HI,欢迎来到学术之家股权代码  102064
0
首页 精品范文 安全保障体系建设

安全保障体系建设

时间:2023-06-05 10:17:02

开篇:写作不仅是一种记录,更是一种创造,它让我们能够捕捉那些稍纵即逝的灵感,将它们永久地定格在纸上。下面是小编精心整理的12篇安全保障体系建设,希望这些内容能成为您创作过程中的良师益友,陪伴您不断探索和进步。

安全保障体系建设

第1篇

一、加强档案安全保障体系建设的重要性

(一)档案安全保护被赋予了新的内涵,可读性(有效性)成为继真实性、完整性、保密性之后数字档案保护的应有之义。不能为人直接识读的数字档案具有对其生存环境的依赖性,如何确保不同生成环境下档案信息的可读、可用,尤其是在不同技术平台上生成的数字档案的“透明”共享,是当下档案保护的一大难题;同时,技术的推陈出新,计算机软硬件环境的频繁升级,意味着数字档案在其漫长的生命历程中必须不断迁移其技术环境,由此带来了迁移过程的安全性以及迁移后数字档案的有效性问题。

(二)数字档案保护遭遇了前所未有的挑战。一方面,如何维护数字档案的真实、完整,实现数字档案的长久保管成为一个世界性难题。InterPARES项目、美国的ERA10多年致力于这一领域的研究,但至今仍未获得理想的结果。另一方面,数字网络环境下,档案信息置身于一个充满更多威胁、更大风险的利用空间,黑客攻击、网络窃听、程序漏洞、病毒危害、操作失误等均可能造成档案的失密、篡改和非法利用,因而必须采取更为严密、可靠的安全保护措施。

(三)近年来频发的自然与人为灾害,提升了社会的档案灾备意识。档案作为社会活动的记忆和人类知识的储备,在实体资源遭受毁坏时,可以帮助人们及时复原再造,恢复生产,但若档案自身遭受严重损毁,则造成的损失将是毁灭性的。汶川、玉树地震、舟曲泥石流、南方洪涝灾害等给档案界敲响了防灾容灾的警钟,风险评估、应急灾备已成为抵御灾害侵袭,保障档案安全的必要对策。

(四)国内信息安全的严峻局势,对档案信息及其管理系统的安全构成很大威胁。在信息化发展过程中,由于核心技术仍受制于西方,我国的信息安全形势十分严峻,曾有官方报告指出,国内90%的信息设施存在安全隐患。档案信息因其特殊价值而有可能成为国内外敌对势力窃取的目标,国际舞台上不断上演的间谍门事件提醒我们,必须重视档案信息及其管理系统的安全性。

二、档案安全保障体系建设的现状

(一)档案信息化的有关法律、法规和制度不够健全。目前,我国在档案信息化建设过程中还没有专门的法律、法规来对档案信息化建设进行保护,仅仅依靠通用的计算机法律、法规来维护档案信息化建设的安全。这对那些刻意攻击、窃取、毁坏档案信息的破坏分子来说实在是微不足道,一旦他们得逞,势必给我国的档案事业发展造成不可估量的损失。

(二)档案信息化网络建设中信息安全技术应用不够全面。我国的档案信息化网络建设目前处于内网、专网和外网同时使用阶段,随着信息技术的不断发展,信息竞争、黑客攻击等人为恶意破坏因素的存在,档案信息化网络建设中信息安全技术应用不够全面,使得档案信息系统变得非常脆弱,易受来自各方面的攻击。从事黑客的人或组织可能会不断地寻找档案网络系统上的的漏洞,以潜入档案信息系统。一旦网络被人攻破,机密的数据、资料可能会被盗取,网络可能会被损坏,给我们的工作带来难以预测的损失。另外,世界上每天都有新的计算机病毒产生,同样会威胁档案网络的安全。

(三)各级档案部门的安全管理体制不够完善。有资料表明,大部分的计算机安全保密问题来自其系统内部,世界上70%信息被盗和泄密来自于内部,这主要是因为人员麻痹和安全管理体制不完善所造成的。

三、完善档案安全保障体系的得力措施

(一)抓好宣传,增强意识。要建立完善档案安全体系建设,必须切实加强档案安全的宣传教育,增强全社会的档案意识,将档案保护意识融入档案的价值论中,提高全社会的档案保护意识,营造科学发展的档案安全保护环境;要依托档案业务活动和围绕重大安全事件、热点问题策划宣传活动,不断丰富档案宣传的内涵;要改变档案安全宣传只在档案行业内部宣传的现状,重视对外宣传工作,增强全社会对档案安全的重视和支持;要不断拓展档案宣传的范围与形式,通过多种途径档案安全信息,举办纪念座谈会,邀请领导撰写文章或发表电视电话讲话,制作广播电视专题节目等多种形式,针对不同层面的人群进行宣传,有效地扩大宣传的受众面,不断扩大档案宣传的影响与实效。

(二)领导重视,完善制度。档案安全是档案工作的重中之重,必须积极争取领导的高度重视与支持,始终把档案安全工作作为大事、要事来抓,牢固树立“责任重于泰山,防范高于一切”的工作理念;要落实好档案安全领导负责制,落实好档案管理安全责任制,坚持领导查库制度,将档案安全工作落到实处,要把节假日值班保卫制度落实到人,认真巡查做好记录,并对案卷的数量、质量、霉变情况进行检查;要保证档案管理工作所需人力、物力、财力,配备德才兼备的档案人员,不断改善档案保管条件和环境,添置档案管理必需的设施设备,对已配备设施设备,如档案柜、防盗门窗、电源电线等经常进行完好率检查,并安排专人落实、做好档案库房的“八防”和电子、纸质等各种档案的保密工作,切实保障档案安全工作的顺利开展。

第2篇

[关键词]高校档案 安全 管理

[中图分类号]G271 [文献标识码]A [文章编号]1009-5349(2014)11-0040-01

近几年以来,由于多数高校档案馆的管理意识淡薄,管理人员的责任心不强以及相关的管理经费投入不到位,导致防范措施不到位等,造成高校档案实体安全和信息安全方面存在不同的隐患。

一、当前高校档案管理中存在的问题

(一)设施设备不到位

当前,在我国部分高校中对于档案馆的管理和投入还得不到高度的重视。很多高校的档案馆的设施不到位,如没有安装灭火器、空调以及相关的除尘设备,存放书记的档案柜也是破旧不堪,已经不能承受书籍的重量了。档案馆的防盗设施、防火设施也不完备,存在安全隐患。

(二)档案安全制度不健全

在高校档案管理中所有的资料都是纸质品,纸质的产品有其自身的弊端,这些档案都怕遭受水以及虫子、粉尘、光线等因素的破坏,为了保证档案的安全性,应该采取相应的措施进行保护。这样就需要档案馆建立健全管理制度,要做到每件事情都是有章可循,每个管理都是有制度可依,将责任落实到个人。但是有些高校的档案管理制度还是存在一些缺陷,没有建立完整的管理体系,缺乏检查的力度和有效的制度执行保障。

(三)查阅利用监管不力

由于档案馆的管理人员责任心不强,导致档案馆的档案出现丢失、破损等现象。有些档案管理人员的素质不是很高,安全防范意识相对比较淡薄,监管执行力度也不够,对于破环档案书籍的行为视而不见,缺乏管理意识,导致档案的破损。因此档案室的监管不到位,会带来一系列的麻烦。

(四)档案安全意识淡薄

在高校档案管理工作中也存在着安全意识淡薄、防范意识缺失的问题,有些高校不注重对从事档案管理人员进行保密教育,导致他们保密观念淡薄,保密意识欠缺,造成泄密事件时有发生,给国家、学校造成无法挽回的损失。

(五)安全管理措施亟待加强

部分高校档案馆的防护措施不到位,在一些高校的档案管理缺乏安全监控设施,在学生进行信息输入的时候,有可能导致数据信息的丢失和泄漏。档案室的数据管理系统流于形式,起不到任何的防护作用。由于档案室的疏于管理,多数高校档案室的数据库没有备份以及相关的数据保护措施,档案馆的管理制度也是比较松散。没有对比较重要的档案和文件进行备份,如果档案馆出现事故,导致文件被损坏或者档案馆的系统被病毒攻击,则会导致重要的数据全部丢失,造成的损失是不可估量的。

二、高校档案管理措施思考

(一)完善档案管理制度

要根据实际情况制定高校档案安全工作的长期规划,积极争取领导的重视和支持,建立完善的档案工作制度,联系实际情况,制定《档案库房管理制度》《档案统计制度》《档案保管保密制度》《档案鉴定销毁制度》等相关制度。我们不仅要建立管理制度,更主要的是执行和落实相关的管理制度,保证相关的管理制度落到实处,每个责任都要落实到人,在落实责任的同时高校也应该加大档案馆的资金投入,保证档案馆的管理需要的人力、财力,并且安排责任心比较强的管理人员进行档案工作的管理,不断改善档案保管条件和环境,切实保障档案安全工作的顺利开展。

(二)夯实库房基础设施建设

档案库房是高校档案安全管理的基础,档案库房建筑设计要按照《档案馆建筑设计规范》的要求,避开洗手间、锅炉房、配电间、燃气管道和有放射性物质的地方,避免楼顶和西晒,严禁用地下室做档案库房。档案库房要达到“九防”要求,要配备相应的防盗报警器、温湿度记录仪、灭火器、空调机、去湿机、消毒灭菌机、吸尘器、消磁柜等档案保护设备。还要建立恒温恒湿、防盗和防火报警、电视监控等档案库房安全保护智能化综合管理系统,做到未雨绸缪,防患于未然。

(三)加强电子档案及网络安全保密管理

首先,计算机应当对借出的档案进行登记并做好标识工作,对于档案馆的计算机系统应该进行的是实时防护,并在计算机的系统中设置防火墙,避免病毒的进入和攻击,造成数据库的信息丢失或者损坏。其次,对于比较机密的档案应该设置专门的存储系统,严禁非法复制、记录、存储地名信息。最后,单位应当按照分级保护的要求,建立档案信息系统设施,设备安全配置和审计制度,严格账户、口令管理,安装病毒防护软件并定期升级。

【参考文献】

[1]林生.论高校档案安全保障体系建设[J].合肥工业大学学报(社会科学版),2012(4).

