時(shí)間:2023-10-11 10:16:11
序論:寫(xiě)作是一種深度的自我表達(dá)。它要求我們深入探索自己的思想和情感,挖掘那些隱藏在內(nèi)心深處的真相,好投稿為您帶來(lái)了七篇信息安全保障范文,愿它們成為您寫(xiě)作過(guò)程中的靈感催化劑,助力您的創(chuàng)作。
1 綜合治理信息安全的戰(zhàn)略背景
IT管理技術(shù)發(fā)展歷程,從被動(dòng)管理轉(zhuǎn)向主動(dòng)管理,從服務(wù)導(dǎo)向轉(zhuǎn)向業(yè)務(wù)價(jià)值。在科學(xué)的IT管理方法論方面形成了一系列標(biāo)準(zhǔn):諸如ITIL/ITSM以流程為中心的IT管理行業(yè)標(biāo)準(zhǔn);ISO20000ITIL 的國(guó)際標(biāo)準(zhǔn); COBIT面向IT審計(jì)的IT管理標(biāo)準(zhǔn);COSO企業(yè)內(nèi)部控制框架,面向內(nèi)部控制;ISO17799:信息安全管理國(guó)際標(biāo)準(zhǔn)。當(dāng)前有很多非常好的綜合性標(biāo)準(zhǔn)與規(guī)范可以參考,其中非常有名的就是ISO/IEC27000系列標(biāo)準(zhǔn)。ISO/IEC 27001通過(guò)PDCA過(guò)程,指導(dǎo)企業(yè)如何建立可持續(xù)改進(jìn)的體系。
目前企業(yè)IT運(yùn)維管理現(xiàn)狀。需求變化:IT本身快速變更;管理目標(biāo)多角度變換并存。資源不足:IT 復(fù)雜性成長(zhǎng)快于人員成長(zhǎng);IT 人員持續(xù)流動(dòng)。業(yè)務(wù)影響:難以判斷事件對(duì)業(yè)務(wù)的影響和處理事件的優(yōu)先級(jí)。信息孤島:IT 資源多樣性的,不能進(jìn)行事件的關(guān)聯(lián)分析,缺少統(tǒng)一的健康視圖。IT網(wǎng)絡(luò)與信息系統(tǒng)運(yùn)維存在監(jiān)測(cè)盲點(diǎn),缺少主動(dòng)預(yù)警和事件分析機(jī)制。
如何把此項(xiàng)復(fù)雜的工程進(jìn)行細(xì)化與落地,建立信息安全保障框架?在企業(yè)有限的IT資源(包括人員、系統(tǒng)等)等的前提下,IT運(yùn)營(yíng)面臨嚴(yán)峻的挑戰(zhàn),企業(yè)多半缺乏信息系統(tǒng)應(yīng)用開(kāi)發(fā)能力,在很大程度上依賴于產(chǎn)品開(kāi)發(fā)商的支持,為此,要想實(shí)現(xiàn)從混亂到清晰、從被動(dòng)到主動(dòng)、從應(yīng)付到實(shí)現(xiàn)價(jià)值取向的服務(wù)思想,自主加外包的混合運(yùn)維方式無(wú)疑是一種好的服務(wù)方式。
2 建立和實(shí)施信息安全保障體系思路和方法
針對(duì)IT管理問(wèn)題和價(jià)值取向的服務(wù)方式,借鑒PDCA工作循環(huán)原理和標(biāo)準(zhǔn)化體系建設(shè)方法,從建立安全目標(biāo)和組織體系、制度體系和技術(shù)體系等三個(gè)主要層面構(gòu)建實(shí)施信息安全保障體系,以規(guī)范引導(dǎo)人、以標(biāo)準(zhǔn)流程引導(dǎo)人,以業(yè)績(jī)激勵(lì)人,從而促被動(dòng)變主動(dòng),堅(jiān)持持續(xù)改善,促進(jìn)工作效率,促進(jìn)安全保障。
2.1 建立和推行目標(biāo)管理
體系建設(shè)應(yīng)以目標(biāo)管理為先導(dǎo)、循序漸進(jìn),按頂層布局、中層發(fā)力、底層推動(dòng)內(nèi)容設(shè)計(jì)與構(gòu)建,為此,借鑒當(dāng)前IT運(yùn)維管理目標(biāo)演進(jìn)方式,確立各階段建設(shè)目標(biāo)。
基礎(chǔ)架構(gòu)建設(shè)階段(SMB),手工維護(hù)階段。主要實(shí)現(xiàn)IT基礎(chǔ)架構(gòu)建設(shè)。
網(wǎng)絡(luò)和系統(tǒng)監(jiān)控(NSM)階段,重視自動(dòng)化監(jiān)控階段。主要實(shí)現(xiàn)IT設(shè)備維護(hù)和管理。
IT服務(wù)管理(ITSM)階段,重視流程管理階段。主要實(shí)現(xiàn)IT服務(wù)流程管理。
業(yè)務(wù)服務(wù)管理(BSM)階段,重視用戶服務(wù)質(zhì)量與滿意度。主要實(shí)現(xiàn)IT與業(yè)務(wù)融合管理。
從IT投入和業(yè)務(wù)價(jià)值來(lái)看,前三個(gè)階段是間接業(yè)務(wù)價(jià)值,第四階段才是直接業(yè)務(wù)價(jià)值。
根據(jù)ITIL這個(gè)IT服務(wù)管理的方法論,先是搭建一個(gè)框架,借用工具的配合促進(jìn)落地。如圖1、IT運(yùn)維管理系統(tǒng)參考模型。
從安全目標(biāo)出發(fā),結(jié)合IT運(yùn)維管理系統(tǒng)參考模型,每個(gè)階段的工作向著實(shí)現(xiàn)直接業(yè)務(wù)價(jià)值,不斷消除或減輕對(duì)性能的約束,促進(jìn)IT產(chǎn)品或服務(wù)滿足確定的規(guī)范,實(shí)現(xiàn)企業(yè)效益最大化。服務(wù)好用屬性通過(guò)最終的績(jī)效和檢驗(yàn)結(jié)果監(jiān)視測(cè)量?jī)r(jià)值成分。如圖2。
2.2 規(guī)劃融合信息安全保障體系
通過(guò)從組織體系、制度體系、技術(shù)體系層面建立和實(shí)施縱深防御體系,實(shí)現(xiàn)穩(wěn)健的信息安全保障狀態(tài)。
①組織體系:通過(guò)企業(yè)中高層的支持實(shí)現(xiàn)業(yè)務(wù)驅(qū)動(dòng)和共同推動(dòng)信息安全體系建設(shè)。當(dāng)然,需要提出的問(wèn)題,組織有可能要依賴長(zhǎng)期可靠的合作伙伴:通過(guò)長(zhǎng)期可靠的合作關(guān)系,快速引進(jìn)外部專業(yè)資源和先進(jìn)技術(shù),可以幫助企業(yè)推動(dòng)信息安全建設(shè)工作。為了幫助組織內(nèi)外信息系統(tǒng)人員更好地遵守行業(yè)規(guī)范及法律要求,企業(yè)實(shí)施IT網(wǎng)絡(luò)與信息系統(tǒng)安全運(yùn)維體系標(biāo)準(zhǔn),組織應(yīng)做到定期對(duì)全體員工進(jìn)行信息安全相關(guān)教育,包括:技能、職責(zé)和意識(shí),通過(guò)相關(guān)審核,證明組織具備實(shí)施體系的意識(shí)和能力。
②制度體系:企業(yè)IT網(wǎng)絡(luò)與信息系統(tǒng)安全運(yùn)維系統(tǒng)建設(shè)的范圍包括機(jī)房安全、數(shù)據(jù)安全、網(wǎng)絡(luò)安全、服務(wù)器安全、業(yè)務(wù)應(yīng)用安全、終端安全等。為此,企業(yè)應(yīng)明確內(nèi)部運(yùn)維和外部協(xié)同的內(nèi)容及其標(biāo)準(zhǔn)規(guī)范,包括績(jī)效標(biāo)準(zhǔn)。建立實(shí)施IT網(wǎng)絡(luò)與信息系統(tǒng)安全運(yùn)維體系標(biāo)準(zhǔn),首先把高效的信息安全做法固化下來(lái)形成規(guī)則制度或標(biāo)準(zhǔn),成為組織中信息安全行為準(zhǔn)則。保證事前預(yù)防、事中監(jiān)控和事后審計(jì)等安全措施的得到有效執(zhí)行與落實(shí)。
③技術(shù)體系:一般來(lái)說(shuō),網(wǎng)絡(luò)設(shè)備技術(shù)體系可以按照從上到下信息所流經(jīng)的設(shè)備來(lái)部署工具。即從數(shù)據(jù)安全、終端安全、應(yīng)用安全、操作系統(tǒng)與數(shù)據(jù)庫(kù)安全、網(wǎng)絡(luò)安全、物理安全六個(gè)方面來(lái)選擇不同的安全工具。按照“適度防御”原則,綜合采用各種安全工具進(jìn)行組合,形成企業(yè)“適用的”安全技術(shù)防線。適時(shí)根據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)果,采取相應(yīng)措施,降低風(fēng)險(xiǎn)。
其中,需要采用1~2種綜合管理的工具來(lái)幫助把所有的安全監(jiān)控工具進(jìn)行統(tǒng)一管控。例如SOC是給企業(yè)日常維護(hù)管理者使用,ITRM作為綜合風(fēng)險(xiǎn)呈現(xiàn),是給企業(yè)風(fēng)險(xiǎn)或安全管理層使用。
④體系運(yùn)行和監(jiān)控:體系的日常運(yùn)行和監(jiān)控就是從信息的生命周期進(jìn)行流程控制,即在信息的創(chuàng)建、使用、存儲(chǔ)、傳遞、更改、銷毀等各個(gè)階段進(jìn)行安全控制。之前不能忽視在信息創(chuàng)建開(kāi)發(fā)安全階段的一個(gè)細(xì)化控制手段。在運(yùn)行體系建設(shè)中,往往需要結(jié)合流程分析來(lái)關(guān)注信息的生命周期安全。運(yùn)行過(guò)程中還有一個(gè)應(yīng)急管理,包括災(zāi)備中心建設(shè)、業(yè)務(wù)連續(xù)性計(jì)劃、應(yīng)急響應(yīng)等等都有相應(yīng)的標(biāo)準(zhǔn)與理論支持。特別是BS25999標(biāo)準(zhǔn)的頒布,給如何建立一套完善的應(yīng)急體系提供了參考。
