档案信息安全概述
档案信息安全应包括档案信息系统安全和档案信息内容安全两项基本要求。一般所说的档案信息系统安全、档案信息网络安全、计算机系统安全、(传统狭义的)档案信息安全都可以归类为档案信息系统安全。档案信息系统安全的目标是档案信息系统的保密性、完整性、可用性、可控性、不可抵赖性等。档案信息内容安全是指由于档案信息内容可能引起的社会安全。因此,档案信息安全保障就包括两个基本方面:档案信息系统安全保护和用户信息保护。
1 档案信息安全的涵义与要求
人们常说的档案信息安全是指档案信息系统的安全,而现实的档案信息系统多数是与网络并存的,所以确切地说应该是档案信息系统网络的信息安全。它主要应包括以下五个方面的主要内容:
1.保密性
即确保档案信息不泄露给非授权的用户、实体或过程,或供其利用的特性,即防止档案信息泄露给非授权个人或实体,档案信息只为授权用户使用的特性。保密性是在可靠性和可用性基础之上,保障档案信息安全的重要手段。
常用的保密技术包括:防侦收(使对手侦收不到有用的信息)、防辐射(防止有用档案信息以各种途径辐射出去)、信息加密(在密钥的控制下,用加密算法对档案信息进行加密处理)、物理保密(利用各种物理方法保护档案信息不被泄露)。
2.完整性
即确保档案信息未经授权不能进行改变的特性,即档案信息在存储或传输过程中保持不被偶然或蓄意地删除、修改、伪造、乱序、重放、插入等破坏和丢失的特性。完整性是一种面向档案信息的安全性,它要求保持档案信息的原样,即档案信息的正确生成、正确存储和传输。
完整性与保密性不同,保密性要求信息不被泄露给未授权的人,而完整性则要求档案信息不致受到各种原因的破坏。影响档案信息完整性的主要因素有:设备故障、软件错误、人为攻击、计算机病毒等。
显然,要想保证档案信息的完整性使用一种方法是不够的,在应用数据加密技术的基础上,还应综合运用故障应急方案和多种预防性技术,诸如归档、备份、镜像、检验、崩溃转储和故障前兆分析等手段,来实现档案信息安全的目标。
3.可用性
即确保档案信息可被授权实体访问并按需求使用的特性,即档案信息服务在需要时,允许授权用户或实体使用的特性,或者是网络部分受损或需要降级使用时,仍能为授权用户提供有效服务的特性。
可用性是档案信息系统面向用户的安全性能。档案信息系统最基本的功能是向用户提供服务,而用户的需求是随机的、多方面的,有时还有时间要求。可用性一般用系统正常使用时间和整个工作时间之比来度量。如果一个合法用户需要得到系统或网络服务时,系统和网络不能提供正常的服务,那么和文件资料被锁在保险柜里,开关和密码系统因混乱而不能取出一样,虽然数据完好无损地存在于系统之中,却眼看着拿不出来。例如,网络环境下拒绝服务、破坏网络和系统的正常运行等都属于对可用性的攻击。
4.可控性
即确保档案信息的传播及内容具有控制能力的特性。首先,系统需要能够控制谁能够访问系统或网络上的数据,以及如何访问,即是否可以修改数据还是只能读取数据。其次,即使拥有合法的授权,系统仍需要对档案信息网络上的用户进行验证,以确保他确实是他所声称的那个人,通过握手协议和数据加密进行身份验证;最后,系统还要将用户的所有网络活动记录在案,包括网络中机器的使用时间、敏感操作和违纪操作等,为系统进行事故原因查询、定位、事故发生前的预测、报警以及为事故发生后的实时处理提供详细可靠的依据或支持。
5.不可抵赖性
不可抵赖性也称不可否认,即确保在档案信息系统的信息交互过程中,确信参与者的真实同一性,即所有参与者都不可能否认或抵赖曾经完成的操作和承诺。利用信息源证据可以防止发信方不真实地否认已发送信息,利用递交接收证据可以防止收信方事后否认已经接收的档案信息。
档案信息安全工作的目的就是在安全法律、法规、政策的支持与指导下,通过采用适当的安全技术与安全管理措施,提供安全系数所要求的保证,具体一点讲,就是指使用访问控制机制,阻止非授权用户进入网络,即“进不来”,从而保证档案信息网络系统的可用性;使用授权机制,实现对用户的权限控制,即不该拿走的“拿不走”,同时结合内容审计机制,实现对档案网络资源及信息的可控性;使用加密机制,确保信息不暴露给未授权的实体或进程,即“看不懂”,从而实现档案信息的保密性;使用数据完整性鉴别机制,保证只有得到允许的人才能修改数据,而其他人“改不了”,从而确保档案信息的完整性;使用审计、监控、防抵赖等安全机制,使攻击者、破坏者、抵赖者“逃不掉”,并进一步对档案信息网络出现的安全问题提供调查的依据和手段,实现档案信息安全的可审查性。