第3篇

改革开放后,浙江经济高速发展,但同时环境污染和生态恶化也给浙江敲醒警钟。2002年6月,浙江省第十一次党代会正式提出建设“绿色浙江”的战略目标,同年出台《浙江可持续发展规划纲要》;2003年,召开全省生态省建设动员大会,制定实施《浙江省生态省建设规划纲要》,正式实施生态省建设;2004年,启动“811环境整治行动”(水系及运河、平原河网,11个省级环境保护重点监管区),2005年,又启动“发展循环经济991行动计划”(9大重点领域、9个一批示范工程和100个左右重点项目);2008年,又启动“811”新三年行动计划,着力推进污染减排和重点区域环境整治。“十一五”以来,浙江省全面完成两轮“811”环境整治行动任务,水系运河和主要湖库地表水环境功能区水质达标率达73.7%,比2005年提高18.1个百分点;完成全省化学需氧量、二氧化硫减排任务,能源利用水平和生态环境综合指数居全国前列。2010年7月,浙江省出台《关于推进生态文明建设的决定》,提出坚持生态省建设方略、走生态立省之路,打造“富饶秀美、和谐安康”的生态浙江。其中,《意见》重点提出健全生态安全保障体系,加强环境监测体系建设,形成比较完善的应对突发环境事件和重大生物灾害的防控体系。

案例内容

今年1月20日,浙江省出台《关于加快构建环境安全保障体系的意见》,提出要深入推进生态文明建设,保障群众健康和生态环境安全,到2015年,环境监测监控能力、环境执法监管能力、突发环境事件应急处理能力显著增强,环境信息保障水平明显提高,环保基础设施建设和环境科技支撑能力全国领先,城乡生态环境持续改善,基本形成科学、规范、高效的环境安全保障体系。

六大体系夯实环境安全基础

按照《意见》的部署,浙江省将建设与该省经济社会发展相适应的环境监测监控保障、环保基础设施工程、生态保护和修复工程、环境执法与应急保障、环境信息保障、环境科技支撑等六大环境安全保障体系。

严格政府责任考核强化保障措施

为了扎实推进环境安全保障体系建设,《意见》强调,各级各部门要落实各项政策措施,并把这项工作纳入生态省建设、“平安浙江”建设和环境保护目标责任考核。同时,要完善环境安全制度体系,坚持空间、总量、项目“三位一体”的环境准入制度,从源头保障环境安全;严格执行污染物排放标准,深入开展各类环保专项执法行动。此外,要创新体制机制,充分发挥公共财政的导向作用,加大对环境安全保障体系建设的资金支持力度,积极探索多元化的投融资机制,鼓励社会资金参与环境安全保障体系建设。特别是要进一步完善环境经济政策,深化环境资源价格改革,健全反映市场供求关系、资源稀缺程度、环境损害成本的环境资源价格机制;建立健全企业环境行为信用等级评价体系,大力实施绿色信贷、绿色保险、电力(热力)行业烟气脱硝补助等环境经济政策。

相关链接

江西“十二五”建生态安全保障体系

建设鄱阳湖生态示范区是江西“十二五”的一项很新任务。面对未来五年,最近的江西省“十二五”规划《纲要》提出,要完善生态安全保障体系,以重要生态功能区为重点,充分利用山、水、林、湿地等生态要素,构建城乡一体化、点线面结合的绿色生态屏障。大力发展循环经济和节能环保产业,实施千万吨标煤节能、农村清洁等工程,开展低碳城市试点、资源枯竭型城市转型试点,提高全省生态文明水平。根据部署,未来5年,江西省将实施12项重大生态经济基础性工程,完善生态安全保障体系。

第4篇

关键词:档案信息安全;保障体系建设;现状;方法

随着经济的发展和社会的进步,尤其是网络信息技术的快速进步,使得档案信息的管理逐渐的网络化,极大地提升了管理工作的效率与水平。但是在这种应用中,一个重要的问题产生了,即档案信息的安全问题越来越严重。因此,我们需要对于出现的问题进行认真的研究与分析工作,并且制定出相应的办法,全面建设档案信息安全保障体系,提高其应对网络安全风险的能力,推进档案信息安全保障工作全面的进步。

一、档案信息安全保障体系建设的现状

进行档案信息的安全保障工作具有非常重要的现实意义。但是从整体上而言,我国的档案信息安全保障工作在现实层面依然存在着许多的问题。具体来讲,第一,档案存放的馆舍环境有待改善。比如:我国许多的档案存放的馆舍存在着设施陈旧、缺少必要的隔热、防潮、消防等功能,使得众多的档案存放过程面临着不少的风险。第二,我国的实体档案信息管理存在着一些问题。比如:首先,保存的早期档案信息的字迹难以辨认。其次,保存的早期档案多有破损或者是管理混乱。再次,对于档案进行具体的管理中文书档案与照片档案的混合非常的严重。最后,对于保存的档案没有进行及时的通风,以至于一些档案出现了损毁的情况。第三,我国的电子档案信息保存也面临着一些风险。比如:首先,我国应用网络信息技术进行档案信息的管理时间短,对于众多的档案还没有完成应有的信息资源整合。其次,网络化的电子档案信息系统的运行功能不完善,还存在着一些问题。比如:安全系统的漏洞使得网络化的电子档案信息非常容易受到网络侵入或攻击。再次,我国没有对于网络化的电子档案信息管理制定出统一的管理规章制度,使得具体的管理工作不能有序的进行。最后,我们缺乏对于高素质、专业化网络电子档案信息管理人才的培养,使得有关工作严重的滞后[1]。

二、档案信息安全保障体系建设的方法

(一)完善实体档案管理

我们需要完善实体档案的管理工作,促进这些档案管理工作水平的提升。因此,首先,我们需要完善我国的实体档案保存馆舍的环境,对于存在问题的馆舍进行重新的修缮。其次,我们需要对于保存的实体档案进行全面的清查工作,并且制定出有效的考核方案。比如:根据档案利用效率的高低,对于保存的档案进行全面的优化排序,提升实体档案管理工作的应用效率与水平。制定出档案管理工作的中长期规划,逐步将实体档案信息向网络化电子档案信息进行转变。对于一些重点的、有应用价值的档案进行抢救性的发掘。对于一些特种载体的档案需要进行高效化的保存。改善有关的保存设施,保持有关环境的恒温、恒湿状态。同时,还需要对于保存的实体档案进行定期的消毒与清洁工作。再次,我们需要对于保存的实体档案进行有效的监督和检查工作,全面提升实体档案管理工作水平的提高。比如:制定出有效的考核制度,促进实体档案管理人员不断的提高自己的责任心与使命感,在平时的工作中尽职尽责,使我国的实体档案保存、管理工作安全、有序的进行。最后,国家与政府需要对于实体档案的管理工作给予足够的重视,投入大量的资金与技术,完善有关的管理系统,使得这项工作得到持续的进步和提升[2]。

(二)进行电子档案信息系统的安全建设

我国进行档案信息系统的安全保障工作,需要进行电子档案信息系统的安全建设工作。原因在于,电子档案信息系统的管理方式是未来我国进行档案信息建设的重要方向,也是未来我国档案信息保存的主要形式。因此,我们需要制定出有效的管理方法,全面提升我国电子档案信息系统的安全。具体来讲,第一,我国的各级档案馆需要建立档案信息化安全保障的制度,使得众多的电子档案信息管理人员严格的按照这些制度进行档案信息的管理。第二,我国的各级档案馆需要建立具有高效防护能力的防火墙与网络入侵拦截系统,对于各种信息的网络攻击与侵入行为进行有效的防护。第三,禁止有关的电子档案管理人员进行违规的外联,使得众多的电子档案得到有效的保护[3]。第四,从国家层面上讲,我国需要制定出专门的电子信息档案安全管理的法律法规,使得具体的电子档案信息安全管理工作做到有法可依、有章可循,对于具体的档案管理工作进行规范性的约束。第五,我们需要对于电子档案安全保障系统建设的技术进行创新。比如:我们需要建立起各级档案馆的“前端控制,后端归档”的管理模式,对于重要的信息进行有效的安全保障。应用网络信息技术的优势,对于保管的众多档案资源进行优化整合。对于众多档案信息管理的电子移交工作进行完善,有效的保障电子信息档案的安全,不至于出现遗失、不完整情况的出现[4]。结论:对于档案信息安全保障体系建设问题进行研究,有利于全面提升我国档案信息安全保障工作的质量与水平。

参考文献:

[1]许桂清,李映天.档案信息安全保障体系的建设与思考[J].档案学研究,2010,03:54-58.

[2]花文博.档案信息安全保障体系的建设与思考[J].广东科技,2011,10:9-10.

[3]王莉.档案信息安全保障体系的建设与思考[J].办公室业务,2014,19:65+67.

第5篇

【 关键词 】 信息安全;信息安全保障体系;国家大剧院

Exploration of Information Security Framework for National Center for the Performing Arts

Liu Zhen-yu

(National Center for the Performing Arts BeiJing 100031)

【 Abstract 】 The status of information security of National Center for the Performing Arts is explored. After that, information security problems and risks that National Center for the Performing Arts faced with are analysed. The information security framework which includes technique, management and operating is followed. The paper ends up with the elaboration of the effectiveness of the information security framework.