3 企業(yè)建立和實(shí)施信息安全保障體系實(shí)踐
面對(duì)網(wǎng)絡(luò)系統(tǒng)互連,網(wǎng)絡(luò)技術(shù)與設(shè)備的安全管理規(guī)范的完善這個(gè)復(fù)雜而且浩大的工程,井岡山卷煙廠不僅依靠個(gè)體分散的技術(shù)措施或者管理防護(hù),而且結(jié)合國(guó)家、社會(huì)和個(gè)人的力量構(gòu)建綜合保障體系。
①依據(jù)ISO9000、ISO14000和OHSAS18000標(biāo)準(zhǔn),國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)和信息安全相關(guān)法律法規(guī),參考當(dāng)前科學(xué)的IT管理方法論方面形成了一系列標(biāo)準(zhǔn),結(jié)合YC/T384煙草企業(yè)安全生產(chǎn)標(biāo)準(zhǔn)等,識(shí)別這些與信息安全相關(guān)的法律法規(guī)及其它要求,將信息安全保障體系(框架)融合到企業(yè)質(zhì)量、環(huán)境和職業(yè)健康安全(以下簡(jiǎn)稱為三標(biāo))綜合管理體系。
②確定信息安全管理目標(biāo)并分步實(shí)施企業(yè)三年信息化發(fā)展規(guī)劃。自2012年開(kāi)始,企業(yè)對(duì)照YC/T384煙草企業(yè)安全生產(chǎn)標(biāo)準(zhǔn)要求,在梳理和評(píng)價(jià)2000年以來(lái)企業(yè)多個(gè)企業(yè)信息化三年實(shí)施規(guī)劃實(shí)踐環(huán)境以后,制訂了新的三年信息安全管理目標(biāo)和建設(shè)規(guī)劃,將目標(biāo)和規(guī)劃分解到各年度實(shí)施,并納入到企業(yè)年度三標(biāo)綜合管理體系建設(shè)目標(biāo)和管理績(jī)效考核。
③建立信息安全管理組織和工作標(biāo)準(zhǔn),同時(shí)納入三標(biāo)綜合管理體系管理考核。從體系結(jié)構(gòu)上促成企業(yè)作業(yè)層、管理層(中間層)和決策層的信息化,實(shí)現(xiàn)企業(yè)的物資(服務(wù))流、資金流和信息流的一體化,及時(shí)、準(zhǔn)確和完整地傳遞企業(yè)的經(jīng)營(yíng)數(shù)據(jù),保證企業(yè)的經(jīng)營(yíng)管理。利用信息化改進(jìn)管理,形成企業(yè)信息安全文化,促進(jìn)員工接受、理解和主動(dòng)配合,不斷提升全員的信息安全意識(shí)和技能,從而使信息安全管理真正落到實(shí)處。
④建立和實(shí)施信息安全保障體系文件標(biāo)準(zhǔn)。根據(jù)國(guó)家信息安全相關(guān)的法律法規(guī)及其它要求,結(jié)合行業(yè)和企業(yè)的特點(diǎn)和發(fā)展趨勢(shì),規(guī)范管理流程和模式。網(wǎng)絡(luò)與信息系統(tǒng)建設(shè)“立足長(zhǎng)遠(yuǎn)、分步實(shí)施、突出重點(diǎn)”,做到“統(tǒng)一規(guī)劃、統(tǒng)一標(biāo)準(zhǔn)、統(tǒng)一平臺(tái)、統(tǒng)一編碼”,同步實(shí)施信息系統(tǒng)等級(jí)保護(hù)制度,促進(jìn)企業(yè)與信息系統(tǒng)項(xiàng)目合作單位、地方通訊和公安等部門的社會(huì)化合作主要方式。企業(yè)內(nèi)部各項(xiàng)工作實(shí)現(xiàn)規(guī)范化、信息化,做到一切工作都按照程序辦,同時(shí),事事處于相互制衡的環(huán)境之下、人人處于監(jiān)督管理之中,從而形成職責(zé)明確、運(yùn)轉(zhuǎn)協(xié)調(diào)、相互制衡的工作機(jī)制,為企業(yè)內(nèi)部信息安全監(jiān)管提供強(qiáng)有力的保障。
幾年來(lái),企業(yè)堅(jiān)持企業(yè)信息安全方針目標(biāo),以迅速響應(yīng)服務(wù)為宗旨。企業(yè)信息安全保障體系建設(shè)緊緊圍繞建立科學(xué)、規(guī)范、和諧、統(tǒng)一、開(kāi)放的管理體系,全面融入了質(zhì)量、安全和環(huán)境管理體系一體化建設(shè)和實(shí)踐,截止到2015年底,企業(yè)共梳理建立或整合并實(shí)施安全保障類文件包括企業(yè)管理標(biāo)準(zhǔn)、技術(shù)標(biāo)準(zhǔn)和工作標(biāo)準(zhǔn)共計(jì)31個(gè)標(biāo)準(zhǔn)文件。通過(guò)創(chuàng)新與改善和體系審核、管理評(píng)審和提高文件執(zhí)行率及持續(xù)改進(jìn)方式保持了信息安全保障管理體系的持續(xù)改進(jìn)和有效運(yùn)行。
計(jì)算機(jī)網(wǎng)絡(luò)是一個(gè)互動(dòng)交流的平臺(tái),因特網(wǎng)信息相對(duì)繁雜,因?yàn)槠溟_(kāi)放性,所以極易引發(fā)惡意利用等問(wèn)題。而黑客入侵就位居其中之列,黑客們往往會(huì)鉆網(wǎng)絡(luò)漏洞的空隙,趁虛而入,進(jìn)而竊取密碼等相關(guān)隱私信息或加以破壞,最嚴(yán)重情況下可能造成整個(gè)網(wǎng)絡(luò)的癱瘓。外部攻擊致使安全隱患頻發(fā)。除了外部黑客惡意破壞,企業(yè)員工結(jié)合各種辦法同外界相互勾結(jié),致使企業(yè)受損現(xiàn)象也是時(shí)有發(fā)生的。企業(yè)員工素質(zhì)及能力存在不均衡現(xiàn)象,有較為優(yōu)秀的,當(dāng)然也有些魚(yú)目混珠的,致使理念上產(chǎn)生偏差,比如像導(dǎo)致信息出現(xiàn)格式化、主要數(shù)據(jù)丟失、無(wú)用信息鋪天蓋地等狀況。部分擁有技術(shù)能力員工,能夠?qū)χ付☉?yīng)用程序進(jìn)行修改,讓該類程序特定時(shí)間內(nèi)運(yùn)行致使企業(yè)大批私密信息外泄,為企業(yè)帶來(lái)無(wú)法估量的經(jīng)濟(jì)損失。還有些如入無(wú)人之境像走綠燈一樣隨便進(jìn)入信息內(nèi)部系統(tǒng),并且對(duì)計(jì)算機(jī)運(yùn)行實(shí)行監(jiān)控,這種行為是比較惡劣還有嚴(yán)重的。企業(yè)內(nèi)部員工,只有少部分對(duì)網(wǎng)絡(luò)系統(tǒng)擁有合法訪問(wèn)權(quán),除此以外我們國(guó)家大部分企業(yè)使用的網(wǎng)絡(luò)軟硬件都是結(jié)合專有企業(yè)產(chǎn)品,這樣就導(dǎo)致部分廠商對(duì)計(jì)算機(jī)的網(wǎng)絡(luò)訪問(wèn)是具有合法權(quán)限的,另外警察與部分政府相關(guān)工作人員對(duì)企業(yè)信息訪問(wèn)也是合法的。
2計(jì)算機(jī)的網(wǎng)絡(luò)安全問(wèn)題
網(wǎng)絡(luò)信息條件下,計(jì)算機(jī)的網(wǎng)絡(luò)安全相關(guān)問(wèn)題大多集中在計(jì)算機(jī)軟件開(kāi)發(fā)途中。軟件本身存在漏洞對(duì)信息安全構(gòu)成威脅可以說(shuō)是最大的。信息化建設(shè)過(guò)程中,要對(duì)使用軟件加大注意力。應(yīng)用網(wǎng)絡(luò)的時(shí)候,信息傳輸不會(huì)因?yàn)榫W(wǎng)絡(luò)故障而終止,但因?yàn)榫W(wǎng)絡(luò)功能基礎(chǔ)就是計(jì)算機(jī)相關(guān)系統(tǒng)軟件使用,因?yàn)橄到y(tǒng)本身問(wèn)題致使該部分漏洞成為攻擊者違法犯罪的可乘之機(jī)。除了軟件本身與網(wǎng)絡(luò)本身問(wèn)題,相關(guān)管理人員選擇也是很重要的一個(gè)環(huán)節(jié),信息化建設(shè)途中結(jié)合大型軟件的使用,對(duì)使用者在依照說(shuō)明對(duì)軟件進(jìn)行使用的時(shí)候提出了更高的要求,對(duì)軟件升級(jí)也是提升信息安全不錯(cuò)的選擇。使用的時(shí)候,應(yīng)當(dāng)將密碼及用戶名保存視為重點(diǎn)關(guān)注事項(xiàng),不應(yīng)當(dāng)選擇設(shè)備本身默認(rèn)密碼及用戶名。
3信息安全保障對(duì)策
