安全保障体系建设范文
时间:2023-05-31 15:21:42
导语:如何才能写好一篇安全保障体系建设,这就需要搜集整理更多的资料和文献,欢迎阅读由公务员之家整理的十篇范文,供你借鉴。
篇1
关键词:电子档案;实体档案;信息安全
1引言
档案信息资源作为一种重要的社会资源,保障其安全是十分有必要的。但是在社会的信息化发展中,由于法律法规的滞后、保存环境的不合理、保存技术的不成熟、管理人员专业水平的欠缺,使得档案信息的安全性受到了极大的挑战,因此档案信息安全保障体系的建设需要尽快完善。
2档案信息安全保障体系的建设现状
保障档案信息的安全具有很重要的现实意义,然而在实际操作中,保障档案信息的安全工作受到了很大的阻力和压力。第一,相关法律法规制度的建设相对滞后,给了很多不法分子可趁之机,使其可以低成本地、轻易地盗取、买卖、损坏档案信息[1]。第二,档案信息保存困难,尤其是实体资料。由于保存时间较长,很多档案资料存在字迹模糊、无法辨认的问题;还有的在较长的保存时间中,经历了很多任档案管理员的整理,使得查找起来十分困难,比如文字图片资料混合在一起、标签缺失、编号混乱等等。电子档案的保存也一样不容乐观,因为我国的电子档案信息化保存的发展历史还比较短,安全系统还不够完善强大,所以常常会受到黑客的攻击和病毒的侵扰;高素质、高技术的专业电子档案信息管理人员的缺失,也极大的延缓了档案信息电子化保存的工作进度。
3档案信息安全保障体系建设问题的解决策略
3.1完善法制保障
国家层面上,相应法律法规的修订和完善是保证档案信息安全保障体系健康安全有序发展的前提条件和依据。在修订中,也要注意循序渐进,多借鉴国外的相关成功经验,同时找到适合国内国情的特色方法。企业层面上,应当在规则允许的范围下,合理运用先进的技术和方法做好档案信息安全保障体系建设工作,管理分工明确、责任具体落实到个人、自己负责好自己的部分、尽量不要出错。在合作中逐渐形成有效有序的安全管理系统,确保每一步都有理有据、安全可行。从业人员层面上,档案信息安全工作人员需要具备较强的法律意识、服务意识、责任意识和过硬的专业技术能力,充分发挥每一位从业人员的主观积极性和创造性,并定期开展相关培训活动和交流会,使其工作能力不断提升,从而为档案信息安全保障体系的顺利建设奠定基础。例如近日铜仁市纪委市监委出台的《铜仁市市管干部廉政档案管理暂行办法》,通过法规的出台使1300余名市管干部档案信息安全得以保障。该《办法》遵从“一人一档”、“逐步完善”、“动态更新”的原则,同步建立电子廉政档案、纸质廉政档案和文书档案,全面收集归档反映全市在职市管干部廉政情况的信息和材料,梳理形成清单,实现一人一档、全面覆盖。同时,廉政档案实行集中管理、由专人负责、保持动态维护更新、严格执行保密相关规定,保证廉政档案的使用安全。
3.2加强管理保障
3.2.1改进工作方法
在电子档案保存过程中,首先硬件技术要能相匹配,计算机设备、扫描仪以及安全的移动硬盘都是不可缺少的。其次,在扫描过程中,也要在保证内容完整性的同时保证字迹的清晰度。再次,在保存过程中,既要严格清理存储在电脑中的信息,避免被盗,也要做好备份工作,防止丢失。最后,不把鸡蛋放在同一个篮子里,做好档案的分类和多重备份工作,也是抵御风险的一种有效办法。除此之外,在档案信息安全管理中,也可以使用防火墙技术、设置高级密码技术、高级人脸识别技术、指纹识别技术、多重密码防护技术以及软件定期查杀病毒的方式来增强信息的安全性。只要每一个步骤都严格控制,形成有效的安全保障体系,就可以避免不必要的损失,增加档案信息的安全系数。例如资阳区社保服务中心的业务资料整理归档工作,其按照档案管理规范化标准,全面收集应归档的各类文件、业务资料以确保档案的完整性;并且按照业务资料归档要求,规范化、系统化的完成装订、整理、分类、编号、装盒整理工作;同时按照档案保管要求,文件、资料的归档全部使用专用档案盒,并规范档案管理、保管、借阅等各项制度。每一步工作都认真负责、严格落实,以确保档案的保密性和安全性。
3.2.2提升人员素质
由于在档案信息安全工作中会遇到各种各样的突况,对档案信息安全工作人员的业务水平提出了很高的要求。因此,每一个从业者都必须不断提升自己的专业知识,做好行业培训工作,丰富自己的知识体系,提高自己的服务意识和安全隐患意识。并且需要多与各自领域的专业人才交流,强强联合以开阔思路,优化工作方式。
3.3强化技术保障
技术支持保障属于档案信息安全保障体系中的刚性保障,对整个体系的构建至关重要。对于实体档案,主要考虑保存环境与档案修复两个方面。其中配备合理的保存环境是保障实体档案信息安全的基础。保存环境的优劣会直接影响到档案的保管情况。保存环境的合理设计与建造能使档案得到更加长久、安全、完整的保护。当档案在保管、利用的过程中出现字迹模糊、纸张老化、硬盘受损、胶片褪色等现象时,修复技术的存在就是挽救实体档案信息安全的最后一道屏障。纸质档案修复技术主要包括:去污与去酸技术、加固与修裱技术、字迹恢复与显示技术等,而磁盘、光盘受损后目前技术还很难做到有效恢复[2]。
篇2
[关键词]电子档案;信息安全;保障体系
[中图分类号]G270.7 [文献标识码]A [文章编号]1672-5158(2013)06-0437-02
1 引言
信息时代把“电子档案”这一新生事物推至我们面前。基于不同的认识背景和知识结构,人们对它的理解和认识有所差别。“电子档案”从社会意义上可以归纳为是将传统的以纸张、录音带、录像带为存储介质的各种原始档案资料,通过扫描、压缩、转化等手段转换成图片文件、声音文件和录像文件,对图片文件可以通过文字识别等技术手段,再运用分级存储管理技术将图片和索引字段存储于光盘库等各种大容量的存储介质上,并可通过各种方便的查询手段迅速地检索出所需要的档案资料,到局域网、广域网、企业内部网、国际互联网,最终实现“电子档案”。档案的安全保管和有效利用,是档案工作最基本的两项任务。
2 影响电子档案信息安全的因素
在电子档案的归档、管理和服务利用等过程中,影响电子档案安全的因素主要来自四个层面:
2.1 网络软件因素
网络因素主要指系统外部非法用户和不安全数据包侵犯窃取秘密与篡改破坏档案信息。这是计算机网络所面临的最大威胁,也称黑客行为。它们又可以分为以下两种:一种是主动攻击,即以各种方式有选择地破坏数据的原始性和完整性;另一类是被动攻击,它是在不影响网络正常工作的情况下,进行截获、删除、窃取、破译以获得重要机密信息。这两种攻击均可对计算机网络造成极大的危害,并导致信息的机密数据的泄漏。
2.2 硬件数据因素
硬件因素主要指网络运行系统的物理设备问题,如:主机硬件系统本身的安全漏洞,路由交换设备的不稳定,或硬件设备的意外损坏造成的系统瘫痪等;
数据因素主要指设计系统存储档案的数据安全问题,如数据版本与格式转换,存储介质的老化失效,自然灾害造成的数据丢失和损坏等。
2.3 应用管理因素
