政務(wù)云環(huán)境下電子文件歸檔安全保障策略研究

宋 華/浙江省檔案局

駱建珍 姜悅霞/上海中信信息發(fā)展股份有限公司

近年來(lái)云技術(shù)應(yīng)用快速發(fā)展，在國(guó)務(wù)院《關(guān)于加快推進(jìn)“互聯(lián)網(wǎng)+政務(wù)服務(wù)”工作的指導(dǎo)意見(jiàn)》（國(guó)發(fā)[2016]55號(hào)）的指引下，各級(jí)政府部門(mén)不再大規(guī)模自建機(jī)房及基礎(chǔ)軟硬件設(shè)施，而是將各類政務(wù)業(yè)務(wù)系統(tǒng)集中遷移至政務(wù)云上運(yùn)行，由此政務(wù)云上電子文件數(shù)量呈指數(shù)級(jí)增長(zhǎng)。

電子文件具有易篡改、易損毀、環(huán)境依賴性強(qiáng)等特點(diǎn)。在政務(wù)云環(huán)境下，電子文件所面臨的安全風(fēng)險(xiǎn)遞增，保障其真實(shí)性、完整性、可靠性的任務(wù)更為艱巨。電子文件歸檔是電子檔案管理中的重要業(yè)務(wù)環(huán)節(jié)，確保電子文件歸檔安全對(duì)于保障政務(wù)云環(huán)境下電子檔案的安全具有重要意義。因此，必須采用系列安全管理手段與技術(shù)措施，保證電子文件歸檔過(guò)程的安全，防止電子文件丟失或被破壞，有效維護(hù)電子文件的原始性和憑證價(jià)值。

1 政務(wù)云環(huán)境下電子文件存在的安全隱患分析

在政務(wù)云環(huán)境下，由于云計(jì)算技術(shù)的鮮明特征，電子文件不僅要面臨與傳統(tǒng)IT架構(gòu)環(huán)境類似的病毒攻擊、木馬攻擊、黑客攻擊、拒絕服務(wù)攻擊 DoS、信息被篡改或損毀、信息泄露等各種安全威脅, 而且還會(huì)因?yàn)樘摂M化、云存儲(chǔ)等技術(shù)的使用，使安全風(fēng)險(xiǎn)的復(fù)雜度進(jìn)一步提高。根據(jù)調(diào)查統(tǒng)計(jì)，主要存在的安全隱患包括以下幾方面。

1.1 政務(wù)云網(wǎng)絡(luò)環(huán)境存在的安全隱患

較之于傳統(tǒng)的電子政務(wù)網(wǎng)絡(luò)環(huán)境，政務(wù)云屬于開(kāi)放共享的網(wǎng)絡(luò)平臺(tái)。在傳統(tǒng)的電子政務(wù)環(huán)境下，信息安全問(wèn)題是局部性的，某個(gè)部門(mén)的信息安全問(wèn)題不會(huì)影響其他部門(mén)。而在政務(wù)云環(huán)境下，信息安全問(wèn)題是全局性的，政務(wù)云平臺(tái)一旦發(fā)生安全問(wèn)題，電子文件會(huì)受到嚴(yán)重破壞。此外，政務(wù)云平臺(tái)自身也存在缺陷和漏洞，非法操作者一旦進(jìn)入云平臺(tái)就可以隨意篡改、竊取或破壞電子文件信息，這將對(duì)電子文件的安全產(chǎn)生嚴(yán)重威脅。

1.2 電子文件自身特點(diǎn)帶來(lái)的安全隱患

網(wǎng)絡(luò)化的環(huán)境為電子文件形成、整理、歸檔的一體化帶來(lái)便利，但是由于易篡改、易損毀、環(huán)境依賴性強(qiáng)等特點(diǎn)，電子文件從形成、辦理的業(yè)務(wù)系統(tǒng)歸檔至電子檔案管理的系統(tǒng)過(guò)程中，若缺乏相應(yīng)的管理方式及技術(shù)保護(hù)措施，電子文件極易遭受破壞，被非法篡改或信息丟失，電子文件的真實(shí)性、完整性、可用性、安全性得不到保障。