【 Keywords 】 information security; information security framework; national center for the performing arts

1 背景

随着信息技术的飞速发展,人类正以前所未有的速度进入以网络为主的信息时代,网络的快速发展不仅促进了人们的通信和交流,同时也带来了商业和经济模式的巨大变革。

国家大剧院是国家新建的重要文化设施,也是一处别具特色的景观胜地。作为北京市国家级标志性文化设施,国家大剧院的建设与运行体现了正在迅速崛起和复兴的中国在精神文化领域的追求,因此,依托信息化手段宣传和服务于广大文化艺术爱好者是国家大剧院电子商务网站建设的宗旨,使之成为“国家表演艺术最高殿堂、艺术普及教育的引领者、中外艺术交流最大平台、文化创意产业重要基地”。

国家大剧院网络及信息系统从2007开始逐步建设,建设初期主要满足国家大剧院演出宣传、文艺教育、演出票务、公众服务、内部办公和访问互联网的需求,官方网站电子商务平台承担着对外宣传及网上售票业务。随着国家大剧院近几年影响力和地位的不断提升以及业务的发展壮大,对信息化建设提出了更高要求,同时对信息安全的需求也越来越迫切,结合国家等级保护制度来进行安全保障建设成为国家大剧院信息化建设的有益补充。

2 现状及问题

目前国家大剧院局域网骨干带宽为千兆,双核心。已部署的安全设施,如在整个局域网的出口均部署了防火墙,内网服务器域边界部署了防火墙;在门户网站出口部署了流量控制和入侵防御设备;内部终端还广泛部署了防病毒软件,以防范计算机病毒在局域网内传播和破坏。国家大剧院正在运行的业务系统主要包括网站系统、票务系统、艺术资料管理系统、OA系统、财务系统及邮件系统等。

根据对国家大剧院信息化及信息安全现状的分析,结合国内外信息安全发展态势,发现国家大剧院面临着一些信息安全问题及风险。

假冒网站、网站挂马等安全风险。据权威统计,2011年下半年,检测新增挂马网站独立网址246万,平均每日100万人次访问此类挂马链接,新增钓鱼盗号欺诈类网站独立网址492万,共拦截10亿余次钓鱼盗号欺诈类网址,平均每日600万人次访问此类欺诈类链接。假冒网站独占鳌头的是电商网购类,而且仿冒范围不断扩散,通过国家大剧院运维人员统计观察,越来越多的黑客、病毒、不法机构和人员对国家大剧院电子商务网站系统的正常运行产生威胁,网站业务系统随时都可能遭受恶意攻击。

系统入侵或网络攻击风险。由于系统保护措施不到位,可能导致国家大剧院票务等对外网站系统的域名劫持、DDoS攻击等安全风险。同时,也可能由于软件漏洞或者安全意识单薄等造成内部邮件等信息泄露。

非授权访问风险。由于国家大剧院内部办公等信息系统边界缺乏访问控制设施,并且在网络可信接入、分辨非法访问、辨别身份伪装等方面存在着很大的缺陷,未授权者可通过网络非法访问网站及系统服务器,并进行非法读取、篡改和破坏数据等不良行为,构成对内部数据及信息系统的重大隐患。

数据安全风险。媒资库建设完成后将承载大量的媒体资料,这些有艺术价值的音像资料是国家大剧院的宝贵资产,一旦由于自然灾害、人员非法入侵、内部人员误操作等造成数据丢失损坏,将对国家大剧院造成重大损失。

媒体资源库音像资料版权风险。目前,剧院已经为视频在线传播及直播提供服务平台,然而提供的音视频服务面临版权盗用、盗链和恶意下载等问题,容易对剧院和公众利益带来损害。

内控管理风险。据权威调查报告显示,内部员工的粗心大意是企业信息安全的最大威胁,由此造成的安全事故高达78%。目前,由于国家大剧院内部员工的安全意识还相对淡薄,存在进入业务系统的登录口令设置过于简单,私自访问不安全网站,私自接入不安全设备等问题,这些都给大剧院信息系统造成了极大的安全隐患和威胁。

3 信息安全保障体系探索

3.1 总体目标

通过对国家大剧院信息安全现状、问题以及信息安全建设需求的分析,可知国家大剧院信息安全保障体系建设的总体目标是按照国家信息安全等级保护相关要求,从风险控制、技术设施、管理体制及运维服务等方面入手,基于成熟的安全技术,借鉴先进可行的管理理念,加强外御威胁防护、构建内控管理机制、强化数据保护措施,建立和完善信息安全管理体制,加强安全服务保障,设计适合国家大剧院信息化发展的安全保障体系,从而确保业务流程可控、业务状态可视,保障业务整体安全。

3.2 设计思路

针对国家大剧院安全保障目标,在信息安全保障体系设计上基于几种设计思路。

3.2.1构建网站可信机制

通过第三方网站身份诚信认证来确保网站真实性,可帮助网民判断网站的真实性。同时,基于可信证书类产品,确保系统管理用户身份的真实性。其次,借助社会力量来实现假冒网站的定位、侵权取证等服务,从而有效打击防范欺诈类网站并且协助维权。

3.2.2建设安全可靠的办公网络平台

积极推进信息安全等级保护建设,通过制定安全策略、部署安全设备,完善安全保密管理制度,加强安全运维支撑建设,从物理安全、网络安全、主机安全、应用安全、数据安全、流程安全、人员安全等多方面保障系统的安全稳定运行。

3.2.3建立网络信任服务

通过为网络管理员、网站维护人员颁发数字证书,部署网络可信接入及远程安全接入设施来构建剧院内部的网络信任服务体系,保证信息系统及媒资库资源的可靠访问,确保我院信息资源安全。

3.3 体系框架

在国家大剧院信息系统安全保障体系设计以及实现中,将在国家相关的安全政策、法规、标准、要求的指导下,制定可具体操作的安全策略,构建国家大剧院网站系统安全技术系统、安全管理体系以及安全运行体系,形成集防护、检测、评估、响应、恢复于一体的整体安全保障体系,从而实现物理安全、网络安全、主机安全、数据安全和应用安全,以满足国家大剧院网站系统全方位的安全保护需求。国家大剧院信息系统整体安全保障体系模型如图1所示。

国家大剧院信息系统整体安全保障体系模型主要由三个方面组成。

3.3.1安全技术体系

参考国家标准《信息安全技术 信息系统等级保护安全设计技术要求》按照威胁分析,将信息资产划分为若干保护对象,并按照“一个中心”管理下的“三重保护”的设计框架,构建国家大剧院信息安全技术体系保障机制和策略,为国家大剧院信息系统的运行提供安全保护环境。该环境共包括四部分:安全计算环境、安全区域边界、安全通信网络和安全管理中心。

3.3.2安全管理体系

以国家大剧院现有业务系统所服务对象为基础,建立完善的安全管理体系,建立信息安全管理机构、制定信息安全管理制度、设置信息安全管理岗位。

3.3.3安全运维服务体系

针对业务安全运行的需要,以日常巡检、咨询、评估等建立有效的运维服务机制,加强对资产管理的分析、隐患发现、策略审核考评等,不断发现平台在运行中的安全隐患,降低系统脆弱性和面临潜在的威胁带来的影响及损失,以及时对安全策略实现完善和防护措施的改进提升。

3.4 信息安全体系建设实践

国家大剧院信息安全保障工作经过长期的努力,已经初见成效。在安全体系的建设实践中,总结出几点实践经验。

3.4.1制定标准规范,奠定保障基础

信息安全保障建设的一项重要工作之一是参照国家等级保护的技术要求完成相应的合规性检查。因此,国家大剧院应据此建立适合国家大剧院的信息安全管理基线,坚持常态化管理和动态控制,达到并保持国家相关安全主管部门的安全审计要求。

3.4.2重视管理,制度先行

信息安全是一个动态发展的过程,每年随着业务发展变化而变化,同时随着信息安全技术的不断演变,都会出现新的安全防护技术的使用。经过多年实践证明,每个系统或者防护设备上线前,都必须在遵守总体防护规范的前提下,编制好具有针对性的管理要求,才有有效降低安全风险引入的可能。

3.4.3定期组织代码审计和渗透测试等系统检测

代码安全审计是通过人工分析和工具扫描的方式检验应用程序的源代码,利用大量的代码安全规则,来分析源代码中的违反规则部分,进而确定可能存在的安全漏洞和隐患。应用系统生命周期安全的从SDL实践上看,安全做的越早效果越好(但开发模式改动的成本也相对比较大),代码审计作为保证代码安全的最低低线,其作用是不可取代的。

另外,除了从代码开发过程中保证开发出安全的应用系统以外,针对已开发的系统,国家大剧院还组织第三方测试机构,从攻击者视角检测信息系统安全防护能力是否达到,是否存在成功攻入系统的途径。

4 信息安全建设意义

通过构建信息安全保障平台,保障我剧院信息系统可安全合规运行。基于国家信息安全等级保护制度要求,建设国家大剧院信息系统整体安全保障体系模型信息安全保障基础设施,制定安全策略,为国家大剧院系统提供安全可靠的运行环境。

提高国家大剧院电子票务等信息系统的安全运行平稳度。通过在信息安全技术、信息安全保密管理等多维度的体系保障建设,保障网站真实性、打击假冒网站,大大提高国家大剧院信息系统安全稳定运行的平稳度。

提高用户的安全便捷以及系统安全管理能力。通过构建可信的电子票务运营环境,为用户提供身份认证及网络信任机制,加强用户的身份、资金安全保障,并且提高系统安全管理能力。

提升安全隐患发现能力。安全隐患的发现能力是信息安全管理中的关键能力,关系到能否将风险消除在事件发生之前。通过建立入侵监测系统、防病毒系统以及定期的安全脆弱性检测等,大大提升我剧院信息系统的安全隐患发现能力。

5 结束语

建设和完善信息安全保障体系是为了保证国家大剧院的业务在今后发展过程中对信息安全建设的要求。

信息安全保障体系建设涵盖安全管理体系、安全技术体系、安全运维体系的复杂系统工程,是一项长期性的专业的细致的认为,需要以信息安全技术为基础,持续投入大量的人力和物力。为使国家大剧院建设成为国际化、现代化的大剧院提供有力的信息安全保障。

参考文献

[1] 关于大力推进信息化发展和切实保障信息安全的若干意见(国发[2012]23号).

[2] 信息安全管理实用规则(GB/T 22081-2008).

[3] 信息系统等级保护安全设计技术要求(GBT25070-2010).

[4] 信息系统安全等级保护体系框架(GA/T 708-2007).

[5] 国家大剧院电子商务网站系统安全保障方案.内部资料,2010.

[6] 国家大剧院安全服务保障方案.内部资料,2011.

