数字档案馆系统安全策略研究,本文主要内容关键词为:档案馆论文,安全策略论文,数字论文,系统论文,此文献不代表本站观点,内容供学术参考,文章仅供参考阅读下载。
一、引言
数字档案馆系统安全保障体系是数字档案馆系统正常运行的关键环节。首先,由于网络技术、数字化技术的快速发展与广泛应用以及病毒与黑客的泛滥,网络特别是互联网已被视为“最不安全”的区域。为保障档案信息的真实性、完整性、可靠性、可用性,防范病毒与黑客的攻击成为数字档案馆安全保障体系建设应首先考虑的问题。其次,档案馆与其他信息部门(如图书馆)有较大的差异,其保管的数字信息并非完全对外公开,而是具有相应的密级。事实上,我国大多数档案信息是不对外公开的,因此如何保障这些档案信息的机密性和实现档案信息资源的“有向”服务,我们认为,设置各种级别的利用权限,将成为安全保障体系建设应考虑的重要问题。第三,在档案信息管理实践中,虽然对数字档案馆采取某些安全措施,但仍难免因各种原因出现故障导致档案信息的严重破坏,其严重程度不亚于前两个问题。因此,在建设数字档案馆系统时,必须考虑数字档案馆系统的安全策略。
二、安全策略概念
什么是安全策略?信息系统的安全目标是控制和管理主体(Subjects,包括用户和进程)对客体(Objects,包括数据和程序)的访问,这些访问由一组规则和目标来约束,我们称之为安全策略(Security policy)。[1]安全策略反映了信息系统的安全需求,因此,在设置信息系统时必须包含信息系统的安全策略。数字档案馆系统作为信息系统,其安全策略也反映了数字档案馆系统的安全需求。
数字档案馆系统安全需求主要包括以下三个方面:信息内容安全、系统安全和网络安全需求。由于网络安全需求可以借助于现有的网络技术(如防火墙技术、VPN技术、加密技术等)来实现,因此本文只讨论档案信息内容和信息系统安全需求。从目前信息安全的角度来看,保障信息内容和信息系统的安全主要考虑以下五个部分:
1.身份鉴别:确认信息系统中用户身份的真实性与合法性;
2.授权控制:根据经过鉴别的真实身份确定对信息内容或信息系统应用的访问权限;
3.机密性:确保信息内容在存贮和传输中的机密性,不被非授权用户访问;
4.完整性:确保信息内容不被非授权用户恶意或无意修改或删除;
5.抗否认性:建立责任机制,使任何用户对其所进行的操作不可否认。
鉴于此,数字档案馆系统可通过建立相应的安全策略来保障档案信息内容和信息系统的安全性。安全策略主要有档案信息对象访问控制策略、用户访问控制策略、系统日志管理策略和档案信息对象存储备份策略。
三、档案信息对象访问控制策略
档案信息对象访问控制策略主要用于保障档案信息对象的保密性、完整性和真实性。其控制策略主要有以下三个方面:
(一)档案信息对象密级控制
档案信息内容具有密级,其密级划分按照《中华人民共和国档案法》规定,可划分为公开、内部、秘密、机密和绝密五个等级。对于公开的档案信息允许用户访问,对具有密级的档案信息内容则必须是经过授权之后方可访问。其中密级标为内部的档案信息,则可在内部网中授权访问,秘级为秘密、机密、绝密的档案,则只能在档案馆专网上进行访问。而且只要是非公开的档案信息内容,均须由授权用户提出访问申请,经档案管理人员审核之后方可在内部网络或专网上访问,且在访问期间,档案信息的保密责任由申请用户承担。其控制策略如表1所示:
表1 档案信息密级控制策略
注:用户保密责任是指用户在授权访问期内,档案信息内容的保密责任由用户承担。
(二)档案信息对象存取权限控制
档案信息对象存取权限主要是指对档案信息对象的读、写权限,由于档案信息对象由档案元数据和电子文件组成,因此档案信息对象存取权限控制也就是指对档案元数据和电子文件的存取控制。其控制策略如表2所示:
表2 档案信息对象存取权限控制策略
(三)档案信息对象完整性、真实性控制
档案信息对象完整性、真实性控制用于确保档案信息内容的完整和真实,即要求保持档案信息的原样,且在访问、传输过程中能够验证它的完整性和真实性。由于电子文件管理元数据详细记录了电子文件的内容、结构、背景及其整个管理过程的信息[2],因此元数据具有完整性、真实性等特性。档案信息对象完整性、真实性控制实际上就是对元数据的完整性、真实性控制。在数字档案馆系统中,电子文件管理元数据标准包含于两个元素:元数据信息散列值和电子文件实体散列值[3]。散列值由散列函数根据输入内容自动生成的字符串组成,一旦内容发生变化,重新生成的散列值就会发生变化,通过散列值的比较,可以实现元数据及其电子文件的完整性和真实性。
