档案信息安全概述

安全是档案工作的生命线。然而，随着档案工作领域拓展和档案记录的电子化，档案安全问题日益突出。2010年5月，国家档案局在四川召开全国档案安全体系建设工作会议，首次明确提出“建立确保档案安全保密的档案安全体系”。同时，全面实施“安全第一”战略，在大力推进档案馆基础设施建设的同时，重点围绕档案数字化、电子文件移交归档、档案信息系统安全等级保护等档案信息安全的薄弱环节，加大管理和督查力度。2013年，国家档案局编制《档案信息系统安全等级保护定级工作指南》，指导全国档案信息系统安全等级保护的定级工作。

档案信息安全可分为档案信息系统安全和档案信息内容安全。其中，档案信息系统安全又可细分为档案应用系统安全、档案信息网络安全、计算机系统安全和档案信息设备安全；档案信息内容安全可分为档案信息保密、档案抢救保护和档案真实性、完整性和可用性保障等内容。在档案信息化建设中，档案信息安全主要体现在以下五个方面：

（1）保密性。就是要确保档案信息不泄露给非授权的个人或实体，不提供其利用，只给授权的个人或实体使用的特性。档案信息系统的保密性主要通过以下手段实现：防侦收、防辐射、信息加密、物理保密。

（2）完整性。即确保档案信息未经授权不能改变的特性，主要是确保档案信息在存储或传输过程中不被偶然或蓄意地删除、修改、伪造、乱序、重放、插入等破坏和丢失。完整性是一种面向档案信息的安全性，它要求档案信息保存原样，即档案信息的正确生成、存储和传输。影响档案完整性的因素主要有设备故障、软件错误、人为攻击、计算机病毒等。

（3）可用性。即确保档案信息可被授权的个人或实体访问并按需求使用的特性，如在档案信息服务中允许授权个人或实体使用，在网络部分受损或需降级使用时仍能为授权个人或实体提供有效服务等。可用性是档案信息系统面向用户的安全性能，一般可以用系统正常时间和整个工作时间之比来度量。

（4）可控性。即确保档案信息的传播及内容具有控制能力的特征。首先系统需要能够控制谁能访问系统或网络上的数据，以及访问的权限控制；其次，即使拥有合法的授权，系统仍需对档案信息网络上的用户进行验证，以确认他是否是自己所声称的那个人；最后，系统还要将用户所有的活动记录在案，为系统事故原因追查、故障处理提供依据和支持。

（5）不可抵赖性。也称不可否认性，即确保档案信息系统在交互过程中，确保参与者的真实同一性，即所有参与者都不可能否认或抵赖曾经完成的操作和承诺。利用信息源证据可以防止发信方不真实地否认已发送信息，利用递交接收证据可以防止收信方否认已接收的档案信息。

档案信息安全管理应遵循以下基本原则：

（1）规范原则。档案信息系统的规划、设计、实现、运行要有安全规范要求，要根据本机构或本部门的安全要求制定相应的安全政策，包括行政法律手段、各种管理制度（如人员审查制度、维护保障制度等）和专业技术措施（如访问控制技术、加密技术、认证技术、攻击检测技术、容错技术、防病毒技术等）。安全政策中需要在规范性要求的指导下，采用必要的安全功能，选用必要的安全设备，不应盲目开发、自由设计、违章操作、无序管理。

（2）预防原则。在档案信息系统的规划、设计、采购、集成、安装中应该同步考虑安全政策和安全功能具备的程度，坚持以预防为主的指导思想来对待档案信息安全问题，不能心存侥幸。任何安全技术和安全措施都不是绝对安全的，都可能被攻破。要未雨绸缪，做好安全预案，建立一个多层保护系统，在一层被攻破时，其他部分仍可保护档案信息安全。

（3）立足国内的原则。网络安全与保密问题关系着一个国家的主权和安全。因此，安全技术和设备不可能完全依赖于外国进口，必须要立足国内，建立我们自主的网络安全产品和产业。不能未经许可直接应用境外的安全保密技术和设备。为了防止安全技术被非法用户使用，必须采取相应措施加以控制，如密钥托管技术等。

（4）注重实效原则。安全问题事关重大，不能盲目追求一时难以实现或投资过大的目标，应使投入和所需的安全功能相适应，有的放矢，具体问题具体分析，把有限的经费花在刀刃上。同时，要有系统工程的思想，前期的投入与后期的升级维护成本要匹配和衔接，并具有一定的扩展性，以保护原有投资。

