您的位置:360文档中心› 档案信息安全管理中的防护策略和保密措施

档案信息安全管理中的防护策略和保密措施

合集下载
相关主题
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

兰台世界2012·8月中旬

ANQUANBAOZHANG

★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★

黑龙江大学王滨娜

信息安全问题已引起我国政府和专家的高度重视,

至今,我国已制定出一系列数字信息安全的法规制度,成立了安全产品测评中心等安全机构,提出了国家信息安全的总体战略和系统规划。

信息安全防护保密

摘要关键词档案信息安全包括系统运行安全和数据安全,所谓系统运行安

全是指档案信息系统设计合理、运行正常,管理人员操作规范、管理严密,整个信息系统能够按照设定的要求正常运转,发挥预定的各项功能,系统运行安全是信息安全的基础。档案数据安全是指档案信息的存储和传输安全,即在保管利用档案信息的过程中,维护档案信息的真实性、完整性、保密性和有效性。

从系统结构来看,档案信息安全贯穿于信息系统各个层次。物理层安全的主要任务是防止对物理通路的损坏、窃听、攻击、干扰,保证只给授权客户提供授权服务;操作系统安全要求保证用户资料、操作系统访问控制安全,同时对操作系统中的应用进行审计;应用平台安全的任务是保证应用软件服务器、数据库服务器、电子邮件服务器、WEB 服务器等设备软件环境的安全;档案应用系统的任务则是在档案管理系统设计和实现过程中,有效利用应用平台提供的各种安全服务,构筑起满足档案管理安全要求的安全保障体系。

一、防护策略

1.应用综合手段,构筑立体防护体系。档案信息系统的复杂性、开放性及其面临威胁的多面性,决定着其安全防护是一项整体、综合性的系统工程,必须采用综合的防护措施,任何一个环节出现漏洞,都可导致整个安全体系的崩溃,带来灾难性的后果。拥有500台大中型计算机的美国国防部M ILNET 安全防护体系可谓极其严密,但仅因为其中一台计算机的网关偶然出现问题而被黑客侵入,使系统遭受巨大损失。事实证明,有效的安全防护体系必须从系统设计、人员管理、制度规范、技术手段等各个方面进行综合保障。

2.确立适宜的防护等级。安全体系的构建需要相当的经费投入,并且往往以牺牲运行性能为代价。例如,在信息网络的内外之间加置防火墙,安全性能要求越高,价格就越贵,对内外信息流的滞延就越大。因此,对档案信息安全性能的要求不是无限度的,必须以威胁的风险系数为依据,确定适宜的安全等级,设计相应的安全体系。所谓“安全等级”是为规范对计算机系统安全状况的认定而统一规定的计算机系统安全保护能力的若干等级。在国际上,比较通行的是美国国防部发布的《可信计算机系统评价准则》,该准则将计算机系统及其产品的安全可信程度划分为D 、C1、C2、B1、B2、B3和A1七个层次。我国国家标准则将计算机信息系统(包括系统)的安全保护能力设定为用户自主保护级、系统审计保护级、安全标记保护级、机构化保护级、访问验证保护级五个安全保护等级。

3.加快国产化研发步伐。如前所述,目前我国信息产品主要依赖于进口,IT 技术受控于西方。这种对产品缺乏自主权和自控权的状况,潜伏着极大的风险。必须意识到国外产品在设计初衷里可能已包含了政治目的,进口产品中可能存在嵌入式固件病毒、隐性通道等。根据美国的国防政策,美国政府规定,向国外出口的交换机的交换次数不能太多,向中国出口的信息安全产品必须是美国能够充分破解的。目前,美国向中国出口的产品,加密强度非常低,鉴于此,安全系统的设计和建设应尽可能采用国有技术,尤其是实现安全产品的国产化,以保证档案信息的安全性。

4.提升防护技术能力。在构筑档案信息的安全检查体系时,必须采用当时最先进的防护技术(不一定是最高档的措施),同时,既考虑到用户环境的发展,也考虑到风险的存在。安全威胁与安全防护是相互对抗的动态过程。随着技术的发展,

危害安全的手段越来越高明,工具越来越先进,与之对峙的安全技术必须相应发展。档案信息安全防护技术只有不断升级,安全措施不断改善,才可能适应日趋严峻的安全问题。

5.层级防护不留漏洞。信息系统具有层次性,因此,其安全防护也是一个层次结构。在不同层次,有不同安全需求和不同解决方案。安全防护体系唯有全方位覆盖,才可能做到安全可靠、不留漏洞。安全防护遵循著名的“木桶理论”,即一个系统的防护能力不超过其中安全性能最薄弱环节的安全防护能力。

为提高档案信息安全防护的效率和效益,防护体系中各个层次、各个方面的防护力度相差不能太大,换言之,各个层次每一环节的安全防护等级应当相同。

二、保密措施

档案信息不同于一般信息,它记录着党和国家事务活动的历史过程。档案中有相当部分涉及国家机密,关系国家安全,包含国家政治、

经济、科技、军事、文化等方面的敏感信息,具有较强的保密性和利用限制性。这些信息一旦泄密或被非法利用,将威胁到国家的安全,损害公众的利益,危及社会稳定。档案信息特有的原生性及其在凭证历史方面的不可替代性,也决定了对其在数字环境中存储、传输的可靠性、稳定性要求高于其它信息,安全措施更为复杂。

1.库房是档案保密的重点。档案库房应按照国家有关规定单独兴建,

但是有一些不具备条件的单位,往往将库房附设在机关办公楼内。从档案保密的角度来看,不是任何一间办公室都可以用作库房。而且不宜将库房设在办公楼的最底层,库房门窗等设施应专门加固,以防被盗。尽量做到库房与办公室分开,库房与阅览室分开。档案库房应指定专人负责管理,制定严格的库房管理制度,无关人员一律禁止入内。实践证明,档案库房的科学管理,是做好档案保

密、

维护档案安全的基本保障。2.档案利用中的保密措施。档案利用中的监督是保密工作的一项重要措施,它能有效地发现、制止、纠正档案利用中的各种不良行为,从而起到既能利用档案,又能保证档案完整与安全的作用。(1)制度建设。档案利用规章制度一般有阅览制度、外借制度、复印制度等。根据实际情况确定不同的利用范围,规定不同的审批手续,使提供“利用”工作有章可循,确保不失密、不泄密及文件的完好无损。

64

相关文档
最新文档