下载文档原格式
信息工作information work第 62 页2018/07 工作指导 总第295期数字档案信息安全保障体系文/山东省国土测绘院 李青【摘要】随着社会现代化科学技术水平的不断发展,数字档案信息的安全问题已经开始提上日程,如果不开始抓紧构建数字档案信息的安全保障体系,难免因网络漏洞出现数据泄露,导致严重的后果发生;在当前的数字档案信息安全保障工作当中,仍然存在着一定的问题没有解决。
本文针对数字档案信息的安全保障,阐述数字档案安全保障体系当中存在的问题,并提出相关的解决措施,希望能够进一步提升数字档案信息安全保障工作的可靠性。
【关键词】数字档案;信息安全;保障体系在现代化信息技术不断飞速发展的背景之下,数字档案信息的安全保障在迎来全新契机的同时也在不断迎接全新的挑战,而当前的数字档案信息工作中如何保障信息的安全性也成为主要研究问题之一,在各类档案信息当中,数字档案信息是一种在现代化背景下出现的创新型的档案形式,与纸质档案相比,保存时间更久,并且使用起来更加方便,但是随着现代化信息技术的不断提升,居心叵测的黑客开始对数字档案信息不断觊觎,所以保障数字档案信息的安全非常必要。
一、数字档案信息安全保障体系建设中存在的问题(一)数字档案信息安全技术的应用存在问题。
在当前的数字档案信息安全技术中,虽然信息技术一直处于飞速发展的状态,但是数字档案信息的安全技术却没有跟上时代的脚步,即便是信息化技术支撑,但也是相对较为陈旧的信息化技术支撑,导致存在很多漏洞,如果开展针对性攻击,很快就可以攻破安全保障体系的防线。
最为明显的就是当前的数字档案信息安全技术只能保障保存阶段的安全,但是在信息传输的过程中却完全暴露在外,只要有针对性地截取,基本就可以成功,并且在操作系统上授权也十分随便,程序非常简单,在面对非法入侵时,如果入侵者技术手段高超,甚至完全无法检测,而且数据也没有进行有效的备份工作,导致整个数字档案安全保障体系漏洞百出,安全保障体系形同虚设,在这种风雨飘摇的境况下,有部分黑客进行恶意破坏安全保障体系的活动,导致数字档案信息安全保障工作更是摇摇欲坠。
理 论 探 讨34档案管理4/2020总第245期1 引言区块链技术是一种多技术结合的数据库技术方法,采用分布式存储方式,结合点对点传输、共识机制、密码学算法等信息化技术。
该技术在不完全可信的环境中,实现了一种去中心化、无需信任的分布式数据账本。
其与生俱来的去中心化、防篡改、可追溯、高可靠性等特点,使得区块链在数据存储、传输、共享和隐私保护等方面具有特殊的优势和广阔的应用前景。
这与电子档案的四性要求“真实、完整、可用、安全”高度契合[1],可为电子档案的信息安全提供有力支撑。
2 区块链在电子档案安全领域研究现状专家学者对区块链技术在档案领域的应用进行了广泛研究。
包括:数字档案信息安全建设中存在的内容失真风险、信息泄密风险、数字档案信息可靠性风险分析和基于区块链技术的数字档案信息安全建设策略;[2]区块链技术电子文件安全管理;[3][4]运用区块链技术实现档案数据保护和共享,解决档案管理中常见的数据存储中心化、低安全性、较差的防篡改能力的问题;[5]引入区块链技术改进档案管理系统,解决电子档案的真实性保护问题;[6]基于技术和管理,探讨档案管理可行性以及基于区块链技术电子文件保护等。
[7][8][9][10][11]综上,目前区块链技术在电子档案领域的研究主要是可行性和发展探究层面,具体实践和应用技术的研究屈指可数。
3 基于区块链的电子档案信息安全技术研究区块链从本质上讲,是一个共享数据库,存储于其中的数据或信息,具有不可伪造、全程留痕、可以追溯、公开透明、集体维护等特征。
电子档案存在被盗取、易修改、难修复、弱共享等亟待解决的安全问题。
区块链技术和电子档案存在共同的逻辑契合点。
因此,将该技术运用到电子档案管理中,能有效解决电子档案四性问题,并对档案信息安全管理提供有效的解决方案。
