基于信息安全风险评估的档案信息 安全保障体系

　　档案信息安全保障体系是指从信息安全技术和信息安全保障体系。

　　信息安全管理等方面，对档案信息及信息系统进行安全防御，确保档案信息系统安全可靠运行，保障档案信息的保密性、完整性、可用性、真实性、不可否认性、可控性和可追溯性，并具备对档案信息安全动态保护能力的综合性信息系统防护体系。档案信息安全保障体系的构建应与其他信息安全保障体系一样，基于“三个支柱：技术、管理和法规标准”。

　　然而我国目前档案信息安全保障体系构建主要依赖于信息安全技术，且缺乏有效的安全管理和安全监督机制，档案信息系统随时存在安全风险，只有通过科学、有效的管理和规范才能构建真正的档案信息安全保障体系。

　　国际国内普遍采用制定法规标准来加强和规范信息安全保障体系建设。国际标准有ISO/IEC17799、ISO/IEC27000系列等信息安全管理和风险评估标准。国内2007年由公安部和国家保密局等四家单位印发了《信息安全等级保护管理办法》（公通字[2007]43号），全国信息安全标准化技术委员会制订了《GB/T22239-2008信息系统安全等级保护基本要求》、《GB/T20984-2007信息安全风险评估规范》等标准，以保障我国信息安全，从此也真正在全国范围内拉开了我国信息安全等级保护和风险评估的序幕。档案信息安全保障体系构建也应依据相应的法规标准。

　　一、基于信息安全风险评估的档案信息安全保障体系构架

　　2003年中共中央办公厅、国务院办公厅转发了《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号，简称“27号文件”），提出“坚持积极防御、综合防范”的方针。同时，27号文件还提出“要重视信息安全风险评估工作，对网络与信息系统安全的潜在威胁、薄弱环节、防护措施等进行分析评估，综合考虑网络与信息系统的重要性、涉密程度和面临的信息安全风险等因素，进行相应等级的安全建设和管理。”27号文件是我国构建国家信息安全保障体系的“宪法性”文件，主要强调了信息安全保障需主动防御而非事后堵漏洞；需从管理、技术和法规多方面开展而非单靠技术；需以系统工程的思想而非简单地构建安全保障体系；需以信息安全风险评估与等级保护作为建设国家信息安全保障体系的基本制度。

　　“积极防御，就是强调以安全保发展、在发展中求安全，不是被动地就安全抓安全；综合防范，就是综合运用行政、法律、技术等多种手段，强调国家、企业和个人共同的责任，各个部门齐抓共管，用系统工程的思路，用体系建设的思路来抓信息安全。构建档案信息安全保障体系也应遵守“积极防御”，而积极防御的最好体现是对档案信息系统进行风险评估。因为任何信息系统都存在安全风险，这些风险可以被发现、被认识，也可以在一定程度上加以管理。对档案信息安全开展风险评估可达到信息安全事故防患于未然。

　　构建档案信息安全保障体系同时需遵守“综合防范”，即从技术、管理和法规标准等多方面入手，用技术体系、管理体系和法规标准体系的体系建设思路来构建。目前国内外主要采用信息安全等级保护措施实现对信息安全的“综合防范”。我国于2008年颁布的《GB/T22239-2008信息系统安全等级保护基本要求》中提出了不同安全等级信息系统的基本安全要求，分为基本安全技术要求和基本安全管理要求两大类。

