電子檔案信息安全評價指標(biāo)體系研究
作者:田淑華
評論: 更新日期:2012年01月03日
一�、建立電子檔案信息安全評價指標(biāo)體系的必要性
信息技術(shù)在檔案管理中的廣泛應(yīng)用,一方面提高了檔案工作的效率,擴大了檔案的社會影響力�����;另一方面也對檔案工作提出了新的要求�,例如存儲介質(zhì)的不穩(wěn)定����、技術(shù)過時、黑客入侵��、電腦病毒破壞等都使得電子檔案信息的安全保護(hù)面臨著前所未有的挑戰(zhàn)�����。
在2002年國家檔案局頒發(fā)的《全國檔案信息化建設(shè)實施綱要》和近期各省市的“十一五檔案信息化建設(shè)綱要”中都提出了“檔案信息安全保障體系建設(shè)”��,但仍缺乏深入��、系統(tǒng)的探討����。電子檔案信息的安全管理是一個過程,而不是一個產(chǎn)品����,我們不能期望通過一個安全產(chǎn)品就能把所有的安全問題都解決��。對各檔案管理系統(tǒng)來說�����,解決電子檔案信息安全的首要問題就是要識別自身信息系統(tǒng)所面臨的風(fēng)險�����,包括這些風(fēng)險可能帶來的安全威脅與影響的程度,然后進(jìn)行最充分的分析與評價�。只有采用科學(xué)有效的模型和方法進(jìn)行全面的安全評價,才能真正掌握內(nèi)部信息系統(tǒng)的整體安全狀況��,分析各種存在的威脅���,以便針對高風(fēng)險的威脅采取有效的安全措施���,提高整體安全水平,逐步建成堅固的電子檔案信息安全管理體系�����。
二、電子檔案信息安全評價指標(biāo)體系的組成
電子檔案信息系統(tǒng)是一個復(fù)雜的系統(tǒng)工程���,既有硬件���,又有軟件,既有外部影響���,又有內(nèi)部因素�,而且許多方面是相互制約的����。因此,必須有一個規(guī)范的��、統(tǒng)一的���、客觀的標(biāo)準(zhǔn)�。根據(jù)國內(nèi)外的電子檔案信息安全評估標(biāo)準(zhǔn)�,國家對電子檔案信息和網(wǎng)絡(luò)信息系統(tǒng)安全性的基本要求,結(jié)合電子檔案管理和網(wǎng)絡(luò)管理經(jīng)驗����,綜合考慮影響電子檔案信息安全的各種因素���,建立電子檔案信息安全評價指標(biāo)體系。該體系主要包括五個大項二十個小項的評價指標(biāo)���。
1���、物理安全評價指標(biāo)
物理安全是指存儲檔案信息的庫房、計算機設(shè)備及管理人員工作場所內(nèi)外的環(huán)境條件必須滿足檔案信息安全���、計算機設(shè)備和管理人員的要求���。對于各種災(zāi)害����、故障要采取充分的預(yù)防措施,萬一發(fā)生災(zāi)害或故障���,應(yīng)能采取應(yīng)急措施�����,將損失降到最低����。物理安全包括環(huán)境安全、設(shè)備安全和載體安全三個方面�����。
(1)環(huán)境安全:主要指存儲檔案信息的庫房�、計算機機房周圍環(huán)境是否符合管理要求和是否具備抵抗自然災(zāi)害的能力,如庫房是否建在電力�����、水源充足�����,自然環(huán)境清潔�,通訊、交通運輸方便的地方����;有無防火、防水措施���;有無監(jiān)控系統(tǒng)�����;有無防雷措施等�����。
(2)設(shè)備安全:主要是指對電子檔案信息系統(tǒng)設(shè)備的安全保護(hù)�,包括設(shè)備的防盜、防毀����、防電磁信息輻射泄漏、防止線路截獲�、抗電磁干擾及電源保護(hù)等。
(3)載體安全:保證設(shè)備安全的同時�����,也要保證載體安全��,要對載體采取物理上的防盜����、防毀�����、防霉等措施。
2����、管理安全評價指標(biāo)
安全管理在電子檔案信息安全保障中起著規(guī)范和制約的作用,科學(xué)的管理理念加上嚴(yán)格的管理制度才能最終保證電子檔案信息的安全�����。電子檔案信息的管理安全評價指標(biāo)具體包括:
(1)專門的檔案信息安全組織機構(gòu)和專職的檔案信息安全管理人員:檔案信息安全組織機構(gòu)的成立與檔案信息安全管理人員的任命必須有相關(guān)單位的正式文件��。
(2)規(guī)章制度:包括有無健全的電子檔案信息安全管理規(guī)章制度����;檔案信息安全人員的配備、調(diào)離是否有嚴(yán)格的管理制度��;設(shè)備與數(shù)據(jù)管理制度是否完備���;是否有登記建檔制度����;是否有完整的電子檔案信息安全培訓(xùn)計劃和培訓(xùn)制度���;各類人員的安全職責(zé)是否明確���,能否保障電子檔案信息的安全管理���。
(3)是否有緊急事故處理預(yù)案:為減少電子檔案信息系統(tǒng)故障的影響,盡快恢復(fù)系統(tǒng)����,應(yīng)制定故障的應(yīng)急措施和恢復(fù)規(guī)程以及自然災(zāi)害發(fā)生時的應(yīng)急預(yù)案,制成手冊����,以備及時恢復(fù)系統(tǒng)運行。
3���、網(wǎng)絡(luò)安全評價指標(biāo)
越來越多的電子檔案在網(wǎng)絡(luò)上傳輸���,而網(wǎng)絡(luò)作為一種構(gòu)建在開放性技術(shù)協(xié)議基礎(chǔ)上的信息流通渠道,它的防衛(wèi)能力和抗攻擊能力較弱��,可能會遭受到病毒���、黑客的襲擊���。為了保證電子檔案的安全必須保證其傳輸?shù)拿浇椤W(wǎng)絡(luò)的安全,網(wǎng)絡(luò)安全評價指標(biāo)包括以下幾個方面:
(1)是否有計算機病毒防范措施
(2)是否有防黑客入侵設(shè)施:主要是設(shè)置防火墻和入侵檢測等設(shè)施�。
(3)是否有訪問控制措施:訪問控制是指控制訪問網(wǎng)絡(luò)信息系統(tǒng)的用戶,當(dāng)用戶之間建立鏈接時�����,為了防止非法鏈接或被欺騙���,就可實施身份確認(rèn)����,以確保只有合法身份的用戶才能與之建立鏈接��。
(4)是否有審計與監(jiān)控:審計與監(jiān)控是指應(yīng)使用網(wǎng)絡(luò)監(jiān)控設(shè)備或?qū)崟r入侵檢測設(shè)備��,以便對進(jìn)出各級局域網(wǎng)的常見操作進(jìn)行實時檢查����、監(jiān)控、報警和阻斷�����,從而防止針對網(wǎng)絡(luò)的攻擊與犯罪行為。
