趙寧燕 錢萬里

（蘇州市職業(yè)大學(xué)，蘇州大學(xué)，江蘇蘇州，215000)

檔案信息資源建設(shè)過程中，豐富多樣的數(shù)字信息大都由形成者使用和保管著，分散存儲在各自的單機(jī)、局域網(wǎng)機(jī)或互聯(lián)網(wǎng)絡(luò)機(jī)的信息系統(tǒng)中。由于網(wǎng)絡(luò)系統(tǒng)和信息系統(tǒng)自身的缺陷和潛在的威脅、管理人員安全意識的淡漠，及越來越猖狂的黑客侵入竊密事件，來自不同層面、不同方面的信息安全風(fēng)險，時時刻刻威脅著數(shù)字檔案信息的安全。數(shù)字檔案信息安全管理形勢嚴(yán)峻、任務(wù)繁重、刻不容緩。

信息安全風(fēng)險評估是利用風(fēng)險管理理論進(jìn)行檔案信息的安全管理，面對日益復(fù)雜的檔案信息管理系統(tǒng)和與日俱增的檔案數(shù)字信息資源，傳統(tǒng)手工的信息安全風(fēng)險評估方法已難以勝任，考慮到檔案信息的封閉性和保密性特征，及檔案本身所具有的記憶、憑證和參考作用，也不適宜經(jīng)常進(jìn)行信息安全風(fēng)險的委托評估。運(yùn)用風(fēng)險管理理論，從風(fēng)險管理角度來研究適合檔案行業(yè)特點(diǎn)，具有可操作性和實(shí)用性［1］的數(shù)字檔案信息安全風(fēng)險自評估軟件（以下簡稱“自評估軟件”），科學(xué)、系統(tǒng)地完成數(shù)字檔案信息安全風(fēng)險的自評估，是解決檔案信息安全管理面臨困境的有效途徑之一。利用自評估軟件得出的評估結(jié)果，合理改進(jìn)安全措施，將數(shù)字檔案信息安全風(fēng)險控制在可接受范圍內(nèi)，對保障數(shù)字檔案館信息安全有著積極和深遠(yuǎn)的意義。

1.自評估軟件設(shè)計(jì)標(biāo)準(zhǔn)

自評估軟件設(shè)計(jì)除要遵守和執(zhí)行軟件設(shè)計(jì)、數(shù)字檔案信息建設(shè)規(guī)范《計(jì)算機(jī)管理軟件設(shè)計(jì)規(guī)范》《檔案信息計(jì)算機(jī)管理軟件設(shè)計(jì)》《檔案信息化建設(shè)指南》《數(shù)字檔案館建設(shè)指南》《電子文件管理》等相關(guān)標(biāo)準(zhǔn)外，還應(yīng)遵守和執(zhí)行信息安全風(fēng)險評估GB/T20984-2007《信息安全技術(shù)信息安全風(fēng)險評估規(guī)范》、國務(wù)院信息化工作辦公室［2006］9號《信息安全評估指南（征求意見稿）》、GB/18336-2001《信息技術(shù)安全性評估準(zhǔn)則》、GB/17859-1999《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則》等相關(guān)標(biāo)準(zhǔn)。

2.自評估軟件設(shè)計(jì)流程

自評估軟件設(shè)計(jì)時，應(yīng)結(jié)合風(fēng)險管理理念，充分考慮檔案業(yè)務(wù)和數(shù)字檔案館數(shù)據(jù)的特點(diǎn)，從安全管理信息的角度出發(fā)，遵守相關(guān)標(biāo)準(zhǔn)，確定有效算法，采用科學(xué)方法和技巧，緊緊圍繞風(fēng)險管理目標(biāo)進(jìn)行設(shè)計(jì)。自評估軟件應(yīng)能完成數(shù)字檔案館信息安全風(fēng)險自評估過程的各項(xiàng)任務(wù)：準(zhǔn)確識別數(shù)字檔案館信息資產(chǎn)、威脅及威脅所利用的脆弱點(diǎn)，科學(xué)評估資產(chǎn)面臨的風(fēng)險，提供合理的風(fēng)險評估結(jié)果及安全措施改進(jìn)建議，最大限度地為保障數(shù)字檔案館資產(chǎn)安全提供科學(xué)依據(jù)，滿足數(shù)字檔案館信息安全管理的決策要求。