第6篇

关键词:档案安全保障;指标体系;评价实施

档案安全保障体系是否有效、如何实施评估,档案安全保障体系的建设应当遵循什么原则、确定什么样的评价指标等问题,是档案安全保障体系建设过程中的重要内容,也是整个档案安全保障体系中客观因素与主观判断的相结合的问题。

1档案安全保障体系建设应当遵循的原则

对档案安全保障体系的评价评估的目的,是对档案安全保障体系的有效性进行评估。而设定评估评价应当遵循的原则是建立评价评估体系的基础。就目前的研究成果看,与档案安全、档案信息安全、信息安全、环境安全相关的评价、评估的原则在许多文献中都有论述,我们从中选取9篇有代表性的节点文献(文献目录见参考文献),采用统计归纳的方法,从中提炼出可供参考的共性原则是:

可操作性原则。“评价指标应该简单、明确、使用方便,要考虑到指标的量化及数据获得的难易程度和可靠性,尽量选取那些表征性强的、实用的、便于统计和量化的参数作为指标。评价指标必须有良好的可操作性才能保证评价值准确、快捷获得,以确保评价工作的正常进行。指标个数的多少应以能说明问题为准,同时,保证指标的公正性。”[1]

科学性原则。“科学能揭示事物发展的规律,作为人们改造世界的指南。建立电子档案信息安全指标体系,也必须反映实际以及事物的本质,反映影响电子档案信息安全状况的主要因素。只有坚持科学性原则,获得的信息才具有可靠性和客观性,评价的结果才有效。此外,指标体系的建立,还应符合国家有关信息和信息系统安全的法律和法规。”[2]

系统性原则。“在构建档案安全标准体系时,必须从系统的角度出发,综合分析档案安全管理各环节、各要素之间的关系,形成一个具有全局意义的标准体系。在这一体系中,要考虑今后标准的制定修订与已有标准的相关性、连续性和匀补性。又要确保体系内每一项标准的内容和技术前后一致,相关标准之间在内容与技术方面的一致,只有这样,才能有效地维护档案安全管理在整体上的系统性及与其他相关标准间的一致性。”[3]

动态性与稳定性相结合原则。“评价指标体系内容不能频繁变动,在一定时期内应保持相对的稳定性,这样,有利于评价的连续可操作性和可比性;同时,指标体系也不是一成不变的,应随着社会发展和技术进步而逐步调整。”[4]

定性与定量评价的结合性原则。“评价指标体系的设计应当满足定性与定量相结合的原则,即在定性分析的基础上,还要进行量化处理。量化指标有利于进行准确、科学、合理的评价,对于那些难以量化的指标,可采用评分法,利用专家意见近似实现其量化。”[5]

可持续发展原则。“档案安全体系的建设是一个循序渐进、不断完善的过程。这一过程需要不断优化,不断完善,以达到科学、合理和实用的目的。因此,档案安全标准体系中的每一项具体标准,都应该在档案管理和档案保护长期实践和理论研究的基础上,反映优化了的技术、工作程序、组织程序和管理水平,要能够体现目前先进而成熟的技术手段、设备情况和管理方法,使整个标准体系具有领先性和一定的超前性。”[6]

实用性原则。“档案安全标准体系的构建,必须依据我国档案部门的实际发展需要和客观可能性,从现实情况出发,适时制定有关标准,使标准的规定事项同实际工作的技术状况和管理水平不致产生太大的差距。我国《标准化法》规定的标准定期复审制度,目的就是要保证标准在社会不断发展的情况下,有所更新、有所完善,保证标准能在一定时空范围内,保持相对的技术指导性和推荐性,能够付诸实践,也保证标准能随档案事业发展的实际变化而修订,真正起到提高档案管理水平和管理效益的作用。”[7]

2档案安全保障的评价指标体系

依据上述原则,档案安全保障体系评价指标体系层级的划分不宜过多,按照以往档案系统各种评价、评估指标体系划分的惯例,采用由大到小、由面到点、逐层分解的方法,将档案安全保障体系评价指标体系分为3个层次,从上到下依次为目标(宏观)层、要素(中观)层和指标(微观)层。除目标层外,每一层次选择能反映其主要特征的要素,下层为具体指标层,要素的内容和关联度,由下而上,层层递进。

2.1档案安全保障评价指标体系的层级划分。第1层次的目标 (宏观) 层,以档案安全保障体系核心要素作为总目标层,用来衡量档案安全保障体系的总体水平,包括环境因素、管理因素和技术因素3项。

第2层次的要素(中观)层,选取“周边环境”、“馆库环境”、“设备环境”、“工作环境”、“网络环境”;“安全管理机构”、“管理规范”、“规章制度”、“工作流程”、“管理措施”;“业务技能”、“保护技术”、“网络技术”13个特征要素。

第3层次的指标(微观)层,选择了72个具体的评价指标。详见下表。

2.2指标说明及分值设定

3实际测评指标值换算与使用

从可操作性出发,实际测评以计分制的方式实行。具体测评指数值换算方法是,三级指标中的72个指标项,每项的分值均为2分,总分为144分。以达到指标项要求的程度,分为“优”、“良”、“中”、“差”、“劣”5个档次,对应的分值从2分到0分,每个档次的分差为0.5分。即优―2分、良―1.5分、中―1分、差―0.5分、劣―0分。

在实际测评中,通过分级加总,可以获得被测评单位的总体安全状况,三个层面上不同方面的安全情况。比如,在目标层(一级指标),可以通过对环境因素、管理因素和技术因素分别加总,对环境因素、管理因素和技术因素的安全情况进行比较,寻找对整体安全影响最大的因素。再比如,在目标层(一级指标)环境因素下的要素层(二级指标),可以通过对周边环境、馆库环境、设备环境、工作环境、网络环境分别加总,对周边环境、馆库环境、设备环境、工作环境、网络环境的安全情况进行比较,寻找对环境因素影响最大的子要素。同样,也可以通过对要素层(二级指标)下的某一项的具体指标得分情况,来分析和寻找对该项二级指标影响最大的三级子要素。

4档案安全保障体系评价档次与档案安全风险评估等级的对应关系

档案安全保障体系评价实际上是进行档案安全风险评估。我们将档案安全保障体系评估结果分为“优”、“良”、“中”、“差”、“劣”5个档次,对应于档案安全风险评估的“安全”、“比较安全”、“临界状态”、“比较危险”、“非常危险”5个等级。因此,在进行档案安全保障体系评估时,应该考虑下面几个重要因素:

4.1原有基础的差异。档案安全保障体系评估重点主要是对档案馆进行评估。因此,一定程度上,档案馆原有基础的差异,就决定了档案安全保障体系评估的结果。在实际评估中是考虑原有基础的差异,采用不同标准分类分层次评估,还是不考虑原有基础的差异,采用同一标准进行评估?如果将评估视为一般性工作,可以考虑原有基础的差异,采用不同标准分类分层次评估,以便尽可能地体现公平公正;如果将评估当做风险检测,就不应该考虑原有基础的差异,而应该采用同一标准进行评估,以便查找安全风险及安全漏洞。

4.2确定控制性要素。在上述指标项中,为了便于操作与换算,全部72个指标的赋值是相同的。但各个指标项在整个指标体系中的重要程度却是完全不同的。有些指标在整个指标体系中处于关键地位,是整个指标体系中的控制性要素。这些要素一旦缺失或存在问题,无论其他指标得分有多高,整个档案安全保障体系就将处于危险状态。需要将这些控制性要素寻找出来,并明确其准许的底线。

4.3分层分项控制。由于采用的是底层等值加总的方式换算评估的总体得分,往往容易以总分高低论英雄。但档案安全只要有一个方面存在问题,就会影响到整个系统的安全。因此,在实施评估时,应当采用分层分项计分的方式,确定只要各层次有10的项处于“差”或5的项处于“劣”时,该档案馆的档案就处于“比较危险”状态;各层次如有20的项处于“差”或10的项处于“劣”时,该档案馆的档案就处于“非常危险”状态的原则。文中的百分比值只是一个说明性的估值,具体应该定一个什么样的值,有待在具体测评中通过实践来确定。

5结语

“收、管、用”是档案工作的最基本内容。“收齐”、“管好”、“好用”则是档案工作的目标,也是对“三个体系”建设最为通俗的解读。进行档案安全风险评估指标体系研究,是“三个体系”建设中的重要环节,不仅是一个理论问题,更是一个实践问题,需要我们在档案安全保障的具体工作中不断地研究、摸索、探寻、完善。尽快建立起一套简便有效的档案安全风险评估指标体系,为建立健全档案安全保障机制,提高档案安全保障能力提供支撑。

参考文献:

[1] [2] [4] [5]田淑华. 电子档案信息安全管理研究[D]. 中北大学: 中北大学,2009.

