黄 林 ，杨 翼，陈雪萍

(1.国网上海市电力公司电力科学研究院，上海 200437；2.国网上海市电力公司市北供电公司，上海 200072；3.国网上海市电力公司，上海 200120)

档案作为一种信息资源，是企业生产、技术、科研和经营等活动的真实记录在企业管理等各方面发挥着的重要作用。随着大数据、云计算、物联网、人工智能等各种新技术不断涌现，档案信息化建设也不断升级，从档案数字化、数字档案馆到智慧档案馆，使档案信息得以脱离传统载体的束缚，以数字形态存储、传播与利用，给档案工作带来革命性变革，改变了传统档案管理采用人工管理方式，有利于档案的长期保存，丰富了档案收集整理渠道，极大地提高了档案检索、利用效率，便于开展深层次的编研。国家2020年新通过的档案法更是增加了档案信息化章节，进一步要求加强档案信息化建设，保障电子档案、传统载体档案数字化成果等档案数字资源的安全保存和有效利用。

但是随着信息技术给档案管理带来了高效便捷，同时也为档案管理带来新的安全风险。在传统档案管理中，往往注重对档案实体安全的管理，对档案的电子信息安全管理重视不足。档案管理对信息化的依赖，增加了信息安全风险可能带来的影响。信息安全风险往往是潜在的，并不明显，但是一旦遇到极端情况，就会立马显现出来，所造成的损失可能无法估量。所以我们需要对这些安全风险进行识别，制定应对措施，降低风险发生的可能性，减少其带来的危害，提高档案管理的安全性和可靠性。

1 信息安全风险识别

1.1 人员风险

档案管理质量很大程度取决于档案人员的技术水平。专业档案人员往往对信息技术了解不足，信息化建设更多依赖外包队伍，档案人员自身往往信息安全防范意识薄弱，不具备信息防范技术掌握，使档案信息化管理存在诸多安全风险：

(1) 档案人员进行实体信息数字化时，由于操作技术等问题引起数据失真、著录信息错误不完整等风险。

(2) 档案人员使用档案系统时，档案人员对系统的访问操作不当，可能为档案系统带来各种风险。如未按要求设置强密码，将账号密码交给外包人员使用，或为方便起见随意将他人权限设为最大，都将可能造成泄密、数据删改等风险。

(3) 档案人员对个人计算机管理不善，如未安装防病毒软件或未及时更新补丁库，由于病毒的易传染性，极有可能感染服务器，造成不可估量的损失。甚至有可能成为攻击服务器的桥梁。

(4) 档案信息化引入外部厂商和供应商，通过外包服务或合作开发的模式进行信息系统开发、运维等信息化工作，外部人员介入档案工作，为此带来了档案管理风险。

1.2 技术风险

档案系统利用信息技术将档案人员从简单性、重复性劳动中解放出来，但同时由于信息系统技术的复杂性也为档案管理带来了新的风险。目前信息系统建设的大都基于OSI七层架构(物理层、数据链路层、网络层、传输层、会话层、表示层、应用层)，每一层本身都存在者潜藏风险，随着系统日益复杂，业务规模不断扩大，业务关联性和架构复杂性、数据总量爆炸式增长，受技术发展和人为认知的局限，档案系统软硬件的建设都难免出现技术漏洞和人为缺陷，因而增加了风险发生的概率。另一方面系统建设时往往满足于实现业务功能，对系统安全防护功能投入不足，系统安全配置简单，专业信息安全人员配置不足，无法应对日益复杂的信息安全形势。

1.3 环境风险

随着智慧城市建设要求及企业经营模式的变化，计算机应用已渗透到社会的各个角落，工作人员的日常办公也高度依赖计算机网络。档案信息化大环境发生了很大的变化。网络安全攻击不断加剧，数据泄露风险日益突出，新型渠道网络边界风险加大，档案系统面临着更多的安全风险。随着网络环境的开放，面临的网络威胁边界不断扩大，暴露的信息越来越多，档案信息被访问、被篡改、被盗窃的可能性加大，安全防护难度也随之增加。安全漏洞攻击、木马攻击、DDOS攻击等外部攻击，特别是伴随着信息技术的进步以及计算机网络的深度运用，操作系统、数据库、应用软件的漏洞不断被发现、破解，如果不能做到安全隐患及时消除或者降低以及安全整改闭环管理，更是会造成档案系统瘫痪、数据被篡改、秘密被泄露等严重问题。

