关键词:职业院校;档案安全;保障体系
职业院校档案资源是国家、职业教育、技术工人队伍的重要信息资源。职业院校档案是关系到数以亿计的社会职业劳动者和职业教育在校生的信息资源,确保职业院校档案实体和信息的安全是职业院校档案馆及其馆员的重要职责。2002年的《全国档案信息化建设实施纲要》明确指出了加强档案信息安全保障体系建设的具体要求[1],2010年5月12日杨冬权同志在全国档案安全体系建设工作会议上提出,要建立确保档案安全保密的档案安全体系。[2]这些战略部署,充分说明了档案安全保障体系建设的必要性。
职业院校档案安全保障体系建设的实践随着档案信息化建设进程的加快也在逐步为大家所认识,实践工作也作了很多努力,但是真正提高到研究高度的文章则相对较少。笔者试图从职业院校档案安全保障体系较少的全流程和大环境中思考和认识职业院校档案安全保障体系的建设,全视角地展现职业院校档案安全保障体系建设的工作系统,对职业院校档案安全保障体系建设工作进行探讨。
一、职业院校档案安全保障体系建设面临的挑战和存在的问题
职业院校档案安全保障体系建设同职业院校档案工作的大环境是分不开的。当前,在高职院校档案管理中存在着一些问题:档案管理人员业务素质不高,档案管理不规范,档案管理基础设施落后,档案管理方式手段落后。[3]中职学校档案管理的状况是:现代化管理手段并没有充分利用;现有电子文件没有归档为电子档案,而任由其在产生部门自生自灭;档案管理队伍人力缺乏,尤其缺乏懂计算机网络技术的人才;档案工作者对档案信息化的意识不到位、信息化技术水平低;学校领导对档案管理的重视不到位。[4]在网络环境下高级技工学校档案管理面临的不安全因素有:网络病毒纵横恣意,操作系统存在漏洞,电子文件共享导致不安全因素产生,网络犯罪迅速蔓延。[5]这些问题说明职业院校档案安全保障体系建设的基础环境不容乐观,需要各级相关部门和工作者共同努力解决。
职业院校档案安全工作中存在的问题有:档案安全意识薄弱,未建立必要的档案安全管理制度,缺乏经常性的安全检查,缺乏必要的安全知识;缺少必要的防盗设施,应急预案缺位或应急预案不切实际,对档案安全事故责任人的处罚力度不够。[6]由于种种隐患的存在,使得职业院校档案安全保障体系建设的实施面临着多层面问题。杨冬权同志指出:要树立“安全问题无处不在”的思想。历史和现实的经验告诉我们,火灾、水灾、震灾、害虫、霉菌、灰尘、紫外线、有毒有害气体等自然因素的影响,计算机病毒、技术故障、载体寿命等技术因素的影响,战争、、人为攻击、人为窃取、疏忽大意等人为因素的影响,无时无刻不在影响着档案安全。
这些基础环境和安全隐患的存在提醒我们,职业院校档案安全保障体系建设面临着巨大的挑战,我们只有共同努力,创造一个良好的保护环境来应对挑战。
二、职业院校档案安全保障体系建设的保障体系
1.理论保障
顶层设计就是要从国家和职业教育档案的层面把握、设计、引导职业档案安全的思想,全面规划和集中控制职业院校档案保障体系的建设进程。
前端控制就是面对网络环境下文件/档案的易逝性、易变性、信息及其载体的易分离性、对电子环境和应用程序的依赖性等特点,馆员需要提前介入前期工作中。[7]在职业院校档案安全保障活动中应制定计划方案,人员配备要合理、技术力量要有前期储备,设备的选择和环境的控制、整个预防性安全保障活动的监督、检查和评估都要事先有准备[8];通过前端控制增强档案系统对环境影响的抑制力,提高档案资源的稳定性,延长档案文献的寿命。
全程管理就是随着电子文件/档案从产生到永久保存或销毁的整个生命周期进行全程管理,实施一系列的安全保障管理活动。具体包括:物理条件的采用和处理及信息安全保障方案的整合,档案工作流程中的制度设计和应用,设备设施的安全性维护,人力资源的培养和继续教育等。
后期监督具体包括档案安全保障活动的评价,人力资源的评估,经费结算,安全保障活动的总结,法规、标准、制度的进一步完善,安全保障活动模式、方法的集约等。
2.法规和标准保障
职业院校档案安全保障体系建设要全面贯彻落实相关国际标准、国家法规和标准,保证工作始终处在法规化和标准化的正确轨道上运行。这些相关的标准和法规包括:国际性档案安全规范和标准、国家性档案安全法规和标准、档案安全业务性标准规范、档案安全技术性标准规范。我国关于档案安全最高法规是《中华人民共和国档案法》。《全国档案信息化建设实施纲要》对档案信息安全体系建设具有指导性意义。
随着档案安全工作实践的推进,又有一些新的法规规定出台和颁布,如《档案馆防治灾害工作指南》、GB/T20948-2007《信息安全风险评估规范》[9]《档案馆建设标准》、《计算机信息系统安全保护条例》、《计算机信息网络国际联网管理暂行规定》、《计算机信息网络国际联网安全保护管理办法》、《中国公民计算机互联网国际联网管理办法》、《专用网和公用网的暂行规定》[10]等。这些法规和标准为职业院校档案安全体系的建设提供了保证。
3.制度保障
职业院校档案安全制度的建立健全是落实档案安全保障体系建设的基础。云南档案馆有健全完善的39项管理规章制度[11],海南省档案局要求做好“加强制度建设和内部管理”工作[12],这些都说明了制度保障的重要性。
4.组织保障
在国家档案局和中国档案学会的领导下,各级学会组织应成立专门的大中专院校分会,建立安全工作领导小组和安全工作组织体系,设立安全专员,责任到人,把安全工作具体化并落到实处。
5.经费保障
从国家档案安全体系建设的高度来认识,在财政许可的情况下,应专项列支档案安全保障建设资金。应积极主动地通过多种渠道和方法,将档案工作和档案安全保障体系建设列入院校每年的正常预算中,有专项资金作为保障。
6.馆舍和物资设施保障
应严格遵循《档案馆建设标准》和《档案馆建筑设计规范》,按照因校制宜的原则,合理地确定馆舍,有独立的馆舍,才能做到真正意义上的安全保障。同时还要加强馆(室)内安全设施建设,如自动报警装备、自动灭火设施、温湿度调控设备、防磁设施,以及档案的扫描、存储、复制、传真、微缩等设备,要有专业人员定期进行安全性检测。
7.备份保障
要逐步落实有关规定和政策及制度,采用多份存档、呈缴备份、异质备份、异地备份等方法,保证档案资源更高层面的安全。
8.技术保障
在网络时代的电子办公环境下,先进的安全防范技术对于档案安全保障体系来说是必须的。在条件允许的情况下,我们可以采用多种先进的安全防范技术手段,诸如指纹识别、虹膜识别、脸部识别、红外报警、磁条防盗、条码管理、水印防伪、电子文件封装、信息防火墙等,确保档案安全保密。[13]其他的先进技术还有数字签名技术和入侵检测技术等。[14]
9.传统技术保障
电子档案和数字档案日趋成为档案管理的重点,但纸质档案还将长期存在于我们的工作中,因而传统技术不能丢,在防虫、防风、防光、防水、防火等多方面的传统技术,以及防自然灾害方面的传统技术仍将继续传承、掌握和使用。
10.应急机制保障
我国是一个大国,东西南北自然条件差异很大,自然灾害每年都不可避免。档案馆(室)应建立应急机制,有各种灾害的应急预案,一旦发生灾害能及时保障档案安全。电子档案和档案网络信息的安全防护也应有应急机制,具体包括防丢失、防病毒、防黑客、防设备后门等方面的应急机制。
综上所述,职业院校档案安全保障体系建设具有理论和实践双重重要意义。我们要深入践行科学发展观,全面提升职业院校档案安全工作的地位和档案安全保障能力,努力构建职业院校档案安全工作和谐推进的发展环境,全面建立能确保职业院校档案安全保密的档案安全保障体系,保证职业院校档案事业全面、持续、可协调地发展。
参考文献:
[1] 全国档案信息化建设实施纲要[Z].http://wenku.省略/view.