2 档案信息安全管理分类
档案信息安全管理包括预防、检测、抑制与恢复等四个方面的功能。按系统的层次将档案信息安全及其管理分类,有利于对安全的理解和系统安全管理的实现。通过对档案信息安全管理分层的分析,了解各种档案信息安全管理需要的技术,因而进一步了解档案信息安全对档案信息化发展提出的需求。
1.设备层的安全管理
设备层的安全管理是档案信息安全管理的基础,一个设备一般是由硬件系统和软件系统构成。
硬件系统本身的安全称为物理安全。物理安全是指在物理介质层上对存储和传输的网络信息的安全保护。物理安全是档案信息的最基本保障,是整个安全系统不可缺少和忽视的组成部分。一方面,在各种软件和硬件系统中要充分考虑到系统所受的物理安全威胁和相应的防护措施;另一方面提高安全意识的提高、安全制度的完善、完全操作的提倡等方式使用户和管理维护人员在物理层次上实现对档案信息的有效保护。由于计算机网络与信息的广泛应用,电子对抗技术将不仅用于军事,而且在公共信息安全方面也会有重要的应用。防电磁辐射、防电磁干扰、固化软件的安全将是硬件系统安全管理的重要方面。
安全软件的固化或安全功能由硬件实现在有些情况下是必须的,特别是在安全等级要求比较高的系统或要求一定的安全保障而对性能要求比较高的系统将非常有效。只读存储器(ROM )技术和专用芯片技术将成为档案信息安全的核心技术之一。
软件系统的安全主要有操作系统的安全、编译系统的安全、网络系统的安全、驱动系统的安全及各种功能的应用软件系统安全和数据库系统安全等。由于应用软件的不可见性、易修改性以及大型软件的复杂性,任何软件系统在其生命周期中都存在错误或缺陷,因而就使软件系统特别容易受到攻击。显然,软件系统的安全管理成为档案信息安全管理的重点。特别是操作系统和数据库等平台软件的安全管理也成为信息安全管理的核心技术之一。
黑客和病毒的攻击都是通过操作系统实现的;各种各样的“后门”可以通过软件系统在各个层次上实现;操作系统可以旁路(Bypass )应用层的安全管理功能。高级的黑客已经可以通过攻击而改变操作系统核心的功能。各种各样的防黑客技术、防病毒技术、软件恢复技术以及安全操作系统的实现和应用将是软件系统安全管理的重点。而软件系统安全管理最有效的办法是将其中的安全关键部件固化或硬化,当然这样做的代价是比较高的。然而在为保证档案信息安全而需要不惜代价的情况下,用硬件实现系统中的关键部件安全是必要的。
设备层的安全主要通过采用物理防范、保护软硬件设备免受外来攻击造成的意外损失,制定完整物理层面的管理规范和措施提供安全技术方案。
2.网络层的安全管理
网络互联互通(协议、结构)所存在的缺陷或漏洞严重影响档案信息系统的安全,因而网络层的安全管理主要是针对网络协议和结构及其所导致的安全问题所采取的安全措施。
网络层安全管理包括:内部流量和活动模型分析,网络安全告警,网络入侵恢复,网络结构数据保护,网络安全审计管理,内部加密与密钥管理,内部接入管理,内部认证管理等。
网络层安全管理的关键之一是各个子网的出入口设备的安全管理,如路由器等。因而安全的嵌入式操作系统将成为网络安全管理的核心技术之一。因此,重点发展安全的嵌入式操作系统将不可避免地成为整个信息产业发展的重点之一。由于嵌入式操作系统一般比较小并且比较专用,从档案信息安全的角度出发,采用我国自主的安全嵌入式操作系统比采用通用的操作系统更需要,并且较容易实现。同时,加强传输层安全协议,在通信的应用程序之间提供私有性和数据完整性保护。
网络层的安全主要通过使用防火墙技术、安全路由器设置、相关网络安全策略的制定提供安全解决方案。
3.应用层的安全管理
应用层的安全管理并不是独立的,它依赖于操作系统、下层平台所提供的运行环境的安全,即保证应用程序本身必须是安全的。在应用程序运行过程中,必须防止计算机病毒、特洛伊木马的攻击,必须防止对程序关键部分的替代和修改。防止程序被冒充、泄漏、抵赖、篡改等是档案信息安全管理的内容。通过对发行软件的签名和签名验证可以有效地保证应用程序的真实性,但必须有响应的安全基础设施支持(如证书发行和授权机构等)。
