程 婭

(浙江紡織服裝職業(yè)技術(shù)學(xué)院)

高校檔案信息系統(tǒng)安全體系建設(shè)初探

程 婭

(浙江紡織服裝職業(yè)技術(shù)學(xué)院)

進(jìn)入信息時代,信息安全問題日益突出。高校面臨的業(yè)務(wù)風(fēng)險將與高校檔案信息系統(tǒng)是否能夠安全、穩(wěn)定、可靠地運(yùn)行直接掛鉤。高校檔案信息系統(tǒng)如果得不到安全有效的保護(hù),可能會對高校工作開展和品牌形象等方面帶來巨大影響,甚至是嚴(yán)重?fù)p害。因此,對于高校來說,加強(qiáng)檔案信息系統(tǒng)安全體系建設(shè)至關(guān)重要。

高校檔案 信息系統(tǒng) 安全體系 建設(shè)

隨著互聯(lián)網(wǎng)和信息技術(shù)的發(fā)展,用信息化技術(shù)武裝、改造高校工作已成為一種潮流和趨勢,現(xiàn)如今高校檔案工作也搭上了信息化的快車。越來越多的高校在內(nèi)部建立起符合自身業(yè)務(wù)特點(diǎn)的檔案信息系統(tǒng),以提高高校的檔案工作效率,整合、分析、積累有用的信息來協(xié)助高校決策。但與信息化隨之而來的是信息安全問題。高校檔案信息系統(tǒng)如果得不到安全有效的保護(hù),可能會對高校工作開展和品牌形象等方面造成巨大影響和嚴(yán)重?fù)p害。因此,高校檔案信息系統(tǒng)在滿足其自身業(yè)務(wù)需求的同時,還要保障系統(tǒng)安全、穩(wěn)定、高效地運(yùn)行。這就要求高校檔案部門重視檔案安全防護(hù)體系建設(shè),將檔案信息安全工作納入高校發(fā)展策略和安全保障體系建設(shè)規(guī)劃,努力為高校業(yè)務(wù)開展提供有效服務(wù)和基礎(chǔ)支撐。

一、當(dāng)前高校檔案信息安全現(xiàn)狀及存在的主要問題

高校檔案是國家信息資源的重要組成部分,加強(qiáng)高校檔案安全體系建設(shè),對于維護(hù)高校真實歷史面貌,對于高校檔案工作的可持續(xù)發(fā)展,都具有十分重要的意義。我國是一個幅員遼闊的國家,同時也是一個自然災(zāi)害頻發(fā)的國家,洪澇、干旱、臺風(fēng)、泥石流、地震等各種自然災(zāi)害時有發(fā)生。近幾年汶川、玉樹地震,南方雪災(zāi),洪澇等災(zāi)害事件無不對檔案安全造成嚴(yán)重威脅。在對這些自然災(zāi)害的反思中,我們必須深刻認(rèn)識到,面對日益復(fù)雜的社會環(huán)境和頻發(fā)的自然災(zāi)害,保證檔案信息安全已是擺在檔案部門面前的迫切任務(wù)。當(dāng)前高校檔案信息安全方面還存在不少問題：

1.高校檔案管理人員安全意識淡薄。不少高校檔案管理人員或多或少存在重前臺業(yè)務(wù)、輕安全管理的思想,將檔案信息安全看成是負(fù)擔(dān)或可做可不做的工作。有的因自身水平有限,對檔案信息安全不了解或認(rèn)識不到位,認(rèn)為檔案信息安全是高校信息部門或軟硬件廠商的事,檔案部門不需管也管不了。

2.檔案信息安全管理機(jī)制不健全。有的高校檔案信息安全管理制度不健全或流于形式,導(dǎo)致檔案安全工作無章可循,檔案安全制度落實不到位,缺乏有效的制度執(zhí)行保障和機(jī)制,沒有將安全責(zé)任具體落實到崗到人。

