數字信息檔案安全防控研究論文

導語：數字信息檔案安全防控研究論文一文來源于網友上傳，不代表本站觀點，若需要原創文章可咨詢客服老師，歡迎參考。

摘要：合理地確定和適當地調整指標權重，體現了系統評價指標中各因素之間的輕重有度、主次有別，更能增加評價因素的可比性。在安全評價中，具體確定權重的方法很多，如德爾菲法、主成分分析法、層次分析法、環比法等。其中，層次分析法比較適用于電子檔案信息安全的評價。

一、建立電子檔案信息安全評價指標體系的必要性

信息技術在檔案管理中的廣泛應用，一方面提高了檔案工作的效率，擴大了檔案的社會影響力；另一方面也對檔案工作提出了新的要求，例如存儲介質的不穩定、技術過時、黑客入侵、電腦病毒破壞等都使得電子檔案信息的安全保護面臨著前所未有的挑戰。

在2002年國家檔案局頒發的《全國檔案信息化建設實施綱要》和近期各省市的“十一五檔案信息化建設綱要”中都提出了“檔案信息安全保障體系建設”，但仍缺乏深入、系統的探討。電子檔案信息的安全管理是一個過程，而不是一個產品，我們不能期望通過一個安全產品就能把所有的安全問題都解決。對各檔案管理系統來說，解決電子檔案信息安全的首要問題就是要識別自身信息系統所面臨的風險，包括這些風險可能帶來的安全威脅與影響的程度，然后進行最充分的分析與評價。只有采用科學有效的模型和方法進行全面的安全評價，才能真正掌握內部信息系統的整體安全狀況，分析各種存在的威脅，以便針對高風險的威脅采取有效的安全措施，提高整體安全水平，逐步建成堅固的電子檔案信息安全管理體系。

二、電子檔案信息安全評價指標體系的組成

電子檔案信息系統是一個復雜的系統工程，既有硬件，又有軟件，既有外部影響，又有內部因素，而且許多方面是相互制約的。因此，必須有一個規范的、統一的、客觀的標準。根據國內外的電子檔案信息安全評估標準，國家對電子檔案信息和網絡信息系統安全性的基本要求，結合電子檔案管理和網絡管理經驗，綜合考慮影響電子檔案信息安全的各種因素，建立電子檔案信息安全評價指標體系。該體系主要包括五個大項二十個小項的評價指標。

1、物理安全評價指標

物理安全是指存儲檔案信息的庫房、計算機設備及管理人員工作場所內外的環境條件必須滿足檔案信息安全、計算機設備和管理人員的要求。對于各種災害、故障要采取充分的預防措施，萬一發生災害或故障，應能采取應急措施，將損失降到最低。物理安全包括環境安全、設備安全和載體安全三個方面。

(1)環境安全：主要指存儲檔案信息的庫房、計算機機房周圍環境是否符合管理要求和是否具備抵抗自然災害的能力，如庫房是否建在電力、水源充足，自然環境清潔，通訊、交通運輸方便的地方；有無防火、防水措施；有無監控系統；有無防雷措施等。

(2)設備安全：主要是指對電子檔案信息系統設備的安全保護，包括設備的防盜、防毀、防電磁信息輻射泄漏、防止線路截獲、抗電磁干擾及電源保護等。

(3)載體安全：保證設備安全的同時，也要保證載體安全，要對載體采取物理上的防盜、防毀、防霉等措施。

2、管理安全評價指標

安全管理在電子檔案信息安全保障中起著規范和制約的作用，科學的管理理念加上嚴格的管理制度才能最終保證電子檔案信息的安全。電子檔案信息的管理安全評價指標具體包括：

(1)專門的檔案信息安全組織機構和專職的檔案信息安全管理人員：檔案信息安全組織機構的成立與檔案信息安全管理人員的任命必須有相關單位的正式文件。

(2)規章制度：包括有無健全的電子檔案信息安全管理規章制度；檔案信息安全人員的配備、調離是否有嚴格的管理制度；設備與數據管理制度是否完備；是否有登記建檔制度；是否有完整的電子檔案信息安全培訓計劃和培訓制度；各類人員的安全職責是否明確，能否保障電子檔案信息的安全管理。

(3)是否有緊急事故處理預案：為減少電子檔案信息系統故障的影響，盡快恢復系統，應制定故障的應急措施和恢復規程以及自然災害發生時的應急預案，制成手冊，以備及時恢復系統運行。