　　由此可见，采用等级保护制度下的风险评估模式可构建“积极防御、综合防范”的档案信息安全保障体系。等级保护是实现信息系统安全的要求和目标，而风险评估则是对等级保护的检测和监督。在构建档案信息安全保障体系过程中，等级保护定级规范、等级保护基本要求规范和风险评估规范等均属于法规标准体系，在目前我国尚未制定针对档案信息安全相关法规标准体系之前可遵守国家已有相关法规标准。在实现等级保护和风险评估过程中所采取的安全技术属于安全技术体系，采取的安全管理措施则属于安全管理体系。根据上述对档案信息安全保障体系构建的分析，基于信息安全风险评估的档案信息安全保障体系构架如图1所示。档案信息安全保障体系的建设过程中，基于等级保护与风险评估的档案信息安全保障体系构架的实现过程为：根据我国已有等级保护相关标准《GB/T22240-2008信息系统安全等级保护定级指南》和《GB/T22239-2008信息系统安全等级保护基本要求》，结合档案信息系统的重要程度，确定档案信息系统安全等级和安全需求，采取相应的安全技术和安全管理措施，并依据《GB/T20984-2007信息安全风险评估规范》在档案信息系统生命周期的不同阶段进行风险评估，不断完善档案信息安全保障体系，实现动态防御。

    二、基于风险评估的档案信息安全保障体系构建流程

    信息安全风险评估就是从风险管理角度，运用科学的方法和手段，系统地分析信息系统所面临的威胁及其存在的脆弱性，评估安全事件一旦发生可能造成的危害程度，提出有针对性的抵御威胁的防护对策和整改措施；为防范和化解信息安全风险，将风险控制在可接受的水平，从而最大限度地保障信息安全提供科学依据。信息安全风险评估可以自评估或检查评估的方式进行。

　　档案信息系统从其分析设计到运行维护等具有完整的生命周期，一般分为分析阶段、设计阶段、实现阶段、运行阶段和废弃阶段。等级保护贯穿信息系统分析、设计、实现、运行维护和废弃的整个生命周期，而风险评估则是对实现等级保护的信息系统定期或不定期的进行安全检测和评估，同样贯穿信息系统的整个生命周期。

　　档案信息安全保障体系构建需贯穿档案信息系统生命周期全过程，并在不同阶段开展信息安全风险评估。档案信息安全风险评估与等级保护息息相关，评估信息系统安全状况是否达到等级保护要求，也是对等级保护安全技术和安全管理实施后的风险确认，从而构建基于风险评估的档案信息安全保障体系，构建流程如图2所示。

　　1. 档案信息系统分析阶段风险评估

　　在系统分析阶段需按照我国已有的《GB/T22240-2008信息系统安全等级保护定级指南》对档案信息系统安全保护等级定级。信息系统安全保护等级是以信息系统的重要性和信息系统遭到破坏后对国家安全、社会稳定、人民群众合法权益等损害客体的危害程度为依据。档案信息系统安全包括档案业务信息安全和档案信息系统服务安全，保护等级由业务信息安全等级和系统服务安全等级的较高者决定。档案信息系统对系统服务连续性要求相对较低，而对档案业务信息安全性要求较高。由于档案业务信息遭到破坏后会涉及到国家安全，而涉及国家安全的系统均需定到三级以上，所以档案信息系统安全等级一般需为三级。按照等级保护三级要求，提出档案信息系统安全技术需求和安全管理需求。在档案信息系统分析阶段的风险评估中，信息资产、脆弱性不需要识别，根据未来系统的应用对象、应用环境、业务状况、操作要求等列出安全威胁，评估安全技术需求和安全管理需求能否抵御安全威胁，如果不能则需调整安全需求。

　　2. 档案信息系统设计阶段风险评估

　　从物理安全、网络安全、主机安全、应用安全和数据安全及备份恢复等五个层面进行安全技术设计；从安全管理制度、安全管理机构、人员安全管理、管理设计，提出完整的档案信息安全保障体系方案，从而满足系统安全需求。在档案信息设计阶段的风险评估以安全方案评审的方式进行，依据《GB/T20984-2007信息安全风险评估规范》判定安全方案所提供的安全功能与安全技术及安全管理需求是否相符合。如果存在安全风险，则需进行重新安全设计和安全评估。

