电子档案信息安全评价指标体系研究

    田淑华

    一、建立电子档案信息安全评价指标体系的必要性

    信息技术在档案管理中的广泛应用，一方面提高了档案工作的效率，扩大了档案的社会影响力；另一方面也对档案工作提出了新的要求，例如存储介质的不稳定、技术过时、黑客入侵、电脑病毒破坏等都使得电子档案信息的安全保护面临着前所未有的挑战。

    在2002年国家档案局颁发的《全国档案信息化建设实施纲要》和近期各省市的“十一五档案信息化建设纲要”中都提出了“档案信息安全保障体系建设”，但仍缺乏深入、系统的探讨。电子档案信息的安全管理是一个过程，而不是一个产品，我们不能期望通过一个安全产品就能把所有的安全问题都解决。对各档案管理系统来说，解决电子档案信息安全的首要问题就是要识别自身信息系统所面临的风险，包括这些风险可能带来的安全威胁与影响的程度，然后进行最充分的分析与评价。只有采用科学有效的模型和方法进行全面的安全评价，才能真正掌握内部信息系统的整体安全状况，分析各种存在的威胁，以便针对高风险的威胁采取有效的安全措施，提高整体安全水平，逐步建成坚固的电子档案信息安全管理体系。

    二、电子档案信息安全评价指标体系的组成

    电子档案信息系统是一个复杂的系统工程，既有硬件，又有软件，既有外部影响，又有内部因素，而且许多方面是相互制约的。因此，必须有一个规范的、统一的、客观的标准。根据国内外的电子档案信息安全评估标准，国家对电子档案信息和网络信息系统安全性的基本要求，结合电子档案管理和网络管理经验，综合考虑影响电子档案信息安全的各种因素，建立电子档案信息安全评价指标体系。该体系主要包括五个大项二十个小项的评价指标。

    1、物理安全评价指标

    物理安全是指存储档案信息的库房、计算机设备及管理人员工作场所内外的环境条件必须满足档案信息安全、计算机设备和管理人员的要求。对于各种灾害、故障要采取充分的预防措施，万一发生灾害或故障，应能采取应急措施，将损失降到最低。物理安全包括环境安全、设备安全和载体安全三个方面。

    (1)环境安全：主要指存储档案信息的库房、计算机机房周围环境是否符合管理要求和是否具备抵抗自然灾害的能力，如库房是否建在电力、水源充足，自然环境清洁，通讯、交通运输方便的地方；有无防火、防水措施；有无监控系统；有无防雷措施等。

    (2)设备安全：主要是指对电子档案信息系统设备的安全保护，包括设备的防盗、防毁、防电磁信息辐射泄漏、防止线路截获、抗电磁干扰及电源保护等。

    (3)载体安全：保证设备安全的同时，也要保证载体安全，要对载体采取物理上的防盗、防毁、防霉等措施。

    2、管理安全评价指标

    安全管理在电子档案信息安全保障中起着规范和制约的作用，科学的管理理念加上严格的管理制度才能最终保证电子档案信息的安全。电子档案信息的管理安全评价指标具体包括：

    (1)专门的档案信息安全组织机构和专职的档案信息安全管理人员：档案信息安全组织机构的成立与档案信息安全管理人员的任命必须有相关单位的正式文件。

    (2)规章制度：包括有无健全的电子档案信息安全管理规章制度；档案信息安全人员的配备、调离是否有严格的管理制度；设备与数据管理制度是否完备；是否有登记建档制度；是否有完整的电子档案信息安全培训计划和培训制度；各类人员的安全职责是否明确，能否保障电子档案信息的安全管理。

    (3)是否有紧急事故处理预案：为减少电子档案信息系统故障的影响，尽快恢复系统，应制定故障的应急措施和恢复规程以及自然灾害发生时的应急预案，制成手册，以备及时恢复系统运行。

    3、网络安全评价指标

    越来越多的电子档案在网络上传输，而网络作为一种构建在开放性技术协议基础上的信息流通渠道，它的防卫能力和抗攻击能力较弱，可能会遭受到病毒、黑客的袭击。为了保证电子档案的安全必须保证其传输的媒介——网络的安全，网络安全评价指标包括以下几个方面：

