时间:2023-07-10 09:24:16
绪论:在寻找写作灵感吗?爱发表网为您精选了8篇安全保障体系建设,愿这些内容能够启迪您的思维,激发您的创作热情,欢迎您的阅读与分享!
关键词:城建档案;安全保障体系;建设策略
引言
随着科技的迅猛发展,信息化技术逐步的被应用在各行各业,档案信息化的发展前景也十分的可观,提高档案管理工作的效率的同时,具有一定的科学发展性。纵观我国档案管理的发展现状来看,在档案信息化与档案安全保障体系的双重促进作用下,取得了一定的成果。但是,在进行整体推进的同时,也会遇到一定的阻碍因素。因此,对于档案管理工作发展的进程中,提升档案信息化与档案安全化是具有一定必要性的。
一、加强档案安全保障体系建设的必要性
(一)、加强档案系统安全建设是解决目前国内档案安全问题的需要
有很长一段时间,一部分档案工作者对档案安全保障工作了解不够全面,诸如将安全理解为防盗、防火、防水、防湿度、防光、防高温、防虫、防霉等“八防”,尤其关注防火和防盗。档案安全有信息安全的保障和载体安全的保障,有隐性状态也有显性状态。由于档案系统安全性理解的局限性,导致在实际工作中,理解措施和技术方法简单易行,安全工作中心偏重于基础设施投资,忽略了长期安全维护和管理,缺乏足够的安全意识、风险意识和利益意识。
(二)、城建档案数字资源的安全是关键
数字城建档案馆作为一个数字化的信息系统,其主要是以数字信息资源为主要核心的虚拟的档案馆,一般都以档案数据库作为档案存储中心,而且可以在网络上对一些城建档案信息资源进行公开共享。一旦这些城建的数字资源的真实性、完整性和可用性受到破坏,则数字城建档案馆也就成了没有数据的空壳,数字城建档案的建造也将以失利告终。
二、当前档案安全保障体系建设的现状
(一)、相关法律法规不健全,安全管理体制不完善
第一,在相关法律法规方面,我国当前制定和出台的与档案安全管理相关的法律大多是通用的计算机法律法规,还未制定出具体、专门的法律法规来保护我国的档案信息化建设,无法对那些刻意攻击和毁坏档案信息资源的破坏分子产生约束力,不利于我国的档案安全管理工作。第二,在安全管理体制方面,当前许多档案馆都未能建立起完善的档案安全管理体制,档案信息化网络建设还处于探索阶段,并不十分完善,容易受到人为因素的影响而导致机密数据会资料失真或被窃取,严重阻碍档案安全管理工作的顺利开展。
(二)、软硬件设施不够完善
文件的保存需要一个安全的管理环境和管理档案数据的系统,对于数字化的信息,一般将其保存在计算机和光盘等存储设备中,但是就我国目前的发展情况而言,我国计算机技术的发展比较缓慢,且起步比较晚,因此,数字档案信息的保存体系还不够完善,相关的软硬件设施还有很多的不足之处。另一方面,软硬件,如光盘等自身容易损坏,从而也不利于档案的管理。
(三)、机制不健全,安全信息资金缺乏
档案馆信息安全机制不健全,一些部门所拟定的管理准则只是一种形式,在实际工作中没有具体的可操作性。数字城建档案馆建造项目是一种十分关键、重要的工作,其需求很多人力、物力、财力的投入。现在大多数的城建档案馆归属财务全额拨款的事业单位,其所得到的经费一般只够档案馆常规工作,如果要想从有限的经费里拿出大量资金对城建档案进行信息资源安全建设,是十分困难的。
三、城建档案管理安全保障系统建设策略
(一)、建立健全相关法律法规,培养高素质的人才
我国当前与档案安全保障相关的法律法规还不健全,未能建立起合理完善的法律法规体系,协调解决我国档案管理工作中存在的问题。因此,国家应当注意,及时制定和完善与档案安全管理相关的法律法规,综合考虑我国当前在档案安全管理中存在的问题,结合档案文件自身的特点,并吸收和借鉴国内外有关档案安全管理的立法经验,适时对不符合当前实际情况的内容进行修改。此外,为了确保相关的法律法规能够在实践过程中贯彻落实到位,各级档案管理部门应当注意加大其监管力度,及时对档案安全相关法律法规的实施情况进行检测。在人才的培养方面,档案馆应该注意对从事档案安全管理工作的工作人员进行定期培训,提高相关工作人员的知识与技能,增强他们的防范意识。高素质人才的培养是建设档案安全保障体系的重要内容之一,拥有一支知识与技能先进、责任高强的档案安全管理干部队伍是档案安全管理的有利保证。
(二)、加速档案信息的数字化进程
伴随着现代社会网络化的普遍利用,档案的信息化建设也加快了进程,档案信息的数字化在工作中也变得司空见惯。档案信息数字化在对档案原件的保护提供便利的同时,也提高了档案的服务能力,更是为避免和减轻自然灾害和人为灾害带来的损失发挥了重要的作用。随着现在档案信息数字化进程的不断推进,数字化信息的安全问题就越来越受到档案工作者和社会各界人士的重视。因此在推进档案信息数字化的进程中,一定要务必要注重档案信息的安全,建立健全完善的规章制度和操作体系,另外,也要针对数字化档案信息容易被盗取、随意改写、容易丢失的特点,强化档案信息的安全保障管理,力保数字化档案信息绝对的安全。
(三)、加强档案信息安全意识
档案信息资源是党和国家的宝贵财富,是企业不可再生资源的原始记录,一旦文件发生事故就会造成无法弥补的损失。档案工作人员要以对党和人民高度负责的精神,切实做好保护档案的工作,把档案安全放在一个重要的位置上,学习、宣传、贯彻国家对信息安全及资料管理等情况的规定,加强档案信息安全意识、安全教育,普及档案信息安全知识,消除档案信息安全认识上的误区。树立科学正确的档案信息安全观念,坚持“安全第一,预防为主”的方针,把安全责任意识落实在档案工作的全过程。
(四)、档案馆全网安全运行
