信息安全保障范文
时间:2023-10-16 17:36:57
导语:如何才能写好一篇信息安全保障,这就需要搜集整理更多的资料和文献,欢迎阅读由公务员之家整理的十篇范文,供你借鉴。
篇1
1 综合治理信息安全的战略背景
IT管理技术发展历程,从被动管理转向主动管理,从服务导向转向业务价值。在科学的IT管理方法论方面形成了一系列标准:诸如ITIL/ITSM以流程为中心的IT管理行业标准;ISO20000ITIL 的国际标准; COBIT面向IT审计的IT管理标准;COSO企业内部控制框架,面向内部控制;ISO17799:信息安全管理国际标准。当前有很多非常好的综合性标准与规范可以参考,其中非常有名的就是ISO/IEC27000系列标准。ISO/IEC 27001通过PDCA过程,指导企业如何建立可持续改进的体系。
目前企业IT运维管理现状。需求变化:IT本身快速变更;管理目标多角度变换并存。资源不足:IT 复杂性成长快于人员成长;IT 人员持续流动。业务影响:难以判断事件对业务的影响和处理事件的优先级。信息孤岛:IT 资源多样性的,不能进行事件的关联分析,缺少统一的健康视图。IT网络与信息系统运维存在监测盲点,缺少主动预警和事件分析机制。
如何把此项复杂的工程进行细化与落地,建立信息安全保障框架?在企业有限的IT资源(包括人员、系统等)等的前提下,IT运营面临严峻的挑战,企业多半缺乏信息系统应用开发能力,在很大程度上依赖于产品开发商的支持,为此,要想实现从混乱到清晰、从被动到主动、从应付到实现价值取向的服务思想,自主加外包的混合运维方式无疑是一种好的服务方式。
2 建立和实施信息安全保障体系思路和方法
针对IT管理问题和价值取向的服务方式,借鉴PDCA工作循环原理和标准化体系建设方法,从建立安全目标和组织体系、制度体系和技术体系等三个主要层面构建实施信息安全保障体系,以规范引导人、以标准流程引导人,以业绩激励人,从而促被动变主动,坚持持续改善,促进工作效率,促进安全保障。
2.1 建立和推行目标管理
体系建设应以目标管理为先导、循序渐进,按顶层布局、中层发力、底层推动内容设计与构建,为此,借鉴当前IT运维管理目标演进方式,确立各阶段建设目标。
基础架构建设阶段(SMB),手工维护阶段。主要实现IT基础架构建设。
网络和系统监控(NSM)阶段,重视自动化监控阶段。主要实现IT设备维护和管理。
IT服务管理(ITSM)阶段,重视流程管理阶段。主要实现IT服务流程管理。
业务服务管理(BSM)阶段,重视用户服务质量与满意度。主要实现IT与业务融合管理。
从IT投入和业务价值来看,前三个阶段是间接业务价值,第四阶段才是直接业务价值。
根据ITIL这个IT服务管理的方法论,先是搭建一个框架,借用工具的配合促进落地。如图1、IT运维管理系统参考模型。
从安全目标出发,结合IT运维管理系统参考模型,每个阶段的工作向着实现直接业务价值,不断消除或减轻对性能的约束,促进IT产品或服务满足确定的规范,实现企业效益最大化。服务好用属性通过最终的绩效和检验结果监视测量价值成分。如图2。
2.2 规划融合信息安全保障体系
通过从组织体系、制度体系、技术体系层面建立和实施纵深防御体系,实现稳健的信息安全保障状态。
①组织体系:通过企业中高层的支持实现业务驱动和共同推动信息安全体系建设。当然,需要提出的问题,组织有可能要依赖长期可靠的合作伙伴:通过长期可靠的合作关系,快速引进外部专业资源和先进技术,可以帮助企业推动信息安全建设工作。为了帮助组织内外信息系统人员更好地遵守行业规范及法律要求,企业实施IT网络与信息系统安全运维体系标准,组织应做到定期对全体员工进行信息安全相关教育,包括:技能、职责和意识,通过相关审核,证明组织具备实施体系的意识和能力。
②制度体系:企业IT网络与信息系统安全运维系统建设的范围包括机房安全、数据安全、网络安全、服务器安全、业务应用安全、终端安全等。为此,企业应明确内部运维和外部协同的内容及其标准规范,包括绩效标准。建立实施IT网络与信息系统安全运维体系标准,首先把高效的信息安全做法固化下来形成规则制度或标准,成为组织中信息安全行为准则。保证事前预防、事中监控和事后审计等安全措施的得到有效执行与落实。
③技术体系:一般来说,网络设备技术体系可以按照从上到下信息所流经的设备来部署工具。即从数据安全、终端安全、应用安全、操作系统与数据库安全、网络安全、物理安全六个方面来选择不同的安全工具。按照“适度防御”原则,综合采用各种安全工具进行组合,形成企业“适用的”安全技术防线。适时根据风险评估的结果,采取相应措施,降低风险。
其中,需要采用1~2种综合管理的工具来帮助把所有的安全监控工具进行统一管控。例如SOC是给企业日常维护管理者使用,ITRM作为综合风险呈现,是给企业风险或安全管理层使用。
④体系运行和监控:体系的日常运行和监控就是从信息的生命周期进行流程控制,即在信息的创建、使用、存储、传递、更改、销毁等各个阶段进行安全控制。之前不能忽视在信息创建开发安全阶段的一个细化控制手段。在运行体系建设中,往往需要结合流程分析来关注信息的生命周期安全。运行过程中还有一个应急管理,包括灾备中心建设、业务连续性计划、应急响应等等都有相应的标准与理论支持。特别是BS25999标准的颁布,给如何建立一套完善的应急体系提供了参考。
3 企业建立和实施信息安全保障体系实践
面对网络系统互连,网络技术与设备的安全管理规范的完善这个复杂而且浩大的工程,井冈山卷烟厂不仅依靠个体分散的技术措施或者管理防护,而且结合国家、社会和个人的力量构建综合保障体系。
①依据ISO9000、ISO14000和OHSAS18000标准,国家计算机网络和信息安全相关法律法规,参考当前科学的IT管理方法论方面形成了一系列标准,结合YC/T384烟草企业安全生产标准等,识别这些与信息安全相关的法律法规及其它要求,将信息安全保障体系(框架)融合到企业质量、环境和职业健康安全(以下简称为三标)综合管理体系。
②确定信息安全管理目标并分步实施企业三年信息化发展规划。自2012年开始,企业对照YC/T384烟草企业安全生产标准要求,在梳理和评价2000年以来企业多个企业信息化三年实施规划实践环境以后,制订了新的三年信息安全管理目标和建设规划,将目标和规划分解到各年度实施,并纳入到企业年度三标综合管理体系建设目标和管理绩效考核。
③建立信息安全管理组织和工作标准,同时纳入三标综合管理体系管理考核。从体系结构上促成企业作业层、管理层(中间层)和决策层的信息化,实现企业的物资(服务)流、资金流和信息流的一体化,及时、准确和完整地传递企业的经营数据,保证企业的经营管理。利用信息化改进管理,形成企业信息安全文化,促进员工接受、理解和主动配合,不断提升全员的信息安全意识和技能,从而使信息安全管理真正落到实处。
④建立和实施信息安全保障体系文件标准。根据国家信息安全相关的法律法规及其它要求,结合行业和企业的特点和发展趋势,规范管理流程和模式。网络与信息系统建设“立足长远、分步实施、突出重点”,做到“统一规划、统一标准、统一平台、统一编码”,同步实施信息系统等级保护制度,促进企业与信息系统项目合作单位、地方通讯和公安等部门的社会化合作主要方式。企业内部各项工作实现规范化、信息化,做到一切工作都按照程序办,同时,事事处于相互制衡的环境之下、人人处于监督管理之中,从而形成职责明确、运转协调、相互制衡的工作机制,为企业内部信息安全监管提供强有力的保障。
几年来,企业坚持企业信息安全方针目标,以迅速响应服务为宗旨。企业信息安全保障体系建设紧紧围绕建立科学、规范、和谐、统一、开放的管理体系,全面融入了质量、安全和环境管理体系一体化建设和实践,截止到2015年底,企业共梳理建立或整合并实施安全保障类文件包括企业管理标准、技术标准和工作标准共计31个标准文件。通过创新与改善和体系审核、管理评审和提高文件执行率及持续改进方式保持了信息安全保障管理体系的持续改进和有效运行。
篇2
