楊晨柳，方安，婁培，王茜，胡佳慧（中國醫(yī)學科學院醫(yī)學信息研究所）

《中共中央關(guān)于制定國民經(jīng)濟和社會發(fā)展第十四個五年規(guī)劃和二〇三五年遠景目標的建議》［1］指出要堅定不移地建設(shè)數(shù)字中國、加快數(shù)字化發(fā)展、建立數(shù)據(jù)資源安全保護等基礎(chǔ)制度和標準規(guī)范，保障國家數(shù)據(jù)安全。隨著信息技術(shù)的飛速發(fā)展及數(shù)據(jù)密集型計算科學的有力推動，數(shù)字技術(shù)給信息資源的管理、交互及利用帶來的便利顯而易見。然而，由于數(shù)字資源自身的脆弱性及其對保存環(huán)境的依賴性，數(shù)字資源在存儲和使用過程中容易受到技術(shù)、媒體和數(shù)據(jù)格式變革以及特定用戶團體變化等的影響而面臨數(shù)據(jù)機密性、完整性和可用性等方面的問題。同時，安全漏洞、數(shù)據(jù)泄露、網(wǎng)絡(luò)詐騙、勒索病毒等安全威脅日益嚴峻，進一步為數(shù)據(jù)安全防護工作帶來挑戰(zhàn)。因此，實現(xiàn)數(shù)字資源的安全風險管理已成為資源保障機構(gòu)的重要課題。根據(jù)國際開放歸檔信息系統(tǒng)（Open Archival Information System，OAIS）［2］的定義，數(shù)字資源的長期保存是一項確保數(shù)字對象在足夠長時間內(nèi)真實、完整和可理解的管理和維護行為。保護數(shù)字對象免受各種風險威脅是數(shù)字保存的一項重要內(nèi)容，通過風險評估對可能影響數(shù)字對象的不確定因素進行風險分析［3］，有效識別、控制和消除保存風險，是數(shù)字資源保存安全風險管理的有效途徑。

本研究依據(jù)國內(nèi)外相關(guān)標準規(guī)范，基于現(xiàn)有的風險管理研究成果，構(gòu)建數(shù)字資源保存安全風險評估體系及風險評價指標，同時結(jié)合醫(yī)學數(shù)字資源真實保存環(huán)境開展實證研究，以期為我國數(shù)字資源保存過程中的安全風險管理提供理論和實踐參考。

1 研究現(xiàn)狀

1.1 風險管理策略研究

部分學者從數(shù)字資源保存的系統(tǒng)管理、系統(tǒng)運行、技術(shù)環(huán)境等方面進行探討。如，通過風險等級和關(guān)系分析，明確風險規(guī)避、處置、轉(zhuǎn)移和容忍等風險管理策略［4］，或者基于周期性和關(guān)聯(lián)性分析，提出風險辨識、風險評價分級、風險預警預控等風險管理策略［5］。還有部分學者針對數(shù)字保存的真實性、完整性、可識別性、可理解性等需求提出解決方案。如，建立全方位的風險檢測機制，提升數(shù)字資源保存質(zhì)量，降低數(shù)字保存風險導致的損失［6-8］；對信息對象真實性保障模式進行梳理，提出健康科學數(shù)據(jù)長期保存真實性的保障方法［9］。也有研究通過對比現(xiàn)有風險評估方法，完善風險管理機制。如，將PDCA（Plan，Do，Check，Act）循環(huán)理論嵌入長期保存管理各流程階段，分析風險評估模型的構(gòu)建要素［10］；識別數(shù)字保存管理流程中的潛在風險，創(chuàng)建風險處理計劃［11］；分析云計算、大數(shù)據(jù)、物聯(lián)網(wǎng)等引發(fā)的數(shù)據(jù)風險，提出風險緩解策略［12］；等。