主要指档案管理信息系统在实际应用操作过程中存在的安全问题。管理是保护电子档案信息安全的主要手段,而责任不明、管理混乱、安全管理制度不健全及缺乏可操作性等都可能引起管理安全的风险。据调查,在已有的网络安全攻击事件中,约70%是来自内部网络的侵犯。如:档案管理信息系统的用户管理层次的不规范性;操作人员安全配置不当,用户安全意识不强,口令选择不慎,用户将自己的帐号随意转借他人或与别人共享造成档案信息泄密、原始信息被篡改等。这些都是因为管理不善而造成电子档案信息不安全的因素。
2.4 突发性因素
非人为因素是指不是由于人的直接行为引起的电子档案信息真实与完整的损失、档案信息的破坏,如设备故障和失效、自然社会灾害和意外灾祸等,也叫突发性灾害,主要指不可抗拒的自然灾害,如:雷击、火灾、地震、水灾、飓风以及其他不可预测的突发事件等。针对影响电子档案信息网络安全的种种危险因素,在电子档案信息资源的系统安全管理中采取相应的预防措施即安全技术防护至为重要。
3 电子档案信息安全保障体系的建设
电子档案信息的安全包括网络、系统安全;信息安全;物理安全等方面,要有可靠的技术措施和完善的管理制度来保证各方面的安全。因此,安全管理机制建设创新要有实招:
3.1 组建信息安全管理机构
机构级可以在本单位现有的顶层如信息安全与保密委员会下设电子档案工作小组,在建立了机构时必须同时制定职责、运作机制等相关制度,使保密机构真正起到决策、监督作用。
3.2 电子档案信息安全体系建设
电子档案的安全与保密除通过软硬件保障外,制度的保障更加重要,因此必须制定相关的规章制度,主要有以下几项:
3.2.1 建立安全管理制度
管理制度是保证电子信息安全的重要措施。维护电子信息的安全除了技术手段外,更重要的是要加强对信息的管理,制定合理而严密的管理措施和规范,才能真正保护电子信息的真实、可靠和完整。因此,为保证电子档案信息的安全,必须制定以下各项规章制度:文档管理制、人员安全管理制度、应用系统运营安全管理制度、系统运行环境制度。
3.2.2 建立网络管理制度
计算机网络系统的安全系数会随着时间的推移而降低。原因很多,主要有设备老化,安全技术方法逐渐泄露,管理日渐松懈,攻击者经验的积累等。与此相反,电子文件和电子档案的价值却随着时间积累而增加,对系统安全的要求越来越高。因此,为长时间保证安全,必须结合本单位的实际,建立配套的、切实可行的网络管理制度。
3.2.3 建立全过程的电子文件管理制度
电子文件从形成到电子档案的开发利用,中间要经过很多环节,哪一个环节出了问题都会影响电子文件的真实可靠性。因此建立全过程的管理制度,明确各环节的职责要求,就显得非常重要。如电子文件形成之后,要及时收集积累,以防分散状态下发生信息丢失;电子文件归档时,要严格检查相关文件是否收集齐全,负责就会给将来利用带来困难和麻烦;迁移时,要认真检查是否发生信息丢失。任何环节的疏忽,都对电子信息的真实性与可靠性造成危害。
3.2.4 建立电子文件管理记录系统
为加强对电子文件的管理,保证电子文件的法律证据性而建立。记录系统内容:
(1)对于收集积累阶段在网络系统上传输的电子文件,可通过网络系统自动记录有关信息;
(2)文件在现行期的重要处理环节,如文件的创立、登记、修改、审核、签署、分发;
(3)文件在半现行期和非现行期的管理、利用等;
(4)对于按存储载体方式进行收集、积累的电子文件,还要辅以必要的人工记录。
(5)文件存储位置的改变、数据转换的记录;
3.3 电子档案信息安全与保密日常监督与检查
电子档案的安全与保密还必须通过日常的监督与检查来得到保证,设备的日常维护,制度的贯彻与落实等等都必须落实到日常的工作中,一是检查人员的安全防护意识;二是检查各项规章制度的执行情况;三是检查机器设备和网络运行情况;四是检查网上数据的流动情况。因此电子档案必须制定安全与保密制度,明确检查周期、检查项目与检查方法,对出现问题要有归零跟踪,对违反纪律的员工有惩罚。
3.4 加强网络安全管理的人文策略
加强对电子文件制作和管理人员的业务学习和技术培训。在电子文件的安全管理过程中,仅靠制度是不够的,一方面必须加强组织对涉及电子文件人员的业务学习和技术培训。通过组织业务学习和技术培训等途径,尽快使他们掌握信息管理自动化的知识和技能,担负起电子文件归档工作的重任。另一方面要加强人才队伍的建设。人才队伍的建设贯彻以管理型人才为基础,以复合型人才为重点的指导思想。根据电子档案业务工作的划分,所需人才的类型有:档案采集、处理与数据加工人才;信息技术及计算机系统和网络设计与开发人才;档案信息分析、研究与咨询人才;电子档案理论与方法研究人才;电子档案系统运营与服务的管理人才。对人才队伍业务素质的要求是具有较全面的知识结构以及敏锐的信息意识、良好的信息道德、较强的信息能力,以适应电子档案的建设和正常运行的需要。
结束语
总之,电子档案信息安全保障体系应是一个包含法制标准、基础设施、组织管理、安全技术、灾难恢复机制的多层次、全方位的系统,该系统以法制标准为重要手段,以安全基础设施为基础,在整体安全策略和安全组织管理之下,采用国内外先进成熟的安全技术,制订统一的备份恢复策略,建立完备的综合防范机制,以保障电子档案信息安全、可靠、有序、高效地运行,确保电子档案信息资源的高安全性、高可靠性和高可用性。同时,积极促进档案整体信息化应用水平的全面提高,为信息化建设保驾护航。
参考文献
[1]赵晖:电子档案信息安全管理面临的问题和挑战,《城建档案》2013(1)
篇3
【关键词】电力信息系统;安全保障体系;建设原则;思路分析
【中图分类号】P208 【文献标识码】A 【文章编号】1672-5158(2012)09-0046-01
随着计算机技术与互联网技术的发展,电力信息系统的安全在电力企业的正常运营、客户营销、财务管理以及电网调度等方面起着积极地促进作用。黑客与病毒以及安全漏洞在很大程度上威胁着电力企业的正常运营。因此,本文将从电力信息系统的安全保障体系的角度出发,对如何在电力企业中建立电力信息系统的安全保障体系的思路与原则进行有效性研究。
一、关于电力信息系统的概述
电力信息系统包括信息网络、网络服务系统、应用系统、安全系统、存储与备份系统、辅助系统、终端计算机用户设备等系统及上述系统的附属设备。其所涉及的技术有:数据加密技术、入侵检测技术、防火墙、访问控制技术以及网络扫描技术等。在网络硬件方面,已基本实现千兆骨干网、百兆到桌面、三层交换以及VLAN等技术的普遍使用;而在软件方面,主要包括办公信息化系统、一体化整合平台、安全生产管理信息系统、电力地理信息系统、营销管理信息系统及各专业相关的应用子系统等。计算机及信息网络系统在电力生产、调度、经营、管理等各个领域有着十分广泛的应用,在安全生产、节能消耗、降低成本、缩短工期、提高劳动生产率等方面取得了明显的社会效益和经济效益。引发信息系统安全问题的因素包括安全架构在设计上出现问题与管理方面出现问题。
二、针对电力信息系统安全保障体系建设原则的研究