軟件整體設(shè)計(jì)思想：首先，軟件自身應(yīng)具有較強(qiáng)的抵御風(fēng)險能力，符合數(shù)字檔案信息安全風(fēng)險評估要求，具有開放性特征、智能化能力和可擴(kuò)展性潛質(zhì)；其次，軟件應(yīng)能與多種操作系統(tǒng)及應(yīng)用環(huán)境兼容，具有與主流風(fēng)險評估輔助工具（如：漏洞掃描工具、滲透測試工具等）的數(shù)據(jù)接口功能；第三，選用的評估方法典型、完善，提供的評估算法先進(jìn)、成熟，得出的評估結(jié)果可信、實(shí)用，必要時，能夠?qū)崟r提供安全預(yù)警信息；第四，軟件應(yīng)用界面友好、便捷，數(shù)據(jù)處理高效、簡潔，數(shù)據(jù)導(dǎo)入/導(dǎo)出安全、流暢；數(shù)據(jù)庫結(jié)構(gòu)靈活可變，數(shù)據(jù)庫間關(guān)聯(lián)性強(qiáng)；數(shù)據(jù)輸出格式組合自由，結(jié)果輸出形式多樣可選。軟件設(shè)計(jì)流程圖如圖1。

3.自評估軟件核心模塊設(shè)計(jì)思路

3.1 數(shù)據(jù)采集模塊

圖1 自評估軟件設(shè)計(jì)流程圖

圖2 數(shù)字檔案館指標(biāo)體系

數(shù)據(jù)采集指的是收集滿足自評估過程中所需的各類信息［2］。數(shù)據(jù)采集模塊主要負(fù)責(zé)完成數(shù)字檔案館資產(chǎn)、威脅、脆弱性三項(xiàng)關(guān)鍵要素的數(shù)據(jù)采集工作及安全措施確認(rèn)工作。組織、管理和存儲所采集的數(shù)據(jù)，形成數(shù)字檔案館資產(chǎn)數(shù)據(jù)庫，這三項(xiàng)關(guān)鍵要素?cái)?shù)據(jù)的客觀、精準(zhǔn)和真實(shí)性，直接影響到數(shù)字檔案館信息安全風(fēng)險指標(biāo)體系的建立和風(fēng)險計(jì)算結(jié)果，是數(shù)字檔案館信息安全風(fēng)險評估工作的基礎(chǔ)工作。

step1：以數(shù)字檔案館資產(chǎn)基于表現(xiàn)形式分類的原則，設(shè)計(jì)參數(shù)輸入界面,主要包含檔案數(shù)據(jù)、軟件、硬件、服務(wù)、人員等五大類和若干小類［3］參數(shù)的輸入，采集資產(chǎn)分類數(shù)據(jù)庫。提供資產(chǎn)管理工具、主動探測工具、手工記錄表格等方式，輔助參數(shù)的采集。

step2：資產(chǎn)威脅主要來源于組織管理、環(huán)境影響、人為因素、硬件設(shè)備、網(wǎng)絡(luò)系統(tǒng)、館藏檔案數(shù)據(jù)等六個方面，考慮到一項(xiàng)資產(chǎn)可能面臨多個威脅，一個威脅也可能對不同的資產(chǎn)造成影響［4］，參數(shù)輸入界面設(shè)計(jì)成多選項(xiàng)操作模式，允許用戶根據(jù)實(shí)際環(huán)境有選擇地輸入資產(chǎn)可能面臨的威脅源，準(zhǔn)確地采集資產(chǎn)威脅數(shù)據(jù)庫。模塊提供IDS/IPS采樣分析工具、安全審計(jì)工具、人員訪談數(shù)據(jù)接入模式等，幫助用戶快速完成資產(chǎn)所面臨威脅數(shù)據(jù)的采集。

step3：從技術(shù)脆弱和管理脆弱兩個方面設(shè)計(jì)參數(shù)輸入界面，采集資產(chǎn)脆弱性數(shù)據(jù)庫。允許用戶根據(jù)已有的安全措施，輸入資產(chǎn)實(shí)際的脆弱源，并能根據(jù)安全措施的改進(jìn)，自動調(diào)整脆弱源。提供漏洞掃描工具、滲透測試工具，快速、準(zhǔn)確地協(xié)助對現(xiàn)有環(huán)境下資產(chǎn)脆弱源數(shù)據(jù)的采集。

step4：參照《信息安全技術(shù)信息安全風(fēng)險評估規(guī)范》，在確認(rèn)和識別其安全措施的基礎(chǔ)上，分別對資產(chǎn)數(shù)據(jù)庫進(jìn)行資產(chǎn)保密性、完整性、可用性、真實(shí)性、不可否認(rèn)性、可控性和可追溯性［5］等安全屬性的賦值，安全屬性對風(fēng)險所起作用的比重用“權(quán)重”因子區(qū)分；對資產(chǎn)威脅數(shù)據(jù)庫進(jìn)行資產(chǎn)威脅出現(xiàn)頻率賦值；對資產(chǎn)脆弱數(shù)據(jù)庫進(jìn)行資產(chǎn)脆弱嚴(yán)重程度賦值，形成自評估軟件資產(chǎn)評估三項(xiàng)關(guān)鍵要素?cái)?shù)據(jù)庫，該庫與前面采集的三個數(shù)據(jù)庫進(jìn)行關(guān)聯(lián)，隨著采集庫數(shù)據(jù)的改變，能自動、動態(tài)地更新該庫中相應(yīng)的數(shù)據(jù)。