伴随着信息时代的来临,档案信息化的建设工作也在逐渐的深化,有利的实现了档案信息资源共享化,提升了管理的效益,加快了档案事业的发展。在实施档案信息管理的过程中,档案信息安全是档案信息化建设的主要内容,这也表明了档案信息化建设的过程中还存在一定的问题。
1.从档案保管、保护到档案信息安全保障
档案管理主要是指对档案信息进行维护工作,促使档案一直处于发展的状态,确保档案的信息不受任何的损害,以此促进档案存在的时间。在我国古代就具有相应的管理模式,但是都比较单一和分散,没有建立健全的体系。自我国改革开放以来,档案教育就有了新的发展,相关的教育者制定了有关的技术素材,从而促使档案管理技术逐渐的形成一门完整的学科。在二十世纪八十年代出版的档案管理技术,促使档案管理理论和技术有了新的改变,研究档案的学者对档案信息管理的认知集中在信息保护和载体保护上。
目前,我们已经步入了信息化的技术社会,对于信息的要求也就越来越高,并且对于档案学的发展具有深远的影响。与此同时,档案学的理论和技术也发生了巨大的改变。因为电子技术的发展,随着而来的信息量也在逐渐的增加,记载信息的方式也发生了多样化的变化,档案学的理论和技术正在不断的发展。信息化的档案管理是依据全面的、数字化、动态的基础上,并且逐渐成为社会发展的主要关注的问题。
2.档案信息安全保障的内容
档案信息管理的安全内容包括信息内容的安全、实物的安全、管理系统的安全、网络环境的安全、应用技术的安全以及实际管理的安全。也就是说确保档案信息不会发生遗失的现象,或是被人任意地更改、破坏,从而造成信息资源出现遗漏和缺失,致使档案信息不具备完整性和严密性。在实施档案信息管理的过程中要注意突发性事件,采取有效地档案设施,从而促进档案信息管理可以有效地发展下去。例如,在确保档案管理计算机硬件的同时,也要防止受到突发性自然灾害的发生和影响;档案信息所处的环境也要符合储存的标准。档案信息系统安全保障不仅要求对信息的管理,还要确保管理的技术具有专业性,从而保证信息资源的合理化整合和管理。
2影响档案信息安全保障的因素
1.自然与环境因素
自然的因素是指在档案管理过程中,自然界会受到不同因素的影响,出现突发性的大雨、大雪、地震以及磁场等多样化的灾害,这将直接威胁到档案信息资源的安全。而环境的因素是指实施安全保障的档案信息所处的环境不能够适应档案信息管理的模式,从而对信息资源造成损害。例如,对档案信息进行远程操控的技术室,若是不具备符合发展的应用设备,像电源电压不足、基础设施不完善、所处温度过于高、湿气重、无防火、放电、防水的装置、病毒的侵害等等,都会对档案信息的安全问题造成影响。
2.技术与社会因素
技术的因素主要是指记载档案信息的载体。相对于纸媒的记载方式,增强纸的使用年限,可以促进信息资源存在的时间。而作为新时代的信息载体来说,载体自身的质量和电子技术是决定档案信息安全的主要依据。社会的影响因素是指社会经济在发展的同时也会带动一些不利事件的发生,从而影响到档案信息的安全。伴随着电子信息技术的发展,很多不法分子利用互联网的高科技技术对外宣传破坏思想,还利用互联网进行犯罪活动,从而严重的影响到档案信息的安全。
3.管理与资金因素
管理的因素主要是指有关政府对档案信息安全的管理政策和工作人员的工作态度。档案管理的主要组成部分就是人,人具备完善的网络技术,人拥有管理的体系和能力,人对档案信息进行分类和整合。资金的影响因素是指将档案信息管理的资金融入到相应的管理人员对档案信息的总体规划和未来发展的方向,若是投入的资金不够,那么管理的力度也就不够,很容易在实施的过程中出现安全问题。
3保障档案信息安全的基本策略
目前,实施档案信息安全管理工作是一个具有系统性和复杂性的过程,需要结合当前的社会理念、国家颁发的政治策略、相应的规章制度、有效的技术手段、相应的人才锻炼等多方面,并且进行有效的融合,以此建立全面的档案信息安全保障管理,从而促进档案信息管理的发展。
1.强化意识
档案的信息资源是国家发展遗留的物资遗产和精神遗产,不但是国家发展档案工作的主要目标,而且是国家要发展档案信息管理的重要内容。档案管理应该进行相应技能的培训和学习,深入贯彻档案信息管理的理论,加强人们对档案管理的认知,开展新式的档案管理教育,解决档案信息的问题。同时,也要树立正确档案信息安全理念。采取积极向上的心态对待档案安全管理问题。当然,可以依据多样化的安全教育形式,让各个层次的管理者和工作者参与到档案信息管理安全保障当中去,以此深入的了解到档案安全在档案管理中的重要性,建立正确的工作理念,要记住档案安全信息占据的地位,从而将档案信息安全放到档案信息管理工作中的第一位。
2.构建体系
要想更好地发展档案信息,就需要确保档案信息管理的安全性,这样才可能实现档案信息的全面发展,不然就会阻碍档案信息管理的发展。伴随着档案信息管理的发展,对档案信息化管理的技术手段已经成为一项重要的工作内容。由此可见,依据国家的相关规定,融入档案信息管理的需求,建设全面的档案信息安全管理体系是现阶段需要解决的一大问题。档案信息管理的安全体系是一个具有全面性和有效性的管理体系,包括社会的各个层面和各个方面的支持,同时也要依据相关的法律法规,对档案信息管理进行全面的研究与分析,从而建立和谐发展的社会环境。目前,要加大对档案信息安全保证制度的建立,以此更好的对档案信息管理进行更好的规划,从而促使档案信息坚持可持续发展的道路。
3.完善法规
在解决档案信息管理安全问题的过程中,建设健全的管理体系和法律法规,是确保档案信息安全的重要手段,只有依据公平、公正的法律法规才可以做到依法治国,从而更好的确保档案信息的安全问题。当前,在国际市场中,各国都确立了完善的法规制度。美国在二十世纪七十年代就设定了相关的档案信息安全管理策略,并且在二十一世纪初期也设定了相应的计划,到如今,依据电子信息技术解决的问题就已经达到近四百个了。与此同时,在英国、法国、德国等多个国家也纷纷制定了相应的法律法规,建设了相应的组织机构。而在我国也依据实施档案信息管理的需求设定了相应的法律法规,例如,《计算机信息系统安全保护条例》
这些法规为维护网络安全提供了法律,从而确保档案信息管理可以有效的发展。在我国很多单位都有应用,如公安局、政府机构和医院档案等管理体系等,虽然依据信息时代的档案管理在实施的过程中取得了有效的成绩,但不可否认的是还不能够满足信息管理工作的有效实施。这就需要档案管理者依据当前应用部门的需求和发展,融合国家政策的规定,制定符合档案信息管理的相关制度,在实践的过程中,不断地获取经验,并且进行自身的完善,从而促使档案信息管理有效的发展。
4结语
总而言之,信息时代的档案信息管理工作不仅面临着巨大的挑战的,还为获取信息提供了极大的便利性。通过信息技术对档案资源进行管理,节约了大量时间和精力,降低了信息传输的时间成本,减少了工作步骤。每一个旅游局档案管理工作人员必须清楚地认识到档案管理工作是一项长期、艰苦的工作,必须具备高度的责任感和使命感,树立档案管理至上的理念,努力提升自己的专业水平,将档案管理工作做好。努力多思考,多研究,营造一种锐意进取、积极向上的创新氛围。
作者:赵琴
参考文献
[1] 周浩. 透析“棱镜门”事件,对构筑网络环境下档案信息安全的思考[J]. 数字与缩微影像. 2014(01)
[2] 张才圣. 档案信息安全与国家安全问题研究[J]. 兰台世界. 2013(20)
篇3
关键词:档案信息安全;保障体系建设;现状;方法
随着经济的发展和社会的进步,尤其是网络信息技术的快速进步,使得档案信息的管理逐渐的网络化,极大地提升了管理工作的效率与水平。但是在这种应用中,一个重要的问题产生了,即档案信息的安全问题越来越严重。因此,我们需要对于出现的问题进行认真的研究与分析工作,并且制定出相应的办法,全面建设档案信息安全保障体系,提高其应对网络安全风险的能力,推进档案信息安全保障工作全面的进步。
一、档案信息安全保障体系建设的现状