电力信息系统安全保障体系建设不能只是简单地局限在电网运行安全这个方面,需要经过三个阶段:一是信息安全系统的建设;二是信息安全管理的建设;三是信息安全策略的建设。随着信息技术的发展与人们对信息安全人士的加深,电力用户对电网的安全管理与用电需求也在发生着变化,由原先单一的产品逐渐向信息安全的管理与构建转变。由于电力企业在社会经济发展的特殊作用,因此在建设电力信息系统的安全保障体系的过程中,需要坚持以下四项原则:
(一)原则之一——动态性原则
在建设电力信息系统安全保障体系的过程主要坚持动态性原则,主要是因为无论哪个安全保障系统都有可能出现技术或者操作问题,不能为企业运行与管理提供真正的安全。再加上随着黑客技术的发展,安全系统的保障能力也逐渐下降。所以,信息安全系统建设计划要具有可扩展性,可以为电力信息系统提供安全预防与维护以及应急方案,
(二)原则之二——均衡性原则
在建设的过程中坚持均衡性原则,是因为安全保障体系是根据电力企业的安全生茶目标进行设置的,其中所涉及的各项技术都要经过成本与效益方法的分析,以降低施工成本并提升企业的经济效益。
(三)原则之三——立体性原则
在建设的过程中坚持立体性原则,是因为安全保障体系建设不是一个简单地系统建设。它所涉及的内容包括:人文与自然环境、管理知识、相关技术以及法律法规等。因此在建设的过程中,不仅需要从横向的方向进行考虑,还需要从纵向的方向进行考虑,以确保电力网络的信息安全。
(四)原则之四——法令性原则
在建设的过程中坚持法令性原则,是源于《电力二次系统安全防护规定》的相关规定。管理信息大区要访问电力生产控制大区内的数据,需要在两者之间安装电力专用的横向安全隔离设备,而且这类设备是经过国家相关部门认定的。一旦背离法令性原则的设计施工方案都会对电力企业的正常运行带来巨大的经济损失。
三、针对电力信息系统安全保障体系建设思路的研究
(一)思路之一——采取措施加强信息系统的安全运行与管理建设
要加强电力信息系统安全保障体系的安全运行与管理管理建设,需要做到以下三点:
一是要在电力信息系统安全保障体系的建设过程中,建立并完善多层次、动态、全方位的安全管理信息中心,有效控制因为安全技术问题所引起的混乱局面,将和体系安全有关的各项技术与方案聚合在一个具有整体性、安全性与系统性的平台上,充分发挥人力因素、策略因素以及技术因素的优势,从而提升安全保障体系的质量与水平。
二是要了解并掌握安全管理信息中心的基本内容:设置相关机构、完善相关的技术手段、加强基础设施建设、明确各部门的职能、制定严格的规章制度以及培训专业工作人员。
三是利用先进的计算机技术与网络通讯技术研发信息安全的综合管理系统,该系统除了具有分析电网运行信息、监视电网设备运行状态以及应急响应电网运行过程中的异常事件功能之外,还有数据搜集与分析功能、可视浏览功能等。信息安全的综合管理系统在电力信息系统的安全保障体系中扮演着承上启下的纽带作用,它可以搜集电力网络中的各种信息,并将这些信息进行整理归类后进行分析处理,再反馈给管理人员。其中处理的信息包括:统计数据信息、报警数据信息以及历史数据信息等。
(二)思路之二——采取措施加强电力信息系统中的信息安全系统建设
要加强对信息安全系统的建设,需要做到以下三点:
一是要保障电力信息系统中数据对象的安全,可以采取操作系统加固、数据指纹、主机加固、安装防病毒系统以及数据加密的歌方式对需要保护的对象进行保护,同时要加强电力信息系统安全保障体系建设过程中的周围环境的安全保护。
二是采取措施保障系统结构的安全,其主要侧重在体系的应用、网络数据的应用以及信息数据的边界界定,或者物理与逻辑方面的规划,它是信息系统安全的前提条件,这种方式不仅可以有效地降低企业的施工与管理成本,同时也有助于解决数据泄密等问题。
三是保障信息系统流程的安全,其内容包括两个方面的内容,首先是利用访问控制与身份识别等技术手段,其次是加强流程管理等方面对信息流程的安全进行审核与风险评估,从而设计出有效进行信息流动控制的方案。
篇4
关键词:档案;管理;安全;策略
在我国档案管理体系中,存在着档案资源基数大、管理层次复杂等国情特点,而在档案管理工作中,档案的安全制度及要求也存在着零散、片面的情况,因此,完善档案安全保障体系的建设已经成为档案管理者当下必须进行的重要规划。加快建设覆盖人民群众的档案资源体系,对档案安全保障体系的构建问题进行深入分析及总结,进一步提升档案部门的档案安全保障能力,具有重要的现实意义。
1安全防范“三位一体”
1.1坚持根本抓人防
档案安全的首道防线就是人防,安全管控关键在人。
(1)筑牢思想防线。牢固树立“安全第一、预防为主”的思想意识,市委、市政府高度重视档案安全工作,市委书记和市长分别到市档案局(馆)检查调研,要求我们充分认识做好档案安全工作的重要性和紧迫性。市委分管领导就档案馆库建设、数字档案馆(室)建设等重大安全问题多次到现场进行指导,并帮助破解难题。
(2)构建机构防线。成立了全市档案安全工作领导小组,各级党委、政府承担档案安全工作的领导责任,各级档案部门承担行政区域内档案安全工作的监管职责,各部门各单位承担本部门本单位档案安全职责,强化内设机构,提高相关人员档案安全技能和水平,把安全工作落实到岗、到人。
(3)健全制度防线。建立健全各项档案安全保密制度,用制度管人,靠制度办事。近年来,市“两办”出台《关于加强和改进新形势下全市档案工作的通知》,为做好新形势下档案安全工作提供了重要遵循,为政府机构改革过程中档案安全工作提供安全防护。
1.2夯实基础抓物防
建设符合档案安全保管要求的档案馆室,是保障档案安全的重要基础。
(1)加强档案馆库建设。在全市各级党委、政府的关心支持下,市、县(区)6个国家综合档案馆100%建成新馆,市本级16500m2新馆计划明年上半年投入使用。
(2)加强基层档案馆室建设。为切实改善基层档案保管保密的硬件条件,市档案局每年组织基层档案馆室保管条件安全检查,对存在安全隐患的保管场所及时督促整改,确保安全达标。
1.3注重创新抓技防
充分利用现代科技手段加强“技术保险”,提高档案信息安全系数。
(1)加强网络安全。网络的开放性对档案信息的安全性构成严重威胁,为避免病毒、黑客行为造成的安全问题,市档案局将局域网与互联网进行了物理隔离,政务网与互联网进行了逻辑隔离。
(2)加强数据安全。为打造安全的数字存储环境,建立独立机房,安装监控系统,加强对信息系统、计算机和载体的安全保密管理,严防文件、档案在传输过程中失泄密。
(3)加强登记利用安全。实行电子登记,从查阅登记到归还进行全程跟踪记录,严格审核查阅手续,确保档案利用的绝对安全。对档案进行开放鉴定、扫描加工、抢救保护等工作,引进新技术,探索建立了安全高效的区域档案信息共享模式,在提供快捷方便地查阅利用的同时,确保档案安全。
2安全监管“三维覆盖”
2.1馆内安全与馆外安全并轨