要保障档案馆的公共环境、网络、信息系统和监控系统的有效与安全运行是需要健全的安全管理制度来支撑,需要管档案全体员工安全意识的加强与提高为基本前提。我国目前也正在逐步建立信息化和信息安全的相关法律、法规体系和执行体系,各级档案管理部门也在不断地完善本地区域的安全管理体系和安全保障体系,贯彻标准、执行法律、强化管理、提高全员的安全意识,只有这样,档案馆及档案的安全才有保障。
结束语
档案资源在利用的过程中具有唯一性、使用上的直接依赖性以及较强的主体关联性等特点,使其区别于其他信息资源,在档案管理中占据重要地位。因此,在构建档案安全保障体系的过程中应当注意,充分认识建设档案安全保障体系的重要性和必要性,结合档案文件的特点,提高档案安全意识,了解当前档案安全保障体系建设的现状,从整体出发,实施系统完善的防护措施,做好档案安全管理工作,构建档案安全保障体系,促进我国档案管理工作的整体化发展与可持续发展。
参考文献
[1] 国家档案局科研所,《档案安全保护技术实用手册》中国档案出版社,1993
[关键词] 档案馆 安全保障体系 建设研究
随着中国特色社会主义建设日新月异的发展,我国档案事业得到了前所未有的迅速发展。然而,档案工作仍然显得过于零散、片面,甚至有部分缺失,安全隐患和安全事故未能得到彻底遏制。因而,建设档案安全保障体系,保障档案的安全刻不容缓。
档案资源是国家和社会珍贵的文化财富, 档案的安全保管和档案的有效利用是档案最基本的两项工作。档案保护是档案安全保障体系的基石,是档案管理部门的第一要务。国家档案局局长中央档案馆馆长杨冬权在2010年5月12日在成都召开的全国档案安全体系建设工作会议上讲话中提出了研究建立确保档案安全保密的档案安全体系,全面提升档案部门的安全保障能力的新要求,从而将建立档案工作“两个体系”发展为“三个体系”,将档案安全工作的重要性提高到前所未有的“体系”高度,为新时期档案工作的健康发展指明了方向。档案部门作为档案安全保障体系的前沿重地,其安全状况如何,直接影响到国家档案资源的安全保管和有效利用。
一、档案馆安全保障体系建设的必要性
近年来面临的安全问题:自然灾害频发,信息安全问题,档案管理上的漏洞和隐患等等,都给档案造成了一些损失,对档案安全构成威胁。2008年5月12日汶川发生特大的地震,地震后人们在塌陷的北川县档案馆废墟中清理出来的档案已经面目全非;2010年4月青海玉树地震使玉树县档案馆严重受损;同年8月,甘肃舟曲特大泥石流灾害造成干部档案受损,等等这些因自然灾害遭到破坏的档案在灾后重建过程中面临着档案的修复,这其中有太多的困难、困扰和无助。这些例子充分说明档案馆安全保障体系存在的问题和所面临的严峻问题,为档案全方位安全建设敲响了警钟。档案馆的建筑必须符合《档案馆建筑设计规范》和《档案馆建设标准》中的抗震烈度标准。国家综合档案馆重要档案必须实行异地异质备份。2005年,全国档案安全体系建设工作会议提出:“建立确保档案安全保密的档案安全体系,全体提升档案部门的安全保障能力,确保档案实体安全和信息安全,推动全国档案事业安全发展、协调发展、可持续发展。”
国际国内敌对势力对我国重要情报档案信息的觊觎和窃取对国家安全造成严重威胁,急需建立档案安全保障体系。国家档案局早在2002年的《全国档案信息化建设实施纲要》中,就明确提出了加强档案信息安全保障体系建设的具体要求。为此各级各类国家档案馆必须建立档案信息安全体系,使档案实体安全和信息安全得到同步保护,已成为档案部门的共识。
二、档案馆安全保障体系的保障机制
档案安全保障体系是一项复杂的系统工程,涉及安全威胁、安全防范技术、管理方法、人员素质等多方面问题。要解决的不仅仅是技术上的问题,更重要的是安全保障各环节的管理和组织。完善档案安全保障体系是社会主义档案事业的重要支柱,关系档案事业全面、和谐、可持续发展全局,对档案事业发展有着重要意义。
(1)严格按照《档案法》要求和国家、省级档案财政部门有关文件规定,将档案管护费足额列入当地政府年度财政预算,并随着经济发展提高预算标准。
(2)构建档案安全保障体系涉及到应对突发事件档案抢救工作保障机制。按照国家档案局的《档案工作突发事件应急处置管理办法》及《档案馆防治灾害工作指南》的要求,成立由档案、公安、消防、地震、政府应急等相关职能部门领导组成的档案安全协调领导小组,制定切实可行的包括防震、防水、防火、防盗、防社会性等档案安全应急预案,并报地方政府备案,实现群防群治,切实提高安全应急处置能力,奠定档案事业安全、协调、可持续发展的坚实基础。(3)加强档案安全队伍建设。档案安全保障体系建设的关键是人的因素,因为再好的安全制度、设施,如果没有人来执行和管理,都将成为一句空话。古人云:“患生于所忽,祸起于细微”,档案资源是一种不可再生资源,在档案馆,一片小小的水渍,一丝小小的疏忽,一只小小的烟头,都有可能对档案造成不应有的损失。为此,档案安全机构人员主抓安全工作外,还要在其他业务处室明确安全责任人,同时要加强对安全管理人员的安全法律法规培训,形成人人、事事、处处懂安全、抓安全、保安全的浓厚氛围。
三、档案馆安全保障体系建设的研究
档案安全保障体系的建设是一项刻不容缓的工作,只有明白食物的薄弱环节,抓住问题的关键所在,抓住问题的主要矛盾,才能抓住解决问题的关键。首先要加强涉及档案安全的基础设施建设,为档案安全提供必要物质保障;其次在加强档案安全工作规章制度的建立和完善的同时应加强档案管理理论与实践不断创新为档案工作提供必要的制度、机制保障;最后要加强档案安全教育和专业技能培训,为档案安全提供必要的人才保障。
档案馆安全保障体系建设时档案工作的重要课题,它涉及档案管理的各个环节,是一项复杂而庞大的系统工程,档案部门应坚持不辱使命、创新制度和机制,以全面推动档案馆安全保障体系的建设进程。
参考文献:
[2] 刘继红.加强档案馆安全保障体系建设.中国档案,2010(11).