3.2 評估指標(biāo)體系模塊

信息安全風(fēng)險評估是一項(xiàng)復(fù)雜的動態(tài)系統(tǒng)工程，評估因素繁多、零亂，相互關(guān)系交叉、重疊，許多評估因素可以量化，而有些因素卻難以量化［6］。自評估軟件采用綜合評估思想，用指標(biāo)體系的方式層次化分解評估因素，清晰地勾勒出數(shù)字檔案館信息安全風(fēng)險評估指標(biāo)體系脈絡(luò)，形象地反映出數(shù)字檔案館信息安全風(fēng)險評估的全貌關(guān)系。由于數(shù)字檔案館自身所處的物理環(huán)境和地理位置不同、安全措施實(shí)施的差異，信息安全風(fēng)險評估指標(biāo)體系將有所不同。限于篇幅，文中列出了數(shù)字檔案館風(fēng)險評估通用指標(biāo)體系的6個一級指標(biāo)和25個二級指標(biāo)。（如圖2）指標(biāo)庫為開放性設(shè)計(jì)，允許用戶根據(jù)實(shí)際情況，自行增加下級指標(biāo)層，最多允許增加到五級指標(biāo)層，并能保存為自己的評估指標(biāo)體系庫。

數(shù)字檔案館指標(biāo)體系的建立，使雜亂、無序的風(fēng)險評估因素層次分明、歸類清晰，使復(fù)雜的評估過程化繁為簡、規(guī)范有序，且有利于信息安全措施的分塊實(shí)施、分層改進(jìn)。體系模塊內(nèi)嵌多種體系指標(biāo)量化算法，如：標(biāo)度法、模糊數(shù)法、專家調(diào)查表法、特征向量法、順序指標(biāo)量化方法等［7］。力爭能最大限度、最科學(xué)地量化評估對象的所有評估因素。

3.3 評估模型庫模塊

用戶在完成相關(guān)數(shù)據(jù)采集和指標(biāo)體系建立的基礎(chǔ)上，選擇一種或多種適合的評估模型，快捷、準(zhǔn)確地完成對自身數(shù)字檔案館信息安全風(fēng)險的自評估工作。評估模型庫中內(nèi)嵌多個典型、成熟、算法多樣的風(fēng)險評估模型，以適應(yīng)不同數(shù)字檔案館信息安全風(fēng)險評估環(huán)境。評估模型主要分成三大類：a.基于多元統(tǒng)計(jì)的評估模型：故障樹分析法（FTA）、事件樹分析法、因子分析法、風(fēng)險圖法；b.基于知識與決策技術(shù)的評估模型：因素分析法、邏輯分析法、群決策方法；c.基于系統(tǒng)的綜合評估方法：模糊理論綜合評估模型FAHP、模糊神經(jīng)網(wǎng)絡(luò)綜合評估模型FNN、灰色理論評估模型AHP［8］等。

該模塊為開放性設(shè)計(jì)，允許用戶自行添加和編輯評估模型，刪除不用或不需要的評估模型，逐步積累成通用或?qū)Ｓ玫脑u估模型庫。自評估完成后，軟件會以多種形式給出評估結(jié)果報告，并從降低風(fēng)險、避免風(fēng)險、接受風(fēng)險三個角度，提出科學(xué)、合理的風(fēng)險處理建議。必要時，評估結(jié)果可與預(yù)先設(shè)置的安全預(yù)警指標(biāo)進(jìn)行比對，形成安全預(yù)警提示報告。

3.4 輔助評估工具管理模塊

數(shù)字檔案館建設(shè)規(guī)劃、設(shè)計(jì)、運(yùn)行維護(hù)的每個階段都需要進(jìn)行信息安全風(fēng)險自評估，這是貫穿于整個建設(shè)過程中的一項(xiàng)常態(tài)工作，如果所有參數(shù)都采用手工輸入，將是一項(xiàng)無法想象的復(fù)雜、繁瑣、高強(qiáng)度、高難度的工作。管理模塊提供流行、成熟的輔助評估工具，來幫助用戶快速完成自評估中資產(chǎn)數(shù)據(jù)采集、指標(biāo)體系建立等基礎(chǔ)工作，以提高評估效率。