企業(yè)信息化建設(shè)中對(duì)于信息安全同企業(yè)發(fā)展兩者相輔相成、缺一不可,這種意識(shí)一定要樹(shù)立起來(lái)。我們不妨進(jìn)行一下聯(lián)想,假使企業(yè)重要信息被盜取亦或是出現(xiàn)外泄情況,那么后果將是不堪設(shè)想的。因此企業(yè)先要做的事情就是安全意識(shí)的培養(yǎng),只有意識(shí)和理念樹(shù)立起來(lái),后續(xù)工作開(kāi)展才可以更加便利。(1)對(duì)設(shè)備進(jìn)行定期檢查。計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備是計(jì)算機(jī)的網(wǎng)絡(luò)系統(tǒng)中極為重要的一部分,定期對(duì)設(shè)備安全性進(jìn)行檢查,是保障計(jì)算機(jī)網(wǎng)絡(luò)安全運(yùn)行的前提。設(shè)備安全得以維護(hù)了,網(wǎng)絡(luò)的傳輸介質(zhì)就得以維護(hù)了,經(jīng)常使用相應(yīng)軟件對(duì)端口進(jìn)行維護(hù)是計(jì)算機(jī)網(wǎng)絡(luò)安全的必要工作。(2)設(shè)置防火墻確保網(wǎng)絡(luò)的安全運(yùn)行。防火墻是保護(hù)網(wǎng)絡(luò)安全中一項(xiàng)形而有效的舉措。當(dāng)黑客入侵時(shí),防火墻就起到積極屏障與杜絕的作用。防火墻位于網(wǎng)絡(luò)連接處,它對(duì)網(wǎng)絡(luò)連接起到了控制作用,并對(duì)外部的非法用戶加以限制與阻攔,保護(hù)內(nèi)部資源不受侵害,對(duì)數(shù)據(jù)傳輸也起到干涉作用。防火墻相當(dāng)于一層網(wǎng)絡(luò)保護(hù)膜,它可以對(duì)盜竊與破壞活動(dòng)加以阻撓。防火墻具有非常強(qiáng)的防范作用,它可以積極阻攔外界的進(jìn)攻和滲透,我們也可以毫不夸張的說(shuō)它是網(wǎng)絡(luò)的保鏢。(3)強(qiáng)化企業(yè)管理工作結(jié)合信息安全種類與等級(jí)想出針對(duì)性的解決策略,并且提前想出多種安全事故應(yīng)對(duì)構(gòu)想。但凡有信息安全的危機(jī)發(fā)生的時(shí)候,企業(yè)要快速組織應(yīng)急小組,結(jié)合危機(jī)管理預(yù)案及處理步驟,對(duì)危機(jī)進(jìn)行處理,切記不要慌張,要冷靜沉思,積極靈活應(yīng)對(duì),避免操作不當(dāng)而使事態(tài)變得更為嚴(yán)重?zé)o可挽回。除此以外,對(duì)于信息安全相關(guān)知識(shí)做相關(guān)教育和培訓(xùn)的工作,綜合提升工作人員危機(jī)處理能力也是極其有必要的。(4)提升企業(yè)員工綜合素質(zhì)及能力信息安全可以看成是一項(xiàng)整體的、系統(tǒng)化的工程,信息安全要靠信息化建設(shè)當(dāng)中,結(jié)合系統(tǒng)面對(duì)的整體威脅,攻擊,漏洞等采取相應(yīng)應(yīng)對(duì)措施。人是所有工作開(kāi)展的先決條件,只有擁有一支能力強(qiáng)、素質(zhì)高的管理班子,才可以于日常管理當(dāng)中對(duì)各項(xiàng)工作操作的更為專業(yè)化,假使有問(wèn)題產(chǎn)生的話,也可以第一時(shí)間想出專業(yè)應(yīng)對(duì)方法及策略,對(duì)于信息系統(tǒng)安全建設(shè)可以說(shuō)是有著非常大的幫助的。
4結(jié)語(yǔ)
1我省林業(yè)信息化安全形勢(shì)嚴(yán)峻
我省林業(yè)系統(tǒng)信息安全面臨的形勢(shì)不容樂(lè)觀,從省直機(jī)關(guān)及部分地市單位的調(diào)查結(jié)果看,有39%的單位發(fā)生過(guò)信息安全事件,說(shuō)明我省林業(yè)系統(tǒng)網(wǎng)絡(luò)和信息安全基礎(chǔ)還比較薄弱,保障機(jī)制尚待健全。主要有以下四個(gè)方面表現(xiàn)。
1.1從發(fā)生信息安全事件的結(jié)構(gòu)上看,超過(guò)半數(shù)的屬于感染病毒、木馬。引起事件的原因35.5%來(lái)自于單位外部,主要原因是未修補(bǔ)或升級(jí)軟件漏洞。42.2%的事件損失比較輕微,只有0.9%的事故屬于比較嚴(yán)重。而對(duì)于事件的覺(jué)察,36%是通過(guò)網(wǎng)絡(luò)管理員工作監(jiān)測(cè)發(fā)現(xiàn),22.7%是事后分析發(fā)現(xiàn)。這說(shuō)明,我省林業(yè)網(wǎng)絡(luò)安全形勢(shì)總體上是好的,但也說(shuō)明網(wǎng)絡(luò)與信息安全事件總體防范能力不足,缺乏對(duì)安全事件的提前預(yù)防。
1.2從信息安全管理來(lái)看,有74%的單位制定了安全管理規(guī)章制度,78%的單位能做到隨時(shí)進(jìn)行安全檢查,61.1%的部門在管理中采取口令加密。這說(shuō)明林業(yè)系統(tǒng)內(nèi)大部門單位已經(jīng)認(rèn)識(shí)到了信息安全的重要性,但管理手段單一,技術(shù)落后,缺乏有效的身份認(rèn)證、授權(quán)管理和安全審計(jì)手段。
1.3從信息安全投資來(lái)看,只有14.70%的單位信息安全投入達(dá)到了15%,70%的單位信息安全投資低于信息化項(xiàng)目總投資的10%,甚至還有7%的單位在信息安全方面從來(lái)沒(méi)有過(guò)投資。說(shuō)明整體網(wǎng)絡(luò)與信息安全投入明顯不足。
1.4從專職人員配備情況來(lái)看,只有46%的部門有專職的信息安全人員,大部分是兼職人員或外包服務(wù)。僅有3.8%的單位組織了對(duì)單位全體員工的信息安全培訓(xùn),而對(duì)于網(wǎng)絡(luò)安全管理技術(shù)人員的培訓(xùn)也只有46%的單位搞過(guò)。從業(yè)人員不足,安全培訓(xùn)少,也是影響信息安全的一個(gè)重要因素。上述現(xiàn)狀,反映出我省林業(yè)系統(tǒng)網(wǎng)絡(luò)與信息安全意識(shí)淡薄,信息系統(tǒng)綜合防范手段匱乏,信息安全管理薄弱,應(yīng)急處理能力不強(qiáng),信息安全管理和技術(shù)人才缺乏。隨著我省林業(yè)信息化建設(shè)和應(yīng)用的加快,多樣化的侵害和信息安全隱患將會(huì)不斷地暴露出來(lái),使我省林業(yè)網(wǎng)絡(luò)與信息安全工作面臨著更大的威脅和風(fēng)險(xiǎn)。
2我省林業(yè)系統(tǒng)信息安全保障思路及主要任務(wù)
省委省政府關(guān)于建設(shè)“平安山東”的決定,提出了把我省建設(shè)成為全國(guó)最穩(wěn)定、最安全的地區(qū)之一的明確目標(biāo)和任務(wù),切實(shí)加強(qiáng)網(wǎng)絡(luò)與信息安全保障工作是大力推進(jìn)國(guó)民經(jīng)濟(jì)和社會(huì)信息化的重要保障,是平安山東建設(shè)的重要內(nèi)容。省政府印發(fā)的山東省國(guó)民經(jīng)濟(jì)和社會(huì)信息化的十二五規(guī)劃,把信息安全保障體系作為主要內(nèi)容之一。在此基礎(chǔ)上,林業(yè)信息化建設(shè)以全面提高網(wǎng)絡(luò)與信息安全的保障能力為己任,努力開(kāi)創(chuàng)了我省信息化建設(shè)與信息安全保障體系相互適應(yīng)、共同進(jìn)步的新局面。
2.1信息安全保障工作的思路以科學(xué)發(fā)展觀為指導(dǎo),認(rèn)真貫徹“積極防御,綜合防范”的方針,加強(qiáng)網(wǎng)絡(luò)信任體系、信息安全監(jiān)控體系和應(yīng)急保障體系建設(shè),全面提高林業(yè)系統(tǒng)網(wǎng)絡(luò)與信息安全防護(hù)和應(yīng)急事件處置能力,重點(diǎn)保障我省林業(yè)基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)安全;強(qiáng)化林業(yè)信息安全制度建設(shè)和人才隊(duì)伍建設(shè),充分發(fā)揮各方面的積極性,協(xié)同構(gòu)筑我省網(wǎng)絡(luò)與信息安全保障體系。
2.2信息安全保障工作的主要任務(wù)
2.2.1建立健全我省信息安全管理體制,充分發(fā)揮網(wǎng)絡(luò)與信息安全建設(shè)的作用,建立了信息安全的通報(bào)制度,形成我省林業(yè)信息安全相關(guān)部門密切配合的良好機(jī)制。
2.2.2積極推進(jìn)了信息風(fēng)險(xiǎn)評(píng)估和等級(jí)保護(hù)制度的建立。省信息辦制定了山東省信息安全風(fēng)險(xiǎn)評(píng)估實(shí)施辦法,介紹了實(shí)施風(fēng)險(xiǎn)評(píng)估的方法和流程,十一五期間,已選取了多家單位作為試點(diǎn),下一步將根據(jù)自己工作實(shí)施風(fēng)險(xiǎn)評(píng)估,并爭(zhēng)取在全省范圍內(nèi)推廣。
2.2.3大力促進(jìn)網(wǎng)絡(luò)與信息安全的制度建設(shè),積極貫徹有關(guān)信息安全標(biāo)準(zhǔn)的應(yīng)用和推廣,出臺(tái)了林業(yè)系統(tǒng)網(wǎng)絡(luò)信息安全建設(shè)的指導(dǎo)意見(jiàn)。
2.2.4加強(qiáng)信息安全應(yīng)急處置體系建設(shè),利用現(xiàn)有的專業(yè)隊(duì)伍和技術(shù)資源,規(guī)劃和建設(shè)林業(yè)數(shù)據(jù)備份中心,啟動(dòng)建設(shè)信息化應(yīng)急技術(shù)處理中心,逐步實(shí)現(xiàn)為我省林業(yè)網(wǎng)絡(luò)信息安全提供預(yù)警、評(píng)測(cè)等服務(wù),按照“誰(shuí)主管誰(shuí)負(fù)責(zé)、誰(shuí)運(yùn)營(yíng)誰(shuí)負(fù)責(zé)”的要求,各部門出現(xiàn)問(wèn)題及時(shí)處理,如果處理不了,可以呼叫應(yīng)急中心通過(guò)技術(shù)手段判斷突發(fā)事件的原因。