综合以上种种，为保障档案信息系统安全，必须建立多重有效的信息安全防御体系，防止档案系统数据丢失、信息泄露、无法提供服务等诸多风险。

2 多重有效的信息安全防御体系

将我们所归纳的安全现状、安全风险、安全需求以及已有的信息安全有效控制措施，以实现保障档案信息系统保密性、完整性和可用性为最终目标，将其逐个映射到ISO 27001中18个控制项中所涉及的技术对象和被管理对象或过程的某一个或几个控制点的集合，经叠加合并后形成一个最终并集，形成了以安全管理控制点、安全技术控制点和安全驱动控制点所组 成的多重有效的信息安全防御体系。

其中安全管理控制点是基础，安全技术控制点是具体的管理实践和技术实践，而安全驱动控制是保障管理控制点和技术控制点得与落实的最佳手段。分解其细节覆盖信息安全目标、安全策略、人员、组织、运维、建设、网络通信、网络边界、主机、终端、应急响应、同报机制、事件责任追究制、安全监管以及风险管理等全方位的安全管理。

根据业务需要，按紧迫性、可实施难易性、同时还要考虑安全的成本与效益，分阶段分步骤开展档案信息安全防御体系建设，同时随着组织环境的变化、业务发展和信息技术提高而不断改进，不能一劳永逸，一成不变，需要不断完善来保证安全的持续改善。档案信息安全防御体系架构具体分解细节如下：

2.1 体系安全管理控制点

2.1.1 安全管理制度

安全管理制度是对信息安全目标和工作原则的规定，其表现形式是一序列为实现安全策略形成的制度文件。是信息安全保障系统的核心，是信息安全管理工作、技术工作和运维工作的目标和依据。

各类安全管理规定、管理办法和暂行规定。从安全策略主文档中规定的安全各个方面所应遵守的原则方法和指导性策略引出的具体管理规定、管理办法和实施办法，是必须具有可操作性，而且必须得到有效推行和实施的。与其它部分的关系为向上遵照公司安全目标。向下延伸到用户签署的文档和协议。用户协议必须遵照管理规定和管理办法，不与之发生违背。

2.1.2 安全机构和安全人员管理

安全管理组织机构和人员的安全职责，包括的安全管理机构组织形式和运作方式，机构和人员的一般责任和具体责任。作为机构和员工具体工作时的具体职责依照，此部分必须具有可操作性，而且必须得到有效推行和实施的。与其它部分的关系为从信息安全目标中延伸出来，其具体执行和实施由管理规定、技术标准规范、操作流程和用户手册来落实。

2.1.3 系统建设管理

系统建设管理主要内容包括公司应用系统的需求、设计、开发、测试、验收过程注意的安全问题；公司应用系统在用户管理和访问控制以及公司应用系统安全审计等方面。

2.1.4 系统运维管理

系统运维管理主要内容包括环境管理、资产管理、介质管理、设备管理、监控管理、网络安全管理、系统安全管理、恶意代码管理、密码管理、变更管理、备份与恢复管理、安全事件处置以及应急预案管理等。

2.1.5 物理环境管理

根据设备部署安装位置的不同，选择相应的防护措施。室内机房物理环境安全需满足相关标准对应信息系统保护物理安全要求，室外设备物理安全需满足国家对于防盗、电气、环境、噪音、电磁、机械结构、铭牌、防腐蚀、防火、防雷、电源等要求。

2.2 体系安全技术控制点

2.2.1 网络通信安全

网络通信安全具体包括网络中提供连接的路由、交换设备及安全防护体系建设所引入的安全设备、网络基础服务设施，各业务系统在进行网络安全建设时，应当绘制网络拓扑结构图以体现网络结构，并在网络拓扑结构图上体现网络安全防护结构。