（5）均衡防护原则。安全防护设施要注意是否存在薄弱环节，要充分、全面、完整地对系统的安全漏洞和安全威胁进行分析、评估和检测（包括模拟攻击等）。

（6）分权制约原则。关键环节的安全管理要采取分权制约的原则。否则，如对要害部位的管理权限不加限制，很有可能由于超级用户的恶意行为、口令泄密、偶然破坏等对系统造成不可估量的损失和破坏，一旦出了问题就将全线崩溃。分权则可以相互制衡，提高安全性。

（7）应急原则。安全不是绝对的，要有安全管理的应急响应预案，并进行必要的演练，一旦出现问题马上要采取对应的措施。安全管理应急预案应包括安全防护、安全监测、安全恢复三个机制。其中安全防护机制是对具体系统存在的各种安全漏洞和安全威胁采取相应的防护措施，避免非法攻击的进行；安全监测机制是监测系统的运行情况，及时发现和制止对系统的各种攻击；安全恢复机制是在安全防护机制失效的情况下，进行应急处理，尽量及时恢复信息，减少攻击的破坏程度。

（8）灾难恢复原则。越是重要的档案信息系统，越要重视灾难恢复。要在可能的灾难不能同时波及的地方建立备份中心，要确保实时运行系统与主系统的数据一致性。一旦遭遇灾难，立即启动备份系统，保证系统的连续工作。

档案信息安全需要将管理手段和技术手段结合起来才能实现，下面对部分信息安全技术进行简要介绍：

（1）身份鉴别。也称身份认证。主要是用于确认用户身份的合法性，防止非法用户使用网络资源。身份鉴别通常有三种方法用于验证主体身份：一是只有该用户了解的秘密，如口令、密钥等；二是用户携带的证明用户身份的物品，如智能卡；三是只有该用户具有的独一无二的特征或能力，如指纹、声音、视网膜等。

（2）访问控制。是对用户进行操作权的限制，包括功能权限和数据操作权限，主要防范用户的越权访问，控制用户访问资源的范围，防止非授权访问，保证网络和系统的安全。

（3）信息加密。包括信息传输加密和信息存储加密。信息传输加密用来防止通信线路上的窃听、泄露、篡改和破坏，通常有传输网络的链路加密、网络层加密和应用层加密等方式。信息存储加密主要方式有文件加密和数据库加密，其中数据库加密又可分为库外加密和库内加密。

（4）电磁泄漏发射防护。主要是防止因信息设备的电磁泄漏发射造成信息的空间扩散，避免外部采用专业接收设备远距离接收和还原信息，并造成泄密，主要通过屏蔽、降低辐射、采用光缆或屏蔽传输线路、电磁波干扰等方式加以防护。

（5）信息完整性校验。主要是防止非法篡改、插入和删除。可以通过加密方式对发送信息加密、解密方式完成完整性校验。

（6）抗抵赖。主要是为防止发送方发出数据后否认自己发送过此数据，并防止接收方收到数据后否认收到过此数据。常用方式是采用数字签名，采用公钥基础设施（PKI）来实现，其中数字签名要通过认证中心（CA）来进行。

（7）安全审计。有助于对入侵进行评估，这对确定是否有网络攻击发生，以及确定安全问题和网络攻击源都十分重要，是提高安全性的重要工具。

（8）安全保密性能检测。指通过不同方式来实现对网络安全保密性能的测试，可以模拟成入侵者或只针对系统对象进行测试，可以在本地完成，也可以通过远程系统完成。检测内容包括系统和网络漏洞、嵌入式隐患和安全保密强度等。

（9）入侵监控。这是对入侵行为的检测和控制。它通过监视计算机网络或计算机系统的运行，从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。

（10）边界防卫技术。这是一套综合的安全保护体系，通常将安全边界设置在需要保护的信息周边，如存储和处理信息的计算机系统外围，重点防止诸如冒名顶替、线路窃听行为。

（11）安全反应技术。这是将攻击危害降低到最小的安全技术，并提供被攻陷后迅速恢复的能力，其中分布式动态备份、动态漂移与伪装、灾难快速恢复、防守反击技术等是较有前途的安全反应技术。

（12）操作系统安全。它是计算机信息系统安全保密的基础。应选用经国家主管部门批准的安全操作系统，并在使用中及时更新安全补丁，加强操作系统的安全防御。

（13）数据库安全。应选用国家相关主管部门批准的具有一定安全等级的安全数据库，并合理配置数据库安全环境和权限设置。

（14）其他信息安全技术。如数字水印技术。为了维护档案部门的合法权益，在发布图片、文档等档案资源时，可加入特定标识的徽标或数字水印，以防止他人非法盗用。又如日志，为了对系统进行监控，可通过记录操作日志、登录日志等，防止用户的非法操作，在遇到故障时及时恢复，使系统的损失减少到最小程度。