[2] 杨冬权.在全国档案安全体系建设工作会议上的讲话[N].中国档案报,2010-05-20.
[3] 徐晓英,刘晓燕.加强高职院校档案管理的措施探讨[J].四川职业技术院校学报,2010,(5):114-115.
[4] 肖燕东.浅议中等职业学校档案信息化建设[J].档案天地,2010,(4):53-54.
[5] 孙小璇.网络环境下高级技工学校档案安全管理[J].科技档案,2010,(2):35-37.
[6] 张大彤.档案安全工作中不容忽视的九个隐患[J].中国档案报,2010-06-04.
[7] 薛四新,等.现代档案管理基础[M].北京:机械工业出版社,2006:161,199.
[8] 张美芳,等.档案安全保障体系的构建[J].中国档案,2010,(4):20-21.
[9] 盛玉.档案安全与安全保障体系内容的关系分析[J].网络财富,2009,(6):45.
[10] 曹书芝.网络背景下档案信息的安全保障[J].兰台世界,2006,(5):2-3.
[11] 殷俊燕.大力推进安全体系建设 筑牢档案安全“防火墙”[J].云南档案,2010,(6):7-8.
[12] 海南省档案局.关于进一步加强档案安全体系建设的意见[J].海南档案,2010,(2):1-2.
关键词:档案信息;安全保障体系;建设;思考
0 引言
随着我国社会的进步以及经济的发展,我国的档案事业也取得了极大的进步,档案信息化建设日益加快。档案信息资源是社会资源的重要组成部分,确保档案信息安全十分必要。但是,当前由于各种因素的影响,档案信息安全问题日益突出。如何建设档案信息安全保障体系,确保档案信息的安全是当前的一个重要问题。
1 档案信息安全保障体系简介
信息安全是一个广泛而抽象的概念,具有保密性、完整性、可用性等特征,档案信息安全继承了这些特点。因此,凡是涉及到这些特征方方面面的理论体系和技术应用,都是档案信息安全保障工作值得探讨和研究的对象。档案信息安全保障工作的任务,就是要通过提高软硬件技术能力、加强安全保密管理水平等有效措施,让档案信息资产免遭或尽可能少遭风险损失,以维护档案工作的正常运行。
档案信息安全保障体系应运而生,它是法律法规、政策、标准、管理、指导、监控、培训、工具、人才以及安全保障技术、应用技术、操作技术等等的有机结合。这是一项复杂的系统工程,不仅仅是解决技术上的问题,还包括安全保障各个环节的管理和组织。其主要目的是通过档案信息安全管理体系、档案信息安全技术体系等的有效建设、综合应用,技术管理双管齐下,让档案信息系统所面临的风险可控,以保障档案信息系统的稳定运行和利用效率。
2 档案信息安全保障体系的建设与思考
解决档案信息安全问题通常取决于两个因素,一是技术,二是管理。技术手段是保障信息安全的重要环节,但要发挥安全技术应有的作用,控制信息安全风险,还必须有适当的安全管理模式做支持。
2.1 档案信息安全技术保障体系
档案信息安全技术保障体系顾名思义,就是从技术上来保障档案信息的安全。为了满足信息安全需要,降低信息系统所面临的众多风险,通常就是直接采用各种相关的技术产品和技术服务,来解决对应的信息安全问题。档案信息安全技术保障体系主要包括以下几方面:
2.1.1 物理安全技术
物理安全问题是档案信息安全中最为基本的问题。物理安全主要指环境安全、设备安全以及存储介质安全。简单来说,就是防火、防水、防雷、防震、防鼠、防电磁辐射以及防人为破坏等等。可以依据众多国家标准,采取相应的技术手段来保障物理安全。
2.1.2 系统安全技术
作为对档案信息的收集、管理、保存、利用等环节提供支持的技术系统,在基础环境、硬件的基础上,主要由软件、网络和数据等相关信息技术组成。系统安全技术自然主要针对这三方面。
(1)软件安全:软件是信息系统的重要组成部分,是保证系统正常运行和有效应用的主要因素和手段,包括操作系统软件安全和应用系统软件安全,涉及软件的安全开发、安装、升级以及软件加密和安全性能测试等技术。
(2)网络安全:主要指对网络系统中的软硬件以及网络数据资源等的安全保护。具体技术包括:网络结构优化、物理隔离、防火墙、网络监控等等。
(3)数据安全:数据是信息系统的中心,数据安全是档案信息安全保护的核心内容,包括数据加密、数据安全存储、数据备份与恢复、数据库安全、云数据安全等保障技术。
档案信息系统的正常运行和有效利用,除了上述物理和系统安全技术的保障之外,还需要相应的运行安全技术。通过访问控制、身份认证、秘钥管理、审计跟踪、病毒防护、入侵告警与系统恢复等技术,以确保档案信息系统运行稳定可靠。如今信息技术与档案信息安全的关系已越来越密切。因此,需要关注信息技术的深度挖掘与应用,加档案安全的科学思考与研究,为档案信息安全保障体系提供必要的理论支撑和技术保障。
2.2 档案信息安全管理保障体系
常言道:三分技术,七分管理。档案信息安全管理保障体系是对档案信息安全技术保障体系的有力支持。有统计数据显示,大多数信息被盗、信息泄密来源于单位内部,大部分计算机安全出现问题来源于系统内部,这些情况的发生主要在于人员思想意识麻痹和安全管理体制不完善。因此,信息安全技术系统搭建之后,还需要结合有效的信息安全管理手段,两者相辅相成,贯彻落实于档案信息安全建设的各个环节,才能保障档案信息安全的稳定性和可控性等。
2.2.1 建立健全档案信息安全管理制度
为了有效地把档案信息的安全管理和档案信息工作落到实处,必须要有配套的安全管理制度。首先要进行统筹规划,在“收、管、存、用”等环节,制定合理的、完备的档案信息安全管理策略。其次要设立档案信息安全管理部门,负责加强档案的信息安全和保密管理,保障档案信息系统各个层面的运行安全。
最后是建立健全各种规章制度,如安全防范责任制度、重要数据及文件管理制度、系统操作规程、备份制度及应急预案等等。只有在制度上约束和规范安全工作,逐步强化安全管理,做好预防工作,才能把各种危害抑制到最小限度,使档案信息系统整体安全性能达到最优化。
2.2.2 加强人员档案信息安全培训提高安全意识
人,是档案信息安全保障体系的核心,是档案信息系统的拥有者、管理者和使用者。要培养优秀的专业档案信息人员,加快档案信息安全管理的队伍建设,必须加强有关人员的档案信息安全意识,并针对不同层次的人员进行相应的培训服务,内容包括安全技能、安全知识等的各个方面,如安全策略培训、安全意识培训、安全管理培训、安全技术培训等等。只有提高人员的安全意识和素质,档案信息安全保障体系工作才可以真正落实。
2.2.3 制定档案信息安全标准规范
构建档案信息安全保障体系,还必须参照国内相关法律法规、行业标准规范,遵循业界惯例,并结合自身实际情况。目前国家档案局已编制《档案信息系统安全等级保护定级工作指南》以指导省级及以上档案信息系统安全等级保护的定级工作,还有《数字档案馆建设指南》、《数字档案室建设指南》等等。但是我国的档案信息安全保障体系建设还处于初级阶段,相比而言关于信息安全保障体系的研究更早标准更多,因此在档案信息安全保障体系实施过程中可以借鉴和参考国际国内信息安全保障体系的一些标准规范。只有制定科学的、有效的档案信息安全标准和规范,才能更好地指导档案信息安全管理工作,减少安全保障体系构建过程中不必要的重复和盲目性,使之系统化、统一化,从而规范和保障档案信息安全。
