政务云环境下电子文件归档安全保障策略研究

2018-05-08浙江省档案局

浙江档案 2018年4期

宋华/浙江省档案局

骆建珍姜悦霞/上海中信信息发展股份有限公司

近年来云技术应用快速发展，在国务院《关于加快推进“互联网+政务服务”工作的指导意见》（国发[2016]55号）的指引下，各级政府部门不再大规模自建机房及基础软硬件设施，而是将各类政务业务系统集中迁移至政务云上运行，由此政务云上电子文件数量呈指数级增长。

电子文件具有易篡改、易损毁、环境依赖性强等特点。在政务云环境下，电子文件所面临的安全风险递增，保障其真实性、完整性、可靠性的任务更为艰巨。电子文件归档是电子档案管理中的重要业务环节，确保电子文件归档安全对于保障政务云环境下电子档案的安全具有重要意义。因此，必须采用系列安全管理手段与技术措施，保证电子文件归档过程的安全，防止电子文件丢失或被破坏，有效维护电子文件的原始性和凭证价值。

1 政务云环境下电子文件存在的安全隐患分析

在政务云环境下，由于云计算技术的鲜明特征，电子文件不仅要面临与传统IT架构环境类似的病毒攻击、木马攻击、黑客攻击、拒绝服务攻击 DoS、信息被篡改或损毁、信息泄露等各种安全威胁, 而且还会因为虚拟化、云存储等技术的使用，使安全风险的复杂度进一步提高。根据调查统计，主要存在的安全隐患包括以下几方面。

1.1 政务云网络环境存在的安全隐患

较之于传统的电子政务网络环境，政务云属于开放共享的网络平台。在传统的电子政务环境下，信息安全问题是局部性的，某个部门的信息安全问题不会影响其他部门。而在政务云环境下，信息安全问题是全局性的，政务云平台一旦发生安全问题，电子文件会受到严重破坏。此外，政务云平台自身也存在缺陷和漏洞，非法操作者一旦进入云平台就可以随意篡改、窃取或破坏电子文件信息，这将对电子文件的安全产生严重威胁。

1.2 电子文件自身特点带来的安全隐患

网络化的环境为电子文件形成、整理、归档的一体化带来便利，但是由于易篡改、易损毁、环境依赖性强等特点，电子文件从形成、办理的业务系统归档至电子档案管理的系统过程中，若缺乏相应的管理方式及技术保护措施，电子文件极易遭受破坏，被非法篡改或信息丢失，电子文件的真实性、完整性、可用性、安全性得不到保障。

1.3 相关制度缺失造成的安全隐患

建立规范的制度体系是保证电子文件归档安全的关键。在当前政务云环境下，由于还没有制定并出台完善的网上归档规范，没有对电子文件的归档责任人、归档范围、归档流程、归档方式、归档时间等进行明确规定，政府部门对网上各类电子文件归档的重视程度不够，电子文件散落保存在各个业务系统之中，面临遗失风险。

1.4 突发事件带来的安全隐患

突发事件指所有能够损害或可能损害电子文件的突发事故，包括自然灾害（如地震、海啸）和人为破坏。政务云上突发事件会对各类云上运行业务系统的电子文件的安全带来灾难性破坏，造成不可弥补的损失。

2 电子文件安全防护模型设计

针对政务云环境下电子文件归档存在的安全隐患，必须建立完善、高效、可靠的安全保障体系。按照《档案信息系统安全保护基本要求》（档办发[2016]1号）及相关安全标准规范要求，需要从技术和管理两个方面对电子文件进行全面安全防护。电子文件安全防护模型如下图所示。

可以看出，电子文件的安全防护需要从物理层、网络层、系统层、应用层、管理层五个层面采取防护措施。一是物理层，要从电力保障、防电池泄露、防物理破坏、环境安全、设备安全、介质安全等方面采取防护措施保障物理层安全；二是网络层，要从从防火墙、入侵检测、违规外联、链路加密、安全隔离、安全审计、VLAN划分等方面采取防护措施保障网络层安全；三是系统层，要从防病毒、漏洞扫描、备份恢复、数据库加固、操作系统加固等方面采取防护措施保障系统层安全；四是应用层，要从身份认证、权限控制、数据签名、应用审计、格式固化等方面采取防护措施保障应用层安全；五是管理层，要从组织上、措施上、制度上为信息系统的安全运行提供强有力的保障。

3 政务云环境下电子文件归档安全保障策略

基于以上电子文件安全防护模型，结合浙江政务服务网电子文件的具体特点，在浙江政务服务网电子文件归档过程中，主要采用了以下安全保障策略。

3.1 按照等保三级的要求建设电子文件归档系统

参照《档案信息系统安全等级保护定级工作指南》（档办发[2013]5号）和《档案信息系统安全保护基本要求》（档办发[2016]1号）的要求，基于政务云的电子文件归档系统严格按照等保三级的要求进行建设。

基于等保三级要求，电子文件归档系统的建设应从物理层安全、网络层安全、系统层安全、应用层安全和管理层安全五个方面进行安全防护，其中物理层安全、网络层安全、系统层安全在政务云建设之时已经综合全面考虑，因此电子文件归档系统建设要重点考虑管理层安全，同时加强应用层安全建设。

