北京数字档案馆（电子文件中心）安全保障体系建设

郭少峰

一、概述

根据《信息系统安全等级保护定级指南》的要求，北京数字档案馆（电子文件中心）确定等级为三级，因此安全体系建设以等级保护三级为目标，以等级保护、风险测评、安全运维等工作为主线，通过采取边界防护、访问控制、监控审计、数字签名、数据加密、身份识别、凭证保护等技术手段并制定配套的安全管理制度，构建北京数字档案馆（电子文件中心）安全保障体系。

二、安全风险分析

北京数字档案馆（电子文件中心）作为全市档案数字资源集约化管理的区域性档案数字资源综合管理平台，要满足市属200余家档案移交单位对列入进馆范围的电子文件移交、归档、保管、利用的需求，并支持市区两级17个综合档案馆进行档案数字资源接收、管理、保存和利用。平台跨因特网、政务外网和档案馆专网3个不同网域，建设覆盖档案“收、管、存、用”等4大业务环节的综合档案服务平台，建成全市共享的“北京市档案数字资源库”，其体系结构庞大、网络环境复杂、使用单位多、覆盖范围广、涉及档案管理的各业务环节和全生命周期，因此在建设和运行中面临多种安全风险。

（一）物理安全风险分析

物理安全风险可能导致网络系统平台或网络内数据资源的损毁，主要表现在如下几个方面：

1.意外事故（如自然灾害、火灾）造成的硬件系统破坏；

2.设备故障造成系统瘫痪或数据丢失；

3.设备失窃造成数据丢失或信息泄漏；

4.电磁辐射可能造成数据信息被窃取或偷阅。

（二）网络安全风险分析

随着攻击技术的不断发展，网络攻击对系统所构成的安全威胁也越来越大。如网络非法入侵、网络传输过程泄密、网络非法外联等等。攻击者利用系统或网络服务的漏洞，植入木马程序或传播病毒，毁损数据或窃取重要信息，或者导致系统服务性能下降，甚至系统瘫痪等严重安全问题。

（三）主机系统安全风险分析

计算机终端是每个工作人员处理档案业务的重要工具，由于其分散性、易被忽视、安全手段缺乏的特点，已经成为信息安全体系的薄弱环节，除了本身易遭攻擊破坏外，还容易通过它迅速传播网络安全风险，如病毒攻击、系统自身的安全漏洞等。

（四）应用安全风险分析

如假冒身份入侵、非授权的访问行为、对行为的抵赖、内部用户毁损、篡改数字档案内容、泄露敏感或涉密档案信息。应用系统的安全风险将直接影响到整个网络的安全。

（五）数据安全风险分析

所有信息最终都是以数据文件的方式存储在系统中。因此，信息的安全保密性，很大程度上取决于其存储、使用的保护措施。对于数据信息的安全威胁，除应用系统对其存取控制外，主要还在于其存储的安全保护。数据面临的安全威胁主要表现在两个方面：

一是异常情况。如自然灾害、存储介质损坏、攻击行为等都有可能导致数据被破坏，如果没有必要的备份措施，将使重要数据完全遗失，这直接影响到相关工作的开展，对系统的危害是相当大的。

二是数据存储的安全性。对于重要数据信息，特别是涉密信息或工作敏感信息，如果在存储过程中缺少必要的保障措施，任何人都可以直接从存储介质中读取，这显然与信息的安全保密性要求相违背，可能直接导致泄密事件的发生。

（六）安全管理风险分析

安全管理是系统整体安全中较为重要的部分。如果责权不明、安全管理制度不健全及缺乏可操作性等都可能引起管理安全的风险。

如一些员工对自身应承担的安全责任没有充分认识，有意无意泄漏他们所知道的一些重要信息；网络出现攻击行为或网络受到其他一些安全威胁（如内部人员的违规操作等）时，无法进行实时的检测、监控、报告与预警；当事故发生后，无法提供追踪线索及破案依据，即缺乏对网络的可控性与可审查性等等。

三、安全保障体系框架

通过以上分析，北京市数字档案馆（电子文件中心）主要从技术和管理两个方面来建设安全保障体系，全方位保障整个系统的安全。

（一）安全技术体系

1.物理安全

物理安全主要在环境安全、设备安全和介质安全三个方面采取保护措施，如按国家相关标准进行机房选址、建设，安装门控系统、监控报警系统，采取区域保护措施；选择高可靠的网络设备和主机设备，重要设备要有备份。