馆内安全注重建章立制,建立健全档案安全各项规章制度,包括档案收集制度、n案开放鉴定制度、档案利用查阅制度、档案库房管理制度、病变档案的分析控制及抢救方案、档案保密制度等,严格执行各项安全制度,做好安全防范措施及日常安全管理。馆外安全注重安全监管,全市各级档案部门将档案安全体系建设纳入本地综合考核体系之中,签订档案安全工作责任状。通过电子文件中心等馆室一体化平台对全市进馆单位进行在线全面监管,实时掌握各进馆单位的档案数据情况。加强对社会中介机构的监管,多次组织开展全市档案数字化外包工作检查。
2.2实体安全与信息安全并重
(1)严把人员关。制定档案数字化的安全保管和保密工作制度,严格做到档案进出及各个工作流程的登记确认,做好每份档案流向的书面台账。设置档案数字化项目的管理员、保密员、监理员,对数字化加工人员要求核实身份信息,参加专业技术和安全保密培训,并签订保密协议书。
(2)严把监管关。在数字化加工场所配置监控系统,健全安全措施,便于实时监管。确保工作环境的网络是独立封闭、具备安全等级的网络。在档案出库领用、预处理、数字化处理、质量检查、装卷归还、数字档案信息备份移交等环节加强监管,发现问题及时解决,防止各类档案安全事故的发生。
(3)严把数据关。近年来,馆藏档案数字化成果达到三个100%要求,即:条目查询利用100%正确;原件挂接率100%准确;扫描件质量100%满足利用要求。工作现场全部存储设备进行妥善处理,严禁档案原件及档案信息私自复印复制、传阅与外借。
2.3线上安全与线下安全并行
(1)把平台建设在市政府政务网上,并在政务网上又专门建设了共享平台VPN虚拟专网,通过加密、认证、封装等技术使专网变成了一条安全通道;
(2)对所有文件在传输前和通讯过程中均进行加密处理,即使平台系统设备被盗,也无法提取文件信息;
(3)所有文件的打印和出证均需与专用密钥相结合,形成登录人员“行为”跟踪记录,确保掌握文件信息流向;
篇5
摘 要: 在全球网络安全形势日益严峻的形势下,中国企业安全防御的水平较之国外仍有较大差距。中国企业把太多目光聚焦在了来自外部的攻击和威胁,却忽视了企业信息安全的自身防御了,如:2016年9月12日发生了一件震惊中国互联网的大事,阿里巴巴5位参与违规抢月饼的程序员被阿里巴巴辞退了、其中还包括了阿里云云盾的安全技术负责人,这些人利用企业内部网络编写代码、自动高频率点击按钮、由此抢到了16盒月饼,从中也可以引出联想:如果是彩票、股票、基金、重要限购物品的拍卖呢? 本文从目前企业信息安全防御的现状出发,分析了网络安全形势与防御水平的差距,提出了新的信息安全保障体系的设想。
关键词: 云安全 信息安全保障 安全防御 IT免疫系统
一、简介
信息安全对企业而言事关重大,这一点已越来越引起企业管理者的重视。另一方面,随着企业业务计算环境的发展与技术更迭,企业所面对的各方面安全威胁、攻击方式也演变得愈加复杂和多样化,安全防御的重点也随之变化。与此同时,随着企业安全与业务相结合的紧密度越来越高,探索未来信息安全防御体系趋势已成为如今企业管理者最为重视的关注点之一。
如今国内的信息安全圈,谈攻防的很多,但谈防御的却很少。我们把太多目光聚焦在了来自外部的攻击和威胁,却忽视了企业信息安全的自身防御了。
国内的企业信息安全发展经历了几个重要的阶段:从2004年到2009年,基于还处于建设符合合规要求,解决信息安全基础问题的阶段;2009年到2013年,基于基础合规建设开始构思如何使信息安全保障体系更具有效性;到2014年至2016年,有效的信息安全保障体系如何落地成为探讨的重点;而从2016年开始,则进入了如何在合规建设的基础上探索有效构建下一代信息安全落地保障w系的阶段。
1.目前企业信息安全防御的现状
在全球网络安全形势日益严峻的情况下,中国企业安全防御的水平较之国外仍有较大差距。根据权威咨询机构IDC去年的调查数据显示,中国企业级网络安全的投入只占企业信息化投入的1% ,而这一数字在日本则是8%,在美国更是高达10%。这一数字已经反映出中国安全行业目前所处的水平。
具体到企业业务中,目前国内许多企业对安全防御的意识同样严重缺乏。企业本身的安全意识非常欠缺,在国内有些企业甚至是刚刚开始做信息化改造,远远未达到考虑安全问题的水平。而大多数企业在信息化建设初期也不会对安全问题给予过多的考虑或者是不全面的安全防护。因此也导致了在现阶段,我国企业级安全防御能力从整体上看还是非常薄弱的。
而反观对企业网络安全造成严重威胁的黑客团体一方,则更是与当前企业整体网络安全水平形成了鲜明的对比。基于强大的利益驱动,黑客团队在协作分工、形成地下黑产业链方面已经非常成熟。如此说来,黑客团队反而是非常强大的。从未来趋势来看,目前企业的安全防御能力以及IT建设速度与黑客团队相比差距非常之大,如果我们仍旧不能改变这种现状,保持这样的安全差距的话,未来将会造成更加巨大的差距与威胁。所以说,目前我们所面临的整体网络安全形势还是非常危险的。
2.网络安全形势与防御水平差距的分析
为什么会造成当前如此严峻的网络安全形势与防御水平的差距?我们从两方面进行了分析。
一方面,对于企业而言,安全事件一旦发生,其对企业核心价值所造成的影响将是非常巨大的。特别是以存储客户大量信息数据为核心的金融、医疗等行业,一旦发生数据泄露及攻击,后果甚至不堪设想。而企业在这方面的防御却往往是最为薄弱的环节。
而除去单纯技术上的防御水平因素,数据本身对于企业和对于黑客的价值之间的差距也会造成许多核心数据的泄露。比如,当数据对于黑客的价值要远远大于对企业自身的价值时,许多数据甚至会被人为地泄露出去。如果这个局没有法律、舆论以及市场的管控等第三方的有效监管去破解,那么仅仅只靠安全技术来对数据进行保护往往也是不凑效的。而这一点也是目前造成国内与国外安全防御所存在的巨大的差距的原因之一。
另一方面,从针对企业的核心运营的防护程度来看,中国的IT建设进展也同样没有欧美国家深入。随着大数据、信息化产业的推进,企业越来越多的价值都被数字化了。只有当企业意识到:这些数据一旦遭受攻击被泄露,企业的损失将有多么巨大,那么这时企业则会看重这些数据。
正是以上两方面关键因素,构成了当前中国市场所面临的网络威胁形势要更加严峻。与此同时我们也看到,在当下的网络攻击中,诸如APT 攻击等“高大上”的手段被频繁应用进来,面对这样的攻击,企业的安全防御在攻击对抗中所起到的真实防御能力却很微小。相反,黑客们却率先建立起了攻击联盟。要想从根本上改变这种局面, 就需要明确推动整个安全产业的驱动力究竟是什么,如果不是出于对企业安全的强烈需求、而是出于对安全的免责为目的的话,安全的产业就永远不会得到发展。当然,随着中国市场对企业安全观念的转变与逐渐重视,这一现状也会得到相应的改观。
二、新信息安全保障体系的构想