应用层的安全还主要反映在针对不同应用环境的安全需要,指定不同的安全体系结构、安全策略和实现方案,平衡安全风险和代价。一个良好的应用安全体系可以尽量减少对网络下层协议堆栈、系统、通信信道的安全要求,将安全保护措施尽可能地集中在应用程序自身中,使数据在用户终端录入开始就受到彻底的保护。
应用层的安全主要通过使用网站监控与恢复技术、防病毒、漏洞检测,入侵检测技术对网络安全进行扫描、监视及相关应用策略的制定提供安全解决方案。
另外,社会安全是档案信息安全的最高层,是档案信息安全的目的。社会层的信息安全管理除了技术上的管理外,法律的和行政的管理将成为重要的方面,技术管理的可行性也需要法律法规来保证。
以上对信息安全管理的分层解释是基于所涉及的技术、生产的方式、管理的手段等因素而划分的;其中,设备层和网络层的安全管理可以统称为网络安全管理。网络是由通信线路和结点设备组成,是信息存储、传播和处理的载体。应用层的安全管理可统称为信息安全管理。
3 档案信息安全管理的原则
档案信息安全管理要遵循如下基本原则:
(1)规范原则。档案信息系统的规划、设计、实现、运行要有安全规范要求,要根据本机构或本部门的安全要求制定相应的安全政策:行政法律手段、各种管理制度(人员审查、维护保障制度等)以及专业技术措施(访问控制、加密技术、认证技术、攻击检测技术、容错、防病毒等)。安全政策中要根据需要选择采用必要的安全功能,选用必要的安全设备,不应盲目开发、自由设计、违章操作、无人管理。一个较好的安全政策和措施是多种方法适当综合的应用结果。
(2)预防原则。在档案信息系统的规划、设计、采购、集成、安装中应该同步考虑安全政策和安全功能具备的程度,以预防为主的指导思想对待档案信息安全问题,不能心存侥幸。任何安全措施都不是绝对安全的,都可能被攻破。要建立一个多重保护系统,各层保护相互补充,当一层保护被攻破时,其他层保护仍可保护档案信息的安全。
(3)立足国内原则。网络安全与保密问题关系着一个国家的主权和安全,所以安全技术和设备不可能依赖从国外进口,必须要立足国内,建立我们自主的网络安全产品和产业。不能未经许可、未能消化改造直接应用境外的安全保密技术和设备。为了防止安全技术被不正当的用户使用,必须采取相应的措施对其进行控制,比如密钥托管技术等。
(4)注重实效原则。安全无价,不应盲目追求一时难以实现或投资过大的目标,应使投入与所需要的安全功能相适应,有的放失,具体问题具体分析,把有限的经费花在刀刃上。同时要有系统工程的思想,前期的投入和建设与后期的提高要求要匹配和衔接,以便能够不断扩展安全功能,保护已有的投资。
(5)均衡防护原则。人们经常用木桶装水来形象地比喻应当注重安全防护的均衡性,箍桶的木板中只要有一块短板,水就会从那里泄漏出来。设置安全防护中要注意是否存在薄弱环节,要充分、全面、完整地对系统的安全漏洞和安全威胁进行分析、评估和检测(包括模拟攻击)。
(6)分权制约原则。重要环节的安全管理要采取分权制约的原则,要害部位的管理权限如果不加以限制,有可能由于超级用户的恶意行为、口令泄密、偶然破坏等对系统造成不可估量的损失和破坏,一旦出问题就将全线崩溃。分权可以相互制约,提高安全性。
(7)应急原则。安全防护不怕一万就怕万一。因此要有安全管理的应急响应预案,并且要进行必要的演练,一旦出现相关的问题马上采取对应的措施。安全管理应该包括三种机制:安全防护机制、安全监测机制和安全恢复机制。安全防护机制是根据具体系统存在的各种安全漏洞和安全威胁采取响应的防护措施,避免非法攻击的进行;安全监测机制是监测系统的运行情况,及时发现和制止对系统进行的各种攻击;安全恢复机制是在安全防护机制失效的情况下,进行应急处理和尽量及时地恢复信息、减少攻击的破坏程度。
(8)灾难恢复原则。越是重要的档案信息系统越要重视灾难恢复。在可能的灾难不能同时波及的地区设立备份中心。要求实时运行的系统要保持备份中心和主系统的数据的一致性。一旦遇到灾难,立即启动备份系统,保证系统的连续工作。
档案信息安全管理是涉及高技术的管理,要求管理人员对系统各个安全环节有清晰的了解和熟练的掌握,这就要求对从事档案信息安全的人员不断进行培训教育,使他们具有相应的素质和技能。同时增加教育投入,制定长远计划,采取得力措施,培养人才,留住人才,确保我国档案信息安全有一支强大的信息安全专业队伍。