论文部分内容阅读
摘 要:随着社会的快速发展,档案信息化建设也获得了巨大发展,加强档案信息化安全防范体系建设是至关重要且刻不容缓的。本文从体系建设的意义、内容、制度等方面浅析档案信息安全防范的要点。
关键词:档案信息化;安全体系;构建
一、档案信息化安全防范的对象和内容
1.档案信息化系统运行的环境。概括地讲,档案馆办公环境的安全防范,就是档案信息化系统运行环境的安全防范。人员管理、安全预警机制、安全防护内容及手段都应通盘考虑。
(1)人员管理。把对人的控制放在首要的地位。对内要严格规范员工的出入管理、着装管理等;对外的公共区域还应加强登记管理、审查管理、携带物品管理等。只有把对档案安全威胁最大的人的管理做好,其他的安全防范工作才是有意义的。
(2)安全预警。对于档案馆,日常的温湿度监控、防火监控、防盗监控就是安全预警的必要内容。一般通过安装摄像头、温湿感应探头、烟火感应探头来进行信息的捕捉;通过将探头连接至监视器、报警器等来发现和观察信息;通过安装控制机进行信息的存储,并触发响应机制。
(3)安全防护。上一步的安全预警在发现异常后,安全防护机制即相应启动。通过自动、人工或者两者混合的方式应对各种安全预警。
2.档案信息化系统运行的平台。档案信息化系统运行的平台就是指计算机平台与网络平台。这两个平台用来实现程序运行、数据存储、信息共享等功能。然而,来自这两个平台的主、客观威胁却是多种多样的,严重影响了程序和数据的稳定运行与可靠传输。计算机病毒让程序与数据时刻都受到威胁,病毒的更新和变种让普通的防毒策略一筹莫展;非法入侵让黑客越过访问权限的限制,直接在终端或通讯线路上截获信息,甚至篡改信息;操作系统本身的不稳定因素及漏洞,让不可预知的危险潜伏下来;硬件平台本身的寿命与质量让信息资源可能面临灭顶之灾。
3.档案信息化系统运行的过程。档案信息化系统主要是进行数据采集、存储、加工、分析、利用等工作。不同岗位上的人在信息化流程中所扮演的角色是不尽相同的。一个好的档案信息管理系统能够按不同的角色设置不同的权限和流程,以实现不同的业务操作;能够依靠先进的传输技术保证信息即使被截获也不能被识别;能够更好地融合操作系统、数据库系统,让系统运行更加稳定、可靠。因此,档案信息管理系统的设计、研发过程要特别受到重视,特别要注意上面提到的好的系统要具备的三大特征。
二、安全防范体系的建设
1.网络安全防范体系建设。传统信息安全技术都集中在系统本身的加固和防护上,如采用安全级别高的操作系统与数据库,在网络的出口处配置防火墙,在信息传输和存储方面采用加密技术,使用集中的身份认证产品等。传统信息系统安全模型是针对单机系统环境而制定的,对网络环境安全并不能很好地描述,并且對动态的安全威胁、系统的脆弱性没有应对措施,是静态安全模型。随着网络的深入发展,它已无法对动态变化的互联网安全问题作出完全反应。
2.数据安全防范体系建设。数据备份是预防灾难、保证数据安全的一种必要手段。随着对网络的依赖性越来越强和网络数据量的增加,企业对数据备份的要求也在不断提高。许多数据密集型的网络,重要数据往往存储在多个网络节点上,如科研、设计、媒体编辑等,除了对中心服务器进行备份之外,还需要对其他服务器或工作站进行备份,有的甚至要对整个网络进行数据备份,即全网备份,以保证数据安全。
3.计算机系统安全防范体系建设。
(1)网络层:网络系统安全包括什么人对什么内容具有访问权,查明任何非法访问或偶然访问的入侵者,保证只有授权许可的通信才可以在客户机和服务器之间建立连接,而且要保证正在传输当中的数据不能被读取和改变。