进行档案信息的安全保障工作具有非常重要的现实意义。但是从整体上而言,我国的档案信息安全保障工作在现实层面依然存在着许多的问题。具体来讲,第一,档案存放的馆舍环境有待改善。比如:我国许多的档案存放的馆舍存在着设施陈旧、缺少必要的隔热、防潮、消防等功能,使得众多的档案存放过程面临着不少的风险。第二,我国的实体档案信息管理存在着一些问题。比如:首先,保存的早期档案信息的字迹难以辨认。其次,保存的早期档案多有破损或者是管理混乱。再次,对于档案进行具体的管理中文书档案与照片档案的混合非常的严重。最后,对于保存的档案没有进行及时的通风,以至于一些档案出现了损毁的情况。第三,我国的电子档案信息保存也面临着一些风险。比如:首先,我国应用网络信息技术进行档案信息的管理时间短,对于众多的档案还没有完成应有的信息资源整合。其次,网络化的电子档案信息系统的运行功能不完善,还存在着一些问题。比如:安全系统的漏洞使得网络化的电子档案信息非常容易受到网络侵入或攻击。再次,我国没有对于网络化的电子档案信息管理制定出统一的管理规章制度,使得具体的管理工作不能有序的进行。最后,我们缺乏对于高素质、专业化网络电子档案信息管理人才的培养,使得有关工作严重的滞后[1]。
二、档案信息安全保障体系建设的方法
(一)完善实体档案管理
我们需要完善实体档案的管理工作,促进这些档案管理工作水平的提升。因此,首先,我们需要完善我国的实体档案保存馆舍的环境,对于存在问题的馆舍进行重新的修缮。其次,我们需要对于保存的实体档案进行全面的清查工作,并且制定出有效的考核方案。比如:根据档案利用效率的高低,对于保存的档案进行全面的优化排序,提升实体档案管理工作的应用效率与水平。制定出档案管理工作的中长期规划,逐步将实体档案信息向网络化电子档案信息进行转变。对于一些重点的、有应用价值的档案进行抢救性的发掘。对于一些特种载体的档案需要进行高效化的保存。改善有关的保存设施,保持有关环境的恒温、恒湿状态。同时,还需要对于保存的实体档案进行定期的消毒与清洁工作。再次,我们需要对于保存的实体档案进行有效的监督和检查工作,全面提升实体档案管理工作水平的提高。比如:制定出有效的考核制度,促进实体档案管理人员不断的提高自己的责任心与使命感,在平时的工作中尽职尽责,使我国的实体档案保存、管理工作安全、有序的进行。最后,国家与政府需要对于实体档案的管理工作给予足够的重视,投入大量的资金与技术,完善有关的管理系统,使得这项工作得到持续的进步和提升[2]。
(二)进行电子档案信息系统的安全建设
我国进行档案信息系统的安全保障工作,需要进行电子档案信息系统的安全建设工作。原因在于,电子档案信息系统的管理方式是未来我国进行档案信息建设的重要方向,也是未来我国档案信息保存的主要形式。因此,我们需要制定出有效的管理方法,全面提升我国电子档案信息系统的安全。具体来讲,第一,我国的各级档案馆需要建立档案信息化安全保障的制度,使得众多的电子档案信息管理人员严格的按照这些制度进行档案信息的管理。第二,我国的各级档案馆需要建立具有高效防护能力的防火墙与网络入侵拦截系统,对于各种信息的网络攻击与侵入行为进行有效的防护。第三,禁止有关的电子档案管理人员进行违规的外联,使得众多的电子档案得到有效的保护[3]。第四,从国家层面上讲,我国需要制定出专门的电子信息档案安全管理的法律法规,使得具体的电子档案信息安全管理工作做到有法可依、有章可循,对于具体的档案管理工作进行规范性的约束。第五,我们需要对于电子档案安全保障系统建设的技术进行创新。比如:我们需要建立起各级档案馆的“前端控制,后端归档”的管理模式,对于重要的信息进行有效的安全保障。应用网络信息技术的优势,对于保管的众多档案资源进行优化整合。对于众多档案信息管理的电子移交工作进行完善,有效的保障电子信息档案的安全,不至于出现遗失、不完整情况的出现[4]。结论:对于档案信息安全保障体系建设问题进行研究,有利于全面提升我国档案信息安全保障工作的质量与水平。
参考文献:
[1]许桂清,李映天.档案信息安全保障体系的建设与思考[J].档案学研究,2010,03:54-58.
[2]花文博.档案信息安全保障体系的建设与思考[J].广东科技,2011,10:9-10.
[3]王莉.档案信息安全保障体系的建设与思考[J].办公室业务,2014,19:65+67.
篇4
【 关键词 】 信息安全;保障;框架;等级保护;构建体系
Brief Discussion about the Establishment of Information Security System
Li Lin
(The Anhui Province Health Department Information Center Anhui Hefei 230001)
【 Abstract 】 the rapid development of information technology and is widely used, the information technology has promoted the process of economic globalization. So in such an era of information, the information security problem has also become the impact of China''s informatization health development a big problem. Informatization construction is a big part of that information security construction, but now the information spread fast, more and more loopholes, if not promptly to establish a good information security system, the informatization construction of our country cannot develop healthily. Therefore, construction of information security system to come greatly a country, small to person is very important, is also essential.
【 Keywords 】 information security; security; frame; hierarchy protection; system construction
0 引言
全球正处在一个网络化、信息化和数字化的时代,那么在这样一个信息快速发展的时代里,信息安全显得尤为重要,此时信息安全保障体系的建立就是必不可少的了。信息安全保障体系共包含了信息安全管理体系、信息安全技术体系和信息安全运维体系三部分,通过对这三部分的综合有效建设来保障信息系统的安全运行效率。为了国家更快更好地发展,必须对信息安全保障体系进行构建。本文将针对建立信息安全保障体系的具体方案进行分析。
1 中国信息安全保障体系现状
“信息保障”概念最早由美国提出,并且美国现在已经有比较完善的国家信息安全保障体系了。信息安全漏洞不一定都是由技术问题造成,它还包括人和社会的影响或者说是主观因素,所以只有用科学有效的管理方法加以规范的综合性手段,才能获得有效完善。信息安全问题存在于各行各业,同时也有着不同的属性和特征,信息安全管理体系在信息安全保障体系中是很重要的,根据不同的信息漏洞制定不同方案。
我国虽然在2003年就提出了“要在五年之内建设中国信息安全保障体系”的观点,但是在2006年才开始进行等级保护试点工作。也就是说,到目前为止,我国的信息安全保障体系建立工作才初有起色,不完善也不成熟。我国需要一个完整可用的综合性信息安全保障体系,而要想建立比较完善的信息安全保障体系,需要从各方面考虑组建信息安全保障体系的框架,包括人员、技术和管理体系等的建设。