3 结语
综上所述,在档案信息化建设过程中,其信息安全保障体系的建设是必不可少的环节,对促进档案信息化建设的推进起到十分重要的作用。因此,在档案信息安全保障体系建设中,要引进先进的档案信息安全技术,建立健全相关管理体系制度,并加强档案工作者的安全意识,从而保障档案信息的安全,促进档案事业的健康发展。
参考文献
随着我国档案信息化建设工作已日渐深入,加强档案信息安全保障体系的建设尤为重要。档案信息安全保障体系,简单来讲,就是在档案信息系统的整个生命周期内,从技术、管理和标准法规等多方面,以积极防御、适度安全和动态保障为安全保护原则,保障档案信息安全的保密性、完整性、可用性、真实性、可核查性、抗抵赖性和可控性属性,并保障系统安全的持续性的体系。档案信息安全保障体系建设,是目前档案信息化建设中的重要工作,全国上下都高度重视,也在不断探索有效的构建方法,并加以规范和推广。但是,在档案信息安全保障体系建设中还存在一些不容忽视的问题。一是档案信息化的有关法律、法规和制度不够健全。目前,我国在档案信息化建设过程中还没有专门的法律、法规来对档案信息化建设进行保护,仅仅依靠通用的计算机法律、法规来维护档案信息化建设的安全。这对那些刻意攻击、窃取、毁坏档案信息的破坏分子来说实在是微不足道,一旦他们得逞,势必给我国的档案事业发展造成不可估量的损失。二是档案信息化网络建设中信息安全技术应用不够全面。我国的档案信息化网络建设目前处于内网、专网和外网同时使用阶段,随着信息技术的不断发展,信息竞争、黑客攻击等人为恶意破坏因素的存在,档案信息化网络建设中信息安全技术应用不够全面,使得档案信息系统变得非常脆弱,易受来自各方面的攻击。三是各级档案部门的安全管理体制不够完善。有资料表明,大部分的计算机安全保密问题来自其系统内部,世界上70%信息被盗和泄密来自于内部,这主要是因为人员麻痹和安全管理体制不完善所造成的。四是缺乏法律与制度支持。档案信息化安全保障体系建设并非是一个单纯的技术层面的问题,它还涉及到管理、意识和国家法律等各个层面,因此,档案信息安全其实是一个综合性的问题,各个环节紧密衔接在一起。使用相关安全产品的同时,应在组织与制度上采用相应措施加以完善。因此,需要从理论上进一步加强研究,切实为档案信息安全保障体系建设提供坚实的思想保障,进一步健全档案信息安全保障体系。
二、加强行政执法,为档案安全保障体系提供法制保障
《档案法》颁布实施以来,使档案事业有法可依,并有力地促进了档案事业的发展。但是,目前的档案执法还处于初级阶段,还存在着一些亟待解决的问题。有的档案部门领导和工作人员缺乏对依法治档、依法行政重要性和必要性的认识;一些单位重视业务指导,忽视依法监管,在贯彻实施《档案法》过程中,还带有主观片面性和随意性,未获得人们所期望达到的效果。这就要求档案行政管理部门进一步建立健全档案执法监督制度,强化执法监督职能。一要从思想上入手,巩固提高依法治档、依法行政观念。档案行政管理部门是代表各级政府主管本地档案事业的部门,也是《档案法》所确定的档案行政执法主体和监督机构,这也使得管理档案事业有了法律的保障。我们的各级档案工作者特别是领导干部首先要带头认真学习档案法律、法规,做到知法、懂法、守法,并严格执法,带头依法办事、依法行政。《档案法》和《档案法实施办法》规定了档案部门是行政执法部门,要履行法律法规赋予档案部门的这一职能,应强化执法意识。二要从立法入手,完善档案法规体系。在建立社会主义市场经济体制过程中,真正做到执法机构依法行政,全体公民自觉守法,尚有待于法律体系的不断完善,而档案执法监督必须有完善的监督法律体系作为依据,健全完善操作性强的法律规章和相关监督条例,强化制约功能,是亟待解决的重要任务,各级地方人大、政府应依照《档案法》结合本地区实际,制定出配套性、实用性、可操作性较强的法规、规章文件,依法明确档案执法监督的形式、程序和手段,从而能够实行科学、合理、有效的监督,确保档案工作方针和法律法规的得以贯彻实施。三要从规范档案行政执法入手,加强档案监督制约机制的建设。在加强内部监督制约机制上,将档案工作列入本单位的目标管理责任制中,考核指标主要由贯彻《档案法》、档案业务等方面组成,定期对档案工作进行检查,以引起部门的高度重视,加大对档案依法管理工作的监督力度,确保机关档案的安全性;在加强外部监督制约机制上,与外部档案行政执法检查部门加强联系,通过行政执法部门对档案工作的指导和专业性的检查,对不规范或不符合要求的地方及时进行整改,以促进机关档案工作依法管理。通过外部监督,强化机关档案工作的法制建设。
三、加强制度建设,为档案安全保障体系提供机制保障
1.建立组织保障体系。档案安全保障体系建设需要有人来计划、设计和管理,任何系统安全设施也不能完全由计算机系统独立承担系统安全保障的任务。一方面,各级档案部门领导要高度重视,并积极实施有关档案系统安全方面的各项措施;另一方面,让工作人员和用户对网络安全性要有深入地了解,使他们积极地自觉地遵守各项信息系统安全制度和措施,防患于未然,就能降低档案网络信息系统的安全风险。档案信息以及档案工作者头脑中的包括直觉知识、阅历、情感等进行综合、概括、提炼的知识。档案信息专家能够充分使用认知、自然、情感和行为各个组成部分,在显性信息服务向隐性知识服务转变的过程中发挥重要作用。所以,一个高水平的档案馆必须重视档案信息专家的引进和培养,必须注重发挥档案信息专家的作用。业务工作者也是掌握多项技能的复合型人才,要求机构中的每位员工都把信息化和档案业务作为同等重要的基础性工作来开展。2.建立制度保障体系。建立有效的管理制度是保障档案信息安全的关键。规范档案管理、保障档案信息安全的永久性措施应该是建立程序化、制度化管理模式并严格执行、落实到位。这同样需要分别制定相应的政策与规范,并采取必要的措施强化落实,做到制度正确,落实见效。要积极争取上级有关部门的政策支持,根据档案部门的实际情况,参考《中华人民共和国计算机信息系统安全保护条例》、《中华人民共和国计算机信息网络国际联网管理暂行规定》、《中华人民共和国档案法》、《中华人民共和国保密法》等法律、法规,制定出适合档案部门的规章制度,以此约束所有用户、系统管理员以及其他成员,保证档案信息系统安全、可靠地正常运行。由于网络设备和系统软件本身存在一定的缺陷,再加上从事黑客的个人或组织技术在不断升级,所以,档案信息系统没有绝对的安全,只有相对的安全。档案信息化安全保障体系是一个动态的概念,面对档案信息系统安全的诸多问题,必须时刻警惕,运用多种手段,不断在技术上更新,管理体制上完善,人员素质和管理理念上紧跟网络发展的步伐。只有时刻从档案数据安全的方方面面出发,点滴不漏,常抓不懈,才能建立起完善的档案信息安全保障体系,确保档案信息系统的安全,保证档案信息化建设顺利进行。
四、加强设施建设,为档案安全保障体系提供物质保障