1.3 相關(guān)制度缺失造成的安全隱患

建立規(guī)范的制度體系是保證電子文件歸檔安全的關(guān)鍵。在當(dāng)前政務(wù)云環(huán)境下，由于還沒(méi)有制定并出臺(tái)完善的網(wǎng)上歸檔規(guī)范，沒(méi)有對(duì)電子文件的歸檔責(zé)任人、歸檔范圍、歸檔流程、歸檔方式、歸檔時(shí)間等進(jìn)行明確規(guī)定，政府部門(mén)對(duì)網(wǎng)上各類電子文件歸檔的重視程度不夠，電子文件散落保存在各個(gè)業(yè)務(wù)系統(tǒng)之中，面臨遺失風(fēng)險(xiǎn)。

1.4 突發(fā)事件帶來(lái)的安全隱患

突發(fā)事件指所有能夠損害或可能損害電子文件的突發(fā)事故，包括自然災(zāi)害（如地震、海嘯）和人為破壞。政務(wù)云上突發(fā)事件會(huì)對(duì)各類云上運(yùn)行業(yè)務(wù)系統(tǒng)的電子文件的安全帶來(lái)災(zāi)難性破壞，造成不可彌補(bǔ)的損失。

2 電子文件安全防護(hù)模型設(shè)計(jì)

針對(duì)政務(wù)云環(huán)境下電子文件歸檔存在的安全隱患，必須建立完善、高效、可靠的安全保障體系。按照《檔案信息系統(tǒng)安全保護(hù)基本要求》（檔辦發(fā)[2016]1號(hào)）及相關(guān)安全標(biāo)準(zhǔn)規(guī)范要求，需要從技術(shù)和管理兩個(gè)方面對(duì)電子文件進(jìn)行全面安全防護(hù)。電子文件安全防護(hù)模型如下圖所示。

可以看出，電子文件的安全防護(hù)需要從物理層、網(wǎng)絡(luò)層、系統(tǒng)層、應(yīng)用層、管理層五個(gè)層面采取防護(hù)措施。一是物理層，要從電力保障、防電池泄露、防物理破壞、環(huán)境安全、設(shè)備安全、介質(zhì)安全等方面采取防護(hù)措施保障物理層安全；二是網(wǎng)絡(luò)層，要從從防火墻、入侵檢測(cè)、違規(guī)外聯(lián)、鏈路加密、安全隔離、安全審計(jì)、VLAN劃分等方面采取防護(hù)措施保障網(wǎng)絡(luò)層安全；三是系統(tǒng)層，要從防病毒、漏洞掃描、備份恢復(fù)、數(shù)據(jù)庫(kù)加固、操作系統(tǒng)加固等方面采取防護(hù)措施保障系統(tǒng)層安全；四是應(yīng)用層，要從身份認(rèn)證、權(quán)限控制、數(shù)據(jù)簽名、應(yīng)用審計(jì)、格式固化等方面采取防護(hù)措施保障應(yīng)用層安全；五是管理層，要從組織上、措施上、制度上為信息系統(tǒng)的安全運(yùn)行提供強(qiáng)有力的保障。

3 政務(wù)云環(huán)境下電子文件歸檔安全保障策略

基于以上電子文件安全防護(hù)模型，結(jié)合浙江政務(wù)服務(wù)網(wǎng)電子文件的具體特點(diǎn)，在浙江政務(wù)服務(wù)網(wǎng)電子文件歸檔過(guò)程中，主要采用了以下安全保障策略。

3.1 按照等保三級(jí)的要求建設(shè)電子文件歸檔系統(tǒng)