“以不变应万变”的安全防御思路是:构建一套稳定的防御体系,抵御万变的网络威胁。构建一套稳定的防御体系,不能仅依靠以往的传统防御体系,传统安全3大件:防病毒、IDS、IPS,这三大件虽然抵御威胁有一定的效果,但基于已知特征进行防御,也就是说针对已知威胁可以防御,但对于未知威胁只能当正常行为放过,不能满足当今网络安全的防御需求。通过近期的一系列的APT攻击事件即可看出,传统安全防御已不适合当今的防御需求。所以构建一套稳定的防御体系非常必要,下面几个方面进行设想:
1.构筑网络安全
系统安全:运行系统安全即保证信息处理和传输系统的安全。它侧重于保证系统正常运行。避免因为系统的崩演和损坏而对系统存储、处理和传输的消息造成破坏和损失。避免由于电磁泄翻,产生信息泄露,干扰他人或受他人干扰。
网络的安全:网络上系统信息的安全。包括用户口令鉴别,用户存取权限控制,数据存取权限、方式控制,安全审计。安全问题跟踩。计算机病毒防治,数据加密等。
信息传播安全:网络上信息传播安全,即信息传播后果的安全,包括信息过滤等。它侧重于防止和控制由非法、有害的信息进行传播所产生的后果,避免公用网络上大云自由传翰的信息失控。
信息内容安全:网络上信息内容的安全。它侧重于保护信息的保密性、真实性和完整性。避免攻击者利用系统的安全漏润进行窃听、冒充、诈编等有损于合法用户的行为。其本质是保护用户的利益和隐私。
网络安全防护手段:全面规划网络平台的安全策略,制定网络安全的管理措施,使用防火墙,(4)尽可能记录网络上的一切活动,注意对网络设备的物理保护,检验网络平台系统的脆弱性,建立可靠的识别和鉴别机制。
2.云端问题与安全
紧随云计算、云存储之后,云安全也出现了。云安全是我国企业创造的概念,在国际云计算领域独树一帜。“云安全(Cloud Security)”计划是网络时代信息安全的最新体现,它融合了并行处理、网格计算、未知病毒行为判断等新兴技术和概念,通过网状的大量客户端对网络中软件行为的异常监测,获取互联网中木马、恶意程序的最新信息,传送到服务器端进行自动分析和处理,再把病毒和木马的解决方案分发到每一个客户端。
数据丢失/泄漏:云计算中对数据的安全控制力度并不是十分理想,API访问权限控制以及密钥生成、存储和管理方面的不足都可能造成数据泄漏,并且还可能缺乏必要的数据销毁政策。
共享技术漏洞:在云计算中,简单的错误配置都可能造成严重影响,因为云计算环境中的很多虚拟服务器共享着相同的配置,因此必须为网络和服务器配置执行服务水平协议(SLA)以确保及时安装修复程序以及实施最佳做法。
内奸:云计算服务供应商对工作人员的背景调查力度可能与企业数据访问权限的控制力度有所不同,很多供应商在这方面做得还不错,但并不够,企业需要对供应商进行评估并提出如何筛选员工的方案。
帐户、服务和通信劫持:很多数据、应用程序和资源都集中在云计算中,而云计算的身份验证机制如果很薄弱的话,入侵者就可以轻松获取用户帐号并登陆客户的虚拟机,因此建议主动监控这种威胁,并采用双因素身份验证机制。
不安全的应用程序接口:在开发应用程序方面,企业必须将云计算看作是新的平台,而不是外包。在应用程序的生命周期中,必须部署严格的审核过程,开发者可以运用某些准则来处理身份验证、访问权限控制和加密。 6. 没有正确运用云计算:在运用技术方面,黑客可能比技术人员进步更快,黑客通常能够迅速部署新的攻击技术在云算中自由穿行。
未知的风险:透明度问题一直困扰着云服务供应商,帐户用户仅使用前端界面,他们不知道他们的供应商使用的是哪种平台或者修复水平。
3.客户端问题与安全
对于客户来说,云安全有网络方面的担忧。有一些反病毒软件在断网之后,性能大大下降。而实际应用当中也不乏这样的情况。由于病毒破坏,网络环境等因素,在网络上一旦出现问题,云技术就反而成了累赘,帮了倒忙。
用户身份安全问题
云计算通过网络提供弹性可变的IT服务,用户需要登录到云端来使用应用与服务,系统需要确保使用者身份的合法性,才能为其提供服务。如果非法用户取得了用户身份,则会危及合法用户的数据和业务。
共享业务安全问题
云计算的底层架构(IaaS和PaaS层)是通过虚拟化技术实现资源共享调用,优点是资源利用率高的优点,但是共享会引入新的安全问题,一方面需要保证用户资源间的隔离,另一方面需要面向虚拟机、虚拟交换机、虚拟存储等虚拟对象的安全保护策略,这与传统的硬件上的安全策略完全不同。
用户数据安全问题
数据的安全性是用户最为关注的问题,广义的数据不仅包括客户的业务数据,还包括用户的应用程序和用户的整个业务系统。数据安全问题包括数据丢失、泄漏、篡改等。传统的IT架构中,数据是离用户很“近”的,数据离用户越“近”则越安全。而云计算架构下数据常常存储在离用户很“远”的数据中心中,需要对数据采用有效的保护措施,如多份拷贝,数据存储加密,以确保数据的安全。
4.主要技术手段
木马下载拦截:基于业界领先的反木马技术,拦截中毒电脑通过网络下载更多的病毒和盗号木马,截断木马进入用户电脑的通道,有效遏制“木马群”等恶性木马病毒的泛滥。
木马判断拦截:基于强大的“智能主动防御”技术,当木马和可疑程序启动、加载时,立刻对其行为进行拦截,阻断其盗号等破坏行为,在木马病毒运行时发现并清除,保护QQ、网游和网银的账号安全。
自动在线诊断: “云安全”计划的核心功能。自动检测并提取电脑中的可疑木马样本,并上传到 “木马/恶意软件自动分析系统”,随后将把分析结果反馈给用户,查杀木马病毒,并通过“安全资料库”,分享给其他所有用户。
漏洞扫描:应用全新开发的漏洞扫描引擎,智能检测Windows系统漏洞、第三方应用软件漏洞和相关安全设置,并帮助用户修复。用户也可以根据设置,实现上述漏洞的自动修复,简化了用户的操作,同时更加及时的帮助用户在第一时间弥补安全隐患。
强力修复:对于被病毒破坏的系统设置,如IE浏览器主页被改、经常跳转到广告网站等现象,卡卡助手会修复注册表、系统设置和host文件,使电脑恢复正常。
篇6
>> 数字环境下的图书馆信息资源保障体系建设初探 探讨数字环境下的信息资源保障体系建设 数字环境下的信息资源保障体系建设 构建数字图书馆信息资源共享的保障体系 大数据时代数字档案信息资源安全保障体系研究 高职图书馆数字化资源保障体系的创建 信息环境下高校图书馆如何构建文献资源保障体系 住房保障体系建设对策研究 档案安全保障体系建设研究 加快社会保障体系建设 试论档案安全保障体系建设 档案安全保障体系建设浅析 浅谈档案安全保障体系建设 浅析档案安全保障体系建设 教育部查新站文献信息资源保障体系建设探讨 西部落后地区信息资源保障体系建设研究 军事人力资源社会化保障体系建设研究 武警士官学校文献资源保障体系建设研究 浅谈基于采购角度优化高职院校图书馆文献资源保障体系建设 数字化校园安全保障体系研究 常见问题解答 当前所在位置:.
[2] 赵雨田.浅析海关情报资料中心资源建设[J].上海高校图书情报工作研究,2012(4):54-57.
[3] 周琴.面向学科方向的图书馆文献资源建设研究[J].群文天地,2012(10):156.
[4] 庞孝梅.高校图书馆与知识服务研究[J].现代情报,2007(5):164-166.