区块链基础架构共六层,类似于OSI七层协议架构,包括数据层、网络层、共识层、激励层、合约层、应用层。
各层各司其职,相互配合,协调通信。
档案信息安全保障体系建设研究摘要:随着我国科学技术的不断发展和信息化建设的全面推进,电子档案成为档案管理体系中的主流。
档案信息资源是国家和个人宝贵的信息资源,是开展正常工作的基础保证和管理基础。
相比于传统档案信息,电子档案具有极大的优越性,更加便于管理、共享和利用。
在计算机网络技术日益成熟的今天,电子档案与其相辅相成并不断发展,建设出相关的档案信息管理体系,不断取代传统旧式局限于信息载体,如纸张、录像带、物体等的信息资料。
关键词:档案信息;安全保障体系;建设研究我国电子档案保障体系建立不久,安全保障力度还远远不够。
基于不同认知与应用情况,人们对电子档案的理解有所不同,且关注度不同。
通过一定的科技手段,将原有的纸质档案信息或其他载体形式的信息,转化成可以利用计算机网络技术进行加工和传播的电子档案,在一定程度上增加了资料的保存时间,扩大了资料的传播范围,也保证了信息的监管力度和检索速度。
相信未来的信息时代,电子档案将成为档案管理部门的基本形式。
现结合我国档案信息管理的现状及国内外先进的档案管理经验,简要分析档案信息安全保障体系的建设问题:1、影响电子档案信息安全的因素1.1网络软件因素网络因素主要指系统外部非法用户和不安全数据包侵犯窃取秘密与篡改破坏档案信息。
这是计算机网络所面临的最大威胁,也称黑客行为。
它们又可以分为以下两种:一种是主动攻击,即以各种方式有选择地破坏数据的原始性和完整性;另一类是被动攻击,它是在不影响网络正常工作的情况下,进行截获、删除、窃取、破译以获得重要机密信息。
这两种攻击均可对计算机网络造成极大的危害,并导致信息的机密数据的泄漏。
1.2硬件数据因素硬件因素主要指网络运行系统的物理设备问题,如:主机硬件系统本身的安全漏洞,路由交换设备的不稳定,或硬件设备的意外损坏造成的系统瘫痪等;数据因素主要指设计系统存储档案的数据安全问题,如数据版本与格式转换,存储介质的老化失效,自然灾害造成的数据丢失和损坏等。
信息安全保障体系模型随着信息技术的不断发展,以及对信息安全认识的不断发展,信息安全概念已经从最初的信息本身保密,发展到以计算机和网络为对象的信息系统安全保护,信息安全属性也扩展到保密性、完整性、可用性三个方面,进而又形成信息安全保障,尤其是息系统基础设施的信息保障。
信息安全保障将安全属性扩大到了保密性、完整性、可用性、可认证性、不可否认性五个方面,保障对象明确为信息、信息系统。
保障能力明确来源于技术、管理和人员三个方面。
信息安全保障中,安全目标不仅是信息或者系统某一时刻的防护水平,而是系统与拥有系统的组织在信息系统整个生命周期中所具有的持续保护能力,是一个长期而复杂的系统工程,不仅需要适当的技术防护措施、安全管理措施,更需要在系统工程的理论指导下,合理规划、设计、实施、维护这些措施,以保证系统安全状态的保持与持续改进。
为此,我们提出了电力系统的信息安全保障体系框架。
信息安全保障体系是指通过对技术、管理、工程等手段的合理运用和防护资源的有效配置,形成的保障信息系统安全性的机制。
信息安全保障体系框架是对技术、管理和安全工程等信息安全保障体系主要内容间的关系进行的抽象描述。
见下图:图五,电力系统的信息安全保障体系框架SPMTE模型由4个部分组成,分别是:信息安全总方针、信息安全管理体系、信息安全技术体系和信息安全工程模型。
电力系统的信息安全保障体系框架包含的详细内容见图六:图六,SPMTE模型的内容1.信息安全方针信息安全总方针,是信息安全保障的最高纲领和指导原则,包括:组织的信息安全目标、组织的信息安全理念、组织所采用的信息安全模型和组织的信息安全策略。
2.信息安全管理体系信息安全管理体系是信息安全保障体系运作的核心驱动力,包括:制度体系、组织体系、运行体系。
●安全制度(子策略)是由最高方针统率的一系列文件,结合有效的发布和执行、定期的回顾机制保证其对信息安全的管理指导和支持作用。