管理层安全应从安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理五方面提供强有力的防护。一是安全管理制度，要形成由安全策略、管理制度、操作规程等构成的全面信息安全管理制度体系；定期组织相关部门和相关人员对安全管理制度体系的合理性和适用性进行审定，对存在不足或需要改进的安全管理制度进行修订。二是安全管理机构，要设置信息安全管理岗位，明确岗位职责和分工，配置岗位人员，按照安全管理制度的要求定期进行安全审核和安全检查活动，并对安全检查结果进行通报。三是人员安全管理，要从人员录用、人员离岗、人员考核、安全意识教育和培训、外部人员访问等方面进行安全管理。四是系统建设管理，要在系统建设之初对系统进行定级并设计安全方案，在系统建设过程中做好安全管理控制，在开发过程中形成完整的文档；还要做好系统备案、等级测评等工作。五是系统运维管理，要在系统运维过程中进行环境管理、资产管理、介质管理、设备管理、监控管理、网络安全管理、系统安全管理、恶意代码防范管理、密码管理、变更管理、备份与恢复管理、安全事件处置、应急预案管理等运维管理工作。

应用层安全要采用各种技术手段进行安全防护，如按照三权分立的原则进行权限分离；提供敏感标记设置功能，对敏感信息资源进行保护；采用密码技术进行会话初始化验证，并保证通信过程中数据的完整；采用数据签名技术保证数据的真实性和原始性；提供应用审计功能，对系统所有的登录及操作日志进行全方位记录和管理。

3.2 通过制度规范建设推进浙江政务服务网电子文件归档工作

浙江省人民政府非常重视浙江政务服务网电子文件归档工作， 2017年1月发布了《浙江政务服务网电子文件管理暂行办法》（浙政办发[2017]4号）（以下简称《暂行办法》），对浙江服务服务网电子文件的形成、办理、归档、移交、保管、利用等工作提出了明确要求，并规定了各行政机关的职责。《暂行办法》的发布有效推进了浙江政务服务网电子文件归档工作，确保了电子文件及时归档。

为确保行政审批电子文件规范归档，省档案局对归档过程中存档信息包的命名规则、数据结构、存储结构等展开了深入研究，并形成了《政务服务网电子文件归档数据规范》。目前，该文件已经作为浙江省地方标准，以《政务办事“最多跑一次”工作规范第3部分：政务服务网电子文件归档数据规范》（DB33/T 2036.3—2017）在全省发布执行。

在平台建设中，省档案局同步制定了《浙江政务服务网行政审批电子文件归档系统功能要求》《浙江政务服务网行政审批电子文件归档元数据方案》《浙江政务服务网行政审批电子文件归档数据交换标准》等技术规范，以指导省本级各单位以及各市、县（市、区）浙江政务服务网行政审批电子文件归档工作实施。

2.3 采用技术手段保证电子文件的“四性”

电子文件的“四性”是指真实性、完整性、可用性和安全性。保证电子文件的“四性”是电子文件能够成为电子档案的前提，也是保证电子文件凭证价值、保存价值的关键。在电子文件归档过程中，综合采用了时间戳、格式固化、电子签章等手段确保电子文件的“四性”。

一是保证真实性。真实性指电子文件的内容、逻辑结构和背景与形成时的原始状况相一致的性质。浙江政务服务网电子文件的真实性通过采用时间戳技术来保障。时间戳是用来标明一个事件所发生日期和时间的一种记号，一般同生成该记号的人或经纪机构的身份在一起，该印记一般被附加在消息后面或以某种方式与消息形成逻辑上的关联。这是数字签名技术的一种变种应用，通过有效的第三方专门机构所出示的时间来证明文件的真实性。

电子文件归档过程中，存档信息包打包完成后对存档信息包加盖时间戳。存档信息包采集归档时，通过对时间戳进行校验来确保存档信息包未被篡改，从而保证电子文件的原始性和真实性。归档电子文件办理交接过程采用了加盖电子签章以及电子签章的认证方式，确保电子档案真实性。《暂时办法》中规定“行政机关通过浙江服务服务网办结归档的加盖可靠电子印章的文书类、证照类电子文件，与纸质文书具有同等的法律效力”，这从制度层面为电子文件赋予了法律效力，维护了电子文件的凭证价值。

二是保证完整性。完整性指电子文件的内容、结构和背景信息齐全且没有破坏、变异或丢失的性质。浙江政务服务网电子文件的完整性主要是确保电子文件元数据的完整和归档文件材料的完整。浙江政务服务网电子文件归档工作开展过程中，各行政机关在省档案局的指导下制定了各类行政事项文件材料的归档范围和保管期限。在浙江政务服务网预归档模块，可按照本单位制定的行政审批事项归档范围和保管期限表对各事项的档号生成规则、归档范围、保管期限等进行设置，并生成存档信息包。存档信息包采集至电子文件归档系统后，电子文件归档系统内置了“四性”检测工具，参照归档范围对对电子文件的完整性进行检测。当检测不合格时，系统将通过检测结果反馈接口将检测不合格信息发送给浙江政务服务网预归档模块，要求按照检测结果重新进行整理打包。整个过程如下图所示。