2 信息安全保障体系的框架
信息安全保障体系的建立一般分三个部分完成,从人员、技术以及管理三个体系来综合完成。通过这三个部分的构建就组成了信息安全保障体系的基本框架,只有建立好其框架,才能完善好其建设和有效运行。
2.1 人员体系
篇5
公安信息网(以下简称公安网)是公安工作正常运作的重要载体和公安综合业务网络平台,已经成为我国政府重要的政务网之一。信息安全的实质就是保护业务系统或信息网络中的信息资源免受各种类型的威胁、干扰、和破坏。随着计算机网络信息技术的快速发展,公安工作对信息服务的可用性、保密性、完整性、真实性要求越来越高,公安网也存在着当今互联网络共通的安全问题。为保护业务系统或信息网络中的信息资源免受各种类型的威胁、干扰、和破坏,加强公安网信息安全是一项必不可少的工作。
1 当前公安网存在的信息安全风险
我国《计算机信息安全保护条例》对信息安全的定义:通过计算机技术和网络技术手段,使计算机系统的硬件、软件、数据库等受到保护,最大可能不因偶然的或恶意的因素而遭破坏、更改或泄密,系统能够正常运行,使用户获得对信息使用的安全感。它涵盖了信息环境、信息网络、数据、信息内容和信息服务等多方面的安全。公安工作的特殊性决定了网络信息安全的重要性。公安网一旦发生信息泄漏,就不仅仅是一般的泄密问题,而是涉及国家秘密泄露,直接威胁到国家安全。目前,公安网存在的安全威胁主要有以下几方面:
1)计算机网络的不可用、不安全
网络主干传输网物理链路遭受人为破坏,硬件设备没有定期巡检,老旧设备没有及时更换等故障导致网络中断。因断电或其他因素导致关键硬件设备的损坏,导致数据丢失等。网络硬件设备受到攻击被修改配置,导致网络不可用。另外,终端多网卡的非法外联行为,也会造成信息泄密。
2)计算机信息系统运行存在的风险
系统运行存在的安全风险主要有信息系统的建设存在漏洞后门等安全隐患。对数据备份不完整和缺乏管理,导致数据丢失,应用系统无法恢复正常服务。若操作系统和数据库产品为国外产品,闭源的代码、私有的网络协议,存在技术黑洞等深层次的隐患。没有及时安装升级补丁,及时修补操作系统和信息系统的安全漏洞。缺乏有效的安全审计系统:一方面产生大量系统日志,但缺少审计分析工具,无法及时发现问题;另一方面,日志或审计记录不全或被修改、删除,无法回访记录。
3)使用、管理方面的存在的安全风险
有些用户保密意思不强,政治敏感度不高,视密非密,导致一些涉密信息到公安网上。用户违规使用未授权移动介质进行资料拷贝,或私自安装存在安全隐患的应用软件。用户没有充分认识PKI/PMI系统的重要性,用户名和口令设置过于简单。对参与系统建设的技术人员缺乏严格保密教育和审核,信息分类不明确,系统的访问控制没有精确到位,如最高权限(Admin)账户没有及时管理、设置或者停用,系统的一些关键信息可能泄密。
2 公安网信息安全保障策略
针对上述分析的公安网存在的安全威胁和风险,根据相关的信息保密安全标准,从信息安全的技术规范、技术标准、管理和立法三方面进行分析研究,笔者认为可从网络平台、信息系统、制度管理三个方面构建公安网络信息安全保障策略。
2.1 网络组建的安全
网络是信息流动的载体,组网安全是决定公安信息安全的基础。公安网是星型加环型结构,实现了公安部到各省(自治区、直辖市)公安厅、各市(地、州、盟)公安局、各县公安局的三级主干网络。
1)物理层的安全
严格按照《电子计算机房设计规范》等相关标准建设机房,为硬件设备运行提供良好的环境。建设环境监控等系统,对机房环境运行出现的故障得以第一时间得到响应。加强机房管理,防止硬件设备人为盗窃或破坏。定期对物理链路进行巡检,防止链路被人为损坏,同时互联设备相邻节点间的链路需要认证。对需要防止电磁泄漏的硬件设备配备电磁干扰设备,必要时可以使用屏蔽机柜。
2)子网划分
组网中,可在交换局域网的基础上划分虚拟子网。子网可在相同或不同的设备上划分,从而将网络里的设备从逻辑上分成不同的网段。划分子网,可以限制子网间的通信,可以限制广播的传播,提高网络的整体性能;可以限制不同子网的访问权限,方便做访问控制,保障网络信息的安全。
3)边界安全
在网络边界部署防火墙,实现不同信任区域的数据传送。其目的就是在网络连接之间建立一个安全控制点,通过允许、拒绝或重新定向经过防火墙的数据流,实现对进、出内部网络的服务和访问的审计和控制。新一代防火墙采用最新的应用层安全防护理念,结合先进的多核高速数据包并发处理技术,建立起以应用为核心的网络安全策略和以内网资产风险识别、云端安全管理为显著特征的全方位的安全防护体系。
入侵检测系统作为一种积极主动地安全防护技术,提供了对内部攻击、外部攻击和误操作的实时保护,在不影响网络性能的前提下对网络上的数据流进行实时检查,并将检查结果和系统中的设定的入侵特征数据库中的数据进行比较,如果发现非授权的网络访问和攻击行为,对出现的大量可能危害服务器的行为及时做出警报、阻断响应,提供日志记录和分析。
将防火墙和入侵检测系统有效联动起来,实现检测、响应、防护一体化的安全防护模型,提高了信息网络安全基础结构的完整性。
4)审计系统
在网络内部部署审计系统针对上网行为提供有效行为审计、内容审计、行为报警、行为控制及相关审计功能,从而对网络行为进行有效监督,预防、制止数据泄密。审计系统提供完整的上网记录,便于信息追踪、系统安全管理和风险防范。
5)备份与恢复
主要指对网络核心硬件和数据的备份。对核心网络硬件设备进行备份(双机热备)是保障网络结构安全的重要措施,避免核心硬件因各种原因(老化、各种意外或者硬件故障等)无法正常运行时网络能够不受影响,或者响应较快的恢复网络服务。数据备份的目的是要保护数据的完整性和可用性,建议重要数据完全数据备份每周一次,增量备份或差分备份每天一次,备份介质存放在数据运行所在场地外,有条件的单位对重要信息进行异地灾备,保证极端情况下能够实现备份业务应用的及时切换。
6)终端接入
网络的终端接入设备(用户计算机)是网络攻击、非法窃取的最直接源地,所以必须严格控制和管理终端的接入,全面部署网络版防病毒软件,防范网内病毒、木马等威胁网络安全。
“一机两用”是公安内部对于一种网络违规外联行为的定义,具体指公安网内使用的专用机,连接到互联网或者外部网络的行为。对此,策略应采用级联方式的,以监控“一机两用”行为为主,同时兼顾对全国联网计算机设备的注册和管理。监控系统有效地监控网内联网计算机的信息,杜绝 “一机两用”的情况。
同时,加强移动介质管理。对所有允许接入公安网的U盘进行授权,非授权U盘在安装了介质管理软件的专用机上无法使用,所有授权的U盘也无法在未安装移动介质管理软件的计算机上使用。安装了介质管理软件后的信息交换必须通过中间机杀毒后转换数据。中间机上的所有数据转换操作要记录到审计日志,方便日后查询。
2.2 信息系统的安全
作为我国重要的政府网之一,公安网上运行着各种公安业务的信息系统。信息系统的安全是公安信息安全的重要部分。信息系统的安全主要包括操作系统、数据库、中间件、应用登录四方面的安全。
1)操作系统安全
应对用户进行身份标识和鉴别;用户身份鉴别信息不易被冒用,口令复杂度应满足要求并定期更换。启用登录失败处理功能,可采取结束会话、限制非法登录次数和自动退出等措施,限制同一用户连续失败登录次数。应限制默认账户的访问权限,重命名默认账户,修改这些账户的默认口令。应及时删除多余的、过期的账户,避免共享账户的存在。进行远程管理时,应采取必要限制措施,防止任何人都可以进行远程管理。遵循最小安装的原则,仅安装需要的组件和应用程序,非必要的服务禁止启动,防止设备负载过高而造成服务不可用攻击,并保证相关补丁及时得到更新。
2)数据库安全