[3] 常国瑞.加强档案管理,努力构建档案安全保障体系,2012年.
[4] 2009年杨冬权在国家档案局长馆长会议讲话---科学发展观为指导,推动档案事业更好地为科学发展服务.
关键词:职业院校;档案安全;保障体系
职业院校档案资源是国家、职业教育、技术工人队伍的重要信息资源。职业院校档案是关系到数以亿计的社会职业劳动者和职业教育在校生的信息资源,确保职业院校档案实体和信息的安全是职业院校档案馆及其馆员的重要职责。2002年的《全国档案信息化建设实施纲要》明确指出了加强档案信息安全保障体系建设的具体要求[1],2010年5月12日杨冬权同志在全国档案安全体系建设工作会议上提出,要建立确保档案安全保密的档案安全体系。[2]这些战略部署,充分说明了档案安全保障体系建设的必要性。
职业院校档案安全保障体系建设的实践随着档案信息化建设进程的加快也在逐步为大家所认识,实践工作也作了很多努力,但是真正提高到研究高度的文章则相对较少。笔者试图从职业院校档案安全保障体系较少的全流程和大环境中思考和认识职业院校档案安全保障体系的建设,全视角地展现职业院校档案安全保障体系建设的工作系统,对职业院校档案安全保障体系建设工作进行探讨。
一、职业院校档案安全保障体系建设面临的挑战和存在的问题
职业院校档案安全保障体系建设同职业院校档案工作的大环境是分不开的。当前,在高职院校档案管理中存在着一些问题:档案管理人员业务素质不高,档案管理不规范,档案管理基础设施落后,档案管理方式手段落后。[3]中职学校档案管理的状况是:现代化管理手段并没有充分利用;现有电子文件没有归档为电子档案,而任由其在产生部门自生自灭;档案管理队伍人力缺乏,尤其缺乏懂计算机网络技术的人才;档案工作者对档案信息化的意识不到位、信息化技术水平低;学校领导对档案管理的重视不到位。[4]在网络环境下高级技工学校档案管理面临的不安全因素有:网络病毒纵横恣意,操作系统存在漏洞,电子文件共享导致不安全因素产生,网络犯罪迅速蔓延。[5]这些问题说明职业院校档案安全保障体系建设的基础环境不容乐观,需要各级相关部门和工作者共同努力解决。
职业院校档案安全工作中存在的问题有:档案安全意识薄弱,未建立必要的档案安全管理制度,缺乏经常性的安全检查,缺乏必要的安全知识;缺少必要的防盗设施,应急预案缺位或应急预案不切实际,对档案安全事故责任人的处罚力度不够。[6]由于种种隐患的存在,使得职业院校档案安全保障体系建设的实施面临着多层面问题。杨冬权同志指出:要树立“安全问题无处不在”的思想。历史和现实的经验告诉我们,火灾、水灾、震灾、害虫、霉菌、灰尘、紫外线、有毒有害气体等自然因素的影响,计算机病毒、技术故障、载体寿命等技术因素的影响,战争、、人为攻击、人为窃取、疏忽大意等人为因素的影响,无时无刻不在影响着档案安全。
这些基础环境和安全隐患的存在提醒我们,职业院校档案安全保障体系建设面临着巨大的挑战,我们只有共同努力,创造一个良好的保护环境来应对挑战。
二、职业院校档案安全保障体系建设的保障体系
1.理论保障
顶层设计就是要从国家和职业教育档案的层面把握、设计、引导职业档案安全的思想,全面规划和集中控制职业院校档案保障体系的建设进程。
前端控制就是面对网络环境下文件/档案的易逝性、易变性、信息及其载体的易分离性、对电子环境和应用程序的依赖性等特点,馆员需要提前介入前期工作中。[7]在职业院校档案安全保障活动中应制定计划方案,人员配备要合理、技术力量要有前期储备,设备的选择和环境的控制、整个预防性安全保障活动的监督、检查和评估都要事先有准备[8];通过前端控制增强档案系统对环境影响的抑制力,提高档案资源的稳定性,延长档案文献的寿命。
全程管理就是随着电子文件/档案从产生到永久保存或销毁的整个生命周期进行全程管理,实施一系列的安全保障管理活动。具体包括:物理条件的采用和处理及信息安全保障方案的整合,档案工作流程中的制度设计和应用,设备设施的安全性维护,人力资源的培养和继续教育等。
后期监督具体包括档案安全保障活动的评价,人力资源的评估,经费结算,安全保障活动的总结,法规、标准、制度的进一步完善,安全保障活动模式、方法的集约等。
2.法规和标准保障
职业院校档案安全保障体系建设要全面贯彻落实相关国际标准、国家法规和标准,保证工作始终处在法规化和标准化的正确轨道上运行。这些相关的标准和法规包括:国际性档案安全规范和标准、国家性档案安全法规和标准、档案安全业务性标准规范、档案安全技术性标准规范。我国关于档案安全最高法规是《中华人民共和国档案法》。《全国档案信息化建设实施纲要》对档案信息安全体系建设具有指导性意义。