參照《檔案信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)工作指南》（檔辦發(fā)[2013]5號(hào)）和《檔案信息系統(tǒng)安全保護(hù)基本要求》（檔辦發(fā)[2016]1號(hào)）的要求，基于政務(wù)云的電子文件歸檔系統(tǒng)嚴(yán)格按照等保三級(jí)的要求進(jìn)行建設(shè)。

基于等保三級(jí)要求，電子文件歸檔系統(tǒng)的建設(shè)應(yīng)從物理層安全、網(wǎng)絡(luò)層安全、系統(tǒng)層安全、應(yīng)用層安全和管理層安全五個(gè)方面進(jìn)行安全防護(hù)，其中物理層安全、網(wǎng)絡(luò)層安全、系統(tǒng)層安全在政務(wù)云建設(shè)之時(shí)已經(jīng)綜合全面考慮，因此電子文件歸檔系統(tǒng)建設(shè)要重點(diǎn)考慮管理層安全，同時(shí)加強(qiáng)應(yīng)用層安全建設(shè)。

管理層安全應(yīng)從安全管理制度、安全管理機(jī)構(gòu)、人員安全管理、系統(tǒng)建設(shè)管理和系統(tǒng)運(yùn)維管理五方面提供強(qiáng)有力的防護(hù)。一是安全管理制度，要形成由安全策略、管理制度、操作規(guī)程等構(gòu)成的全面信息安全管理制度體系；定期組織相關(guān)部門(mén)和相關(guān)人員對(duì)安全管理制度體系的合理性和適用性進(jìn)行審定，對(duì)存在不足或需要改進(jìn)的安全管理制度進(jìn)行修訂。二是安全管理機(jī)構(gòu)，要設(shè)置信息安全管理崗位，明確崗位職責(zé)和分工，配置崗位人員，按照安全管理制度的要求定期進(jìn)行安全審核和安全檢查活動(dòng)，并對(duì)安全檢查結(jié)果進(jìn)行通報(bào)。三是人員安全管理，要從人員錄用、人員離崗、人員考核、安全意識(shí)教育和培訓(xùn)、外部人員訪問(wèn)等方面進(jìn)行安全管理。四是系統(tǒng)建設(shè)管理，要在系統(tǒng)建設(shè)之初對(duì)系統(tǒng)進(jìn)行定級(jí)并設(shè)計(jì)安全方案，在系統(tǒng)建設(shè)過(guò)程中做好安全管理控制，在開(kāi)發(fā)過(guò)程中形成完整的文檔；還要做好系統(tǒng)備案、等級(jí)測(cè)評(píng)等工作。五是系統(tǒng)運(yùn)維管理，要在系統(tǒng)運(yùn)維過(guò)程中進(jìn)行環(huán)境管理、資產(chǎn)管理、介質(zhì)管理、設(shè)備管理、監(jiān)控管理、網(wǎng)絡(luò)安全管理、系統(tǒng)安全管理、惡意代碼防范管理、密碼管理、變更管理、備份與恢復(fù)管理、安全事件處置、應(yīng)急預(yù)案管理等運(yùn)維管理工作。

應(yīng)用層安全要采用各種技術(shù)手段進(jìn)行安全防護(hù)，如按照三權(quán)分立的原則進(jìn)行權(quán)限分離；提供敏感標(biāo)記設(shè)置功能，對(duì)敏感信息資源進(jìn)行保護(hù)；采用密碼技術(shù)進(jìn)行會(huì)話初始化驗(yàn)證，并保證通信過(guò)程中數(shù)據(jù)的完整；采用數(shù)據(jù)簽名技術(shù)保證數(shù)據(jù)的真實(shí)性和原始性；提供應(yīng)用審計(jì)功能，對(duì)系統(tǒng)所有的登錄及操作日志進(jìn)行全方位記錄和管理。

