時間:2023-06-05 10:17:02
開篇:寫作不僅是一種記錄,更是一種創造,它讓我們能夠捕捉那些稍縱即逝的靈感,將它們永久地定格在紙上。下面是小編精心整理的12篇安全保障體系建設,希望這些內容能成為您創作過程中的良師益友,陪伴您不斷探索和進步。
(一)檔案安全保護被賦予了新的內涵,可讀性(有效性)成為繼真實性、完整性、保密性之后數字檔案保護的應有之義。不能為人直接識讀的數字檔案具有對其生存環境的依賴性,如何確保不同生成環境下檔案信息的可讀、可用,尤其是在不同技術平臺上生成的數字檔案的“透明”共享,是當下檔案保護的一大難題;同時,技術的推陳出新,計算機軟硬件環境的頻繁升級,意味著數字檔案在其漫長的生命歷程中必須不斷遷移其技術環境,由此帶來了遷移過程的安全性以及遷移后數字檔案的有效性問題。
(二)數字檔案保護遭遇了前所未有的挑戰。一方面,如何維護數字檔案的真實、完整,實現數字檔案的長久保管成為一個世界性難題。InterPARES項目、美國的ERA10多年致力于這一領域的研究,但至今仍未獲得理想的結果。另一方面,數字網絡環境下,檔案信息置身于一個充滿更多威脅、更大風險的利用空間,黑客攻擊、網絡竊聽、程序漏洞、病毒危害、操作失誤等均可能造成檔案的失密、篡改和非法利用,因而必須采取更為嚴密、可靠的安全保護措施。
(三)近年來頻發的自然與人為災害,提升了社會的檔案災備意識。檔案作為社會活動的記憶和人類知識的儲備,在實體資源遭受毀壞時,可以幫助人們及時復原再造,恢復生產,但若檔案自身遭受嚴重損毀,則造成的損失將是毀滅性的。汶川、玉樹地震、舟曲泥石流、南方洪澇災害等給檔案界敲響了防災容災的警鐘,風險評估、應急災備已成為抵御災害侵襲,保障檔案安全的必要對策。
(四)國內信息安全的嚴峻局勢,對檔案信息及其管理系統的安全構成很大威脅。在信息化發展過程中,由于核心技術仍受制于西方,我國的信息安全形勢十分嚴峻,曾有官方報告指出,國內90%的信息設施存在安全隱患。檔案信息因其特殊價值而有可能成為國內外敵對勢力竊取的目標,國際舞臺上不斷上演的間諜門事件提醒我們,必須重視檔案信息及其管理系統的安全性。
二、檔案安全保障體系建設的現狀
(一)檔案信息化的有關法律、法規和制度不夠健全。目前,我國在檔案信息化建設過程中還沒有專門的法律、法規來對檔案信息化建設進行保護,僅僅依靠通用的計算機法律、法規來維護檔案信息化建設的安全。這對那些刻意攻擊、竊取、毀壞檔案信息的破壞分子來說實在是微不足道,一旦他們得逞,勢必給我國的檔案事業發展造成不可估量的損失。
(二)檔案信息化網絡建設中信息安全技術應用不夠全面。我國的檔案信息化網絡建設目前處于內網、專網和外網同時使用階段,隨著信息技術的不斷發展,信息競爭、黑客攻擊等人為惡意破壞因素的存在,檔案信息化網絡建設中信息安全技術應用不夠全面,使得檔案信息系統變得非常脆弱,易受來自各方面的攻擊。從事黑客的人或組織可能會不斷地尋找檔案網絡系統上的的漏洞,以潛入檔案信息系統。一旦網絡被人攻破,機密的數據、資料可能會被盜取,網絡可能會被損壞,給我們的工作帶來難以預測的損失。另外,世界上每天都有新的計算機病毒產生,同樣會威脅檔案網絡的安全。
(三)各級檔案部門的安全管理體制不夠完善。有資料表明,大部分的計算機安全保密問題來自其系統內部,世界上70%信息被盜和泄密來自于內部,這主要是因為人員麻痹和安全管理體制不完善所造成的。
三、完善檔案安全保障體系的得力措施
(一)抓好宣傳,增強意識。要建立完善檔案安全體系建設,必須切實加強檔案安全的宣傳教育,增強全社會的檔案意識,將檔案保護意識融入檔案的價值論中,提高全社會的檔案保護意識,營造科學發展的檔案安全保護環境;要依托檔案業務活動和圍繞重大安全事件、熱點問題策劃宣傳活動,不斷豐富檔案宣傳的內涵;要改變檔案安全宣傳只在檔案行業內部宣傳的現狀,重視對外宣傳工作,增強全社會對檔案安全的重視和支持;要不斷拓展檔案宣傳的范圍與形式,通過多種途徑檔案安全信息,舉辦紀念座談會,邀請領導撰寫文章或發表電視電話講話,制作廣播電視專題節目等多種形式,針對不同層面的人群進行宣傳,有效地擴大宣傳的受眾面,不斷擴大檔案宣傳的影響與實效。
(二)領導重視,完善制度。檔案安全是檔案工作的重中之重,必須積極爭取領導的高度重視與支持,始終把檔案安全工作作為大事、要事來抓,牢固樹立“責任重于泰山,防范高于一切”的工作理念;要落實好檔案安全領導負責制,落實好檔案管理安全責任制,堅持領導查庫制度,將檔案安全工作落到實處,要把節假日值班保衛制度落實到人,認真巡查做好記錄,并對案卷的數量、質量、霉變情況進行檢查;要保證檔案管理工作所需人力、物力、財力,配備德才兼備的檔案人員,不斷改善檔案保管條件和環境,添置檔案管理必需的設施設備,對已配備設施設備,如檔案柜、防盜門窗、電源電線等經常進行完好率檢查,并安排專人落實、做好檔案庫房的“八防”和電子、紙質等各種檔案的保密工作,切實保障檔案安全工作的順利開展。
[關鍵詞]高校檔案 安全 管理
[中圖分類號]G271 [文獻標識碼]A [文章編號]1009-5349(2014)11-0040-01
近幾年以來,由于多數高校檔案館的管理意識淡薄,管理人員的責任心不強以及相關的管理經費投入不到位,導致防范措施不到位等,造成高校檔案實體安全和信息安全方面存在不同的隱患。
一、當前高校檔案管理中存在的問題
(一)設施設備不到位
當前,在我國部分高校中對于檔案館的管理和投入還得不到高度的重視。很多高校的檔案館的設施不到位,如沒有安裝滅火器、空調以及相關的除塵設備,存放書記的檔案柜也是破舊不堪,已經不能承受書籍的重量了。檔案館的防盜設施、防火設施也不完備,存在安全隱患。
(二)檔案安全制度不健全
在高校檔案管理中所有的資料都是紙質品,紙質的產品有其自身的弊端,這些檔案都怕遭受水以及蟲子、粉塵、光線等因素的破壞,為了保證檔案的安全性,應該采取相應的措施進行保護。這樣就需要檔案館建立健全管理制度,要做到每件事情都是有章可循,每個管理都是有制度可依,將責任落實到個人。但是有些高校的檔案管理制度還是存在一些缺陷,沒有建立完整的管理體系,缺乏檢查的力度和有效的制度執行保障。
(三)查閱利用監管不力
由于檔案館的管理人員責任心不強,導致檔案館的檔案出現丟失、破損等現象。有些檔案管理人員的素質不是很高,安全防范意識相對比較淡薄,監管執行力度也不夠,對于破環檔案書籍的行為視而不見,缺乏管理意識,導致檔案的破損。因此檔案室的監管不到位,會帶來一系列的麻煩。
(四)檔案安全意識淡薄
在高校檔案管理工作中也存在著安全意識淡薄、防范意識缺失的問題,有些高校不注重對從事檔案管理人員進行保密教育,導致他們保密觀念淡薄,保密意識欠缺,造成泄密事件時有發生,給國家、學校造成無法挽回的損失。
(五)安全管理措施亟待加強
部分高校檔案館的防護措施不到位,在一些高校的檔案管理缺乏安全監控設施,在學生進行信息輸入的時候,有可能導致數據信息的丟失和泄漏。檔案室的數據管理系統流于形式,起不到任何的防護作用。由于檔案室的疏于管理,多數高校檔案室的數據庫沒有備份以及相關的數據保護措施,檔案館的管理制度也是比較松散。沒有對比較重要的檔案和文件進行備份,如果檔案館出現事故,導致文件被損壞或者檔案館的系統被病毒攻擊,則會導致重要的數據全部丟失,造成的損失是不可估量的。
二、高校檔案管理措施思考
(一)完善檔案管理制度
要根據實際情況制定高校檔案安全工作的長期規劃,積極爭取領導的重視和支持,建立完善的檔案工作制度,聯系實際情況,制定《檔案庫房管理制度》《檔案統計制度》《檔案保管保密制度》《檔案鑒定銷毀制度》等相關制度。我們不僅要建立管理制度,更主要的是執行和落實相關的管理制度,保證相關的管理制度落到實處,每個責任都要落實到人,在落實責任的同時高校也應該加大檔案館的資金投入,保證檔案館的管理需要的人力、財力,并且安排責任心比較強的管理人員進行檔案工作的管理,不斷改善檔案保管條件和環境,切實保障檔案安全工作的順利開展。
(二)夯實庫房基礎設施建設
檔案庫房是高校檔案安全管理的基礎,檔案庫房建筑設計要按照《檔案館建筑設計規范》的要求,避開洗手間、鍋爐房、配電間、燃氣管道和有放射性物質的地方,避免樓頂和西曬,嚴禁用地下室做檔案庫房。檔案庫房要達到“九防”要求,要配備相應的防盜報警器、溫濕度記錄儀、滅火器、空調機、去濕機、消毒滅菌機、吸塵器、消磁柜等檔案保護設備。還要建立恒溫恒濕、防盜和防火報警、電視監控等檔案庫房安全保護智能化綜合管理系統,做到未雨綢繆,防患于未然。
(三)加強電子檔案及網絡安全保密管理
首先,計算機應當對借出的檔案進行登記并做好標識工作,對于檔案館的計算機系統應該進行的是實時防護,并在計算機的系統中設置防火墻,避免病毒的進入和攻擊,造成數據庫的信息丟失或者損壞。其次,對于比較機密的檔案應該設置專門的存儲系統,嚴禁非法復制、記錄、存儲地名信息。最后,單位應當按照分級保護的要求,建立檔案信息系統設施,設備安全配置和審計制度,嚴格賬戶、口令管理,安裝病毒防護軟件并定期升級。
【參考文獻】
[1]林生.論高校檔案安全保障體系建設[J].合肥工業大學學報(社會科學版),2012(4).