2.网络安全

（1）防火墙设计

部署多台防火墙来实现网络逻辑隔离、安全域划分，在安全域的边界（如各部门之间、业务上下级之间等）设置网络访问控制策略。

（2）安全审计系统设计

部署安全审计系统对内部网各类系统全部活动的过程轨迹进行记录，以便为事后的安全审计追踪、系统安全漏洞分析提供原始证据。安全审计功能是很多其他安全技术的基础。

（3）漏洞扫描系统设计

可以利用漏洞扫描技术定期对网络进行安全扫描，从而提前发现系统中存在的漏洞，及时进行修补，消除安全隐患，进而提高网络安全水平。

（4）抗拒绝服务系统设计

部署抗拒绝服务系统产品可以帮助用户有效识别各种常见的攻击行为，并通过集成的机制实时对这些攻击流量进行检测及阻断，具备远程网络监控和数据包分析功能，能够迅速获取、分析最新的攻击特征，防御最新的攻击手段。

（5）上网行为管理系统设计

部署上网行为管理系统避免信息泄漏，防止非法信息恶意传播，实时监控、管理网络资源使用情况，提高整体工作效率。

（6）流量监控系统设计

将系统部署在网络出口来缓存P2P和HTTP流量，对同一种资源的后续请求将由缓存来响应，从而降低网络流量、节省带宽，确保广域网有限资源的按需动态分配。endprint

（7）入侵防御系统设计

作为防火墙和防病毒软件的补充，及时识别攻击程序或有害代码及其克隆和变种，采取预防措施，先期阻止入侵，防患于未然。

（8）设备冗余设计

为规避因通信设备意外损坏或其他故障造成的网络中断，需对网络中的关键节点设备采用双机冗余的部署方式，提升系统的可靠性和可用性。

3.主机安全

（1）用户身份认证

系统采用基于Radius（针对网络设备）和基于数字证书（针对应用系统和系统使用者）的用户身份鉴别机制，实现系统强身份认证登录，防止对信息资源的非授权访问。

（2）访问控制

进一步加强对系统内数据信息资源访问的可控性，防止信息资源被非授权访问，在身份有效性识别的基础上，对不同角色人员（设备）采取授权访问措施，从系统级和资源级两方面进行访问控制。

（3）主机系统加固

主机系统加固主要包括操作系统的安全加固和数据库的安全加固。

（4）恶意代码防范

在因特网接入域部署网络防病毒网关实现网络边界恶意代码主动的检测和清除，并依托已有防病毒服务，完善恶意代码防范机制。

（5）数据安全

使用SSL技术、数字签名以及加密技术从数据传输过程和数据存储过程两方面保障应用系统数据的完整性和保密性。

（6）剩余信息处理

部署文件粉碎机对存储介质的剩余信息进行处理，彻底清除工作中残留在存储介质上的信息和各种使用数据的痕迹，确保信息安全。

（7） PC终端安全

PC保护是对使用计算机的主体进行验证的过程，是保护计算机终端安全及网络登录安全，防止恶意用户通过非法获得合法用户的账号、口令来非法获得或破坏本地资源和网络资源。

（8）区域边界安全

在原有的网络分域基础上，根据等保三级的相关要求，针对各安全分域，在边界配置相应的安全策略。

4.应用安全

（1）应用软件安全

应用软件安全保证是指在应用软件的设计、开发、测试、分发和升级等整个生命周期中通过安全设计评估、版本控制、测试、按安全策略分发等安全的运作方式保证软件的安全性。

（2） WEB应用程序安全设计

软件设计开发时针对跨站脚本攻击和SQL注入攻击等常用WEB程序攻击采取必要的技术手段来防范。

（3）网页防篡改系统设计

部署网页防篡改系统来防范网页被黑客篡改。

（4）统一认证管理

配置一套北京数字证书认证中心的安全应用支撑平台，实现对各类应用系统、用户以及管理员提供统一的身份认证、用户管理、单点登录以及安全审计服务。

（5）可信时间服务

部署授时服务器实现网络中设备的时钟同步，保证数据交互过程中时间的准确性，同时为业务处理的不可抵赖性和可审计性提供支持。

（6）堡垒主机系统

部署堡垒主机拦截非法访问和恶意攻击，对不合法命令进行阻断、过滤掉所有对目标设备的非法访问行为，进行统一的身份鉴别和操作行为审计。

（7）安全审计

采取网络安全审计手段实现对应用系统的访问审计，在核心交换机上针对业务访问进行记录，使系统管理人员了解应用系统的被访问情况。

（8）剩余信息保护

在应用系统的设计中通过脚本来实现对缓存中的认证信息、磁盘中的临时文件、中间文件等剩余信息的及时清除。

（9）通信完整性

应用软件设计中利用PKI数字证书的Hash算法和摘要算法来实现通信的完整性。

（10）通信保密性

应用软件设计中利用PKI数字证书的密码技术和HTTPS应用协议实现通信的保密性。

（11）抗抵赖

应用软件设计中利用PKI数字证书、非对称密钥技术来实现基于应用软件的抗抵赖保护措施。

（12）软件容错

应用软件设计中充分考虑软件对输入、发生异常、自我保护等方面的容错能力。

（13）资源控制

应用软件设计中充分考慮结束回话、连接数、重复登录、资源分配、进程优化等方面的软件资源控制的能力。

5.数据安全及备份

（1）传输安全与通讯抗抵赖

利用IPSec/SSL VPN数据加密传输技术来解决敏感数据安全传输和抗抵赖问题。

（2）数据存储与备份安全

建立统一存储池，按数据生命周期分三级存储数据：一级是数据库数据和业务数据，存储在高性能、快速磁盘阵列中；二级是近线备份和共享文件系统的迁移归档数据，采用慢速大容量磁盘；三级是系统、数据库、数字资源的备份，采用磁带。