3、網絡安全評價指標

越來越多的電子檔案在網絡上傳輸，而網絡作為一種構建在開放性技術協議基礎上的信息流通渠道，它的防衛能力和抗攻擊能力較弱，可能會遭受到病毒、黑客的襲擊。為了保證電子檔案的安全必須保證其傳輸的媒介——網絡的安全，網絡安全評價指標包括以下幾個方面：

(1)是否有計算機病毒防范措施

(2)是否有防黑客入侵設施：主要是設置防火墻和入侵檢測等設施。

(3)是否有訪問控制措施：訪問控制是指控制訪問網絡信息系統的用戶，當用戶之間建立鏈接時，為了防止非法鏈接或被欺騙，就可實施身份確認，以確保只有合法身份的用戶才能與之建立鏈接。

(4)是否有審計與監控：審計與監控是指應使用網絡監控設備或實時入侵檢測設備，以便對進出各級局域網的常見操作進行實時檢查、監控、報警和阻斷，從而防止針對網絡的攻擊與犯罪行為。

4、信息安全評價指標

在網絡能夠正常運行的基礎上，我們要保證在系統中傳輸、存貯的電子檔案信息是安全的，不被截取、篡改或盜用。

(1)是否采取加密措施：檔案的本質屬性是原始記錄性，而計算機和網絡的不穩定性使得電子檔案信息的這一特性難以保證，而且有些電子檔案信息有密級限制，不能公開在網絡上傳輸，所以電子檔案信息在網絡傳輸時必須通過加密來保證其安全。

(2)是否有數據完整性鑒別技術：網絡上的傳輸使得電子檔案信息的完整性無法保證，黑客的攻擊可以改變信息包內部的內容，所以應采取有效的措施來進行完整性控制，這對于電子檔案信息來說至關重要。

(3)是否確保信息數據庫的安全：一個組織最核心的信息通常以數據庫的形式保存和使用，保證數據庫安全對于電子檔案信息來說有重要的作用。

(4)是否有信息防泄漏措施：信息防泄漏包括信息審計系統和密級控制兩方面。信息審計系統能實時對進出內部網絡的信息進行內容審計，以防止或追查可能的泄密行為；另外，可以根據信息保密級別的高低劃分公開范圍，并對用戶劃分訪問權限，進行分組管理。

(5)是否有防抵賴技術：防抵賴技術確保用戶不能否認自己所做的行為，同時提供公證的手段來解決可能出現的爭議，它包括對數據源和目的地雙方的證明，常用方法是數字簽名。

5、系統安全評價指標

這里的系統安全是指計算機整個運行體系的安全。在計算機上處理信息時，硬件、軟件出現故障或誤操作、突然斷電等都會使正在處理的信息丟失，造成無法彌補的損失。所以我們需要采取一系列措施保證系統的穩定，確保信息的安全。計算機系統安全評價指標有：

(1)是否有系統操作日志：系統操作日志詳細記錄了系統的操作狀況，以便事后分析和追查系統損壞的原因，為系統提供進一步的安全保障。

(2)是否進行系統安全檢測：運用系統安全檢測工具對計算機和網絡進行安全檢測，可及時發現系統中存在的漏洞或惡意的攻擊，進而采取有效的補救措施和安全策略，達到增強網絡安全性的目的。

(3)是否有操作系統防破壞措施：操作系統集中管理系統的資源，是計算機系統賴以正常運轉的中樞，它的安全性將直接影響到整個計算機系統的安全。操作系統應當建立某些相對的鑒別標準，保護操作系統本身在內的各個用戶，阻止有害功能的運行。

(4)是否進行系統信息備份：日常備份制度是系統備份方案的具體實施細則，應嚴格按照制度進行日常備份，否則將無法達到備份方案的目標。

(5)是否有災難恢復系統：當系統因人為或自然因素受到破壞時，我們應保證能夠盡快地恢復正常工作，把損失控制在最小范圍內。

三、電子檔案信息安全評價指標體系權重確定方法

用若干個指標進行綜合評價時，其對評價對象的作用，從評價目的來看，并不是同等重要的。指標越重要，權的數值就越大；反之，數值小則可以說明其重要程度相對較低。

合理地確定和適當地調整指標權重，體現了系統評價指標中各因素之間的輕重有度、主次有別，更能增加評價因素的可比性。在安全評價中，具體確定權重的方法很多，如德爾菲法、主成分分析法、層次分析法、環比法等。其中，層次分析法比較適用于電子檔案信息安全的評價。