一是加强档案库房建设。为了档案工作的可持续发展,我们必须做好档案实体的保护工作。因此,在档案库房与门窗的设计、防火材料、消防系统、库房温湿度、技术与管理方面,需要进一步加大投入。库房是保管档案的场所,档案库房多数是在机关办公大楼上的,客观上不具备建档案库房的条件。在这样的情况下,首先要考虑档案库房的承重问题。一般作为档案库房,钢筋的密度要大,数量要多,型号要粗。预防火灾对机关档案实体安全来说是头等大事。随着科学技术的发展,建筑材料、各种电器设备的种类日益增多,档案库房引起火灾的危险性可能性进一步增大。火灾是当今档案部门的头号灾害,为预防火灾,档案库房门口,必须配备消防器材,如手提灭器或手推移动灭火器等。档案库房要做好防火防潮的处理,保存的各种载体的档案对温湿度都有严格的要求,在技术参数范围内,档案能够长久的保存。反之,温湿度过高过低,都会影响档案的寿命。门窗要严格按国家档案局要求安装。作为档案实体安全的装具,我们仍然要求采用可移动铁皮柜和不可移动密集架,它具有防火、防鼠功能。档案盒作为贴身装具,制作档案盒的牛皮纸要做去酸处理,这样做,有利于档案实体安全的保护。二是加强档案数字化建设。在系统硬件设备方面,要做到:第一,内外网隔离。根据有关安全保密部门的网络安全规定,的计算机信息系统,不得直接或间接与国际互联网或其它公共信息网互相连接,必须实行隔离。因此,对档案部门的内部网络和国际互联网,要严格地进行隔离,防止不宜公开的内部档案信息通过网络连接泄露到外部公众网。第二,将内部网络划分成若干个安全级别不同的子网,实现内部一个网段与另一个网段的隔离。这样,就能防止某一个网段的安全问题在整个网络传播,限制局部网络安全问题对全局网络安全造成的影响。第三,每个厂家的设备有它独特的优点也有它不可克服的致命弱点,因此在选用档案网络设备时,尽量选用不同厂家不同型号的设备,做到优势互补,封堵网络漏洞,增强系统的安全性能。
五、加强技术建设,为档案安全保障体系提供安全保障
网络、计算机、存储器和信息系统是数字化档案信息生存的基础,也是引发安全问题的风险基地。黑客攻击、病毒蔓延、信息窃取、技术落后、制度不健全、管理不规范、措施不到位、治理不及时是产生不安全因素的根源,其中有客观的因素,也有主观的原因。因此,加强对客观侵害行为的防范,对主管漏洞的治理,对安全事故的补救是保障网络畅通、系统稳定、数据安全的重要措施。只有网络和系统安全了,数字化档案信息的安全才能得以保障。建立技术保障体系是提高网络和系统免疫力的重要措施。1.保障网络安全:防火墙和入侵检测技术是常用的保障网络安全的两种手段,入侵检测技术侧重于监测、监控和预警,而防火墙则在内外网之间的访问控制领域具有明显的优势、功能强大,效果明显。面对网络攻击手段复杂度的不断提高及融合能力的逐渐加强,要在网络层采取安全技术的应用和安全产品的联动启用措施,全面提高网络的综合防范能力。2.保障系统安全:加强升级服务,做到无漏洞运行。目前各操作系统的开发商已经开通了专业通道,提供升级服务的补丁程序下载、安装和检测服务,而且大多是免费的,因此,能否做到系统的无漏洞运行,关键在于人们是否使用正版软件,增强了安全意识并做到及时升级,及时打补丁,,保障每台客户端的无漏洞运行。3.保障档案信息系统的安全:要做好系统用户的安全管理,不给偷窃者以机会。
目前,保障合法用户的做法是采取强身份认证、加密和防密码偷窃等技术,并保证内部安全管理制度和措施的有效性实施与落实。4.保障档案数据的安全:实行隔离、加密、备份等措施。安全管理的最终目的就是保障网络上传输的、系统中存储的、用户访问到的档案数据和信息是真实、完整和有效的,并保障系统操作者能够方便地访问自身权限范围内的数据,杜绝无权用户进入系统,因此数据加密、硬盘加密、文件系统加密,增加系统存储的复杂性等都成为保障数据安全的有效措施。5.病毒防范:建立网络化的病毒防范体系,实现病毒库的同步升级几乎有网络和计算机存在的地方,病毒都会伴随。每台计算机上都应安装防病毒软件系统,并及时更新病毒库,而对于网络环境下的一个组织而言,病毒杀不尽的原因则是网络上至少有一台机器有病毒,并在网上扩散传播,因此购买网络版的防病毒软件,建立网络化的病毒防范体系,实现病毒库的统一管理,同步升级,是防范病毒侵害数字化档案信息的有效措施之一。同时,加强对病毒知识的学习,提高机构中每位员工的主动防范意识和警惕性也是非常重要的保障措施。
【关键词】档案保护;安全体系发展
随着中国特色社会主义建设日新月异的发展,我国档案事业得到了前所未有的迅速发展。然而,我国档案管理体系中,由于档案资源数量庞大、管理层次复杂、发展不尽平衡等原因,一些地方档案事业管理尚未纳入国民经济和社会发展整体规划。在档案管理工作中,虽然不乏关于档案安全的制度和要求,但一些时候仍然显得过于零散、片面,甚至有部分缺失,安全隐患和安全事故未能得到彻底遏制。当前,在各级档案部门加快建设覆盖人民群众的档案资源体系和方便人民群众的档案利用体系过程中,从理论和实践层面对档案安全保障体系构建问题进行全面总结和深入研究,进一步提升各级档案部门的档案安全保障能力,具有重要的现实意义。
一、档案安全保障体系构建的时代依据
(一)加强档案安全保障体系建设是应对我国核心档案信息资源被窃取的客观需要。冷战结束后,非传统领域的国家安全问题日益凸显出来,其中,能源资源、材料资源、信息资源是各国特别关注和必然争夺的战略性资源。国际国内并不鲜见的事例都反映出敌对势力采用各种手段、通过各种途径非法获取档案信息的企图,是新形势下必须沉着应对的严峻挑战之一。
(二)加强档案安全保障体系建设是应对自然灾害多发频发并对档案安全构成严重威肋、的客观需要。自然灾害如地震、水灾、火灾、海啸、风暴等的发生具有不可预知性和不可抗拒性,这些灾害对于档案实体的危害是巨大的,印度洋海啸、汉川地震、海地地震都是触目惊心的现实例子。2008年5月我国发生的汉川大地震,对当地及周边地区档案馆建筑造成了巨大破坏,对档案造成了严重损毁。据统计,四川省内阿坝、绵阳、德阳、成都、广元、雅安等6个重灾区的国家综合档案馆馆藏档案共4257379卷,有612848卷档案处于严重受损的危房之中,全省有43915平方米档案馆舍受到不同程度损坏。北川县档案馆1000平方米馆舍在地震中坍塌,档案被泥石掩埋,被雨水淹渍。这次地震对档案馆造成的灾难性后果,给档案馆防治各种灾害工作敲响了警钟。
二、档案安全保障体系初步解读
(一)安全基础设施。安全基础设施是指维护档案安全、实施档案正常管理、保障档案开发利用,提供为全社会方便服务等工作而进行的基础建设,包括档案保管环境,档案存储设施、档案利用设备、档案维护监控设备、档案抢救与恢复设施等。
(二)安全全程控制。安全全程控制是指对档案从形成至销毁或永久保存经历的各个过程都要进行安全控制。具体如下:1、前端控制,采取一切安全保障活动之前的设计、规范、要求和准备。2、日常维护,对置于库房中的档案进行安全监控。3、灾难备份,其目标是力保恢复,及时发现,快速响应。4、利用与服务,对档案进行编研、展览、查档、复印过程中,必须注意保护档案。5、恢复与抢救,依据档案的基本属性―原始性、真实性,在抢救恢复过程中将技术发挥最大化,对档案干预最小化,防止档案信息的损坏、删除、篡改和丢失。对恢复与抢救的过程进行记录,充分考虑这一过程可能出现的各种情况,做好各种防护措施,避免对档案造成二次损害。
三、档案安全保障体系实现目标