篇7
数字档案信息的长久保存要求存储介质能够在信息的硬件环境与软件系统中兼容,保证数字档案信息的安全、可读,这就要求必须采用统一标准来保证计算机硬件设备及软件系统的更新换代能够实现前后协调,消弭冲突。
二、我国数字档案信息安全相关标准研究的现状
数字档案信息安全工作的推进,需要严格遵守信息化和档案管理方面的标准和规范,可参考的相关标准和规范有:1.国家标准《信息安全技术计算机信息系统安全保护等级划分准则》(GB17859-1999),数字档案信息安全保障体系建设要求各单位在配备档案软硬件基础设施时,必须符合信息安全等级保护的要求,尤其是保密单位的数字档案馆建设,其软硬件基础设施的配备更要达到信息安全等级保护要求的二级(系统审计保护级)以上安全保护标准。《信息安全技术基于互联网电子政务信息安全实施指南》(GB/Z24294-2009),该标准对于我国基于互联网电子政务信息安全保障建设起到重要的指导作用。通过分析基于互联网电子政务系统及其所面临的安全威胁,建立基于互联网电子政务信息安全保障体系,提出了系统分类分域防护机制。《信息安全技术信息安全应急响应计划规范》(GB/T24363-2009),数字档案信息安全隐患包括电力中断、载体损坏、自然灾害、计算机病毒、黑客攻击、数据篡改、操作失误等等,应当高度重视档案数字化加工和电子文件接收等过程中的安全保密管理工作。同时应当根据信息安全应急响应计划制订应急预案,完善灾难恢复机制,提高应急处置能力。《电子文件归档与管理规范》(GB/T18894-2002),该标准明确了对电子文件的形成、收集、整理、鉴定、保管、统计、检索、利用等全过程实现管理与监控,保证电子文件的真实性、完整性和有效性。同时明确规定了电子文件归档的时间、范围、技术环境、相关软件、版本、数据类型、格式、作数据、检测数据等要求,保证了归档电子文件的质量。2.行业标准《信息安全技术终端计算机系统安全等级技术要求》(GA/T671-2006),该标准规定了对终端计算机系统进行安全等级保护所需要的安全技术要求,并给出了每一个安全保护等级的不同技术要求。数字档案信息安全保障体系建设应该按照信息系统安全管理要求配置数据库的安全管理策略,正确设置数据库管理系统归档模式,制定适宜的数据库维护和备份计划,及时验证数据库管理系统及数据的正确性。《信息安全技术终端计算机系统安全等级评估准则》(GA/T672-2006),终端计算机系统承担着大量数据存储、处理、传输的工作,该标准主要对各个安全等级的信息系统中终端计算机系统的安全提出了测评方法,保证了终端计算机的安全和整个信息系统的安全。《纸质档案数字化技术规范》(DA/T31-2005),该标准规定了纸质档案数字化的主要技术要求。适用于采用各种设备对纸质档案的数字化加工处理及数字化成果的管理。《缩微胶片数字化技术规范》(DA/T43-2009),该标准通过对缩微胶片档案数字化的检查、整理、扫描、图像处理、图像存储、目录建库、数据挂接、数据验收、数据备份、成果管理等各个环节进行规范,确保了档案的安全。同时提出对各个环节的工作情况进行记录,并整理汇总、装订成册。3.地方标准地方标准是各省、市根据国家和行业标准制定的适合本地区实际情况的标准,比如《青岛市电子文件归档与管理规范(试行)》、《上海市文书档案目录数据元规范》等。
三、数字档案信息安全标准体系建设存在的问题与对策
从上面数字档案信息安全标准的现状来看,近年来我国已经相继出台了一些与数字档案信息安全保障方面相关的标准规范,但从整体来看,尚不能解决数字档案信息安全保障体系建设面临的复杂问题,标准规范的建设还存在以下几个方面的问题:1.标准体系过时。数字档案信息随着信息化技术的发展也产生了新的特点,比如异构性、多维性等特点。而我国数字档案信息标准规范还处于传统的对同构数据、二维数据的安全保障。2.针对性较差,缺乏系统性、全面性。目前为止,还没有出台专门针对数字档案信息安全方面的相关标准规范,大多数规范只可以为数字档案信息安全提供借鉴、参考作用,或者只是针对数字档案信息安全的某些方面提出标准规范,缺乏完整、全面、系统的数字档案信息安全保障的标准体系。3.国家标准较少。档案信息从采集、处理到存储、利用各个环节要经历一个复杂的过程,在社会化分工越来越明细的今天,不可能由一家单位单独完成,更需要从国家层面制定统一的标准规范,实现档案信息资源在全社会的共享。4.借鉴吸收国外相关规范经验较少。欧洲、美国这样的发达国家已经在信息安全保护领域制定了一些国际标准和规范,我们在制定数字档案信息安全领域的标准时,不应该闭门造车,而应该在充分借鉴国际标准的前提下,制定和扩展本国对数字档案信息安全领域的标准规范。
四、数字档案信息安全标准体系建设的对策
篇8
关键词 信息系统;安全;保障体系;技术;信息技术基础设施
中图分类号:TP393 文献标识码:A 文章编号:1671-7597(2013)14-0137-02
油服信息技术应用与集中程度的不断深入提高,信息安全保障体系建设工作已成为信息化建设过程中的重要组成部分。油服具有地域分布广、业务复杂多样等特点,在信息安全形势多变的情况下,独立分散的安全措施已无法更好地满足安全防护需求。信息安全若不能得到很好的保障,将给公司的业务正常运作及办公稳定性、高效性和有效性带来影响。因此,需完善公司的信息安全政策方针、规划并建立符合油服实际情况的信息安全保障体系,采用先进的安全管理过程模式,完善信息安全管理制度与规范,提高员工的信息安全意识,提升风险控制及保障水平,以支撑油服核心业务的健康发展。
1 信息安全保障体系
1.1 信息安全保障体系建设需求
油服在信息安全方面已部署了部分信息安全防护措施,如划分安全域、部署边界访问控制设备、配备入侵防御系统、部署统一的防恶意代码软件等。与此同时,每年都开展信息系统安全测评工作,对公司的信息系统进行安全等级测评差距分析、安全问题整改咨询核查以及渗透性测试等,从而能够较为全面的掌握当前各信息系统和信息安全管理制度的建设、运维和使用情况,以提高信息系统的安全防护能力。但从总体来看,仍缺乏信息安全保障体系框架,总体安全方针和策略不够明确,安全区域划分不够细致,网络设备和重要服务器的安全策略缺乏统一标准,未部署安全运维管理中心,无法真正起到纵深安全防御的效用。
1.2 信息安全保障体系目标与定位
信息安全保障体系的建设要结合油服的信息安全需求、网络应用现状及未来发展趋势,在风险评估的基础上,明确与等级保护相适应的安全策略及具体的实施办法。对全网进行合理的安全域划分,技术与管理并重的同时,以应用与实效为主导,从网络、应用系统、组织管理等方面,保障油服信息安全,形成集检测、响应、恢复、防护为一体的安全保障体系。
2 油服信息安全保障体系架构模型
油服信息安全保障体系框架采用“结构化”的分析和控制方法,纵向把保护对象分成安全计算环境、安全区域边界和安全通信网络;横向把控制体系分成安全管理、安全技术和安全运行的控制体系,同时通过“一个安全管理中心”的安全管理概念和模式,形成一个依托于安全保护对象为基础,横向建立安全管理体系、安全技术体系、安全运行体系和安全管理中心“三个体系、一个中心、三重防护”的信息安全保障体系
框架。