改革開放后,浙江經濟高速發展,但同時環境污染和生態惡化也給浙江敲醒警鐘。2002年6月,浙江省第十一次黨代會正式提出建設“綠色浙江”的戰略目標,同年出臺《浙江可持續發展規劃綱要》;2003年,召開全省生態省建設動員大會,制定實施《浙江省生態省建設規劃綱要》,正式實施生態省建設;2004年,啟動“811環境整治行動”(水系及運河、平原河網,11個省級環境保護重點監管區),2005年,又啟動“發展循環經濟991行動計劃”(9大重點領域、9個一批示范工程和100個左右重點項目);2008年,又啟動“811”新三年行動計劃,著力推進污染減排和重點區域環境整治。“十一五”以來,浙江省全面完成兩輪“811”環境整治行動任務,水系運河和主要湖庫地表水環境功能區水質達標率達73.7%,比2005年提高18.1個百分點;完成全省化學需氧量、二氧化硫減排任務,能源利用水平和生態環境綜合指數居全國前列。2010年7月,浙江省出臺《關于推進生態文明建設的決定》,提出堅持生態省建設方略、走生態立省之路,打造“富饒秀美、和諧安康”的生態浙江。其中,《意見》重點提出健全生態安全保障體系,加強環境監測體系建設,形成比較完善的應對突發環境事件和重大生物災害的防控體系。
案例內容
今年1月20日,浙江省出臺《關于加快構建環境安全保障體系的意見》,提出要深入推進生態文明建設,保障群眾健康和生態環境安全,到2015年,環境監測監控能力、環境執法監管能力、突發環境事件應急處理能力顯著增強,環境信息保障水平明顯提高,環保基礎設施建設和環境科技支撐能力全國領先,城鄉生態環境持續改善,基本形成科學、規范、高效的環境安全保障體系。
六大體系夯實環境安全基礎
按照《意見》的部署,浙江省將建設與該省經濟社會發展相適應的環境監測監控保障、環保基礎設施工程、生態保護和修復工程、環境執法與應急保障、環境信息保障、環境科技支撐等六大環境安全保障體系。
嚴格政府責任考核強化保障措施
為了扎實推進環境安全保障體系建設,《意見》強調,各級各部門要落實各項政策措施,并把這項工作納入生態省建設、“平安浙江”建設和環境保護目標責任考核。同時,要完善環境安全制度體系,堅持空間、總量、項目“三位一體”的環境準入制度,從源頭保障環境安全;嚴格執行污染物排放標準,深入開展各類環保專項執法行動。此外,要創新體制機制,充分發揮公共財政的導向作用,加大對環境安全保障體系建設的資金支持力度,積極探索多元化的投融資機制,鼓勵社會資金參與環境安全保障體系建設。特別是要進一步完善環境經濟政策,深化環境資源價格改革,健全反映市場供求關系、資源稀缺程度、環境損害成本的環境資源價格機制;建立健全企業環境行為信用等級評價體系,大力實施綠色信貸、綠色保險、電力(熱力)行業煙氣脫硝補助等環境經濟政策。
相關鏈接
江西“十二五”建生態安全保障體系
建設鄱陽湖生態示范區是江西“十二五”的一項很新任務。面對未來五年,最近的江西省“十二五”規劃《綱要》提出,要完善生態安全保障體系,以重要生態功能區為重點,充分利用山、水、林、濕地等生態要素,構建城鄉一體化、點線面結合的綠色生態屏障。大力發展循環經濟和節能環保產業,實施千萬噸標煤節能、農村清潔等工程,開展低碳城市試點、資源枯竭型城市轉型試點,提高全省生態文明水平。根據部署,未來5年,江西省將實施12項重大生態經濟基礎性工程,完善生態安全保障體系。
關鍵詞:檔案信息安全;保障體系建設;現狀;方法
隨著經濟的發展和社會的進步,尤其是網絡信息技術的快速進步,使得檔案信息的管理逐漸的網絡化,極大地提升了管理工作的效率與水平。但是在這種應用中,一個重要的問題產生了,即檔案信息的安全問題越來越嚴重。因此,我們需要對于出現的問題進行認真的研究與分析工作,并且制定出相應的辦法,全面建設檔案信息安全保障體系,提高其應對網絡安全風險的能力,推進檔案信息安全保障工作全面的進步。
一、檔案信息安全保障體系建設的現狀
進行檔案信息的安全保障工作具有非常重要的現實意義。但是從整體上而言,我國的檔案信息安全保障工作在現實層面依然存在著許多的問題。具體來講,第一,檔案存放的館舍環境有待改善。比如:我國許多的檔案存放的館舍存在著設施陳舊、缺少必要的隔熱、防潮、消防等功能,使得眾多的檔案存放過程面臨著不少的風險。第二,我國的實體檔案信息管理存在著一些問題。比如:首先,保存的早期檔案信息的字跡難以辨認。其次,保存的早期檔案多有破損或者是管理混亂。再次,對于檔案進行具體的管理中文書檔案與照片檔案的混合非常的嚴重。最后,對于保存的檔案沒有進行及時的通風,以至于一些檔案出現了損毀的情況。第三,我國的電子檔案信息保存也面臨著一些風險。比如:首先,我國應用網絡信息技術進行檔案信息的管理時間短,對于眾多的檔案還沒有完成應有的信息資源整合。其次,網絡化的電子檔案信息系統的運行功能不完善,還存在著一些問題。比如:安全系統的漏洞使得網絡化的電子檔案信息非常容易受到網絡侵入或攻擊。再次,我國沒有對于網絡化的電子檔案信息管理制定出統一的管理規章制度,使得具體的管理工作不能有序的進行。最后,我們缺乏對于高素質、專業化網絡電子檔案信息管理人才的培養,使得有關工作嚴重的滯后[1]。
二、檔案信息安全保障體系建設的方法
(一)完善實體檔案管理
我們需要完善實體檔案的管理工作,促進這些檔案管理工作水平的提升。因此,首先,我們需要完善我國的實體檔案保存館舍的環境,對于存在問題的館舍進行重新的修繕。其次,我們需要對于保存的實體檔案進行全面的清查工作,并且制定出有效的考核方案。比如:根據檔案利用效率的高低,對于保存的檔案進行全面的優化排序,提升實體檔案管理工作的應用效率與水平。制定出檔案管理工作的中長期規劃,逐步將實體檔案信息向網絡化電子檔案信息進行轉變。對于一些重點的、有應用價值的檔案進行搶救性的發掘。對于一些特種載體的檔案需要進行高效化的保存。改善有關的保存設施,保持有關環境的恒溫、恒濕狀態。同時,還需要對于保存的實體檔案進行定期的消毒與清潔工作。再次,我們需要對于保存的實體檔案進行有效的監督和檢查工作,全面提升實體檔案管理工作水平的提高。比如:制定出有效的考核制度,促進實體檔案管理人員不斷的提高自己的責任心與使命感,在平時的工作中盡職盡責,使我國的實體檔案保存、管理工作安全、有序的進行。最后,國家與政府需要對于實體檔案的管理工作給予足夠的重視,投入大量的資金與技術,完善有關的管理系統,使得這項工作得到持續的進步和提升[2]。
(二)進行電子檔案信息系統的安全建設
我國進行檔案信息系統的安全保障工作,需要進行電子檔案信息系統的安全建設工作。原因在于,電子檔案信息系統的管理方式是未來我國進行檔案信息建設的重要方向,也是未來我國檔案信息保存的主要形式。因此,我們需要制定出有效的管理方法,全面提升我國電子檔案信息系統的安全。具體來講,第一,我國的各級檔案館需要建立檔案信息化安全保障的制度,使得眾多的電子檔案信息管理人員嚴格的按照這些制度進行檔案信息的管理。第二,我國的各級檔案館需要建立具有高效防護能力的防火墻與網絡入侵攔截系統,對于各種信息的網絡攻擊與侵入行為進行有效的防護。第三,禁止有關的電子檔案管理人員進行違規的外聯,使得眾多的電子檔案得到有效的保護[3]。第四,從國家層面上講,我國需要制定出專門的電子信息檔案安全管理的法律法規,使得具體的電子檔案信息安全管理工作做到有法可依、有章可循,對于具體的檔案管理工作進行規范性的約束。第五,我們需要對于電子檔案安全保障系統建設的技術進行創新。比如:我們需要建立起各級檔案館的“前端控制,后端歸檔”的管理模式,對于重要的信息進行有效的安全保障。應用網絡信息技術的優勢,對于保管的眾多檔案資源進行優化整合。對于眾多檔案信息管理的電子移交工作進行完善,有效的保障電子信息檔案的安全,不至于出現遺失、不完整情況的出現[4]。結論:對于檔案信息安全保障體系建設問題進行研究,有利于全面提升我國檔案信息安全保障工作的質量與水平。
參考文獻:
[1]許桂清,李映天.檔案信息安全保障體系的建設與思考[J].檔案學研究,2010,03:54-58.
[2]花文博.檔案信息安全保障體系的建設與思考[J].廣東科技,2011,10:9-10.
[3]王莉.檔案信息安全保障體系的建設與思考[J].辦公室業務,2014,19:65+67.
【 關鍵詞 】 信息安全;信息安全保障體系;國家大劇院
Exploration of Information Security Framework for National Center for the Performing Arts
Liu Zhen-yu
(National Center for the Performing Arts BeiJing 100031)
【 Abstract 】 The status of information security of National Center for the Performing Arts is explored. After that, information security problems and risks that National Center for the Performing Arts faced with are analysed. The information security framework which includes technique, management and operating is followed. The paper ends up with the elaboration of the effectiveness of the information security framework.
