的安全性。

（3）基于CC 标准评估档案服务的信息安全风险评估包括以下几个方面。

安全需求分析：评估档案服务的安全需求，包括对机密性、完整性和可用性等方面的要求。安全威胁分析：识别和分析可能对档案服务造成的安全威胁，包括外部攻击、内部威胁和自然灾害等。安全功能分析：评估档案服务提供的安全功能，包括身份认证、访问控制、数据加密和审计等。安全验证和认证：对档案服务进行安全验证和认证，确保其满足CC 标准中的安全要求。安全评估和审计：进行定期的安全评估和审计，确保档案服务的持续安全性。安全管理和改进：制定安全管理措施和改进计划，包括制定安全策略、培训员工、建立应急响应机制等。通过以上评估内容，可以识别出档案服务的信息安全风险，并制定相应的风险管理措施和改进计划，以提高档案服务的信息安全性。同时，根据CC 标准的要求，进行安全验证和认证，确保档案服务符合国际安全标准。

3 标准化视角下的档案服务信息安全风险防护策略

3.1 基于BS7799 标准评估档案服务的信息安全风险防护策略

基于BS7799 标准评估档案服务的信息安全风险防护措施可以参考ISO27001 信息安全管理体系。ISO27001 适用于各种类型和规模的组织，包括企业、政府机构和非营利组织，旨在帮助组织建立、实施、运行、监控、审查、维护和改进信息安全管理体系。ISO27001 信息安全管理体系主要包括以下要求和措施：制定和实施信息安全政策，明确定义信息安全目标和控制措施。进行风险评估和风险管理，确定信息资产的价值和敏感性，并采取相应的安全措施。建立和运行信息安全管理体系，包括组织结构、责任分工和资源管理。进行内部和外部的信息安全审计，评估信息安全管理体系的有效性和合规性。管理供应商和合作伙伴的信息安全，确保其符合相应的安全要求。建立应急响应和恢复机制，及时应对和处理信息安全事件。提供员工的信息安全培训和意识教育，提高信息安全意识和能力。

3.2 基于GB/T18336 标准评估档案服务的信息安全风险防护策略

安全引领：建立档案信息系统时应树立“安全第一”的思想，确保系统的安全性。对于准备建设的档案信息系统，应按照同步规划、同步建设、同步运行的原则，建立健全档案信息安全防护体系。对于已建设的档案信息系统，应按照国家有关信息系统安全的要求，查找安全隐患，堵塞风险漏洞，提升安全防护水平，并进行定级、测评、整改、检查等信息安全工作。

安全需求分析：对档案服务进行安全需求分析，明确信息安全的保障措施。根据GB/T18336 标准，对档案服务的数据机密性、完整性、可用性等进行评估，为后续的安全措施提供依据。

安全控制措施：根据安全需求分析的结果，制定相应的安全控制措施。例如，建立访问控制机制，限制档案服务的访问权限；加密敏感数据，确保档案信息的机密性；建立备份和恢复机制，保障档案信息的可用性等。按照计算机信息系统安全等级保护工作的要求，遵循国家有关信息系统安全保护相关标准规范，结合档案信息系统特点，完善档案信息系统安全保护的规章制度和操作规程，建立本单位档案信息系统安全管理机制，明确领导责任和岗位职责。

预防为主：制定应急预案，定期进行安全演练，提高应对突发事件的能力。要不断加强对安全隐患和风险的预防和监控，及时发现和解决安全问题。

安全监测和评估：定期进行安全监测和评估，检测档案服务中的安全风险和漏洞。通过安全评估结果，及时采取相应的风险防护措施，提升档案服务的信息安全性。

3.3 基于CC 标准评估档案服务的信息安全风险防护策略

根据CC 标准建立鉴别服务、访问控制、数据机密性和抗抵赖等安全服务。鉴别服务是指通过技术手段实现身份鉴别和权限管理的联动控制，以验证访问请求的主体身份和数据来源的真实性。访问控制是指防止未经授权的用户以未授权的方式使用资源，包括对系统设置的设定和访问日志的记录等措施。数据机密性是指通过加密等手段保护数据在传输过程中的安全性，防止数据泄露和窃听等被动威胁。抗抵赖是指防止主体否认其在系统中的操作行为，以保证操作的可追溯性和可审查性。鉴别与访问控制统一：应采用技术手段实现身份鉴别和权限管理的联动控制。主体：主体就是发起访问请求的对象，这个对象可以是一个用户，也可以是一个信息系统。对于需要进行访问控制的操作系统、数据库系统、应用系统、开发测试系统及网络系统，要对系统设置，保证在进入系统前必须执行登录操作，并且记录登录成功与失败的日志。对于生产网和办公网要实现物理隔离，核心设备要设置特别的物理访问控制，并建立访问日志。

提供五类安全服务包括认证（鉴别）服务、访问控制服务、数据保密性服务、数据完整性服务和抗否认性服务。认证（鉴别）服务：在网络交互过程中，对收发双方的身份及数据来源进行验证。访问控制服务：防止未授权用户非法访问资源，包括用户身份认证和用户权限确认。数据保密性服务：防止数据在传输过程中被破解、泄露。数据完整性服务：防止数据在传输过程中被篡改。抗否认性服务：防止主体否认其在系统中的操作行为。

网络安全服务主要有5 项：鉴别服务、访问控制服务、数据保密性服务、数据完整性服务和可审查性服务。鉴别服务：主要用于网络系统中认定识别实体（含用户及设备等）和数据源等，包括同等实体鉴别和数据源鉴别两种服务。访问控制服务；访问控制包括身份验证和权限验证。其服务既可防止未授权用户非法访问网络资源，也可防止合法用户越权访问。数据保密性服务：主要用于信息泄露、窃听等被动威胁的防御措施。

随着科技的不断发展，档案服务面临的信息安全风险也在不断增加和变化。评估档案服务信息安全风险需要持续不断地进行，特别是随着新技术和新威胁的不断出现。因此，及时评估和构建防护措施至关重要，以保证档案服务的安全性和可靠性。