禁止数据库SYSDBA账号远程登录,禁止数据库SYSDBA账号自动登录,清理public各种默认权限(Oracle)。对已经被利用的公开数据库漏洞进行安全防护。应修改数据库默认端口。对数据库中的敏感字段,应加密保存。数据库服务器应当置于单独的服务器区域,任何对这些数据库服务器的物理访问均应受到控制。应提供本地数据备份与恢复功能,应定期对数据库配置参数进行备份。在数据库与前端应用之间设置防火墙,限制对数据库的访问链接。
3)中间件安全
应对中间件管理后台操作进行登陆源限制,应用端口与管理端口应分开部署,管理端口对普通用户不可见。禁用中间件在通信过程发送服务标识,防止信息泄露。防止软件版本信息泄漏,确保禁止遍历操作系统目录。修改中间件默认端口,应限制应用服务器Socket或Threads数量,避免拒绝服务攻击。重命名控制台文件夹,对错误页面进行了重定向处理。
4)应用登录安全
对通信过程中的用户口令、会话密钥等敏感信息进行加密;对不同职责的使用者,信息的保密级别不同,授权访问不同,采用公安数字证书(PKI/PMI)登录,提供强身份认真,防止非授权访问。
2.3 制度和管理
信息安全的防范和管理,仅靠技术防范是不可能堵塞所有的漏洞,更多的是涉及制度和人的因素。公安网规模大,分布广,涉及的人员层次也是极其复杂,因此建立一套科学、规范、严格的管理制度才能真正有效的保障信息安全。
首先,从管理机构层面上,成立信息安全管理领导小组,指导、监督信息安全工作,检查相关制度的落实情况。建立信息安全管理的长效机制,加强技术检查和信息管理问题排查。各级信息安全管理机构由系统管理、硬件维护、系统稽查、网络通信等有关方面的人员组成。
其次,加强公安信息网信息安全教育,全面提高使用者的信息安全意识。确定各岗位人员的职责、权限及操作规范,形成文档,建立岗位责任制,重要信息必须加以审核才能上网。加大专业技术的培训,提高网络管理人员的管理水平,还须与信息化合作的公司及技术人员签订保密协议,防止信息系统建设相关信息泄露。
最后,在制度与规范上,要根据《公安计算机信息系统安全保护规定》制定保障公安信息系统的管理制度。严格执行《公安机关人民警察使用公安信息网违规行为行政处分暂行规定》、《公安部关于加强公安信网规范化管理工作的通知》等规定,健全信息化项目管理机制和日常运行维护工作制度;设备故障送检或报废,应制定相关规定流程,由有涉密资质的单位实施。还要定期举行内部网络信息安全保密大检查。
3 结语
信息安全是一门复杂的综合性学科,只有提高意识、提高防护技术、增强管理体系、制定法律规范,坚持积极防御和综合防范,采用管理与技术相结合,管理科学性和技术前瞻性结合的方法,才能保障网络信息安全。公安网络信息安全体系是实现公安系统信息共享、快速反应和高效运行的重要保证。
篇6
关键词:档案;风险;管理;安全
人事档案随着人事制度的改革,其工作也发展到了网络化和信息化的阶段,基于电子化的认识,档案的管理模式发生了从管档案到提供服务的过渡转变。同时,信息化的环境下各种各样的危险因素和隐患都会导致人事档案信息的泄露、篡改等,影响到人事档案的真实性、完整性、系统性。有鉴于此,本文主要对人事档案在信息时代的安全策略进行研究。
一、电子档案信息的基本特征
电子档案信息属于档案信息,除了网络化特征的共享性、流动性之外,还具有档案信息的基本特点:
(一)本源性特征。电子档案信息是基于人类生活和生产中的记录信息,其具有十分显著的本源特征。这也是电子档案信息和非档案信息的本质区别。
(二)回溯性特征。信息档案中的记录内容是对已经产生的一些历史、活动等信息的记载,这个过程作为一种记录性的内容具有明显的回溯特征。相对于纸质档案,其回溯功能更为简便。
(三)联系性特征。电子档案信息中便显出时间、形式、来源、内容上的关联,尽管是以文件单体的形式形成,但却是以文件组合的形式而存在和运动的。因而,具有显著的联系特征。
(四)分散性特征。在微观上,电子档案的形成有着阶段性、过程性的特点,在时间和内容上被分散和分割。因而,在整体上看信息内容杂乱、零散。在宏观上电子档案的形成数量和内容上多样化、层次不一,职能不同,档案的形成具有分散性和广泛性。除此之外,电子档案还具有网络和计算机软硬件的依赖性特征,存储的高密度特征、信息构成的复杂性特征等。
二、电子人事档案信息的安全需求
人事档案是反映个人的社会经历和工作实践的信息记载,也是一个人技术水平、业务素质、工作能力和思想品质的反映,无论是国有的企事业单位的录用还是民营公司的招聘中,都无一例外的会对个人的档案信息进行查阅。人事档案信息依赖于计算机的操作系统、软件和硬件以及计算机技术和网络技术,因而对互联网具有较大的依赖性,而互联网是一个开放式的平台,安全保障是重点。总的来说,人事电子档案的安全需求在以下几点:
(一)实体安全保护。实体安全保护指的是电子人事档案的存储的载体,也就是计算机的硬件平台,系统设备和相关的物理设施。实体安全是电子人事档案的前提,实体的安全若无法保证,整个电子档案的安全就无从谈起。
(二)软件安全保护。软件安全保护主要是保障电子档案信息在一定的软件环境下的安全操作,使档案信息避免被篡改、复制或是恶意的破坏。主要包括软件的自身安全、存储安全、通信安全以及使用运行安全等。
(三)信息内容的安全。这里主要指的是电子档案信息的数据安全。这是电子档案安全中的最重要的内容,包括数据的完整性保护、存储数据库的保护、档案数据的完整有效性等。
(四)网络安全。网络安全保护主要是针对计算机网络及其节点面临的威胁和网络的脆弱性而采取的防护措施。
三、影响电子人事档案安全的因素
网络环境下,电子人事档案的管理存在着许多的隐患和潜在的危险,主要影响因素表现在以下几个方面:
(一)电子人事档案的信息基础设施落后。这里主要包括计算机的网络系统、通信系统和电力分配系统等,这些系统对信息的安全至关重要。但是,实践中当前的硬件设施条件无法匹配完全管理的需要,使得人事档案的信息管理工作任务繁重,许多设备常常故障运行、运行环境较差、设备的兼容性较差、信息保存的环境恶劣,导致人事系统中的数据不可读取、丢失或被毁坏,严重威胁到电子人事档案的安全。
(二)电子人事档案的软件系统环境薄弱。在最初的软件环境的构建中就忽视了一些漏洞的存在,存在严重的漏洞风险,加上软件自身的安全缺陷和设计初期的遗留问题,给电子人事档案留下了致命的短板。此外,网络管理人员在人事档案的流转中未能发挥作用,对信息的基本加密、传送和存储处理等控制措施没有安全配置,导致了人事信息受到安全威胁。
(三)人事信息的管理不善。档案的安全管理法规和制度尚未健全,加之管理人员的业务素质、责任心等因素的影响都将给人事信息的管理带来安全风险。
(四)不法分子的恶意攻击。由于主观和客观上的原因,导致了许多不法分子恶意的攻击、损毁、窃取和篡改人事信息的案例,网络黑客频繁地攻击计算机系统,破坏数据库。主观上的盗取信息这无疑是最为严重的安全风险。
四、保证电子人事档案安全的对策
无论是实体的安全还是虚拟的安全,当前电子人事档案的管理上和技术上都存在着一些明显的缺陷和不足。为了应对安全风险,保证电子人事档案的安全,应从以下几个方面展开对策:
(一)强化人事档案的安全意识。无论是档案的管理人员、系统的平台维护人员还是信息的使用人员,都应树立科学的档案安全意识,将防御和防治结合起来,以防为主,防治结合的方针要严格贯彻,提升人员的责任感、安全感。认识到档案管理的重要性和网络安全的重要性,开展安全教育,将档案安全贯彻到每个人的头上。
(二)建立档案信息安全的保障体系。简单地从每一个环节上保障安全是不够的,需要联动地将每个环节都联系起来,建立一个整体性的保障体系措施。因而需要从战略角度来构建保障体系,考虑法律制度、法规条文、组织管理、产业发展、基础设施等,将技术措施、管理措施、法律约束融合为一体,让保障体系在根本上保障信息安全,确保信息的不泄密、不损坏、不丢失。
(三)完善相应的技术标准。规范化信息标准主要是针对数据库的运行规范、信息的使用规范做出一定的约束限制,避免因为主观上的失误导致信息的安全风险,通过多种形式制定适合于自身的保护和保密制度,将技术和法规协调,实现人事工作的安全协调,共同防护安全风险。