【 Keywords 】 information security; information security framework; national center for the performing arts
1 背景
隨著信息技術的飛速發展,人類正以前所未有的速度進入以網絡為主的信息時代,網絡的快速發展不僅促進了人們的通信和交流,同時也帶來了商業和經濟模式的巨大變革。
國家大劇院是國家新建的重要文化設施,也是一處別具特色的景觀勝地。作為北京市國家級標志性文化設施,國家大劇院的建設與運行體現了正在迅速崛起和復興的中國在精神文化領域的追求,因此,依托信息化手段宣傳和服務于廣大文化藝術愛好者是國家大劇院電子商務網站建設的宗旨,使之成為“國家表演藝術最高殿堂、藝術普及教育的引領者、中外藝術交流最大平臺、文化創意產業重要基地”。
國家大劇院網絡及信息系統從2007開始逐步建設,建設初期主要滿足國家大劇院演出宣傳、文藝教育、演出票務、公眾服務、內部辦公和訪問互聯網的需求,官方網站電子商務平臺承擔著對外宣傳及網上售票業務。隨著國家大劇院近幾年影響力和地位的不斷提升以及業務的發展壯大,對信息化建設提出了更高要求,同時對信息安全的需求也越來越迫切,結合國家等級保護制度來進行安全保障建設成為國家大劇院信息化建設的有益補充。
2 現狀及問題
目前國家大劇院局域網骨干帶寬為千兆,雙核心。已部署的安全設施,如在整個局域網的出口均部署了防火墻,內網服務器域邊界部署了防火墻;在門戶網站出口部署了流量控制和入侵防御設備;內部終端還廣泛部署了防病毒軟件,以防范計算機病毒在局域網內傳播和破壞。國家大劇院正在運行的業務系統主要包括網站系統、票務系統、藝術資料管理系統、OA系統、財務系統及郵件系統等。
根據對國家大劇院信息化及信息安全現狀的分析,結合國內外信息安全發展態勢,發現國家大劇院面臨著一些信息安全問題及風險。
假冒網站、網站掛馬等安全風險。據權威統計,2011年下半年,檢測新增掛馬網站獨立網址246萬,平均每日100萬人次訪問此類掛馬鏈接,新增釣魚盜號欺詐類網站獨立網址492萬,共攔截10億余次釣魚盜號欺詐類網址,平均每日600萬人次訪問此類欺詐類鏈接。假冒網站獨占鰲頭的是電商網購類,而且仿冒范圍不斷擴散,通過國家大劇院運維人員統計觀察,越來越多的黑客、病毒、不法機構和人員對國家大劇院電子商務網站系統的正常運行產生威脅,網站業務系統隨時都可能遭受惡意攻擊。
系統入侵或網絡攻擊風險。由于系統保護措施不到位,可能導致國家大劇院票務等對外網站系統的域名劫持、DDoS攻擊等安全風險。同時,也可能由于軟件漏洞或者安全意識單薄等造成內部郵件等信息泄露。
非授權訪問風險。由于國家大劇院內部辦公等信息系統邊界缺乏訪問控制設施,并且在網絡可信接入、分辨非法訪問、辨別身份偽裝等方面存在著很大的缺陷,未授權者可通過網絡非法訪問網站及系統服務器,并進行非法讀取、篡改和破壞數據等不良行為,構成對內部數據及信息系統的重大隱患。
數據安全風險。媒資庫建設完成后將承載大量的媒體資料,這些有藝術價值的音像資料是國家大劇院的寶貴資產,一旦由于自然災害、人員非法入侵、內部人員誤操作等造成數據丟失損壞,將對國家大劇院造成重大損失。
媒體資源庫音像資料版權風險。目前,劇院已經為視頻在線傳播及直播提供服務平臺,然而提供的音視頻服務面臨版權盜用、盜鏈和惡意下載等問題,容易對劇院和公眾利益帶來損害。
內控管理風險。據權威調查報告顯示,內部員工的粗心大意是企業信息安全的最大威脅,由此造成的安全事故高達78%。目前,由于國家大劇院內部員工的安全意識還相對淡薄,存在進入業務系統的登錄口令設置過于簡單,私自訪問不安全網站,私自接入不安全設備等問題,這些都給大劇院信息系統造成了極大的安全隱患和威脅。
3 信息安全保障體系探索
3.1 總體目標
通過對國家大劇院信息安全現狀、問題以及信息安全建設需求的分析,可知國家大劇院信息安全保障體系建設的總體目標是按照國家信息安全等級保護相關要求,從風險控制、技術設施、管理體制及運維服務等方面入手,基于成熟的安全技術,借鑒先進可行的管理理念,加強外御威脅防護、構建內控管理機制、強化數據保護措施,建立和完善信息安全管理體制,加強安全服務保障,設計適合國家大劇院信息化發展的安全保障體系,從而確保業務流程可控、業務狀態可視,保障業務整體安全。
3.2 設計思路
針對國家大劇院安全保障目標,在信息安全保障體系設計上基于幾種設計思路。
3.2.1構建網站可信機制
通過第三方網站身份誠信認證來確保網站真實性,可幫助網民判斷網站的真實性。同時,基于可信證書類產品,確保系統管理用戶身份的真實性。其次,借助社會力量來實現假冒網站的定位、侵權取證等服務,從而有效打擊防范欺詐類網站并且協助維權。
3.2.2建設安全可靠的辦公網絡平臺
積極推進信息安全等級保護建設,通過制定安全策略、部署安全設備,完善安全保密管理制度,加強安全運維支撐建設,從物理安全、網絡安全、主機安全、應用安全、數據安全、流程安全、人員安全等多方面保障系統的安全穩定運行。
3.2.3建立網絡信任服務
通過為網絡管理員、網站維護人員頒發數字證書,部署網絡可信接入及遠程安全接入設施來構建劇院內部的網絡信任服務體系,保證信息系統及媒資庫資源的可靠訪問,確保我院信息資源安全。
3.3 體系框架
在國家大劇院信息系統安全保障體系設計以及實現中,將在國家相關的安全政策、法規、標準、要求的指導下,制定可具體操作的安全策略,構建國家大劇院網站系統安全技術系統、安全管理體系以及安全運行體系,形成集防護、檢測、評估、響應、恢復于一體的整體安全保障體系,從而實現物理安全、網絡安全、主機安全、數據安全和應用安全,以滿足國家大劇院網站系統全方位的安全保護需求。國家大劇院信息系統整體安全保障體系模型如圖1所示。
國家大劇院信息系統整體安全保障體系模型主要由三個方面組成。
3.3.1安全技術體系
參考國家標準《信息安全技術 信息系統等級保護安全設計技術要求》按照威脅分析,將信息資產劃分為若干保護對象,并按照“一個中心”管理下的“三重保護”的設計框架,構建國家大劇院信息安全技術體系保障機制和策略,為國家大劇院信息系統的運行提供安全保護環境。該環境共包括四部分:安全計算環境、安全區域邊界、安全通信網絡和安全管理中心。
3.3.2安全管理體系
以國家大劇院現有業務系統所服務對象為基礎,建立完善的安全管理體系,建立信息安全管理機構、制定信息安全管理制度、設置信息安全管理崗位。
3.3.3安全運維服務體系
針對業務安全運行的需要,以日常巡檢、咨詢、評估等建立有效的運維服務機制,加強對資產管理的分析、隱患發現、策略審核考評等,不斷發現平臺在運行中的安全隱患,降低系統脆弱性和面臨潛在的威脅帶來的影響及損失,以及時對安全策略實現完善和防護措施的改進提升。
3.4 信息安全體系建設實踐
國家大劇院信息安全保障工作經過長期的努力,已經初見成效。在安全體系的建設實踐中,總結出幾點實踐經驗。
3.4.1制定標準規范,奠定保障基礎
信息安全保障建設的一項重要工作之一是參照國家等級保護的技術要求完成相應的合規性檢查。因此,國家大劇院應據此建立適合國家大劇院的信息安全管理基線,堅持常態化管理和動態控制,達到并保持國家相關安全主管部門的安全審計要求。
3.4.2重視管理,制度先行
信息安全是一個動態發展的過程,每年隨著業務發展變化而變化,同時隨著信息安全技術的不斷演變,都會出現新的安全防護技術的使用。經過多年實踐證明,每個系統或者防護設備上線前,都必須在遵守總體防護規范的前提下,編制好具有針對性的管理要求,才有有效降低安全風險引入的可能。
3.4.3定期組織代碼審計和滲透測試等系統檢測
代碼安全審計是通過人工分析和工具掃描的方式檢驗應用程序的源代碼,利用大量的代碼安全規則,來分析源代碼中的違反規則部分,進而確定可能存在的安全漏洞和隱患。應用系統生命周期安全的從SDL實踐上看,安全做的越早效果越好(但開發模式改動的成本也相對比較大),代碼審計作為保證代碼安全的最低低線,其作用是不可取代的。
另外,除了從代碼開發過程中保證開發出安全的應用系統以外,針對已開發的系統,國家大劇院還組織第三方測試機構,從攻擊者視角檢測信息系統安全防護能力是否達到,是否存在成功攻入系統的途徑。
4 信息安全建設意義
通過構建信息安全保障平臺,保障我劇院信息系統可安全合規運行。基于國家信息安全等級保護制度要求,建設國家大劇院信息系統整體安全保障體系模型信息安全保障基礎設施,制定安全策略,為國家大劇院系統提供安全可靠的運行環境。
提高國家大劇院電子票務等信息系統的安全運行平穩度。通過在信息安全技術、信息安全保密管理等多維度的體系保障建設,保障網站真實性、打擊假冒網站,大大提高國家大劇院信息系統安全穩定運行的平穩度。
提高用戶的安全便捷以及系統安全管理能力。通過構建可信的電子票務運營環境,為用戶提供身份認證及網絡信任機制,加強用戶的身份、資金安全保障,并且提高系統安全管理能力。
提升安全隱患發現能力。安全隱患的發現能力是信息安全管理中的關鍵能力,關系到能否將風險消除在事件發生之前。通過建立入侵監測系統、防病毒系統以及定期的安全脆弱性檢測等,大大提升我劇院信息系統的安全隱患發現能力。
5 結束語
建設和完善信息安全保障體系是為了保證國家大劇院的業務在今后發展過程中對信息安全建設的要求。
信息安全保障體系建設涵蓋安全管理體系、安全技術體系、安全運維體系的復雜系統工程,是一項長期性的專業的細致的認為,需要以信息安全技術為基礎,持續投入大量的人力和物力。為使國家大劇院建設成為國際化、現代化的大劇院提供有力的信息安全保障。
參考文獻
[1] 關于大力推進信息化發展和切實保障信息安全的若干意見(國發[2012]23號).
[2] 信息安全管理實用規則(GB/T 22081-2008).
[3] 信息系統等級保護安全設計技術要求(GBT25070-2010).
[4] 信息系統安全等級保護體系框架(GA/T 708-2007).
[5] 國家大劇院電子商務網站系統安全保障方案.內部資料,2010.
[6] 國家大劇院安全服務保障方案.內部資料,2011.