3.2 通過(guò)制度規(guī)范建設(shè)推進(jìn)浙江政務(wù)服務(wù)網(wǎng)電子文件歸檔工作

浙江省人民政府非常重視浙江政務(wù)服務(wù)網(wǎng)電子文件歸檔工作， 2017年1月發(fā)布了《浙江政務(wù)服務(wù)網(wǎng)電子文件管理暫行辦法》（浙政辦發(fā)[2017]4號(hào)）（以下簡(jiǎn)稱《暫行辦法》），對(duì)浙江服務(wù)服務(wù)網(wǎng)電子文件的形成、辦理、歸檔、移交、保管、利用等工作提出了明確要求，并規(guī)定了各行政機(jī)關(guān)的職責(zé)?！稌盒修k法》的發(fā)布有效推進(jìn)了浙江政務(wù)服務(wù)網(wǎng)電子文件歸檔工作，確保了電子文件及時(shí)歸檔。

為確保行政審批電子文件規(guī)范歸檔，省檔案局對(duì)歸檔過(guò)程中存檔信息包的命名規(guī)則、數(shù)據(jù)結(jié)構(gòu)、存儲(chǔ)結(jié)構(gòu)等展開(kāi)了深入研究，并形成了《政務(wù)服務(wù)網(wǎng)電子文件歸檔數(shù)據(jù)規(guī)范》。目前，該文件已經(jīng)作為浙江省地方標(biāo)準(zhǔn)，以《政務(wù)辦事“最多跑一次”工作規(guī)范 第3部分：政務(wù)服務(wù)網(wǎng)電子文件歸檔數(shù)據(jù)規(guī)范》（DB33/T 2036.3—2017）在全省發(fā)布執(zhí)行。

在平臺(tái)建設(shè)中，省檔案局同步制定了《浙江政務(wù)服務(wù)網(wǎng)行政審批電子文件歸檔系統(tǒng)功能要求》《浙江政務(wù)服務(wù)網(wǎng)行政審批電子文件歸檔元數(shù)據(jù)方案》《浙江政務(wù)服務(wù)網(wǎng)行政審批電子文件歸檔數(shù)據(jù)交換標(biāo)準(zhǔn)》等技術(shù)規(guī)范，以指導(dǎo)省本級(jí)各單位以及各市、縣（市、區(qū)）浙江政務(wù)服務(wù)網(wǎng)行政審批電子文件歸檔工作實(shí)施。

2.3 采用技術(shù)手段保證電子文件的“四性”

電子文件的“四性”是指真實(shí)性、完整性、可用性和安全性。保證電子文件的“四性”是電子文件能夠成為電子檔案的前提，也是保證電子文件憑證價(jià)值、保存價(jià)值的關(guān)鍵。在電子文件歸檔過(guò)程中，綜合采用了時(shí)間戳、格式固化、電子簽章等手段確保電子文件的“四性”。

一是保證真實(shí)性。真實(shí)性指電子文件的內(nèi)容、邏輯結(jié)構(gòu)和背景與形成時(shí)的原始狀況相一致的性質(zhì)。浙江政務(wù)服務(wù)網(wǎng)電子文件的真實(shí)性通過(guò)采用時(shí)間戳技術(shù)來(lái)保障。時(shí)間戳是用來(lái)標(biāo)明一個(gè)事件所發(fā)生日期和時(shí)間的一種記號(hào)，一般同生成該記號(hào)的人或經(jīng)紀(jì)機(jī)構(gòu)的身份在一起，該印記一般被附加在消息后面或以某種方式與消息形成邏輯上的關(guān)聯(lián)。這是數(shù)字簽名技術(shù)的一種變種應(yīng)用，通過(guò)有效的第三方專門(mén)機(jī)構(gòu)所出示的時(shí)間來(lái)證明文件的真實(shí)性。