进行网络通信安全防护的目标是防范恶意人员通过网络对业务系统进行攻击，同时阻止恶意人员对网络设备发动的攻击，在安全事件发生前可以通过集中的日志审计、入侵检测时间分析等手段，以及对信息内网、信息外网、终端、网络设备等安全状态的感知和监测，实现安全事件的提前预警，发现攻击意图，在安全事件发生后可以通过集中的事件审计系统及入侵检测系统进行事件追踪、事件源定位以发现恶意人员位置或及时制定相应的安全策略防止事件再次发生，实现事后审计，对恶意行为和操作的追查稽核、探测入侵、重建事件和系统条件，生成问题报告。

2.2.2 网络边界安全

进行边界安全防护目标是使边界的内部不受来自外部的攻击，同时也用于防止恶意的内部人员跨越边界对外实施攻击，或外部人员通过开放接口、隐蔽通道进入内部网络；在发生安全事件前期能够通过对安全日志及入侵检测事件的分析发现攻击企图，安全事件发生后可以提供入侵事件记录以进行审计追踪。

2.2.3 应用安全

主要关注应用身份鉴别、访问控制、软件纠错、剩余信息保护、资源控制以及代码安全等方面。

2.2.4 主机安全

主机系统安全防护包括对服务器及桌面终端的安全防护。服务器包括业务应用服务器、网络服务器、WEB服务器、文件与通信等。

保护主机系统安全的目标是采用信息保障技术确保业务数据在进入、离开或驻留服务器时保持可用性、完整性和保密性，采用相应的身份认证、访问控制等手段阻止未授权访问，采用主机防火墙、入侵检测等技术确保主机系统的安全，进行事件日志审核以发现入侵企图，在安全事件发生后通过对事件日志的分析进行审计追踪，确认事件对主机的损害程度以进行后续处理。

按照公司相关要求，部署主机访问控制、主机安全加固、主机入侵检测、主机内容安全、病毒防范、主机身份鉴别、数据加密、主机监控审计、备份恢复、资源控制、剩余信息保护等安全防护措，从操作系统和数据库两个层面保障主机安全。

2.2.5 数据安全

主要关注系统管理数据、鉴别信息和用户数据在传输过程中的完整性、系统的鉴别信息、敏感的系统管理数据和敏感的用户数据是否采用加密或其他有效措施实现传输保密性，以及重要信息进行本地和异地备份等。

2.2.6 终端安全

关注如何对信息内网和信息外网的桌面办公计算机终端以及接入信息内、外网的各种业务终端进行安全防护。

终端类型包括：办公计算机终端；不在公司网络区域，但经过终端安全加固后，通过公司专用安全可信专线和安全接入平台接入网络的移动办公和移动作业终端；信息采集类终端。对于各种终端，需要根据具体终端的类型、应用环境以及通信方式等选择适宜的防护措施。

2.3 体系安全驱动控制点

2.3.1 应急响应制

防范软硬件故障以及恶意攻击所造成的业务中断，快速发现异常并处置，确保损失最小化。

2.3.2 安全监督制

结合入侵检测系统和网络安全审计系统集中收集网络设备、主机设备、安全设备日志信息。对收集到得日志信息进行分析和存储，由实时监控报警中心显示安全事件。

2.3.3 事件责任奖惩制

对员工的奖惩实行以精神鼓励和思想教育为主、经济奖惩为辅的原则。设立嘉奖、记小功、记大功、功勋奖、破格晋升等奖励类型。

2.3.4 风险管理制

通过对企业信息化系统所面对的风险和自身的脆弱性进行评估、采取手段降低风险到可接受的水平、并进行周期性监测的管理。

3 结语

信息化是档案工作重要发展方向，信息安全是信息化发展的基础保障，要充分认识信息安全的重要性，提升档案人员的安全责任感，重视安全教育，管理和技术并重，以科学务实的态度建立安全保障措施，持续提升信息安全防护能力，加强安全风险评估，提高网络安全监测预警和应急处置水平，为档案信息化发展提供可靠的安全保证。