随着档案安全工作实践的推进,又有一些新的法规规定出台和颁布,如《档案馆防治灾害工作指南》、GB/T20948-2007《信息安全风险评估规范》[9]《档案馆建设标准》、《计算机信息系统安全保护条例》、《计算机信息网络国际联网管理暂行规定》、《计算机信息网络国际联网安全保护管理办法》、《中国公民计算机互联网国际联网管理办法》、《专用网和公用网的暂行规定》[10]等。这些法规和标准为职业院校档案安全体系的建设提供了保证。
3.制度保障
职业院校档案安全制度的建立健全是落实档案安全保障体系建设的基础。云南档案馆有健全完善的39项管理规章制度[11],海南省档案局要求做好“加强制度建设和内部管理”工作[12],这些都说明了制度保障的重要性。
4.组织保障
在国家档案局和中国档案学会的领导下,各级学会组织应成立专门的大中专院校分会,建立安全工作领导小组和安全工作组织体系,设立安全专员,责任到人,把安全工作具体化并落到实处。
5.经费保障
从国家档案安全体系建设的高度来认识,在财政许可的情况下,应专项列支档案安全保障建设资金。应积极主动地通过多种渠道和方法,将档案工作和档案安全保障体系建设列入院校每年的正常预算中,有专项资金作为保障。
6.馆舍和物资设施保障
应严格遵循《档案馆建设标准》和《档案馆建筑设计规范》,按照因校制宜的原则,合理地确定馆舍,有独立的馆舍,才能做到真正意义上的安全保障。同时还要加强馆(室)内安全设施建设,如自动报警装备、自动灭火设施、温湿度调控设备、防磁设施,以及档案的扫描、存储、复制、传真、微缩等设备,要有专业人员定期进行安全性检测。
7.备份保障
要逐步落实有关规定和政策及制度,采用多份存档、呈缴备份、异质备份、异地备份等方法,保证档案资源更高层面的安全。
8.技术保障
在网络时代的电子办公环境下,先进的安全防范技术对于档案安全保障体系来说是必须的。在条件允许的情况下,我们可以采用多种先进的安全防范技术手段,诸如指纹识别、虹膜识别、脸部识别、红外报警、磁条防盗、条码管理、水印防伪、电子文件封装、信息防火墙等,确保档案安全保密。[13]其他的先进技术还有数字签名技术和入侵检测技术等。[14]
9.传统技术保障
电子档案和数字档案日趋成为档案管理的重点,但纸质档案还将长期存在于我们的工作中,因而传统技术不能丢,在防虫、防风、防光、防水、防火等多方面的传统技术,以及防自然灾害方面的传统技术仍将继续传承、掌握和使用。
10.应急机制保障
我国是一个大国,东西南北自然条件差异很大,自然灾害每年都不可避免。档案馆(室)应建立应急机制,有各种灾害的应急预案,一旦发生灾害能及时保障档案安全。电子档案和档案网络信息的安全防护也应有应急机制,具体包括防丢失、防病毒、防黑客、防设备后门等方面的应急机制。
综上所述,职业院校档案安全保障体系建设具有理论和实践双重重要意义。我们要深入践行科学发展观,全面提升职业院校档案安全工作的地位和档案安全保障能力,努力构建职业院校档案安全工作和谐推进的发展环境,全面建立能确保职业院校档案安全保密的档案安全保障体系,保证职业院校档案事业全面、持续、可协调地发展。
参考文献:
[1] 全国档案信息化建设实施纲要[Z].http://wenku.省略/view.
[2] 杨冬权.在全国档案安全体系建设工作会议上的讲话[N].中国档案报,2010-05-20.
[3] 徐晓英,刘晓燕.加强高职院校档案管理的措施探讨[J].四川职业技术院校学报,2010,(5):114-115.
[4] 肖燕东.浅议中等职业学校档案信息化建设[J].档案天地,2010,(4):53-54.
[5] 孙小璇.网络环境下高级技工学校档案安全管理[J].科技档案,2010,(2):35-37.
[6] 张大彤.档案安全工作中不容忽视的九个隐患[J].中国档案报,2010-06-04.
[7] 薛四新,等.现代档案管理基础[M].北京:机械工业出版社,2006:161,199.
[8] 张美芳,等.档案安全保障体系的构建[J].中国档案,2010,(4):20-21.
[9] 盛玉.档案安全与安全保障体系内容的关系分析[J].网络财富,2009,(6):45.
[10] 曹书芝.网络背景下档案信息的安全保障[J].兰台世界,2006,(5):2-3.
[11] 殷俊燕.大力推进安全体系建设 筑牢档案安全“防火墙”[J].云南档案,2010,(6):7-8.
[12] 海南省档案局.关于进一步加强档案安全体系建设的意见[J].海南档案,2010,(2):1-2.
