赵宁燕 钱万里

（苏州市职业大学，苏州大学，江苏苏州，215000)

档案信息资源建设过程中，丰富多样的数字信息大都由形成者使用和保管着，分散存储在各自的单机、局域网机或互联网络机的信息系统中。由于网络系统和信息系统自身的缺陷和潜在的威胁、管理人员安全意识的淡漠，及越来越猖狂的黑客侵入窃密事件，来自不同层面、不同方面的信息安全风险，时时刻刻威胁着数字档案信息的安全。数字档案信息安全管理形势严峻、任务繁重、刻不容缓。

信息安全风险评估是利用风险管理理论进行档案信息的安全管理，面对日益复杂的档案信息管理系统和与日俱增的档案数字信息资源，传统手工的信息安全风险评估方法已难以胜任，考虑到档案信息的封闭性和保密性特征，及档案本身所具有的记忆、凭证和参考作用，也不适宜经常进行信息安全风险的委托评估。运用风险管理理论，从风险管理角度来研究适合档案行业特点，具有可操作性和实用性［1］的数字档案信息安全风险自评估软件（以下简称“自评估软件”），科学、系统地完成数字档案信息安全风险的自评估，是解决档案信息安全管理面临困境的有效途径之一。利用自评估软件得出的评估结果，合理改进安全措施，将数字档案信息安全风险控制在可接受范围内，对保障数字档案馆信息安全有着积极和深远的意义。

1.自评估软件设计标准

自评估软件设计除要遵守和执行软件设计、数字档案信息建设规范《计算机管理软件设计规范》《档案信息计算机管理软件设计》《档案信息化建设指南》《数字档案馆建设指南》《电子文件管理》等相关标准外，还应遵守和执行信息安全风险评估GB/T20984-2007《信息安全技术信息安全风险评估规范》、国务院信息化工作办公室［2006］9号《信息安全评估指南（征求意见稿）》、GB/18336-2001《信息技术安全性评估准则》、GB/17859-1999《计算机信息系统安全保护等级划分准则》等相关标准。

2.自评估软件设计流程

自评估软件设计时，应结合风险管理理念，充分考虑档案业务和数字档案馆数据的特点，从安全管理信息的角度出发，遵守相关标准，确定有效算法，采用科学方法和技巧，紧紧围绕风险管理目标进行设计。自评估软件应能完成数字档案馆信息安全风险自评估过程的各项任务：准确识别数字档案馆信息资产、威胁及威胁所利用的脆弱点，科学评估资产面临的风险，提供合理的风险评估结果及安全措施改进建议，最大限度地为保障数字档案馆资产安全提供科学依据，满足数字档案馆信息安全管理的决策要求。

软件整体设计思想：首先，软件自身应具有较强的抵御风险能力，符合数字档案信息安全风险评估要求，具有开放性特征、智能化能力和可扩展性潜质；其次，软件应能与多种操作系统及应用环境兼容，具有与主流风险评估辅助工具（如：漏洞扫描工具、渗透测试工具等）的数据接口功能；第三，选用的评估方法典型、完善，提供的评估算法先进、成熟，得出的评估结果可信、实用，必要时，能够实时提供安全预警信息；第四，软件应用界面友好、便捷，数据处理高效、简洁，数据导入/导出安全、流畅；数据库结构灵活可变，数据库间关联性强；数据输出格式组合自由，结果输出形式多样可选。软件设计流程图如图1。