●安全组织明确安全工作中的角色和责任,以保证在组织内部开展和控制信息安全的实施。
档案信息安全保障体系框架分析作者:郭冬玲来源:《科技创新与应用》2015年第33期摘要:进入21世纪以来,随着高新科技的迅猛发展和经济全球化发展的趋势,档案工作在我国占据着越来越重要的地位,科学合理的档案信息保障体系是档案部门工作质量的重要保证。
因此,建立健全的档案信息安全保障体系迫在眉睫。
文章主要从宏观和微观两个角度着手,对档案信息安全保障体系框架进行了分析,希望可以为档案的相关工作人员提供帮助,仅供参考。
关键词:信息安全;档案保护;体系框架前言档案信息安全保障体系作为档案部门工作质量的实施载体之一,是有效促进档案工作建设的重要保证,是提高档案信息质量的前提条件,更是提升档案部门工作水平的基石。
基于这种情况而言,建立一套完整健全的档案信息安全保障体系框架是档案部门工作的重中之重。
1 档案信息安全保障体系所谓档案信息安全保障体系,主要是指通过信息安全技术与信息安全管理等,来对信息系统和信息的安全进行防御,以此使档案信息系统运行的可靠性、安全性得到保障,并时刻确保档案信息的实用性、完整性,以及真实性等等。
此外,档案信息安全保障体系还要具备保护档案综合性信息系统动态安全的能力。
档案信息安全保障体系可以分为宏观和微观两个方面。
就宏观角度而言,档案信息安全保障体系是以国家的信息安全保障体系为前提的;而微观的档案信息安全保障体系,是单位信息系统中的一个分支,能够保护单位中相关人员的档案信息安全。
2 档案信息安全保障体系宏观框架2.1 档案信息安全管理体系建立健全完善的档案信息安全管理体系,是档案部门的首要任务,不仅可以保证档案信息的保密性,还可以提高档案信息的质量。
为了档案信息安全管理工作的有效实施,相关的档案部门应该设立一个专门的档案信息管理处,主要监督档案信息安全管理工作。
在全国范围之内宣传档案信息安全管理工作的重要性,以此推动其在我国的进一步发展,并逐步建立符合我国基本国情的档案信息安全管理体系。
另外,还可以针对我国现阶段的方针政策以及建设目标制定档案信息安全管理的规范标准,以便为档案信息安全管理工作提供组织保障。
新形势下电子档案管理与档案信息安全研究摘要:信息化浪潮对现代企业运营管理产生了显著影响。
办公自动化和信息技术应用的普及,导致电子档案数量急剧增加。
坚持使用旧式档案管理方法,无法满足电子档案管理的需求。
因此,电子档案的信息化管理已成为企业发展的关键策略。
通过制定符合企业需求的电子档案管理标准和体系,优化管理流程,提高管理效率,确保电子档案的真实性、安全性和有效性。
本研究旨在探讨新经营环境下企业电子档案管理及档案信息安全的重要性。
关键词:电子档案;管理模式;档案信息安全引言科技进步推动了信息化技术的发展,信息化技术已广泛应用于社会生活的各个领域。
档案管理人员借助信息化和计算机技术,实现了电子档案管理,提升了电子档案管理的科学性和规范性,同时也开辟了新的发展道路。
确保电子档案安全是电子档案管理的关键任务,对保障档案管理工作有效进行具有重要意义。
一、电子档案管理模式类型企业电子档案的管理方式主要有两种:一种是“双套制”模式,即同时管理纸质和电子档案;另一种是“单套制”模式,即仅对电子档案进行管理。
双套制模式下,企业需要同时保留纸质和电子档案,确保两者一致。
单套制模式下,企业只需维护电子档案。
无论采用哪种模式,都必须重视电子档案管理,保障档案信息安全。
处于电子档案管理经验不足的阶段,不少企业选择“双轨制”方案作为过渡。
该模式兼顾了纸质与电子档案的优势,有效保障了档案的真实性、可靠性、可用性和完整性。
同时,它也为企业克服纸质档案的局限性,实现两类档案的互补和相互参照奠定了基础。
数字化初期,企业电子档案管理面临诸多困境,包括行业信息化标准不健全、档案管理人员专业技能欠缺以及信息技术应用障碍。