一、档案安全保障体系解读
档案安全保障体系牵涉到档案将遭受的威胁、防范技术、管理模式、员工素质等多方问题,是一项系统工程。档案管理和保存过程中存在着很多不安全因素,经过档案风险评估,可以确定档案安全系统存在的风险,找到相应的安全防范措施,确定可行的安全策略。将档案管理安全、技术安全和环境安全措施综合设计为一个统一完整的安全保障平台,是档案安全保障体系的核心理念。
二、档案安全保障系统建构的必要性
(一)我国核心档案资源被窃取的客观需要
目前我国面临着较为严峻的档案安全问题,其中,信息资源和能源资源等是各国争夺的战略资源,国际上通过非法手段和途径窃取别国档案信息的事例并不少见,面对这种严峻的信息安全问题必须加强档案安全保障系统建设。
(二)目前自然灾害频发严重威胁到我国档案信息安全
地震、海啸、台风、火灾等自然灾害不可预亦不可抗拒,此类灾害对于档案信息实体危害巨大,印度洋海啸和汶川地震都是震惊世界的现实例子。汶川地震对当地及周围地区档案馆造成严重破坏,当地档案信息损毁严重。所以大力推进我国档案安全保障系统是自然灾害频发客观要求。
(三)档案事业快速发展造成档案信息安全隐患
公共档案服务事业的快速推进,尤其是《政府信息公开条例》的实施,导致档案安全矛盾凸显。在档案管理中,一些地方由于强调服务,开放的文件疏于鉴定,将不应公开的信息公之于众,不应宣传的信息在网络上流传,严重损害了相关人员和部门的切身利益。
(四)数字技术应用于档案管理带来了新的安全隐患
随着我国进入信息时代,大量的电子文件的出现是信息时代的一大特征。电子文件易改动、易窃取、易传播、易丢失的特性给档案管理工作造成了新的困难,使档案管理工作人员面临严峻考验。此外,电子文件可以得到长期保存也是档案管理者面临的重大难题之一。这就要求我们必须建立完善的档案安全保障体系来提高档案管理水平。
三、档案管理安全保障系统建设的内容
(一)理论建设和技术研究
根据档案安全保障系统建设的实际需要,研究并制定相应的档案安全科研计划。此外,应当加强对数字档案资源安全保证、档案修复技术、电子文件真伪鉴别和长久保方式等关键理论和技术的研究,提高档案管理安全保障的理论支持和技术支持。
(二)完善相应领域的法律法规
目前的当务之急是健全档案管理领域的法律法规体系,对于档案管理工作中出现的各种矛盾和问题,相关领域的法律法规起着重要的协调作用,对于档案资源的安全有重要保障作用。因此,在法律法规的制定过程中,要注意法律条文的规范性和实操性、系统性和各方面兼容性,有意识的吸收借鉴国内外先进的档案安全立法经验,适时整改和修订现行法律法规中与现实情况脱节的条款。
(三)培养高素质的档案管理人才
人才的培养是档案安全保障系统中的关键要素之一,所以要有计划、分重点、多形式、多途径的培养档案安全保障人才。同时对档案安全保障事业一线工作人员要定期展开培训和学习,提高他们的安全防范意识,普及档案安全保障的知识和技能。并且要及时引进国外档案安全保障的新成果,培养一支有先进知识、专业技术和高度责任心的档案事业干部队伍,为档案安全管理事业提供可靠保障。
另外要确保档案安全法律法规的贯彻实施。各级档案管理部门要大力监督检查档案安全相关法律法规的实施情况,对于违反档案安全的人员进行严肃处理。对查出的破坏档案安全问题一经发现绝不姑息,发现一起处理一起。从而确保档案安全法规不仅停留在纸面上,在实际工作中贯彻执行,真正发挥作用。
(四)建立档案安全管理体系
根据国家或者行业内部要求及档案管理组织内部实际情况,制定出档案安全管理工作的具体策略和方案,用于指导档案安全保障工作的开展。档案部门应该按照档案管理安全保障标准建立明确的工作目标和工作规划,从而达到系统的、全面的、制度化的档案安全管理模式,实现档案管理安全保障。
(五)建立档案安全系统的评估体系
档案管理安全评估建设是指针对档案安全保障事业所建立系统的评价指标,档案管理安全评估系统需要有很强的可操作性、科学务实、完整系统、并且动态性与稳定性兼具。
[关键词] 信息安全保障体系; 中国石油; 企业
doi : 10 . 3969 / j . issn . 1673 - 0194 . 2012 . 09. 054
[中图分类号] TP309 [文献标识码] A [文章编号] 1673 - 0194(2012)09- 0089- 02
1 信息安全保障体系概述
信息安全保障(Information Assurance,IA)来源于1996年美国国防部DoD指令5-3600.1(DoDD5-3600.1)。其发展经历了通信安全、计算机安全、信息安全直至现在的信息安全保障。内容包括保护(Protection)、检测(Detection)、响应(Response)、恢复(Recovery) 4个环节,即PDRR模型。
信息安全保障体系分为人员体系、技术体系和管理体系3个层面,人员体系包括安全人员的岗位与职责、全体工作人员的安全管理两部分。技术体系由本地计算环境、区域边界、网络基础设施及支撑性基础设施组成。管理体系包括建立完善的信息安全管理体系、构建自上而下的各级信息安全管理组织架构、制定信息安全方针与信息安全策略及完善信息安全管理制度4个板块。通过纵深防御的多层防护,多处设置保护机制,抵御通过内部或外部从多点向信息系统发起的攻击,将信息系统的安全风险降低到可以接受的程度。
2 国外信息安全保障体系建设
美国的信息化程度全球最高,在信息技术的主导权和网络上的话语权等方面占据先天优势,他们在信息安全保障体系建设以及政策支持方面也走在全球的前列。美国政府先后了一系列政策战略报告,将信息安全由“政策”、“计划”上升到“国家战略”及“国际战略”的高度。美国国土安全局是美国信息安全管理的最高权力机构,其他负责信息安全管理和执行的机构有国家安全局、联邦调查局、国防部、商务部等,主要根据相应的方针和政策结合自己部门的情况实施信息安全保障工作。