第7篇

关键词:信息安全;保障体系;框架

档案信息安全保障体系是指通过信息安全技术与信息安全管理手段等来对信息系统进行安全防御,保证档案信息系统的可靠性、稳定性以及安全性,从而确保档案信息的完整性、真实性与实用性等。档案信息安全保障体系的额框架分为两个部分:一是宏观部分,是指以国家的角度进行的信息安全保障体系;二是微观部分,是单位信息系统中的组成部分,其作用在于保障本单位中人员的档案信息安全。

1 档案信息安全保障体系宏观框架

1.1 档案信息安全管理体系

建立完善的档案信息安全管理体系能够有效提高档案信息的安全性与质量,是档案部门相关工作的重要组成部分。首先,为了保证档案信息安全管理工作的有效实施,政府档案职能部门必须建立独立的档案信息管理处,专门负责档案信息安全管理的监督工作,并在全国范围内积极进行档案信息安全管理的宣传工作,逐步建立符合我国实际国情的管理体系。同时,还应该加快出台档案信息管理工作的相关规范标准,为相关工作的实施提供实施依据,并督促地方职能部门在这一规范标准的基础上制定符合自身发展的具体制度与方案[1]。

1.2 档案信息安全技术体系

在加强档案信息安全管理工作的同时,还必须提高档案信息安全的技术水平,由此才能真正提高档案部门工作的整体质量。现阶段得到广泛应用的安全技术类型主要有系统安全技术、网络安全技术以及用户安全技术等,在选择技术类型时必须从信息的安全属性出发,选择符合档案信息安全要求的安全技术,不同的档案信息其对安全应有着特殊需求,在这种情况下,就可以根据安全等级、特性的不同进行综合选择,从而有效提高档案系统的安全技术水平,例如部分要求得到永久保存或是性较高的档案信息,就可以采用数字签名、物理隔离等技术进行管理。不同的档案系统并不一定必须应用所有的安全技术,只需根据国内的等级保护标准规范进行科学的选择,就能达到系统的安全要求。

1.3 档案信息安全法规标准体系

为了提高档案系统的安全性与稳定性,档案部门必须加快建立完善的安全法规标准体系,从而避免出现责任不明的现象。与西方发达国家相比,我国的档案建设工作起步较晚,发展也较不成熟,在实际应用中存在较多问题,因此必须建立完善的相关标准制度,使相关部门与工作人员能够按照标准进行档案体系的建设,防止由于建设标准的模糊而出现安全体系的重复与不合理建设[2]。我国在制定相关法规标准时,必须从我国的长远发展目标出发,建立科学、合理的的法规体系,从而为档案建设工作的推进提供有力的制度保障。

2 档案信息安全保障体系微观框架

2.1 档案信息安全管理体系

从微观框架中看,安全管理体系需要结合具体实际,制定档案信息安全管理的具体方案、措施等,形成一个完善的体系框架。随着档案管理不断向信息化发展,档案部门必须按照相关的管理标准逐步建立起档案管理的相关体系,实现信息管理工作的动态化、系统化与制度化。国际最早颁布的系列标准中,对信息安全管理的相关措施进行了详细的分类与总结,我国可以以此为基础,结果国内的相关法律法规、实际发展情况制定出具有实用性的安全管理体系。

2.2 档案信息安全技术体系

从微观角度分析,安全技术体系的建设就是要将现有的信息安全技术具体应用到档案信息系统中。选择合适的信息安全技术将直接影响到档案信息系统的安全性,通过对系统的构成以及安全等级等进行科学划分,并作出合理的L险评估,就可以对安全技术的应用进行明确。对于档案系统而言,其内部信息的价值越高,则面临的风险也会相应增大,这就要求档案的安全保障工作必须是以个不断发展的过程,随着风险的变化,系统的微观安全技术也必须进行相应的调整,从而更好的控制系统风险[3]。

2.3 档案信息安全法规标准应用体系

从微观框架来看,这一体系是指在安全法规与标准的保障下,档案管理人员对相关工作的开展提供相应知道。这一应用体系的建立,需要在实践中进行不断的探索,而我国目前缺少完善的法规标准体系,因此可以适当参考国外先进的法规标准体系,并结果国内应用实践结果进行不断的改进与完善,从而尽快建立符合国内发展情况的安全保障体系。

3 结论

档案信息安全保障体系是以提高信息质量为核心,以培养专业化档案管理人员为目标的运行体系,通过对档案职能部门的职责分配,使档案信息管理的各个环节都能得到有效管理,同时促进各职能部门之间的团结协作,最终实现档案信息的高质量管理。只有建立完善的档案信息安全保障体系才能真正促进档案部门的建设与发展,因此相关职能部门必须加快从宏观与微观这两个方面的体系框架建设,希望本文的研究能够对我国档案信息体系框架的建立与发展提供一定的参考意见,从而有效提升国内档案信息系统的安全性与稳定性。

参考文献

[1]徐绪琴. 档案安全体系建设研究[D].安徽大学,2014.

第8篇

一、加强档案馆基础建设,为档案打造第一道防线

档案馆是档案安全重要保证。各级档案局要抓好档案馆的建设、管理和利用工作,要切实做到设计、施工、配套和管理一体化、自动化和规范化。要根据新形势的新要求,在档案馆的设计上做到外观精美、内部实用、自动化程度高和体现地方风土人情,完全达到档案储藏管理的最佳条件,既是经济适用的档案馆又是一个汇聚历史的标志性建筑,更是吸引有识之士研究历史、再现历史的必要地方,还是服务大众的智慧场所。

二、加强安全设施建设,保证档案安全运转

完善的档案馆安全设施是保证档案安全有效的防护网,要加大投入,安装现代化的高科技管理设施,增加档案馆的安全性能。除安装防盗门窗、安全监控系统、自动灭火系统、温湿度控制、档案密集柜、电脑等基础设施以外,还必须安装电子档案阅读系统、防盗系统等,为大众阅读和查阅档案提供高质量的保障,确保档案馆运转安全。

三、加强电子档案的信息安全保障

(一)软件安全

电子档案信息安全的关键是软件安全,只有安全的软件才能使电子档案正常运行流转。电子档案的运行软件应满足安全、实用的技术要求,能够植入严格权限控制,实行档案馆分级安全机制,保障合法用户对电子档案进行创建、归档和利用,避免非法用户的访问和非法拷贝。

(二)数据安全

电子档案信息的安全最重要的就是数据安全,只有数据安全了才能保证电子档案信息的完整,有效避免被修改、泄露。为此应对电子档案建立数据备份系统,对数据进行备份,确保数据安全。

(三)网络安全

保证计数机网络的畅通安全,使用户网络有效地利用电子档案信息。解决网络安全问题一般采用物理隔离、应用防火墙等确保网络安全措施。这些还远远不够,要建立档案专用网络系统,实行专网专用专人维护管理,确保档案网络安全。

(四)技术安全

签署技术、加密技术、身份验证、防火墙、防写措施技术等等是技术安全的必要手段。要加强档案网络安全的研发力度和更新速度,提高档案技术研发科技含量,更有效保障电子档案信息的技术安全。

四、筑牢防线是当前档案工作的重点

在建立档案安全保障体系中,统筹兼顾,重点突出。对照不同类型的档案安全事故,针对不同的档案载体、不同的保存状况、不同的存储环境等因素,找准安全隐患,明确档案安全防范重点,制定行之有效的档案安全保障方案,打造切实可行的档案安全保障体系。档案安全体系建设的主要任务首先是在思想上提高认识,特别是提高档案管理人员和档案工作者的责任意识,要在档案管理人员和档案工作者心中构筑坚固的思想防线。其次是在档案安全体系建设上要提高认识,加大投入力度。再次就是必须做到执着认真、坚持标准,要有“抓铁有痕、踏石留印”的精神,是筑牢档案安全防线最重要的保证。

五、确保档案安全工作制度落实到实处

保证档案实体安全体现在档案工作的接收、保管、整理、鉴定、利用、数字化等各个环节中。要针对不同的工作环节,细化档案安全工作制度。加强对制度执行情况的监督检查力度,确保各项制度落到实处。要重视建立濒危档案排查制度,尽快对破损档案采取抢救和保护措施。同时在抢救过程中,选择适当的方式方法,避免对档案的二次破坏;要重视建立档案馆应急预案定期演练制度。要提高工作人员的安全意识、风险防范意识和突发事件应对能力,明确责任,建立起档案馆快速应急反应体系;要重视建立档案异地异质备份制度。在备份地点的选择上要遵循不在同一地带、不同气候类型、交通便捷等原则。

六、以人为本构建和谐档案工作安全局面

第9篇

关键词:档案工作,基础建设,安全体系

中图分类号: G271 文献标识码: A 文章编号:

档案承载着“记录历史、传承文明、服务现实”的重要作用,档案的安全保管是档案工作最基本的任务。2009年全国档案馆工作会议提出的今后十年全国档案工作主要任务中明确提出努力把各级国家档案馆建设成为档案安全保管基地、爱国主义教育基地、档案利用中心、政府信息查阅中心、电子文件中心“五位一体”的公共档案馆。尤其是近些年自然灾害频发,都对当地及周边地区档案馆库建筑造成了巨大破坏,一些存有安全隐患的档案楼馆在地震或洪灾泥石流中倒塌,大量档案被掩埋在废墟之中,损毁严重、无法弥补。档案安全体系建设已经迫在眉睫、刻不容缓,必须引起高度重视。本文试从档案安全体系建设入手谈一些粗浅的认识。

一、档案安全体系的内涵

档案安全体系是确保档案实体和信息安全的基础设施和制度规范。包括档案安全政策法规及规范保障、物质保障、机制保障和制度保障,档案馆建设、档案抢救与保护、档案工作突发事件应急处置、档案信息安全管理和档案合理开放利用控制等档案安全的各个环节。基础设施是硬件,制度规范是软件。档案安全体系建设包含三个层面:

一是确保档案实体的安全,不损毁,不丢失;二是确保档案信息的安全,不失密,不泄密;三是确保档案的完整齐全并尽量延长档案实体和信息的保存时限。从档案安全的性质上说,前两个方面的不安全因素可能造成的损失都是主观努力可以避免或减少的,后者则是主观努力虽可延缓但最终难以阻止的。从档案安全的范围上说,前两个方面的不安全因素可能造成的损失都是局部的、偶然的,后者则是全局的和必然的。从档案安全给予人们的感觉而言,前两者造成的损失是有形的,是可感觉到的,后者造成的损失是无形的,是人们感受不到的。确保档案实体和信息的安全,是档案安全体系建设的现实任务,是主要任务,是现在必须努力完成的任务;尽量延长档案实体和信息的保存时限,是档案安全体系建设的历史任务。实质上确保档案实体和信息的安全,已包含有尽量延长其保存时限的意思。另外确保档案的完整齐全并尽量延长保存时限,不仅涉及到现有档案的安全,也涉及到今后档案征集、保管、利用的各个方面,是一项更具全局意义和历史意义的工作。

二、强化安全体系建设是当前档案工作的目标

国家档案局局长杨冬权在全国档案安全体系建设工作会议上提出了“深入贯彻落实科学发展观,总结我国档案安全工作的经验教训,不断提高档案安全意识,研究建立确保档案安全体系,全面提升安全保障能力”。这是继“建立覆盖人民群众的档案资源体系和方便人民群众的档案利用体系”之后在我国档案工作中再次提出的一个新目标。它体现了我国档案安全在档案工作中地位的提升,标明了档案安全是整个档案工作的重中之重,提醒各级档案管理机构对档案安全必须倍加重视,要摆上重要议事日程、要把档案安全当成头等大事来抓,要抓在要害处、防在关键点;要确保档案长久安全。