然而,随着信息技术飞速发展和企业数字化转型深化,企业开始借助前沿技术实现电子档案的长期保存和安全防护,并根据自身成长和业务需求进行档案数据的整合和应用。
高素质人才的引入至关重要,不仅为电子档案的管理、研发和利用提供关键的人力资源支撑,更助力企业高效挖掘和利用电子档案的信息价值,支持企业持续发展,并降低管理风险。
随着档案信息化建设的不断推进,档案信息安全已是档案信息化深化过程中的首要问题。
虽然我国于2002年颁发的《全国档案信息化建设实施纲要》中已提出“组织建立档案信息安全保障体系框架,逐步完善档案信息安全管理体制”,但至今为止,由于尚未明确和统一档案信息安全保障体系的框架构成和相关的法规标准出台,造成各地对档案信息安全保障建设仍处于各自为政和不够完善、漏洞百出状态。
因此,档案信息安全建设的当务之急是明确档案信息安全保障体系的框架,并制定与档案信息安全保障相关的法规和标准,让档案信息安全建设走上正规和有序的轨道,为档案信息化建设保驾护航。
1档案信息安全保障体系信息安全保障的提出最早源自美国。
1996年美国国防部(DoD )在国防部令S-3600.1对信息安全保障作了如下定义:“保护和防御信息及信息系统,确保其可用性、完整性、保密性、可认证性、不可否认性等特性。
这包括在信息系统中融入保护、检测、反应功能,并提供信息系统的恢复功能。
”档案信息安全保障体系是指从信息安全技术和信息安全管理等方面,对档案信息及信息系统进行安全防御,确保档案信息系统安全可靠运行,保障档案信息的保密性、完整性、可用性、真实性、不档案信息安全保障体系框架研究项文新(苏州大学社会学院江苏苏州215021)摘要随着档案信息化的不断深入,档案信息安全保障体系的构建刻不容缓。
有必要从国家顶层战略高度构建宏观档案信息安全保障体系,从战术角度在各档案保管单位构建微观档案信息安全保障体系。
以我国2003年以的来信息安全保障政策为指导思想,从宏观和微观两个角度研究符合我国国情的档案信息安全保障体系框架。
关键词信息安全档案保护体系框架Abstract :With the development of the archives informationization,it is essential to build a macroscopic archival information security system from perspective of the nation top -level strategic.And every archive storage unit should build a microscopic archival information security system from perspective of tactic.It intends to build an archival information security system framework which is suitable to our national conditions from macro and micro perspective based on the guiding ideology from the national information security policies ever since 2003.Keywords :Information security;Archives protection;System frameworkStudy on Security System Framework of Archival InformationXiang Wenxin(School of Society of Soochow University ,Suzhou ,Jiangsu,215021)68--可否认性、可控性和可追追溯性(一般信息安全保障目标为前五个安全属性,档案信息安全更应该强调七个安全属性),并具备对档案信息安全动态保护能力的综合性信息系统防护体系。