1.2 風險評估模型構(gòu)建

部分學者側(cè)重分析現(xiàn)有風險評估模型特征。如：探討SPOT模型在數(shù)字保存風險識別、風險評估與風險管理方面的應用情況［13］；對比已有風險管理模型，為數(shù)字資源風險評估模型選擇提供參考［14］；將風險管理模型應用于組織和資產(chǎn)安全風險管理，指定支撐管理決策和備份方案［15］。還有研究特定場景下的風險評估模型進行探索，提出自動過時風險管理系統(tǒng)，對長期保存中的文件格式版本、存儲媒體、軟硬件、操作系統(tǒng)等進行監(jiān)測［16］，或者設(shè)計基于灰色神經(jīng)網(wǎng)絡(luò)的云存儲風險評估模型，提升對云平臺大數(shù)據(jù)的安全保護［17］。

綜上所述，已有研究為數(shù)字資源保存提供了多種風險評估思路，但對于數(shù)字資源保存安全風險評估的策略研究多集中于模式分析和規(guī)范制定，對于風險評估模型構(gòu)建的研究多集中于已有模型特征分析與發(fā)現(xiàn)，而對于真實場景下風險評估體系的構(gòu)建與效果評價研究尚待開展。

2 相關(guān)標準

2.1 安全風險管理標準

出于對信息安全重要性的認同，國內(nèi)外已相繼發(fā)布了一系列和信息安全風險評估與管理標準，如《信息技術(shù) 安全技術(shù) 信息安全風險管理》（ISO/IEC 27005：2018）［18］、《風險管理指南》（ISO 31000:2018）［19］、《空間數(shù)據(jù)和信息傳輸系統(tǒng) 可信任數(shù)位典藏審核與認證》（ISO16363:2012）［20］、《IT系統(tǒng)風險管理指南》（NIST SP800-30）［21］、《信息安全技術(shù) 信息安全風險管理指南》（GB/Z 24364-2009）［22］等。這些標準規(guī)范為信息系統(tǒng)和數(shù)字資源風險管理提供了指導，然而真實應用中的數(shù)字資源保存安全風險管理還需明確威脅環(huán)境、評估內(nèi)容、優(yōu)先管理的資源及范圍等要素?？突仿〈髮W軟件工程研究所提出的關(guān)鍵操作威脅、資產(chǎn)和漏洞評估（Operationally Critical Threat，Asset，and Vulnerability Evaluation，OCTAVE）方法，為數(shù)字資源提供了安全風險評估線性流程，其最新版本為OCTAVE Allegro［23］。

2.2 標準適用性分析

從適用范圍、評估流程、評估方法、處置措施、監(jiān)控審查等方面將對表中所示6個安全風險管理標準進行對比分析（見表1），可以發(fā)現(xiàn)上述這些標準的評估流程基本一致，主要包含風險識別、分析、評估等基本內(nèi)容，以及相應的風險處置措施與監(jiān)控審查建議。但這些標準一般僅作為指導性文件，未提供具體的風險評估方法與工具，也未針對應用場景進行細化。數(shù)字資源保存安全風險評估需確定優(yōu)先管理的資源及范圍，界定威脅環(huán)境及評估內(nèi)容，針對性選擇風險評估與處置標準。就評估方法而言，OCTAVE對風險管理對象、風險評估流程、威脅場景信息、定量分析策略等進行了詳細說明，通過將定性描述與定量分析相結(jié)合，更適用于判斷數(shù)字資源保存亟須解決的潛在風險；就處置措施而言，GB/Z 24364-2009基于閉環(huán)控制、主動防御的動態(tài)安全模型，能夠為評估流程各階段提供更全面、針對性更強的風險處置措施與建議。但OCTAVE評估流程各階段內(nèi)容較為簡單，未針對評估細節(jié)提供具體說明，也未將風險處置、監(jiān)督、復測評等列入基本流程，仍需進一步完善。

表1 安全風險管理標準對比分析

3 數(shù)字資源保存安全風險評估體系構(gòu)建

基于上述對現(xiàn)有標準規(guī)范及評估方法的分析，本研究依據(jù)《信息安全技術(shù) 信息安全風險管理指南》，結(jié)合OCTAVE設(shè)計思路，構(gòu)建面向數(shù)字資源保存的安全風險評估體系（見圖1），具體包括4個階段，涉及13個步驟及9類記錄文檔。

