澳门最新赌场,皇冠赌场

图片
网站首页  
湛河区档案信息网
欢迎浏览...
澳门最新赌场
中原经济区 皇冠赌场 澳门最新赌场 职称教育
档案科研 档案学会 党建 精神文明 廉政
皇冠赌场
通知公告 档案新闻 档案界论坛
档案界维基百科 《档案工作》电子期刊
澳门最新赌场
网上预约服务 馆藏珍品展厅
网上调查 皇冠赌场 澳门最新赌场 皇冠赌场
皇冠赌场
已公开现行文件查询 河南数字档案馆
音视频档案 历史记忆 澳门最新赌场
 澳门最新赌场
档案信息安全风险评估的研究
更新时间:2013-5-14

档案信息安全风险评估的研究

                               

 

[摘要] 近年来,随着信息技术的高速发展,档案作为信息资源管理的重要部分。它不仅对国家和企业的发展起着关键的作用,同时也是适应信息社会的发展,顺应信息社会对档案工作的要求,能尽快走出旧的管理模式的新的挑战。因此,已成为当今每个档案管理工作者必须认真思考的问题。

 [关键词]信息安全 风险评估档案信息 保障体系

 档案信息资源是我国信息资源的重要组成部分,在国家经济建设和人民日常生活中发挥着越来越重要的作用。然而,随着档案信息化建设的不断推进,档案信息系统及其周边系统规模不断扩大,系统结构更加复杂,档案信息安全问题日益突出,当前,很多单位缺乏对档案信息安全管理的知识和技术,难以保证电子档案的安全、可靠的状态。因此,电子档案迫切需要解决信息安全的问题。电子档案源自电子文件,它是在计算机中产生的文字、图形、声音、影像等多种信息,将其进行数字化集合,使其具有归档保存、备查、凭证作用。各单位应保障电子档案原始性、真实性、可靠性,构建完善的信息安全保障体系。档案信息安全保障体系应该是一个完整的体系,不仅包括安全技术,更应包括安全管理、安全法规标准等诸方面的内容,这样才能确保越来越复杂和庞大的档案信息系统安全,并且具有持续性。

1信息安全风险评估

“信息安全风险评估(以下简称“风险评估”)就是从风险管理角度,运用科学的方法和手段,系统地分析网络与信息系统所面临的威胁及其存在的脆弱性,评估安全事件一旦发生可能对组织造成的危害程度,提出有针对性的抵御威胁的防护对策和整改措施。并为防范和化解信息安全风险,或者将风险控制在可接受的水平,从而为最大限度地保障网络和信息系统安全提供科学依据。”风险评估是建设信息安全保障体系过程中的重要的评价方法和决策机制。

2、档案信息安全保障现状

2.1、偏重安全技术

档案信息安全保障体系的建设,应包括安全技术、安全管理和安全法规标准等。然而,长期以来人们对档案信息安全采取的手段偏重于依靠技术,从早期的加密技术、数据备份、防病毒到近期网络环境下的防火墙、入侵检测、身份认证等等。但“事实上仅仅依靠技术和产品保障信息安全的愿望却往往难尽人意,许多复杂、多变的安全威胁和隐患靠产品是无法消除的。”据有关部门统计,在所有的信息安全事件中,属于安全管理方面的原因比重高达70%以上,而这些安全问题是可以通过科学的信息安全管理来避免。“三分技术,七分管理”这个在其他领域总结出来的实践经验和原则,在档案信息安全领域也将同样适用。

2.2、缺失评估体系

目前,我国档案信息安全保障体系的建设处于各自为政阶段,一方面尚未明确档案信息安全保障体系的构成和安全目标,更没有将基于等级保护制度下的档案信息安全风险评估提到议事日程上来。由此造成档案信息系统建立并采取安全措施后,仍不能明确自己的网络和应用系统是否达到安全要求?还有哪些安全漏洞?可能造成多大危害?应该怎样解决?系统升级或调整后又存在哪些安全风险?如何规划档案信息安全保障体系建设?风险评估可以回答这些问题。作为档案信息系统的拥有者、档案信息系统安全构建者(如软硬件开发商)和档案信息系统安全的监管者(档案行政管理部门),必须有统一的风险评估标准,才可以做到档案信息安全与否谁也不能说了算,而应该按照统一的风险评估体系来评价是否安全,应采取什么措施。

2.3、轻视安全问题

2.3.1档案信息的存放环境影响着档案信息管理存在的安全。例如:存在环境的温度、湿度、以及防盗、防毁、防磁能力。要保证电子档案的计算机系统不受自然灾害和人为破坏。电子档案的信息安全首先要解决物理安全,通常可以采取对传导发射的防护和对辐射的防护两种措施,来保证电子档案的物理安全。

2.3.2档案信息安全需要软件安全,才能使电子档案正常运行流转。电子档案的运行软件应满足技术要求,能够实现严格的权限控制,保障合法用户可以对电子档案进行创建、归档、利用,避免非法用户的访问和非法拷贝的问题。