關鍵詞:檔案安全保障;指標體系;評價實施
檔案安全保障體系是否有效、如何實施評估,檔案安全保障體系的建設應當遵循什么原則、確定什么樣的評價指標等問題,是檔案安全保障體系建設過程中的重要內容,也是整個檔案安全保障體系中客觀因素與主觀判斷的相結合的問題。
1檔案安全保障體系建設應當遵循的原則
對檔案安全保障體系的評價評估的目的,是對檔案安全保障體系的有效性進行評估。而設定評估評價應當遵循的原則是建立評價評估體系的基礎。就目前的研究成果看,與檔案安全、檔案信息安全、信息安全、環境安全相關的評價、評估的原則在許多文獻中都有論述,我們從中選取9篇有代表性的節點文獻(文獻目錄見參考文獻),采用統計歸納的方法,從中提煉出可供參考的共性原則是:
可操作性原則。“評價指標應該簡單、明確、使用方便,要考慮到指標的量化及數據獲得的難易程度和可靠性,盡量選取那些表征性強的、實用的、便于統計和量化的參數作為指標。評價指標必須有良好的可操作性才能保證評價值準確、快捷獲得,以確保評價工作的正常進行。指標個數的多少應以能說明問題為準,同時,保證指標的公正性。”[1]
科學性原則。“科學能揭示事物發展的規律,作為人們改造世界的指南。建立電子檔案信息安全指標體系,也必須反映實際以及事物的本質,反映影響電子檔案信息安全狀況的主要因素。只有堅持科學性原則,獲得的信息才具有可靠性和客觀性,評價的結果才有效。此外,指標體系的建立,還應符合國家有關信息和信息系統安全的法律和法規。”[2]
系統性原則。“在構建檔案安全標準體系時,必須從系統的角度出發,綜合分析檔案安全管理各環節、各要素之間的關系,形成一個具有全局意義的標準體系。在這一體系中,要考慮今后標準的制定修訂與已有標準的相關性、連續性和勻補性。又要確保體系內每一項標準的內容和技術前后一致,相關標準之間在內容與技術方面的一致,只有這樣,才能有效地維護檔案安全管理在整體上的系統性及與其他相關標準間的一致性。”[3]
動態性與穩定性相結合原則。“評價指標體系內容不能頻繁變動,在一定時期內應保持相對的穩定性,這樣,有利于評價的連續可操作性和可比性;同時,指標體系也不是一成不變的,應隨著社會發展和技術進步而逐步調整。”[4]
定性與定量評價的結合性原則。“評價指標體系的設計應當滿足定性與定量相結合的原則,即在定性分析的基礎上,還要進行量化處理。量化指標有利于進行準確、科學、合理的評價,對于那些難以量化的指標,可采用評分法,利用專家意見近似實現其量化。”[5]
可持續發展原則。“檔案安全體系的建設是一個循序漸進、不斷完善的過程。這一過程需要不斷優化,不斷完善,以達到科學、合理和實用的目的。因此,檔案安全標準體系中的每一項具體標準,都應該在檔案管理和檔案保護長期實踐和理論研究的基礎上,反映優化了的技術、工作程序、組織程序和管理水平,要能夠體現目前先進而成熟的技術手段、設備情況和管理方法,使整個標準體系具有領先性和一定的超前性。”[6]
實用性原則。“檔案安全標準體系的構建,必須依據我國檔案部門的實際發展需要和客觀可能性,從現實情況出發,適時制定有關標準,使標準的規定事項同實際工作的技術狀況和管理水平不致產生太大的差距。我國《標準化法》規定的標準定期復審制度,目的就是要保證標準在社會不斷發展的情況下,有所更新、有所完善,保證標準能在一定時空范圍內,保持相對的技術指導性和推薦性,能夠付諸實踐,也保證標準能隨檔案事業發展的實際變化而修訂,真正起到提高檔案管理水平和管理效益的作用。”[7]
2檔案安全保障的評價指標體系
依據上述原則,檔案安全保障體系評價指標體系層級的劃分不宜過多,按照以往檔案系統各種評價、評估指標體系劃分的慣例,采用由大到小、由面到點、逐層分解的方法,將檔案安全保障體系評價指標體系分為3個層次,從上到下依次為目標(宏觀)層、要素(中觀)層和指標(微觀)層。除目標層外,每一層次選擇能反映其主要特征的要素,下層為具體指標層,要素的內容和關聯度,由下而上,層層遞進。
2.1檔案安全保障評價指標體系的層級劃分。第1層次的目標 (宏觀) 層,以檔案安全保障體系核心要素作為總目標層,用來衡量檔案安全保障體系的總體水平,包括環境因素、管理因素和技術因素3項。
第2層次的要素(中觀)層,選取“周邊環境”、“館庫環境”、“設備環境”、“工作環境”、“網絡環境”;“安全管理機構”、“管理規范”、“規章制度”、“工作流程”、“管理措施”;“業務技能”、“保護技術”、“網絡技術”13個特征要素。
第3層次的指標(微觀)層,選擇了72個具體的評價指標。詳見下表。
2.2指標說明及分值設定
3實際測評指標值換算與使用
從可操作性出發,實際測評以計分制的方式實行。具體測評指數值換算方法是,三級指標中的72個指標項,每項的分值均為2分,總分為144分。以達到指標項要求的程度,分為“優”、“良”、“中”、“差”、“劣”5個檔次,對應的分值從2分到0分,每個檔次的分差為0.5分。即優―2分、良―1.5分、中―1分、差―0.5分、劣―0分。
在實際測評中,通過分級加總,可以獲得被測評單位的總體安全狀況,三個層面上不同方面的安全情況。比如,在目標層(一級指標),可以通過對環境因素、管理因素和技術因素分別加總,對環境因素、管理因素和技術因素的安全情況進行比較,尋找對整體安全影響最大的因素。再比如,在目標層(一級指標)環境因素下的要素層(二級指標),可以通過對周邊環境、館庫環境、設備環境、工作環境、網絡環境分別加總,對周邊環境、館庫環境、設備環境、工作環境、網絡環境的安全情況進行比較,尋找對環境因素影響最大的子要素。同樣,也可以通過對要素層(二級指標)下的某一項的具體指標得分情況,來分析和尋找對該項二級指標影響最大的三級子要素。
4檔案安全保障體系評價檔次與檔案安全風險評估等級的對應關系
檔案安全保障體系評價實際上是進行檔案安全風險評估。我們將檔案安全保障體系評估結果分為“優”、“良”、“中”、“差”、“劣”5個檔次,對應于檔案安全風險評估的“安全”、“比較安全”、“臨界狀態”、“比較危險”、“非常危險”5個等級。因此,在進行檔案安全保障體系評估時,應該考慮下面幾個重要因素:
4.1原有基礎的差異。檔案安全保障體系評估重點主要是對檔案館進行評估。因此,一定程度上,檔案館原有基礎的差異,就決定了檔案安全保障體系評估的結果。在實際評估中是考慮原有基礎的差異,采用不同標準分類分層次評估,還是不考慮原有基礎的差異,采用同一標準進行評估?如果將評估視為一般性工作,可以考慮原有基礎的差異,采用不同標準分類分層次評估,以便盡可能地體現公平公正;如果將評估當做風險檢測,就不應該考慮原有基礎的差異,而應該采用同一標準進行評估,以便查找安全風險及安全漏洞。
4.2確定控制性要素。在上述指標項中,為了便于操作與換算,全部72個指標的賦值是相同的。但各個指標項在整個指標體系中的重要程度卻是完全不同的。有些指標在整個指標體系中處于關鍵地位,是整個指標體系中的控制性要素。這些要素一旦缺失或存在問題,無論其他指標得分有多高,整個檔案安全保障體系就將處于危險狀態。需要將這些控制性要素尋找出來,并明確其準許的底線。
4.3分層分項控制。由于采用的是底層等值加總的方式換算評估的總體得分,往往容易以總分高低論英雄。但檔案安全只要有一個方面存在問題,就會影響到整個系統的安全。因此,在實施評估時,應當采用分層分項計分的方式,確定只要各層次有10的項處于“差”或5的項處于“劣”時,該檔案館的檔案就處于“比較危險”狀態;各層次如有20的項處于“差”或10的項處于“劣”時,該檔案館的檔案就處于“非常危險”狀態的原則。文中的百分比值只是一個說明性的估值,具體應該定一個什么樣的值,有待在具體測評中通過實踐來確定。
5結語
“收、管、用”是檔案工作的最基本內容。“收齊”、“管好”、“好用”則是檔案工作的目標,也是對“三個體系”建設最為通俗的解讀。進行檔案安全風險評估指標體系研究,是“三個體系”建設中的重要環節,不僅是一個理論問題,更是一個實踐問題,需要我們在檔案安全保障的具體工作中不斷地研究、摸索、探尋、完善。盡快建立起一套簡便有效的檔案安全風險評估指標體系,為建立健全檔案安全保障機制,提高檔案安全保障能力提供支撐。
參考文獻:
[1] [2] [4] [5]田淑華. 電子檔案信息安全管理研究[D]. 中北大學: 中北大學,2009.