其他国家也都非常重视信息安全保障工作。构建可信的网络,建设有效的信息安全保障体系,实施切实可行的信息安全保障措施已经成为世界各国信息化发展的主要需求。信息化发展比较好的发达国家,如俄、德、日等国家都已经或正在制定自己的信息安全发展战略和发展计划,确保信息安全沿着正确的方向发展,在信息安全领域不断进行着积极有益的探索。
3 国内信息安全保障体系建设
我国信息化安全保障体系建设相对于发达国家起步较晚,2003年9月,中央提出要在5年内建设中国信息安全保障体系。2006年9月,“十一五”发展纲要提出科技“支撑发展”的重要思想,提出要提高我国信息产业核心技术自主开发能力和整体水平,初步建立有中国特色的信息安全保障体系。2007年7月20日,“全国重要信息系统安全等级保护定级工作电视电话会议”召开,标志着信息安全等级保护工作在全国范围内的开展与实施。2011年3月《我国国民经济和社会发展十二五规划纲要》明确提出加强网络与信息安全保障工作。通过一系列的文件要求,不断完善与提升我国的信息安全体系,强调信息安全的重要性。
我国信息安全保障体系建设主要包括:① 加快信息安全立法、建立信息安全法制体系,做到有法可依,有法必依。② 建立国家信息安全组织管理体系,加强国家职能,建立职能高效、职责分工明确的行政管理和业务组织体系,建立信息安全标准和评价体系。③ 建立国家信息安全技术保障体系,使用科学技术,实施安全的防护保障。④ 在技术保障体系下,建设国家信息安全保障基础设施。⑤ 建立国家信息安全经费保障体系,加大信息安全投入。⑥ 高度重视人才培养,建立信息安全人才培养机制。
我国通过近几年的努力,信息安体保障体系取得了长足发展,2002年成立了全国信息安全标准化技术委员会,不断完善信息安全标准。同时在互联网管理、信息安全测评认证、信息安全等级保护工作等方面取得了实质性进展,但CPU芯片、操作系统与数据库、网关软件仍大多依赖进口,受制于人。
4 企业信息安全保障体系建设
中国石油集团公司信息化建设在我国大型企业中处于领先地位,在国资委历年信息化评比中,都名列前茅,“十一五”期间,公司将企业信息安全保障体系建设纳入信息化整体规划中,并逐步实施。其中涉及管理类项目3个,控制类项目3个,技术类项目5个。
管理类项目包括信息安全组织完善、信息安全运行能力建设、风险评估能力建设3个项目。信息安全组织完善是指完善信息安全的决策、管理与技术服务组织,合理配置岗位并明确职责,建立完备的管理流程,为信息安全建设与运行提供组织保障。信息安全运行能力建设内容包括建立统一、完备的信息安全运行维护流程及组织IT运行维护人员信息安全技能培训,较快形成基本的信息安全运行能力。风险评估能力建设是指通过建立风险评估规范及实施团队,提高信息安全风险自评估能力和风险管理能力,强化保障体系的有效性。
信息安全控制类项目涉及信息安全制度与标准完善、基础设施安全配置规范开发、应用系统安全合规性实施3个项目。信息安全制度与标准完善包括:① 初步构建了制度和标准体系,了《信息系统安全管理办法》及系统定级实施办法。② 建立和完善了信息系统安全管理员制度,开展了信息安全培训。③ 跟踪国家信息安全等级保护政策,开展信息系统安全测评方法研究等,规范了信息系统安全管理流程,提升安全运行能力。基础设施安全配置规范开发目标是制定满足安全域和等级保护要求的信息技术基础设施安全配置规范,提高信息技术基础设施的安全防护能力。应用系统安全合规性实施是提供专业的信息安全指导与服务,支持国家等级保护、中国石油内部控制等制度的实施,使信息化建设与应用满足合规性要求。
信息安全技术类项目由身份管理与认证、网络安全域实施、桌面安全管理、系统灾难恢复、信息安全运行中心5个项目组成。身份管理与认证是指建成集中身份管理与统一认证平台,实现关键和重要系统的用户身份认证,提高用户身份管理效率,保证系统访问的安全性。网络安全域包括广域网边界防护、广域网域间与数据中心防护、广域网域内防护3项内容。广域网边界防护是指将全国各地的中国石油单位的互联网集中统一到16个区域网络中心,员工受控访问互联网资源,并最终实现实名制上网。广域网域间与数据中心防护项目指建立。区域间访问与防护标准、数据中心防护标准。广域网域内防护将分离其他网络并制定访问策略,完善域内安全监控手段和技术,规范域内防护标准。桌面安全管理项目包括防病毒、补丁分发、端点准入、后台管理、电子文档保护和信息安全等级保护综合管理6个子系统。系统灾难恢复包括:① 对数据中心机房进行了风险评估,提出了风险防范和改进措施。② 对已上线的18个信息系统进行业务影响分析,确定了灾难恢复关键指标。③ 制定整体的灾备策略和灾难恢复系统方案。信息安全运行中心旨在形成安全监控信息汇总枢纽和信息安全事件协调处理中心,提高对信息安全事件的预警和响应能力。
5 存在问题及建议
中国石油作为国资委超大型企业和能源工业龙头企业,集团领导和各级领导,一贯重视信息安全工作,在落实等级保护制度,加强信息安全基础设施建设,深入开展信息安全战略、策略研究等方面,都取得的丰硕成果,值得其他企业借鉴。公司在信息安全保障体系建设中还存在以下问题:
(1) 信息安全组织体系不够健全,不能较好地落实安全管理责任制。目前,部分二级单位没有独立的信息部门,更没有负责安全体系建设、运行和管理的专职机构,安全的组织保障职能分散在各个部门,兼职安全管理员有责无权的现象普遍存在,制约了中国石油信息安全保障体系建设的发展。需强制建立从上至下完善的管理体系,明确直属二级单位的信息部门建设,岗位设定、人员配备满足对信息系统管理的需求。
关键词:档案网络 信息安全保障 建设保障体系
1.引言
如今我们的网络安全受到了严重的威胁,我们必须把维护档案网络信息安全作为我们工作的重中之重。但是现在人们关注的焦点主要在于建设和完善档案网络信息系统、应用软件以及硬件设备,对维护档案网络信息安全的重视还不够,但档案的信息安全事关人民群众生活的方方面面,基于这一情况,笔者重点阐述了建设档案网络信息保障体系的一些想法。
2.建设档案网络信息保障体系的基本要求