2.2.5加強(qiáng)人才隊(duì)伍培養(yǎng)和建設(shè)。不定期的舉辦了面向工作人員提高安全意識(shí)、防范意識(shí)的培訓(xùn),對(duì)從事信息化的專業(yè)人員建立管理培訓(xùn)的制度。
3加快我省林業(yè)信息安全保障體系建設(shè)進(jìn)程的建議林業(yè)信息安全保障體系的建設(shè)是關(guān)系我省民生的大事,做好這項(xiàng)工作十分重要。
3.1充分認(rèn)識(shí)做好信息安全保障工作的重要意義。目前對(duì)信息安全問(wèn)題不少人仍然缺乏全面的、深刻的認(rèn)識(shí),現(xiàn)有各個(gè)部門在安全工作中缺乏安全防范的意識(shí),安全防護(hù)注重于系統(tǒng)外部,忽略了系統(tǒng)內(nèi)部的安全管理措施,安全保障缺乏循環(huán)、良性的提高,不能自主發(fā)現(xiàn)和及時(shí)消除安全隱患,對(duì)安全工作仍然不同程度的存在“說(shuō)起來(lái)重要,忙起來(lái)次要,干起來(lái)不要”的問(wèn)題。各單位各部門要從經(jīng)濟(jì)發(fā)展、社會(huì)穩(wěn)定的高度充分認(rèn)識(shí)信息安全的重要性,增強(qiáng)緊迫感、責(zé)任感和自覺(jué)性。
3.2正確把握加強(qiáng)信息安全保障工作的總體要求。要堅(jiān)持積極防御、綜合防范的方針,正確處理發(fā)展與安全的關(guān)系,堅(jiān)持以發(fā)展求安全、以安全保發(fā)展,同時(shí)管理與技術(shù)并用,大力發(fā)展信息技術(shù)的同時(shí),切實(shí)加強(qiáng)信息安全管理工作,努力從預(yù)防、監(jiān)控、應(yīng)急處理和打擊犯罪等環(huán)節(jié)在法律、管理、技術(shù)、人才各方面采取各種措施全面提升信息安全的防護(hù)水平。
3.3突出重點(diǎn),抓好落實(shí)。各部門要制定工作重點(diǎn),加強(qiáng)信息安全體系建設(shè)和管理,最大限度的控制和限制安全風(fēng)險(xiǎn),重點(diǎn)保障基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)的安全,做好應(yīng)急服務(wù)工作,盡可能的防止因信息安全問(wèn)題造成的重要信息系統(tǒng)的大面積的出現(xiàn)問(wèn)題。防止數(shù)據(jù)丟失和錯(cuò)誤,避免對(duì)社會(huì)造成的損失。
【關(guān)鍵詞】數(shù)字檔案;信息安全;保障
對(duì)于國(guó)家及人民來(lái)說(shuō),在信息化時(shí)代下,數(shù)字檔案信息安全問(wèn)題至關(guān)重要。美國(guó)很早就針對(duì)信息的安全問(wèn)題進(jìn)行了研究分析。相關(guān)思想波及到中國(guó),推動(dòng)著我國(guó)數(shù)字檔案信息安全問(wèn)題的探究,隨著社會(huì)的發(fā)展對(duì)于檔案進(jìn)行有效改革,順應(yīng)時(shí)代的需求和發(fā)展。
一、我國(guó)數(shù)字檔案信息的安全問(wèn)題
信息化得到國(guó)家和社會(huì)的高度重視,數(shù)字檔案的信息化過(guò)程中伴隨著機(jī)遇和挑戰(zhàn),面臨發(fā)展中的問(wèn)題制定相應(yīng)安全防護(hù)措施,卻在實(shí)踐中發(fā)現(xiàn)存在很多的風(fēng)險(xiǎn),需要進(jìn)一步分析。
(一)管理制度缺乏系統(tǒng)化。數(shù)字檔案在管理中遇到各種安全問(wèn)題,首先應(yīng)該考慮建立一套安全的管理制度。我國(guó)數(shù)字檔案信息隨著時(shí)代科技的快速發(fā)展,其管理制度的不確定影響著整體檔案信息的保存效率。對(duì)問(wèn)題進(jìn)行合理的分析研究,之后制定有效的信息安全管理制度,以實(shí)現(xiàn)數(shù)字檔案信息安全的整體需求。
在網(wǎng)絡(luò)發(fā)展大背景下,數(shù)字檔案信息管理也受到一些干擾,大量的數(shù)據(jù)資源需要檔案的管理工作擁有更明確的發(fā)展體系。過(guò)于依賴網(wǎng)絡(luò)使得很多檔案信息安全問(wèn)題逐漸產(chǎn)生,在網(wǎng)絡(luò)時(shí)代有些問(wèn)題會(huì)隨著技術(shù)的快速更新而逐漸浮出水面。比如,安全管理水平跟不上其安全技術(shù)的發(fā)展速度,無(wú)法形成較為系統(tǒng)的管理制度,使得數(shù)字檔案的信息安全問(wèn)題日益凸顯。國(guó)家建立一套成熟的安全保障體系,已經(jīng)迫在眉睫,可以更好地推動(dòng)我國(guó)數(shù)字檔案的安全管理工作。但是,由于我國(guó)的檔案機(jī)構(gòu)還處在一個(gè)發(fā)展的萌芽階段,還不具備一定的獨(dú)立創(chuàng)新能力,使得在現(xiàn)實(shí)中的管理與相關(guān)制度脫節(jié),無(wú)法做到真正意義上的信息安全保障。
如今我國(guó)檔案機(jī)構(gòu)雖然制定了相關(guān)管理制度,卻有很多沒(méi)有落實(shí)在實(shí)際中,管理制度的相關(guān)理論與實(shí)際問(wèn)題的處理,還沒(méi)有完全結(jié)合兩者之間存在的差異,在工作中無(wú)法發(fā)揮制度的最大價(jià)值,會(huì)影響數(shù)字檔案信息安全保障制度制定的順利執(zhí)行,導(dǎo)致完整的安全保障體系無(wú)法形成。
(二)人員不重視安全防范。人員的素質(zhì)問(wèn)題,一直是影響整個(gè)檔案管理的一項(xiàng)主觀問(wèn)題。相關(guān)檔案人員的素質(zhì),還有相關(guān)設(shè)備及環(huán)境都存在一些導(dǎo)致檔案出現(xiàn)安全問(wèn)題的因素,其中相關(guān)檔案工作人員的安全意識(shí)單薄是一項(xiàng)非常重要的原因,使得我國(guó)數(shù)字檔案的安全問(wèn)題頻繁出現(xiàn)。
我國(guó)數(shù)字檔案工作中的相關(guān)人員,通常都擁有較低的學(xué)歷,缺少高學(xué)歷檔案人員。也是檔案相關(guān)人員素質(zhì)無(wú)法提高的一大因素,影響數(shù)字信息檔案管理的專業(yè)性,缺少檔案信息的基本安全防范意識(shí),會(huì)影響檔案信息的安全保障,導(dǎo)致出現(xiàn)更多的隱患問(wèn)題。
我國(guó)檔案工作也隨著現(xiàn)代網(wǎng)絡(luò)的飛速發(fā)展,進(jìn)入到轉(zhuǎn)型階段,這一階段是非常重要的時(shí)期,國(guó)家支持檔案工作并制定了相關(guān)的法律制度對(duì)其約束,然而相關(guān)檔案的從事者卻無(wú)法深入了解檔案的管理工作,沒(méi)有一個(gè)足夠的認(rèn)識(shí),相關(guān)檔案的法律知識(shí)非常單薄,最終相關(guān)理論也沒(méi)有有效地應(yīng)用于實(shí)際工作中。
(三)缺乏風(fēng)險(xiǎn)預(yù)判能力。我國(guó)數(shù)字檔案部門在針對(duì)相關(guān)安全問(wèn)題時(shí),總有一個(gè)風(fēng)險(xiǎn)的預(yù)判,然而在現(xiàn)實(shí)中預(yù)判是否準(zhǔn)確也是國(guó)家重視的問(wèn)題。數(shù)字檔案部門對(duì)于安全管理的宣傳力度并不到位,在整個(gè)檔案的管理過(guò)程中,對(duì)于檔案的風(fēng)險(xiǎn)預(yù)判能力要求很嚴(yán)格,預(yù)判信息可以獲得更多有利于安全防范的問(wèn)題,同時(shí)采取科學(xué)的應(yīng)對(duì)措施。
然而我國(guó)檔案部門對(duì)于數(shù)字檔案管理問(wèn)題的風(fēng)險(xiǎn)預(yù)判,不能特別準(zhǔn)確地反映出檔案信息的安全問(wèn)題,致使數(shù)字檔案的安全受到一定的威脅。安全保障無(wú)法樹(shù)立正確的觀念,對(duì)于突發(fā)的緊急情況不能及時(shí)地解決,使得更多潛在的數(shù)字安全問(wèn)題逐漸發(fā)生,直接影響檔案資源保存的安全性。數(shù)字檔案信息的安全問(wèn)題,在發(fā)展中不斷完善,并在解決方法中找到更適合、更科學(xué)的應(yīng)對(duì)方式。
(四)信息安全存儲(chǔ)格式不一。如今我國(guó)數(shù)字檔案受到其自身以及周圍環(huán)境的影響,使得檔案的保存不斷出現(xiàn)問(wèn)題,尤其是檔案的永久保存問(wèn)題逐漸凸顯。專門的存儲(chǔ)設(shè)備及相應(yīng)的存儲(chǔ)轉(zhuǎn)換介質(zhì)才可以將數(shù)字檔案信息進(jìn)行有效地讀取,而又有很多情況導(dǎo)致無(wú)法正常讀取信息,比如系統(tǒng)出現(xiàn)了故障、設(shè)備出現(xiàn)了問(wèn)題。另外,數(shù)據(jù)的轉(zhuǎn)換總會(huì)出現(xiàn)問(wèn)題,因?yàn)閿?shù)字檔案的形成方式的渠道是各異的,給數(shù)據(jù)之間的互相轉(zhuǎn)換帶來(lái)一定的困難。