關鍵詞:信息安全;保障體系;框架
檔案信息安全保障體系是指通過信息安全技術與信息安全管理手段等來對信息系統進行安全防御,保證檔案信息系統的可靠性、穩定性以及安全性,從而確保檔案信息的完整性、真實性與實用性等。檔案信息安全保障體系的額框架分為兩個部分:一是宏觀部分,是指以國家的角度進行的信息安全保障體系;二是微觀部分,是單位信息系統中的組成部分,其作用在于保障本單位中人員的檔案信息安全。
1 檔案信息安全保障體系宏觀框架
1.1 檔案信息安全管理體系
建立完善的檔案信息安全管理體系能夠有效提高檔案信息的安全性與質量,是檔案部門相關工作的重要組成部分。首先,為了保證檔案信息安全管理工作的有效實施,政府檔案職能部門必須建立獨立的檔案信息管理處,專門負責檔案信息安全管理的監督工作,并在全國范圍內積極進行檔案信息安全管理的宣傳工作,逐步建立符合我國實際國情的管理體系。同時,還應該加快出臺檔案信息管理工作的相關規范標準,為相關工作的實施提供實施依據,并督促地方職能部門在這一規范標準的基礎上制定符合自身發展的具體制度與方案[1]。
1.2 檔案信息安全技術體系
在加強檔案信息安全管理工作的同時,還必須提高檔案信息安全的技術水平,由此才能真正提高檔案部門工作的整體質量。現階段得到廣泛應用的安全技術類型主要有系統安全技術、網絡安全技術以及用戶安全技術等,在選擇技術類型時必須從信息的安全屬性出發,選擇符合檔案信息安全要求的安全技術,不同的檔案信息其對安全應有著特殊需求,在這種情況下,就可以根據安全等級、特性的不同進行綜合選擇,從而有效提高檔案系統的安全技術水平,例如部分要求得到永久保存或是性較高的檔案信息,就可以采用數字簽名、物理隔離等技術進行管理。不同的檔案系統并不一定必須應用所有的安全技術,只需根據國內的等級保護標準規范進行科學的選擇,就能達到系統的安全要求。
1.3 檔案信息安全法規標準體系
為了提高檔案系統的安全性與穩定性,檔案部門必須加快建立完善的安全法規標準體系,從而避免出現責任不明的現象。與西方發達國家相比,我國的檔案建設工作起步較晚,發展也較不成熟,在實際應用中存在較多問題,因此必須建立完善的相關標準制度,使相關部門與工作人員能夠按照標準進行檔案體系的建設,防止由于建設標準的模糊而出現安全體系的重復與不合理建設[2]。我國在制定相關法規標準時,必須從我國的長遠發展目標出發,建立科學、合理的的法規體系,從而為檔案建設工作的推進提供有力的制度保障。
2 檔案信息安全保障體系微觀框架
2.1 檔案信息安全管理體系
從微觀框架中看,安全管理體系需要結合具體實際,制定檔案信息安全管理的具體方案、措施等,形成一個完善的體系框架。隨著檔案管理不斷向信息化發展,檔案部門必須按照相關的管理標準逐步建立起檔案管理的相關體系,實現信息管理工作的動態化、系統化與制度化。國際最早頒布的系列標準中,對信息安全管理的相關措施進行了詳細的分類與總結,我國可以以此為基礎,結果國內的相關法律法規、實際發展情況制定出具有實用性的安全管理體系。
2.2 檔案信息安全技術體系
從微觀角度分析,安全技術體系的建設就是要將現有的信息安全技術具體應用到檔案信息系統中。選擇合適的信息安全技術將直接影響到檔案信息系統的安全性,通過對系統的構成以及安全等級等進行科學劃分,并作出合理的L險評估,就可以對安全技術的應用進行明確。對于檔案系統而言,其內部信息的價值越高,則面臨的風險也會相應增大,這就要求檔案的安全保障工作必須是以個不斷發展的過程,隨著風險的變化,系統的微觀安全技術也必須進行相應的調整,從而更好的控制系統風險[3]。
2.3 檔案信息安全法規標準應用體系
從微觀框架來看,這一體系是指在安全法規與標準的保障下,檔案管理人員對相關工作的開展提供相應知道。這一應用體系的建立,需要在實踐中進行不斷的探索,而我國目前缺少完善的法規標準體系,因此可以適當參考國外先進的法規標準體系,并結果國內應用實踐結果進行不斷的改進與完善,從而盡快建立符合國內發展情況的安全保障體系。
3 結論
檔案信息安全保障體系是以提高信息質量為核心,以培養專業化檔案管理人員為目標的運行體系,通過對檔案職能部門的職責分配,使檔案信息管理的各個環節都能得到有效管理,同時促進各職能部門之間的團結協作,最終實現檔案信息的高質量管理。只有建立完善的檔案信息安全保障體系才能真正促進檔案部門的建設與發展,因此相關職能部門必須加快從宏觀與微觀這兩個方面的體系框架建設,希望本文的研究能夠對我國檔案信息體系框架的建立與發展提供一定的參考意見,從而有效提升國內檔案信息系統的安全性與穩定性。
參考文獻
[1]徐緒琴. 檔案安全體系建設研究[D].安徽大學,2014.
一、加強檔案館基礎建設,為檔案打造第一道防線
檔案館是檔案安全重要保證。各級檔案局要抓好檔案館的建設、管理和利用工作,要切實做到設計、施工、配套和管理一體化、自動化和規范化。要根據新形勢的新要求,在檔案館的設計上做到外觀精美、內部實用、自動化程度高和體現地方風土人情,完全達到檔案儲藏管理的最佳條件,既是經濟適用的檔案館又是一個匯聚歷史的標志性建筑,更是吸引有識之士研究歷史、再現歷史的必要地方,還是服務大眾的智慧場所。
二、加強安全設施建設,保證檔案安全運轉
完善的檔案館安全設施是保證檔案安全有效的防護網,要加大投入,安裝現代化的高科技管理設施,增加檔案館的安全性能。除安裝防盜門窗、安全監控系統、自動滅火系統、溫濕度控制、檔案密集柜、電腦等基礎設施以外,還必須安裝電子檔案閱讀系統、防盜系統等,為大眾閱讀和查閱檔案提供高質量的保障,確保檔案館運轉安全。
三、加強電子檔案的信息安全保障
(一)軟件安全
電子檔案信息安全的關鍵是軟件安全,只有安全的軟件才能使電子檔案正常運行流轉。電子檔案的運行軟件應滿足安全、實用的技術要求,能夠植入嚴格權限控制,實行檔案館分級安全機制,保障合法用戶對電子檔案進行創建、歸檔和利用,避免非法用戶的訪問和非法拷貝。
(二)數據安全
電子檔案信息的安全最重要的就是數據安全,只有數據安全了才能保證電子檔案信息的完整,有效避免被修改、泄露。為此應對電子檔案建立數據備份系統,對數據進行備份,確保數據安全。
(三)網絡安全
保證計數機網絡的暢通安全,使用戶網絡有效地利用電子檔案信息。解決網絡安全問題一般采用物理隔離、應用防火墻等確保網絡安全措施。這些還遠遠不夠,要建立檔案專用網絡系統,實行專網專用專人維護管理,確保檔案網絡安全。
(四)技術安全
簽署技術、加密技術、身份驗證、防火墻、防寫措施技術等等是技術安全的必要手段。要加強檔案網絡安全的研發力度和更新速度,提高檔案技術研發科技含量,更有效保障電子檔案信息的技術安全。
四、筑牢防線是當前檔案工作的重點
在建立檔案安全保障體系中,統籌兼顧,重點突出。對照不同類型的檔案安全事故,針對不同的檔案載體、不同的保存狀況、不同的存儲環境等因素,找準安全隱患,明確檔案安全防范重點,制定行之有效的檔案安全保障方案,打造切實可行的檔案安全保障體系。檔案安全體系建設的主要任務首先是在思想上提高認識,特別是提高檔案管理人員和檔案工作者的責任意識,要在檔案管理人員和檔案工作者心中構筑堅固的思想防線。其次是在檔案安全體系建設上要提高認識,加大投入力度。再次就是必須做到執著認真、堅持標準,要有“抓鐵有痕、踏石留印”的精神,是筑牢檔案安全防線最重要的保證。
五、確保檔案安全工作制度落實到實處
保證檔案實體安全體現在檔案工作的接收、保管、整理、鑒定、利用、數字化等各個環節中。要針對不同的工作環節,細化檔案安全工作制度。加強對制度執行情況的監督檢查力度,確保各項制度落到實處。要重視建立瀕危檔案排查制度,盡快對破損檔案采取搶救和保護措施。同時在搶救過程中,選擇適當的方式方法,避免對檔案的二次破壞;要重視建立檔案館應急預案定期演練制度。要提高工作人員的安全意識、風險防范意識和突發事件應對能力,明確責任,建立起檔案館快速應急反應體系;要重視建立檔案異地異質備份制度。在備份地點的選擇上要遵循不在同一地帶、不同氣候類型、交通便捷等原則。
六、以人為本構建和諧檔案工作安全局面
關鍵詞:檔案工作,基礎建設,安全體系
中圖分類號: G271 文獻標識碼: A 文章編號:
檔案承載著“記錄歷史、傳承文明、服務現實”的重要作用,檔案的安全保管是檔案工作最基本的任務。2009年全國檔案館工作會議提出的今后十年全國檔案工作主要任務中明確提出努力把各級國家檔案館建設成為檔案安全保管基地、愛國主義教育基地、檔案利用中心、政府信息查閱中心、電子文件中心“五位一體”的公共檔案館。尤其是近些年自然災害頻發,都對當地及周邊地區檔案館庫建筑造成了巨大破壞,一些存有安全隱患的檔案樓館在地震或洪災泥石流中倒塌,大量檔案被掩埋在廢墟之中,損毀嚴重、無法彌補。檔案安全體系建設已經迫在眉睫、刻不容緩,必須引起高度重視。本文試從檔案安全體系建設入手談一些粗淺的認識。
一、檔案安全體系的內涵
檔案安全體系是確保檔案實體和信息安全的基礎設施和制度規范。包括檔案安全政策法規及規范保障、物質保障、機制保障和制度保障,檔案館建設、檔案搶救與保護、檔案工作突發事件應急處置、檔案信息安全管理和檔案合理開放利用控制等檔案安全的各個環節。基礎設施是硬件,制度規范是軟件。檔案安全體系建設包含三個層面:
一是確保檔案實體的安全,不損毀,不丟失;二是確保檔案信息的安全,不失密,不泄密;三是確保檔案的完整齊全并盡量延長檔案實體和信息的保存時限。從檔案安全的性質上說,前兩個方面的不安全因素可能造成的損失都是主觀努力可以避免或減少的,后者則是主觀努力雖可延緩但最終難以阻止的。從檔案安全的范圍上說,前兩個方面的不安全因素可能造成的損失都是局部的、偶然的,后者則是全局的和必然的。從檔案安全給予人們的感覺而言,前兩者造成的損失是有形的,是可感覺到的,后者造成的損失是無形的,是人們感受不到的。確保檔案實體和信息的安全,是檔案安全體系建設的現實任務,是主要任務,是現在必須努力完成的任務;盡量延長檔案實體和信息的保存時限,是檔案安全體系建設的歷史任務。實質上確保檔案實體和信息的安全,已包含有盡量延長其保存時限的意思。另外確保檔案的完整齊全并盡量延長保存時限,不僅涉及到現有檔案的安全,也涉及到今后檔案征集、保管、利用的各個方面,是一項更具全局意義和歷史意義的工作。
二、強化安全體系建設是當前檔案工作的目標
國家檔案局局長楊冬權在全國檔案安全體系建設工作會議上提出了“深入貫徹落實科學發展觀,總結我國檔案安全工作的經驗教訓,不斷提高檔案安全意識,研究建立確保檔案安全體系,全面提升安全保障能力”。這是繼“建立覆蓋人民群眾的檔案資源體系和方便人民群眾的檔案利用體系”之后在我國檔案工作中再次提出的一個新目標。它體現了我國檔案安全在檔案工作中地位的提升,標明了檔案安全是整個檔案工作的重中之重,提醒各級檔案管理機構對檔案安全必須倍加重視,要擺上重要議事日程、要把檔案安全當成頭等大事來抓,要抓在要害處、防在關鍵點;要確保檔案長久安全。
檔案安全體系建設的提出意義十分深遠。因為不言而喻的是我國汶川大地經歷了天翻地覆的陣痛;青海玉樹地震又給人們帶來新的災難;甘肅舟曲泥石流使檔案工作再遭重創。眾多的自然災害使我國的檔案事業遭受了前所未有的損失。前車之鑒不可忘,檔案安全重如山。所以說“建設檔案安全體系”的提出正當其時,不僅具有特別重要的現實意義更具有深遠的歷史意義。
三、筑牢防線夯實基礎是當前檔案工作的重點
檔案安全體系建設從宏觀上說是一項龐大的系統工程,涉及基本理論、基礎設施、制度保障、技術支持等諸多方面;從微觀上講貫穿于檔案管理的各個環節,是關系到檔案實體與信息安全的重要保證。具體到每一個檔案館,在建立各自的檔案安全保障體系中,統籌兼顧,重點突出。對照不同類型的檔案安全事故,針對不同的檔案載體、不同的保存狀況、不同的存儲環境等因素,找準安全隱患,明確檔案安全防范重點,制定行之有效的檔案安全保障方案,打造切實可行的檔案安全保障體系。
檔案安全體系建設的主要任務首先是在思想上提高認識,要在心中構筑堅固的思想防線。檔案安全體系建設作為系統工程,在首先提高認識的同時,還必須要做到執著認真、堅持標準,要有盯住不放、抓住不松的精神。特別是在檔案管理中的基礎建設過程中,更來不得半點的馬虎。檔案館庫是檔案安全最重要的保證。近幾年,檔案館舍建設越來越引起重視。很多省份都在預算內安排了館舍建設補助資金,用于檔案館舍的新建擴建和維修改造,取得了一定效果。在建設上要嚴格按照《檔案館建設標準》和《檔案館建筑設計規范》要求,為檔案安全打造第一道防線。比如在檔案館庫建設時要確保基礎牢固,提高綜合抗災能力,注重選址安全,因為它是各項檔案工作的基礎。也是檔案工作安全的源頭。對于已經建在易發生地質災害地區的檔案館,要定期對檔案館建筑安全進行評估或加固工作,確保檔案館的承載能力。在檔案裝具架柜采購時要確保質量過關,因為檔案裝具架柜承載不夠而垮塌造成檔案損毀的例子也不在少數。完善的檔案館安全設施是保證檔案安全最有效的防護網。
四、檔案安全工作制度是檔案安全管理軟實力提高的前提
保證檔案安全既涉及檔案的實體安全又涉及檔案的信息安全,體現在檔案工作的接收、保管、整理、鑒定、利用、數字化等各個環節中。要針對不同的工作環節,細化檔案安全工作制度。加強對制度執行情況的監督檢查力度,確保各項制度落實到實處。
要重視建立珍貴檔案保護制度。對館藏珍貴檔案,除建立特藏庫外,對其中極為珍貴的“鎮館之寶”,應借鑒文博部門保存珍貴文物的經驗。采取單獨裝具特殊保存珍品檔案,對其原件出庫條件、程序及時間間隔等做出明確的規定;要重視建立瀕危檔案排查制度,盡快對破損檔案采取搶救和保護措施。同時在搶救過程中,選擇適當的方式方法,避免對檔案的二次破壞;要重視建立檔案館應急預案定期演練制度。要提高工作人員的安全意識、風險防范意識和突發事件應對能力,明確責任,建立起檔案館快速應急反應體系;要重視建立檔案異地異質備份制度。在備份地點的選擇上要遵循不在同一地震帶、不同氣候類型、交通便捷等原則。
五、以人為本構建和諧檔案工作倡導安全第一
檔案安全體系的建設,不僅要有相應的措施配套,更要有和諧的環境和氛圍為支撐。無論多么完善的檔案館安全保障體系,都需要由人來執行。建立制度要有可操作性,落實崗位責任要有針對性,安全管理要有靈活性。讓堅守崗位成為自覺性,讓保證安全成為職責中的使命。檔案工作倡導安全第一,體系建設重在強化管理,管理的目的在于杜絕和排除安全隱患;防微杜漸體現在日常工作之中。安全第一是檔案工作人員的天職,確保檔案安全是檔案管理者的責任體現。要讓檔案管理者在檔案安全體系建設中主動發揮作用。堅守崗位確保檔案安全管理成為一種神圣職責。
檔案是黨和國家的寶貴財富。要讓每個檔案工作者感覺到自己的崗位無尚光榮,把要檔案安全管理中努力工作作為實現人生價值的途徑。讓每個檔案人員都能為檔案安全體系建設和保障檔案事業全面、協調、持續發展自覺貢獻力量,這是以人為本構建和諧的關鍵和目的所在,是建設檔案工作安全體系的重要基礎。
參考文獻:
[1]張雨。你那里的檔案安全嗎?[N]中國檔案報2010.8.19。
棉花監測系統網絡支撐平臺是提供信息數據傳輸、交換、儲存、處理、共享、的綜合業務平臺,通過構建數據處理中心、數據處理分中心(國家發改委價格監測中心)、國家棉花市場監測系統信息中心以及國家棉花市場監測系統總公司的網絡、計算機、配套設備、運行環境,實現信息的處理、共享、傳輸和備份,以滿足系統運行的各方面功能要求。
1.在基礎平臺建設的同時開展全面、有效的安全體系規劃和建設;2.選用最可靠最穩定的安全產品構建安全防御系統;3.在最大限度保障安全運行的同時,又兼顧良好的運行效率;4.全面兼顧安全技術、業務運維流程和人員在信息安全保障中的積極協調作用;5.有效監控全網的安全情況,快速發現可能的安全隱患和異常行為;6.實現7×24×365的安全運行狀態監控與安全運行維護處理;7.建立完善的應急響應機制和流程;8.在短短兩個月時間內高效率、高質量地完成所有的工作。
一套平臺 兩種思想 三個系統
國家棉花市場監測系統安全建設和保障工作涉及到安全體系規劃、安全系統集成、安全運維管理、信息安全專業服務、高端安全管理咨詢、日常安全支持以及安全值守服務等眾多內容。安全建設工作千頭萬緒,安全保護對象龐大復雜,安全管理要求苛刻嚴格,對安全保障體系的規劃和設計提出了非常高的要求。
針對安全建設和管理需求,太極組織了大量的安全專家認真、深入地分析了國家棉花市場監測系統可能面臨的各類安全問題,參照ISO17799等安全管理國際標準,結合太極多年在安全領域的經驗,提出了解決方案。太極與相關合作伙伴緊密合作,針對國家棉花市場監測系統的安全設計和建設可以總結為:建設一套集中的安全運行管理平臺,融合兩種核心的安全建設思想,建立三個不同角度的信息安全子系統。
一個平臺,是指通過部署安全運行管理中心產品建立國家棉花市場監測系統的集中安全運行管理平臺。通過對網絡中各種網絡安全設備和安全軟件的集中管理和監控,把一個個原本分離的網絡安全孤島聯結成有機協作互動的一個整體,并自動實現對安全事件的處理,從而實現網絡安全管理過程中的實時狀態監測,動態策略調整,綜合安全審計以及恰當及時的威脅響應,從而有效提升網絡的可管理性和安全服務水平。
兩種思想是指動態信息安全風險管理體系建設思想和構建信息安全縱深防御體系建設思想。
動態信息安全體系思想的根本目的,是要保障安全系統設計具備良好的動態建設過程和安全可擴展性,促進建立易擴展的信息安全保障體系。縱深防御思想是保障安全系統設計的廣度和深度,促進建立全面綜合、高效安全的網絡安全保障體系。其在廣度上要求從網絡架構、網絡設備、操作系統、應用系統、數據庫系統等各個層面考慮安全系統建設;在深度上要求分層次,由外而內,從網絡邊界、內部網絡、核心服務器乃至桌面PC各個層面考慮安全防御功能的建設。其核心體現就是進行合理的網絡安全域規劃,實現安全事件影響范圍的有效控制。
本次項目,太極協助國家棉花市場監測系統規劃了完善的動態信息安全風險管理體系的建設,包括三大信息安全體系安全功能技術體系、安全服務支持體系、安全管理咨詢體系。
優點多多
系統的安全規劃、建設和運營管理解決方案,覆蓋了信息系統的整個生命周期;充分重視業務安全管理,將傳統分立的安全產品管理進行有效整合;提出了安全運行管理中心解決方案,實現了安全產品和管理的集中統一;將安全監控和安全維護有機結合,實現閉環管理,提高了安全管理效率;將各種安全設備所報告的安全事件匯總在一起進行關聯分析,消除安全事件的誤報和重復報警,并推斷問題根源,給出該事件的解決建議。
應用效果與收益
安全運行管理中心的部署,實現了分散的、異構的安全產品的集中管理,高效提煉和分析海量的安全信息和各類報警事件;實現了安全事件的閉環處理;實現了信息安全的“可控、可見和可管理”,協助國家棉花市場監測系統邁向信息安全管理乃至IT管理的新臺階。
用戶評議
國家棉花市場監測系統由于其特殊性和重要性,安全是第一重要的因素。我們在進行項目建設過程中對安全產品提供商和安全集成服務商進行了嚴格的選擇,我們在項目建設中采用了最好的產品、最嚴格的管理、最優秀的集成商和最高效的服務來確保網站的安全。
電子檔案的信息安全保障貫穿于電子檔案的形成、處理、存儲、傳輸、維護和利用各個階段,很多學者針對各個階段中涉及的管理、技術、法規、人才、資金等方面做了大量的探討工作,以期構建合理有效的電子檔案安全保障體系。在本文中筆者僅就網絡環境下,電子檔案開放利用過程中的信息安全面臨的主要問題展開研究,并提出相應的解決對策,進而提出電子檔案開放利用信息安全保障體系。
1電子檔案信息安全面臨的主要威脅和存在的問題
1.1 電子檔案信息安全面臨多個網絡層次威脅
電子檔案信息安全主要包括三個方面:一是檔案信息內容的原始真實性;二是檔案信息內容不被篡改和泄露,即完整性和保密性;三是檔案信息的長期有效性。由于數字檔案信息自身的特點以及它對技術的依賴性,使其安全極容易受到來自外界的威脅。所以,自從數字檔案信息出現以后,其安全問題一直是這一領域的焦點問題'在網絡(internet\局域網\無線網絡)環境下,由于網絡結構的不安全性、網絡協議的脆弱性、網絡傳輸的易攔截性和人為的疏忽,在網絡結構的各個層次都存在安全隱患。其主要內容如圖1所示:
物理層的檔案信息安全面臨的威脅是最底層的威脅,主要是對環境、硬件設備和線路的安全威脅,環境的安全威脅主要來自電源是否穩定不間斷、有無抗靜電、抗輻射、防塵、防水、防漏電等安全措施硬件和線路的安全威脅主要包括自然災害和人為災害。自然災害使得計算機硬件和設施損壞,無法實現正常的聯網;人為災害主要有無意失誤和人為干擾兩種:用戶使用不當,安全配置設置不合理造成安全漏洞,給網絡安全帶來威脅;而人為干擾是有意的破壞網絡底層設施,通過非法終端介入,線路干擾等各種手段,威脅計算機硬件設備的正常運轉,致使系統癱瘦。
鏈路層的檔案信息安全面臨的威脅主要是數據的安全威脅。主要是指鏈路數據的泄露、丟失甚至被篡改或刪除,從而破壞檔案信息的完整性和可讀性。另外,惡意的隱藏攻擊可以采用不斷發送級別高的請求來占用節點資源,或發送大量的請求使檔案數據庫服務系統響應速度減慢甚至停滯,影響正常用戶的使用,甚至使正常用戶被排斥不能進入網絡系統或不能得到相應的服務,這種威脅隱蔽性很強,一般會把它看成通訊環境差,所以很難發現。
網絡層的威脅是檔案信息安全威脅的主要來源層,是惡意攻擊的重要方面,因為網絡層主要負責數據路由的確定,面臨的威脅主要有通過偽造路由信息來破壞路由協議,從而使數據丟失或失去原始真實性,另外,最常見的攻擊方式是針對軟件和網絡漏洞的黑客攻擊和病毒攻擊,黑客攻擊主要是通過非法(非授權)訪問,進入服務系統,竊取信息,造成文檔的泄密,甚至進行違法操作,刪除、修改、惡意添加,使正常使用者獲得錯誤信息或者無法獲得服務,干擾系統的正常運轉。而病毒攻擊主要是利用系統漏洞和人為的疏忽,潛入計算機系統,竊取文檔、破壞系統、甚至打開系統“后門”,直接威脅檔案的信息安全。
傳輸層的安全主要是傳輸協議和密鑰的安全,一旦傳輸協議和密鑰被識別破譯,數據的傳輸將完全暴露在網絡中,失去安全保障。其帶來的威脅主要是攻擊者可以復制,編造信息,從而向網絡節點發送欺騙信息,使檔案信息失去真實性和可讀性,而且一旦欺騙信息時間標記準確,甚至可以破壞服務終端交換數據的能力。
1.2 電子檔案信息安全保障存在多方面問題
早在1996年國家檔案局就成立了電子文件歸檔與電子檔案管理研究領導小組,開展電子文檔管理方法、技術、標注和構建管理體系等方面的研究,經過十幾年的發展,在電子文檔歸檔和電子檔案管理辦法等方面己經取得了一定的進展㈣7^,但在網絡化建設、法制建設、安全管理等方面仍存在嚴重的滯后性,特別是在電子檔案信息安全保障體系構建方面,還存在著明顯的不足。
1.2.1電子檔案信息安全保障方面存在著嚴重的滯后性
首先,是檔案信息化建設存在著嚴重的滯后性,主要表現在全國各個檔案部門雖然己經建設了規模大小不等的數據庫,但都各自為政,缺乏統一性和整體性,而且標準化程度低,處于低水平重復建設,檔案數據無規范化控制,存在安全隱患。同時,網絡安全本身也存在滯后性,因為安全技術是在對抗中不斷發展的技術,不斷出現的應用安全問題推動著安全技術的發展,因此,它總是滯后的,正是這種滯后性存在巨大的安全隱患。
其次,是相關法規制度建設存在著嚴重的滯后性,主要表現在信息立法和檔案法律法規沒有有機的整合。如在上世紀90年代中期,隨著大量CAD文件的面世,國家質量技術監督局推出了《CAD電子文件光盤存儲、歸檔與檔案管理要求》,在1999年,為規范電子文檔的歸檔與管理中的問題,國家檔案局又頒布了《電子文件歸檔與電子檔案管理辦法》,
在2000年,為了解決計算機在輔助檔案管理中存在的問題,國家檔案局又頒布了《歸檔文件整理規則》,在2001年,為了提高檔案管理軟件的標準化程度,國家檔案局了《檔案管理軟件功能要求暫行規定?,2002年,針對公務活動中電子文件的形成、積累、保管、利用等方面存在的問題,國家檔案局對《電子文件歸檔與電子檔案管理辦法》進行了修正,在此基礎上,又分別在2003年和2005年出臺了第三部和第四部檔案信息化部門規章。由此立法過程可以發現:法律制定的周期性與檔案信息安全體系建設的緊迫性存在著明顯的滯后。
第三,是安全管理的滯后性,主要表現在很多檔案信息網絡管理人員、應用人員以及領導層缺乏安全意識,甚至有些檔案工作者沒有受過正規的網絡安全培訓,對檔案信息網絡的安全重視不夠,知之甚少,致使檔案信息安全管理缺乏針對性和執行力。同時,檔案信息網絡安全人才嚴重匱乏,在技術層面上無法提供有力的安全支撐,在信息環境的動態發展變化過程中,標準化管理、計算機輔助管理、規章制度管理明顯滯后于檔案信息化發展的步伐。
1.2.2電子檔案信息安全保障體系建設存在不足
檔案信息安全保障是對檔案信息和檔案信息系統的安全屬性及功能、效率進行保障的動態行為過程。它源于人、管理、技術等因素所形成的預警能力、保護能力、檢測能力、響應能力和反擊能力。現階段,在電子檔案信息安全保障體系的構建中主要存在以下不足:(1)突發事件多,檔案信息資源缺乏生存能力;(2)法規制度不健全,檔案信息缺乏保護能力;(3)標準不統一,檔案信息安全缺乏執行能力;(4)評估、防范少,檔案信息安全缺乏預警能力;(5)專業人才短缺,檔案信息安全缺乏發展能力;(6)網絡漏洞多,檔案信息安全缺乏數字化技術支撐能力。
2電子檔案信息安全保障需要多策并舉
2.1 應在基礎環境建設上著力,奠定電子檔案信息安全保障基石
基礎環境建設包括基礎設施建設、硬件環境和人為環境建設。基礎設施和硬件環境建設主要是為了保護檔案信息的實體安全,包括網絡基礎設施、計算機、存儲設備以及其他媒體免遭地震、水災、火災和其他環境事故的破壞,檔案數據的異地備份是有效的措施之一。而人為環境建設主要是加強檔案管理人員的安全意識和責任意識,落實制度、積極防御,從思想上充分認識到電子檔案信息安全保障的極端重要性。同時,人為環境建設還包括社會公眾檔案意識的培養,以及檔案利用者信息化素養的提高,杜絕因為人為的疏忽、大意造成檔案信息的泄露、丟失或損壞,從而奠定電子檔案信息安全保障基石。
2.2 應在網絡系統建設上加力,鑄造電子檔案信息安全保障屏障
網絡系統建設主要包括:(1)通過各種網絡安全技術預防檔案信息安全危害;(2)通過軟件安全評估審計與網絡監測預警機制應對檔案信息安全威脅;(3)通過信息備份與恢復,補救己成事實的災難。
網絡安全技術涉及的內容非常廣泛,從廣義上講主要包括:主機數據庫安全技術、路由安全技術、身份認證技術、訪問控制技術、密碼技術、防火墻技術、安全管理技術、系統漏洞檢測技術、病毒查殺技術、黑客入侵檢測技術等。通過多種網絡安全技術手段的綜合應用,開發具有自主知識產權的系統軟件和網絡關鍵設備,就可以大大降低網絡對電子檔案信息安全帶來的危害。
安全審計,主要是針對與安全有關的網絡行為進行識別、記錄、存儲和分析。涉及的記錄形成網絡智能型日志用于檢查網絡上發生了哪些與安全有關的活動,并劃分職責范圍。而安全評估主要是通過國家軟件測評中心對系統軟件進行安全性評估,尋找出系統的“bug”和漏洞,同時,對不同的電子檔案密級劃分等級和重要程度,并對安全狀態和可能出現的災害進行預測,以及確定相應的安全策略。而安全檢測與預警機制主要是采用“看門狗”軟件系統,對網絡入侵和病毒攻擊進行實時監測和預警,用來及時發現和阻止各種來自外部的非法入侵行為和內部用戶的非授權活動,作為防火墻技術的補充,應在服務器、局域網各重要網段配備監測和預警系統。
信息備份與恢復,主要是對己丟失或失真的電子檔案信息進行補救。因為,網絡條件下的檔案信息安全工作存在滯后性,任何一個網絡都不能確保萬無一失,由于人為的疏忽和網絡攻擊致使檔案信息丟失和失真的現象隨時可能發生,因此,需要建立信息備份與恢復系統,這樣才能保證一旦信息丟失和失真,系統也能夠做到有備無患,從而保證檔案信息的完整性。
2.3 應在信息標準建設上增力,鍛造電子檔案信息安全保障準繩
檔案信息標準化建設,主要包括檔案信息法制標準、管理標準、技術標準三個方面。檔案信息法制標準,主要體現在檔案立法的專門性和內部安全制度的針對性上。國家和地方機構的立法應覆蓋檔案信息行為的各個環節,針對網絡環境下大多信息安全面臨的威脅,制定具體、詳細的建設標準,從法律上約束檔案信息行為,而內部安全制度的制定,應針對不同的工作模式和場景,制定不同的制度標準,細化到一人、一崗、一機的規范上,從而提高檔案信息安全的規范性、可操作性以及檔案信息安全標準的通用性。
檔案信息管理標準,主要包括機構建設和管理機制建設。建立權威的檔案信息安全管理機構能夠從戰略層面統管本機構檔案信息安全工作。在機構的組織形式上,既要能夠在日常服務利用工作中履行職能,又要便于在檔案信息面臨危害時及時轉入應急體制并發揮作用;在機構職能的確立上,既要能對本機構檔案信息安全工作進行戰略指導和宏觀管理,又能對檔案信息安全的具體問題進行策略支持和微觀控制。而管理機制的建立,主要是依據法律法規,在檔案信息的產生到利用的各個環節制定標準化的管理制度和管理方法,在分級、分層、分域的管理中,劃分管理權限,明確職責,增強管理人員的安全意識和操作規范,提高檔案的利用效率和檔案工作者的執行能力。