3.自评估软件核心模块设计思路

3.1 数据采集模块

图1 自评估软件设计流程图

图2 数字档案馆指标体系

数据采集指的是收集满足自评估过程中所需的各类信息［2］。数据采集模块主要负责完成数字档案馆资产、威胁、脆弱性三项关键要素的数据采集工作及安全措施确认工作。组织、管理和存储所采集的数据，形成数字档案馆资产数据库，这三项关键要素数据的客观、精准和真实性，直接影响到数字档案馆信息安全风险指标体系的建立和风险计算结果，是数字档案馆信息安全风险评估工作的基础工作。

step1：以数字档案馆资产基于表现形式分类的原则，设计参数输入界面,主要包含档案数据、软件、硬件、服务、人员等五大类和若干小类［3］参数的输入，采集资产分类数据库。提供资产管理工具、主动探测工具、手工记录表格等方式，辅助参数的采集。

step2：资产威胁主要来源于组织管理、环境影响、人为因素、硬件设备、网络系统、馆藏档案数据等六个方面，考虑到一项资产可能面临多个威胁，一个威胁也可能对不同的资产造成影响［4］，参数输入界面设计成多选项操作模式，允许用户根据实际环境有选择地输入资产可能面临的威胁源，准确地采集资产威胁数据库。模块提供IDS/IPS采样分析工具、安全审计工具、人员访谈数据接入模式等，帮助用户快速完成资产所面临威胁数据的采集。

step3：从技术脆弱和管理脆弱两个方面设计参数输入界面，采集资产脆弱性数据库。允许用户根据已有的安全措施，输入资产实际的脆弱源，并能根据安全措施的改进，自动调整脆弱源。提供漏洞扫描工具、渗透测试工具，快速、准确地协助对现有环境下资产脆弱源数据的采集。

step4：参照《信息安全技术信息安全风险评估规范》，在确认和识别其安全措施的基础上，分别对资产数据库进行资产保密性、完整性、可用性、真实性、不可否认性、可控性和可追溯性［5］等安全属性的赋值，安全属性对风险所起作用的比重用“权重”因子区分；对资产威胁数据库进行资产威胁出现频率赋值；对资产脆弱数据库进行资产脆弱严重程度赋值，形成自评估软件资产评估三项关键要素数据库，该库与前面采集的三个数据库进行关联，随着采集库数据的改变，能自动、动态地更新该库中相应的数据。

3.2 评估指标体系模块

信息安全风险评估是一项复杂的动态系统工程，评估因素繁多、零乱，相互关系交叉、重叠，许多评估因素可以量化，而有些因素却难以量化［6］。自评估软件采用综合评估思想，用指标体系的方式层次化分解评估因素，清晰地勾勒出数字档案馆信息安全风险评估指标体系脉络，形象地反映出数字档案馆信息安全风险评估的全貌关系。由于数字档案馆自身所处的物理环境和地理位置不同、安全措施实施的差异，信息安全风险评估指标体系将有所不同。限于篇幅，文中列出了数字档案馆风险评估通用指标体系的6个一级指标和25个二级指标。（如图2）指标库为开放性设计，允许用户根据实际情况，自行增加下级指标层，最多允许增加到五级指标层，并能保存为自己的评估指标体系库。

数字档案馆指标体系的建立，使杂乱、无序的风险评估因素层次分明、归类清晰，使复杂的评估过程化繁为简、规范有序，且有利于信息安全措施的分块实施、分层改进。体系模块内嵌多种体系指标量化算法，如：标度法、模糊数法、专家调查表法、特征向量法、顺序指标量化方法等［7］。力争能最大限度、最科学地量化评估对象的所有评估因素。

3.3 评估模型库模块

用户在完成相关数据采集和指标体系建立的基础上，选择一种或多种适合的评估模型，快捷、准确地完成对自身数字档案馆信息安全风险的自评估工作。评估模型库中内嵌多个典型、成熟、算法多样的风险评估模型，以适应不同数字档案馆信息安全风险评估环境。评估模型主要分成三大类：a.基于多元统计的评估模型：故障树分析法（FTA）、事件树分析法、因子分析法、风险图法；b.基于知识与决策技术的评估模型：因素分析法、逻辑分析法、群决策方法；c.基于系统的综合评估方法：模糊理论综合评估模型FAHP、模糊神经网络综合评估模型FNN、灰色理论评估模型AHP［8］等。