四、用户访问控制策略
用户访问控制是指用户访问系统和数据时所采取的一些控制策略,保证主体(用户或进程)对客体(系统和数据)访问的合法性,以确保系统和数据的安全、可靠、稳定、可用。其一,可以对用户进行识别,意在防止对系统的非法入侵,为此需对用户进行必要的标识;其二,是对系统内部访问的控制,其意在于防止危害的发生。鉴于此,在数字档案馆系统中,可以采用基于角色的用户访问控制、系统功能访问控制、用户标识与口令安全策略。
(一)基于角色的用户访问控制
顾名思义,基于角色(ROLE-BASE)的访问控制属于访问控制系统中的一种。所谓角色,用一般业务系统中的术语来说,实际上就是业务系统中的岗位、职位或者分工。在基于角色的访问控制系统中,要求明确区分权限和职责,并将若干特定的用户集合和某种授权联结在一起,即与某种业务分工(例如岗位、工种等)相关联的授权联结起来,便于管理和操作。由于角色的变动远远低于个体的变动,因此基于角色的访问控制已广泛应用到各种类型的应用系统中,Window操作系统就采用了基于角色的用户访问控制策略。根据档案管理业务流程,在数字档案馆系统将角色划分为四个等级,如图1所示:
图1 角色等级图
1.超级管理员,超级管理员角色是数字档案馆系统中最高级别的角色等级,拥有数字档案馆系统的所有权限,包括对系统和数据(指档案信息)的访问和存取权限。
2.系统管理员,系统管理员角色负责系统的访问和存取权限,包括设置各类参数、设置用户权限、数据备份等,同时包含数据的访问浏览权。
3.档案管理员,档案管理员角色负责数据的存取权限,可以对数据进行增加、审核、修改、删除及保管处置等功能,对档案信息具有读、写权限。
4.档案员,档案员角色针对部门兼职档案员而设计,负责档案元数据及电子文件的提交,以及本部门档案的检索利用功能。
5.档案利用者,档案利用者角色为最低等级,只具有数据的访问权限。
五种角色的权限如表3所示:
表3 角色权限分配表
注:“★”表示受控访问,如档案员只能访问本部门归档的数据。
(二)用户组功能访问权限控制
数字档案系统提供了按用户组分配访问系统权限的功能,不同角色的用户可以分配到同一个组中,角色对系统、数据底层的存取访问进行了限制,而用户组功能访问权限分配则限制用户访问系统的界面功能。
(三)用户身份验证与口令安全策略
用户身份验证是系统访问控制的基础性步骤,是区分“是他”以及证实“确实是他”的基础过程,即验证用户的合法性。常见的用户身份验证通过用户名和口令鉴别来实现,用户名是指系统给用户的唯一标识符,用于识别用户的身份,具有公开性,而口令则具有秘密性。这种方式成本低、易实现,且使用简便。然而由于口令的简便易用,也为非法侵入提供了方便。因此,维护口令安全成为用户名、口令身份验证方法的关键。
五、系统日志管理策略
系统日志管理能够为系统或数据在存取访问和利用过程中遭到破坏时提供可靠有效的证据信息,从而起到防范系统和数据危害的作用。因此,日志管理是满足数字档案系统“抗否认性”安全需求的有效措施,其日志信息应涵盖对系统和档案信息内容的存取操作,以及用户检索利用等方面。
(一)系统界面功能访问日志管理
系统界面功能模块访问日志用于记录合法用户从系统登录开始(包括系统登录)起访问任何系统界面功能的访问痕迹信息,这些信息包括访问终端的IP地址、用户名、用户名称、访问时间、系统模块、功能模块等信息。
(二)档案信息内容存取日志管理
档案信息内容存取日志用于详细记录合法用户对档案信息内容的存取操作,如档案信息的递交、审核、归档、返回修改等存取操作,其日志信息内容应包括处理事件、时间、操作者及相关备注等。
(三)档案信息检索日志管理
检索日志管理主要用于记录用户的检索偏好。通过建立档案信息检索日志,一方面可以分析用户对档案的需求情况,以便于档案馆提供可靠、及时、有效的档案信息资源服务;另一方面也是出于安全需要,防范危害的发生,由于档案信息资源具有较强的保密性和安全性,建立档案信息检索日志可以保留用户访问档案信息的痕迹。
(四)档案信息借阅日志信息管理