在充分了解档案网络信息保障系统的前提下,为了保障档案网络信息的安全,我们必须遵循以下要求:
第一,在档案网络信息部门创造一个安全可靠的环境。维护档案信息安全的网络部门环境是十分重要的,要对该部门网络的信息查询始端和终端以及网络设备进行仔细的检查,并做好保护工作。
第二,创造一个安全可靠的档案信息传输通道。档案信息在传送的过程中很容易被窃取,因此我们对传输过程的保密措施要做得十分到位,以防不法分子窃取档案信息从而造成不必要的损失。
第三,严格限制用户的访问权限。用户在申请权限的时候,要证实用户的身份,并且要保证用户只能访问授权的内容,不能访问受限制的内容。
第四,完善密码和密码设备的协调机制。所有用户密码以及密码设备都应当进行统一的管理,并且要把每个用户的密码与密码设备对应起来,确保准确。
第五,创造综合管理档案信息的工作环境。这个要求就是将全部用户的档案信息集中到一起进行管理。这样不仅方便管理档案信息,还能保证档案信息不被丢失,以达到安全管理档案网络信息保障系统的要求。
3.建设档案网络信息保障体系的具体方法
第一,配备防止网络病毒的设备,其作用是检测出已经存在的病毒对其查杀,并做好预防病毒的工作。
第二,配置扫描网络漏洞的系统,定时对主机、操作系统、软件系统以及网口进行扫描,防止漏洞入侵威胁网络信息安全。
第三,配备内网监控审计系统,先在PC机上安装服务器,从而监控所有PC机运作的全过程。
第四,建立完善的用户认证系统。对于想要进入该系统的用户,必须核实他们的真实身份和信息,严格做好用户认证工作。
第五,对服务器进行加密。要对服务器做好加密工作,以防服务器在传输过程中丢失档案信息。
第六,对保证网络安全的服务器加密。要增设路由和防火墙的功用。
第七,建立一个良好的防火墙系统。以防不法分子的入侵。
第八,对路由器进行加密。
上面阐述的都是比较好的方法,我们在实际过程中,需要建立一个完善的安全保障体系,具体包括以下六方面的内容:
第一、 物理安全
先对需要加密的档案信息进行分类,根据他们需要加密的等级分为密文服务器以及明文服务器,然后将这些档案信息全部放置于屏蔽电磁的房间里,接着利用内网监控审计系统对整个网络和所有的主机进行实时监控。需要注意的是,我们要着重注意磁盘系统,由于磁盘系统是所有档案信息集中储存的场所,所以磁盘系统的安全与否决定着档案信息的安全。我们可以利用其他的高科技来保护磁盘系统以防不法分子的入侵。一般说来,物理安全保障体系是一种较为常见的手段,在实际应用中效果较为良好,而采用RAID 等技术来对磁盘的安全性加以保证,更是能够极大程度的提升整体的物理安全性能,为档案的保护提供了便利。
第二、 网络安全
储存档案信息的设备以及传送档案信息的设备一定要对终端和存储服务器配备密码机,只有这样才能够对档案信息进行加密。对于该部门的网络IP地址,要根据实际情况和工作需求,有效的进行规划。在选择硬件设施的时候,最好选择具有自动保障安全的设备。建设档案网络信息保障体系,对档案信息的安全性的提升所具有的现实意义是非常巨大的,通过必要的手段来对网络访问权限进行控制和管理,能够有效的提升网络的整体安全程度,对于保证档案网络信息的安全是具有重要的作用的。
第三、 系统安全
有些档案信息是需要特别加密的,通常我们都是采用Windows 2003且达到B级安全等级的操作系统,这种系统可以实时的把握系统运行的情况。必要时,还可以把国家认证的系统应用于此,这样可以增加保密的强度。此外,还需要做好备份工作,完善备份机制。应该看到,系统安全对于档案的网络信息安全保障体系的构建是具有特殊意义的,这是因为,只有一套安全有效的系统作为支持,才能够保证所研发的系统具有实现预先设计功能的可能。
第四、 应用安全
加密文件服务器和不加密文件服务器可以分开来管理。先对档案信息进行处理,重要的信息要提高加密等级,无关紧要的信息可以不进行加密。应用系统在工作的时候,也要保障它的安全,做好备份和预防工作。使用该系统的用户也应当得到官方的认证,同时对一些信息的访问应当受到限制。保证系统的自我恢复功能,在实际应用过程中具有极其重要的意义,尤其是对于提升系统的整体稳定性以及降低由于突发事件所导致的信息受损程度,都有极其重要的积极作用。
第五、 用户安全
我们是为用户服务的,用户安全也应当全力保证。在选择杀毒软件的时候,最好选择网络版本的杀毒防毒系统,一旦系统出现了漏洞或者是补丁,要立即进行修复。网络系统在运行的时候,要打开监控设备全程监控。已经设立好的IP地址不能随意的改变。用户在应用系统之前,就要对其身份进行认证,这不仅是为了保护档案信息的安全,也是为了保护用户的安全。认证以及管理用户的身份和信息是实现档案网络信息安全保证体系的基本前提。
第六、 安全管理
我们进行安全管理主要是为了在分层管理网络系统,集中监控档案信息安全的基础上,建立一个全方位多层次的档案网络信息安全保障系统。进行安全管理应当做到以下几个方面:第一,建立严格的管理规章制度,具体包括保障系统运作制度,用户认证制度,安全操作制度,程序规范制度,定期检查制度等等。第二,设立一个健全的组织机构,由专门的人对档案网络信息安全工作进行掌控,具体的部门由专业人士进行管理,各个部门的人要及时进行工作交流,取长补短。第三,设立一个完善的安全保障机制,也就是说,在出现故障或者档案信息安全受到威胁的时候,要有相应的措施应对,并且能够有效的处理各种突况。同时,还可以增设一些安全配套设施,比如说安全管理器、密码服务器等等。实际上,一套行之有效的安全管理机制,对于提升档案信息安全是非常有必要的,人作为机器的控制者,在工作中,通过制度对人的行为加以规范,是安全管理的重要途径之一。
4.结语
随着我国经济的高速发展,我国的互联网事业同样取得了辉煌的成就,而在科学技术和信息技术高速发展的社会,却连连遭遇档案信息丢失或被窃的问题。然而我们知道,保障档案信息的安全是确保国家和军队的重要支撑力量,所以保护档案信息安全是一件十分重要而且紧迫的事情。无论是国家、政府、军队,还是普通大众,都要给予档案信息安全足够的重视,并且要从理论和技术的角度,积极保护档案信息的安全。