圖1 數(shù)字資源保存安全風險評估體系

3.1 數(shù)字資源保存安全風險域及指標創(chuàng)建

創(chuàng)建風險度量及評估指標可以明確數(shù)字資源安全風險域和影響因素。本研究基于保存系統(tǒng)重要數(shù)字資源及關(guān)鍵應用服務，以文獻研究、用戶訪談、現(xiàn)場觀察等方式進行數(shù)據(jù)收集，分析安全風險管理內(nèi)容，將應重點關(guān)注的內(nèi)容定義為“風險域”（Impact Area，IA），如數(shù)據(jù)、系統(tǒng)、人員、經(jīng)費等。確定待評估風險域后，創(chuàng)建風險域度量指標作為威脅程度的評價依據(jù)，如數(shù)字資源損失、系統(tǒng)服務異常、用戶信任度降低等。同時，對風險域的重要程度進行優(yōu)先級排序及賦值，即重要程度越高，優(yōu)先級越高，賦值越大。

3.2 數(shù)字資源保存環(huán)境安全評估范圍界定

對象識別和范圍界定是風險評估活動的基礎(chǔ)，對重要數(shù)字資源及保存環(huán)境進行標識，能夠避免混淆風險評估范圍以及降低評估對象的不明確性。在具體操作過程中：一方面，梳理基本情況，創(chuàng)建重要數(shù)字資源列表，記錄質(zhì)量、特征、價值等重要信息，明確風險評估范圍及邊界；另一方面，在保存環(huán)境中引入“容器”概念，描述數(shù)字資源存儲、傳輸和處理等操作的位置和方式，通過將數(shù)字資源映射到其所關(guān)聯(lián)的容器來定義必須檢查的風險環(huán)境。

3.3 數(shù)字資源及保存環(huán)境安全威脅場景識別

安全風險要素與場景識別是風險評估的重要環(huán)節(jié)。首先，創(chuàng)建保存環(huán)境列表，結(jié)合容器信息定義“威脅場景”（Threat Scenarios，TS），描述與容器相關(guān)的可能造成風險域損失的活動，明確數(shù)字資源保存可能存在的安全風險。其次，基于安全威脅場景，采用問卷調(diào)查和專家咨詢法判斷威脅發(fā)生的情況及可能帶來的影響，使用“風險等級”（Risk Level，RL）描述威脅對風險域的影響程度。同時，對威脅場景信息進行記錄，如相關(guān)人員、威脅手段、威脅結(jié)果、安全要求等，作為后續(xù)風險評估和管理活動的依據(jù)。

3.4 數(shù)字資源保存相對風險指數(shù)分析及風險處置

威脅場景評分是數(shù)字資源保存風險分析與處置的關(guān)鍵，該評分可用于多威脅場景當前風險程度的比較，以及伴隨操作環(huán)境變化的跨時間比較?！跋鄬︼L險指數(shù)”是威脅場景評分的具體呈現(xiàn)，也是數(shù)字資源保存安全威脅場景的風險程度衡量指標，指數(shù)越大表示該場景的潛在風險程度越高、越緊迫。相對風險指數(shù)計算過程如下。

（1）采用問卷調(diào)查、現(xiàn)場咨詢、實際調(diào)研等方式，獲取威脅場景對每個風險域的威脅程度，完成風險等級賦值。

（2）將風險域（IA）的優(yōu)先級a（IA）（取值為1到n，n越大優(yōu)先級越高）與其對應的任一威脅場景（TS）的風險等級（RL）值b（RL）相乘，得到該威脅場景對風險域的影響指數(shù)R（IA），再累加單個威脅場景對應的所有風險域的影響指數(shù)R（IA），得到該威脅場景的相對風險指數(shù)f（TS），計算公式如下：