(五)風(fēng)險(xiǎn)評(píng)估體系不健全。我國(guó)的數(shù)字檔案信息管理過(guò)程中,沒(méi)有引起在風(fēng)險(xiǎn)評(píng)估上的重視,使得數(shù)字檔案信息安全體系建設(shè)缺乏有力的指導(dǎo)作用。會(huì)影響到檔案安全體系的發(fā)展,在檔案信息安全管理工作中,因?yàn)槿鄙俜婪赌芰Φ闹匾?,最終無(wú)法達(dá)到數(shù)字信息安全的保障目的,在工作中也處于比較被動(dòng)的狀態(tài)。在數(shù)字檔案安全保障工作中,發(fā)現(xiàn)漏洞并及時(shí)處理,需要的是明確的風(fēng)險(xiǎn)評(píng)估能力,但是相關(guān)風(fēng)險(xiǎn)評(píng)估還沒(méi)有一套健全的體系。
二、數(shù)字檔案信息安全預(yù)防措施
數(shù)字檔案信息的安全管理問(wèn)題,在現(xiàn)在的信息化時(shí)代逐日凸顯,為了保障數(shù)字檔案信息的安全性,需要在實(shí)踐中分析研究更適合其發(fā)展的有效方法。我國(guó)重點(diǎn)將風(fēng)險(xiǎn)評(píng)估作為主要的預(yù)防手段,充分發(fā)揮其在檔案安全中的作用。
(一)建立健全的安全管理保障體系。我國(guó)在建立安全管理制度過(guò)程中,為了推動(dòng)整體數(shù)字檔案的安全發(fā)展,應(yīng)該明確安全風(fēng)險(xiǎn)評(píng)估制度,起到有效的防范作用。應(yīng)該針對(duì)具體的問(wèn)題,將創(chuàng)新的措施應(yīng)用于實(shí)際當(dāng)中,詳細(xì)分析相關(guān)技術(shù)和管理措施,為檔案的安全保障體系保駕護(hù)航,建立合理、科學(xué)的安全管理體系。
我國(guó)對(duì)相關(guān)檔案信息安全問(wèn)題逐漸重視,我國(guó)制定了相關(guān)信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范的法律法規(guī),要求在檔案管理中實(shí)施風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)。經(jīng)現(xiàn)實(shí)證明,風(fēng)險(xiǎn)評(píng)估的建立是非常有必要的,能夠在整個(gè)數(shù)字檔案信息安全中,發(fā)揮主動(dòng)性,做出有利的風(fēng)險(xiǎn)評(píng)估,幫助相關(guān)從業(yè)人員在工作過(guò)程中快速發(fā)現(xiàn)并解決安全問(wèn)題。根據(jù)我國(guó)數(shù)字檔案信息的重要程度,分級(jí)別地進(jìn)行分析了解,有針對(duì)性的根據(jù)信息問(wèn)題實(shí)施相應(yīng)措施,保證檔案資源的安全。
(二)科學(xué)預(yù)判存在的安全風(fēng)險(xiǎn)。數(shù)字檔案信息問(wèn)題實(shí)際上是不斷產(chǎn)生的,需要對(duì)相關(guān)問(wèn)題進(jìn)行嚴(yán)格的分析研究,并采用各種有效的手段去查找,威脅數(shù)字檔案信息管理的風(fēng)險(xiǎn)因素,通過(guò)各種有效工具的輔助管理,有效提高檔案信息的保存安全效率。需要在各個(gè)領(lǐng)域采取相應(yīng)的具有針對(duì)性的措施,建立一道安全屏障。另外,應(yīng)該考慮制定問(wèn)題的預(yù)案,為了培養(yǎng)更高的技術(shù)能力,讓相關(guān)人員主動(dòng)意識(shí)到風(fēng)險(xiǎn)問(wèn)題的重要性。在數(shù)字檔案信息安全問(wèn)題發(fā)生時(shí),應(yīng)該及時(shí)將相應(yīng)問(wèn)題進(jìn)行報(bào)告,及時(shí)根據(jù)問(wèn)題采取相應(yīng)的應(yīng)急措施,達(dá)到真正的防范目的。及時(shí)發(fā)現(xiàn)科學(xué)預(yù)判潛在的安全風(fēng)險(xiǎn)問(wèn)題,變被動(dòng)的管理為一種主動(dòng)的管理形式,提高數(shù)字檔案的信息安全保障質(zhì)量,防范于未然。
(三)保證信息存儲(chǔ)長(zhǎng)期有效。為了保障檔案信息的安全性,應(yīng)該將危險(xiǎn)因素控制在一定的范圍內(nèi),這就需要通過(guò)風(fēng)險(xiǎn)評(píng)估的有效實(shí)施來(lái)實(shí)現(xiàn)。為了使得數(shù)字檔案系統(tǒng)的運(yùn)行穩(wěn)定性,風(fēng)險(xiǎn)評(píng)估就是一項(xiàng)有利的科學(xué)保障技術(shù),通過(guò)風(fēng)險(xiǎn)評(píng)估快速發(fā)現(xiàn)檔案信息中的不足,落實(shí)好數(shù)字檔案信息管理工作的應(yīng)用。如今時(shí)代化的發(fā)展使得數(shù)據(jù)量與日俱增,整個(gè)網(wǎng)絡(luò)處于變化莫測(cè)的環(huán)境中,數(shù)字檔案信息的安全問(wèn)題隱患逐漸增多,需要借助有效的風(fēng)險(xiǎn)評(píng)估,對(duì)檔案信息的安全性做出保障。
數(shù)字檔案的存儲(chǔ)和讀取,是檔案信息安全問(wèn)題的主要研究方向,在不同軟件系統(tǒng)下,對(duì)于數(shù)字檔案的儲(chǔ)存應(yīng)該做到兼容,提高數(shù)字檔案在各種軟、硬件中的作用和價(jià)值。通過(guò)科學(xué)有效的管理方法和手段,發(fā)揮檔案管理的重要目的,保證檔案信息保存的質(zhì)量,為了信息的長(zhǎng)期儲(chǔ)存可以選擇長(zhǎng)效的存儲(chǔ)介質(zhì)及設(shè)備。
(四)提高信息安全防范意識(shí)。在整個(gè)檔案信息安全保障中,應(yīng)該理解相關(guān)風(fēng)險(xiǎn)防范意識(shí)的重要性。提高相關(guān)檔案從事人員的安全防范意識(shí),需要依靠風(fēng)險(xiǎn)評(píng)估在實(shí)際中進(jìn)行落實(shí),為了數(shù)字檔案信息安全工作的順利開(kāi)展,應(yīng)該通過(guò)對(duì)風(fēng)險(xiǎn)評(píng)估的詳細(xì)分析,促進(jìn)整個(gè)檔案安全科學(xué)的發(fā)展。對(duì)信息安全問(wèn)題給予精確的數(shù)據(jù)分析支持,在進(jìn)一步科學(xué)管理的基礎(chǔ)上,采用相應(yīng)措施對(duì)風(fēng)險(xiǎn)因素進(jìn)行有利的控制。
另外提高相關(guān)管理人員的綜合素質(zhì),也是一項(xiàng)重要任務(wù)。應(yīng)該考慮進(jìn)行有效的培訓(xùn),提高檔案信息相關(guān)管理人員的安全防范意識(shí),以及其更高的責(zé)任感。將相關(guān)檔案安全知識(shí)有效宣傳,提高相關(guān)從業(yè)人員對(duì)信息安全的防范意識(shí),才能使得數(shù)字檔案的信息內(nèi)容更加真實(shí)準(zhǔn)確,發(fā)揮檔案的真正價(jià)值。此外還要重視相關(guān)法律、法規(guī)制度的落實(shí),提高宣傳力度,提高檔案信息的整體工作效率。為了能夠從各個(gè)環(huán)節(jié)中掌握好檔案信息的管理情況,應(yīng)該進(jìn)行適當(dāng)?shù)呐嘤?xùn),將有效知識(shí)以培訓(xùn)的形式宣傳出來(lái),加強(qiáng)數(shù)字檔案信息安全防范意識(shí),促進(jìn)整體檔案事業(yè)的順利開(kāi)展。
(五)規(guī)范信息安全標(biāo)準(zhǔn)體系。在整個(gè)數(shù)字檔案安全發(fā)展過(guò)程中,其保障體系的建立在不斷發(fā)展中尋找創(chuàng)新和發(fā)展,將風(fēng)險(xiǎn)評(píng)估方法應(yīng)用于其中,使得整個(gè)檔案的安全性能更高,有效的將一些問(wèn)題進(jìn)行防范。需要合理科學(xué)的分析實(shí)踐,針對(duì)問(wèn)題的發(fā)生,找到適合的解決方法,以達(dá)到風(fēng)險(xiǎn)評(píng)估的最終目的。
風(fēng)險(xiǎn)評(píng)估工作不僅需要一定的技術(shù)支持,還需要科學(xué)合理的管理,在人員管理上一直都有嚴(yán)格的要求。規(guī)范數(shù)字檔案信息安全標(biāo)準(zhǔn)體系,使得檔案工作的各個(gè)環(huán)節(jié)都可以得到有效的控制,細(xì)化到每一個(gè)工作細(xì)節(jié)上,完善安全體系的建立。在現(xiàn)實(shí)中嚴(yán)格落實(shí)相關(guān)法律法規(guī)規(guī)范,借助法律力量支持?jǐn)?shù)字安全信息的順利發(fā)展。
三、結(jié)論
檔案事業(yè)是一項(xiàng)尤為重要的工作,對(duì)于整個(gè)國(guó)家和社會(huì)而言都具有寶貴價(jià)值。應(yīng)該發(fā)揮其自身服務(wù)的特性,向社會(huì)提供有利的價(jià)值,國(guó)家在實(shí)際中大力宣傳檔案工作的重要性,通過(guò)強(qiáng)化法律法規(guī),對(duì)檔案管理進(jìn)行有效的規(guī)范,將其有效服務(wù)落實(shí)于社會(huì)各個(gè)階層。需要在問(wèn)題中不斷完善數(shù)字信息安全保障體系,使得數(shù)字檔案信息資源可以長(zhǎng)期、有效地保存,并且能夠科學(xué)有效地對(duì)其資源進(jìn)行利用。
【參考文獻(xiàn)】
[1]杜娟.淺析數(shù)字檔案在檔案信息化建設(shè)中的重要性[J].治黃科技信息.2016(04).
[2]李忠丹.數(shù)字檔案信息的安全性管理[J].科技致富向?qū)?2014(06).
