档案信息系统查询利用安全保护

档案信息系统

查询利用安全保护

档案信息系统查询利用安全保护的主要目标是防止档案信息的扩散，有效防范人员操作的风险、过程的风险等，对这些风险进行预判，做到事前可防范、事中可控制和事后可审计，从而有效保障档案信息的安全，具体地，可以采用以下的策略和技术方式实现：

1

安全策略

档案利用者在进行档案信息的查询利用时，需要按照电子文件与电子档案管理系统的统一安全策略，通过审批流程获得相应的调阅权限。

档案管理系统应根据利用者所使用主机的硬件环境生成机器密钥和借阅人身份密钥对档案进行自动的加密处理，该档案信息将只能由利用者在该主机内正常访问，任何方式的传阅或拷贝在其他终端或工作站都无法访问该档案文件。

同时，档案管理系统对档案信息密级进行分类，当用户需要访问高于某一级别的档案信息时，请求将被重定向到安全终端访问平台，档案信息只能在安全终端访问平台中查看，档案信息不能下载到借阅主机上，实现数据“终端不留密”要求。

2

输出保护

输出保护主要针对的是档案信息传输和下载的过程。通过输出保护，对电子文件与电子档案管理系统中的档案信息绑定版权信息，有效防止利用过程中通过网络传输的档案信息被窃取，保证档案信息不扩散到不应知悉或获取的范围。

传统档案管理系统中的档案文件在点击下载到终端上查看和操作时，档案信息处于明文状态，由于用户终端或信息网络存在安全和管理的脆弱点，容易造成档案信息外传而导致信息泄密，需要对档案信息进行版权加密保护。应通过版权控制管理技术来保护档案信息，授权给合法用户查阅，保证对档案信息进行不同的操作时，能控制有浏览权限的人是否能复制、打印、摘录、传播，从而保证敏感信息不被泄漏。

1.加密保护

对电子文件与电子档案管理系统中的档案信息数据进行加密保护，防止信息泄密，主要涉及到数据传输前的加密保护以及在用户终端上的加密保护。可以采用标准的对称算法对文档内容进行加密，使用非对称算法对文档内容的加密密钥进行加密，这样既做到了加密过程的高效，又满足了安全性的要求。加密保护技术实现可以分为以下几个部分：

（1）文档加密：档案信息在传输前可在服务器端结合用户的身份和密钥进行加密，并写入针对该用户的安全控制信息，只有特定用户才能解密文档，执行权限范围内的操作，即使文档被非法获取，也无法解密。

（2）透明解密：用户读取、打开档案文件时，系统对加密文件进行透明解密，用户无感知，不影响用户正常的与用户体验。

（3）终端保护：通过对终端计算机上部署客户端，进行与档案管理系统相关的档案信息的安全保护，防止由终端操作不当或者病毒入侵等造成的数据安全问题。

对于加密的档案信息的查看过程应无需过多的人工干预，由电子文件与电子档案管理系统根据系统的用户身份密钥和操作权限在后台对加密档案信息进行读写调用：写入磁盘时进行加密，读取和操作时解密成明文供用户操作，用户没有感觉有操作习惯上的变化，文件读取速度上没有明显变慢。要求加密档案信息对象与格式无关，支持通用的办公、、视频等文件格式。

2.水印保护

水印保护实现对档案信息进行版权的显性保护，能够对被打开或打印的文件内容附加水印信息。水印信息中可以添加操作人、部门、操作时间等信息。通过水印保护，即使一些用户进行超出权限范围的拍摄或截屏等操作，也能保障档案信息的版权所有，避免档案信息被非法扩散和传播。水印保护技术实现可以分为以下几个部分：

（1）浏览水印：用户在操作和浏览被保护的档案信息时，在屏幕显示该信息过程中一直附有文件属性的底纹，底纹的内容涵盖用户、单位、部门、密级等文件属性及警示等信息。底纹的覆盖率超过50%，用于防范随意拍照，通过水印方式警示借阅人员进行拍照等恶意行为。

（2）文件水印：采用水印直接对电子档案进行防护，受保护的电子档案打开时在该文件的内容上自动覆着一层水印信息，水印内容包含组织或部门名称和用户名等相关信息，能够追溯源头，对非法的屏幕截屏等也有一定的防护能力。系统可以设置在用户下载电子档案时即自带水印。

（3）打印水印：由于不少档案利用者在利用档案时想要打印输出档案信息，如果档案信息不加水印就直接输出，有可能被非法利用，因此，在打印档案信息时可以根据需要加入相关的水印信息，水印内容可以包含利用者的唯一身份标识、单位、操作时间等相关信息，既防止通过打印引起的信息泄密，也便于追溯文件使用用户，确定信息外泄源头。

（4）水印信息定制：系统可以根据实际工作需要，定义每份文档要显示的水印信息，以区分不同档案信息的版权保护需要。

3

操作控制

操作控制对应前面的操作过程管控。对用户操作的控制是确保档案信息安全的关键。通过设定安全策略，将管理上的要求嵌入电子文件与电子档案管理系统中，实现对所有档案信息的操作控制，实现档案信息的防泄密和防篡改。

系统应能够控制每个档案信息的操作控制权限，操作控制权限可以定义在一定的期限内、或某个固定终端计算机上，可以进行操作种类等等。

用户应在档案信息安全等级和批准使用方式的约束下对文件进行相应权限的操作，其操作权限严格受到控制，不得超出授权范围以外的操作；禁止非认证的应用程序对档案信息的操作，避免加密信息另保存为非加密信息；用户需要高级别的操作权限时，可以向管理人员申请，经审批通过后系统向用户下放指定档案文件的高级别操作权限；对于使用期限到期的电子档案文件（如文件档案借阅），系统应实现电子档案的回收，达到“覆水能收”的效果。主要采取以下的控制措施：