2.1 安全管理体系
根据等级保护基本要求的相关内容,信息安全管理体系重点落实安全管理制度、安全管理机构和人员安全管理的相关控制要求。
2.2 安全技术体系
根据等级保护基本要求的相关内容,通过安全技术在物理、网络、主机、应用和数据各个层面的实施,建立与实际情况相结合的安全技术体系。
2.3 安全运行体系
根据等级保护基本要求的相关内容,信息安全运行体系重点落实系统建设管理和系统运维管理的相关控制要求,并与实际情况相结合,形成符合等级保护要求的信息安全运行体系
框架。
2.4 安全管理中心
根据等级保护基本要求和安全设计技术要求的相关内容,通过“自动、平台化”的方式,对信息安全管理、技术、运行三个体系的相关控制内容,结合实际情况加以落实。
3 油服信息安全保障体系架构设计
3.1 安全管理体系架构设计
信息安全管理体系架构的设计可从以下3方面开展。
3.1.1 信息安全组织
油服信息安全组织为信息安全管理委员会,各业务部门为信息安全小组,部门经理为本小组的第一安全责任人。同时,定义了组织中各职能角色的职责,以此指导信息安全工作开展。
3.1.2 信息安全制度
油服的信息安全制度一方面能及时反映公司的信息安全风险动态,便于灵活地修订与更新;另一方面确保信息安全技术与管理人员及用户能够了解哪些是禁止做的,哪些是必须做的。
3.1.3 人员安全管理
在人员安全管理方面,可以通过对人员录用、调用、离岗、考核、培训教育和第三方人员安全几个方面进行设计。
3.2 安全技术体系架构设计
信息安全技术体系架构设计可从以下3个方面开展。
3.2.1 信息安全服务架构
信息安全服务架构设计分为保护、检测、响应与恢复四个环节,实现对信息可用性、完整性和机密性的保护,监测检查系统存在的安全漏洞,对危害系统安全的事件行为做出响应
处理。
3.2.2 信息技术基础设施安全架构
信息技术基础设施安全架构以网络安全架构为主体,结合系统软硬件进行安全配置和部署。网络安全架构的规划根据网络所承载的应用系统特性和所面临的风险划分不同的网络安全域,并实施安全防护措施。
3.2.3 应用安全架构
应用系统的信息安全保障是在信息技术基础设施安全架构上,更多地关注已有的信息安全服务是否被充分利用。为满足业务系统对信息安全的需求,通过在业务系统中实现集成保障信息安全的机制,从而达到信息安全技术控制要求。
3.3 安全运行体系架构设计
油服信息安全运行体系架构设计主要从以下3个方面开展。
3.3.1 信息系统安全等级划分
油服信息系统安全等级划分从信息资产等级、网络系统等级和应用系统等级三个方面进行定义。
3.3.2 信息安全技术控制
信息安全技术控制是由系统自身自动完成的安全控制。主要在信息系统的网络层、系统层和应用层,包含身份鉴别、访问控制、安全审计等五大类通用技术。
3.3.3 信息安全运作控制
信息安全运作控制是在油服业务运作和信息技术运作过程中进行实施的运作类安全控制,包括控制针对的主要风险点及具体分类。
4 结束语
在油服业务不断拓展,国际化步伐不断深入的过程中,信息系统在公司发展中的作用和地位日趋重要。公司对信息系统的依赖性也在不断增长,信息安全也愈发重要。健全油服信息安全保障体系,为实现“制度标准化、工作制度化”的管理常态奠定了坚实的基础。油服信息安全保障体系不仅从物理网络安全、系统应用安全、数据和用户安全等方面入手,还从安全域划分、安全边界防护、主动监控、访问控制和应急响应等方面综合考虑,进一步加强落实信息安全等级保护的基本要求,初步实现对网络与应用系统细粒度、全方位的安全管控,从而更为有效地提升了油服在信息安全方面的管理水平。
参考文献
[1]马永.浅谈企业信息安全保障体系建设[J].计算机安全,2007(7):72-75.
[2]王朗.一个信息安全保障体系模型的研究和设计[J].北京师范大学学报(自然科学版),2004(2):58-62.
[3]黄海鹰.信息安全保障体系建设研究[J].数字图书馆论坛,2009(9):13-15.
篇9
关键词:档案安全体系;问题;解决方案
中图分类号:G271 文献标识码:A 文章编号:1001-828X(2012)12-00-01
如何科学构建档案安全体系,全方位做好档案安全保障工作,是档案界共同关注的问题,也是需要我们认真研究的重要课题。
一、档案安全体系建设的必要性
这些年,地震、水灾、泥石流等自然灾害以及战争、暴乱、恐怖袭击等人为灾害时有发生,这些事件无不对档案安全造成严重威胁和损坏,给档案工作者敲响了警钟,人们在总结经验教训与反思中,深刻认真到档案安全工作的重要性。因此建立档案安全体系,提高安全保障能力,预防各种自然和人为灾害的侵袭是当前各级档案部门的迫切任务。此外,建立档案安全体系也是应对新技术条件下,数字档案信息安全挑战的需要。随着信息技术的广泛应用,给档案信息的安全带来新的隐患和挑战。一方面,各级档案馆普遍开展馆藏纸质档案数字化工作,数字化档案信息成海量增长;另一方面,随着电子政务的推进,电子文件和归档电子文件将逐渐成为档案管理的主角,这些以数字形态存在的档案信息安全问题就成为我们面临的重大问题。如何确保电子文件长期不失真、不失密、不丢失,而且若干年后还能被读取利用,是我们要解决的迫切问题。所以,建立档案安全体系的提出正当其时,意义深远。建立档案安全体系,可以从根本上解决档案保障实施过程中的关键性难题,从根本上提高档案安全保障技术的整体水平。
二、目前存在的主要问题
(一)法规、标准缺乏配套
在我国现行的档案法律法规中,可以说在上位法里,档案安全工作处于无统一规划、统一协调和统一领导制度的状态。例如《档案法》少数条款里有关于档案安全的规定,但作为档案工作的基本法,从全局和权威的规划全国档案安全工作的角度,缺乏与其自身地位相称的内容,没有形成档案安全法律体系。在下位法里,档案安全工作的规定是“散”的状态,即档案安全规定散见在各类法规、规章里,相互缺乏有机联系,在整个档案法律体系中,档案安全方面的规定没有形成上下呼应、互补的完整体系。
(二)理论研究不够
20世纪90年代以前,档案安全保障主要以实体档案为主。90年代后,随着档案信息化的推进,档案保护工作出现了新特点,内涵不断丰富,范围更加宽泛,不仅包括实体档案的安全,而且覆盖了电子文件、数字档案以及档案信息的安全。给档案工作的理论和实践带来巨大的影响,档案安全体系建设中出现的新情况、新问题、新技术对档案理论研究和科学研究提出了新的要求。然而,由于数字档案出现的时间不长,关于数字档案安全保障的理论研究有所滞后。以档案安全保障为主题的研究、档案保障体系基本框架及相关理论的研究、档案安全保障体系机制、体制创新研究还比较缺乏,有些研究还比较简单化、模式化,理论深度尚显欠缺,还没有形成一个完整的档案安全保障体系的理论框架。
(三)经费投入不足
我国档案安全保障经费的投入主要以政府为主。档案信息化建设和国家重点档案抢救与保护工作的投入,都是以政府财政为主,依靠国家拨款,经费来源单一。尽管这些年来中央和地方财政不断加大对档案保护方面的资金投入,但面对繁重庞大的保护任务,相对档案保护的需求而言,这些投入仍显不足。由于经费不足,势必使档案保护工作的开展受到制约,影响档案安全体系总体效益的发挥。