(四)建立安全保障机制。前面的措施主要的都是防范措施,一旦发生了信息的泄露或是发生了安全风险,如何来积极应对也应提前规划布局。人事信息的管理部门应完善和出台适用自身信息安全的预警系统和响应机制,对可能发生的危机和后果进行提前预判和估计,做好应急准备,完善防范手段,提升安全处置能力。建立人员的管理制度、技术管理制度、病毒防护制度等。加强日常安全风险排查活动,进行必要安全风险的演练,开展各式各样的安全培训活动,提升防护和防治技能。大数据时代,信息的电子化的趋势给档案馆带来了一定的改变和冲击,档案信息的收集和管理也出现了一些新的问题,其中最为突出的当属信息的安全问题。研究电子档案的信息安全是对传统档案管理研究的拓展,这对档案学的相关研究和发展理论有着一定的推动作用。在未来的实践中,档案安全应作为主要的研究方向,进一步从多角度、多维度展开深入研究。
参考文献:
[1]何莎.电子档案的形成及保护[J].档案.2011(02)
篇7
【关键词】电子档案;信息安全;风险和挑战;解决策略
一、电子档案的概念
从20世纪90年代开始,随着计算机技术的发展和普及,电子档案逐渐走入人们的生活,并与人们变得密不可分。电子档案是指电子图像文件的集合,它通过计算机等设备进行存储,与个人或单位的纸质档案互相联通、呼应、区分。一份完整的电子档案应该包含多媒体数据、板式数据、数据库等形式。电子档案存储在电子设备上,不需要人工对信息加以识别,且存储数据庞大,远非纸质信息可比。同时由于电子档案依附于计算机和网络技术,一旦网络平台消失,电子档案就不能发挥其作用。
二、电子档案信息存在的风险
(一)管理人员缺乏安全管理意识
电子档案信息技术的应用和普及时间较短,相关管理人员对信息管理的认识还不充足,对信息管理缺乏应有的重视。电子档案信息本身存在着很大的风险,极易丢失、损坏,再加上管理人员安全管理意识薄弱,对信息安全建设造成了不良影响。
(二)信息具有依赖性
由于电子档案的存储、处理等程序都依靠互联网和计算机技术,如果没有互联网和计算机技术提供信息平台,电子档案就不可能产生和存在。计算机和网络技术是电子档案信息建立的基础,因此,电子档案信息的安全性很大程度上由计算机和网络技术的安全性和稳定性来决定。但是,由于计算机和网络系统是一个虚拟系统,带有很强的开放性、容纳性,其本身存在的黑客攻击、木马病毒等安全隐患对电子档案信息保护造成了非常大的困难。电子档案在存储、传输过程中的不稳定性,易使信息发生泄漏和损害,从而影响电子档案信息的完整性和机密性。
(三)信息更改过于灵活
电子档案存储在计算机和网络上,更改灵活且便利,而且更改过程中不会留下任何变动痕迹。电子档案信息的灵活更改性为信息管理提供了方便,但正是由于这种更改上的灵活性使电子档案的真实性往往会发生改变甚至遭受质疑。由于电子档案信息在传输过程中很容易受到网络病毒或木马程序感染和破坏,一旦信息丢失或产生破损,其原有价值和真实性就会丧失。另外,由于电子档案信息与计算机载体相分离,电子档案可以通过不同载体在网络世界中传递,这就导致网络用户很难分辨原始文件,为电子档案的管理带来一定的威胁。
三、解决电子档案存在的风险的策略
电子档案信息安全建设对我国档案工作意义重大,因此,对于电子档案信息安全中存在的问题和风险,我们必须及时提出解决策略。
(一)建立健全相关法律法规
我国的电子档案信息建设在很多方面还存在着漏洞和空白,缺乏相关的法律体制。我国应构建一个完备的法律体系,对电子信息的公开、信息隐私保护等应制定专门的法律条款,填补相关法律空白。同时应加大对违反网络安全条例、威胁电子信息安全的犯罪违法行为的打击力度,以强硬态度坚决抵制各种违法活动。
(二)加强管理人员安全意识培训
随着电子档案信息进入千家万户,在档案建设中发挥的作用越来越大,电子档案的数量呈逐年增长、增长速度极快的态势。传统的信息管理模式及知识已不能适应互联网和计算机时代的发展要求,因此,档案管理工作人员应紧跟时代脚步,深入理解、掌握电子档案信息管理专业知识,加强同行业人员的交流合作,积极学习先进管理经验。同时档案管理部门应制定详细、全面的知识培训计划,加强管理人员的专业知识技能培训。
(三)培养信息备份工作习惯
由于电子档案在存储、传输过程中存在很大的风险,极易丢失、破损,为了保障信息安全,管理人员应主动养成信息备份的工作习惯,保证信息管理的规范性。在备份过程中要注意标明备份人员身份和备份时间,并定期对备份档案进行整理和检查,防止出现意外和漏洞。档案部门应安排专门负责备份信息检查的工作人员,确保电子安全无误。
(四)加强电子档案安全防护工作
社会的发展要求我们必须提高对电子档案安全防护工作的重视。一是严格按照规定使用高质量的电子档案来存储资料,对存储材料的质量一定要严格把关,确保电子档案信息存储载体有较长的使用寿命,提高电子档案的保存时间以及重复使用率。二是提高对极端及网络系统实体安全问题的重视,采用专业的高素质人员对计算机网络系统实体进行专门管理,做好环境和设备安全防护工作,为电子档案创造一个良好、适宜的室内环境,减少温度浮动等其他外界因素给电子档案存储带来的安全隐患。最后,要严防电子档案数据信息被篡改、被泄密。电子档案管理部门要建立健全内部控制管理机制,严格实行权限分级管理制度,各司其职,各担其责,提高电子档案信息系统安全系数。
四、结语
电子档案作为伴随着数字化信息出现的新型管理手段,为我国的档案建设工作作出了巨大贡献。由于电子档案开始时间较晚、其技术仍不太成熟,存在的安全风险也不可避免。如何规避电子档案信息安全漏洞,使其在档案建设中发挥应有的作用,是我们应该重视和探究的问题。通过完善相关法律法规,加强管理人员的安全意识,养成良好的工作习惯,在一定程度上保障了电子档案信息安全
【参考文献】
[1]周黎.浅析电子档案信息安全保障策略[J].黑龙江档案,2008(03).
篇8
关键词:档案信息;安全保障体系;建设;思考
0 引言
随着我国社会的进步以及经济的发展,我国的档案事业也取得了极大的进步,档案信息化建设日益加快。档案信息资源是社会资源的重要组成部分,确保档案信息安全十分必要。但是,当前由于各种因素的影响,档案信息安全问题日益突出。如何建设档案信息安全保障体系,确保档案信息的安全是当前的一个重要问题。
1 档案信息安全保障体系简介
信息安全是一个广泛而抽象的概念,具有保密性、完整性、可用性等特征,档案信息安全继承了这些特点。因此,凡是涉及到这些特征方方面面的理论体系和技术应用,都是档案信息安全保障工作值得探讨和研究的对象。档案信息安全保障工作的任务,就是要通过提高软硬件技术能力、加强安全保密管理水平等有效措施,让档案信息资产免遭或尽可能少遭风险损失,以维护档案工作的正常运行。
档案信息安全保障体系应运而生,它是法律法规、政策、标准、管理、指导、监控、培训、工具、人才以及安全保障技术、应用技术、操作技术等等的有机结合。这是一项复杂的系统工程,不仅仅是解决技术上的问题,还包括安全保障各个环节的管理和组织。其主要目的是通过档案信息安全管理体系、档案信息安全技术体系等的有效建设、综合应用,技术管理双管齐下,让档案信息系统所面临的风险可控,以保障档案信息系统的稳定运行和利用效率。
2 档案信息安全保障体系的建设与思考
解决档案信息安全问题通常取决于两个因素,一是技术,二是管理。技术手段是保障信息安全的重要环节,但要发挥安全技术应有的作用,控制信息安全风险,还必须有适当的安全管理模式做支持。
2.1 档案信息安全技术保障体系
档案信息安全技术保障体系顾名思义,就是从技术上来保障档案信息的安全。为了满足信息安全需要,降低信息系统所面临的众多风险,通常就是直接采用各种相关的技术产品和技术服务,来解决对应的信息安全问题。档案信息安全技术保障体系主要包括以下几方面:
2.1.1 物理安全技术
物理安全问题是档案信息安全中最为基本的问题。物理安全主要指环境安全、设备安全以及存储介质安全。简单来说,就是防火、防水、防雷、防震、防鼠、防电磁辐射以及防人为破坏等等。可以依据众多国家标准,采取相应的技术手段来保障物理安全。