電子文件歸檔過(guò)程中，存檔信息包打包完成后對(duì)存檔信息包加蓋時(shí)間戳。存檔信息包采集歸檔時(shí)，通過(guò)對(duì)時(shí)間戳進(jìn)行校驗(yàn)來(lái)確保存檔信息包未被篡改，從而保證電子文件的原始性和真實(shí)性。歸檔電子文件辦理交接過(guò)程采用了加蓋電子簽章以及電子簽章的認(rèn)證方式，確保電子檔案真實(shí)性?！稌簳r(shí)辦法》中規(guī)定“行政機(jī)關(guān)通過(guò)浙江服務(wù)服務(wù)網(wǎng)辦結(jié)歸檔的加蓋可靠電子印章的文書(shū)類、證照類電子文件，與紙質(zhì)文書(shū)具有同等的法律效力”，這從制度層面為電子文件賦予了法律效力，維護(hù)了電子文件的憑證價(jià)值。

二是保證完整性。完整性指電子文件的內(nèi)容、結(jié)構(gòu)和背景信息齊全且沒(méi)有破壞、變異或丟失的性質(zhì)。浙江政務(wù)服務(wù)網(wǎng)電子文件的完整性主要是確保電子文件元數(shù)據(jù)的完整和歸檔文件材料的完整。浙江政務(wù)服務(wù)網(wǎng)電子文件歸檔工作開(kāi)展過(guò)程中，各行政機(jī)關(guān)在省檔案局的指導(dǎo)下制定了各類行政事項(xiàng)文件材料的歸檔范圍和保管期限。在浙江政務(wù)服務(wù)網(wǎng)預(yù)歸檔模塊，可按照本單位制定的行政審批事項(xiàng)歸檔范圍和保管期限表對(duì)各事項(xiàng)的檔號(hào)生成規(guī)則、歸檔范圍、保管期限等進(jìn)行設(shè)置，并生成存檔信息包。存檔信息包采集至電子文件歸檔系統(tǒng)后，電子文件歸檔系統(tǒng)內(nèi)置了“四性”檢測(cè)工具，參照歸檔范圍對(duì)對(duì)電子文件的完整性進(jìn)行檢測(cè)。當(dāng)檢測(cè)不合格時(shí)，系統(tǒng)將通過(guò)檢測(cè)結(jié)果反饋接口將檢測(cè)不合格信息發(fā)送給浙江政務(wù)服務(wù)網(wǎng)預(yù)歸檔模塊，要求按照檢測(cè)結(jié)果重新進(jìn)行整理打包。整個(gè)過(guò)程如下圖所示。

三是保證可用性?？捎眯灾鸽娮游募梢员粰z索、呈現(xiàn)和理解的性質(zhì)。在浙江政務(wù)服務(wù)網(wǎng)電子文件歸檔過(guò)程中，對(duì)電子文件的歸檔格式做了明確要求。在對(duì)電子文件的可用性檢測(cè)時(shí)，對(duì)電子文件的格式進(jìn)行校驗(yàn)，如果格式不符合歸檔要求則檢測(cè)不通過(guò)，從而保證了電子文件的可用性。

四是保證安全性。安全性指電子文件的管理過(guò)程可控、數(shù)據(jù)存儲(chǔ)可靠，未被破壞、未被非法訪問(wèn)的性質(zhì)。在浙江政務(wù)服務(wù)網(wǎng)電子文件歸檔過(guò)程中，安全性保證主要是確保電子文件未被病毒感染。在技術(shù)實(shí)現(xiàn)上，系統(tǒng)通過(guò)調(diào)用本地的殺毒軟件對(duì)電子文件進(jìn)行病毒檢測(cè)，從而保證電子文件的安全。

參考文獻(xiàn)：

[1]畢建新.政務(wù)云環(huán)境下電子文件一體化管理模型研究[D].南京:南京大學(xué),2016:29.

[2]李明華.在全國(guó)檔案安全工作會(huì)議上的講話.中國(guó)檔案,2017(7):14-21.

[3]浙江省人民政府辦公廳.浙江政務(wù)服務(wù)網(wǎng)電子文件管理暫行辦法（浙政辦發(fā)[2017]4號(hào)）.