因数字档案馆系统中包含大量的电子文件,而这些电子文件并不是全部对外开放,需要通过借阅机制来实现电子文件的利用。为确保电子文件的保密性和可控性,同时又要满足电子文件的有效利用,数字档案馆系统设置了电子文件借阅功能,对有限开放的电子文件进行借阅服务,系统合法用户提出借阅申请,经档案管理员审批通过之后方可在限定的使用期内使用。在使用期内,电子文件的保密责任则由申请用户承担,直到归还。档案信息借阅日志完整记录了用户借阅申请、审核和使用的相关信息。
六、档案信息对象存储和安全访问策略
长期保存档案信息资源是数字档案馆系统建设的主要目标之一。数字档案馆管理的档案信息对象包括各类电子文件、档案和其他信息资源,这些档案信息对象具有异构性和多样性特征,既包括了结构化数据,也包括半结构化数据和非结构化数据。要保障其真实性和完整性,首先必须保障其安全性和长期有效性,即必须建立档案信息对象存储和安全访问策略。
(一)档案信息对象存储策略
第一,采用分级存储策略。数字档案馆系统引入了存储池概念,并建立了存储池管理系统,以支持存储海量的数据量、支持存储大数据对象、支持静态和流媒体信息。存储池管理系统包含了一组存储池管理元数据,用于描述存储池的存储结构,包括集合地址、存储设备和主机等属性,以实现有规则的分级存储功能。存储池管理元数据一方面可以使管理者在实际操作过程中无需考虑电子文件的物理存储位置;另一方面具有计算机自动识别、解析、定位功能,即当用户通过元数据访问时,存储管理系统又可通过所制定的资源集合存储管理元数据自动解析出电子文件的逻辑位置,并将逻辑位置转化为物理位置,从而准确无误地返回给用户[4]。此外,存储池管理系统以存储池为最小单位,可以嵌套和分配大小,具有较强的可扩展性,以适应持续增长的电子文件的存储需求。
第二,采用“位存储”模式和“功能存储”模式,以应对电子文件的“范式转换”(软硬件环境的升级换代)。据文献分析,目前实现数字信息长期保存主要有四种方法:更新、迁移、模拟和技术典藏。而其中“迁移”是四种方法中较为有效的一种,且相对成本较低,但成功的迁移则有赖于元数据信息的完备程度。为有利于今后数字档案信息对象的有效迁移和有效利用,应采用“位存储”和“功能存储”两种模式,其中位存储保证电子文件没有任何改变,即每一位(bit)均保持原样。功能存储是通过随着时间的变化及时改变存储内容的格式,以保证当旧有格式淘汰后,电子文件还能够被随时调用(可浏览、可运行、可检索等),即保证电子文件的长期有效性。对于数字档案馆而言,位存储保证了电子文件的原始性,而功能存储则是保障电子文件长期有效性的较为理想的存储方法。
(二)档案信息对象的安全访问控制
档案信息对象的安全访问控制是实现档案信息对象安全访问的重要手段。由于档案信息对象以档案信息包(AIP)[5]的形式存放在系统指定的存储池中,为确保安全,一方面需要设定存储池的访问权限,存储池访问权限有:系统管理员权限(Supervisor)、写权限(Write)、读权限(Read)、创建权限(Create)、删除权限(Delete)、修改权限(Modify),系统可以根据不同的用户设置不同的访问权限。另一方面,在提供网络服务时,为避免用户直接访问档案信息对象的物理地址所带来的安全隐患,系统采用了逻辑链接的方式。即当用户通过元数据访问时,存储管理系统自动解析档案信息对象的逻辑链接,并将解析出的物理位置所对应的档案信息对象由系统复制到系统设定的“缓存”中,再向用户返回“缓存”的逻辑位置。其控制流程如图2所示:
图2 安全访问控制流程图
即由用户通过网络向应用服务器提出信息请求,应用服务器接收到用户请求后生成相应的数据请求指令,并发送给数据服务器,数据服务器执行该指令后形成一个数据结果集反馈给应用服务器,再由应用服务器根据用户权限将数据分类后再反馈给用户。通过这样的控制流程,可以避免用户直接访问数据服务器,从而保障数据服务器的安全。
七、结束语
随着社会信息化成为国家现代化建设的战略举措,加强档案信息化建设,是档案事业发展的必然选择。在全国掀起的档案信息化浪潮中,“数字档案馆”建设实已成为我国档案事业发展的战略目标,而数字档案馆系统建设则是该战略目标的核心内容之一,为保障档案信息资源的真实性、完整性、可靠性和有效性,必须全方面考虑数字档案馆系统的安全策略。为此,本文希望所探讨的数字档案馆系统安全策略能为今后数字档案馆系统建设起到参考作用。
标签:访问控制论文; 数字档案馆论文; 安全策略论文; 档案管理系统论文; 用户研究论文; 对象存储论文; 系统安全论文; 信息存储论文; 档案管理员论文; 信息安全论文; 元数据论文;