档案安全体系建设的提出意义十分深远。因为不言而喻的是我国汶川大地经历了天翻地覆的阵痛;青海玉树地震又给人们带来新的灾难;甘肃舟曲泥石流使档案工作再遭重创。众多的自然灾害使我国的档案事业遭受了前所未有的损失。前车之鉴不可忘,档案安全重如山。所以说“建设档案安全体系”的提出正当其时,不仅具有特别重要的现实意义更具有深远的历史意义。

三、筑牢防线夯实基础是当前档案工作的重点

档案安全体系建设从宏观上说是一项庞大的系统工程,涉及基本理论、基础设施、制度保障、技术支持等诸多方面;从微观上讲贯穿于档案管理的各个环节,是关系到档案实体与信息安全的重要保证。具体到每一个档案馆,在建立各自的档案安全保障体系中,统筹兼顾,重点突出。对照不同类型的档案安全事故,针对不同的档案载体、不同的保存状况、不同的存储环境等因素,找准安全隐患,明确档案安全防范重点,制定行之有效的档案安全保障方案,打造切实可行的档案安全保障体系。

档案安全体系建设的主要任务首先是在思想上提高认识,要在心中构筑坚固的思想防线。档案安全体系建设作为系统工程,在首先提高认识的同时,还必须要做到执着认真、坚持标准,要有盯住不放、抓住不松的精神。特别是在档案管理中的基础建设过程中,更来不得半点的马虎。档案馆库是档案安全最重要的保证。近几年,档案馆舍建设越来越引起重视。很多省份都在预算内安排了馆舍建设补助资金,用于档案馆舍的新建扩建和维修改造,取得了一定效果。在建设上要严格按照《档案馆建设标准》和《档案馆建筑设计规范》要求,为档案安全打造第一道防线。比如在档案馆库建设时要确保基础牢固,提高综合抗灾能力,注重选址安全,因为它是各项档案工作的基础。也是档案工作安全的源头。对于已经建在易发生地质灾害地区的档案馆,要定期对档案馆建筑安全进行评估或加固工作,确保档案馆的承载能力。在档案装具架柜采购时要确保质量过关,因为档案装具架柜承载不够而垮塌造成档案损毁的例子也不在少数。完善的档案馆安全设施是保证档案安全最有效的防护网。

四、档案安全工作制度是档案安全管理软实力提高的前提

保证档案安全既涉及档案的实体安全又涉及档案的信息安全,体现在档案工作的接收、保管、整理、鉴定、利用、数字化等各个环节中。要针对不同的工作环节,细化档案安全工作制度。加强对制度执行情况的监督检查力度,确保各项制度落实到实处。

要重视建立珍贵档案保护制度。对馆藏珍贵档案,除建立特藏库外,对其中极为珍贵的“镇馆之宝”,应借鉴文博部门保存珍贵文物的经验。采取单独装具特殊保存珍品档案,对其原件出库条件、程序及时间间隔等做出明确的规定;要重视建立濒危档案排查制度,尽快对破损档案采取抢救和保护措施。同时在抢救过程中,选择适当的方式方法,避免对档案的二次破坏;要重视建立档案馆应急预案定期演练制度。要提高工作人员的安全意识、风险防范意识和突发事件应对能力,明确责任,建立起档案馆快速应急反应体系;要重视建立档案异地异质备份制度。在备份地点的选择上要遵循不在同一地震带、不同气候类型、交通便捷等原则。

五、以人为本构建和谐档案工作倡导安全第一

档案安全体系的建设,不仅要有相应的措施配套,更要有和谐的环境和氛围为支撑。无论多么完善的档案馆安全保障体系,都需要由人来执行。建立制度要有可操作性,落实岗位责任要有针对性,安全管理要有灵活性。让坚守岗位成为自觉性,让保证安全成为职责中的使命。档案工作倡导安全第一,体系建设重在强化管理,管理的目的在于杜绝和排除安全隐患;防微杜渐体现在日常工作之中。安全第一是档案工作人员的天职,确保档案安全是档案管理者的责任体现。要让档案管理者在档案安全体系建设中主动发挥作用。坚守岗位确保档案安全管理成为一种神圣职责。

档案是党和国家的宝贵财富。要让每个档案工作者感觉到自己的岗位无尚光荣,把要档案安全管理中努力工作作为实现人生价值的途径。让每个档案人员都能为档案安全体系建设和保障档案事业全面、协调、持续发展自觉贡献力量,这是以人为本构建和谐的关键和目的所在,是建设档案工作安全体系的重要基础。

参考文献:

[1]张雨。你那里的档案安全吗?[N]中国档案报2010.8.19。

第10篇

棉花监测系统网络支撑平台是提供信息数据传输、交换、储存、处理、共享、的综合业务平台,通过构建数据处理中心、数据处理分中心(国家发改委价格监测中心)、国家棉花市场监测系统信息中心以及国家棉花市场监测系统总公司的网络、计算机、配套设备、运行环境,实现信息的处理、共享、传输和备份,以满足系统运行的各方面功能要求。

1.在基础平台建设的同时开展全面、有效的安全体系规划和建设;2.选用最可靠最稳定的安全产品构建安全防御系统;3.在最大限度保障安全运行的同时,又兼顾良好的运行效率;4.全面兼顾安全技术、业务运维流程和人员在信息安全保障中的积极协调作用;5.有效监控全网的安全情况,快速发现可能的安全隐患和异常行为;6.实现7×24×365的安全运行状态监控与安全运行维护处理;7.建立完善的应急响应机制和流程;8.在短短两个月时间内高效率、高质量地完成所有的工作。

一套平台 两种思想 三个系统

国家棉花市场监测系统安全建设和保障工作涉及到安全体系规划、安全系统集成、安全运维管理、信息安全专业服务、高端安全管理咨询、日常安全支持以及安全值守服务等众多内容。安全建设工作千头万绪,安全保护对象庞大复杂,安全管理要求苛刻严格,对安全保障体系的规划和设计提出了非常高的要求。

针对安全建设和管理需求,太极组织了大量的安全专家认真、深入地分析了国家棉花市场监测系统可能面临的各类安全问题,参照ISO17799等安全管理国际标准,结合太极多年在安全领域的经验,提出了解决方案。太极与相关合作伙伴紧密合作,针对国家棉花市场监测系统的安全设计和建设可以总结为:建设一套集中的安全运行管理平台,融合两种核心的安全建设思想,建立三个不同角度的信息安全子系统。

一个平台,是指通过部署安全运行管理中心产品建立国家棉花市场监测系统的集中安全运行管理平台。通过对网络中各种网络安全设备和安全软件的集中管理和监控,把一个个原本分离的网络安全孤岛联结成有机协作互动的一个整体,并自动实现对安全事件的处理,从而实现网络安全管理过程中的实时状态监测,动态策略调整,综合安全审计以及恰当及时的威胁响应,从而有效提升网络的可管理性和安全服务水平。

两种思想是指动态信息安全风险管理体系建设思想和构建信息安全纵深防御体系建设思想。

动态信息安全体系思想的根本目的,是要保障安全系统设计具备良好的动态建设过程和安全可扩展性,促进建立易扩展的信息安全保障体系。纵深防御思想是保障安全系统设计的广度和深度,促进建立全面综合、高效安全的网络安全保障体系。其在广度上要求从网络架构、网络设备、操作系统、应用系统、数据库系统等各个层面考虑安全系统建设;在深度上要求分层次,由外而内,从网络边界、内部网络、核心服务器乃至桌面PC各个层面考虑安全防御功能的建设。其核心体现就是进行合理的网络安全域规划,实现安全事件影响范围的有效控制。

本次项目,太极协助国家棉花市场监测系统规划了完善的动态信息安全风险管理体系的建设,包括三大信息安全体系安全功能技术体系、安全服务支持体系、安全管理咨询体系。

优点多多

系统的安全规划、建设和运营管理解决方案,覆盖了信息系统的整个生命周期;充分重视业务安全管理,将传统分立的安全产品管理进行有效整合;提出了安全运行管理中心解决方案,实现了安全产品和管理的集中统一;将安全监控和安全维护有机结合,实现闭环管理,提高了安全管理效率;将各种安全设备所报告的安全事件汇总在一起进行关联分析,消除安全事件的误报和重复报警,并推断问题根源,给出该事件的解决建议。

应用效果与收益

安全运行管理中心的部署,实现了分散的、异构的安全产品的集中管理,高效提炼和分析海量的安全信息和各类报警事件;实现了安全事件的闭环处理;实现了信息安全的“可控、可见和可管理”,协助国家棉花市场监测系统迈向信息安全管理乃至IT管理的新台阶。

用户评议

国家棉花市场监测系统由于其特殊性和重要性,安全是第一重要的因素。我们在进行项目建设过程中对安全产品提供商和安全集成服务商进行了严格的选择,我们在项目建设中采用了最好的产品、最严格的管理、最优秀的集成商和最高效的服务来确保网站的安全。

第11篇

电子档案的信息安全保障贯穿于电子档案的形成、处理、存储、传输、维护和利用各个阶段,很多学者针对各个阶段中涉及的管理、技术、法规、人才、资金等方面做了大量的探讨工作,以期构建合理有效的电子档案安全保障体系。在本文中笔者仅就网络环境下,电子档案开放利用过程中的信息安全面临的主要问题展开研究,并提出相应的解决对策,进而提出电子档案开放利用信息安全保障体系。

1电子档案信息安全面临的主要威胁和存在的问题

1.1 电子档案信息安全面临多个网络层次威胁

电子档案信息安全主要包括三个方面:一是档案信息内容的原始真实性;二是档案信息内容不被篡改和泄露,即完整性和保密性;三是档案信息的长期有效性。由于数字档案信息自身的特点以及它对技术的依赖性,使其安全极容易受到来自外界的威胁。所以,自从数字档案信息出现以后,其安全问题一直是这一领域的焦点问题'在网络(internet\局域网\无线网络)环境下,由于网络结构的不安全性、网络协议的脆弱性、网络传输的易拦截性和人为的疏忽,在网络结构的各个层次都存在安全隐患。其主要内容如图1所示:

物理层的档案信息安全面临的威胁是最底层的威胁,主要是对环境、硬件设备和线路的安全威胁,环境的安全威胁主要来自电源是否稳定不间断、有无抗静电、抗辐射、防尘、防水、防漏电等安全措施硬件和线路的安全威胁主要包括自然灾害和人为灾害。自然灾害使得计算机硬件和设施损坏,无法实现正常的联网;人为灾害主要有无意失误和人为干扰两种:用户使用不当,安全配置设置不合理造成安全漏洞,给网络安全带来威胁;而人为干扰是有意的破坏网络底层设施,通过非法终端介入,线路干扰等各种手段,威胁计算机硬件设备的正常运转,致使系统瘫瘦。

链路层的档案信息安全面临的威胁主要是数据的安全威胁。主要是指链路数据的泄露、丢失甚至被篡改或删除,从而破坏档案信息的完整性和可读性。另外,恶意的隐藏攻击可以采用不断发送级别高的请求来占用节点资源,或发送大量的请求使档案数据库服务系统响应速度减慢甚至停滞,影响正常用户的使用,甚至使正常用户被排斥不能进入网络系统或不能得到相应的服务,这种威胁隐蔽性很强,一般会把它看成通讯环境差,所以很难发现。

网络层的威胁是档案信息安全威胁的主要来源层,是恶意攻击的重要方面,因为网络层主要负责数据路由的确定,面临的威胁主要有通过伪造路由信息来破坏路由协议,从而使数据丢失或失去原始真实性,另外,最常见的攻击方式是针对软件和网络漏洞的黑客攻击和病毒攻击,黑客攻击主要是通过非法(非授权)访问,进入服务系统,窃取信息,造成文档的泄密,甚至进行违法操作,删除、修改、恶意添加,使正常使用者获得错误信息或者无法获得服务,干扰系统的正常运转。而病毒攻击主要是利用系统漏洞和人为的疏忽,潜入计算机系统,窃取文档、破坏系统、甚至打开系统“后门”,直接威胁档案的信息安全。

传输层的安全主要是传输协议和密钥的安全,一旦传输协议和密钥被识别破译,数据的传输将完全暴露在网络中,失去安全保障。其带来的威胁主要是攻击者可以复制,编造信息,从而向网络节点发送欺骗信息,使档案信息失去真实性和可读性,而且一旦欺骗信息时间标记准确,甚至可以破坏服务终端交换数据的能力。

1.2 电子档案信息安全保障存在多方面问题

早在1996年国家档案局就成立了电子文件归档与电子档案管理研究领导小组,开展电子文档管理方法、技术、标注和构建管理体系等方面的研究,经过十几年的发展,在电子文档归档和电子档案管理办法等方面己经取得了一定的进展㈣7^,但在网络化建设、法制建设、安全管理等方面仍存在严重的滞后性,特别是在电子档案信息安全保障体系构建方面,还存在着明显的不足。

1.2.1电子档案信息安全保障方面存在着严重的滞后性

首先,是档案信息化建设存在着严重的滞后性,主要表现在全国各个档案部门虽然己经建设了规模大小不等的数据库,但都各自为政,缺乏统一性和整体性,而且标准化程度低,处于低水平重复建设,档案数据无规范化控制,存在安全隐患。同时,网络安全本身也存在滞后性,因为安全技术是在对抗中不断发展的技术,不断出现的应用安全问题推动着安全技术的发展,因此,它总是滞后的,正是这种滞后性存在巨大的安全隐患。

其次,是相关法规制度建设存在着严重的滞后性,主要表现在信息立法和档案法律法规没有有机的整合。如在上世纪90年代中期,随着大量CAD文件的面世,国家质量技术监督局推出了《CAD电子文件光盘存储、归档与档案管理要求》,在1999年,为规范电子文档的归档与管理中的问题,国家档案局又颁布了《电子文件归档与电子档案管理办法》,

在2000年,为了解决计算机在辅助档案管理中存在的问题,国家档案局又颁布了《归档文件整理规则》,在2001年,为了提高档案管理软件的标准化程度,国家档案局了《档案管理软件功能要求暂行规定»,2002年,针对公务活动中电子文件的形成、积累、保管、利用等方面存在的问题,国家档案局对《电子文件归档与电子档案管理办法》进行了修正,在此基础上,又分别在2003年和2005年出台了第三部和第四部档案信息化部门规章。由此立法过程可以发现:法律制定的周期性与档案信息安全体系建设的紧迫性存在着明显的滞后。

第三,是安全管理的滞后性,主要表现在很多档案信息网络管理人员、应用人员以及领导层缺乏安全意识,甚至有些档案工作者没有受过正规的网络安全培训,对档案信息网络的安全重视不够,知之甚少,致使档案信息安全管理缺乏针对性和执行力。同时,档案信息网络安全人才严重匮乏,在技术层面上无法提供有力的安全支撑,在信息环境的动态发展变化过程中,标准化管理、计算机辅助管理、规章制度管理明显滞后于档案信息化发展的步伐。

1.2.2电子档案信息安全保障体系建设存在不足

档案信息安全保障是对档案信息和档案信息系统的安全属性及功能、效率进行保障的动态行为过程。它源于人、管理、技术等因素所形成的预警能力、保护能力、检测能力、响应能力和反击能力。现阶段,在电子档案信息安全保障体系的构建中主要存在以下不足:(1)突发事件多,档案信息资源缺乏生存能力;(2)法规制度不健全,档案信息缺乏保护能力;(3)标准不统一,档案信息安全缺乏执行能力;(4)评估、防范少,档案信息安全缺乏预警能力;(5)专业人才短缺,档案信息安全缺乏发展能力;(6)网络漏洞多,档案信息安全缺乏数字化技术支撑能力。

2电子档案信息安全保障需要多策并举

2.1 应在基础环境建设上着力,奠定电子档案信息安全保障基石

基础环境建设包括基础设施建设、硬件环境和人为环境建设。基础设施和硬件环境建设主要是为了保护档案信息的实体安全,包括网络基础设施、计算机、存储设备以及其他媒体免遭地震、水灾、火灾和其他环境事故的破坏,档案数据的异地备份是有效的措施之一。而人为环境建设主要是加强档案管理人员的安全意识和责任意识,落实制度、积极防御,从思想上充分认识到电子档案信息安全保障的极端重要性。同时,人为环境建设还包括社会公众档案意识的培养,以及档案利用者信息化素养的提高,杜绝因为人为的疏忽、大意造成档案信息的泄露、丢失或损坏,从而奠定电子档案信息安全保障基石。

2.2 应在网络系统建设上加力,铸造电子档案信息安全保障屏障

网络系统建设主要包括:(1)通过各种网络安全技术预防档案信息安全危害;(2)通过软件安全评估审计与网络监测预警机制应对档案信息安全威胁;(3)通过信息备份与恢复,补救己成事实的灾难。

网络安全技术涉及的内容非常广泛,从广义上讲主要包括:主机数据库安全技术、路由安全技术、身份认证技术、访问控制技术、密码技术、防火墙技术、安全管理技术、系统漏洞检测技术、病毒查杀技术、黑客入侵检测技术等。通过多种网络安全技术手段的综合应用,开发具有自主知识产权的系统软件和网络关键设备,就可以大大降低网络对电子档案信息安全带来的危害。

安全审计,主要是针对与安全有关的网络行为进行识别、记录、存储和分析。涉及的记录形成网络智能型日志用于检查网络上发生了哪些与安全有关的活动,并划分职责范围。而安全评估主要是通过国家软件测评中心对系统软件进行安全性评估,寻找出系统的“bug”和漏洞,同时,对不同的电子档案密级划分等级和重要程度,并对安全状态和可能出现的灾害进行预测,以及确定相应的安全策略。而安全检测与预警机制主要是采用“看门狗”软件系统,对网络入侵和病毒攻击进行实时监测和预警,用来及时发现和阻止各种来自外部的非法入侵行为和内部用户的非授权活动,作为防火墙技术的补充,应在服务器、局域网各重要网段配备监测和预警系统。

信息备份与恢复,主要是对己丢失或失真的电子档案信息进行补救。因为,网络条件下的档案信息安全工作存在滞后性,任何一个网络都不能确保万无一失,由于人为的疏忽和网络攻击致使档案信息丢失和失真的现象随时可能发生,因此,需要建立信息备份与恢复系统,这样才能保证一旦信息丢失和失真,系统也能够做到有备无患,从而保证档案信息的完整性。

2.3 应在信息标准建设上增力,锻造电子档案信息安全保障准绳

档案信息标准化建设,主要包括档案信息法制标准、管理标准、技术标准三个方面。档案信息法制标准,主要体现在档案立法的专门性和内部安全制度的针对性上。国家和地方机构的立法应覆盖档案信息行为的各个环节,针对网络环境下大多信息安全面临的威胁,制定具体、详细的建设标准,从法律上约束档案信息行为,而内部安全制度的制定,应针对不同的工作模式和场景,制定不同的制度标准,细化到一人、一岗、一机的规范上,从而提高档案信息安全的规范性、可操作性以及档案信息安全标准的通用性。

档案信息管理标准,主要包括机构建设和管理机制建设。建立权威的档案信息安全管理机构能够从战略层面统管本机构档案信息安全工作。在机构的组织形式上,既要能够在日常服务利用工作中履行职能,又要便于在档案信息面临危害时及时转入应急体制并发挥作用;在机构职能的确立上,既要能对本机构档案信息安全工作进行战略指导和宏观管理,又能对档案信息安全的具体问题进行策略支持和微观控制。而管理机制的建立,主要是依据法律法规,在档案信息的产生到利用的各个环节制定标准化的管理制度和管理方法,在分级、分层、分域的管理中,划分管理权限,明确职责,增强管理人员的安全意识和操作规范,提高档案的利用效率和档案工作者的执行能力。