3.檔案信息安全軟硬件設(shè)施和運(yùn)維管理不到位。一些高校事關(guān)檔案安全的設(shè)施和設(shè)備到位率低,嚴(yán)重威脅檔案的安全保管,對檔案設(shè)施設(shè)備投入不足,安全防范措施形同虛設(shè),存在嚴(yán)重的安全隱患。一些高校檔案工作物質(zhì)保障情況非常差：檔案室破舊、設(shè)施設(shè)備缺失、經(jīng)費(fèi)保障不足。這些情況很容易導(dǎo)致檔案安全事故的發(fā)生。檔案安全管理的經(jīng)費(fèi)投入不足,一些處于經(jīng)濟(jì)欠發(fā)達(dá)地區(qū)的高校檔案部門經(jīng)費(fèi)長期得不到有效保障,加上專業(yè)人員不足等問題,導(dǎo)致信息系統(tǒng)的軟硬件運(yùn)維管理不到位。

4.檔案信息安全風(fēng)險管理和防范措施不到位。如未開展檔案信息系統(tǒng)安全評估工作,未制定檔案信息安全相關(guān)應(yīng)急預(yù)案或應(yīng)急處置管理不到位;檔案數(shù)據(jù)存在較大安全風(fēng)險,未按要求開展本地、異地備份或備份措施不到位等。

二、高校檔案信息系統(tǒng)安全的主要風(fēng)險分析及應(yīng)對措施

(一)加強(qiáng)檔案信息系統(tǒng)的硬件安全管理

直觀來講,軟硬件設(shè)施的安全直接決定著檔案信息系統(tǒng)的安全性,是檔案信息系統(tǒng)安全體系建設(shè)的基礎(chǔ)。在高校實際工作中,將面臨硬件審核、網(wǎng)絡(luò)入侵、病毒和數(shù)據(jù)安全等方面的問題,需要制定符合自身業(yè)務(wù)特點(diǎn)的策略。

1.硬件設(shè)備問題。多數(shù)高校檔案信息系統(tǒng)是外包定制開發(fā)的,且在運(yùn)維過程中,對于系統(tǒng)硬件設(shè)備的維護(hù)和管理不夠重視,更談不上有完善的保障機(jī)制和運(yùn)維制度。一旦系統(tǒng)因為硬件設(shè)備故障、斷電或網(wǎng)絡(luò)問題造成信息丟失、服務(wù)中斷等問題無法正常使用,就會給高校造成巨大的損失。由此可見,對硬件設(shè)備的安全運(yùn)維和妥善管理是高校檔案信息系統(tǒng)安全體系的基礎(chǔ)保障,是高校管理者不能忽視的一個環(huán)節(jié)。

常規(guī)的硬件設(shè)備運(yùn)維需要重點(diǎn)關(guān)注以下幾個方面：(1)檔案信息系統(tǒng)要求不斷電運(yùn)行的,要配置UPS電源,提供可應(yīng)急的不間斷供電;定時檢查UPS運(yùn)行情況。(2)要建立定期巡檢制度,安排專人負(fù)責(zé)對硬件設(shè)備、網(wǎng)絡(luò)等運(yùn)行狀態(tài)進(jìn)行檢查,發(fā)現(xiàn)問題及時上報、處理。(3)保證系統(tǒng)數(shù)據(jù)安全,對接入硬件設(shè)備的介質(zhì)進(jìn)行嚴(yán)格管理,并對進(jìn)入機(jī)房的人員進(jìn)行登記。為保證系統(tǒng)硬件設(shè)備安全,盡量采用遠(yuǎn)程方式對硬件設(shè)備進(jìn)行操作。

2.網(wǎng)絡(luò)入侵問題。網(wǎng)絡(luò)入侵主要以盜取信息和攻擊系統(tǒng)為目的,并利用系統(tǒng)自身存在的漏洞對系統(tǒng)進(jìn)行操作。高校需要根據(jù)自身網(wǎng)絡(luò)特點(diǎn)對系統(tǒng)安全設(shè)備進(jìn)行配置,避免外界非法訪問高校內(nèi)部資源。