针对不同的对象采取不同的备份策略：操作系统和应用系统投入使用后，变更较少，采取每月一次的定期全备份；数据库是结构化数据，量不大，采取每周一次全备份、每天增量备份的策略，同时在磁带和磁盘中进行双备份；档案数字资源备份是备份体系的核心，但由于数据量巨大，故采用每年一次全备份，每天增量备份的策略，同时建立“一主三备”的存备体系。“一主三备”是指对档案数字资源进行一套在线备份和三套离线备份，其中在线备份存储在本地磁盘阵列，离线备份一套保存在本地、一套保存在密云的容灾备份中心、一套保存在陕西省档案馆。

（3）应急系统

部署CDAP设备，可以将所有重要服务器业务系统全部备份，通过应急模块进行业务不间断的接管，保证日常业务工作的正常运行。

（二）管理体系建设

安全管理在信息化系统中占有非常重要的地位，即使有了较完善的安全技术措施，如果管理措施不到位，仍将会有很大的安全隐患。因此，信息化系统特别强调不能忽视安全管理，并提供安全管理的具体措施。endprint

1.安全管理制度

安全管理制度包括信息安全工作的总体方针和策略、规范各种安全管理活动的管理制度、操作人员日常操作规程等。

本项目针对三级等保的要求制定了包括安全总体策略、安全组织人員岗位职责、信息安全检查与审计管理制度、外部人员访问信息安全管理规定、信息安全方案设计管理规定、信息系统工程实施管理制度、介质安全管理制度、网络安全管理制度、备份与恢复管理制度、应急预案管理制度等28项制度，形成了较为完备的信息安全管理制度体系。

2.安全管理机构

在项目建设阶段，安全由项目筹备组统筹管理，遵循“统一领导、分级管理”“谁主管、谁负责”的原则，建立项目安全保密责任制。安全保障体系建设由下设的基础环境组负责。

项目建成投入使用之后，纳入单位的安全管理体系统一管理，即在局（馆）安委会的领导下，由负责信息安全日常工作的网管处来负责安全运维和管理。

3.人员安全管理

人是信息安全中最关键的因素，同时也是信息安全中最薄弱的环节。只有对人员进行正确全面的管理，才能降低人为错误和误用设备的风险，从而减小信息系统因人为因素造成损失的概率。

项目建设阶段外部人员较多，制定了外部人员访问管理规定，对公司的建设开发人员进行了安全保密培训，和建设承接公司签订的合同中附加安全保密条款，和公司人员签订安全保密协议。对内部人员按照三级等保相关制度管理，按要求设立系统管理员、安全管理员、审计员。

4.系统建设管理

信息系统的安全管理贯穿系统的整个生命周期，系统建设管理主要关注生命周期中的前三个阶段（初始、采购、实施）中各项安全管理活动。

针对这些方面，专门制定了信息安全方案设计管理规定、信息系统产品采购和使用管理规定、信息系统工程实施管理制度、信息系统测试验收管理规定、信息系统交付管理规定、信息系统等级测评管理规定等多项制度，对建设过程的各项活动进行制度化规范，按照制度要求进行活动的开展。

5.系统运维管理

本项目在原有的IT运维管理系统的基础上实现在三个不同网段对原有和新增被管对象的资源自动发现与采集、拓扑管理、故障管理、性能管理、流量管理、IP/MAC地址管理等功能。实现对被管对象的自动预警及通知功能，帮助IT部门完成日常运维工作，推进运维管理工作的制度化、规范化和高效化，发挥整体优势，实现快速决策反应。

四、结语

安全体系的建设不是一劳永逸的事情，随着等级保护从1.0升级到2.0和《网络安全法》的颁布实施，国家对网络安全等级保护制度提出了新的要求，未来的安全体系面临的威胁变得常态化，对我们的信息系统建设提出了新的挑战和考验，这就要求我们从现阶段的被动防御变成主动防御，此外，北京市数字档案馆（电子文件中心）是区域性的，而目前安全体系建设和管理只考虑了市档案馆范围内的，应该逐步把市属单位和各区档案馆纳入进来，因此数字档案馆的安全体系建设任重而道远。

参考文献：

王建文.北京数字档案馆（电子文件中心）存储体系建设[J].北京档案，2017（5）：7-9

熊艳萍.北京数字档案馆（电子文件中心）容灾备份体系建设[J].北京档案，2017（6）：5-7

作者单位：北京市档案馆endprint