该模块为开放性设计，允许用户自行添加和编辑评估模型，删除不用或不需要的评估模型，逐步积累成通用或专用的评估模型库。自评估完成后，软件会以多种形式给出评估结果报告，并从降低风险、避免风险、接受风险三个角度，提出科学、合理的风险处理建议。必要时，评估结果可与预先设置的安全预警指标进行比对，形成安全预警提示报告。

3.4 辅助评估工具管理模块

数字档案馆建设规划、设计、运行维护的每个阶段都需要进行信息安全风险自评估，这是贯穿于整个建设过程中的一项常态工作，如果所有参数都采用手工输入，将是一项无法想象的复杂、繁琐、高强度、高难度的工作。管理模块提供流行、成熟的辅助评估工具，来帮助用户快速完成自评估中资产数据采集、指标体系建立等基础工作，以提高评估效率。

管理模块提供的辅助评估工具类型有：漏洞扫描工具、渗透测试工具、入侵检测工具。该模块为开放性设计，可随时添加、删除各类辅助评估工具，并能自适应最新辅助评估工具，评估工具产生的数据可以无缝对接到用户定义的自评估数据库中，成为后续风险自评估的部分或全部数据。

3.5 通用模块

与常用管理软件相同，自评估软件也需要若干通用模块来协助完成自评估过程中数据处理、存储和传输、结果输出、报（图）表打印等任务，和自评估软件核心模块共同组成一个功能完整、操作简便的自评估软件。

通用模块含用户管理模块：用户身份验证、用户权限设定、用户增加/删除、用户密码更新等；系统设置模块：软件使用环境设置、网络设置、邮件设置、数据更新时间设置、数据保存目录设置、日志管理等；数据导入/导出模块：接收外部专业工具产生的多种格式数据，支持本地保存、发送至邮件、文件传输等形式导出多种格式数据；数据管理模块：维护各数据库数据（增加、删除、编辑），支持对数据库数据的检索、分类、汇总、查询和浏览；文档打印模块：支持各类文档、图表、报表的变格式输出；帮助模块：软件用户手册、版本信息、升级信息等。

4.自评估软件应用价值

尽管数字档案馆在建设的各个时期会充分考虑信息的安全，会尽最大的力量，采用最先进的技术手段和各种安全措施来防护数字档案可能受到的威胁，避免可能的脆弱性，然而，世上没有“永远、绝对”的安全环境和“确保、肯定”的无漏洞信息系统，受各种因素影响和各种条件限制，在安全措施缺失或薄弱的情形下，资产总是客观存在着各式各样的安全风险。应用自评估软件可以在数字档案馆建设和运行的各个生命周期中进行定期或不定期的信息安全风险自评估，通过持续不断地循环评估，实时、动态地确定信息安全风险等级，进行合理的安全措施改进，保障数字档案信息在相对时间内的“绝对”安全。

自评估软件的使用，将会规范数字档案信息安全风险自评估的流程，解决评估过程中繁琐的数据采集工作，理顺杂乱无序的评估因素指标，提高评估时效，使评估结果更加客观、可信，对数字档案馆信息安全风险评估长效机制的建立和实施，有着极高的应用价值。

*本文系国家档案局科技项目计划“数字档案馆信息安全风险自评估软件的研究与开发”（2009-X-20）研究成果之一。

［1］项文新.档案信息安全风险评估流程［J］.档案学研究 2012（1）：76-79.

［2］张健.电子文件信息安全管理评估体系研究［J］.档案学通讯 2011（4）：67-69.

［3］中华人民共和国国家标准.信息安全技术信息安全风险评估规范GB/T 20984-2007：6-7“表1一种基于表现形式的资产分类方法”.

［4］张泽虹.信息安全管理与风险评估［M］.北京：电子工业出版社，2010：136.

［5］项文新.档案信息安全保障体系框架研究［J］.档案学研究 2010（2）：68-73.

［6］［8］吴晓平，付钰.信息安全风险评估教程［M］.武汉：武汉大学出版社，2011：54.

［7］吴晓平，付钰.信息安全风险评估教程［M］.武汉：武汉大学出版社，2011.