（3）降序排列風險指數(shù)，結(jié)合資源價值、安全要求、相關(guān)容器、操作環(huán)境等因素，確定哪些風險需要處置，進而選擇并執(zhí)行合適的風險控制措施。如，參照《信息安全技術(shù) 信息安全風險管理指南》提出的規(guī)避、轉(zhuǎn)移、降低、接受4類風險處置建議，或結(jié)合數(shù)字保存系統(tǒng)風險處置能力和現(xiàn)狀進行適當調(diào)整。

（4）對處置方式和結(jié)果進行周期性檢驗，驗證數(shù)字保存安全風險管理效果，優(yōu)化和完善管理流程。當數(shù)字資源保存環(huán)境發(fā)生改變時，需及時修改并調(diào)整風險度量指標，重新進行風險評估，以保證評估結(jié)果準確、可靠。

4 實證研究分析

4.1 對象選擇及實驗規(guī)劃

健康醫(yī)療數(shù)據(jù)作為國家戰(zhàn)略性資源，是數(shù)字資源保存的重點。本研究選取醫(yī)學數(shù)字資源長期保存系統(tǒng)MedPRES［24］及其存檔內(nèi)容為安全風險評估對象，采用問卷調(diào)查和定量分析法，評估數(shù)字資源保存的潛在安全威脅，識別、控制和消除潛在風險，在保證存檔資源機密性、完整性、可用性的同時提高內(nèi)容的安全性。

（1）創(chuàng)建安全風險域及度量標準。采集并分析系統(tǒng)風險管理數(shù)據(jù)，將數(shù)字資源保存活動重點關(guān)注的數(shù)字對象、系統(tǒng)性能、用戶信任度和運行成本4部分內(nèi)容定義為安全風險域。創(chuàng)建風險度量指標，完成風險域優(yōu)先級排序（數(shù)字對象＞系統(tǒng)性能＞用戶信任度＞運行成本）。

（2）界定保存環(huán)境與評估范圍?；诠芾頂?shù)據(jù)分析結(jié)果，標識長期保存的關(guān)鍵數(shù)字資源，確認風險評估范圍。識別評估范圍中與資源保存活動密切相關(guān)的設(shè)施、服務、程序等主要內(nèi)容，作為數(shù)字資源保存相關(guān)的3個容器，分別定義為基礎(chǔ)設(shè)施、系統(tǒng)服務和應用程序。

（3）安全威脅場景識別。本研究從《空間數(shù)據(jù)和信息傳輸系統(tǒng) 可信任數(shù)位典藏審核與認證》中選取與3個容器對應的18項評估指標作為威脅場景，分析威脅活動對風險域的影響程度以及可能造成的后果。

（4）相對風險指數(shù)分析討論。通過問卷調(diào)查法，收集18個威脅場景對風險域影響程度的調(diào)查數(shù)據(jù)，結(jié)合相對風險指數(shù)公式，對評估結(jié)果進行對比、分析。

4.2 實驗方法及過程

4.2.1 問卷設(shè)計、發(fā)放與回收

采取李克特5分量表形式，根據(jù)安全威脅場景對不同風險域的影響程度設(shè)計調(diào)查問卷，其中，Q1至Q18表示數(shù)字資源保存面臨的18種威脅場景，C1至C4表示威脅場景對風險域造成的4類影響（見表2），選項“非常不贊同”“不贊同”“一般贊同”“贊同”“非常贊同”分別對應風險等級1-5。為確保問卷調(diào)查結(jié)果的科學性與嚴謹性，筆者分別向衛(wèi)生健康和信息安全領(lǐng)域?qū)＜?、?shù)字資源管理人員以及數(shù)字保存服務用戶發(fā)放問卷。

表2 數(shù)字資源保存威脅場景影響程度分析問卷

本研究通過網(wǎng)絡(luò)共發(fā)放260份問卷（C1-C4問卷各65份），回收問卷248份，經(jīng)過篩選，得到有效問卷240份。

4.2.2 信效度檢驗

信度是指問卷所測得結(jié)果的穩(wěn)定性及一致性，在李克特量表中常用的信度檢驗方法為Cronbach α系數(shù)。本研究采用SPSS軟件對有效問卷進行信度分析（見表3），發(fā)現(xiàn)所有Cronbach α系數(shù)均大于0.9，表明數(shù)據(jù)真實可靠。效度分析用于檢驗問卷題項信息的有效程度。本研究根據(jù)KMO和Bartlett球形檢驗進行問卷的效度分析（見表3），發(fā)現(xiàn)KMO檢驗系數(shù)均大于0.5，Bartlett球體檢驗的顯著性概率均小于0.05，說明各變量之間存在顯著相關(guān)性，因而問卷設(shè)計合理。

表3 信效度檢驗結(jié)果

4.2.3 相對風險指數(shù)計算

基于數(shù)字資源保存風險域的優(yōu)先級排序，本研究對數(shù)字資源、系統(tǒng)服務、用戶信任度、運行成本分別賦值4、3、2、1。對問卷采集的樣本進行統(tǒng)計，取眾數(shù)選項作為問卷每個場景下對應風險域的風險值，根據(jù)3.4節(jié)風險指數(shù)計算公式，計算威脅場景的相對風險指數(shù)f（TS）（見圖2）。

4.3 實驗結(jié)論與建議

4.3.1 實驗結(jié)果與分析

根據(jù)圖2可知，數(shù)字資源保存關(guān)聯(lián)項中，系統(tǒng)服務與基礎(chǔ)設(shè)施的威脅場景整體風險較高，應用程序的威脅場景相對風險較低，有以下內(nèi)容需重點關(guān)注。①系統(tǒng)服務部分。軟件支撐服務的可持續(xù)性，即安全可靠的保存管理團隊（Q5）是本次評估風險指數(shù)（47分）最高的威脅。同時，為系統(tǒng)服務可持續(xù)性提供支撐的重要因素——保存服務運行資金（Q7、Q6）也存在較高風險（36分、33分）。②基礎(chǔ)設(shè)施部分。相關(guān)威脅占據(jù)風險指數(shù)排序第2-4位，即備份載體配置（Q4）、應用系統(tǒng)模塊（Q1）和存儲設(shè)備模塊（Q3）均存

圖2 不同威脅場景下的相對風險指數(shù)

在較高風險（41分、40分、38分）。③應用程序部分。僅有個別場景需要優(yōu)先處置，如未配置數(shù)字資源損壞檢測和恢復程序（場景Q14）存在較高風險（38分）。值得注意的是，可信賴系統(tǒng)的建設(shè)及認證涉及整個長期保存流程，尤其是對關(guān)鍵軟硬件的監(jiān)控預警（Q9、Q13）是影響數(shù)字資源可靠性、可用性的重要因素（風險指數(shù)36分和35分）。

4.3.2 研究建議

基于上述試驗結(jié)果建議從以下四個方面加強數(shù)字資源保存的安全風險管理。

（1）注重數(shù)據(jù)管理人員的專業(yè)素養(yǎng)。保存管理團隊是數(shù)字資源保存需要優(yōu)先處置的最高風險。數(shù)字資源長期保存包含資源采集、接收、攝入、保存、訪問等一系列活動，系統(tǒng)管理過程繁雜，存在諸多不確定因素，管理團隊成員一旦出現(xiàn)問題（如實施誤操作、惡意破壞、非授權(quán)訪問等），將直接造成數(shù)字資源損失。因此，建議注重數(shù)字資源保存團隊的培養(yǎng)和建設(shè)，提升可持續(xù)的系統(tǒng)服務保障能力。如：面對不斷變化的保存環(huán)境，如何制定有效的業(yè)務連續(xù)性保障計劃；面對復雜的數(shù)字資源管理流程，如何對團隊成員進行合理分配，滿足系統(tǒng)運維及管理需求；面對工作人員知識結(jié)構(gòu)存在差異，如何合理規(guī)劃人員崗位職責，保障其專業(yè)性和可靠性等。

（2）保障數(shù)字資源保存有持續(xù)穩(wěn)定的資金投入。軟硬件等系統(tǒng)運行資金的可持續(xù)性是需要重點關(guān)注的問題。數(shù)字資源保存活動需要長期的資金投入，不僅包括問卷中涉及的軟硬件運行費用，還包括日常運維、物理環(huán)境、人力資源等相關(guān)費用。然而，由于長期保存活動一般難以在短期內(nèi)取得可見效益，數(shù)字資源的戰(zhàn)略保存往往缺少持續(xù)專用經(jīng)費的支持，而一旦失去穩(wěn)定的資金來源支持，將無法保障長期保存活動的持續(xù)開展。因此，需制定合理的保存策略，有效規(guī)劃運行資金，保障數(shù)字資源保存有持續(xù)穩(wěn)定的資金投入。

（3）加強數(shù)字資源全生命周期的監(jiān)控管理。數(shù)字資源長期保存和管理過程中涉及的仿真、遷移等操作，包括自然災害等不確定因素，均可能造成數(shù)字資源的損壞或丟失。同時，無預警故障也將造成長期保存系統(tǒng)服務異常或中斷，直接破壞存檔環(huán)境，對數(shù)字資源保存狀態(tài)和保存期限造成影響。此外，隨著科學技術(shù)的發(fā)展，軟件不斷更新升級，相繼出現(xiàn)文件格式過時、軟件不兼容導致的數(shù)字資源不可讀等問題，嚴重威脅數(shù)字資源長期的可用性。因此，建議加強存檔數(shù)字資源及其關(guān)聯(lián)軟硬件全生命周期的監(jiān)控，確保潛在風險能夠及時被發(fā)現(xiàn)和解決，實現(xiàn)數(shù)字資源的安全、高效管理。

（4）建議共同努力推動國家行業(yè)標準的制定。長期保存載體對數(shù)字資源安全性、完整性具有較大威脅。目前廣泛應用的磁性載體壽命普遍較短，但在經(jīng)歷數(shù)次變革后，保存介質(zhì)從容量、壽命、穩(wěn)定性與安全性方面都得到了較大改善，最新的微縮膠片技術(shù)、磁光電混合技術(shù)能進一步延長存儲載體壽命，但是否可以大量應用于長期保存活動仍需驗證，永久保存更是尚未解決的技術(shù)難題。備份載體主要用于保存數(shù)字資源副本，當系統(tǒng)軟硬件故障造成資源損壞時，能夠及時對受影響資源進行恢復，保障資源完整性。當前，環(huán)境和資金仍是影響備份載體的主要原因，不適宜的溫度、濕度可能造成載體損壞，導致資源丟失。載體數(shù)量及空間不足也將無法滿足所有存檔數(shù)字資源的備份需求，一旦出現(xiàn)問題，將無法利用備份完成恢復。因此，應盡快形成保存載體選擇及使用標準，確保數(shù)字資源長期安全可用。

5 結(jié)語

本研究構(gòu)建了一種數(shù)字資源保存風險評估體系，該體系可用于對數(shù)字資源保存潛在風險的防范，以及對現(xiàn)有保存策略的可信度驗證。結(jié)合醫(yī)學數(shù)字資源保存開展實證研究，為可信賴系統(tǒng)建設(shè)和數(shù)字資源安全風險管理提供了有效支撐。因此，本研究的成果可用于輔助數(shù)字資源保存機構(gòu)和保存服務對象制定保存規(guī)劃和保存策略。對保存機構(gòu)而言，有效的風險評估和管理方法能夠提升保存服務能力，保障數(shù)字資源完整性和可用性；對保存服務對象而言，擁有較強風險評估和管理能力的保存環(huán)境具有更高的可信度，數(shù)字資源保存在這樣的環(huán)境中會具有更高的安全性和可靠性。

本研究也存在一定的局限性：實證部分側(cè)重對可信賴的數(shù)字資源保存環(huán)境中的技術(shù)風險評估，對于數(shù)字資源保存過程中面臨的臺風等自然災害、戰(zhàn)爭等災難事件以及法律政策因素等外部風險評估尚未涉及，后續(xù)研究將考慮擴大風險評估范圍，持續(xù)優(yōu)化和完善真實場景下的數(shù)字資源保存風險管理體系。