關(guān)鍵字:校園;網(wǎng)絡(luò);管理;信息;安全;保障
目前,校園網(wǎng)絡(luò)信息安全性的問(wèn)題逐漸得到高級(jí)技工學(xué)校的關(guān)注,學(xué)校在不斷的完善校園網(wǎng)絡(luò)的管理以及信息安全保障的政策。校園網(wǎng)絡(luò)作為高級(jí)技工學(xué)校信息化建設(shè)的重點(diǎn),確保網(wǎng)絡(luò)信息安全的完整性、保密性、可控性、可用性、不可否認(rèn)性成為了學(xué)校保障網(wǎng)絡(luò)信息安全的重點(diǎn)工作。
一、校園網(wǎng)絡(luò)信息安全的特征
校園網(wǎng)絡(luò)信息安全需要具有完整性,確保信息在傳輸以及存儲(chǔ)的過(guò)程中可能被惡意的篡改,應(yīng)該確保網(wǎng)絡(luò)信息的正確以及有效,避免被非授權(quán)人將信息的完整性破壞;校園網(wǎng)絡(luò)信息安全需要具有保密性,通過(guò)密碼技術(shù)對(duì)重要的信息采取保護(hù)措施或進(jìn)行加密處理,避免重要信息的泄漏、丟失等,確保合法用戶能夠安全的使用信息;校園網(wǎng)絡(luò)信息安全需要具有可控性,使授權(quán)機(jī)構(gòu)能夠控制信息的內(nèi)容以及具備監(jiān)控和管理傳播流向和方式的能力;校園網(wǎng)絡(luò)信息安全需要具有可用性,確保授權(quán)用戶能夠進(jìn)入系統(tǒng)進(jìn)行信息的訪問(wèn),防止非授權(quán)者惡意訪問(wèn)系統(tǒng),竊取、泄漏、破壞校園網(wǎng)絡(luò)的信息安全。與此同時(shí),還應(yīng)該防止網(wǎng)絡(luò)病毒引發(fā)的系統(tǒng)癱瘓,造成服務(wù)器拒絕用戶使用或被入侵者所用;校園網(wǎng)絡(luò)信息安全需要具有不可否認(rèn)性,也可以稱之為不可抵賴性,當(dāng)信息傳輸結(jié)束以后,信息傳輸雙方不能抵賴自身的行為,比如否認(rèn)接收過(guò)對(duì)方的信息,通過(guò)信息源的證據(jù),雙方就無(wú)法對(duì)完成的操作進(jìn)行抵賴,能夠有效的防止發(fā)送方否認(rèn)已經(jīng)傳輸過(guò)的信息。
二、校園網(wǎng)絡(luò)管理和信息安全保障的必要性
隨著計(jì)算機(jī)網(wǎng)絡(luò)的不斷發(fā)展,強(qiáng)化學(xué)校網(wǎng)絡(luò)安全管理的建設(shè),不僅能夠提升學(xué)校整體的形象,還是學(xué)校發(fā)展成為信息化的必然趨勢(shì)。網(wǎng)絡(luò)安全對(duì)于校園整體形象和未來(lái)發(fā)展趨勢(shì)都有影響。校園網(wǎng)絡(luò)信息安全對(duì)于學(xué)生來(lái)說(shuō),能夠促進(jìn)學(xué)生的全面發(fā)展,還能提高學(xué)校的整體經(jīng)濟(jì)效益。目前,學(xué)校的網(wǎng)絡(luò)中儲(chǔ)存了大量的文獻(xiàn)信息,網(wǎng)絡(luò)信息安全對(duì)于高級(jí)技校的教育工作有著重要的意義,教師進(jìn)行教學(xué)越來(lái)越依賴計(jì)算機(jī)網(wǎng)絡(luò),如果網(wǎng)絡(luò)的安全出現(xiàn)問(wèn)題,信息資源被惡意篡改、丟失、刪除、破壞等,對(duì)于學(xué)校來(lái)說(shuō)是無(wú)法彌補(bǔ)的經(jīng)濟(jì)以及資源損失。因此,校園網(wǎng)絡(luò)管理和信息安全保障對(duì)于高校來(lái)說(shuō)十分重要,建設(shè)校園網(wǎng)絡(luò)的過(guò)程中,應(yīng)該重視網(wǎng)絡(luò)運(yùn)行的安全問(wèn)題,引進(jìn)先進(jìn)的網(wǎng)絡(luò)技術(shù),嚴(yán)格按照網(wǎng)絡(luò)安全管理規(guī)范,及時(shí)解決網(wǎng)絡(luò)系統(tǒng)可能出現(xiàn)的問(wèn)題,確保校園網(wǎng)絡(luò)能夠安全、可靠、正常的運(yùn)行。
三、校園網(wǎng)絡(luò)管理和信息安全保障的現(xiàn)狀
3.1校園網(wǎng)絡(luò)的安全受到威脅
目前,高級(jí)技工院校為了提高網(wǎng)絡(luò)的安全性,通常會(huì)配置網(wǎng)絡(luò)防火墻系統(tǒng)。然而防護(hù)墻是利用靜態(tài)技術(shù)只能起到防范的作用,并且防護(hù)的范圍不夠全面,防護(hù)的效果也不是十分明顯。為了采取更加有效的防護(hù)措施,高校需要采用動(dòng)態(tài)防護(hù)技術(shù),比如入侵檢測(cè)技術(shù)。如今病毒的傳播方式多種多樣,具有很強(qiáng)的破壞能力,并且傳播速度很快,一旦校園的某臺(tái)計(jì)算機(jī)被病毒入侵,主機(jī)系統(tǒng)就會(huì)受到影響,導(dǎo)致整個(gè)校園的網(wǎng)絡(luò)都會(huì)癱瘓。
3.2不重視校園網(wǎng)絡(luò)的管理
大部分的高級(jí)技工院校對(duì)于網(wǎng)絡(luò)管理問(wèn)題,普遍是“重設(shè)備,輕管理”的理念,僅重視設(shè)備的購(gòu)買,而忽視了對(duì)設(shè)備的管理。學(xué)校錯(cuò)誤認(rèn)為安裝防火墻、電腦管家以及殺毒軟件,就能起到信息安全防護(hù)的作用,其實(shí)信息安全還包含其他方面,安全防護(hù)設(shè)備在校園網(wǎng)絡(luò)中雖然得到了普遍應(yīng)用,然而對(duì)于軟件的實(shí)踐應(yīng)用只能解決一部分的信息安全問(wèn)題。學(xué)校應(yīng)該重視安全設(shè)備安裝后的管理問(wèn)題,通過(guò)制定相關(guān)的管理規(guī)則,使用戶能夠合理的使用校園網(wǎng)絡(luò),從而確保網(wǎng)絡(luò)信息的安全。
3.3用戶的校園網(wǎng)絡(luò)安全意識(shí)不夠高
高級(jí)技工學(xué)校用戶普遍缺乏網(wǎng)絡(luò)安全意識(shí),需要不斷提高網(wǎng)絡(luò)安全意識(shí),才能從根本上保障校園網(wǎng)絡(luò)信息的安全。對(duì)于學(xué)校來(lái)說(shuō),校園網(wǎng)絡(luò)用戶在網(wǎng)絡(luò)信息管理和保障中起到十分關(guān)鍵的作用,用戶的實(shí)踐操作行為直接影響信息的安全。目前,大部分校園網(wǎng)絡(luò)用戶,進(jìn)行口令的選取時(shí),忽視自身操作的規(guī)范性,導(dǎo)致校園網(wǎng)絡(luò)被惡意入侵。
四、校園網(wǎng)絡(luò)管理和信息安全保障的實(shí)踐策略
4.1完善校園網(wǎng)絡(luò)的訪問(wèn)權(quán)限設(shè)置
校園網(wǎng)絡(luò)為了保證信息的安全需要設(shè)置網(wǎng)絡(luò)權(quán)限,通常校園網(wǎng)絡(luò)只提供給本校師生使用,這樣就能有效的減少不良信息傳播的途徑,避免病毒通過(guò)其他途徑破壞系統(tǒng),從而保障校園網(wǎng)絡(luò)信息的安全。訪問(wèn)權(quán)限設(shè)置能夠控制用戶的非法訪問(wèn),檢測(cè)用戶登陸的服務(wù)器以及用戶查看過(guò)的信息,使用戶的賬號(hào)能夠受到監(jiān)管,避免用戶信息被盜用,導(dǎo)致信息的泄漏。
4.2重要信息及時(shí)做好備份
校園網(wǎng)絡(luò)如果遭受到病毒的侵害,計(jì)算機(jī)系統(tǒng)就會(huì)受到損害,導(dǎo)致用戶的重要信息泄漏、丟失等,造成用戶的損失。因此,學(xué)校網(wǎng)絡(luò)的數(shù)據(jù)庫(kù)需要及時(shí)進(jìn)行重要信息的備份,確保用戶的重要信息能夠通過(guò)備份系統(tǒng)找回,避免給用戶造成不便。
4.3監(jiān)控校園網(wǎng)絡(luò)的日志
做好校園網(wǎng)絡(luò)日志的監(jiān)控工作是高級(jí)技工學(xué)校的重點(diǎn)工作,對(duì)于保障信息安全起到了重要的作用。安全設(shè)備雖然能夠保障信息的安全,但是不能僅僅停留在表面,作為校園網(wǎng)絡(luò)的管理人員,應(yīng)該不斷提高自身的素質(zhì),進(jìn)行安全設(shè)備性能、用途等多方面的深入研究,從而更好的管理校園網(wǎng)絡(luò)的信息。監(jiān)控校園網(wǎng)絡(luò)信息安全的對(duì)象有防火墻、檢測(cè)系統(tǒng)、服務(wù)器等,由于防護(hù)核心思想的差異,綜合使用監(jiān)控設(shè)備能夠有效的進(jìn)行用戶訪問(wèn)時(shí)間的跟蹤,了解用戶的登陸地點(diǎn),登陸設(shè)備、登陸時(shí)間等,這些信息有助于學(xué)校管理和保障信息安全,了解校園網(wǎng)絡(luò)日志的具體來(lái)源和途徑,從而提高校園網(wǎng)絡(luò)的安全性。
4.4建立校園網(wǎng)絡(luò)管理相關(guān)的制度
高級(jí)技工學(xué)校應(yīng)該制定相關(guān)的政策,強(qiáng)化用戶對(duì)信息安全防護(hù)的意識(shí),提高自身的網(wǎng)絡(luò)素養(yǎng)。制定完善的制度管理體系,使用用戶能夠嚴(yán)格按照相關(guān)規(guī)定約束自身的行為,避免由于自身錯(cuò)誤的操作,造成校園網(wǎng)絡(luò)信息的泄密、丟失等。由于校園網(wǎng)絡(luò)使用的用戶普遍為在校學(xué)生,因此學(xué)??梢越Y(jié)合學(xué)生的實(shí)際情況,設(shè)立網(wǎng)絡(luò)相關(guān)的選修課程,提高學(xué)生的網(wǎng)絡(luò)安全意識(shí)。與此同時(shí),校園網(wǎng)絡(luò)使用的用戶還包括教師,學(xué)校應(yīng)該對(duì)教師展開(kāi)定期的培訓(xùn),提高教師的綜合素質(zhì),從而做到言傳身教。通過(guò)不斷提高校園網(wǎng)絡(luò)用戶的整體素質(zhì),網(wǎng)絡(luò)不良信息的傳播才能得到有效的控制,避免惡意入侵的非法用戶危害校園網(wǎng)絡(luò)的安全。
五、結(jié)語(yǔ)
綜上所述,校園網(wǎng)絡(luò)是一把雙刃劍,雖然為學(xué)生和教師的學(xué)習(xí)和教學(xué)工作帶來(lái)了方便,然而隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展,信息安全的問(wèn)題接踵而至,為了有效確保校園網(wǎng)絡(luò)信息的安全,學(xué)校需要不斷的完善校園網(wǎng)絡(luò)的訪問(wèn)權(quán)限設(shè)置,對(duì)重要的信息及時(shí)做好備份,監(jiān)控校園網(wǎng)絡(luò)的日志,建立校園網(wǎng)絡(luò)管理相關(guān)的制度,從而提高校園網(wǎng)絡(luò)用戶的綜合素質(zhì),提高校園網(wǎng)絡(luò)的安全性。
參考文獻(xiàn)
[1]楊梅,甘露,張林濤.校園網(wǎng)絡(luò)管理和信息安全保障實(shí)踐探討[J].玉林師范學(xué)院學(xué)報(bào),2013,01:112-116.
[2]王平,趙仕偉,趙義平.淺談校園網(wǎng)絡(luò)管理與信息安全保障對(duì)策研究[J].網(wǎng)友世界,2014,06:5.
[3]徐喆.高校網(wǎng)絡(luò)安全存在的問(wèn)題與對(duì)策研究[D].燕山大學(xué),2012.