构建档案安全保障体系的前提是分析档案安全保障体系的理论定位与实际应用的关系,争取实现基于高起点、实现高目标、开拓新局面。目前,国内外关于档案安全保障体系的理解大致有三层含义:其一,控制环境,降低风险。这里的“环境”是指档案保管环境、物理环境、社会环境、信息存储环境等,降低环境因素对档案安全的影响,最大可能降低风险。其二,建立安全保障平台,采取安全防护措施,使档案尽可能保持稳定状态。其三,对已经处于不安全环境中的档案,采取各种措施使其达到新的稳定状态,保存其信息的可读、可用和可藏。这三层含义包括档案安全保障体系中的社会因素、管理体制、组织体系、策略、政策法规、安全保障技术或安全保护效果的评价等等较为宏观的要素。
(一)整体化发展,构建社会化的档案安全保障发展平台。档案安全保障平台建设必须打破部门的限制,实现跨系统、跨部门、跨领域的共建共享和联合,以技术力量、设备平台的利用融合为基础,构建支持国家可持续发展的档案安全发展平台,解决各系统的互联和互通问题,针对存在的共同问题,合作研究,共同攻关。
(二)坚持可持续发展。档案安全保障体系可持续发展既要兼顾社会发展的实际需要,又要考虑我国历史文明长期保护的目标。注重将现代信息技术应用到传统技术中、保证档案信息的长期读取、无论实现现代技术还是传统技术要经得起时代的考验、所有技术的实施要具有可逆性和重现性,同时技术的实施要为将来档案安全体系的发展留有的空间。转型时期档案技术研究对象、任务、内容和方法发生了一定的变化,需要及时调整,需要健全和完善现有的安全体系、扩大研究范围、丰富档案安全保障体系内容,寻求传统档案理论发展的空间。
现代条件下的档案安全保障体系的构建是决定档案事业发展的关键之一,它围绕档案主体工作而形成的,包括档案创新能力、关键技术研发与应用能力、安全保护活动组织能力、业务拓展能力、事业发展支持能力、档案技术力量培训能力等,是一项长期而艰巨的任务,需要档案机构上上下下、方方面面的通力合作,积极配合。档案安全保障体系对于档案工作及档案工作者都是一个全新的概念,它的构建、研究和推广应用为档案事业的长期发展提供了巨大的空间。
参考文献:
[1 ]BS 7799 CISO/IEC17799):国际信息安全管理标准体系CISO 17799/BS 7799 Information Security Certificatior。
关键词:档案信息安全;保障体系建设;现状;方法
随着经济的发展和社会的进步,尤其是网络信息技术的快速进步,使得档案信息的管理逐渐的网络化,极大地提升了管理工作的效率与水平。但是在这种应用中,一个重要的问题产生了,即档案信息的安全问题越来越严重。因此,我们需要对于出现的问题进行认真的研究与分析工作,并且制定出相应的办法,全面建设档案信息安全保障体系,提高其应对网络安全风险的能力,推进档案信息安全保障工作全面的进步。
一、档案信息安全保障体系建设的现状
进行档案信息的安全保障工作具有非常重要的现实意义。但是从整体上而言,我国的档案信息安全保障工作在现实层面依然存在着许多的问题。具体来讲,第一,档案存放的馆舍环境有待改善。比如:我国许多的档案存放的馆舍存在着设施陈旧、缺少必要的隔热、防潮、消防等功能,使得众多的档案存放过程面临着不少的风险。第二,我国的实体档案信息管理存在着一些问题。比如:首先,保存的早期档案信息的字迹难以辨认。其次,保存的早期档案多有破损或者是管理混乱。再次,对于档案进行具体的管理中文书档案与照片档案的混合非常的严重。最后,对于保存的档案没有进行及时的通风,以至于一些档案出现了损毁的情况。第三,我国的电子档案信息保存也面临着一些风险。比如:首先,我国应用网络信息技术进行档案信息的管理时间短,对于众多的档案还没有完成应有的信息资源整合。其次,网络化的电子档案信息系统的运行功能不完善,还存在着一些问题。比如:安全系统的漏洞使得网络化的电子档案信息非常容易受到网络侵入或攻击。再次,我国没有对于网络化的电子档案信息管理制定出统一的管理规章制度,使得具体的管理工作不能有序的进行。最后,我们缺乏对于高素质、专业化网络电子档案信息管理人才的培养,使得有关工作严重的滞后[1]。
二、档案信息安全保障体系建设的方法
(一)完善实体档案管理
我们需要完善实体档案的管理工作,促进这些档案管理工作水平的提升。因此,首先,我们需要完善我国的实体档案保存馆舍的环境,对于存在问题的馆舍进行重新的修缮。其次,我们需要对于保存的实体档案进行全面的清查工作,并且制定出有效的考核方案。比如:根据档案利用效率的高低,对于保存的档案进行全面的优化排序,提升实体档案管理工作的应用效率与水平。制定出档案管理工作的中长期规划,逐步将实体档案信息向网络化电子档案信息进行转变。对于一些重点的、有应用价值的档案进行抢救性的发掘。对于一些特种载体的档案需要进行高效化的保存。改善有关的保存设施,保持有关环境的恒温、恒湿状态。同时,还需要对于保存的实体档案进行定期的消毒与清洁工作。再次,我们需要对于保存的实体档案进行有效的监督和检查工作,全面提升实体档案管理工作水平的提高。比如:制定出有效的考核制度,促进实体档案管理人员不断的提高自己的责任心与使命感,在平时的工作中尽职尽责,使我国的实体档案保存、管理工作安全、有序的进行。最后,国家与政府需要对于实体档案的管理工作给予足够的重视,投入大量的资金与技术,完善有关的管理系统,使得这项工作得到持续的进步和提升[2]。
(二)进行电子档案信息系统的安全建设
我国进行档案信息系统的安全保障工作,需要进行电子档案信息系统的安全建设工作。原因在于,电子档案信息系统的管理方式是未来我国进行档案信息建设的重要方向,也是未来我国档案信息保存的主要形式。因此,我们需要制定出有效的管理方法,全面提升我国电子档案信息系统的安全。具体来讲,第一,我国的各级档案馆需要建立档案信息化安全保障的制度,使得众多的电子档案信息管理人员严格的按照这些制度进行档案信息的管理。第二,我国的各级档案馆需要建立具有高效防护能力的防火墙与网络入侵拦截系统,对于各种信息的网络攻击与侵入行为进行有效的防护。第三,禁止有关的电子档案管理人员进行违规的外联,使得众多的电子档案得到有效的保护[3]。第四,从国家层面上讲,我国需要制定出专门的电子信息档案安全管理的法律法规,使得具体的电子档案信息安全管理工作做到有法可依、有章可循,对于具体的档案管理工作进行规范性的约束。第五,我们需要对于电子档案安全保障系统建设的技术进行创新。比如:我们需要建立起各级档案馆的“前端控制,后端归档”的管理模式,对于重要的信息进行有效的安全保障。应用网络信息技术的优势,对于保管的众多档案资源进行优化整合。对于众多档案信息管理的电子移交工作进行完善,有效的保障电子信息档案的安全,不至于出现遗失、不完整情况的出现[4]。结论:对于档案信息安全保障体系建设问题进行研究,有利于全面提升我国档案信息安全保障工作的质量与水平。
参考文献:
[1]许桂清,李映天.档案信息安全保障体系的建设与思考[J].档案学研究,2010,03:54-58.
[2]花文博.档案信息安全保障体系的建设与思考[J].广东科技,2011,10:9-10.
[3]王莉.档案信息安全保障体系的建设与思考[J].办公室业务,2014,19:65+67.