層次分析法的核心是對決策對象進行評價和選擇，并對它們進行優劣排序，從而為決策者提供定量形式的決策依據。它充分利用人的分析、判斷和綜合能力，適用于結構較為復雜、決策準則較多且不易量化的決策問題。它將定性分析和定量分析相結合，具有高度的簡明性、有效性、可靠性和廣泛的適用性。而電子檔案信息安全指標體系因素多、主觀性強且決策結果難以直接準確計量，因而可以用層次分析法來確定指標體系的權重。層次分析法的基本步驟是：公務員之家

1、將復雜問題概念化，找出研究對象所涉及的主要因素；2、分析各因素的關聯、隸屬關系，構建有序的階梯層次結構模型；3、對同一層次的各因素根據上一層次中某一準則的相對重要性進行兩兩比較，建立判斷矩陣；4、由判斷矩陣計算被比較因素對上一層準則的相對權重，并進行一致性檢驗；5、計算各層次相對于系統總目標的合成權重，進行層次總排序。

四、電子檔案信息安全評價指標體系綜合評價方法

綜合評價是指對被評價對象進行客觀、公正、合理的全局性、整體性評價。可以用作綜合評價的數學方法很多，但是每種方法考慮問題的側重點各有不同。鑒于所選擇的方法不同，有可能導致評價結果的不同，因而在進行多目標綜合評價時，應具體問題具體分析。根據被評價對象本身的特性，在遵循客觀性、可操作性和有效性原則的基礎上選擇合適的評價方法。在信息安全領域，目前存在的綜合評價方法有信息系統安全風險的屬性評估方法、模糊綜合評價方法、基于灰色理論的評價方法、基于粗糙集理論的評價方法等。對于這些方法，目前還沒有評論認為哪一種方法更適用于信息安全領域的綜合評價。鑒于此種情況，本指標體系采用模糊綜合評價方法。

模糊綜合評價就是以模糊數學為基礎，應用模糊關系合成的原理，將一些邊界不清、不易定量的因素定量化，進行綜合評價的一種方法。從評價對象來看，用模糊綜合評價方法來評價信息安全系統是可行的。首先，對于信息的安全管理而言，“安全”與“危險”之間沒有明顯的分界線，即安全與危險之間存在著一種中間過渡的狀態，這種中間狀態具有亦此亦彼的性質，也就是通常所說的模糊性。因此在安全的刻畫與描述上大多采用自然語言來表達，而自然語言最大的特點是它的模糊性。另外，電子檔案信息安全評價中，對一些評價要素的評價是具有模糊性的。如組織管理中的評價很難量化，一般只能用“好”、“一般”、“差”等等級概念來描述，具有較強的模糊性。而且一些評價要素受外界環境的影響較大，具有不確定性，如網絡攻擊、安全設施失效、人為失誤等偶然性較大，難以準確評價。對于這些模糊的、不確定性的問題通常采用模糊數學來研究。模糊綜合評價方法就是在對多種因素影響的事物或現象進行總的評價過程中涉及到模糊因素或模糊概念的一種評估方式，它通過運用模糊集合中隸屬度和隸屬度函數的理論來刻畫這種模糊性，以達到定量精確的目的。

總之，模糊綜合評價方法是一種適用于在信息安全管理方面進行系統評價的可行方法，其基本步驟為⑦：

1、確定評價集。評價集是以評判者對被評價對象可能做出的各種總的評判結果為元素組成的集合，例如我們可以對電子檔案信息安全評價采用五個等級的評語集合(很好，好，較好，一般，差)。

2、建立因素集。因素集是以影響評判對象的各種因素為元素組成的集合，在本文的電子檔案信息安全評價體系中，主因素層的因素集有物理安全、管理安全、網絡安全、信息安全和系統安全五個指標，其下層又有各自的影響因素集，由各自的具體影響指標組成。

3、建立權重集。由于各評價要素在評價中的重要程度不同，因而必須對各要素按其重要程度給出不同的權重，權重集通過層次分析法確定。

4、進行單因素評價，建立單因素模糊評價矩陣。即確定評價因素集中每一個因素指標在評語集中的隸屬度。

5、模糊矩陣的復合運算。當評價集、因素集、權重集和單因素評價矩陣確定后，便可按照一定的模糊運算規則進行模糊綜合評價，以求得各層次中各因素的評價結果和最終的綜合評價結果。