(四)应急机制不健全
目前我国各级档案馆中没有建立应急机制和应急预案体系的现象比较普遍,即使已经建立起的应急预案体系中,主要是针对各种自然灾害的防灾预案,并且大多数是综合性的自然灾害应急预案。但由于自然灾害的多样性,仅凭一个综合性的应急预案不足以应对各种自然灾害。另外,档案馆还缺少应对人为因素造成的突发事件的应急预案。从应急预案的内容上来看,基本上是一些原则性的规定,缺乏系统性、具体性,可操作性不强的现象比较突出。
三、思考和建议
档案安全体系是档案工作在新形势下提出的一个综合性的系统工程,涉及档案收集、整理、保管、利用等各个环节,贯穿于档案管理的整个过程,包含安全法律法规、安全规章制度、安全基础设施、安全组织管理等多方面的内容,因此必须统筹考虑,整体推进,才能做好档案安全保障工作。
(一)提高认识,树立新的档案安全观念
档案安全体系建设的首要任务是提高人的安全意识,把档案安全视随着档案工作的发展,档案信息化建设的不断推进,档案安全管理的内涵在不断丰富,无论是从内容还是范围,无论是工作环境还是管理手段都比过去有很大的发展和变化。因此我们必须树立新的档案安全观,以发展的、全面的眼光审视档案的安全保障工作,从实体安全到信息安全,从单纯保管到管控并重,从单一的传统保管向全面的档案安全体系建设转变。
(二)建立健全档案安全法规与标准
首先,从国家层面应该对全国档案安全工作做全盘统筹和规划,从法律上确定档案安全工作的原则、监管主体、义务主体、职责主体、安全保障措施、查处制度、法律责任等,搭建档案安全工作的完整体系。其次,地方和各级档案部门要依据国家的有关法规,从不同层面制订档案安全管理的相关规章和具体制度,确保档案安全保障工作有法可依,有章可循。与此同时,国家档案行政主管部门还要加强档案安全标准规范的建设,它包括基础标准、管理标准、业务标准、技术标准等,形成一套科学的、合理的标准规范体系,它是对档案安全有效管理的前提,也是确保档案安全目标得以实现的有效途径,这是一个长期逐渐深入和完善的过程,所以要统筹规划、突出重点、分步实施,既要突出全面建设的要求,又要对其中迫切需要的、技术水平相对成熟的作为近期标准工作的重点,加快标准的研究制定和,从而使档案安全管理规范化水平得以全面提升。
篇10
关键词:电力信息系统 信息安全防护 安全域 分级分域
中图分类号:TP309 文献标识码:A 文章编号:1674-098X(2016)12(b)-0100-02
电力公司的安全防护体系根据省、市、县安全防护不同层面防护要求各有侧重、相互支撑、互为补充。根据各信息系统重要程度设计安全防护体系“三横四纵”的总体架,建立信息安全防护体系。
1 信息安全防护策略设计目标
信息安全保障体系的建设紧紧围绕安全管理、安全技术和安全运维3个方面,在每个方面都有相应的具体目标。达到这个目标就能为综合服务平台构建一个多层次、多角度的立体纵深防御体系。
安全管理的建设目标:
确定安全组织和责任划分,确定安全策略,确定信息资产分类和分级。
实现安全变更管理、安全补丁管理、安全备份管理、应急响应计划、业务持续性计划、安全核心流程。
安全培训与教育、安全控制要求:
对信息资产进行风险评估,达到ISO27001管理标准。
安全技术的建设目标:
根据业务需求划分不同的安全域,安全边界进行防护。
实现安全系统强化功能、建立网络和主机入侵检测机制、实现高危数据加密传输、关键系统的日志审计、建立病毒防范体系、建立身份认证体系、访问控制体系、远程访问安全机制。
建立数据安全存储体系、时间同步机制、集中安全审计体系、安全事件管理平台。
安全运维的建设目标:
建立定期风险评估机制。
定期对日志进行审计、定期进行渗透测试。
完善安全信息上报机制、定期对安全策略和标准进行评估和修订。
显示安全的运维外包。
2 电力信息安全建设体系内容
电力信息系统信息安全保障体系采用了“三横四纵”的总体架构,即横向上分为3个层次,分别为应用层、技术层、管理层;技术层次中纵向又分为4种主要体系,即以基础安全服务设施、数据安全保护、网络接入保护、平台安全管理为支柱,信息安全基础设施为基础,通过信息安全管理体系为业务应用提供可靠的安全保障。
一是应用层。这是安全保障体系的主要对象。信息化建设的终极目标是提供给用户好用、易用、够用的应用系统,应用系统是为了满足不同用户的不同业务需求,安全保障体系保障的核心就是应用系统及其数据。
二是技术层。这是信息安全保障体系的主要体系。目前包括技术支撑体系、技术保障体系、网络信任体系、安全服务体系。这4种体系已经经过多年的探索和建立,应该说已经覆盖了技术上的所有方面。
三是管理层。包括等级保护安全策略、安全管理制度、法律法规和技术标准。通常说“三分技术、七分管理”,再好的技术也需要完善的管理才能保证技术发挥最大的效能。
3 信息安全防护设计
电力系统是一个由内网、外网两种网络域构成的庞大信息系统。各个网络域执行着不同的服务内容:内网是一个完整的电力系统办公自动化环境,外网担负着与公众间信息沟通的责任。
如此复杂的应用环境给系统带来了大量潜在的安全隐患:黑客利用外网或专网攻击内部网络、数据在传输过程中的泄露、网页遭篡改、伪造身份进入系统、操作系统漏洞、病毒等。这些安全隐患不可能依靠某种单一的安全技术就能得到解决,必须在电力信息系统整体安全需求的基础上构筑一个完整的安全服务体系。
构建一个完整的安全防护体系有组织地实现上述安全需求,我们提出的安全保障平台由基础安全服务设施、数据安全保护、网络接入保护、平台安全管理组成。
(1)基础安全服务设施。
基础安全服务设施防护设计主要包括部署平台的应用系统的身份认证与访问控制、基础环境安全保护(访问控制、防火墙、入侵检测、安全审计、VPN)。
(2)数据安全保护。
数据安全保护方案是为部署在电力信息系统提供数据传输、数据访问和数据存储备份恢复的安全保障措施,主要分为4类:应用保护、数据传输交换保护、数据备份与恢复设计。
(3)网络接入保护。
统一管理集中建设互联网接入点,实现电力各部门互联网的安全接入和可管可控可剥离;各部门在统一的安全技术体系下,根据各自信息下发指令信息包括针对省级安全等级,建设、升级、完善安全系统;依托平台建设省级安全接入机制,实现与接入统一监控、统一管理和统一服务。
(4)平台安全管理。
安全管理体系是信息安全保障体系建设的一个重要环节,安全管理体系的建设内容包括:建立完善等级保护安全管理机构、安全管理制度、人员安全管理、系统建设运维管理、系统运维管理。
4 结语
该课题对电力公司信息安全防护策略和防护设计进行研究,电力信息化安全服务平台也基于电力信息系统安全需求设计安全防护体系,面向系统管理员、安全管理员提供安全保障,为各级信息化安全管理对安全监管、信息共享和提供安全保障支撑。
参考文献
[1] 高鹏,范杰,郭骞.电力系统信息安全技术督查策略研究[C]//电力通信管理暨智能电网通信技术论坛论文集.2012.
[2] 余勇,林为民,俞钢.电力信息系统安全保障体系的研究[C]//2004年世界工程师大会电力和能源分会场论文集.2004.
[3] 陈秋园.浅谈电力系统信息安全的防护措施[J].科技资讯,2011(14):147.