（1）截图控制：通过档案信息安全保护系统的终端读取电子文件头部信息，获取截屏控制策略，如果禁止截屏，终端安全服务会阻止操作系统截屏进程以及第三方截屏工具的操作。

（2）进程控制：终端的安全保护系统可以阻止指定进程对档案信息的访问。如：控制电子邮件、具有网络传输功能的通信软件等对档案信息的访问，有效防止档案信息的非法传播。

（3）操作告警：对正在发生的操作行为进行监控，对非法访问或操作行为进行告警，并通知管理人员。

（4）操作控制：主要通过进程识别技术和APIHOOK技术来实现。当防护终端识别出正在操作档案信息的进程时，捕获其操作的API，如截图、保存、打印等，从而改变原有的行为轨迹，实现安全控制。主要原理如下图：

每一个Hook都有一个与之相关联的指针列表，称之为钩子链表，由系统来维护。这个列表的指针指向指定的，应用程序定义的，被Hook子程调用的回调函数，也就是该钩子的各个处理子程。当与指定的Hook类型关联的消息发生时，系统就把这个消息传递到Hook子程。一些Hook子程可以只监视消息，或者修改消息，或者停止消息的前进，避免这些消息传递到下一个Hook子程或者目的窗口。

4

设备管控

设备管控是指通过对档案信息查询利用中涉及到的设备进行管控来规避设备引起的风险，确保档案信息安全。主要包括：

（1）对每台终端计算机和相关设备进行登记备案，并做好标识，自动发现非法接入的计算机或设备并进行告警；

（2）对移动存储设备如U盘、移动硬盘、手机、平板等进行登记和管控，并做好标识，禁止非法接入终端计算机或存储设备，并进行告警；

（3）根据工作需要，对计算机上的所有可连通的端口和网络口进行管控，如USB、光驱、Wifi、串口、蓝牙等。如需开通，必须通过管理员的认可，履行相应的审批程序，并进行记录。

（4）对于存储档案信息的存储介质进行加密，即使存储介质丢失，别人也无法解密；导出的档案信息只有在指定人员的计算机上，利用专用的解密工具和KEY才能解密，确保档案信息的安全。

5

主机安全

主机系统安全的目标是确保在查询利用过程中，档案信息在进入、离开或驻留主机时保持可用性、完整性和保密性。它包含一系列关于主机安全的策略和技术手段，通过采用相应的身份认证、访问控制等手段阻止未授权访问，采用防火墙、入侵检测等技术确保主机系统的安全，进行事件日志审核以发现入侵企图，在安全事件发生后通过对事件日志的分析进行审计追踪，确认事件对主机的影响以进行后续处理。

主机系统安全防护包括对档案信息服务器及桌面终端的安全防护。服务器包括各类档案管理应用服务器、网络服务器、WEB服务器、文件与通信服务器等；桌面终端是指作为终端用户工作站的台式机与笔记本计算机。

（1）身份鉴别

应为不同用户分配不同的用户名，确保用户名具有唯一性。对登录主机的用户进行身份标识和鉴别，用户身份标识应具有不易被冒用的特点，口令应有复杂度要求并定期更换。应启用登录失败处理功能，可采取结束会话、限制非法登录次数和自动退出等措施；当对服务器进行远程管理时，应采取必要措施，防止身份鉴别信息在网络传输过程中被窃听。

应采用两种或两种以上组合的身份鉴别技术对管理用户进行身份鉴别。

（2）访问控制

应启用访问控制功能，依据安全策略控制用户对档案信息资源的访问；根据管理用户的角色分配权限，实现管理用户的权限分离，仅授予管理用户所需的最小权限；应实现操作系统和数据库系统特权用户的权限分离；应严格限制默认帐户的访问权限，重命名系统默认帐户，修改这些帐户的默认口令；应及时删除多余的、过期的帐户，避免共享帐户的存在。

应对重要信息资源设置敏感标记；应依据安全策略严格控制用户对有敏感标记重要信息资源的操作；

（3）安全审计

应启用安全审计，审计范围应覆盖到服务器和重要客户端上的每个操作系统用户和数据库用户；审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件；审计记录应包括事件的日期、时间、类型、主体标识、客体标识和结果等；应能够根据记录数据进行分析，并生成审计报表。

应保护审计进程，避免受到未预期的中断；应保护审计记录，避免受到未预期的删除、修改或覆盖等。

（4）入侵防范

应能够检测到对重要服务器和终端进行入侵的行为，能够记录入侵的源IP、攻击的类型、攻击的目的、攻击的时间，并在发生严重入侵事件时提供报警。

应能够对重要程序的完整性进行检测，并在检测到完整性受到破坏后具有恢复的措施。

操作系统应遵循最小安装的原则，仅安装需要的组件和应用程序，并通过设置升级服务器等方式保持系统补丁及时得到更新。

（5）恶意代码防范

应安装防恶意代码软件，并及时更新防恶意代码软件版本和恶意代码库；主机防恶意代码产品应具有与网络防恶意代码产品不同的恶意代码库；并支持防恶意代码的统一管理。

（6）资源控制

应通过设定终端接入方式、网络地址范围等条件限制终端登录；应根据安全策略设置登录终端的操作超时锁定；应对重要服务器进行监视，包括监视服务器的CPU、硬盘、内存、网络等资源的使用情况。

应确保系统内的档案信息文件、目录和数据库记录等资源所在的存储空间，被释放或重新分配给其他用户前得到完全清除。应限制单个用户对系统资源的最大或最小使用限度；应能够对系统的服务水平降低到预先规定的最小值进行检测和报警。