(2)应用级:应用程序和服务安全是指对应用程序和服务的口令和授权的管理,大多数应用程序和服务都是靠口令保护的,经常变化口令是安全方案中必不可少的手段,而授权则是用来规定用户对系统的访问权限。
(3)系統级:服务器安全包括需要控制谁能访问服务器或访问者可以干些什么,防止病毒和特洛伊木马的侵入,检测有意或偶然闯入系统的不速之客。风险评估被用来检查系统安全配置的缺陷,发现安全漏洞。政策审查用来监视系统是否严格执行了安全政策。
(4)用户级:用户安全是管理用户账户,在用户获得访问特权时设置用户功能,或在他们的访问特权不再有效时限制用户账户,是安全的关键。身份验证用来确保用户的登录身份与其真实身份相符,并对其提供单点注册,以解决多个口令的问题。
(5)数据级:数据安全是保持数据的保密性和完整性,保证非法登陆者或好奇者无法阅读它,
不论是在储存状态还是在传递当中。数据完整性是指防止非法或偶然的数据改动。
(6)管理制度:一套完整的业务系统的安全解决方案必须配备相应的管理制度。因为完美的安全系统是建立在用户特定的管理运行模式中的,没有严格的管理规范和管理制度,再完美的设计和昂贵的设备都没有可信的安全度。
4.病毒防护体系建设。反病毒软件(A nti virus)与计算机病毒的斗争可称为是“道”与“魔”之间的较量。目前,越来越多的计算机病毒具备了黑客攻击的能力,可以利用系统的漏洞,绕过传统的病毒检查机制进入目标系统,并且在“中毒”的系统中建立有害的服务,搜索网络中的新目标主动发动攻击,导致全网络范围的性能下降。面对这种局面,传统的杀毒软件在这种环境中已经不能满足需求,对抗新的网络病毒必须采取主动的信息安全保障措施。
5.安全防范管理制度建设。管理制度是辅助各项技术工作开展的前提与基础。安全防范管理制度涉及:①网络安全管理制度;②机房安全管理制度;③计算机安全管理制度;④信息系统安全管理制度;⑤病毒防治管理制度;⑥常用软件系统管理制度。
三、安全评估体系 1.信息系统应用状况评估。
(1)信息系统环境评估:所涉及的内容有网络系统构架评估、系统性能和容量评估、系统安全评估、数据备份及存储评估、信息安全评估、基础操作系统和数据库平台评估等内容,
其中系统安全评估已被越来越多的企业所关注。
(2)信息系统应用现状评估:信息系统应用现状评估主要了解企业现有的信息系统的应用情况,所涉及的内容有:企业现在应用了哪些系统,覆盖企业哪些部门;是否充分发挥现有信息系统的所有功能;是否能满足企业业务发展的要求,还需要进行哪些方面的需求和改进;是否能满足企业上、下游客户的要求等内容。
(3)信息系统的集成度评估:信息系统集成度评估主要分为系统内部集成度评估和系统间集成度评估两方面的内容。信息系统内部的集成度评估,主要从“数据和流程”方面评估系统模块与模块之间是否实现了紧密的集成。系统间集成度的评估主要是评估系统与系统之间是如何实现集成的,如果是基于数据的集成,是单向集成还是双向集成等方面的内容。
(4)信息资源评估:信息系统应用最终表现在信息资源的有效利用上。因此,在对信息系统进行评估时,对信息资源本身的评估显得非常重要,也是工作量相对较大的部分。主要涉及编码体系评估和信息来源、处理及共享情况评估,通过评估旨在弄清信息资源的数量和质量,分析信息资源的规范化和标准化程度。
(5)人力资源评估:人力资源评估主要包含信息化的组织构架、人员组成情况及责、权、利的情况评估和使用人员的培训情况、业务水平、对系统的熟练程度评估两大方面。通过评估,一方面可以结合实际情况提出合理的IT组织构架、人员组成方案及配套的责、权、利,从组织上保证企业信息化有效推進;另一方面可根据员工对信息化的理解和使用情况,提出有针对性的培训计划,进一步推进现有系统的深化应用。
(6)信息化相關制度评估:信息化相关制度评估主要是对信息化建设相关规范和制度的建立及执行情况进行评估。目前,很多信息系统都在应用,但是与之相配套的制度没有建立起来,或制度虽然建立,但停留于形式,不能深入地执行。通过评估将信息化制度与管理紧密集合,尤其是同绩效考核相结合,保证制度的严肃性和实施的有效性,从而推动信息系统的深化应用。
2.信息化实施效益评估。信息化实施效果的评估主要是从定性和定量角度,对信息化建设带来的直接与间接效益、短期与长期效益进行评估。目前,不少机构借助“平衡记分卡”的方法来对信息化实施效益进行评估,取得了很好的成绩,但由于信息化是一个非常复杂的系统,所涉及的面很广,因此而产生的效益也非常复杂,要将信息化实施的效果进行很好的评估还需要相关的专家进行深入、仔细的研究。
3.信息化实施经验、教训总结。通过对项目实施过程的总结和分析,吸取教训和总结经验,为以后实施的信息化项目提供依据,避免“摔倒在同一个地方”。对比评估是站在外部,通过与同行进行对比分析和与非同行进行对比分析,找出自身息化建设存在的差距,明确下一步工作的方向和目标。
总之,信息化评估在信息化建设过程中起到了承上启下的作用,既是信息化阶段项目的结束,又是新阶段的开始。通过进行信息化建设现状评估,可以从整体上把握目前自身的信息化程度和水平,从而确定哪些方面需要改进,需要进一步实施哪些子系统,哪些子系统需要集成,以确保现有信息系统投资的有效性,明确下一阶段信息化实施的目标,为新一轮的信息化规划及实施工作打下良好的基础。
本文是河南省教育厅2016年度人文社会科学研究一般项目阶段性成果。项目编号:2016-GH-171。
关键词:档案信息化;安全体系;构建
一、档案信息化安全防范的对象和内容
1.档案信息化系统运行的环境。概括地讲,档案馆办公环境的安全防范,就是档案信息化系统运行环境的安全防范。人员管理、安全预警机制、安全防护内容及手段都应通盘考虑。
(1)人员管理。把对人的控制放在首要的地位。对内要严格规范员工的出入管理、着装管理等;对外的公共区域还应加强登记管理、审查管理、携带物品管理等。只有把对档案安全威胁最大的人的管理做好,其他的安全防范工作才是有意义的。
(2)安全预警。对于档案馆,日常的温湿度监控、防火监控、防盗监控就是安全预警的必要内容。一般通过安装摄像头、温湿感应探头、烟火感应探头来进行信息的捕捉;通过将探头连接至监视器、报警器等来发现和观察信息;通过安装控制机进行信息的存储,并触发响应机制。
(3)安全防护。上一步的安全预警在发现异常后,安全防护机制即相应启动。通过自动、人工或者两者混合的方式应对各种安全预警。
2.档案信息化系统运行的平台。档案信息化系统运行的平台就是指计算机平台与网络平台。这两个平台用来实现程序运行、数据存储、信息共享等功能。然而,来自这两个平台的主、客观威胁却是多种多样的,严重影响了程序和数据的稳定运行与可靠传输。计算机病毒让程序与数据时刻都受到威胁,病毒的更新和变种让普通的防毒策略一筹莫展;非法入侵让黑客越过访问权限的限制,直接在终端或通讯线路上截获信息,甚至篡改信息;操作系统本身的不稳定因素及漏洞,让不可预知的危险潜伏下来;硬件平台本身的寿命与质量让信息资源可能面临灭顶之灾。
3.档案信息化系统运行的过程。档案信息化系统主要是进行数据采集、存储、加工、分析、利用等工作。不同岗位上的人在信息化流程中所扮演的角色是不尽相同的。一个好的档案信息管理系统能够按不同的角色设置不同的权限和流程,以实现不同的业务操作;能够依靠先进的传输技术保证信息即使被截获也不能被识别;能够更好地融合操作系统、数据库系统,让系统运行更加稳定、可靠。因此,档案信息管理系统的设计、研发过程要特别受到重视,特别要注意上面提到的好的系统要具备的三大特征。
二、安全防范体系的建设
1.网络安全防范体系建设。传统信息安全技术都集中在系统本身的加固和防护上,如采用安全级别高的操作系统与数据库,在网络的出口处配置防火墙,在信息传输和存储方面采用加密技术,使用集中的身份认证产品等。传统信息系统安全模型是针对单机系统环境而制定的,对网络环境安全并不能很好地描述,并且對动态的安全威胁、系统的脆弱性没有应对措施,是静态安全模型。随着网络的深入发展,它已无法对动态变化的互联网安全问题作出完全反应。
2.数据安全防范体系建设。数据备份是预防灾难、保证数据安全的一种必要手段。随着对网络的依赖性越来越强和网络数据量的增加,企业对数据备份的要求也在不断提高。许多数据密集型的网络,重要数据往往存储在多个网络节点上,如科研、设计、媒体编辑等,除了对中心服务器进行备份之外,还需要对其他服务器或工作站进行备份,有的甚至要对整个网络进行数据备份,即全网备份,以保证数据安全。
3.计算机系统安全防范体系建设。
(1)网络层:网络系统安全包括什么人对什么内容具有访问权,查明任何非法访问或偶然访问的入侵者,保证只有授权许可的通信才可以在客户机和服务器之间建立连接,而且要保证正在传输当中的数据不能被读取和改变。
(2)应用级:应用程序和服务安全是指对应用程序和服务的口令和授权的管理,大多数应用程序和服务都是靠口令保护的,经常变化口令是安全方案中必不可少的手段,而授权则是用来规定用户对系统的访问权限。
(3)系統级:服务器安全包括需要控制谁能访问服务器或访问者可以干些什么,防止病毒和特洛伊木马的侵入,检测有意或偶然闯入系统的不速之客。风险评估被用来检查系统安全配置的缺陷,发现安全漏洞。政策审查用来监视系统是否严格执行了安全政策。
(4)用户级:用户安全是管理用户账户,在用户获得访问特权时设置用户功能,或在他们的访问特权不再有效时限制用户账户,是安全的关键。身份验证用来确保用户的登录身份与其真实身份相符,并对其提供单点注册,以解决多个口令的问题。
(5)数据级:数据安全是保持数据的保密性和完整性,保证非法登陆者或好奇者无法阅读它,
不论是在储存状态还是在传递当中。数据完整性是指防止非法或偶然的数据改动。
(6)管理制度:一套完整的业务系统的安全解决方案必须配备相应的管理制度。因为完美的安全系统是建立在用户特定的管理运行模式中的,没有严格的管理规范和管理制度,再完美的设计和昂贵的设备都没有可信的安全度。
4.病毒防护体系建设。反病毒软件(A nti virus)与计算机病毒的斗争可称为是“道”与“魔”之间的较量。目前,越来越多的计算机病毒具备了黑客攻击的能力,可以利用系统的漏洞,绕过传统的病毒检查机制进入目标系统,并且在“中毒”的系统中建立有害的服务,搜索网络中的新目标主动发动攻击,导致全网络范围的性能下降。面对这种局面,传统的杀毒软件在这种环境中已经不能满足需求,对抗新的网络病毒必须采取主动的信息安全保障措施。
5.安全防范管理制度建设。管理制度是辅助各项技术工作开展的前提与基础。安全防范管理制度涉及:①网络安全管理制度;②机房安全管理制度;③计算机安全管理制度;④信息系统安全管理制度;⑤病毒防治管理制度;⑥常用软件系统管理制度。
三、安全评估体系 1.信息系统应用状况评估。
(1)信息系统环境评估:所涉及的内容有网络系统构架评估、系统性能和容量评估、系统安全评估、数据备份及存储评估、信息安全评估、基础操作系统和数据库平台评估等内容,
其中系统安全评估已被越来越多的企业所关注。
(2)信息系统应用现状评估:信息系统应用现状评估主要了解企业现有的信息系统的应用情况,所涉及的内容有:企业现在应用了哪些系统,覆盖企业哪些部门;是否充分发挥现有信息系统的所有功能;是否能满足企业业务发展的要求,还需要进行哪些方面的需求和改进;是否能满足企业上、下游客户的要求等内容。
(3)信息系统的集成度评估:信息系统集成度评估主要分为系统内部集成度评估和系统间集成度评估两方面的内容。信息系统内部的集成度评估,主要从“数据和流程”方面评估系统模块与模块之间是否实现了紧密的集成。系统间集成度的评估主要是评估系统与系统之间是如何实现集成的,如果是基于数据的集成,是单向集成还是双向集成等方面的内容。
(4)信息资源评估:信息系统应用最终表现在信息资源的有效利用上。因此,在对信息系统进行评估时,对信息资源本身的评估显得非常重要,也是工作量相对较大的部分。主要涉及编码体系评估和信息来源、处理及共享情况评估,通过评估旨在弄清信息资源的数量和质量,分析信息资源的规范化和标准化程度。
(5)人力资源评估:人力资源评估主要包含信息化的组织构架、人员组成情况及责、权、利的情况评估和使用人员的培训情况、业务水平、对系统的熟练程度评估两大方面。通过评估,一方面可以结合实际情况提出合理的IT组织构架、人员组成方案及配套的责、权、利,从组织上保证企业信息化有效推進;另一方面可根据员工对信息化的理解和使用情况,提出有针对性的培训计划,进一步推进现有系统的深化应用。
(6)信息化相關制度评估:信息化相关制度评估主要是对信息化建设相关规范和制度的建立及执行情况进行评估。目前,很多信息系统都在应用,但是与之相配套的制度没有建立起来,或制度虽然建立,但停留于形式,不能深入地执行。通过评估将信息化制度与管理紧密集合,尤其是同绩效考核相结合,保证制度的严肃性和实施的有效性,从而推动信息系统的深化应用。
2.信息化实施效益评估。信息化实施效果的评估主要是从定性和定量角度,对信息化建设带来的直接与间接效益、短期与长期效益进行评估。目前,不少机构借助“平衡记分卡”的方法来对信息化实施效益进行评估,取得了很好的成绩,但由于信息化是一个非常复杂的系统,所涉及的面很广,因此而产生的效益也非常复杂,要将信息化实施的效果进行很好的评估还需要相关的专家进行深入、仔细的研究。
3.信息化实施经验、教训总结。通过对项目实施过程的总结和分析,吸取教训和总结经验,为以后实施的信息化项目提供依据,避免“摔倒在同一个地方”。对比评估是站在外部,通过与同行进行对比分析和与非同行进行对比分析,找出自身息化建设存在的差距,明确下一步工作的方向和目标。
总之,信息化评估在信息化建设过程中起到了承上启下的作用,既是信息化阶段项目的结束,又是新阶段的开始。通过进行信息化建设现状评估,可以从整体上把握目前自身的信息化程度和水平,从而确定哪些方面需要改进,需要进一步实施哪些子系统,哪些子系统需要集成,以确保现有信息系统投资的有效性,明确下一阶段信息化实施的目标,为新一轮的信息化规划及实施工作打下良好的基础。
本文是河南省教育厅2016年度人文社会科学研究一般项目阶段性成果。项目编号:2016-GH-171。