　　3. 档案信息系统实现阶段风险评估

　　系统实现阶段的风险评估是依据《GB/T20984-2007信息安全风险评估规范》对档案信息系统建成后的安全功能进行测试和验证，即评估安全技术和安全管理的实现程度，从而确定依据安全设计方案而实现的安全措施和安全管理能否抵御现有威胁和脆弱性。如果存在安全风险，则需进行重新安全设计、安全实现和风险评估，直至将安全风险降到最低，完全达到三级等级保护所提出的所有安全要求。在档案信息系统实现阶段的风险评估可以在档案信息系统项目预验收或试运行期间进行。如果存在安全风险，则需进行重新安全设计、安全实现和风险评估。通过信息安全风险评估后，档案信息系统才可以正式投入运行。

　　4. 档案信息系统运行阶段风险评估

　　档案信息系统自身及其运行环境发生变化时，应评估其安全风险以维持系统的正常运行。因为在档案信息系统运行阶段会不断面临新的安全威胁，不断发现新的安全漏洞，所以应按照《GB/T20984-2007信息安全风险评估规范》对档案信息系统进行定期或不定期安全风险评估，且可按自评估或检査评估的形式开展。

　　自评估是由档案信息系统所有者自身发起，一般依靠自身力量或委托风险评估服务机构实施。委托第三方评估机构的自评估简称委托评估，是指信息系统所有者委托具有风险评估相应资质的专业评估机构实施的自评估活动。信息安全风险评估机构拥有风险评估的专业人才，具有丰富的风险评估经验，风险评估过程规范、评估结果客观。

　　检查评估由信息安全主管机关或业务主管机关发起，旨在依据已经颁布的法规或标准检查信息安全风险是否在可接受的范围内，即对档案信息系统安全状况进行监督。检查评估也可以委托风险评估服务机构实施。

　　对档案信息系统运行阶段的风险评估可采用自评估与检查评估相结合的形式，检查评估一般适合在各档案部门自评估结果的基础上，验证和确认档案信息系统存在的技术、管理、运行风险，以及自评估后采取风险控制措施取得的效果。同时，无论是自评估还是检查评估，如果委托专业评估机构，则需通案信息安全风险评估过程中产生新的安全风险。

　　5.档案信息系统废弃阶段风险评估

　　当档案信息系统不能满足现有要求时，则需开发新系统，并原有档案信息系统进入废弃阶段。废弃档案信息系统时需对档案信息的迁移、原有档案信息资产的处理等进行风险评估，即需对原档案信息系统硬件、软件、档案信息等资产等进行适当处置，防止因存储载体内残留信息处理不当、不法人员趁机窃取档案信息等而引入新的安全风险。因此档案信息系统废弃阶段应对系统废弃可能带来新的威胁和存在的安全漏洞进行充分分析的基础上提出完备的废弃操作方案、对废弃的执行人员进行安全教育、对废弃资产的处理过程应在有效的监督之下实施。通过废弃阶段对档案信息系统安全威胁、操作漏洞和信息资产处理进行风险评估后，如果仍存在安全风险则需改进废弃处理措施直至安全为止，已经导入档案信息的新系统投入正常运行后最终彻底废弃旧档案信息系统。

　　档案信息安全保障体系的建设是一个持续和不断完善的过程，信息安全风险评估将起到关键作用，而保障体系构建流程必须规范和完整。档案信息安全保障体系构架和构建流程都可以用“木桶原理”解护和风险评估的管理体系、技术体系和标准法规体系三块木板构成的木桶，那木桶盛水容积取决于最低的那块。如果说基于风险评估的档案信息安全构建流程是由分析阶段风险评估、设计阶段风险评估、实现风险阶段评估、运行阶段风险评估和废弃阶段风险评估这五块木板构成的木桶，那木桶盛水容积也取决于最低的那块。因此，档案信息安全保障体系构架和基于风险评估档案信息安全保障体系构建流程中均不允许出现木桶短板，否则其他长板也无法保障档案信息保障体系这个木桶的盛水容积，也就是木桶的短板决定了档案信息安全保障体系的强度。