【安全保护功能】电子文件与电子档案管理系统

     各级国家综合档案馆电子文件与电子档案管理系统在档案信息利用过程中安全保护功能需求方案。由于利用过程中的档案信息安全具有动态性、复杂性、相对性的特征，因此要对利用过程中的风险进行充分有效的分析评估，在了解风险点的基础上，评估这些风险可能带来的安全威胁与影响程度，从而提出相应的功能需求方案。因此，档案信息利用过程中的安全保护可以基于风险管理理论，并根据档案的特性，结合文档生命周期理论，从动态的生命过程中进行技术实现方式的构建，以达到档案信息利用过程中主动性、动态性、全过程安全管控的目的。

    风险管理是为了达到一个既定的目标，而对所承担的各种风险进行管理的系统过程。它是由风险评估、风险处理以及基于风险的决策所组成的完整过程。风险管理的基本要素包括：使命、资产、资产价值、威胁、脆弱性、事件、风险、残余风险、安全要求、安全措施等

    风险的实际水平可以由威胁的可能性乘以其影响得到，如将威胁可能性分别设为高（1.0）、中（0.5）、低（0.1）三级，将威胁的影响分为高（100）、中（50）、低（10）三级

    因此，对档案信息利用过程中的风险进行分析时，不仅要针对危险的威胁性、产生的后果进行分析，还要对风险发生的可能性进行预测，从而达到动态、准确的安全防护。

风险管理的流程如下：

    结合风险管理的理论，可以对档案信息在利用环节的安全风险进行识别和定义，使用监控、阻断、告警等处理措施，对高风险、非法的操作行为进行响应。其安全管控流程如下：

    档案学者菲利普.布鲁克斯提出的“文档生命周期”概念，是指“文档从生成直至因丧失作用而被销毁或者因具有长远历史价值而被永久归档的整体运动过程”。文档从产生的那一刻起就自然赋予其生命，经过生成、使用、存储、销毁过程。电子文件及电子档案符合文档生命周期理论，因此可以提出电子文件全生命周期的逻辑安全域。

 在电子文件全生命周期中，档案信息的利用位于与用户交互的层面，是整个生命周期的核心环节。可以看出，电子文件一经生成，其相应的档案信息随后就存在着被利用的可能。前面指出档案信息利用的具体场景，可以大致分为系统调阅、对外发布、离线利用等；同时，按数据流转方式可分为后台存储、系统调用、网络转输、终端使用和外发控制五个阶段；因此，它的安全域框架就是以档案信息为基本单位，生命周期相应的系统内所划定的与其权限和使用范围相一致的逻辑区域，也就是档案信息被授权使用的边界或对象。电子文件与电子档案管理系统中的档案信息安全可以遵循此安全域设计框架对档案信息安全进行全方位的保护。

 从生命周期理论考虑利用过程中的安全保护，还有一个启发，就是要尽早地考虑到档案信息的分类和统一的安全策略，甚至在档案信息收集时就应当考虑，因为作为一个生命周期的延续体，前期的分类和安全策略如果设置不当，后期也就无法进行有效地管控。而分类也涉及相应元数据的收集，这些工作也需要尽可能在前端完成。

 各级国家综合档案馆在实施档案信息利用过程的安全保护中，应当遵循以下原则：

（1）整体性原则：

在档案信息利用过程中，应当注重系统的、整体地对信息安全进行防护。由于档案信息安全涉及面广，每个过程的风险都会影响整体的安全性。信息系统是一个复杂的系统，物理上、操作上和管理上的种种漏洞构成了系统的安全脆弱性，同时，档案信息自身的复杂性、资源共享性使单纯的技术保护防不胜防。因此，要尽量通过多种手段的配合消除各自的不足，从整体上设计功能需求方案，对信息系统进行全面均衡的保护，提高整个信息系统的安全性能，保证各个层面防护上的均衡。

（2）规范性原则：

在档案信息利用过程中，要制定相应的标准和规范，遵循国家关于信息系统安全的相关标准和规范，同时符合档案行业安全保护的相关要求。在档案信息系统功能设计时应遵循统一的规范要求，实现档案信息管理和利用工作的有序化、标准化和规范化。

（3）主动性原则：

与一般被动的静态安全保护不同，档案信息利用过程中的安全保护要求应能够对在利用中可能产生的操作以及带来的风险尽可能进行预判，从而进行积极主动的防御。如事先考虑到档案用户复制电子档案操作的可能性，从而可以在技术上直接根据用户的权限和文件的属性进行相应的安全保护。

（4）动态性原则：

档案信息利用过程是一个动态的过程，各种应用需求和条件可能在不断发生变化，如对不同种类和年限的档案信息及其载体，安全保护的要求是不一样的，此时安全不代表以后安全。

安全保护系统要考虑到这些因素变化的差异性，从而有针对性的进行安全保护。

（5）扩展性原则：

档案信息安全保护实现应具有高可扩展性，能够与档案馆现有的信息安全设施设备进行无缝集成，能够与第三方安全设施和技术兼容。在档案信息系统建设时，要充分考虑未来档案信息管理和利用中不断增长的业务需求，并具有向未来技术平滑过渡的能力。

（6）安全性原则：

安全保护的核心目标是保障档案数据的安全，因而安全保护系统本身的设计也要注意安全性，要把所有安全因素考虑在内，尽量选用经过大量运用、成熟的经过实践检验的技术和产品，避免对档案信息系统和档案数据造成任何影响，以保证档案信息的绝对安全和档案信息系统运行的连续性。

档案信息利用过程中安全保护的目标，就是要采取措施（技术手段及有效管理等）让档案信息资产免遭威胁，或者将威胁带来的不良后果降到最低程度，同时维护档案信息的正常利用。要从根本上解决档案信息在利用过程中的安全问题，确保档案信息的安全可靠，重点应从以下几个方面来考虑：

（1）保密性：

通过安全技术措施和安全管理制度的建设等保护档案信息，授权给合法用户使用，控制对档案信息进行的不同操作，如控制有浏览权限的人是否能复制、打印、摘录、传播等，从而保证敏感信息不被泄漏，确保档案信息在存储、使用、传输过程中不会泄漏给非授权用户。

（2）完整性：

确保档案信息在存储、使用、传输过程中不会被非授权用户篡改，同时还要防止授权用户对系统及信息进行不恰当的篡改，确保档案信息不会由于时间的消逝和恶意的损害而导致丢失、损坏等，保持信息内、外部表示的一致性。本属性可进 一 步 衍 生 可 追 溯 性 （ Accountability ） 、 抗 抵 赖 性（Non-repudiation）和真实性（Authenticity）。

（3）可用性：

确保授权用户对档案信息及资源的正常使用不会被异常拒绝，允许其可靠而及时地访问档案信息及资源。因为利用过程中的安全保护最终的目标还是要落脚在利用上，因此，对于正常的利用必须予以保障。可用性也表示档案信息的内容是来源可靠的，不是被伪造的。