2.1.2 系统安全技术
作为对档案信息的收集、管理、保存、利用等环节提供支持的技术系统,在基础环境、硬件的基础上,主要由软件、网络和数据等相关信息技术组成。系统安全技术自然主要针对这三方面。
(1)软件安全:软件是信息系统的重要组成部分,是保证系统正常运行和有效应用的主要因素和手段,包括操作系统软件安全和应用系统软件安全,涉及软件的安全开发、安装、升级以及软件加密和安全性能测试等技术。
(2)网络安全:主要指对网络系统中的软硬件以及网络数据资源等的安全保护。具体技术包括:网络结构优化、物理隔离、防火墙、网络监控等等。
(3)数据安全:数据是信息系统的中心,数据安全是档案信息安全保护的核心内容,包括数据加密、数据安全存储、数据备份与恢复、数据库安全、云数据安全等保障技术。
档案信息系统的正常运行和有效利用,除了上述物理和系统安全技术的保障之外,还需要相应的运行安全技术。通过访问控制、身份认证、秘钥管理、审计跟踪、病毒防护、入侵告警与系统恢复等技术,以确保档案信息系统运行稳定可靠。如今信息技术与档案信息安全的关系已越来越密切。因此,需要关注信息技术的深度挖掘与应用,加档案安全的科学思考与研究,为档案信息安全保障体系提供必要的理论支撑和技术保障。
2.2 档案信息安全管理保障体系
常言道:三分技术,七分管理。档案信息安全管理保障体系是对档案信息安全技术保障体系的有力支持。有统计数据显示,大多数信息被盗、信息泄密来源于单位内部,大部分计算机安全出现问题来源于系统内部,这些情况的发生主要在于人员思想意识麻痹和安全管理体制不完善。因此,信息安全技术系统搭建之后,还需要结合有效的信息安全管理手段,两者相辅相成,贯彻落实于档案信息安全建设的各个环节,才能保障档案信息安全的稳定性和可控性等。
2.2.1 建立健全档案信息安全管理制度
为了有效地把档案信息的安全管理和档案信息工作落到实处,必须要有配套的安全管理制度。首先要进行统筹规划,在“收、管、存、用”等环节,制定合理的、完备的档案信息安全管理策略。其次要设立档案信息安全管理部门,负责加强档案的信息安全和保密管理,保障档案信息系统各个层面的运行安全。
最后是建立健全各种规章制度,如安全防范责任制度、重要数据及文件管理制度、系统操作规程、备份制度及应急预案等等。只有在制度上约束和规范安全工作,逐步强化安全管理,做好预防工作,才能把各种危害抑制到最小限度,使档案信息系统整体安全性能达到最优化。
2.2.2 加强人员档案信息安全培训提高安全意识
人,是档案信息安全保障体系的核心,是档案信息系统的拥有者、管理者和使用者。要培养优秀的专业档案信息人员,加快档案信息安全管理的队伍建设,必须加强有关人员的档案信息安全意识,并针对不同层次的人员进行相应的培训服务,内容包括安全技能、安全知识等的各个方面,如安全策略培训、安全意识培训、安全管理培训、安全技术培训等等。只有提高人员的安全意识和素质,档案信息安全保障体系工作才可以真正落实。
2.2.3 制定档案信息安全标准规范
构建档案信息安全保障体系,还必须参照国内相关法律法规、行业标准规范,遵循业界惯例,并结合自身实际情况。目前国家档案局已编制《档案信息系统安全等级保护定级工作指南》以指导省级及以上档案信息系统安全等级保护的定级工作,还有《数字档案馆建设指南》、《数字档案室建设指南》等等。但是我国的档案信息安全保障体系建设还处于初级阶段,相比而言关于信息安全保障体系的研究更早标准更多,因此在档案信息安全保障体系实施过程中可以借鉴和参考国际国内信息安全保障体系的一些标准规范。只有制定科学的、有效的档案信息安全标准和规范,才能更好地指导档案信息安全管理工作,减少安全保障体系构建过程中不必要的重复和盲目性,使之系统化、统一化,从而规范和保障档案信息安全。
3 结语
综上所述,在档案信息化建设过程中,其信息安全保障体系的建设是必不可少的环节,对促进档案信息化建设的推进起到十分重要的作用。因此,在档案信息安全保障体系建设中,要引进先进的档案信息安全技术,建立健全相关管理体系制度,并加强档案工作者的安全意识,从而保障档案信息的安全,促进档案事业的健康发展。
参考文献
篇9
在现代化的网络经济时代中,档案信息已经实现了网络上的运行与传播,满足资源的共享要求。而因为网络的社会化、国际化以及开放性等特点,使得网络信息存在客观上的被窃取、泄露以及假冒等问题,再加上计算机犯罪和病毒传播等危险,就很容易威胁到档案信息的安全,尤其是对于涉密档案信息而言,更为严重。因为档案信息本身的特殊性,一旦出现档案信息泄露,就会造成难以弥补的损失,甚至对社会稳定以及国家的安全造成直接的危险。
针对涉密档案信息安全如何进行保障,就成为计算机网络需要面临的技术难题之一,也是档案界需要重点考虑的问题之一。因为涉密档案信息网络需要实现其保密,就需要通过物理隔离的方法,处理、传递与存储涉密档案信息的计算机,不允许同国际互联网等相互的连接。另外,通过加密来实现涉密档案信息的保密、安全传输等,也需要让系统区别不同的利用对象,对于窃密者拥有一定的抵抗能力,这样才可以避免系统的涉密信息被破解。在现代的高科技条件下,“网络小偷”可谓是无处不在。就目前的发展现状来看,我国的信息与网络安全防护能力整体偏弱,还存在一定的隐患与漏洞。档案部门应该同相关联的部门彼此的配合,强化信息安全方面的防范,做好关键技术的公关,不断创新技术,发展自主的软件产业,这样才有利于涉密档案信息的安全性和可靠性提升,拥有最佳的技术保障。
2.实现信息安全保障,提供“软因素”保障
针对涉密档案信息安全保障,在“软因素”这一方面,主要是考虑到档案信息的管控、特定的管理地点以及保密等级区分。
2.1 由专人管控涉密档案信息
在对涉密档案信息管理的实践证明,需要由专人来管控涉密档案信息,这笔经常换人的管理要可靠与安全得多。在专人管控之前,需要制定相互的制约制度,并且在管控团队的内部建立出相互监督的机制。在上级管理的基础上,增设评级管理,这样才可以让涉密档案信息被各种权力相互的交织,并且形成责任链,这样对于涉密档案信息安全系数的提高有着极大的帮助作用。在涉密档案信息管理人员政治可靠与道德可靠保障的前提下,还需要做好定期和不定期的培训工作,确保涉密档案管理人员能够利用现代化的信息技术来进行档案安全管理。
2.2 特定地点管理涉密档案信息
不断的实践证明,想要做好保密处理,最大限度地保证涉密档案信息管理地点的稳定性,也是不可缺少的一项工作。因为,在更换地方的过程中,一定会涉及到大量细节方面的工作,这样对于工作质量和工作效率的要求偏高。需要在很短的时间内处理细节方面的工作,同时还要确保高质量,这样的工作难度较大,再加上涉密信息安全保护属于一项整体性的工作,不同的细节之处都是彼此紧扣,一旦牵一发就会动全身,任何一个环节出现问题,就会破坏整体工作的质量。所以,需要考虑在特定的地点做好涉密档案信息管理体系的设置,能不变尽量不要出现任何的变化,这一点对于涉密档案信息安全是非常关键的。
2.3 区分保密等级
涉密档案信息需要做好区别对待,不能够将其看成为同一等级来进行保密处理。这样不但无法充分保障其安全性,同时,还会将整体的保密成本加大。所以,在涉密档案信息这一块,就需要做好保密等级的区分,区分越细,其效果越好。关键点就在于根据法律法规和规章制度来制定保密待遇,通过多种技术措施的相互融合防护,一次来保证涉密档案信息的安全性。
3.实现信息安全保障,提供“硬因素”保障
对于涉密档案信息安全保护而言,有效的设备使用和技术应用是根本保障,也是重要的保护手段,在构建保密体系的工作中,不能忽视设备的使用以及技术的应用地位。在设备的使用与技术应用中,主要是考虑到下述几个方面的问题:
3.1 重视涉密档案管理地点与周边环境
这属于一道界限,对于涉密档案信息管理地点来说,就好比是皮肤,是外墙,一旦出现问题,就会影响到整体的管理。所以,通过有效的物理手段进行隔离,或者是设置化学性屏障,来阻止恶意侵入或者是不知情突犯尤为重要。分界处需要有灯火设备和自动报警设备的设置,并且做好分区的控制,采取针对性的技术来确保其安全。