關(guān)鍵詞:信息安全;安全技術(shù);網(wǎng)絡(luò)
中圖分類號(hào):TP393.08 文獻(xiàn)標(biāo)識(shí)碼:A 文章編號(hào):1674-7712 (2012) 06-0085-01
一、信息安全的定義
20世紀(jì)70年代以前,信息安全的主要研究?jī)?nèi)容是計(jì)算機(jī)系統(tǒng)中的數(shù)據(jù)泄漏控制和通信系統(tǒng)中的數(shù)據(jù)保密問(wèn)題。然而,今天計(jì)算機(jī)網(wǎng)絡(luò)的發(fā)展使得這個(gè)當(dāng)時(shí)非常自然的定義顯得非常不恰當(dāng)。首先,隨著黑客、特洛伊木馬及病毒的攻擊不斷升溫,人們發(fā)現(xiàn)除了數(shù)據(jù)的機(jī)密性保護(hù)外,數(shù)據(jù)的完整性保護(hù)以及信息系統(tǒng)對(duì)數(shù)據(jù)的可用性支持都非常重要。其次,不斷增長(zhǎng)的網(wǎng)絡(luò)應(yīng)用中所包含的內(nèi)容遠(yuǎn)遠(yuǎn)不能用“數(shù)據(jù)”一詞來(lái)概括。綜上分析,信息安全是研究在特定的應(yīng)用環(huán)境下,依據(jù)特定的安全策略對(duì)信息及其系統(tǒng)實(shí)施防護(hù)檢測(cè)和恢復(fù)的科學(xué)。
二、信息安全面臨的威脅
由于信息系統(tǒng)的復(fù)雜性、開(kāi)放性以及系統(tǒng)軟件硬件和網(wǎng)絡(luò)協(xié)議的缺陷,導(dǎo)致了信息系統(tǒng)的安全威脅是多方面的:網(wǎng)絡(luò)協(xié)議的弱點(diǎn)、網(wǎng)絡(luò)操作系統(tǒng)的漏洞、應(yīng)用系統(tǒng)設(shè)計(jì)的漏洞、網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)的缺陷、惡意攻擊、病毒、黑客的攻擊、合法用戶的攻擊、物理攻擊安全、管理安全等。
其次,非技術(shù)的社會(huì)工程攻擊也是信息安全面臨的威脅,通常把基于非計(jì)算機(jī)的欺騙技術(shù)成為社會(huì)工程。社會(huì)工程中,攻擊者設(shè)法偽裝自己的身份讓人相信就是某個(gè)人,從而去獲得密碼和其他敏感的信息。目前社會(huì)工程攻擊主要包括的方式為打電話請(qǐng)求密碼和偽造E-mail。
三、信息安全相關(guān)的防護(hù)理念及其技術(shù)
計(jì)算機(jī)信息安全技術(shù)是針對(duì)信息在應(yīng)用環(huán)境下的安全保護(hù)而提出的。是信息安全基礎(chǔ)理論的具體應(yīng)用。安全技術(shù)是對(duì)信息系統(tǒng)進(jìn)行安檢和防護(hù)的技術(shù),其包括:防火墻技術(shù)、路由器技術(shù)、入侵檢測(cè)技術(shù)、掃面技術(shù)等。
(一)防火墻技術(shù)
防火墻是指設(shè)置在不同網(wǎng)絡(luò)(如可信任的企業(yè)內(nèi)部和不可信任的公共網(wǎng))或網(wǎng)絡(luò)安全域之間的一系列部件的組合。它是不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的惟一出入口,能根據(jù)個(gè)人的安全政策(允許、拒絕、檢測(cè))出入網(wǎng)絡(luò)的信息流,且本身具有較強(qiáng)的抗攻擊能力。一個(gè)防火墻能極大地提高一個(gè)內(nèi)部網(wǎng)絡(luò)的安全性,并通過(guò)過(guò)濾不安全的服務(wù)而降低風(fēng)險(xiǎn)。通過(guò)防火墻為中心的安全方案配置,能將所有安全軟件(如口令、加密、身份認(rèn)證和審計(jì)等)配置在防火墻上。
(二)路由器技術(shù)
隨著網(wǎng)絡(luò)各種領(lǐng)域應(yīng)用的日益普及,網(wǎng)絡(luò)信息安全問(wèn)題趨于復(fù)雜化和多樣話。針對(duì)網(wǎng)絡(luò)存在各種安全隱患,安全路由器必須具有如下的安全特性:
(1)可靠性與線路安全(2)身份認(rèn)證(3)訪問(wèn)控制(4)信息隱藏
(5)數(shù)據(jù)加密(6)攻擊探測(cè)和防范(7)安全管理
(三)物理隔離器技術(shù)
隔離卡技術(shù)是將一臺(tái)計(jì)算機(jī)劃分成兩個(gè)獨(dú)立的虛擬計(jì)算機(jī),分別連接公共網(wǎng)絡(luò)和網(wǎng)絡(luò)。通過(guò)隔離卡,用戶的硬盤被劃分為公共區(qū)和安全區(qū),裝有獨(dú)立的操作系統(tǒng)和應(yīng)用軟件。當(dāng)用戶在公共區(qū)啟動(dòng)時(shí),計(jì)算機(jī)連接公共網(wǎng)絡(luò);當(dāng)用戶在安全區(qū)啟動(dòng)時(shí),計(jì)算連接網(wǎng)。
(四)防病毒技術(shù)
1.虛擬機(jī)技術(shù)
虛擬機(jī)技術(shù)是國(guó)際反病毒領(lǐng)域的前沿技術(shù)。這種技術(shù)更接近于人工分析,智能化極高,查毒的準(zhǔn)確性也極高。虛擬技術(shù)的主要執(zhí)行過(guò)程如下:
在查殺病毒時(shí),在計(jì)算機(jī)內(nèi)存中模擬出一個(gè)“指令執(zhí)行虛擬計(jì)算機(jī)”,在虛擬環(huán)境中虛擬執(zhí)行可疑帶毒文件在執(zhí)行過(guò)程中,從虛擬機(jī)環(huán)境內(nèi)截獲文件數(shù)據(jù)如果含有可疑病毒代碼,則說(shuō)明發(fā)現(xiàn)了病毒。殺毒過(guò)程是在虛擬環(huán)境下摘除可疑代碼然后將其還原到原文件中,從而實(shí)現(xiàn)對(duì)各類可執(zhí)行文件內(nèi)病毒的殺除
2.監(jiān)控病毒源文件
密切關(guān)注、偵測(cè)和監(jiān)控網(wǎng)絡(luò)系統(tǒng)外部病毒的動(dòng)向,將所有病毒源堵截在網(wǎng)絡(luò)入口處,是當(dāng)前網(wǎng)絡(luò)防病毒技術(shù)的一個(gè)重點(diǎn)。趨勢(shì)科技針對(duì)網(wǎng)絡(luò)防病毒所提出的可以遠(yuǎn)程中央空管的趨勢(shì)病毒監(jiān)控系統(tǒng)不僅可完成跨網(wǎng)域的操作而且在傳輸過(guò)程中還能保障文件的安全。
3.無(wú)縫隙連接技術(shù)
無(wú)縫隙連接技術(shù)也叫嵌入式殺毒技術(shù)。通過(guò)該技術(shù),我們可以對(duì)病毒經(jīng)常攻擊的應(yīng)用程序和信息提供重點(diǎn)保護(hù)。它利用操作系統(tǒng)或應(yīng)用程序提供的內(nèi)部接口來(lái)實(shí)現(xiàn)對(duì)使用頻度高、范圍廣的主要應(yīng)用軟件提供被動(dòng)式的保護(hù)
4.檢查壓縮文件技術(shù)
檢查壓縮文件中的病毒有兩種思路。第一種思路:首先必須搞清壓縮文件的壓縮算法,然后根據(jù)壓縮管理算法將病毒碼壓縮成病毒壓縮碼,最后根據(jù)病毒壓縮碼在壓縮文件中查找以判斷該文件是否有病毒。另一種檢查壓縮文件中病毒的思路:在搞清壓縮文件的壓縮算法和解壓算法的基礎(chǔ)上,首先解壓待檢查的壓縮文件。隨后在解壓后的文件中檢查病毒碼來(lái)判斷該文件是否有病毒,以此來(lái)說(shuō)明原壓縮文件是否有病毒。最后將文件還原成原來(lái)的壓縮格式。
四、建立網(wǎng)絡(luò)安全體系的必要性和發(fā)展信息安全體系的重要性
國(guó)際上信息安全研究起步較早,力度大,積累多,應(yīng)用廣,在70年代美國(guó)的網(wǎng)絡(luò)安全技術(shù)基礎(chǔ)理論研究成果“計(jì)算機(jī)保密模型”的基礎(chǔ)上,指定了“可信計(jì)算機(jī)系統(tǒng)安全評(píng)估準(zhǔn)則”(TCSEC),其后又制定了關(guān)于網(wǎng)絡(luò)系統(tǒng)數(shù)據(jù)庫(kù)方面和系列安全解釋,形成了安全信息系統(tǒng)體系結(jié)構(gòu)的準(zhǔn)則。安全協(xié)議作為信息安全的重要內(nèi)容,其形式化方法分析始于80年代初,目前有基于狀態(tài)機(jī)、模態(tài)邏輯和代數(shù)工具的三種分析方法,但仍有局限性和漏洞,處于發(fā)展的提高階段。
完整的信息安全保障體系建設(shè)是信息安全走向成熟的標(biāo)記,也受到了國(guó)家和眾多企事業(yè)單位的重視。信息安全保障體系的建設(shè),必須進(jìn)行科學(xué)的規(guī)劃,以用戶身份認(rèn)證為基礎(chǔ),信息安全保密為核心,網(wǎng)絡(luò)邊界防護(hù)和信息安全管理為輔助,建立全面有機(jī)的安全整體,從而建立真正有效的、能夠?yàn)樾畔⒒ㄔO(shè)提供安全保障的平臺(tái)。
參考文獻(xiàn):
[1]徐茂智,雛維.信息安全概論.人民郵電出版社,2007
關(guān)鍵詞:檔案;風(fēng)險(xiǎn);管理;安全
人事檔案隨著人事制度的改革,其工作也發(fā)展到了網(wǎng)絡(luò)化和信息化的階段,基于電子化的認(rèn)識(shí),檔案的管理模式發(fā)生了從管檔案到提供服務(wù)的過(guò)渡轉(zhuǎn)變。同時(shí),信息化的環(huán)境下各種各樣的危險(xiǎn)因素和隱患都會(huì)導(dǎo)致人事檔案信息的泄露、篡改等,影響到人事檔案的真實(shí)性、完整性、系統(tǒng)性。有鑒于此,本文主要對(duì)人事檔案在信息時(shí)代的安全策略進(jìn)行研究。