档案信息技术标准,主要包括电子档案采集和鉴定标准、数据格式标准、计算机硬件标准、开发软件标准、网络信息、传输标准、电子数据长期保存标准、网络工程及网络行为的标准化等。

在此基础上,还要建立科学合理的标准评价指标,要根据网络环境下,电子档案信息安全的真实性、完整性、可用性和可控性的要求,建立档案信息安全的物理安全、管理安全、网络安全、信息安全、系统安全的评价指标[9]。

2.4应在人才、资金等多方支持,打造电子档案信息安全保障品牌

网络环境下电子档案的信息安全保障需要大量的人力、物力和财力的投入。电子档案信息安全的人才队伍应由计算机信息技术、自动化技术、网络技术、管理技术等方面的人才构成。所以,人才培养的目标,是培养既通晓相关的信息安全法规制度,又有丰富实践经验的信息安全管理人才;培养既能熟练使用各种网络安全设备和设施,又能解决网络安全具体问题的技术人才。在档案人才培养中,应加强对上述相关知识和能力的培养,并有针对性地开设专门的电子档案信息安全方面的课程,在实际档案部门中要加大对档案信息安全人才的引进、培养与提高。

在人才引进、培养、提高和档案信息安全保障体系的建设中,需要大量的资金投入,以保证各项工作的顺利开展。同时,在电子档案信息的开发、存储、传输、利用各个环节中都需要社会相关单位和个人的配合与帮助,通过档案工作者、利用者、组织者等各方努力,查找各种管理和技术漏洞、防止各种疏忽和病毒攻击、加大人才培养和资金投入力度、完善法律法规和基础设施建设,从根本上保证电子档案事业又好又快地发展。

3电子档案信息安全保障体系构想

随着网络时代的到来,档案利用的网络化己成为档案事业发展的重要方向,而网络环境下的档案信息安全保障体系建设自然而然地成为档案事业的重要组成部分。

电子档案信息安全保障体系是以信息技术为支撑,对机构内外产生的电子文件、档案部门保存的电子档案进行安全、严格、系统的组织和管理,以防止电子文档在网络传输、介质存储和提供利用等过程中被故意或偶然的非法授权泄露、更改、破坏或使信息被非法系统识别、控制,从而确保电子文件的保密性、完整性、有效性和凭证性。

电子档案信息安全保障体系必须融合管理与技术要求,实现电子文档前端控制和全程管理。主要由安全组织体系统领支撑体系、管理、标准体系、网络安全运行体系各个子系统,其中,支撑体系包括安全防护技术支撑、法律法规支撑、环境、设备安全支撑,以及人才资金支撑四个内容。其内容构架如图2所示:

安全组织体系由决策层、管理层和执行层构成完整、统一的安全组织架构,在行业内或区域内成立电子档案信息安全领导小组,由国家档案行政主管部门和各业务主管部门组成,形成决策机构;由安全责任部门和相关部门设立电子档案信息安全办公室,形成强有力的管理机构;在各个业务部门内设置电子档案信息安全小组,负责执行有关档案信息安全的法律法规、规章制度和技术规范。

电子档案信息安全管理和标准建设子系统主要由三个层面构成:(1)电子档案信息安全总纲,规定电子档案信息安全的指导思想、方针、内容、要求;(2)电子档案各环节的标准指南和管理规定;(3)各种操作手册、工作流程和实施细则。

第12篇

【关键词】交通信息化 问题 管理

一.加强交通档案管理信息化建设

(一)建立网络档案系统

在系统内建设数字化综合应用平台。建立健全内部服务网和公众服务网,发挥网站的作用,使档案网站成为宣传档案工作、开展档案信息服务的窗口。促进档案现行文件信息化的标准建设,根据系统建设需求,采购必要的硬件设备,为系统提供硬件基础。提高档案管理软件的技术和应用水平,为保证档案信息交换、实现档案信息资源共享创造条件。制定相应的策略、保障档案资源的原始性、安全性、可靠性。

(二)加强电子文件的管理是做好档案信息化建设的关键

1.电子文件归档所涉及的问题更加广泛,受制约因素多,仅靠档案部门独家很难完成,应采取电子文件形成部门、档案部门、计算机与信息管理部门三结合的方法。三个部门的职能应用于相互渗透,扬长避短,发挥各自的优势,在电子文件归档中集成一体,共同形成质量较好的电子文档。

2.电子文件的载体稳定性差,易损坏,随着计算机信息管理网的建立与发展,越来越多的重要文件被传输上网。上网前,又按着信息管理部门的统一要求进行了文件格式的转换,在一定程度上保证了数据的可靠性和通用性,对那些未输送到计算机信息管理网上的具有保存价值的电子文档,应由电子文件形成部门编目整理,也利用网络技术向档案部门传输,可以借助信息管理网络在各业务管理机构与档案部门之间开通电子文件归档专递网线,建立依附在信息管理网上的归档专用子系统。

3.解决好档案电子文件的保存问题。以化学磁性材料为载体的电子文件,从理论上讲能够长期保存。因为它的信息读出是无接触式的,不存在磨损。电子文件记录在介质层上的信息被密封在塑料保护层内,不怕外界磁场的影响,不会直接受到空气中的灰尘、水份及有害气体的侵害。但是,由于电子文件形成的时间短,缺乏实际贮存的验证。所以,电子文件中原始信息的长期保存问题是有待档案工作者进行深入研究和探讨的重要课题。

4.做好档案归档电子文件的技术处理工作,实施电子文件管理战略。新型文件材料的归档势在必行,这就要求档案工作者必须深入到现行文件工作领域,对产生的大量电子文件的接收、处置乃至存储工作进行指导,保护电子文件的原始信息,了解文件信息重新组合的来龙去脉。也就是说,通过采取技术处理,将已归档的电子文件改为“只读性”文件,即只能读不能写的不可更改的文件,从而识别和保护电子文件的原始结构,保证电子文件的可靠性,使之与纸质文件一样发挥社会效用。

二.加强交通信息化安全保障体系建设及其基本要求

信息安全保障体系是基于PKI体系而开发的为多个应用系统提供统一认证、访问控制、应用审计和远程接入的应用安全网关系统,它可以将不同地理位置、不同基础设施(主机、网络设备和安全设备等)中分散且海量的安全信息进行样式化、汇总、过滤和关联分析,形成基于基础设施与域的统一等级的威胁与风险管理,并依托安全知识库和工作流程驱动,对威胁与风险进行响应和处理。信息安全保障体系的基本要求主要体现在以下几个方面:

1)保密性

主要体现在谁能拥有信息,如何保证秘密和敏感信息仅为授权者享有。

2)可用性

主要体现在信息和信息系统是否能够使用以及如何保证信息和信息系统随时可为授权者提供服务而不被非授权者滥用。

3)完整性

主要体现在拥有的信息是否正确以及如何保证信息从真实的信源发往真实的信宿,传输、存储、处理中未被删改、增添、替换。

4)可控性

主要体现在是否能够监控管理信息和系统以及如何保证信息和信息系统的授权认证和监控管理。

5)不可否认性

主要体现在信息行为人为信息行为承担责任,保证信息行为人不能否认其信息行为。

三.交通信息化人才队伍建设

这是交通信息化成功之本,对其他各个要素的发展速度和质量起着决定性的作用。在“信息化”的时代的今天,信息技术快速发展,掀起了以数字革命为特征的信息技术浪潮,改变了人们的时间和空间的概念以及思维方式。信息技术的快速发展和广泛应用,对经济和社会的发展产生了深远的影响。档案管理工作也不例外,同样需要现代化。目前,我国各级交通管理部门也纷纷加强信息技术建设。加强信息化条件下的档案管理工作,是适应时代和社会发展的必然选择,是加快交通信息化管理的客观要求,也是提高服务水平的唯一途径。

四.交通信息化建设安全策略

1.安全策略体系

网络安全策略是为了保护网络不受来自网络内外的各种危害而采取的防范措施的总和,因此信息安全策略是信息安全保障体系建设和实施的指导和依据,全面科学的安全策略体系应贯穿信息安全保障体系建设的始终。安全策略体系,主要包含安全政策体系、安全组织体系、安全技术体系和安全运行体系四个方面的要素,在采用各种安全技术控制措施的同时,必须制订层次化的安全策略,完善安全管理组织机构和人员配备,提高安全管理人员的安全意识和技术水平,完善各种安全策略和安全机制,利用多种安全技术实施和网络安全管理实现对网络的多层保护,减小网络受到攻击的可能性,防范网络安全事件的发生,提高对安全事件的反应处理能力,并在网络安全事件发生时尽量减少事件造成的损失。

2.安全运营体系

交通电子政务的安全运营体系一般可由安全体系推广与落实、项目建设的安全管理、安全风险管理与控制和日常安全运行与维护四个部分组成。安全运营体系是一个完整的过程体系,在交通信息化建设的整个过程中,正常的运作流程,其信息流遵循自上而下的流程,即交通上级部门根据电子政务平台信息安全需求的目标、规划和控制要求做计划,下级交通部门根据计划进行执行、检查和改进。而若其安全性出现威胁,影响正常的运作流程时,此时信息流则遵循自下而上的逆向过程,下级交通部门向上级部门报送安全事件,上级部门根据其安全事件进行分析、总结和改进。

3.安全组织体系

政府高度重视交通运输信息化工作的同时,坚持把“积极防御,综合防范”放在优先位置,首先要求成立专门的信息安全领导小组。信息安全领导小组可由交通主管领导担任领导小组组长主管信息安全工作,下设信息安全工作组,各管理部门负责人、业务部门负责人为成员。

五.结语

总之,交通信息化建设安全保障体系的基本要求主要从技术和管理两个层面得以实现。技术层面在实现信息资源的公开性、共享性和可访问性的同时,通过主机安全、网络安全、物理安全、数据安全和应用安全等技术要素保障信息的安全性。管理层面则可通过安全管理机制、安全管理制度、人员安全管理、系统建设管理以及系统运营管理等规范化机制得以保障信息的安全性。

参考文献: