时间:2023-06-12 09:09:45
序论:速发表网结合其深厚的文秘经验,特别为您筛选了11篇安全保障体系建设范文。如果您需要更多原创资料,欢迎随时与我们的客服老师联系,希望您能从中汲取灵感和知识!
随着中国特色社会主义建设日新月异的发展,我国档案事业得到了前所未有的迅速发展。然而,我国档案管理体系中,由于档案资源数量庞大、管理层次复杂、发展不尽平衡等原因,一些地方档案事业管理尚未纳入国民经济和社会发展整体规划。在档案管理工作中,虽然不乏关于档案安全的制度和要求,但一些时候仍然显得过于零散、片面,甚至有部分缺失,安全隐患和安全事故未能得到彻底遏制。当前,在各级档案部门加快建设覆盖人民群众的档案资源体系和方便人民群众的档案利用体系过程中,从理论和实践层面对档案安全保障体系构建问题进行全面总结和深入研究,进一步提升各级档案部门的档案安全保障能力,具有重要的现实意义。
一、档案安全保障体系构建的时代依据
(一)加强档案安全保障体系建设是应对我国核心档案信息资源被窃取的客观需要。冷战结束后,非传统领域的国家安全问题日益凸显出来,其中,能源资源、材料资源、信息资源是各国特别关注和必然争夺的战略性资源。国际国内并不鲜见的事例都反映出敌对势力采用各种手段、通过各种途径非法获取档案信息的企图,是新形势下必须沉着应对的严峻挑战之一。
(二)加强档案安全保障体系建设是应对自然灾害多发频发并对档案安全构成严重威肋、的客观需要。自然灾害如地震、水灾、火灾、海啸、风暴等的发生具有不可预知性和不可抗拒性,这些灾害对于档案实体的危害是巨大的,印度洋海啸、汉川地震、海地地震都是触目惊心的现实例子。2008年5月我国发生的汉川大地震,对当地及周边地区档案馆建筑造成了巨大破坏,对档案造成了严重损毁。据统计,四川省内阿坝、绵阳、德阳、成都、广元、雅安等6个重灾区的国家综合档案馆馆藏档案共4257379卷,有612848卷档案处于严重受损的危房之中,全省有43915平方米档案馆舍受到不同程度损坏。北川县档案馆1000平方米馆舍在地震中坍塌,档案被泥石掩埋,被雨水淹渍。这次地震对档案馆造成的灾难性后果,给档案馆防治各种灾害工作敲响了警钟。
二、档案安全保障体系初步解读
(一)安全基础设施。安全基础设施是指维护档案安全、实施档案正常管理、保障档案开发利用,提供为全社会方便服务等工作而进行的基础建设,包括档案保管环境,档案存储设施、档案利用设备、档案维护监控设备、档案抢救与恢复设施等。
(二)安全全程控制。安全全程控制是指对档案从形成至销毁或永久保存经历的各个过程都要进行安全控制。具体如下:1、前端控制,采取一切安全保障活动之前的设计、规范、要求和准备。2、日常维护,对置于库房中的档案进行安全监控。3、灾难备份,其目标是力保恢复,及时发现,快速响应。4、利用与服务,对档案进行编研、展览、查档、复印过程中,必须注意保护档案。5、恢复与抢救,依据档案的基本属性―原始性、真实性,在抢救恢复过程中将技术发挥最大化,对档案干预最小化,防止档案信息的损坏、删除、篡改和丢失。对恢复与抢救的过程进行记录,充分考虑这一过程可能出现的各种情况,做好各种防护措施,避免对档案造成二次损害。
三、档案安全保障体系实现目标
构建档案安全保障体系的前提是分析档案安全保障体系的理论定位与实际应用的关系,争取实现基于高起点、实现高目标、开拓新局面。目前,国内外关于档案安全保障体系的理解大致有三层含义:其一,控制环境,降低风险。这里的“环境”是指档案保管环境、物理环境、社会环境、信息存储环境等,降低环境因素对档案安全的影响,最大可能降低风险。其二,建立安全保障平台,采取安全防护措施,使档案尽可能保持稳定状态。其三,对已经处于不安全环境中的档案,采取各种措施使其达到新的稳定状态,保存其信息的可读、可用和可藏。这三层含义包括档案安全保障体系中的社会因素、管理体制、组织体系、策略、政策法规、安全保障技术或安全保护效果的评价等等较为宏观的要素。
(一)整体化发展,构建社会化的档案安全保障发展平台。档案安全保障平台建设必须打破部门的限制,实现跨系统、跨部门、跨领域的共建共享和联合,以技术力量、设备平台的利用融合为基础,构建支持国家可持续发展的档案安全发展平台,解决各系统的互联和互通问题,针对存在的共同问题,合作研究,共同攻关。
(二)坚持可持续发展。档案安全保障体系可持续发展既要兼顾社会发展的实际需要,又要考虑我国历史文明长期保护的目标。注重将现代信息技术应用到传统技术中、保证档案信息的长期读取、无论实现现代技术还是传统技术要经得起时代的考验、所有技术的实施要具有可逆性和重现性,同时技术的实施要为将来档案安全体系的发展留有的空间。转型时期档案技术研究对象、任务、内容和方法发生了一定的变化,需要及时调整,需要健全和完善现有的安全体系、扩大研究范围、丰富档案安全保障体系内容,寻求传统档案理论发展的空间。
现代条件下的档案安全保障体系的构建是决定档案事业发展的关键之一,它围绕档案主体工作而形成的,包括档案创新能力、关键技术研发与应用能力、安全保护活动组织能力、业务拓展能力、事业发展支持能力、档案技术力量培训能力等,是一项长期而艰巨的任务,需要档案机构上上下下、方方面面的通力合作,积极配合。档案安全保障体系对于档案工作及档案工作者都是一个全新的概念,它的构建、研究和推广应用为档案事业的长期发展提供了巨大的空间。
参考文献:
引言
随着科技的迅猛发展,信息化技术逐步的被应用在各行各业,档案信息化的发展前景也十分的可观,提高档案管理工作的效率的同时,具有一定的科学发展性。纵观我国档案管理的发展现状来看,在档案信息化与档案安全保障体系的双重促进作用下,取得了一定的成果。但是,在进行整体推进的同时,也会遇到一定的阻碍因素。因此,对于档案管理工作发展的进程中,提升档案信息化与档案安全化是具有一定必要性的。
一、加强档案安全保障体系建设的必要性
(一)、加强档案系统安全建设是解决目前国内档案安全问题的需要
有很长一段时间,一部分档案工作者对档案安全保障工作了解不够全面,诸如将安全理解为防盗、防火、防水、防湿度、防光、防高温、防虫、防霉等“八防”,尤其关注防火和防盗。档案安全有信息安全的保障和载体安全的保障,有隐性状态也有显性状态。由于档案系统安全性理解的局限性,导致在实际工作中,理解措施和技术方法简单易行,安全工作中心偏重于基础设施投资,忽略了长期安全维护和管理,缺乏足够的安全意识、风险意识和利益意识。
(二)、城建档案数字资源的安全是关键
数字城建档案馆作为一个数字化的信息系统,其主要是以数字信息资源为主要核心的虚拟的档案馆,一般都以档案数据库作为档案存储中心,而且可以在网络上对一些城建档案信息资源进行公开共享。一旦这些城建的数字资源的真实性、完整性和可用性受到破坏,则数字城建档案馆也就成了没有数据的空壳,数字城建档案的建造也将以失利告终。
二、当前档案安全保障体系建设的现状
(一)、相关法律法规不健全,安全管理体制不完善
第一,在相关法律法规方面,我国当前制定和出台的与档案安全管理相关的法律大多是通用的计算机法律法规,还未制定出具体、专门的法律法规来保护我国的档案信息化建设,无法对那些刻意攻击和毁坏档案信息资源的破坏分子产生约束力,不利于我国的档案安全管理工作。第二,在安全管理体制方面,当前许多档案馆都未能建立起完善的档案安全管理体制,档案信息化网络建设还处于探索阶段,并不十分完善,容易受到人为因素的影响而导致机密数据会资料失真或被窃取,严重阻碍档案安全管理工作的顺利开展。
(二)、软硬件设施不够完善
文件的保存需要一个安全的管理环境和管理档案数据的系统,对于数字化的信息,一般将其保存在计算机和光盘等存储设备中,但是就我国目前的发展情况而言,我国计算机技术的发展比较缓慢,且起步比较晚,因此,数字档案信息的保存体系还不够完善,相关的软硬件设施还有很多的不足之处。另一方面,软硬件,如光盘等自身容易损坏,从而也不利于档案的管理。
(三)、机制不健全,安全信息资金缺乏
档案馆信息安全机制不健全,一些部门所拟定的管理准则只是一种形式,在实际工作中没有具体的可操作性。数字城建档案馆建造项目是一种十分关键、重要的工作,其需求很多人力、物力、财力的投入。现在大多数的城建档案馆归属财务全额拨款的事业单位,其所得到的经费一般只够档案馆常规工作,如果要想从有限的经费里拿出大量资金对城建档案进行信息资源安全建设,是十分困难的。
三、城建档案管理安全保障系统建设策略
(一)、建立健全相关法律法规,培养高素质的人才
我国当前与档案安全保障相关的法律法规还不健全,未能建立起合理完善的法律法规体系,协调解决我国档案管理工作中存在的问题。因此,国家应当注意,及时制定和完善与档案安全管理相关的法律法规,综合考虑我国当前在档案安全管理中存在的问题,结合档案文件自身的特点,并吸收和借鉴国内外有关档案安全管理的立法经验,适时对不符合当前实际情况的内容进行修改。此外,为了确保相关的法律法规能够在实践过程中贯彻落实到位,各级档案管理部门应当注意加大其监管力度,及时对档案安全相关法律法规的实施情况进行检测。在人才的培养方面,档案馆应该注意对从事档案安全管理工作的工作人员进行定期培训,提高相关工作人员的知识与技能,增强他们的防范意识。高素质人才的培养是建设档案安全保障体系的重要内容之一,拥有一支知识与技能先进、责任高强的档案安全管理干部队伍是档案安全管理的有利保证。
(二)、加速档案信息的数字化进程
伴随着现代社会网络化的普遍利用,档案的信息化建设也加快了进程,档案信息的数字化在工作中也变得司空见惯。档案信息数字化在对档案原件的保护提供便利的同时,也提高了档案的服务能力,更是为避免和减轻自然灾害和人为灾害带来的损失发挥了重要的作用。随着现在档案信息数字化进程的不断推进,数字化信息的安全问题就越来越受到档案工作者和社会各界人士的重视。因此在推进档案信息数字化的进程中,一定要务必要注重档案信息的安全,建立健全完善的规章制度和操作体系,另外,也要针对数字化档案信息容易被盗取、随意改写、容易丢失的特点,强化档案信息的安全保障管理,力保数字化档案信息绝对的安全。
(三)、加强档案信息安全意识
档案信息资源是党和国家的宝贵财富,是企业不可再生资源的原始记录,一旦文件发生事故就会造成无法弥补的损失。档案工作人员要以对党和人民高度负责的精神,切实做好保护档案的工作,把档案安全放在一个重要的位置上,学习、宣传、贯彻国家对信息安全及资料管理等情况的规定,加强档案信息安全意识、安全教育,普及档案信息安全知识,消除档案信息安全认识上的误区。树立科学正确的档案信息安全观念,坚持“安全第一,预防为主”的方针,把安全责任意识落实在档案工作的全过程。
(四)、档案馆全网安全运行
要保障档案馆的公共环境、网络、信息系统和监控系统的有效与安全运行是需要健全的安全管理制度来支撑,需要管档案全体员工安全意识的加强与提高为基本前提。我国目前也正在逐步建立信息化和信息安全的相关法律、法规体系和执行体系,各级档案管理部门也在不断地完善本地区域的安全管理体系和安全保障体系,贯彻标准、执行法律、强化管理、提高全员的安全意识,只有这样,档案馆及档案的安全才有保障。
结束语
档案资源在利用的过程中具有唯一性、使用上的直接依赖性以及较强的主体关联性等特点,使其区别于其他信息资源,在档案管理中占据重要地位。因此,在构建档案安全保障体系的过程中应当注意,充分认识建设档案安全保障体系的重要性和必要性,结合档案文件的特点,提高档案安全意识,了解当前档案安全保障体系建设的现状,从整体出发,实施系统完善的防护措施,做好档案安全管理工作,构建档案安全保障体系,促进我国档案管理工作的整体化发展与可持续发展。
参考文献
中图分类号:TP3 文献标识码:A 文章编号:1671-7597(2013)16-0129-01
内网的构建不仅需要工作人员将内网的数据传输技术进行实时更新与维护,更加需要专业的信息管理员对内网的信息内容进行管理,确保内网信息安全健康。保障体系作为一种以内网信息为工作对象的管理体系,其工作的开展较多的依赖于体系各环节的协调。本文将从内网信息安全的保障为中心,简要分析推进该安全保障体系建设的措施。
1 内网信息安全保障体系构建的重要性
1.1 对网络环境的规范作用
随着计算机网络技术的广泛应用,网络已经成为我国国民生活的一部分,信息传播速度的不断提升和观念交流的及时有效逐渐的形成了对网络环境的威胁。网络环境是确保网络信息安全、健康的基础,只有确保网络环境的清洁,网民的信息安全才有所保障。
推进内网信息安全保障体系的建设对网络环境有一定的规范作用。首先,内网信息安全保障体系是针对网络信息安全这项内容的,而该项内容是网络环境中极为重要的部分,网民之间的信息交流构成网络环境的基础。保障体系的建立能够有效地提高网络环境的清洁力度。其次,内网信息安全保障体系的建立有利于加强局域网络的稳定性,减少因网络故障导致的全网瘫痪。
1.2 对用户信息安全的保障作用
网络用户的信息安全一直都是网络平台信息管理者需要关注的重点。随着网络用户数量的增加,网络安全问题逐渐凸显,部分网民私人信息泄露已经成为网络常态。建设内网信息安全保障体系对用户信息安全有着积极的意义。一方面,内网信息安全要求工作者将网络信息进行管理,并利用一定的网络技术保护网民的信息资料安全;另一方面,内网信息安全保障体系在建设过程中不断地完善自身的应用技术,对推动网络平台的稳定十分有利,从而能够确保用户的资料安全。
2 内网安全风险分析
与外网的信息安全相比,内网的信息安全工作的开展具有一定的困难,网络黑客虽然不容易经由翻墙技术进入局域网盗窃信息或者进行破坏活动,但通过局域网内部人员的关系,内网信息安全就有极大的安全隐患。
1) 内网安全保障技术的防护性能不强,不能很好地开展网络信息安全保障工作。内网使用人员在进行信息交流时,其网络信息的安全保障技术并没有较大的技术性,简单的黑客技术就能够将内网信息掌控到手。这是由多方面因素造成的。第一,内网技术维护人员并没有设定专门的安全保障技术,部分信息共享、使用等都只通过简单口令的保护,防护手段不到位,另外,一些研发阶段的技术也没有提供专业的安全防护,导致数据和资料丢失现象较常见。
2) 内网工作人员的信息安全防护意识不强。内网的使用大部分都是统一范围内的单位员工或企业职员。这些人对内网各部分信息都十分熟悉,因此,从一定程度上讲,该网络内部的工作人员是威胁网络安全的重要部分。员工渠道的信息泄露包括员工有意进行的泄露和员工无意开展的行为。一方面,部分员工的职业素质不高,对所在企业的归属感不强,对企业重要资料的安全防护意识也就相对较弱,在被不法分子利用后,这部分员工极易成为网络信息安全的最大威胁。另一方面,相当一部分员工对企业的重要资料的重视程度较高,但其对安全保障措施的运用却不灵活,对技术保护不甚了解,因此,会出现无意的信息泄露,进而影响企业的资料安全。
内部信息泄露手段主要有:资料的复制、电子邮件通信、办公电脑与私人电脑混用、文件共享等,这些途径不仅简单快捷,节约时间,同时还是技术难度较低的行为。
3 推进内网信息安全保障体系建设
内网信息安全保障体系的建设需要工作人员结合其信息安全常出现的问题进行技术改进和工作落实。
3.1 规范网络节点接入,减少信息安全隐患
我国目前的网络接入状态是,非内网成员可以通过一定的技术轻松访问内部网络,这一现象一方面是由于现代化的楼宇布线技术导致的,另一方面,科学技术的进步降低了内网接入的难度。非内网成员在进入内网后,对内网信息的安全形成威胁,部分核心数据面临着被盗用泄露的风险,因此,工作人员需要针对这一问题展开工作,及时的发现未知接入点的存在,并根据其性质进行隔离处理,减少信息泄露的可能。
非法接入点的规范工作还包括对计算机IP地址的转变进行及时的记录和分析,当该IP的转换对局域网内部信息的安全造成威胁时,工作人员要对该网络进行阻断。
病毒库的更新也是保障内网信息安全的要素之一。内网的组成是多台计算机的连接,这些计算机组中性能较差或者应用技术较落后的计算机往往是网络安全工作中的重点,黑客在侵入内网时多选择在这一端口进入。因此,企业需要及时的进行病毒库的更新,保障计算机的安全,降低黑客入侵的可行性。
3.2 完善内网信息监控系统,确保信息安全使用
内网信息的安全不仅需要一定的技术支持,也需要有完善的内网监控系统的辅助。内网中各种先进科学技术的应用以及软件等的配合都为监控工作的进行提供了可能。运行软件、设备、网络拓扑等都能够积极参与到网络信息安全监控中来。工作人员需要针对不同的现象开展相应的工作,如中断运行异常的软件,控制移动设备在办公主机上的运用,监控系统运行情况等。实时监控的进行是保障信息基本安全的有力措施,同时,企业需要对监控措施的管理工作进行人员安排,确保监控力度到位。
3.3 结合安全保障技术和安全管理理念,维护内网信息安全
企业的内网信息安全离不开技术和管理理念的支持,只有这两者协作才能够确保企业内部工作的安全。
1)企业需要对内网的安全保障技术进行革新,及时的应用先进的科学技术,对计算机组进行定期维护和系统升级,确保其功能的稳定,减少系统漏洞的出现。积极鼓励技术人员学习新知识,完善自身的知识储备,研发出有自主知识产权的设备和系统,推动自身网络技术的发展。
2)企业需要进行规章制度的建立。①企业要制定出完善的符合社会发展要求的网络信息安全等级,为技术人员开展网络信息维护提供数据参照;②企业要对办公电脑和核心数据的使用人进行管理;③加强对内网各环节的管理,保障数据访问的设备安全。
4 结束语
内网信息安全保障体系的建设需要相关技术人员积极的进行技术革新,研发出具有自主知识产权的系统和设备产品,改变目前国内网络技术受制于人的现状。
参考文献
[1]邓波.内网:应用需求与安全保障第七期电子政务沙龙权威支招[J].信息化建设,2012(02).
对于电子档案而言,其主要是建立在计算机和网络技术的基础之上,属于相对较新的事物,对档案工作具有极大的推动作用。但是,在实际应用中,鉴于诸多因素的影响,使得其在安全问题上面临挑战,因此,要加强电子档案信息安全保障系统建设。
一、对电子档案信息安全保障体系概念的分析
电子档案的信息安全保障体系,主要是借助一定的安全策略,应用先进和科学的安全技术,实现对电子档案信息的有效防护和监控,保证电子档案信息在整个保存和处理中的安全性,提高并保证档案信息的真实性和完整性,彰显动态的调整功能,主要是由防护、检测、反应和恢复四个环节,实现持续发展的动态过程。
二、全面介绍电子档案信息安全保障体系的组成部分
(一)重视法制标准保障的全面建设。1.注重建立更加专业的电子档案信息安全法律。当前,电子档案信息安全相关法律主要在刑法、档案法中有所体现,但是,缺少专业性的电子档案信息安全法,在一定程度上使得电子档案信息在保护和执行方面力度不够。因此,需要重视安全法规的建设,形成具有针对性的安全保障措施,针对破坏现象,进行相应的处理,同时,强化执法强度,保障电子档案管理能够有法可依,强化执法力度。2.重视完整的电子档案信息安全立法。在档案信息安全立法中,缺乏严谨的结构体系,缺陷比较明显,主要包含相关的公开制度、隐私权法律制度、网络知识产权等。3.形成全面的档案信息安全标准体系。对于档案信息安全标准体系,其发展较晚,属于初级发展时期,缺乏完整性和健全性,因此,要立足基础、技术和管理标准,进行标准体系的建设。在系统运行中,要注重对新型系统的设计、验收、运行和维护,在根本上实现电子档案安全管理的有序进行。
(二)做好基础设施保证建设工作。对于电子档案信息的传递和运行,基础设施建设必不可少,主要是立足硬件系统和运行技术架构,实现对安全信息技术环境的营造。在基础安全架构中,要立足网络安全架构,结合软硬件,实现安全系统的有效部署。在进行架构设计的时候,需要针对功能进行分区,实现对网络功能的明确,设置保护等级,同时,进行信息访问权限的限制。
(三)全面加强组织管理保证建设。1.将先进的管理思想渗透其中。对于电子档案,需要重视前端和全程控制管理思想,立足文件到档案的全周期监控,能够及时发现其中的问题,保证监督的有效性。要重视分级管理,结合文件价值,进行安全管理,强化管理力度。要将风险管理的思想融入其中,进行有效评估,形成对策,降低档案安全风险。2.重视建立权威性的信息安全管理机构。对于档案管理机构,只有保证其权威性,才能提高管理工作的高度。在组织上,需要重视职能的划分,在根本上保证对信息安全管理工作的战略性指导,也能够做好具体工作,形成详细的应对策略。3.重视对基础设施配置的管控。在进行基础设置配置的时候,需要重视对各种参数的考量,保证其根本的稳定性与可靠性,达到安全运行的目的。同时,要重视对地址的选择,保证各方面要求能够达到技术要求。4.设计更具可靠的电子档案安全管理系统。对于电子档案管理而言,信息技术十分关键,需要保证安全性与稳定性。为此,在设计的时候,结合控制的思想,立足档案管理的责任,在根本上满足档案安全功能的需要,尤其是强化权限、监控等功能等。
(四)加强安全技术保障工作。1.将物理安全平台的构件作为重要工作来抓。对于网络电子信息的安全性,物理安全发挥重要的作用,主要针对环境、设备和媒体安全几个方面,有效防护环境的安全性,保证设备稳定性,避免干扰现象,保证数据的安全性。2.加强对电子档案安全管理的网络支持。主要包含传输和业务网络两个部分。其中,传输网络安全能够有效维护电子档案传输的稳定性,有效保证网络服务的可靠性。而对于业务网络安全,主要对病毒的防范、对防火墙的设置以及对网络的监控,实现对档案信息系统业务资源的有效防护。
三、结语
综上,电子档案信息安全保障体系具有系统和综合性,重视法制建设标准,立足基础安全设施,重视整体安全策略和组装,借助先进的安全防范机制,保障档案信息资源的高安全性、高可靠性和高可用性。同时,积极促进档案整体信息化应用水平的全面提高,为信息化建设保驾护航。
【参考文献】
[1]黄昌瑛.电子档案信息安全保障策略研究[D].福建师范大学,2007.
档案安全保障体系牵涉到档案将遭受的威胁、防范技术、管理模式、员工素质等多方问题,是一项系统工程。档案管理和保存过程中存在着很多不安全因素,经过档案风险评估,可以确定档案安全系统存在的风险,找到相应的安全防范措施,确定可行的安全策略。将档案管理安全、技术安全和环境安全措施综合设计为一个统一完整的安全保障平台,是档案安全保障体系的核心理念。
二、档案安全保障系统建构的必要性
(一)我国核心档案资源被窃取的客观需要
目前我国面临着较为严峻的档案安全问题,其中,信息资源和能源资源等是各国争夺的战略资源,国际上通过非法手段和途径窃取别国档案信息的事例并不少见,面对这种严峻的信息安全问题必须加强档案安全保障系统建设。
(二)目前自然灾害频发严重威胁到我国档案信息安全
地震、海啸、台风、火灾等自然灾害不可预亦不可抗拒,此类灾害对于档案信息实体危害巨大,印度洋海啸和汶川地震都是震惊世界的现实例子。汶川地震对当地及周围地区档案馆造成严重破坏,当地档案信息损毁严重。所以大力推进我国档案安全保障系统是自然灾害频发客观要求。
(三)档案事业快速发展造成档案信息安全隐患
公共档案服务事业的快速推进,尤其是《政府信息公开条例》的实施,导致档案安全矛盾凸显。在档案管理中,一些地方由于强调服务,开放的文件疏于鉴定,将不应公开的信息公之于众,不应宣传的信息在网络上流传,严重损害了相关人员和部门的切身利益。
(四)数字技术应用于档案管理带来了新的安全隐患
随着我国进入信息时代,大量的电子文件的出现是信息时代的一大特征。电子文件易改动、易窃取、易传播、易丢失的特性给档案管理工作造成了新的困难,使档案管理工作人员面临严峻考验。此外,电子文件可以得到长期保存也是档案管理者面临的重大难题之一。这就要求我们必须建立完善的档案安全保障体系来提高档案管理水平。
三、档案管理安全保障系统建设的内容
(一)理论建设和技术研究
根据档案安全保障系统建设的实际需要,研究并制定相应的档案安全科研计划。此外,应当加强对数字档案资源安全保证、档案修复技术、电子文件真伪鉴别和长久保方式等关键理论和技术的研究,提高档案管理安全保障的理论支持和技术支持。
(二)完善相应领域的法律法规
目前的当务之急是健全档案管理领域的法律法规体系,对于档案管理工作中出现的各种矛盾和问题,相关领域的法律法规起着重要的协调作用,对于档案资源的安全有重要保障作用。因此,在法律法规的制定过程中,要注意法律条文的规范性和实操性、系统性和各方面兼容性,有意识的吸收借鉴国内外先进的档案安全立法经验,适时整改和修订现行法律法规中与现实情况脱节的条款。
(三)培养高素质的档案管理人才
人才的培养是档案安全保障系统中的关键要素之一,所以要有计划、分重点、多形式、多途径的培养档案安全保障人才。同时对档案安全保障事业一线工作人员要定期展开培训和学习,提高他们的安全防范意识,普及档案安全保障的知识和技能。并且要及时引进国外档案安全保障的新成果,培养一支有先进知识、专业技术和高度责任心的档案事业干部队伍,为档案安全管理事业提供可靠保障。
另外要确保档案安全法律法规的贯彻实施。各级档案管理部门要大力监督检查档案安全相关法律法规的实施情况,对于违反档案安全的人员进行严肃处理。对查出的破坏档案安全问题一经发现绝不姑息,发现一起处理一起。从而确保档案安全法规不仅停留在纸面上,在实际工作中贯彻执行,真正发挥作用。
(四)建立档案安全管理体系
根据国家或者行业内部要求及档案管理组织内部实际情况,制定出档案安全管理工作的具体策略和方案,用于指导档案安全保障工作的开展。档案部门应该按照档案管理安全保障标准建立明确的工作目标和工作规划,从而达到系统的、全面的、制度化的档案安全管理模式,实现档案管理安全保障。
(五)建立档案安全系统的评估体系
说起电子政务,大家也许首先想到的就是各级政府门户网站,认为电子政务就是通过政府门户网站提供的便民公共查询窗口查询信息或是通过网上办事通道办理申请或审批业务。这是狭隘的理解,门户网站只是电子政务的一部分,并不是电子政务的全部。电子政务是“运用计算机、网络和通信等现代信息技术手段,实现政务组织结构和工作流程的优化重组,超越时间、空间和部门分隔的限制,简称一个精简、高效、廉洁、公平的政府运作模式,以便全方位地向社会提供优质、规范、透明、符合国际水准的管理与服务。”
简单讲,电子政务就是政府通过现代通信技术手段组建一个优于传统模式的政府运作模式,并向社会提供管理与服务。其实,电子政务离我们并不遥远,它已经深入到了我们的日常生活中。举个例子,我国于1993年开始启动“金卡工程”,它以计算机、通信等现代科技为基础,以银行卡等为介质,通过计算机网络系统,以电子信息转帐形式实现货币流通。如今,我们使用带有银联标志的金融卡可以在任意标有银联标志的商户进行消费,我们可以通过银行ATM机办理同城或异地,同行或跨行转账汇款等业务,使用银行卡进行消费、转帐、结算正逐渐成为一种时尚,“金卡工程”实现了“一卡在手、走遍神州”,为企业和个人提供了方便、快捷、安全的支付和消费手段,与此同时,它使企业和个人的交易、转帐、消费和税收纳入国家统计体系之内,加强了国家的监管。又如我国于2001年开始启动的“金关工程”,它在实现海关内部作业流电子化的同时,利用现代信息技术,依托国家电信公网,将进出口业务信息流、资金流、货物流信息集中存放在一个公共数据中心,监管部门可以进行跨部门、跨行业的联网数据核查,企业可以上网办理出口退税、报关申报、转关申报等多种进出口手续。
1 电子政务系统安全保障的重要性
电子政务已覆盖到我国金融、进出口贸易、社会保障、税务、公安、财政审计等多个领域,电子政务系统的稳定和数据安全关系重大,我国对电子政务的信息安全工作非常重视,中央办公厅于2003年下发了《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)、公安部于2004年9月了《关于信息安全等级保护工作的实施意见》(公通字[2004]66号)、国信办于2005年9月了《电子政务信息安全等级保护实施指南(试行)》(国信办[2005]25号),供各级党政机关在新建电子政务系统和已建电子政务系统中开展信息安全等级保护工作参考。保证电子政务系统实现其功能和保证电子政务系统的数据安全是电子政务系统安全保障的两项基本任务。
2 信息安全管理体系建设
电子政务的安全保障是依托对电子政务信息系统的安全保障实现的,信息安全管理应该建立在一套完备的安全管理体系基础之上的,由电子政务信息系统的建设维护单位自上而下的开展。
2.1 信息安全管理体系建设的内容
安全管理体系应该包括安全方针、信息安全组织、资产管理、人力资源安全、物理和环境安全、通信和操作管理、访问控制、信息系统获取开发和维护、信息安全事件管理、业务连续性管理和符合性等内容。具体要求参见我国2008年的《信息技术 安全技术 信息安全管理体系 要求》(GB/T 22080-2008)。
2.2 信息安全管理体系建设的意义
建立完善的信息安全管理体系,使得电子政务信息系统能够有专门的组织或机构负责其安全管理,有了明确的职责划分和责任认定,有助于顺利开展组织的信息安全管理工作。在信息系统全生命周期内对构成信息系统的各要素的安全管理进行规范化管理,形成制度体系,以便其落地实施,会使电子政务信息系统的安全管理更加科学化、规范化和标准化。
3 安全基础设施建设
电子政务信息系统的建设和运行需要基础设施的支撑,电子政务面向社会公众或特定人群提供服务,首先要搭建与互联网对接的网络系统,再解决互联网络上的用户身份鉴别问题,此外还要根据国家信息安全等级保护的有关要求,结合电子政务所在的行业以及提供服务的性质,考虑系统和数据的容灾备份。
3.1 网络建设与安全域划分
电子政务往往需要建设专有网络系统,以便将业务覆盖到本行业的下一级乃至更下一级的业务部门,如“金保工程”将建立三级网络纳为其建设内容,即搭建中央、省、市三级安全高效的网络系统;“金关工程”中也包含主干网建设内容。电子政务信息系统建设单位可以根据电子政务所处行业、服务和管理内容等,制定网络建设规划,并根据电子政务信息系统的安全保护级别相对应的要求划分网络安全域。
3.2 公钥基础设施(PKI)
公钥基础设施PKI利用数字证书标识密钥持有人的身份,通过对密钥的规范化管理,构建和维护一个可信赖的系统环境,为应用系统提供身份认证、数据保密性和完整性、抗抵赖等各种必要的安全保障。电子政务需要面向社会群众或特定群体通过网络提供服务,就需要解决网络环境下的身份鉴别与抗抵赖性问题,即解决如何验证用户为合法用户,以及如何防止用户否认其行为的问题。公钥基础设施(PKI)就能够很好的解决上述问题。税务系统和电子口岸就采用了PKI技术,在电子政务信息系统中应用PKI,在保证电子政务系统安全的前提下,解决了电子政务系统中的抗抵赖性问题。
3.3 系统与数据容灾备份
电子政务信息系统应根据其信息安全保护等级和业务连续性要求选择是否建设灾备系统,以防止因系统终止提供服务而对用户的正常生产生活产生影响,甚至造成社会影响;电子政务信息系统应根据其数据的重要程度制定数据备份策略,以防止因数据丢失而造成损失。
4 信息安全防护体系建设
电子政务信息系统依托现代技术建设,其安全防护体系应围绕着它的基础设施、硬件设备(主机、存储、网络设备、安全设备等)和人(建设人员、维护人员、使用人员等)构建。
4.1 个体安全防护
硬件设备是构成电子政务信息系统的最小单元,针对硬件本身进行的安全防护可看做是个体安全防护。个体安全防护的目标是提升个体的安全防护能力。针对不同类型的硬件设备,有不同的安全防护手段或技术。例如:应针对不同操作系统和版本的主机设置安全加固配置基线,统一管理主机安全配置;部署Windows操作系统的服务器需要安装防病毒软件;及时更新系统补丁;加强个体的账号管理和访问控制;部署第三方加固软件等。
4.2 区域安全防护
电子政务信息系统的网络依据其功能和互联需求划分为不同的安全区域,安全域是指同一环境内有相同的安全保护需求、相互信任、并具有相同的安全访问控制和边界控制策略的网络或系统。例如:有与互联网联通需求的网络需要划分专门区域用于接入互联网。
区域安全防护包括边界安全防护和区域安全管理两部分。不同安全域之间以及内部网与外部网之间形成的界限称为边界,边界安全防护的目标是阻止未被允许的访问,具体可通过防火墙、交换机、入侵防御、防病毒网关等实现;区域安全管理的目标是掌握区域内的安全状态,及时处置区域内产生的安全事件,具体可通过漏洞扫描、安管中心、安全审计等实现。
4.3 基础设施安全防护
电子政务信息系统最为关键的基础设施是运行机房,机房内运行着所有的硬件资产和软件资产,其安全防护工作包括机房电磁屏蔽、消防、电气、空调、防盗等等。
4.4 信息安全审计
将信息安全审计作为单独一条是用来强调它的重要性,电子政务信息系统的建设和运维都离不开人,对人员的安全管理是保障安全方针策略得到有效执行的关键。“堡垒最容易从内部攻破”,再安全的外部防御也无法抵挡由内而外的攻击。电子政务系统往往会因其特殊的应用而产生许多敏感数据,这些数据大多涉及个人及企业团体的基本信息数据及其生产数据等,部分还会涉及商业秘密,一旦发生人为的泄密、数据盗取、后门等安全事件,其后果将不堪设想。因此需要电子政务信息系统建设维护单位建立完善的信息安全审计体系,对系统建设和维护的关键环节实施信息安全审计,通过制度宣贯和技术手段起到威慑的作用,让人员有“伸手必备捉”的危机感。
5 明确第三方服务保障
电子政务信息系统的建设离不开第三方的支持,网络线路需要向运营商申请并由其保障线路通信质量,软硬件设备需要向供应商采购并由其提供维保服务和技术支持,部分单位的电子政务信息系统是委托第三方开发建设的或有委托第三方进行运行维护的,等等。第三方的服务保障质量、对已掌握的资源是否严格管理等问题关系到电子政务信息系统的安全,因此有必要与第三方签订明确的服务保障合同,确定第三方的责任和义务、提出第三方的保障要求并签订相应的保密协议。
6 结语
我国电子政务的建设还将不断持续下去,已建的或正在筹建的电子政务都应重视电子政务的信息安全保障问题,认真思考建立适合的信息安全防护体系,为电子政务提供安全可靠的支撑平台。
参考文献
案例内容
今年1月20日,浙江省出台《关于加快构建环境安全保障体系的意见》,提出要深入推进生态文明建设,保障群众健康和生态环境安全,到2015年,环境监测监控能力、环境执法监管能力、突发环境事件应急处理能力显著增强,环境信息保障水平明显提高,环保基础设施建设和环境科技支撑能力全国领先,城乡生态环境持续改善,基本形成科学、规范、高效的环境安全保障体系。
六大体系夯实环境安全基础
按照《意见》的部署,浙江省将建设与该省经济社会发展相适应的环境监测监控保障、环保基础设施工程、生态保护和修复工程、环境执法与应急保障、环境信息保障、环境科技支撑等六大环境安全保障体系。
严格政府责任考核强化保障措施
为了扎实推进环境安全保障体系建设,《意见》强调,各级各部门要落实各项政策措施,并把这项工作纳入生态省建设、“平安浙江”建设和环境保护目标责任考核。同时,要完善环境安全制度体系,坚持空间、总量、项目“三位一体”的环境准入制度,从源头保障环境安全;严格执行污染物排放标准,深入开展各类环保专项执法行动。此外,要创新体制机制,充分发挥公共财政的导向作用,加大对环境安全保障体系建设的资金支持力度,积极探索多元化的投融资机制,鼓励社会资金参与环境安全保障体系建设。特别是要进一步完善环境经济政策,深化环境资源价格改革,健全反映市场供求关系、资源稀缺程度、环境损害成本的环境资源价格机制;建立健全企业环境行为信用等级评价体系,大力实施绿色信贷、绿色保险、电力(热力)行业烟气脱硝补助等环境经济政策。
相关链接
江西“十二五”建生态安全保障体系
数据的存储是重要的网络金融研究课题,而信息数据如何存储才可保证网络金融服务的连续性,保证在访问和交易过程中不会间断甚至终止,是作为网络金融信息安全研究学者必须要思考的问题。一旦系统发生故障,可能会出现众多问题,比如业务中断、客户流失,甚至资金链断裂等,随之而来的后果便是金融企业的竞争力下降。因此,金融信息系统中的数据存储系统要求具有较高的可靠性。所谓的可靠应考虑到诸多方面,比如对各级系统和数据的保护。一套完整、有效的金融信息系统,应不受硬件、软件或者应用程序故障所带来的影响,如果数据中心由于某些原因无法正常工作时,应提前做好准备,由另一套备份的数据中心进行接管工作,继续维持任务的执行,当主数据中心恢复正常后,工作再转回主数据中心进行工作。
近年来,我国越来越重视对知识产权的保护,尤其是与银行金融业相关的自主性知识产权,如正版软件系统或者相关的硬件产品。应大力开发适合我国银行业金融机构的具有自主知识产权的信息系统和金融产品,并通过建立产品的平台化和服务的平台化等措施保护研发成果,为网络信息安全保障体系建立强大的服务后盾。
(五)培养金融信息安全专业人才
二、加强行政执法,为档案安全保障体系提供法制保障
《档案法》颁布实施以来,使档案事业有法可依,并有力地促进了档案事业的发展。但是,目前的档案执法还处于初级阶段,还存在着一些亟待解决的问题。有的档案部门领导和工作人员缺乏对依法治档、依法行政重要性和必要性的认识;一些单位重视业务指导,忽视依法监管,在贯彻实施《档案法》过程中,还带有主观片面性和随意性,未获得人们所期望达到的效果。这就要求档案行政管理部门进一步建立健全档案执法监督制度,强化执法监督职能。一要从思想上入手,巩固提高依法治档、依法行政观念。档案行政管理部门是代表各级政府主管本地档案事业的部门,也是《档案法》所确定的档案行政执法主体和监督机构,这也使得管理档案事业有了法律的保障。我们的各级档案工作者特别是领导干部首先要带头认真学习档案法律、法规,做到知法、懂法、守法,并严格执法,带头依法办事、依法行政。《档案法》和《档案法实施办法》规定了档案部门是行政执法部门,要履行法律法规赋予档案部门的这一职能,应强化执法意识。二要从立法入手,完善档案法规体系。在建立社会主义市场经济体制过程中,真正做到执法机构依法行政,全体公民自觉守法,尚有待于法律体系的不断完善,而档案执法监督必须有完善的监督法律体系作为依据,健全完善操作性强的法律规章和相关监督条例,强化制约功能,是亟待解决的重要任务,各级地方人大、政府应依照《档案法》结合本地区实际,制定出配套性、实用性、可操作性较强的法规、规章文件,依法明确档案执法监督的形式、程序和手段,从而能够实行科学、合理、有效的监督,确保档案工作方针和法律法规的得以贯彻实施。三要从规范档案行政执法入手,加强档案监督制约机制的建设。在加强内部监督制约机制上,将档案工作列入本单位的目标管理责任制中,考核指标主要由贯彻《档案法》、档案业务等方面组成,定期对档案工作进行检查,以引起部门的高度重视,加大对档案依法管理工作的监督力度,确保机关档案的安全性;在加强外部监督制约机制上,与外部档案行政执法检查部门加强联系,通过行政执法部门对档案工作的指导和专业性的检查,对不规范或不符合要求的地方及时进行整改,以促进机关档案工作依法管理。通过外部监督,强化机关档案工作的法制建设。
三、加强制度建设,为档案安全保障体系提供机制保障
1.建立组织保障体系。档案安全保障体系建设需要有人来计划、设计和管理,任何系统安全设施也不能完全由计算机系统独立承担系统安全保障的任务。一方面,各级档案部门领导要高度重视,并积极实施有关档案系统安全方面的各项措施;另一方面,让工作人员和用户对网络安全性要有深入地了解,使他们积极地自觉地遵守各项信息系统安全制度和措施,防患于未然,就能降低档案网络信息系统的安全风险。档案信息以及档案工作者头脑中的包括直觉知识、阅历、情感等进行综合、概括、提炼的知识。档案信息专家能够充分使用认知、自然、情感和行为各个组成部分,在显性信息服务向隐性知识服务转变的过程中发挥重要作用。所以,一个高水平的档案馆必须重视档案信息专家的引进和培养,必须注重发挥档案信息专家的作用。业务工作者也是掌握多项技能的复合型人才,要求机构中的每位员工都把信息化和档案业务作为同等重要的基础性工作来开展。2.建立制度保障体系。建立有效的管理制度是保障档案信息安全的关键。规范档案管理、保障档案信息安全的永久性措施应该是建立程序化、制度化管理模式并严格执行、落实到位。这同样需要分别制定相应的政策与规范,并采取必要的措施强化落实,做到制度正确,落实见效。要积极争取上级有关部门的政策支持,根据档案部门的实际情况,参考《中华人民共和国计算机信息系统安全保护条例》、《中华人民共和国计算机信息网络国际联网管理暂行规定》、《中华人民共和国档案法》、《中华人民共和国保密法》等法律、法规,制定出适合档案部门的规章制度,以此约束所有用户、系统管理员以及其他成员,保证档案信息系统安全、可靠地正常运行。由于网络设备和系统软件本身存在一定的缺陷,再加上从事黑客的个人或组织技术在不断升级,所以,档案信息系统没有绝对的安全,只有相对的安全。档案信息化安全保障体系是一个动态的概念,面对档案信息系统安全的诸多问题,必须时刻警惕,运用多种手段,不断在技术上更新,管理体制上完善,人员素质和管理理念上紧跟网络发展的步伐。只有时刻从档案数据安全的方方面面出发,点滴不漏,常抓不懈,才能建立起完善的档案信息安全保障体系,确保档案信息系统的安全,保证档案信息化建设顺利进行。
四、加强设施建设,为档案安全保障体系提供物质保障
一是加强档案库房建设。为了档案工作的可持续发展,我们必须做好档案实体的保护工作。因此,在档案库房与门窗的设计、防火材料、消防系统、库房温湿度、技术与管理方面,需要进一步加大投入。库房是保管档案的场所,档案库房多数是在机关办公大楼上的,客观上不具备建档案库房的条件。在这样的情况下,首先要考虑档案库房的承重问题。一般作为档案库房,钢筋的密度要大,数量要多,型号要粗。预防火灾对机关档案实体安全来说是头等大事。随着科学技术的发展,建筑材料、各种电器设备的种类日益增多,档案库房引起火灾的危险性可能性进一步增大。火灾是当今档案部门的头号灾害,为预防火灾,档案库房门口,必须配备消防器材,如手提灭器或手推移动灭火器等。档案库房要做好防火防潮的处理,保存的各种载体的档案对温湿度都有严格的要求,在技术参数范围内,档案能够长久的保存。反之,温湿度过高过低,都会影响档案的寿命。门窗要严格按国家档案局要求安装。作为档案实体安全的装具,我们仍然要求采用可移动铁皮柜和不可移动密集架,它具有防火、防鼠功能。档案盒作为贴身装具,制作档案盒的牛皮纸要做去酸处理,这样做,有利于档案实体安全的保护。二是加强档案数字化建设。在系统硬件设备方面,要做到:第一,内外网隔离。根据有关安全保密部门的网络安全规定,的计算机信息系统,不得直接或间接与国际互联网或其它公共信息网互相连接,必须实行隔离。因此,对档案部门的内部网络和国际互联网,要严格地进行隔离,防止不宜公开的内部档案信息通过网络连接泄露到外部公众网。第二,将内部网络划分成若干个安全级别不同的子网,实现内部一个网段与另一个网段的隔离。这样,就能防止某一个网段的安全问题在整个网络传播,限制局部网络安全问题对全局网络安全造成的影响。第三,每个厂家的设备有它独特的优点也有它不可克服的致命弱点,因此在选用档案网络设备时,尽量选用不同厂家不同型号的设备,做到优势互补,封堵网络漏洞,增强系统的安全性能。
五、加强技术建设,为档案安全保障体系提供安全保障
网络、计算机、存储器和信息系统是数字化档案信息生存的基础,也是引发安全问题的风险基地。黑客攻击、病毒蔓延、信息窃取、技术落后、制度不健全、管理不规范、措施不到位、治理不及时是产生不安全因素的根源,其中有客观的因素,也有主观的原因。因此,加强对客观侵害行为的防范,对主管漏洞的治理,对安全事故的补救是保障网络畅通、系统稳定、数据安全的重要措施。只有网络和系统安全了,数字化档案信息的安全才能得以保障。建立技术保障体系是提高网络和系统免疫力的重要措施。1.保障网络安全:防火墙和入侵检测技术是常用的保障网络安全的两种手段,入侵检测技术侧重于监测、监控和预警,而防火墙则在内外网之间的访问控制领域具有明显的优势、功能强大,效果明显。面对网络攻击手段复杂度的不断提高及融合能力的逐渐加强,要在网络层采取安全技术的应用和安全产品的联动启用措施,全面提高网络的综合防范能力。2.保障系统安全:加强升级服务,做到无漏洞运行。目前各操作系统的开发商已经开通了专业通道,提供升级服务的补丁程序下载、安装和检测服务,而且大多是免费的,因此,能否做到系统的无漏洞运行,关键在于人们是否使用正版软件,增强了安全意识并做到及时升级,及时打补丁,,保障每台客户端的无漏洞运行。3.保障档案信息系统的安全:要做好系统用户的安全管理,不给偷窃者以机会。
(一)病毒和黑客的威胁
计算机网络受到来自黑客和病毒的攻击和威胁,对原始数据进行数据破坏、窃取和截获,以便于获取机密性的信息,导致信息数据泄漏。
(二)硬件故障
电子档案需要借助于计算机和网络来发挥其作用。在这个过程中,需要由物理设备来确保网络运行系统的正常性,一旦主机部件、路由交换设备及硬件设备等发生故障或是受到损坏,都会导致网络系统无法正常运行或是瘫痪,影响电子档案信息的安全。
(三)应用管理因素
电子档案信息运行安全的保障,需要确保档案管理信息系统实际应用操作的安全,但在当前电子档案信息安全管理工作中,却存在着管理混乱、责任不明及缺乏健全的安全管理制度问题,部分安全管理制度制定时没有与实际情况有效的结合,从而导致其执行时缺乏可操作性,从而导致管理安全风险的发生,影响电子档案信息的安全。
(四)突发性因素
在对电子档案安全管理工作中,由于设备故障、突发性灾害等发生时,由于安全技术防护措施缺失,在这种情况下,往往档案信息会丢失、破坏、毁损等,从而会给电子档案带来不可估量的损失。
二、电子档案信息安全保障体系的建设
(一)组建信息安全管理机构
机构级可以在本单位现有的顶层如信息安全与保密委员会下设电子档案工作小组,在建立了机构时必须同时制定职责、运作机制等相关制度,使保密机构真正起到决策、监督作用。
(二)电子档案信息安全体系建设
(1)建立安全管理制度
管理制度是保证电子信息安全的重要措施。维护电子信息的安全除了技术手段外,更重要的是要加强对信息的管理,制定合理而严密的管理措施和规范,才能真正保护电子信息的真实、可靠和完整。
(2)建立网络管理制度
计算机网络系统的安全系数会随着时间的推移而降低。原因很多,主要有设备老化,安全技术方法逐渐泄露,管理日渐松懈,攻击者经验的积累等。与此相反,电子文件和电子档案的价值却随着时间积累而增加,对系统安全的要求越来越高。因此,为长时间保证安全,必须结合本单位的实际,建立配套的、切实可行的网络管理制度。
(3)建立全过程的电子文件管理制度
电子文件从形成到电子档案的开发利用,中间要经过很多环节,哪一个环节出了问题都会影响电子文件的真实可靠性。因此建立全过程的管理制度,明确各环节的职责要求,就显得非常重要。如电子文件形成之后,要及时收集积累,以防分散状态下发生信息丢失;电子文件归档时,要严格检查相关文件是否收集齐全,负责就会给将来利用带来困难和麻烦;迁移时,要认真检查是否发生信息丢失。任何环节的疏忽,都对电子信息的真实性与可靠性造成危害。
(4)建立电子文件管理记录系统
为加强对电子文件的管理,保证电子文件的法律证据性。则需要对于收集积累阶段在网络系统上传输的电子文件,可通过网络系统自动记录有关信息;记录文件在现行期的重要处理环节和文件在半现行期和非现行期的管理、利用等;对于按存储载体方式进行收集、积累的电子文件,还要辅以必要的人工记录。另外还要做好文件存储位置的改变、数据转换的记录。
(三)电子档案信息安全与保密日常监督与检查
在电子档案安全管理工作中,检查人员需要具有较强的安全防护意识,通过对各项规章制度的执行情况、机器设备和网络的运行情况及网络数据的流动情况等进行全面、系统的检查。同时还要制定安全与保密制度,对检查的时间、周期、检查项目和方法进行明确规定,及时发现电子档案信息安全问题,及时进行跟踪处理,确保电子档案信息的安全。
(四)提高档案管理人员的综合素质
1 利用数据平台管理信息是高校发展的必然趋势
高校数据的采集、录入、存储、提取工作较为频繁,将数据信息上传至数据平台,方便信息的整合共享、反复交叉利用,将大量结构复杂、类型各异的数据汇集在一起,为高校的数据汇总、统计分析、信息共享、发展规划提供了准确详实的数据基础,促进高校信息管理的数字化,为建设智慧校园打开方便之门。归纳分析数据平台信息管理的优势有以下几点:
1)信息数据的上传、查询、检索、管理等操作不限时间、地点。
只要能上网信息数据就可以上传收集到数据平台,支持电脑、手机、ipad等各种终端设备随时随地查询、检索数据信息,校内可以通过学校内部网络,校外可以通过VPN等方式访问获取数据。
2)为统计分析提供了数据支持
高校通过大数据的统计分析可以有针对性的调整招生计划、专业设置、就业方向,不断完善办学理念,开拓办学思路,为学校的前途发展、决策制定、人才需求分析提供了数据支持。
3)推动高校数字化的进程
高校数字化是智慧校园建设的前提,推动高校云服务、网络教学、慕课等教学形式的发展,提高学校的教学水平,为学校进一步发展网络教学提供了技术支持。高校数字化对社会发展起到引领作用,促进地方经济建设,提高地方数字化水平。
4)提升高校信息管理和服务水平
借助数据平台实现数据共享,多部门共享数据信息,提高信息管理的效率,使学校的管理和服务水平又上新台阶。由此可见,通过数据平台进行信息管理是大势所趋,而数据平台的安全保障工作成了重中之重。
2 数据平台信息的安全问题及防范措施
2.1 物理环境安全
物理环境安全主要指数据机房的温度、湿度等物理环境以及静电、磁场干扰等因素的影响,高职院校数据中心应按照相应的安全等级建设,中央机房的建设应考虑将来在发展过程中可能遇到的问题。
2.2 硬软件环境安全
硬件安全是指数据中心设备的安全,包括服务器、存储、网络设备等,中央机房的硬件维护应有专人负责,定期查看硬件运行是否稳定,是否有过热、风扇故障或其他问题出现,对硬件进行必要的维护是保证学校工作正常进行的前提。
软件安全是指服务器中各软件及组件的正常使用,利用虚拟化软件合理配置服务器资源,对存储系统、灾备系统及网络设备等进行有机整合,通过对web环境配置、服务器环境搭建、防火墙、常用组件、数据库等系统的调试运行,满足用户数据上传、存储、检索、提取、共享等各项日常工作需要。
2.3 常见的信息安全问题
2.3.1 病毒攻击、黑客入侵问题
高级可持续性威胁(APT)通过网络漏洞入侵、分布式拒绝服务(DDoS)、Phishing、Botnet、木马、恶意代码等网络攻击。一些不怀好意的黑客入侵计算机系统,窃取或是篡改用户的个人信息和重要数据,给用户带来严重危害[1]。我们应定期扫描系统安全漏洞,安装服务器补丁并定时更新防火墙病毒库,提高系统的防御能力。
2.3.2 数据信息的完整性保护
通过终端审计、身份认证、分级管理、行为追踪等措施,确保数据信息的完整性、真实性、一致性,保护数据信息的可控性及可用性。
2.3.3 数据信息泄漏
近年来,数据信息泄漏事件呈上升趋势,个人隐私泄漏、盗取敏感数据等事件频发,通过数据加密技术、信息访问权限的控制、安全审计等措施防止数据泄漏。
2.3.4 数据中心抗风险能力有待提高
数据平台的稳定性是由系统自的完备程度决定的,系统容灾、冗余备份工作不够完善,对风险的认识不够充分,出现问题的时候就会造成较大范围的损失,提高风险意识,加强系统管理,提升数据平台的抗风险能力。
3 安全管理策略
3.1 数据安全策略
数据可以通过加密来保证数据的安全性,有必要也可以采用动态加密技术。为保障数据传输安全,从外网访问高校数据平台信息,可以通过VPN、PPTP等方式访问。
3.2 日志管理策略
服务器、防火墙及网络软件在运行过程中都会产生日志,用来记录自身运行情况、相关事件的发生时间及有价值的信息,加强日志的记录管理,通过收集、存储、汇总、分析等方法及时发现操作系统及网络的异常,利用日志监控系统、审计行为、分析原因并生成调查报告。
3.3 权限设置策略
根据管理级别,设置管理权限,高级权限有?L问、下载、管理数据权限,低级权限仅可以查看及部分操作与自己工作相关的信息。对于已提交审核确认后的内容仅有访问权,没有修改权,如学生成绩管理,教师在规定时间上传完学生的期末成绩之后,就只能查看成绩而不能修改,而学生只有查看权限。
3.4 密钥管理策略
密钥可与权限同步设置,通过密钥管理一方面可以识辨人员身份,另一方面可以实行上网人员的权限控制,防止非法人员访问系统。
3.5 行为管理策略
信息管理人员的行为从认证开始,辨识身份,监控行为,发现有病毒、木马、恶意程序等或涉及信息安全行为的账号要果断采取有效措施,并追踪来源,查找原因,避免此类事件再次发生。
4 信息安全保障体系建设
4.1 病毒防治
病毒入侵会导致数据信息被?阂獯鄹摹⑺鸹怠⒍?失,病毒的扩散传播会造成系统大面积瘫痪,对软硬件环境安全构成威胁。我们不但要提高防毒意识,还要加强防控技术水平。
4.1.1 提高系统的防护能力
检测系统漏洞,及时安装漏洞补丁,扫描病毒及木马,通过入侵检测防御系统(IDS)进行主动的安全防护,加强防御与入侵检测工作,提高系统的健壮程度,增强系统稳定性。
4.1.2 防止网络攻击及黑客入侵
通过防火墙阻断外部病毒的入侵,防火墙可根据实际需要采取不同技术,如过滤型防火墙、型防火墙,同时提高校园内网使用者的安全意识,防范来自内部的攻击,避免病毒通过内网上传平台。
网络安全不仅需要技术上的进步,同时需要通过规范制度、人员培训、责任落实等手段齐抓共管。
4.2 规章制度建设
建立健全完善的数据机房管理制度,责任落实到人头,定期对系统进行漏洞查找,安装系统补丁、更新病毒库。为避免人为因素的影响,对工作人员进行定期培训及安全教育,对上网人员进行实名身份认证管理,并进行行为跟踪。建立上网账号数据库,禁止非法访问,保证数据信息的安全。
4.3 安全管理体系建设
相关管理部门制定安全策略和管理制度,认真做好安全管理组织工作,加强工作人员的安全管理,提高信息管理人员的安全责任意识,经常进行信息安全管理的业务培训,提高安全管理的执行能力。
4.4 安全技术体系建设
通过识别用户身份、访问权限、行为控制等策略营造安全的平台信息环境,过滤网络信息,打造安全的区域边界。为防止网络入侵、非法访问、恶意代码攻击等行为,采取漏洞扫描、安全检测、物理隔离、升级防火墙等技术,支持系统安全测评、风险测评体系,防范信息篡改、假冒等事件发生。
4.5 数据安全体系建设
在保证供电的基础上,高校数据中心可采用一用二备或三备的配置,并对重要数据定期备份。在容灾备份技术的选择上可以根据实际采用双归属技术或IuFlex技术,如1+1主备或互备,有条件的也可以采用N+1主备或互备。一旦出现问题,数据备份可以减少处理问题的时间,及时解决问题并降损。
4.6 运行维护体系建设
信息的安全维护体系建设是系统安全稳定运行的有力保障,控制访问、鉴别认证、监控数据、安全管理、系统配置等大量工作提前做好,才能使信息资源规避风险,减少损失,定期安装补丁,检查接口安全,利用数据加密技术应对黑客窃取数据或各种攻击性行为。
4.7 应急处理方案