管理模塊提供的輔助評估工具類型有：漏洞掃描工具、滲透測試工具、入侵檢測工具。該模塊為開放性設(shè)計(jì)，可隨時添加、刪除各類輔助評估工具，并能自適應(yīng)最新輔助評估工具，評估工具產(chǎn)生的數(shù)據(jù)可以無縫對接到用戶定義的自評估數(shù)據(jù)庫中，成為后續(xù)風(fēng)險自評估的部分或全部數(shù)據(jù)。

3.5 通用模塊

與常用管理軟件相同，自評估軟件也需要若干通用模塊來協(xié)助完成自評估過程中數(shù)據(jù)處理、存儲和傳輸、結(jié)果輸出、報（圖）表打印等任務(wù)，和自評估軟件核心模塊共同組成一個功能完整、操作簡便的自評估軟件。

通用模塊含用戶管理模塊：用戶身份驗(yàn)證、用戶權(quán)限設(shè)定、用戶增加/刪除、用戶密碼更新等；系統(tǒng)設(shè)置模塊：軟件使用環(huán)境設(shè)置、網(wǎng)絡(luò)設(shè)置、郵件設(shè)置、數(shù)據(jù)更新時間設(shè)置、數(shù)據(jù)保存目錄設(shè)置、日志管理等；數(shù)據(jù)導(dǎo)入/導(dǎo)出模塊：接收外部專業(yè)工具產(chǎn)生的多種格式數(shù)據(jù)，支持本地保存、發(fā)送至郵件、文件傳輸?shù)刃问綄?dǎo)出多種格式數(shù)據(jù)；數(shù)據(jù)管理模塊：維護(hù)各數(shù)據(jù)庫數(shù)據(jù)（增加、刪除、編輯），支持對數(shù)據(jù)庫數(shù)據(jù)的檢索、分類、匯總、查詢和瀏覽；文檔打印模塊：支持各類文檔、圖表、報表的變格式輸出；幫助模塊：軟件用戶手冊、版本信息、升級信息等。

4.自評估軟件應(yīng)用價值

盡管數(shù)字檔案館在建設(shè)的各個時期會充分考慮信息的安全，會盡最大的力量，采用最先進(jìn)的技術(shù)手段和各種安全措施來防護(hù)數(shù)字檔案可能受到的威脅，避免可能的脆弱性，然而，世上沒有“永遠(yuǎn)、絕對”的安全環(huán)境和“確保、肯定”的無漏洞信息系統(tǒng)，受各種因素影響和各種條件限制，在安全措施缺失或薄弱的情形下，資產(chǎn)總是客觀存在著各式各樣的安全風(fēng)險。應(yīng)用自評估軟件可以在數(shù)字檔案館建設(shè)和運(yùn)行的各個生命周期中進(jìn)行定期或不定期的信息安全風(fēng)險自評估，通過持續(xù)不斷地循環(huán)評估，實(shí)時、動態(tài)地確定信息安全風(fēng)險等級，進(jìn)行合理的安全措施改進(jìn)，保障數(shù)字檔案信息在相對時間內(nèi)的“絕對”安全。

自評估軟件的使用，將會規(guī)范數(shù)字檔案信息安全風(fēng)險自評估的流程，解決評估過程中繁瑣的數(shù)據(jù)采集工作，理順雜亂無序的評估因素指標(biāo)，提高評估時效，使評估結(jié)果更加客觀、可信，對數(shù)字檔案館信息安全風(fēng)險評估長效機(jī)制的建立和實(shí)施，有著極高的應(yīng)用價值。

*本文系國家檔案局科技項(xiàng)目計(jì)劃“數(shù)字檔案館信息安全風(fēng)險自評估軟件的研究與開發(fā)”（2009-X-20）研究成果之一。

［1］項(xiàng)文新.檔案信息安全風(fēng)險評估流程［J］.檔案學(xué)研究 2012（1）：76-79.

［2］張健.電子文件信息安全管理評估體系研究［J］.檔案學(xué)通訊 2011（4）：67-69.

［3］中華人民共和國國家標(biāo)準(zhǔn).信息安全技術(shù)信息安全風(fēng)險評估規(guī)范GB/T 20984-2007：6-7“表1一種基于表現(xiàn)形式的資產(chǎn)分類方法”.

［4］張澤虹.信息安全管理與風(fēng)險評估［M］.北京：電子工業(yè)出版社，2010：136.

［5］項(xiàng)文新.檔案信息安全保障體系框架研究［J］.檔案學(xué)研究 2010（2）：68-73.

［6］［8］吳曉平，付鈺.信息安全風(fēng)險評估教程［M］.武漢：武漢大學(xué)出版社，2011：54.

［7］吳曉平，付鈺.信息安全風(fēng)險評估教程［M］.武漢：武漢大學(xué)出版社，2011.