由于档案信息安全保障的范围大到一个国家,小到一个单位,所以档案信息安全保障体系也应有宏观和微观之分。
从宏观上来看,档案信息保障体系是建立在国家信息安全保障体系之上;从微观上来看,档案信息安全保障体系需保障本单位的档案信息安全,是本单位信息系统中的一个子系统。
2档案信息安全保障体系宏观框架2000年后我国提出建设国家信息安全保障体系,尤其是2003年国家“两办”颁发的我国信息安全的“宪法性”文件《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号文,简称“27号文件”),明确了我国信息安全保障工作的指导方针、基本原则和主要任务,确立了用五年左右的时间基本建成国家信息安全保障体系的工作目标。
27号文件主要提出:(1)实行信息安全等级保护;(2)加强以密码技术为基础的信息保护和网络信任体系建设;(3)建设和完善信息安全监控体系;(4)重视信息安全应急处理工作;(5)加强信息安全技术研究开发,推进信息安全产业发展;(6)加强信息安全法制建设和标准化建设;(7)加快信息安全人才培养,增强全民信息安全意识;(8)加强对信息安全保障工作的领导,建立健全信息安全管理责任制。
在27号文件中,国家也将等级保护、风险评估(信息安全监控体系)、应急响应(应急处理)和灾难恢复(应急处理)明确为我国信息安全保障过程中的四个重要环节,这也与美国国防部提出的保护、检测、反应和恢复功能相吻合。
同时,27号文件基本构画了我国信息安全保障体系的框架,主要包括六个方面,即上述:(1)、(3)、(8)为构建我国信息安全管理体系;(2)、(4)为构建我国信息安全基础设施体系;(5)为构建我国信息安全技术体系、构建我国信息安全产业支撑体系;(6)为构建我国信息安全法规标准体系;(7)为构建我国信息安全人才体系。
我国档案信息资源是国家信息资源的重要组成部分,档案信息系统是国家电子政务系统的重要组成部分。
宏观档案信息安全保障体系应站在国家的高度来构建,是以国家信息安全保障体系为基础,并符合档案信息安全保障要求的体系。
根据上述对我国信息安全保障体系构建的研究和分析,宏观档案信息安全保障体系的框架应包括:档案信息安全管理体系、档案信息安全技术体系、档案信息安全法规标准体系、档案信息安全基础设施体系、档案信息安全产业支撑体系和档案信息安全人才培养体系。
2.1档案信息安全管理体系信息安全管理体系(Information Security Man-agement Systems,ISMS)是组织在整体或特定范围内建立信息安全方针和目标,以及完成这些目标所用方法的体系,是组织整个管理体系中的重要组成部分。
宏观档案信息安全管理体系应侧重于档案信息安全管理体制的建立、档案信息安全政策的制定、档案信息安全的法规和标准的推广等。
首先,理顺档案信息安全管理体制。
为了顺利开展档案信息安全保障工作,国家档案局应成立档案信息安全管理处,负责全国档案信息安全管理工作。
在此基础上,各省、市、县档案局(馆)应专门成立档案信息安全管理部门,负责执行和推广档案信息安全保障的政策、法规和标准,为档案信息安全管理工作的深入开展提供组织保障,逐步建立我国档案信息安全管理组织体系。
其次,制定档案信息安全保障政策和目标。
由国家档案局组织相关专家、档案业务工作者等相关成员,制定我国现阶段档案信息安全保障工作的总体方针政策和建设目标,并制定中长期建设规划,如制定《档案信息安全保障总体策略和规划》、《档案信息安全保障总体方案和分步实施方案》等,对全国档案信息安全保障建设进行指导。
第三,主导档案信息安全保障体系的法规标准制定。
宏观档案信息安全管理工作的重点是组织专家,编制档案信息安全保障的相关法规和标准,国家档案局应通过科技立项、重点攻关等方式主导档案信息安全保障法规标准制定,各地方档案主管部门在国家法规标准的指导下,再制定相应的实施办法和地方标准。