2.3.3档案信息安全最重要的就是数据安全,这样才能保证电子档案信息的完整、有效,避免被修改、泄露等。为此,应对电子数据进行备份,确保数据的安全。通过在线备份管理的方式,并根据实际情况采取近线存储与离线存储结合的方式进行数据备份。而电子档案在变化的软硬件环境中,会出现电子文件不能被识别读取的安全隐患,这就需要对软硬件环境进行备份,或者对备份的数据进行“数据转换”操作。对电子档案进行备份介质的选择上,可以选择光盘、磁带、闪存盘和缩微胶片。电子档案的备份可以按时间段、项目等进行分类备份。与此同时,还应根据档案数据的安全管理级别设置权限的安全管理,以对应不同类型的访问用户。

2.3.4档案信息资源的计算机网络及其节点可能受到威胁和网络的脆弱性的安全问题。因此,有必要保证计算机网络的安全,这样才能为用户的异地使用电子档案信息保障网络的畅通安全,实现有效地利用电子档案信息。网络安全问题的解决一般采取物理隔离、应用防火墙以及身份认证等安全技术,而防火墙技术成为最佳的同外网隔离与访问控制的措施。

2.4、缺少信息安全保护的持续性

档案信息系统安全保护在系统初建阶段一般是会考虑的,但随着软硬件设施升级调整、网络环境变化、系统数据量的增大、信息安全管理人员变更和信息安全要求调整等,都将影响到档案信息的安全状况发生变化。目前,大多数的档案信息系统除了日常进行杀毒软件升级和数据备份外,基本没有进行其它的保护措施调整,造成安全保护不能长久持续,而风险评估将贯穿档案信息系统的整个生命周期。         

3、档案信息安全风险评估所面临的挑战

由于档案信息资源的特殊性,国家风险评估的宏观政策、指南、标准等不可能完全照搬到档案信息化工作中来,我们需根据档案信息自身的特点,研究适合档案信息安全风险评估的一系列政策、法规标准和指南,所以有很多工作需要我们去探索。主要包括如下几个方面。

3.1、在国家风险评估的整体规划和指导下,制定档案信息安全风险评估的指导原则;

3.2、制定基于风险评估的档案信息安全保障体系的构架;

3.3、制定档案信息风险评估方法和流程;

3.4、制定档案信息风险评估机构的资质条件要求,由哪个部门对资质条件进行认定;

3.5、制定档案信息风险评估的相关法规、标准和指南等。

各单位应加强电子档案的基础设施和应用系统建设,为社会用户的电子档案使用创造广阔的交流渠道和途径。这些基础设施应是智能化、综合性的电子档案馆,能够对盗窃、水灾、火灾实现控制的安防系统;电子档案信息管理平台优化电子档案信息管理系统。推行电子档案的管理标准,各单位还应推行电子档案的管理标准,完善电子档案操作的规范体系,使电子档案管理实现权责分明、集中管理、定期检测、定期维护、以及技术风险评估制度。

3.6 构建档案信息安全体系

各单位应构建电子档案安全体系,促进电子档案的高效和安全使用,安全体系提供的保障包括系统安全性和信息安全性。这些防范措施可以防止非法用户的侵入,保证用户的权限操作,促进电子档案长期稳定的状态。构建电子档案安全体系应从以下几方面着手:第一,应确保网络传输安全。这能够保证电子文件在网络上传输的安全性,确保用户在线阅读电子文件的安全。第二,加强电子档案的信息存储安全。采用电子文件的加解密、电子文件的防篡改技术保证电子文件的原始真实性。第三,加强操作系统的安全性。单位建立服务器操作系统的安全维护、升级、服务器系统打补丁的工作。第四,建立安全检测系统,包括安装杀毒软件、防火墙、升级。第五,加强应用系统安全建设。其内容应包括安全登陆、资源访问安全,确保电子档案应用系统的安全。第六,加强电子档案系统安全审计。单位应建立电子档案系统的安全审计功能,建立电子档案使用和操作的审计日志,并定期进行审计,及时发现系统安全隐患。单位构建电子档案安全体系,不但应用先进的技术保护措施,而且还应执行科学规范的管理制度,确保电子档案的安全。

档案信息安全风险评估是档案信息安全保障体系建设的必由之路,当前,由于档案信息资源安全受到多种因素的干扰和影响,为了保证档案信息的安全性,相关单位应加强环境、设备、技术等方面管理,实施信息安全保障措施,消除信息安全隐患。为了加强档案信息安全,就必须加强档案管理复合型人才的培养和选用。单位应定期对信息管理人员进行技能培训,提高他们的职业道德水平,计算机安全技术应用能力,以及规范操作流程。这样才能适应电子档案信息安全管理的需要,档案信息资源才能可靠、安全地为企事业单位服务,发挥其社会效用。

 

 

 

澳门最新赌场:郑州市金水路18号 邮政编码:450003 电子邮箱: hndafgc@126.com
版权所有 河南省档案局 豫ICP备11015203号-1 用户登录