参考文献:
(四)构筑信息安全服务后盾
数据的存储是重要的网络金融研究课题,而信息数据如何存储才可保证网络金融服务的连续性,保证在访问和交易过程中不会间断甚至终止,是作为网络金融信息安全研究学者必须要思考的问题。一旦系统发生故障,可能会出现众多问题,比如业务中断、客户流失,甚至资金链断裂等,随之而来的后果便是金融企业的竞争力下降。因此,金融信息系统中的数据存储系统要求具有较高的可靠性。所谓的可靠应考虑到诸多方面,比如对各级系统和数据的保护。一套完整、有效的金融信息系统,应不受硬件、软件或者应用程序故障所带来的影响,如果数据中心由于某些原因无法正常工作时,应提前做好准备,由另一套备份的数据中心进行接管工作,继续维持任务的执行,当主数据中心恢复正常后,工作再转回主数据中心进行工作。
近年来,我国越来越重视对知识产权的保护,尤其是与银行金融业相关的自主性知识产权,如正版软件系统或者相关的硬件产品。应大力开发适合我国银行业金融机构的具有自主知识产权的信息系统和金融产品,并通过建立产品的平台化和服务的平台化等措施保护研发成果,为网络信息安全保障体系建立强大的服务后盾。
(五)培养金融信息安全专业人才
为了更快地适应信息化所带来的冲击,应尽快为金融行业培养出新型人才,把合适的人放到合适的岗位,是做好金融信息化安全工作的前提。目前,金融机构中很多的技术人员是纯计算机专业出身,他们没有系统学过金融方面知识,对金融行业知之甚少,在就业后有相当长的时间无法体现出自身价值。同时,由于金融机构的行业特点,金融信息系统的运行、维护、软硬件及数据方面的监察与维护都需要由专职技术人员专人专责,在工作过程中需严格按照专业规程和授权进行规范操作、定期检查和及时维护。现如今我国金融行业的信息安全保障人员很多是由金融从业者改行过来的,在信息技术方面往往无法真正达到要求,因而影响了我国金融信息化的进程。这些现状阻碍了网络金融信息安全保障体系的构建。为了满足目前网络金融行业的快速发展,培养当今社会急需的金融信息安全人才应掌握以下方面的知识内容:首先是金融与管理相关的基础知识,如金融学基础、会计学基础等;其次是信息技术相关的知识,如计算机软件、计算机网络技术、数据库和金融信息系统设计等;再就是金融方向的业务知识。对于我国的金融学府来说,尽快培养出金融和计算机信息技术的交叉复合型高端人才是迫在眉睫要解决的问题。
档案信息安全保障问题最早是由美国提出的,对于信息安全保障他们给出了自己的定义,总结了信息安全的各种特性以及信息系统的功能。其实,对于信息安全保障系统可以从多种角度进行分析,主要包括信息安全技术和信息安全管理等方面。由于档案信息安全问题关系到小单位甚至国家的安全,因此对于保障体系的构建宏观上就上升到了国家的战略高度,十分必要。
二、我国档案信息安全保障体系建设
(一)档案信息安全管理体系建设
宏观档案信息安全保障体系侧重的是档案信息安全管理体制,由于缺乏统一的管理体制,各地对档案信息管理漏洞百出,使得许多机关信息无法保密,滋生了部分信息安全方面的犯罪。只有对档案信息安全的相关政策和法规标准进行规范,才有利于对档案信息的管理规制,进而保障信息安全。在这方面国家需要做的就是,在国家档案局成立专门的档案信息安全管理处以负责对档案信息的管理工作,在各省市也成立相应的档案信息安全管理部门,具体执行相关的安全保障工作。对于相关的法规完善是必不可少的,只有在国家法规的指导下,地方才可以制定出本地适用的地方标准,以便于档案信息安全保障工作的顺利开展。
(二)档案信息安全技术体系建设
从技术上对档案信息的安全进行保障,也是档案信息安全技术体系的目标,可有效保障档案信息的完整性、可追溯性、真实性等。随着时代的发展,信息安全技术不断进步,依据不同属性可分为:物理安全技术、系统安全技术、数据安全技术、网络安全技术、用户安全技术等等。在运用这些安全技术时要考虑到档案信息的特殊性,比如档案信息的性,还有些档案需要长时间保存,还需要保证其真实性,就需要对这样的档案信息进行特殊的物理安全技术保存。可见,对档案信息采取安全技术进行保障时要谨慎保存。
(三)档案信息安全法规标准体系建设
标准化是一种科学的管理手段,以标准行事可以减少档案信息安全管理中出现的盲目性,有了标准就有了档案信息安全保障工作的规划和目标。为了促进档案信息化建设的顺利开展必须要加强立法,使得档案信息安全保障工作有法可依,在法律的保护下进一步完善。国家制定了档案安全法规后,地方就可以参照法律制定地方条例和标准,针对本地实际情况管理本地的档案信息安全工作
(四)档案信息安全基础设施体系建设
档案信息安全基础设施体系就是要为档案信息安全构建基本的设施,为保障档案信息安全提供最有利的服务和支撑。这些基础设施涵盖面比较广泛,主要包括档案信息系统,这个系统需要档案管理部门的协调和引导,运用计算机数据加密和数字签名;档案信息灾备中心建设是档案信息安全保障中的一项基础设施,档案部门可以通过多种途径对档案信息进行灾难备份,以保障信息的长期性;档案信息系统应急响应的工作需要利用政府或商业机构的应急服务,这项支援服务的关键就是选择具有国家资质认可的服务机构,还要向缺乏信息安全专业人员的档案部门提供安全服务。
(五)档案信息安全人才培养体系建设
人才是科技发展的生力军,档案信息安全保障的根本离不开档案信息安全人才的培养,我国对于信息安全人才培养体系的构建已经提上日程,对于这方面的教育也逐渐普及,主要包括高校信息安全学科教育、科研机构高学历教育、商业化培训以及各单位信息安全普及的教育等。另外我国也在各大高校开设了信息安全教育,设立了相关的专业,其中以中国科学院的教育工作做得最为出色。信息安全的教育要大力普及,宣传档案信息安全专业的重要性,让更多的人去关注,吸引信息安全人才投身到档案信息安全保障工作中,吸纳高学历人才成为档案信息安全建设的主力军,普及教育工作还要进一步推广,尽快构建档案信息安全人才培养体系。
三、总结