一、明确档案安全防范重点,保证档案安全保障体系切实有效
档案安全保障体系建设从宏观上说是一项庞大的系统工程,涉及基本理论、基础设施、制度保障、技术支持等诸多方面;从微观上讲贯穿于档案管理的各个环节,是关系到档案实体与信息安全的重要保证。具体到每一个档案馆,在建立各自的档案安全保障体系中,统筹兼顾,重点突出。对照不同类型的档案安全事故,针对不同的档案载体、不同的保存状况、不同的存储环境等因素,找准安全隐患,明确档案安全防范重点,制定行之有效的档案安全保障方案,打造切实可行的档案安全保障体系。
二、加强档案馆库建设,为档案安全打造第一道防线
档案馆库是档案安全最重要的保证。但是由于受经济发展阶段所限,多年来,各级政府对档案馆库建设的投入不足,档案馆库建设普遍存在以下问题:一是馆舍面积严重不足。以吉林省为例,全省70个综合档案馆建筑面积低于1200平方米的有39个,占比65%;库房面积不足500平方米的有53个,占比88.3%,有的档案馆建筑面积不足百平方米。《档案法》赋予的档案接收保管等业务工作无法正常开展。许多符合进馆期限的档案保存在各立档单位中,造成极大的安全隐患。二是档案的安全保管得不到保证。很多档案馆建于20世纪80年代末90年代初,距今20年左右,且不是按《档案馆建筑设计规范》修建,多年没有进行维修,雨季室内漏雨,库房湿度过高;水暖管道锈蚀,电路老化,存在火灾、水灾隐患;没有安全监控系统、自动灭火系统,档案保管条件较差,档案的安全保管得不到保证。三是档案馆合结构不合理。很多档案馆为非独立馆舍,与当地党委、政府或其他单位同楼办公,馆舍结构不符合档案馆建设要求。
近几年,档案馆舍建设越来越引起重视。很多省份都在预算内安排了馆舍建设补助资金,用于档案馆台的新建扩建和维修改造,取得了一定效果。今年国家启动了中西部地区县级档案馆建设工程,安排中央预算内投资补助中西部地区县级档案馆馆合建设。要抓住机遇,积极落实地方配套资金,严格按照《档案馆建设标准》和《档案馆建筑设计规范》要求,建设一批满足未来30~50年需求的坚固、安全、符合档案保管要求的现代化档案馆,为档案安全打造第一道防线。
三、加强安全设施建设,保证档案日常管理的安全运转
完善的档案馆安全设施是保证档案安全最有效的防护网。《国家档案局关于副省级市以上国家档案馆安全技术防范系统建设工作的通知》提出了档案馆安全设施建设的新要求。各级档案馆要结合新馆建设,建设完备的档案馆安全设施;现有馆舍也要按照《通知》要求,重点建设监控、自动报警、自动灭火系统、温湿度控制、门禁系统等安全设施建设,实现档案安全管理的自动化和可控性。
四、建立健全完善的档案安全工作制度,提高档案安全管理的软实力
保证档案安全既涉及档案的实体安全又涉及档案的信息安全,体现在档案工作的接收、保管、整理、鉴定、利用、数字化等各个环节中。要针对不同的工作环节,细化档案安全工作制度。加强对制度执行情况的监督检查力度,确保各项制度落到实处。
要重视建立珍贵档案保护制度。对馆藏珍贵档案,除建立特藏库外,对其中极为珍贵的“镇馆之宝”,应借鉴文博部门保存珍贵文物的经验,如博物院保存的《富春山居图》等珍品规定每4年才能展出一次。采取单独装具特殊保存珍品档案,对其原件出库条件、程序及时间间隔等做出明确的规定。
要重视建立濒危档案排查制度,尽快对破损档案采取抢救和保护措施。同时在抢救过程中,选择适当的方式方法,避免对档案的二次破坏。
要重视建立档案馆应急预案定期演练制度。目前各级国家档案馆按照《档案工作突发事件应急处置管理办法》要求,普遍对各种突发灾害和突发事件制定出相应的档案抢救和保护预案,但是应急预案仅仅停留在纸面上,真正遇到突发事件,应急预案完全不能发挥作用。建立档案馆应急预案定期演练制度的目的就是要提高工作人员的安全意识、风险防范意识和突发事件应对能力,明确责任,建立起档案馆快速应急反应体系。
要重视建立档案异地异质备份制度。2009年召开的全国档案馆工作会议提出:各级国家档案馆要通过建立异地备份库等形式对本级重要档案及电子文件实行异地备份。档案异地异质备份是维护档案数字信息安全的重要举措。在备份地点的选择上要遵循不在同一地震带、不同气候类型、交通便捷等原则。
五、加快档案数字化进程,保证数字档案信息的安全
随着我国信息化的普及,档案信息化建设迅猛发展,档案的数字化管理日益普遍。很多档案馆以利用需求为导向,加快档案数字化进程。档案数字化已成为保护档案原件、提高服务能力、提高容灾能力的重要手段。2008年北川县档案馆在地震中倒塌,大量档案严重损毁,2009年德国科隆市历史档案馆倒塌,包括马克思、恩格斯著作手稿在内的许多珍贵的档案资料被埋在废墟之下,直接导致相当数量的原始档案无法弥补,用档案馆一位官员的话说:“这次损失的是总计18公里长档案架上的德国历史。”这两次事件,让我们更加认识到档案数字化的重要性。
【关键词】电力信息;安全保障体系;建设
0 引言
在当前我国的互联网管理中心有超过90%的境内外的黑客进行过攻击以及侵入,其中电信以及电力、政府等领域对这一信息的安全威胁问题得到了重视。在最近这几年的发展中,我国已经在信息系统的等级保护政策上进行了大力的推行,这一政策的实行对信息系统的抵御风险能力有了很大程度的提高,从电力信息安全体系建设的实际来看,还存在着诸多的安全漏洞没有及时科学的进行处理。
1 电力信息系统安全体系建设的原则
对电力信息安全水平进行提高能够有效的对电力系统安全事件的发生率有效的降低,关于信息系统的安全建设并不是仅仅局限于安全产品的集成,要在电力信息安全系统建设以及管理建设和策略建设方面得到重视,而对于这一安全体系的建设完备的标志也要具备安全管理体系以及技术完备的成功建立和安全策略的完善及安全团队的成功建设等几个重要的要素。
在电力信息系统的安全保障体系方面,不仅要对电力系统整体安全水平进行提高,同时还要对其中的信息安全的隐患进行消除,电力系统对我国的国民经济的发展起到了决定性的作用,由于其自身具有的特殊性,故此在建立电力信息系统的安全保障体系中就要遵循几个基本原则,即:法定原则、动态原则、均衡原则、立体性原则[1]。
其中法定原则根据我国的有关规定的内容可以得知,为了能够满足管理信息大区对生产控制大区数据的访问,生产控制大区和管理信息大区间要设置经国家相关部门检测的安全隔离装置,进而起到安全访问的作用。倘若是对这一原则没有遵循,那么就很可能在电网生产上存有安全隐患。在动态原则方面就是任何的系统在安全保障的提供上是一成不变的,在科技的不断发展过程中,各种的安全问题也不断的涌现,所以在对方案进行策划的时候都要能够在可扩展性的方面进行充分的考虑,并能够及时的提供安全系统维护以及预防和应急的相关服务[2]。在均衡原则方面指的是在整个的电力信息安全体系的建设要能够按照电力的生产安全目标进行,要在各个产品以及技术上进行效益分析。立体性原则方面就是在电力信息安全保障上应该在各个层面得到重视,严格的按照立体性的原则进行实施。
2 电力信息系统在当前的现状问题分析
电力系统的组件自身存在着脆弱性以及缺陷,由于在对其组件的设计、组装以及制造的过程中在各种因素的影响下,就可能存有多方面的隐患。在硬件的组件方面主要是来源于设计,由于设计问题的因素就在物理的存取上存在隐患。软件组件的安全隐患主要是设计以及软件工程的实施过程中所留下的问题,主要是表现在安全漏洞上。还有是网络以及通信协议方面的安全隐患,因特网自身就是没有明确物理界限的网际是虚拟的网络现实,这在安全问题上也较容易发生。其次是自然威胁以及意外的人为威胁和恶意的人为威胁。
在电力信息系统方面的发展过程中同时也存在着一些问题,首先就是人员信息安全意识的薄弱,当前的电力企业对于信息的安全以及保密的意识还有待进一步的提高,各个单位领导以及相关的工作人员对于信息安全的问题没有得到充分的重视,在个人的办公终端有的不设置口令或者是口令的密度较低,对于软件的安装以及下载都是没有授权的,这些问题都是源自对信息安全意识的薄弱[3]。另外就是在电力信息的安全管理机制方面还不够完善,制度的执行力度还不够,在相关人员的配备上没有做到位,安全监管职责也没有得到有效的落实,对于信息安全事件还存在着不通报以及通报不及时的现象,并且在信息安全的原因分析方面还不够充分,对于整改的措施没有落实到位,同时在电力信息安全事件的调查处理以及考核机制方面还有待进一步的完善,在其信息系统的边界安全防护方面还存在着能够被黑客高手利用的一些较为薄弱的环节,在安全体系以及可评估的安全模型方面比较的缺乏。
3 电力信息安全保障体系的建设方案探究
通过以上对于我国的电力信息安全问题的分析就可以有针对性的对其进行建设信息安全保障体系,从而有效的确保信息的完整性以及机密性和可控性等等。
对于电力信息的安全它主要是在企业的信息安全策略的指导下和管理的体制下通过运作机制然后再借助一定的手段来进行实现的,其中就有安全管理以及安全技术措施和安全运行、安全策略,如下图所示。
图1 电力信息安全模型
在电力信息安全模型进行运转之后就会形成一套管理规定以及运行记录的文档,具体的可以将其分为四个重要的文档,与安全策略相对应的是策略政策,和安全管理相对应的是管理制度技术规范,和安全运行相对应的是作业指导书以及操作规程和记录性文件,与安全技术措施相对应的是管理制度技术规范[4]。
在具体的方案建设上首先要建立并完善电力信息安全的工作机制,切实加强组织以及领导,将信息安全归纳到电力的安全生产体系当中,要把信息化建设和信息安全的保障工作得到兼顾,把信息安全管理制度落实到责任部门,并明确责任人员,同时在人员信息安全的意识方面也要得到加强。在电力信息安全管理制度体系方面要不断的进行完善,统筹规划突出重点,强化信息安全规章制度的落实工作,根据相关的规划,要对电力信息系统安全重大任务以及项目进行继续的落实,在电力信息安全体系建设规范要尽快的出台并落实。对于电力二次系统安全防护规定要严格的得以执行,加快信息安全的管控手段建设,强化信息安全应急和通报工作,对于信息安全的保密工作要能够高度重视,对全员信息安全意识要进行提高。
在安全系统的建设过程当中,最为重要的就是整体系统的规划,可以将其分为三个重要的步骤,即:结构安全以及流程安全和对象安全。在安全管理建设方面它和安全策略的建设的关系非常的密切,而管理又是在策略的指导下进行的,在安全系统的建设方面主要包括网络防火墙以及漏洞扫描等,所以要能够建立集中式以及全方位和动态的安全管理中心[5]。安全管理中心建设包含着机构的设立以及基础建设和智能的明确等,而在信息安全综合管理系统方面它主要包括数据分析功能以及应急报警功能等。另外在电力信息的安全运行方面要进行有效加强。
4 结语
对于电力信息系统的安全体系的建设,要能够把安全保障以及安全管理得到有机的结合,在我国的电力信息化的不断发展以及推进的过程中,信息系统以及网络安全管理已经愈来愈广泛的得到了电力企业的重视,这对于保障电力信息的安全有着极其重要的作用。
【参考文献】
[1]李志茹,张华峰,党倩.电网企业信息系统安全防护措施的研究与探讨[J].电力信息化,2012(04).