    (1)是否有计算机病毒防范措施

    (2)是否有防黑客入侵设施：主要是设置防火墙和入侵检测等设施。

    (3)是否有访问控制措施：访问控制是指控制访问网络信息系统的用户，当用户之间建立链接时，为了防止非法链接或被欺骗，就可实施身份确认，以确保只有合法身份的用户才能与之建立链接。

    (4)是否有审计与监控：审计与监控是指应使用网络监控设备或实时入侵检测设备，以便对进出各级局域网的常见操作进行实时检查、监控、报警和阻断，从而防止针对网络的攻击与犯罪行为。

    4、信息安全评价指标

    在网络能够正常运行的基础上，我们要保证在系统中传输、存贮的电子档案信息是安全的，不被截取、篡改或盗用。

    (1)是否采取加密措施：档案的本质属性是原始记录性，而计算机和网络的不稳定性使得电子档案信息的这一特性难以保证，而且有些电子档案信息有密级限制，不能公开在网络上传输，所以电子档案信息在网络传输时必须通过加密来保证其安全。

    (2)是否有数据完整性鉴别技术：网络上的传输使得电子档案信息的完整性无法保证，黑客的攻击可以改变信息包内部的内容，所以应采取有效的措施来进行完整性控制，这对于电子档案信息来说至关重要。

    (3)是否确保信息数据库的安全：一个组织最核心的信息通常以数据库的形式保存和使用，保证数据库安全对于电子档案信息来说有重要的作用。

    (4)是否有信息防泄漏措施：信息防泄漏包括信息审计系统和密级控制两方面。信息审计系统能实时对进出内部网络的信息进行内容审计，以防止或追查可能的泄密行为；另外，可以根据信息保密级别的高低划分公开范围，并对用户划分访问权限，进行分组管理。

    (5)是否有防抵赖技术：防抵赖技术确保用户不能否认自己所做的行为，同时提供公证的手段来解决可能出现的争议，它包括对数据源和目的地双方的证明，常用方法是数字签名。

    5、系统安全评价指标

    这里的系统安全是指计算机整个运行体系的安全。在计算机上处理信息时，硬件、软件出现故障或误操作、突然断电等都会使正在处理的信息丢失，造成无法弥补的损失。所以我们需要采取一系列措施保证系统的稳定，确保信息的安全。计算机系统安全评价指标有：

    (1)是否有系统操作日志：系统操作日志详细记录了系统的操作状况，以便事后分析和追查系统损坏的原因，为系统提供进一步的安全保障。

    (2)是否进行系统安全检测：运用系统安全检测工具对计算机和网络进行安全检测，可及时发现系统中存在的漏洞或恶意的攻击，进而采取有效的补救措施和安全策略，达到增强网络安全性的目的。

    (3)是否有操作系统防破坏措施：操作系统集中管理系统的资源，是计算机系统赖以正常运转的中枢，它的安全性将直接影响到整个计算机系统的安全。操作系统应当建立某些相对的鉴别标准，保护操作系统本身在内的各个用户，阻止有害功能的运行。

    (4)是否进行系统信息备份：日常备份制度是系统备份方案的具体实施细则，应严格按照制度进行日常备份，否则将无法达到备份方案的目标。

    (5)是否有灾难恢复系统：当系统因人为或自然因素受到破坏时，我们应保证能够尽快地恢复正常工作，把损失控制在最小范围内。

    三、电子档案信息安全评价指标体系权重确定方法

    用若干个指标进行综合评价时，其对评价对象的作用，从评价目的来看，并不是同等重要的。指标越重要，权的数值就越大；反之，数值小则可以说明其重要程度相对较低。

    合理地确定和适当地调整指标权重，体现了系统评价指标中各因素之间的轻重有度、主次有别，更能增加评价因素的可比性。在安全评价中，具体确定权重的方法很多，如德尔菲法、主成分分析法、层次分析法、环比法等。其中，层次分析法比较适用于电子档案信息安全的评价。