常規(guī)的防范措施如下：制定相應(yīng)的訪問控制策略,根據(jù)業(yè)務(wù)需要嚴(yán)格控制員工對設(shè)備、資源的訪問方式和時限;管控硬件設(shè)備端口,只按需開放制定端口,減少漏洞,增加入侵難度;定期掃描系統(tǒng)漏洞,更新相應(yīng)補(bǔ)丁。有條件的話,可以部署IPS (入侵防御系統(tǒng))和IDS(入侵檢測系統(tǒng))設(shè)備。

3.病毒問題。病毒主要是針對檔案信息系統(tǒng)所部署的操作系統(tǒng)進(jìn)行攻擊。一旦操作系統(tǒng)感染病毒,就會造成檔案信息系統(tǒng)的崩潰、信息丟失等嚴(yán)重問題。

常規(guī)防范措施如下：在操作系統(tǒng)中安裝殺毒軟件,并定期對其更新;根據(jù)高校自身網(wǎng)絡(luò)特性,對殺毒軟件進(jìn)行正確的安全配置,降低感染病毒的風(fēng)險。

4.數(shù)據(jù)安全問題。數(shù)據(jù)是檔案信息系統(tǒng)最核心的財富,因此,數(shù)據(jù)安全是系統(tǒng)安全的重中之重。

數(shù)據(jù)安全包括數(shù)據(jù)存儲安全和數(shù)據(jù)傳輸安全兩方面,具體防范措施如下：數(shù)據(jù)存儲方面,采用定期備份機(jī)制,做到多位置保存數(shù)據(jù)及數(shù)據(jù)完整性和恢復(fù)能力;數(shù)據(jù)傳輸方面,采用數(shù)據(jù)密鑰、VPN網(wǎng)絡(luò)傳輸?shù)确椒?保證數(shù)據(jù)的安全傳輸。

(二)加強(qiáng)檔案信息系統(tǒng)的安全機(jī)制建設(shè)

檔案信息系統(tǒng)安全管理是安全技術(shù)能夠完善實施的有力保障。俗話說,三分技術(shù)、七分管理,技術(shù)再好,沒有好的管理,技術(shù)也無法順利實施。因此,完善的管理制度是檔案信息系統(tǒng)安全體系建設(shè)的重要組成部分。

1.建立和完善高校檔案信息系統(tǒng)安全管理制度。安全管理制度應(yīng)根據(jù)國家有關(guān)檔案及信息系統(tǒng)安全的政策法規(guī)和標(biāo)準(zhǔn)規(guī)范制定,它是高校檔案信息系統(tǒng)安全體系建設(shè)的重要基礎(chǔ),對于保障檔案信息系統(tǒng)的正常運(yùn)行具有十分重要的作用。

2.普及信息安全知識,提高員工相關(guān)安全意識。多數(shù)高校管理者大多關(guān)注業(yè)務(wù)環(huán)節(jié)的運(yùn)行安全,而對后臺歷史信息數(shù)據(jù)的安全不夠重視。為此,要重視信息安全宣傳工作,提高員工對專業(yè)技能、行業(yè)特點(diǎn)及安全管理的認(rèn)知程度,提高員工的信息安全防范意識。安全宣傳必須覆蓋所有業(yè)務(wù)部門、技術(shù)部門和管理部門,所有員工都應(yīng)該參與其中。

3.嚴(yán)格執(zhí)行安全制度,狠抓制度落實。隨著信息技術(shù)的高速發(fā)展,檔案信息系統(tǒng)安全管理的難度也在不斷加大。當(dāng)前高校管理者普遍要面臨的問題是,如何在遵守相關(guān)法律法規(guī)及行業(yè)標(biāo)準(zhǔn)的基礎(chǔ)上,建立健全有效的、可實施性強(qiáng)的信息安全制度。為此,高校管理者需要不斷更新知識,認(rèn)真分析檔案信息系統(tǒng)出現(xiàn)的新問題、新漏洞,將發(fā)現(xiàn)的問題和解決方案整合完善為一套新的、更加嚴(yán)密的檔案信息系統(tǒng)安全管理制度。不斷提高制度的有效性、可執(zhí)行性,要求安全制度具有可操作性、合理性,無語言歧義,包含清晰、明確的操作步驟。嚴(yán)格執(zhí)行檔案信息系統(tǒng)的操作流程和管理辦法,將安全責(zé)任落實到崗到人,全力消除檔案信息系統(tǒng)安全隱患。管理過程中,發(fā)現(xiàn)問題及時上報,并按照相關(guān)規(guī)定進(jìn)行處理。