2.2档案信息安全技术体系档案信息安全保障的技术体系主要以档案信息安全目标为依据,即从技术上保障档案信息的保密性、完整性、可用性、真实性、可控性、不可否认性和可追溯性。
信息安全技术是不断发展的,而档案69--信息安全保障的目标是相对稳定的。
不同的安全属性可以采用不同的安全技术加以保障,但同一种安全技术也可以保障多种安全属性,如数字签名既可保障档案信息的保密性,也可保障其真实性、完整性、不可抵赖性和可追溯性。
目前,可以应用到档案信息安全保障体系的技术体系主要包括:物理安全技术:如防水、防火、防雷、防震和防电磁辐射等。
系统安全技术:操作系统安全和安全审计技术等。
数据安全技术:数据加密技术、应急响应技术、数据备份与容灾技术、基于内容的信息安全技术和数据库安全技术等。
网络安全技术:防火墙技术、防病毒技术、漏洞扫描技术、入侵检测技术、物理隔离技术、代理服务技术、网络监控技术和虚拟网技术等。
用户安全技术:身份认证技术、数字签名技术和访问控制技术等。
信息安全技术应用于档案信息安全保障体系中时,需考虑到档案信息的特殊性,如由于许多档案信息具有涉密性、档案信息需长期或永久保存、档案信息需保证其真实性等原因,应加强对内外网物理隔离技术、数据备份与容灾技术、数字签名技术等的强制性使用。
对于每一个档案信息系统并非需采取所有的信息安全技术,如档案馆和档案室所采用的信息安全技术不同,同时也需符合我国等级保护制度,在基于风险评估的基础上,根据相应安全等级需求再选择相应的安全技术。
2.3档案信息安全法规标准体系为了保障档案信息系统的安全,促进档案信息化的健康发展,需加强立法,做到有法可依,违法必究。
目前针对档案信息安全的相关法律法规较少,档案信息安全法规建设与国家、地方或其他行业间有一定的差距,没有国家级的档案信息安全专门法规,各省市制定法规的单位也很少数,内容主要涉及档案信息保密管理和安全管理,而且较为简单。
而对于目前我国信息安全重点建设的等级保护、风险评估、应急响应和灾难恢复方面尚未有档案部门制定针对性法规。
国家档案局应该从顶层规划,高屋建瓴,制定我国的档案信息安全法规。
标准化作为一种科学的管理手段,能够减少档案信息安全保障体系建设中不必要的重复和盲目性。
标准先行,必须成为档案信息安全保障的首要任务。
总体上讲,信息安全标准主要分为技术标准、管理标准和测评标准,或分为国际标准、国家标准、地方标准和行业标准。
至今为止,我国还未制定针对档案信息安全的标准。
只有制定完善的档案信息安全标准,才能从宏观上规范和保障档案信息安全。
2.4档案信息安全基础设施体系基础设施是用于保证国家或地区社会活动正常进行的公共服务系统,如我们喝水不用每人自己建水厂,用电不用每人自己建电厂。
信息安全基础设施是为信息安全服务的公共设施,目前主要包括:PKI公钥基础设施(网络信任体系)、数据灾备中心、应急响应支援中心、信息安全测评认证中心、信息安全服务中心(外包服务)、信息安全执法中心等。
(1)PKI基础设施在我国已初成规模,金融、税务、证券、各省市等己建成了行业或商用的CA认证中心;(2)我国重要行业和电子政务目前已有或开始建设数据灾备中心,也有像万国数据有限公司、中金数据系统等投资数亿的第三方数据灾备中心,提供社会化、市场化的服务,以集约经营模式降低运营成本;(3)应急响应支援中心致力于解决重要信息系统应对突发信息安全事件的问题,我国已于2000年成立“国家计算机网络应急技术协调处理中心”,并于2003年在31个省建立分中心,2008年为配合奥运信息安全,北京市成立了我国第一个城市信息应急响应中心,致力于解决北京市社会领域重要信息系统应对突发信息安全事件的问题;(4)我国于1997年就成立信息安全测评认证中心,并在全国有多个分中心,从当初侧重计算机安全产品测试向兼顾信息安全风险评估等方面发展,2006年11月我国还专门成立了信息安全认证中心,主要侧重于信息安全管理认证和信息安全服务机构资质认证。