    层次分析法的核心是对决策对象进行评价和选择，并对它们进行优劣排序，从而为决策者提供定量形式的决策依据。它充分利用人的分析、判断和综合能力，适用于结构较为复杂、决策准则较多且不易量化的决策问题。它将定性分析和定量分析相结合，具有高度的简明性、有效性、可靠性和广泛的适用性。而电子档案信息安全指标体系因素多、主观性强且决策结果难以直接准确计量，因而可以用层次分析法来确定指标体系的权重。层次分析法的基本步骤是：

    1、将复杂问题概念化，找出研究对象所涉及的主要因素；2、分析各因素的关联、隶属关系，构建有序的阶梯层次结构模型；3、对同一层次的各因素根据上一层次中某一准则的相对重要性进行两两比较，建立判断矩阵；4、由判断矩阵计算被比较因素对上一层准则的相对权重，并进行一致性检验；5、计算各层次相对于系统总目标的合成权重，进行层次总排序。

    四、电子档案信息安全评价指标体系综合评价方法

    综合评价是指对被评价对象进行客观、公正、合理的全局性、整体性评价。可以用作综合评价的数学方法很多，但是每种方法考虑问题的侧重点各有不同。鉴于所选择的方法不同，有可能导致评价结果的不同，因而在进行多目标综合评价时，应具体问题具体分析。根据被评价对象本身的特性，在遵循客观性、可操作性和有效性原则的基础上选择合适的评价方法。在信息安全领域，目前存在的综合评价方法有信息系统安全风险的属性评估方法、模糊综合评价方法、基于灰色理论的评价方法、基于粗糙集理论的评价方法等。对于这些方法，目前还没有评论认为哪一种方法更适用于信息安全领域的综合评价。鉴于此种情况，本指标体系采用模糊综合评价方法。

    模糊综合评价就是以模糊数学为基础，应用模糊关系合成的原理，将一些边界不清、不易定量的因素定量化，进行综合评价的一种方法。从评价对象来看，用模糊综合评价方法来评价信息安全系统是可行的。首先，对于信息的安全管理而言，“安全”与“危险”之间没有明显的分界线，即安全与危险之间存在着一种中间过渡的状态，这种中间状态具有亦此亦彼的性质，也就是通常所说的模糊性。因此在安全的刻画与描述上大多采用自然语言来表达，而自然语言最大的特点是它的模糊性。另外，电子档案信息安全评价中，对一些评价要素的评价是具有模糊性的。如组织管理中的评价很难量化，一般只能用“好”、“一般”、“差”等等级概念来描述，具有较强的模糊性。而且一些评价要素受外界环境的影响较大，具有不确定性，如网络攻击、安全设施失效、人为失误等偶然性较大，难以准确评价。对于这些模糊的、不确定性的问题通常采用模糊数学来研究。模糊综合评价方法就是在对多种因素影响的事物或现象进行总的评价过程中涉及到模糊因素或模糊概念的一种评估方式，它通过运用模糊集合中隶属度和隶属度函数的理论来刻画这种模糊性，以达到定量精确的目的。

    总之，模糊综合评价方法是一种适用于在信息安全管理方面进行系统评价的可行方法，其基本步骤为⑦：

    1、确定评价集。评价集是以评判者对被评价对象可能做出的各种总的评判结果为元素组成的集合，例如我们可以对电子档案信息安全评价采用五个等级的评语集合(很好，好，较好，一般，差)。

    2、建立因素集。因素集是以影响评判对象的各种因素为元素组成的集合，在本文的电子档案信息安全评价体系中，主因素层的因素集有物理安全、管理安全、网络安全、信息安全和系统安全五个指标，其下层又有各自的影响因素集，由各自的具体影响指标组成。

    3、建立权重集。由于各评价要素在评价中的重要程度不同，因而必须对各要素按其重要程度给出不同的权重，权重集通过层次分析法确定。

    4、进行单因素评价，建立单因素模糊评价矩阵。即确定评价因素集中每一个因素指标在评语集中的隶属度。

    5、模糊矩阵的复合运算。当评价集、因素集、权重集和单因素评价矩阵确定后，便可按照一定的模糊运算规则进行模糊综合评价，以求得各层次中各因素的评价结果和最终的综合评价结果。