4.建立和完善信息系統(tǒng)安全管理平臺。為應(yīng)對高校檔案信息系統(tǒng)日益嚴(yán)峻的安全問題,在加強(qiáng)系統(tǒng)安全基礎(chǔ)設(shè)施建設(shè)的同時,必須建立一個功能性強(qiáng)的信息系統(tǒng)安全管理平臺,以全面貫徹高校的安全管理思路,將安全管理制度融入所有的業(yè)務(wù)流程中。通過平臺功能實現(xiàn)量化安全管理標(biāo)準(zhǔn),提升高校檔案信息系統(tǒng)安全管理標(biāo)準(zhǔn)的可執(zhí)行性。

(三)加強(qiáng)檔案信息系統(tǒng)安全防范和控制

檔案信息系統(tǒng)安全防范和控制是指系統(tǒng)管理人員對高校檔案信息系統(tǒng)的安全漏洞、防范措施等進(jìn)行評估、處置的過程。做好高校檔案信息系統(tǒng)安全體系建設(shè),需要對系統(tǒng)安全進(jìn)行防范和控制,及時發(fā)現(xiàn)并解決安全漏洞,不斷提升安全管理水平,這是一個長期的,需要持續(xù)不斷更新的系統(tǒng)工程。在普通意義上,根據(jù)檔案信息系統(tǒng)的特性,安全防范和控制工作包括如下內(nèi)容：

1.數(shù)據(jù)控制。前文提到過數(shù)據(jù)是檔案信息系統(tǒng)最重要的部分,也是高校最寶貴的資產(chǎn)。系統(tǒng)數(shù)據(jù)安全的控制工作是非常關(guān)鍵的,其目的在于保障數(shù)據(jù)的安全性和完整性,避免人為原因造成的惡意破壞和竊取。數(shù)據(jù)安全防護(hù)的主要手段有：嚴(yán)格控制用戶訪問行為,明確劃分用戶權(quán)限;規(guī)范數(shù)據(jù)操作流程和保存方法。數(shù)據(jù)安全控制過程中應(yīng)重點(diǎn)關(guān)注：應(yīng)選擇具有計算機(jī)行業(yè)相關(guān)專業(yè)知識,具有崗位資格或接受過相關(guān)培訓(xùn)的人員作為數(shù)據(jù)操作人員;檔案信息系統(tǒng)要求能夠記錄所有用戶行為,并將其形成日志保存,充分備份,以用于控制工作。

2.數(shù)據(jù)傳輸控制。檔案信息系統(tǒng)中,數(shù)據(jù)在子系統(tǒng)之間傳輸?shù)倪^程中也是極為容易出現(xiàn)問題的,尤其是一些高校檔案信息系統(tǒng)需要訪問互聯(lián)網(wǎng)資源的,就更容易在數(shù)據(jù)傳輸過程中出現(xiàn)數(shù)據(jù)安全問題。數(shù)據(jù)需要傳輸?shù)那闆r很多,如果只靠員工個人的努力,是沒有辦法避免問題的。比如某業(yè)務(wù)需要手工錄入數(shù)據(jù),并同時同步到幾個子系統(tǒng)的情況。如果數(shù)據(jù)在同步傳輸?shù)倪^程中發(fā)生了變化,致使各子系統(tǒng)得到的參考數(shù)據(jù)不一致,就會出現(xiàn)非常嚴(yán)重的后果。