3.2 合理利用计算机实现对涉密档案信息的加密处理
通过网络分段、网络安全监测、内外网隔离以及审计跟踪等网络技术,就可以实现对涉密档案信息的有效保护。通过电磁辐射屏蔽处理以及防泄处理,就可以让侵入方无法收到电磁辐射信息或者是不能破解真正包含涉密信息的资源。
4.结语
篇10
[关键词] 信息安全保障体系; 中国石油; 企业
doi : 10 . 3969 / j . issn . 1673 - 0194 . 2012 . 09. 054
[中图分类号] TP309 [文献标识码] A [文章编号] 1673 - 0194(2012)09- 0089- 02
1 信息安全保障体系概述
信息安全保障(Information Assurance,IA)来源于1996年美国国防部DoD指令5-3600.1(DoDD5-3600.1)。其发展经历了通信安全、计算机安全、信息安全直至现在的信息安全保障。内容包括保护(Protection)、检测(Detection)、响应(Response)、恢复(Recovery) 4个环节,即PDRR模型。
信息安全保障体系分为人员体系、技术体系和管理体系3个层面,人员体系包括安全人员的岗位与职责、全体工作人员的安全管理两部分。技术体系由本地计算环境、区域边界、网络基础设施及支撑性基础设施组成。管理体系包括建立完善的信息安全管理体系、构建自上而下的各级信息安全管理组织架构、制定信息安全方针与信息安全策略及完善信息安全管理制度4个板块。通过纵深防御的多层防护,多处设置保护机制,抵御通过内部或外部从多点向信息系统发起的攻击,将信息系统的安全风险降低到可以接受的程度。
2 国外信息安全保障体系建设
美国的信息化程度全球最高,在信息技术的主导权和网络上的话语权等方面占据先天优势,他们在信息安全保障体系建设以及政策支持方面也走在全球的前列。美国政府先后了一系列政策战略报告,将信息安全由“政策”、“计划”上升到“国家战略”及“国际战略”的高度。美国国土安全局是美国信息安全管理的最高权力机构,其他负责信息安全管理和执行的机构有国家安全局、联邦调查局、国防部、商务部等,主要根据相应的方针和政策结合自己部门的情况实施信息安全保障工作。
其他国家也都非常重视信息安全保障工作。构建可信的网络,建设有效的信息安全保障体系,实施切实可行的信息安全保障措施已经成为世界各国信息化发展的主要需求。信息化发展比较好的发达国家,如俄、德、日等国家都已经或正在制定自己的信息安全发展战略和发展计划,确保信息安全沿着正确的方向发展,在信息安全领域不断进行着积极有益的探索。
3 国内信息安全保障体系建设
我国信息化安全保障体系建设相对于发达国家起步较晚,2003年9月,中央提出要在5年内建设中国信息安全保障体系。2006年9月,“十一五”发展纲要提出科技“支撑发展”的重要思想,提出要提高我国信息产业核心技术自主开发能力和整体水平,初步建立有中国特色的信息安全保障体系。2007年7月20日,“全国重要信息系统安全等级保护定级工作电视电话会议”召开,标志着信息安全等级保护工作在全国范围内的开展与实施。2011年3月《我国国民经济和社会发展十二五规划纲要》明确提出加强网络与信息安全保障工作。通过一系列的文件要求,不断完善与提升我国的信息安全体系,强调信息安全的重要性。
我国信息安全保障体系建设主要包括:① 加快信息安全立法、建立信息安全法制体系,做到有法可依,有法必依。② 建立国家信息安全组织管理体系,加强国家职能,建立职能高效、职责分工明确的行政管理和业务组织体系,建立信息安全标准和评价体系。③ 建立国家信息安全技术保障体系,使用科学技术,实施安全的防护保障。④ 在技术保障体系下,建设国家信息安全保障基础设施。⑤ 建立国家信息安全经费保障体系,加大信息安全投入。⑥ 高度重视人才培养,建立信息安全人才培养机制。
我国通过近几年的努力,信息安体保障体系取得了长足发展,2002年成立了全国信息安全标准化技术委员会,不断完善信息安全标准。同时在互联网管理、信息安全测评认证、信息安全等级保护工作等方面取得了实质性进展,但CPU芯片、操作系统与数据库、网关软件仍大多依赖进口,受制于人。
4 企业信息安全保障体系建设
中国石油集团公司信息化建设在我国大型企业中处于领先地位,在国资委历年信息化评比中,都名列前茅,“十一五”期间,公司将企业信息安全保障体系建设纳入信息化整体规划中,并逐步实施。其中涉及管理类项目3个,控制类项目3个,技术类项目5个。
管理类项目包括信息安全组织完善、信息安全运行能力建设、风险评估能力建设3个项目。信息安全组织完善是指完善信息安全的决策、管理与技术服务组织,合理配置岗位并明确职责,建立完备的管理流程,为信息安全建设与运行提供组织保障。信息安全运行能力建设内容包括建立统一、完备的信息安全运行维护流程及组织IT运行维护人员信息安全技能培训,较快形成基本的信息安全运行能力。风险评估能力建设是指通过建立风险评估规范及实施团队,提高信息安全风险自评估能力和风险管理能力,强化保障体系的有效性。
信息安全控制类项目涉及信息安全制度与标准完善、基础设施安全配置规范开发、应用系统安全合规性实施3个项目。信息安全制度与标准完善包括:① 初步构建了制度和标准体系,了《信息系统安全管理办法》及系统定级实施办法。② 建立和完善了信息系统安全管理员制度,开展了信息安全培训。③ 跟踪国家信息安全等级保护政策,开展信息系统安全测评方法研究等,规范了信息系统安全管理流程,提升安全运行能力。基础设施安全配置规范开发目标是制定满足安全域和等级保护要求的信息技术基础设施安全配置规范,提高信息技术基础设施的安全防护能力。应用系统安全合规性实施是提供专业的信息安全指导与服务,支持国家等级保护、中国石油内部控制等制度的实施,使信息化建设与应用满足合规性要求。
信息安全技术类项目由身份管理与认证、网络安全域实施、桌面安全管理、系统灾难恢复、信息安全运行中心5个项目组成。身份管理与认证是指建成集中身份管理与统一认证平台,实现关键和重要系统的用户身份认证,提高用户身份管理效率,保证系统访问的安全性。网络安全域包括广域网边界防护、广域网域间与数据中心防护、广域网域内防护3项内容。广域网边界防护是指将全国各地的中国石油单位的互联网集中统一到16个区域网络中心,员工受控访问互联网资源,并最终实现实名制上网。广域网域间与数据中心防护项目指建立。区域间访问与防护标准、数据中心防护标准。广域网域内防护将分离其他网络并制定访问策略,完善域内安全监控手段和技术,规范域内防护标准。桌面安全管理项目包括防病毒、补丁分发、端点准入、后台管理、电子文档保护和信息安全等级保护综合管理6个子系统。系统灾难恢复包括:① 对数据中心机房进行了风险评估,提出了风险防范和改进措施。② 对已上线的18个信息系统进行业务影响分析,确定了灾难恢复关键指标。③ 制定整体的灾备策略和灾难恢复系统方案。信息安全运行中心旨在形成安全监控信息汇总枢纽和信息安全事件协调处理中心,提高对信息安全事件的预警和响应能力。
5 存在问题及建议
中国石油作为国资委超大型企业和能源工业龙头企业,集团领导和各级领导,一贯重视信息安全工作,在落实等级保护制度,加强信息安全基础设施建设,深入开展信息安全战略、策略研究等方面,都取得的丰硕成果,值得其他企业借鉴。公司在信息安全保障体系建设中还存在以下问题:
(1) 信息安全组织体系不够健全,不能较好地落实安全管理责任制。目前,部分二级单位没有独立的信息部门,更没有负责安全体系建设、运行和管理的专职机构,安全的组织保障职能分散在各个部门,兼职安全管理员有责无权的现象普遍存在,制约了中国石油信息安全保障体系建设的发展。需强制建立从上至下完善的管理体系,明确直属二级单位的信息部门建设,岗位设定、人员配备满足对信息系统管理的需求。
相关期刊
精品范文
4信息简报