一、電子檔案信息的基本特征
電子檔案信息屬于檔案信息,除了網(wǎng)絡(luò)化特征的共享性、流動(dòng)性之外,還具有檔案信息的基本特點(diǎn):
(一)本源性特征。電子檔案信息是基于人類生活和生產(chǎn)中的記錄信息,其具有十分顯著的本源特征。這也是電子檔案信息和非檔案信息的本質(zhì)區(qū)別。
(二)回溯性特征。信息檔案中的記錄內(nèi)容是對(duì)已經(jīng)產(chǎn)生的一些歷史、活動(dòng)等信息的記載,這個(gè)過(guò)程作為一種記錄性的內(nèi)容具有明顯的回溯特征。相對(duì)于紙質(zhì)檔案,其回溯功能更為簡(jiǎn)便。
(三)聯(lián)系性特征。電子檔案信息中便顯出時(shí)間、形式、來(lái)源、內(nèi)容上的關(guān)聯(lián),盡管是以文件單體的形式形成,但卻是以文件組合的形式而存在和運(yùn)動(dòng)的。因而,具有顯著的聯(lián)系特征。
(四)分散性特征。在微觀上,電子檔案的形成有著階段性、過(guò)程性的特點(diǎn),在時(shí)間和內(nèi)容上被分散和分割。因而,在整體上看信息內(nèi)容雜亂、零散。在宏觀上電子檔案的形成數(shù)量和內(nèi)容上多樣化、層次不一,職能不同,檔案的形成具有分散性和廣泛性。除此之外,電子檔案還具有網(wǎng)絡(luò)和計(jì)算機(jī)軟硬件的依賴性特征,存儲(chǔ)的高密度特征、信息構(gòu)成的復(fù)雜性特征等。
二、電子人事檔案信息的安全需求
人事檔案是反映個(gè)人的社會(huì)經(jīng)歷和工作實(shí)踐的信息記載,也是一個(gè)人技術(shù)水平、業(yè)務(wù)素質(zhì)、工作能力和思想品質(zhì)的反映,無(wú)論是國(guó)有的企事業(yè)單位的錄用還是民營(yíng)公司的招聘中,都無(wú)一例外的會(huì)對(duì)個(gè)人的檔案信息進(jìn)行查閱。人事檔案信息依賴于計(jì)算機(jī)的操作系統(tǒng)、軟件和硬件以及計(jì)算機(jī)技術(shù)和網(wǎng)絡(luò)技術(shù),因而對(duì)互聯(lián)網(wǎng)具有較大的依賴性,而互聯(lián)網(wǎng)是一個(gè)開(kāi)放式的平臺(tái),安全保障是重點(diǎn)。總的來(lái)說(shuō),人事電子檔案的安全需求在以下幾點(diǎn):
(一)實(shí)體安全保護(hù)。實(shí)體安全保護(hù)指的是電子人事檔案的存儲(chǔ)的載體,也就是計(jì)算機(jī)的硬件平臺(tái),系統(tǒng)設(shè)備和相關(guān)的物理設(shè)施。實(shí)體安全是電子人事檔案的前提,實(shí)體的安全若無(wú)法保證,整個(gè)電子檔案的安全就無(wú)從談起。
(二)軟件安全保護(hù)。軟件安全保護(hù)主要是保障電子檔案信息在一定的軟件環(huán)境下的安全操作,使檔案信息避免被篡改、復(fù)制或是惡意的破壞。主要包括軟件的自身安全、存儲(chǔ)安全、通信安全以及使用運(yùn)行安全等。
(三)信息內(nèi)容的安全。這里主要指的是電子檔案信息的數(shù)據(jù)安全。這是電子檔案安全中的最重要的內(nèi)容,包括數(shù)據(jù)的完整性保護(hù)、存儲(chǔ)數(shù)據(jù)庫(kù)的保護(hù)、檔案數(shù)據(jù)的完整有效性等。
(四)網(wǎng)絡(luò)安全。網(wǎng)絡(luò)安全保護(hù)主要是針對(duì)計(jì)算機(jī)網(wǎng)絡(luò)及其節(jié)點(diǎn)面臨的威脅和網(wǎng)絡(luò)的脆弱性而采取的防護(hù)措施。
三、影響電子人事檔案安全的因素
網(wǎng)絡(luò)環(huán)境下,電子人事檔案的管理存在著許多的隱患和潛在的危險(xiǎn),主要影響因素表現(xiàn)在以下幾個(gè)方面:
(一)電子人事檔案的信息基礎(chǔ)設(shè)施落后。這里主要包括計(jì)算機(jī)的網(wǎng)絡(luò)系統(tǒng)、通信系統(tǒng)和電力分配系統(tǒng)等,這些系統(tǒng)對(duì)信息的安全至關(guān)重要。但是,實(shí)踐中當(dāng)前的硬件設(shè)施條件無(wú)法匹配完全管理的需要,使得人事檔案的信息管理工作任務(wù)繁重,許多設(shè)備常常故障運(yùn)行、運(yùn)行環(huán)境較差、設(shè)備的兼容性較差、信息保存的環(huán)境惡劣,導(dǎo)致人事系統(tǒng)中的數(shù)據(jù)不可讀取、丟失或被毀壞,嚴(yán)重威脅到電子人事檔案的安全。
(二)電子人事檔案的軟件系統(tǒng)環(huán)境薄弱。在最初的軟件環(huán)境的構(gòu)建中就忽視了一些漏洞的存在,存在嚴(yán)重的漏洞風(fēng)險(xiǎn),加上軟件自身的安全缺陷和設(shè)計(jì)初期的遺留問(wèn)題,給電子人事檔案留下了致命的短板。此外,網(wǎng)絡(luò)管理人員在人事檔案的流轉(zhuǎn)中未能發(fā)揮作用,對(duì)信息的基本加密、傳送和存儲(chǔ)處理等控制措施沒(méi)有安全配置,導(dǎo)致了人事信息受到安全威脅。
(三)人事信息的管理不善。檔案的安全管理法規(guī)和制度尚未健全,加之管理人員的業(yè)務(wù)素質(zhì)、責(zé)任心等因素的影響都將給人事信息的管理帶來(lái)安全風(fēng)險(xiǎn)。
(四)不法分子的惡意攻擊。由于主觀和客觀上的原因,導(dǎo)致了許多不法分子惡意的攻擊、損毀、竊取和篡改人事信息的案例,網(wǎng)絡(luò)黑客頻繁地攻擊計(jì)算機(jī)系統(tǒng),破壞數(shù)據(jù)庫(kù)。主觀上的盜取信息這無(wú)疑是最為嚴(yán)重的安全風(fēng)險(xiǎn)。
四、保證電子人事檔案安全的對(duì)策
無(wú)論是實(shí)體的安全還是虛擬的安全,當(dāng)前電子人事檔案的管理上和技術(shù)上都存在著一些明顯的缺陷和不足。為了應(yīng)對(duì)安全風(fēng)險(xiǎn),保證電子人事檔案的安全,應(yīng)從以下幾個(gè)方面展開(kāi)對(duì)策:
(一)強(qiáng)化人事檔案的安全意識(shí)。無(wú)論是檔案的管理人員、系統(tǒng)的平臺(tái)維護(hù)人員還是信息的使用人員,都應(yīng)樹(shù)立科學(xué)的檔案安全意識(shí),將防御和防治結(jié)合起來(lái),以防為主,防治結(jié)合的方針要嚴(yán)格貫徹,提升人員的責(zé)任感、安全感。認(rèn)識(shí)到檔案管理的重要性和網(wǎng)絡(luò)安全的重要性,開(kāi)展安全教育,將檔案安全貫徹到每個(gè)人的頭上。
(二)建立檔案信息安全的保障體系。簡(jiǎn)單地從每一個(gè)環(huán)節(jié)上保障安全是不夠的,需要聯(lián)動(dòng)地將每個(gè)環(huán)節(jié)都聯(lián)系起來(lái),建立一個(gè)整體性的保障體系措施。因而需要從戰(zhàn)略角度來(lái)構(gòu)建保障體系,考慮法律制度、法規(guī)條文、組織管理、產(chǎn)業(yè)發(fā)展、基礎(chǔ)設(shè)施等,將技術(shù)措施、管理措施、法律約束融合為一體,讓保障體系在根本上保障信息安全,確保信息的不泄密、不損壞、不丟失。
(三)完善相應(yīng)的技術(shù)標(biāo)準(zhǔn)。規(guī)范化信息標(biāo)準(zhǔn)主要是針對(duì)數(shù)據(jù)庫(kù)的運(yùn)行規(guī)范、信息的使用規(guī)范做出一定的約束限制,避免因?yàn)橹饔^上的失誤導(dǎo)致信息的安全風(fēng)險(xiǎn),通過(guò)多種形式制定適合于自身的保護(hù)和保密制度,將技術(shù)和法規(guī)協(xié)調(diào),實(shí)現(xiàn)人事工作的安全協(xié)調(diào),共同防護(hù)安全風(fēng)險(xiǎn)。
(四)建立安全保障機(jī)制。前面的措施主要的都是防范措施,一旦發(fā)生了信息的泄露或是發(fā)生了安全風(fēng)險(xiǎn),如何來(lái)積極應(yīng)對(duì)也應(yīng)提前規(guī)劃布局。人事信息的管理部門應(yīng)完善和出臺(tái)適用自身信息安全的預(yù)警系統(tǒng)和響應(yīng)機(jī)制,對(duì)可能發(fā)生的危機(jī)和后果進(jìn)行提前預(yù)判和估計(jì),做好應(yīng)急準(zhǔn)備,完善防范手段,提升安全處置能力。建立人員的管理制度、技術(shù)管理制度、病毒防護(hù)制度等。加強(qiáng)日常安全風(fēng)險(xiǎn)排查活動(dòng),進(jìn)行必要安全風(fēng)險(xiǎn)的演練,開(kāi)展各式各樣的安全培訓(xùn)活動(dòng),提升防護(hù)和防治技能。大數(shù)據(jù)時(shí)代,信息的電子化的趨勢(shì)給檔案館帶來(lái)了一定的改變和沖擊,檔案信息的收集和管理也出現(xiàn)了一些新的問(wèn)題,其中最為突出的當(dāng)屬信息的安全問(wèn)題。研究電子檔案的信息安全是對(duì)傳統(tǒng)檔案管理研究的拓展,這對(duì)檔案學(xué)的相關(guān)研究和發(fā)展理論有著一定的推動(dòng)作用。在未來(lái)的實(shí)踐中,檔案安全應(yīng)作為主要的研究方向,進(jìn)一步從多角度、多維度展開(kāi)深入研究。
參考文獻(xiàn):
[1]何莎.電子檔案的形成及保護(hù)[J].檔案.2011(02)