由上例可知,在數(shù)據(jù)傳輸控制過程中,要重點(diǎn)關(guān)注如下問題和常規(guī)解決辦法：

(1)數(shù)據(jù)的可靠性、完整性。問題：如何檢驗數(shù)據(jù)在傳輸過程中是否發(fā)生變化?解決辦法：常規(guī)辦法是使用數(shù)據(jù)校驗碼,將校驗碼和數(shù)據(jù)同時進(jìn)行傳輸,接收方使用校驗碼和數(shù)據(jù)進(jìn)行匹配,成功后證明數(shù)據(jù)是正確和完整的。匹配不成功,要求系統(tǒng)重新發(fā)送數(shù)據(jù),避免數(shù)據(jù)錯誤造成的損失。

(2)數(shù)據(jù)路徑的可靠性。問題：不同的子系統(tǒng)同時進(jìn)行一個數(shù)據(jù)傳輸行為,如何判斷數(shù)據(jù)是否為我們所需?解決方法：常規(guī)辦法是業(yè)務(wù)流程需要捕獲并驗證數(shù)據(jù)來源地址,查詢系統(tǒng)相關(guān)配置,與配置要求一致時,可認(rèn)為數(shù)據(jù)路徑可靠。問題：從網(wǎng)站平臺獲得的數(shù)據(jù),如何保障其可靠性?解決方法：配備云鎖系統(tǒng)及構(gòu)建網(wǎng)站云主機(jī)。其中云鎖系統(tǒng)是集合服務(wù)器安全管理與監(jiān)控為一體的免費(fèi)安全軟件,通過PC端即可實現(xiàn)對服務(wù)器端的遠(yuǎn)程安全管理與監(jiān)控,能有效防御病毒、木馬、后門等惡意代碼和CC攻擊、XSS跨站攻擊、網(wǎng)頁篡改、掛黑鏈等黑客行為,有效保護(hù)服務(wù)器和網(wǎng)站安全。通過構(gòu)建網(wǎng)站云主機(jī),可選購快速建站、CDN云節(jié)點(diǎn)中心、負(fù)載均衡、彈性配置、二層隔離、私有網(wǎng)絡(luò)等特有功能,除了在網(wǎng)站速度上做到極致,還可以杜絕內(nèi)網(wǎng)入侵和外部掃描,它與云鎖結(jié)合可謂是無衣無縫,就算網(wǎng)站有漏洞,在云鎖的防御中也很難實現(xiàn)入侵,確保網(wǎng)站運(yùn)行快、網(wǎng)站不被黑。

(四)重視檔案信息系統(tǒng)的安全運(yùn)維管理

要確保檔案信息安全,單靠技術(shù)層面是無法解決問題的,必須從管理、技術(shù)、服務(wù)等多個層面同時著力。在安全管理方面,應(yīng)從安全管理機(jī)構(gòu)的優(yōu)化、系統(tǒng)建設(shè)管理的開發(fā)、安全管理制度的完善、系統(tǒng)運(yùn)維體系的建設(shè)出發(fā),盡可能減少非技術(shù)問題引發(fā)的安全威脅。在安全服務(wù)方面,網(wǎng)站應(yīng)在醒目位置展示一些基本的網(wǎng)絡(luò)安全知識,并在網(wǎng)站的設(shè)計中廣泛咨詢客戶的意見和建議,建立信息安全評估部門,定期對運(yùn)維人員進(jìn)行安全培訓(xùn),加強(qiáng)安全巡檢,使安全加固常態(tài)化,

三、結(jié)束語

綜上所述,檔案安全威脅是隨著信息技術(shù)發(fā)展而不斷發(fā)展和變化的,檔案安全體系建設(shè)也同樣是一個長期、動態(tài)的過程。要構(gòu)建完備有效的檔案信息安全體系,必須多措并舉,從管理、技術(shù)、安全基礎(chǔ)設(shè)施建設(shè)、安全宣傳等多方面著手,持續(xù)不斷地進(jìn)行改進(jìn)和完善。