一、加强档案安全保障体系建设的重要性
(一)档案安全保护被赋予了新的内涵,可读性(有效性)成为继真实性、完整性、保密性之后数字档案保护的应有之义。不能为人直接识读的数字档案具有对其生存环境的依赖性,如何确保不同生成环境下档案信息的可读、可用,尤其是在不同技术平台上生成的数字档案的“透明”共享,是当下档案保护的一大难题;同时,技术的推陈出新,计算机软硬件环境的频繁升级,意味着数字档案在其漫长的生命历程中必须不断迁移其技术环境,由此带来了迁移过程的安全性以及迁移后数字档案的有效性问题。
(二)数字档案保护遭遇了前所未有的挑战。一方面,如何维护数字档案的真实、完整,实现数字档案的长久保管成为一个世界性难题。InterPARES项目、美国的ERA10多年致力于这一领域的研究,但至今仍未获得理想的结果。另一方面,数字网络环境下,档案信息置身于一个充满更多威胁、更大风险的利用空间,黑客攻击、网络窃听、程序漏洞、病毒危害、操作失误等均可能造成档案的失密、篡改和非法利用,因而必须采取更为严密、可靠的安全保护措施。
(三)近年来频发的自然与人为灾害,提升了社会的档案灾备意识。档案作为社会活动的记忆和人类知识的储备,在实体资源遭受毁坏时,可以帮助人们及时复原再造,恢复生产,但若档案自身遭受严重损毁,则造成的损失将是毁灭性的。汶川、玉树地震、舟曲泥石流、南方洪涝灾害等给档案界敲响了防灾容灾的警钟,风险评估、应急灾备已成为抵御灾害侵袭,保障档案安全的必要对策。
(四)国内信息安全的严峻局势,对档案信息及其管理系统的安全构成很大威胁。在信息化发展过程中,由于核心技术仍受制于西方,我国的信息安全形势十分严峻,曾有官方报告指出,国内90%的信息设施存在安全隐患。档案信息因其特殊价值而有可能成为国内外敌对势力窃取的目标,国际舞台上不断上演的间谍门事件提醒我们,必须重视档案信息及其管理系统的安全性。
二、档案安全保障体系建设的现状
(一)档案信息化的有关法律、法规和制度不够健全。目前,我国在档案信息化建设过程中还没有专门的法律、法规来对档案信息化建设进行保护,仅仅依靠通用的计算机法律、法规来维护档案信息化建设的安全。这对那些刻意攻击、窃取、毁坏档案信息的破坏分子来说实在是微不足道,一旦他们得逞,势必给我国的档案事业发展造成不可估量的损失。
(二)档案信息化网络建设中信息安全技术应用不够全面。我国的档案信息化网络建设目前处于内网、专网和外网同时使用阶段,随着信息技术的不断发展,信息竞争、黑客攻击等人为恶意破坏因素的存在,档案信息化网络建设中信息安全技术应用不够全面,使得档案信息系统变得非常脆弱,易受来自各方面的攻击。从事黑客的人或组织可能会不断地寻找档案网络系统上的的漏洞,以潜入档案信息系统。一旦网络被人攻破,机密的数据、资料可能会被盗取,网络可能会被损坏,给我们的工作带来难以预测的损失。另外,世界上每天都有新的计算机病毒产生,同样会威胁档案网络的安全。
(三)各级档案部门的安全管理体制不够完善。有资料表明,大部分的计算机安全保密问题来自其系统内部,世界上70%信息被盗和泄密来自于内部,这主要是因为人员麻痹和安全管理体制不完善所造成的。
三、完善档案安全保障体系的得力措施
(一)抓好宣传,增强意识。要建立完善档案安全体系建设,必须切实加强档案安全的宣传教育,增强全社会的档案意识,将档案保护意识融入档案的价值论中,提高全社会的档案保护意识,营造科学发展的档案安全保护环境;要依托档案业务活动和围绕重大安全事件、热点问题策划宣传活动,不断丰富档案宣传的内涵;要改变档案安全宣传只在档案行业内部宣传的现状,重视对外宣传工作,增强全社会对档案安全的重视和支持;要不断拓展档案宣传的范围与形式,通过多种途径档案安全信息,举办纪念座谈会,邀请领导撰写文章或发表电视电话讲话,制作广播电视专题节目等多种形式,针对不同层面的人群进行宣传,有效地扩大宣传的受众面,不断扩大档案宣传的影响与实效。
(二)领导重视,完善制度。档案安全是档案工作的重中之重,必须积极争取领导的高度重视与支持,始终把档案安全工作作为大事、要事来抓,牢固树立“责任重于泰山,防范高于一切”的工作理念;要落实好档案安全领导负责制,落实好档案管理安全责任制,坚持领导查库制度,将档案安全工作落到实处,要把节假日值班保卫制度落实到人,认真巡查做好记录,并对案卷的数量、质量、霉变情况进行检查;要保证档案管理工作所需人力、物力、财力,配备德才兼备的档案人员,不断改善档案保管条件和环境,添置档案管理必需的设施设备,对已配备设施设备,如档案柜、防盗门窗、电源电线等经常进行完好率检查,并安排专人落实、做好档案库房的“八防”和电子、纸质等各种档案的保密工作,切实保障档案安全工作的顺利开展。
关键词:电子政务;信息安全;保障体系
说起电子政务,大家也许首先想到的就是各级政府门户网站,认为电子政务就是通过政府门户网站提供的便民公共查询窗口查询信息或是通过网上办事通道办理申请或审批业务。这是狭隘的理解,门户网站只是电子政务的一部分,并不是电子政务的全部。电子政务是“运用计算机、网络和通信等现代信息技术手段,实现政务组织结构和工作流程的优化重组,超越时间、空间和部门分隔的限制,简称一个精简、高效、廉洁、公平的政府运作模式,以便全方位地向社会提供优质、规范、透明、符合国际水准的管理与服务。”
简单讲,电子政务就是政府通过现代通信技术手段组建一个优于传统模式的政府运作模式,并向社会提供管理与服务。其实,电子政务离我们并不遥远,它已经深入到了我们的日常生活中。举个例子,我国于1993年开始启动“金卡工程”,它以计算机、通信等现代科技为基础,以银行卡等为介质,通过计算机网络系统,以电子信息转帐形式实现货币流通。如今,我们使用带有银联标志的金融卡可以在任意标有银联标志的商户进行消费,我们可以通过银行ATM机办理同城或异地,同行或跨行转账汇款等业务,使用银行卡进行消费、转帐、结算正逐渐成为一种时尚,“金卡工程”实现了“一卡在手、走遍神州”,为企业和个人提供了方便、快捷、安全的支付和消费手段,与此同时,它使企业和个人的交易、转帐、消费和税收纳入国家统计体系之内,加强了国家的监管。又如我国于2001年开始启动的“金关工程”,它在实现海关内部作业流电子化的同时,利用现代信息技术,依托国家电信公网,将进出口业务信息流、资金流、货物流信息集中存放在一个公共数据中心,监管部门可以进行跨部门、跨行业的联网数据核查,企业可以上网办理出口退税、报关申报、转关申报等多种进出口手续。
1 电子政务系统安全保障的重要性
电子政务已覆盖到我国金融、进出口贸易、社会保障、税务、公安、财政审计等多个领域,电子政务系统的稳定和数据安全关系重大,我国对电子政务的信息安全工作非常重视,中央办公厅于2003年下发了《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)、公安部于2004年9月了《关于信息安全等级保护工作的实施意见》(公通字[2004]66号)、国信办于2005年9月了《电子政务信息安全等级保护实施指南(试行)》(国信办[2005]25号),供各级党政机关在新建电子政务系统和已建电子政务系统中开展信息安全等级保护工作参考。保证电子政务系统实现其功能和保证电子政务系统的数据安全是电子政务系统安全保障的两项基本任务。
2 信息安全管理体系建设
电子政务的安全保障是依托对电子政务信息系统的安全保障实现的,信息安全管理应该建立在一套完备的安全管理体系基础之上的,由电子政务信息系统的建设维护单位自上而下的开展。
2.1 信息安全管理体系建设的内容
安全管理体系应该包括安全方针、信息安全组织、资产管理、人力资源安全、物理和环境安全、通信和操作管理、访问控制、信息系统获取开发和维护、信息安全事件管理、业务连续性管理和符合性等内容。具体要求参见我国2008年的《信息技术 安全技术 信息安全管理体系 要求》(GB/T 22080-2008)。
2.2 信息安全管理体系建设的意义
建立完善的信息安全管理体系,使得电子政务信息系统能够有专门的组织或机构负责其安全管理,有了明确的职责划分和责任认定,有助于顺利开展组织的信息安全管理工作。在信息系统全生命周期内对构成信息系统的各要素的安全管理进行规范化管理,形成制度体系,以便其落地实施,会使电子政务信息系统的安全管理更加科学化、规范化和标准化。
3 安全基础设施建设
电子政务信息系统的建设和运行需要基础设施的支撑,电子政务面向社会公众或特定人群提供服务,首先要搭建与互联网对接的网络系统,再解决互联网络上的用户身份鉴别问题,此外还要根据国家信息安全等级保护的有关要求,结合电子政务所在的行业以及提供服务的性质,考虑系统和数据的容灾备份。
3.1 网络建设与安全域划分
电子政务往往需要建设专有网络系统,以便将业务覆盖到本行业的下一级乃至更下一级的业务部门,如“金保工程”将建立三级网络纳为其建设内容,即搭建中央、省、市三级安全高效的网络系统;“金关工程”中也包含主干网建设内容。电子政务信息系统建设单位可以根据电子政务所处行业、服务和管理内容等,制定网络建设规划,并根据电子政务信息系统的安全保护级别相对应的要求划分网络安全域。
3.2 公钥基础设施(PKI)
公钥基础设施PKI利用数字证书标识密钥持有人的身份,通过对密钥的规范化管理,构建和维护一个可信赖的系统环境,为应用系统提供身份认证、数据保密性和完整性、抗抵赖等各种必要的安全保障。电子政务需要面向社会群众或特定群体通过网络提供服务,就需要解决网络环境下的身份鉴别与抗抵赖性问题,即解决如何验证用户为合法用户,以及如何防止用户否认其行为的问题。公钥基础设施(PKI)就能够很好的解决上述问题。税务系统和电子口岸就采用了PKI技术,在电子政务信息系统中应用PKI,在保证电子政务系统安全的前提下,解决了电子政务系统中的抗抵赖性问题。
3.3 系统与数据容灾备份
电子政务信息系统应根据其信息安全保护等级和业务连续性要求选择是否建设灾备系统,以防止因系统终止提供服务而对用户的正常生产生活产生影响,甚至造成社会影响;电子政务信息系统应根据其数据的重要程度制定数据备份策略,以防止因数据丢失而造成损失。
4 信息安全防护体系建设
电子政务信息系统依托现代技术建设,其安全防护体系应围绕着它的基础设施、硬件设备(主机、存储、网络设备、安全设备等)和人(建设人员、维护人员、使用人员等)构建。
4.1 个体安全防护
硬件设备是构成电子政务信息系统的最小单元,针对硬件本身进行的安全防护可看做是个体安全防护。个体安全防护的目标是提升个体的安全防护能力。针对不同类型的硬件设备,有不同的安全防护手段或技术。例如:应针对不同操作系统和版本的主机设置安全加固配置基线,统一管理主机安全配置;部署Windows操作系统的服务器需要安装防病毒软件;及时更新系统补丁;加强个体的账号管理和访问控制;部署第三方加固软件等。
4.2 区域安全防护
电子政务信息系统的网络依据其功能和互联需求划分为不同的安全区域,安全域是指同一环境内有相同的安全保护需求、相互信任、并具有相同的安全访问控制和边界控制策略的网络或系统。例如:有与互联网联通需求的网络需要划分专门区域用于接入互联网。
区域安全防护包括边界安全防护和区域安全管理两部分。不同安全域之间以及内部网与外部网之间形成的界限称为边界,边界安全防护的目标是阻止未被允许的访问,具体可通过防火墙、交换机、入侵防御、防病毒网关等实现;区域安全管理的目标是掌握区域内的安全状态,及时处置区域内产生的安全事件,具体可通过漏洞扫描、安管中心、安全审计等实现。
4.3 基础设施安全防护
电子政务信息系统最为关键的基础设施是运行机房,机房内运行着所有的硬件资产和软件资产,其安全防护工作包括机房电磁屏蔽、消防、电气、空调、防盗等等。
4.4 信息安全审计
将信息安全审计作为单独一条是用来强调它的重要性,电子政务信息系统的建设和运维都离不开人,对人员的安全管理是保障安全方针策略得到有效执行的关键。“堡垒最容易从内部攻破”,再安全的外部防御也无法抵挡由内而外的攻击。电子政务系统往往会因其特殊的应用而产生许多敏感数据,这些数据大多涉及个人及企业团体的基本信息数据及其生产数据等,部分还会涉及商业秘密,一旦发生人为的泄密、数据盗取、后门等安全事件,其后果将不堪设想。因此需要电子政务信息系统建设维护单位建立完善的信息安全审计体系,对系统建设和维护的关键环节实施信息安全审计,通过制度宣贯和技术手段起到威慑的作用,让人员有“伸手必备捉”的危机感。
5 明确第三方服务保障
电子政务信息系统的建设离不开第三方的支持,网络线路需要向运营商申请并由其保障线路通信质量,软硬件设备需要向供应商采购并由其提供维保服务和技术支持,部分单位的电子政务信息系统是委托第三方开发建设的或有委托第三方进行运行维护的,等等。第三方的服务保障质量、对已掌握的资源是否严格管理等问题关系到电子政务信息系统的安全,因此有必要与第三方签订明确的服务保障合同,确定第三方的责任和义务、提出第三方的保障要求并签订相应的保密协议。
6 结语
我国电子政务的建设还将不断持续下去,已建的或正在筹建的电子政务都应重视电子政务的信息安全保障问题,认真思考建立适合的信息安全防护体系,为电子政务提供安全可靠的支撑平台。
参考文献
[1] 侯卫真 《电子政务的建设与发展》[M] 中国人民大学出版社 2006.3