檔案信息技術標準,主要包括電子檔案采集和鑒定標準、數據格式標準、計算機硬件標準、開發軟件標準、網絡信息、傳輸標準、電子數據長期保存標準、網絡工程及網絡行為的標準化等。
在此基礎上,還要建立科學合理的標準評價指標,要根據網絡環境下,電子檔案信息安全的真實性、完整性、可用性和可控性的要求,建立檔案信息安全的物理安全、管理安全、網絡安全、信息安全、系統安全的評價指標[9]。
2.4應在人才、資金等多方支持,打造電子檔案信息安全保障品牌
網絡環境下電子檔案的信息安全保障需要大量的人力、物力和財力的投入。電子檔案信息安全的人才隊伍應由計算機信息技術、自動化技術、網絡技術、管理技術等方面的人才構成。所以,人才培養的目標,是培養既通曉相關的信息安全法規制度,又有豐富實踐經驗的信息安全管理人才;培養既能熟練使用各種網絡安全設備和設施,又能解決網絡安全具體問題的技術人才。在檔案人才培養中,應加強對上述相關知識和能力的培養,并有針對性地開設專門的電子檔案信息安全方面的課程,在實際檔案部門中要加大對檔案信息安全人才的引進、培養與提高。
在人才引進、培養、提高和檔案信息安全保障體系的建設中,需要大量的資金投入,以保證各項工作的順利開展。同時,在電子檔案信息的開發、存儲、傳輸、利用各個環節中都需要社會相關單位和個人的配合與幫助,通過檔案工作者、利用者、組織者等各方努力,查找各種管理和技術漏洞、防止各種疏忽和病毒攻擊、加大人才培養和資金投入力度、完善法律法規和基礎設施建設,從根本上保證電子檔案事業又好又快地發展。
3電子檔案信息安全保障體系構想
隨著網絡時代的到來,檔案利用的網絡化己成為檔案事業發展的重要方向,而網絡環境下的檔案信息安全保障體系建設自然而然地成為檔案事業的重要組成部分。
電子檔案信息安全保障體系是以信息技術為支撐,對機構內外產生的電子文件、檔案部門保存的電子檔案進行安全、嚴格、系統的組織和管理,以防止電子文檔在網絡傳輸、介質存儲和提供利用等過程中被故意或偶然的非法授權泄露、更改、破壞或使信息被非法系統識別、控制,從而確保電子文件的保密性、完整性、有效性和憑證性。
電子檔案信息安全保障體系必須融合管理與技術要求,實現電子文檔前端控制和全程管理。主要由安全組織體系統領支撐體系、管理、標準體系、網絡安全運行體系各個子系統,其中,支撐體系包括安全防護技術支撐、法律法規支撐、環境、設備安全支撐,以及人才資金支撐四個內容。其內容構架如圖2所示:
安全組織體系由決策層、管理層和執行層構成完整、統一的安全組織架構,在行業內或區域內成立電子檔案信息安全領導小組,由國家檔案行政主管部門和各業務主管部門組成,形成決策機構;由安全責任部門和相關部門設立電子檔案信息安全辦公室,形成強有力的管理機構;在各個業務部門內設置電子檔案信息安全小組,負責執行有關檔案信息安全的法律法規、規章制度和技術規范。
電子檔案信息安全管理和標準建設子系統主要由三個層面構成:(1)電子檔案信息安全總綱,規定電子檔案信息安全的指導思想、方針、內容、要求;(2)電子檔案各環節的標準指南和管理規定;(3)各種操作手冊、工作流程和實施細則。
【關鍵詞】交通信息化 問題 管理
一.加強交通檔案管理信息化建設
(一)建立網絡檔案系統
在系統內建設數字化綜合應用平臺。建立健全內部服務網和公眾服務網,發揮網站的作用,使檔案網站成為宣傳檔案工作、開展檔案信息服務的窗口。促進檔案現行文件信息化的標準建設,根據系統建設需求,采購必要的硬件設備,為系統提供硬件基礎。提高檔案管理軟件的技術和應用水平,為保證檔案信息交換、實現檔案信息資源共享創造條件。制定相應的策略、保障檔案資源的原始性、安全性、可靠性。
(二)加強電子文件的管理是做好檔案信息化建設的關鍵
1.電子文件歸檔所涉及的問題更加廣泛,受制約因素多,僅靠檔案部門獨家很難完成,應采取電子文件形成部門、檔案部門、計算機與信息管理部門三結合的方法。三個部門的職能應用于相互滲透,揚長避短,發揮各自的優勢,在電子文件歸檔中集成一體,共同形成質量較好的電子文檔。
2.電子文件的載體穩定性差,易損壞,隨著計算機信息管理網的建立與發展,越來越多的重要文件被傳輸上網。上網前,又按著信息管理部門的統一要求進行了文件格式的轉換,在一定程度上保證了數據的可靠性和通用性,對那些未輸送到計算機信息管理網上的具有保存價值的電子文檔,應由電子文件形成部門編目整理,也利用網絡技術向檔案部門傳輸,可以借助信息管理網絡在各業務管理機構與檔案部門之間開通電子文件歸檔專遞網線,建立依附在信息管理網上的歸檔專用子系統。
3.解決好檔案電子文件的保存問題。以化學磁性材料為載體的電子文件,從理論上講能夠長期保存。因為它的信息讀出是無接觸式的,不存在磨損。電子文件記錄在介質層上的信息被密封在塑料保護層內,不怕外界磁場的影響,不會直接受到空氣中的灰塵、水份及有害氣體的侵害。但是,由于電子文件形成的時間短,缺乏實際貯存的驗證。所以,電子文件中原始信息的長期保存問題是有待檔案工作者進行深入研究和探討的重要課題。
4.做好檔案歸檔電子文件的技術處理工作,實施電子文件管理戰略。新型文件材料的歸檔勢在必行,這就要求檔案工作者必須深入到現行文件工作領域,對產生的大量電子文件的接收、處置乃至存儲工作進行指導,保護電子文件的原始信息,了解文件信息重新組合的來龍去脈。也就是說,通過采取技術處理,將已歸檔的電子文件改為“只讀性”文件,即只能讀不能寫的不可更改的文件,從而識別和保護電子文件的原始結構,保證電子文件的可靠性,使之與紙質文件一樣發揮社會效用。
二.加強交通信息化安全保障體系建設及其基本要求
信息安全保障體系是基于PKI體系而開發的為多個應用系統提供統一認證、訪問控制、應用審計和遠程接入的應用安全網關系統,它可以將不同地理位置、不同基礎設施(主機、網絡設備和安全設備等)中分散且海量的安全信息進行樣式化、匯總、過濾和關聯分析,形成基于基礎設施與域的統一等級的威脅與風險管理,并依托安全知識庫和工作流程驅動,對威脅與風險進行響應和處理。信息安全保障體系的基本要求主要體現在以下幾個方面:
1)保密性
主要體現在誰能擁有信息,如何保證秘密和敏感信息僅為授權者享有。
2)可用性
主要體現在信息和信息系統是否能夠使用以及如何保證信息和信息系統隨時可為授權者提供服務而不被非授權者濫用。
3)完整性
主要體現在擁有的信息是否正確以及如何保證信息從真實的信源發往真實的信宿,傳輸、存儲、處理中未被刪改、增添、替換。
4)可控性
主要體現在是否能夠監控管理信息和系統以及如何保證信息和信息系統的授權認證和監控管理。
5)不可否認性
主要體現在信息行為人為信息行為承擔責任,保證信息行為人不能否認其信息行為。
三.交通信息化人才隊伍建設
這是交通信息化成功之本,對其他各個要素的發展速度和質量起著決定性的作用。在“信息化”的時代的今天,信息技術快速發展,掀起了以數字革命為特征的信息技術浪潮,改變了人們的時間和空間的概念以及思維方式。信息技術的快速發展和廣泛應用,對經濟和社會的發展產生了深遠的影響。檔案管理工作也不例外,同樣需要現代化。目前,我國各級交通管理部門也紛紛加強信息技術建設。加強信息化條件下的檔案管理工作,是適應時代和社會發展的必然選擇,是加快交通信息化管理的客觀要求,也是提高服務水平的唯一途徑。
四.交通信息化建設安全策略
1.安全策略體系
網絡安全策略是為了保護網絡不受來自網絡內外的各種危害而采取的防范措施的總和,因此信息安全策略是信息安全保障體系建設和實施的指導和依據,全面科學的安全策略體系應貫穿信息安全保障體系建設的始終。安全策略體系,主要包含安全政策體系、安全組織體系、安全技術體系和安全運行體系四個方面的要素,在采用各種安全技術控制措施的同時,必須制訂層次化的安全策略,完善安全管理組織機構和人員配備,提高安全管理人員的安全意識和技術水平,完善各種安全策略和安全機制,利用多種安全技術實施和網絡安全管理實現對網絡的多層保護,減小網絡受到攻擊的可能性,防范網絡安全事件的發生,提高對安全事件的反應處理能力,并在網絡安全事件發生時盡量減少事件造成的損失。
2.安全運營體系
交通電子政務的安全運營體系一般可由安全體系推廣與落實、項目建設的安全管理、安全風險管理與控制和日常安全運行與維護四個部分組成。安全運營體系是一個完整的過程體系,在交通信息化建設的整個過程中,正常的運作流程,其信息流遵循自上而下的流程,即交通上級部門根據電子政務平臺信息安全需求的目標、規劃和控制要求做計劃,下級交通部門根據計劃進行執行、檢查和改進。而若其安全性出現威脅,影響正常的運作流程時,此時信息流則遵循自下而上的逆向過程,下級交通部門向上級部門報送安全事件,上級部門根據其安全事件進行分析、總結和改進。
3.安全組織體系
政府高度重視交通運輸信息化工作的同時,堅持把“積極防御,綜合防范”放在優先位置,首先要求成立專門的信息安全領導小組。信息安全領導小組可由交通主管領導擔任領導小組組長主管信息安全工作,下設信息安全工作組,各管理部門負責人、業務部門負責人為成員。
五.結語
總之,交通信息化建設安全保障體系的基本要求主要從技術和管理兩個層面得以實現。技術層面在實現信息資源的公開性、共享性和可訪問性的同時,通過主機安全、網絡安全、物理安全、數據安全和應用安全等技術要素保障信息的安全性。管理層面則可通過安全管理機制、安全管理制度、人員安全管理、系統建設管理以及系統運營管理等規范化機制得以保障信息的安全性。
參考文獻:
