程 婭

(浙江紡織服裝職業(yè)技術(shù)學(xué)院)

高校檔案信息系統(tǒng)安全體系建設(shè)初探

程 婭

(浙江紡織服裝職業(yè)技術(shù)學(xué)院)

進(jìn)入信息時(shí)代,信息安全問(wèn)題日益突出。高校面臨的業(yè)務(wù)風(fēng)險(xiǎn)將與高校檔案信息系統(tǒng)是否能夠安全、穩(wěn)定、可靠地運(yùn)行直接掛鉤。高校檔案信息系統(tǒng)如果得不到安全有效的保護(hù),可能會(huì)對(duì)高校工作開(kāi)展和品牌形象等方面帶來(lái)巨大影響,甚至是嚴(yán)重?fù)p害。因此,對(duì)于高校來(lái)說(shuō),加強(qiáng)檔案信息系統(tǒng)安全體系建設(shè)至關(guān)重要。

高校檔案 信息系統(tǒng) 安全體系 建設(shè)

隨著互聯(lián)網(wǎng)和信息技術(shù)的發(fā)展,用信息化技術(shù)武裝、改造高校工作已成為一種潮流和趨勢(shì),現(xiàn)如今高校檔案工作也搭上了信息化的快車。越來(lái)越多的高校在內(nèi)部建立起符合自身業(yè)務(wù)特點(diǎn)的檔案信息系統(tǒng),以提高高校的檔案工作效率,整合、分析、積累有用的信息來(lái)協(xié)助高校決策。但與信息化隨之而來(lái)的是信息安全問(wèn)題。高校檔案信息系統(tǒng)如果得不到安全有效的保護(hù),可能會(huì)對(duì)高校工作開(kāi)展和品牌形象等方面造成巨大影響和嚴(yán)重?fù)p害。因此,高校檔案信息系統(tǒng)在滿足其自身業(yè)務(wù)需求的同時(shí),還要保障系統(tǒng)安全、穩(wěn)定、高效地運(yùn)行。這就要求高校檔案部門重視檔案安全防護(hù)體系建設(shè),將檔案信息安全工作納入高校發(fā)展策略和安全保障體系建設(shè)規(guī)劃,努力為高校業(yè)務(wù)開(kāi)展提供有效服務(wù)和基礎(chǔ)支撐。

一、當(dāng)前高校檔案信息安全現(xiàn)狀及存在的主要問(wèn)題

高校檔案是國(guó)家信息資源的重要組成部分,加強(qiáng)高校檔案安全體系建設(shè),對(duì)于維護(hù)高校真實(shí)歷史面貌,對(duì)于高校檔案工作的可持續(xù)發(fā)展,都具有十分重要的意義。我國(guó)是一個(gè)幅員遼闊的國(guó)家,同時(shí)也是一個(gè)自然災(zāi)害頻發(fā)的國(guó)家,洪澇、干旱、臺(tái)風(fēng)、泥石流、地震等各種自然災(zāi)害時(shí)有發(fā)生。近幾年汶川、玉樹(shù)地震,南方雪災(zāi),洪澇等災(zāi)害事件無(wú)不對(duì)檔案安全造成嚴(yán)重威脅。在對(duì)這些自然災(zāi)害的反思中,我們必須深刻認(rèn)識(shí)到,面對(duì)日益復(fù)雜的社會(huì)環(huán)境和頻發(fā)的自然災(zāi)害,保證檔案信息安全已是擺在檔案部門面前的迫切任務(wù)。當(dāng)前高校檔案信息安全方面還存在不少問(wèn)題：

1.高校檔案管理人員安全意識(shí)淡薄。不少高校檔案管理人員或多或少存在重前臺(tái)業(yè)務(wù)、輕安全管理的思想,將檔案信息安全看成是負(fù)擔(dān)或可做可不做的工作。有的因自身水平有限,對(duì)檔案信息安全不了解或認(rèn)識(shí)不到位,認(rèn)為檔案信息安全是高校信息部門或軟硬件廠商的事,檔案部門不需管也管不了。

2.檔案信息安全管理機(jī)制不健全。有的高校檔案信息安全管理制度不健全或流于形式,導(dǎo)致檔案安全工作無(wú)章可循,檔案安全制度落實(shí)不到位,缺乏有效的制度執(zhí)行保障和機(jī)制,沒(méi)有將安全責(zé)任具體落實(shí)到崗到人。

3.檔案信息安全軟硬件設(shè)施和運(yùn)維管理不到位。一些高校事關(guān)檔案安全的設(shè)施和設(shè)備到位率低,嚴(yán)重威脅檔案的安全保管,對(duì)檔案設(shè)施設(shè)備投入不足,安全防范措施形同虛設(shè),存在嚴(yán)重的安全隱患。一些高校檔案工作物質(zhì)保障情況非常差：檔案室破舊、設(shè)施設(shè)備缺失、經(jīng)費(fèi)保障不足。這些情況很容易導(dǎo)致檔案安全事故的發(fā)生。檔案安全管理的經(jīng)費(fèi)投入不足,一些處于經(jīng)濟(jì)欠發(fā)達(dá)地區(qū)的高校檔案部門經(jīng)費(fèi)長(zhǎng)期得不到有效保障,加上專業(yè)人員不足等問(wèn)題,導(dǎo)致信息系統(tǒng)的軟硬件運(yùn)維管理不到位。

4.檔案信息安全風(fēng)險(xiǎn)管理和防范措施不到位。如未開(kāi)展檔案信息系統(tǒng)安全評(píng)估工作,未制定檔案信息安全相關(guān)應(yīng)急預(yù)案或應(yīng)急處置管理不到位;檔案數(shù)據(jù)存在較大安全風(fēng)險(xiǎn),未按要求開(kāi)展本地、異地備份或備份措施不到位等。

二、高校檔案信息系統(tǒng)安全的主要風(fēng)險(xiǎn)分析及應(yīng)對(duì)措施

(一)加強(qiáng)檔案信息系統(tǒng)的硬件安全管理

直觀來(lái)講,軟硬件設(shè)施的安全直接決定著檔案信息系統(tǒng)的安全性,是檔案信息系統(tǒng)安全體系建設(shè)的基礎(chǔ)。在高校實(shí)際工作中,將面臨硬件審核、網(wǎng)絡(luò)入侵、病毒和數(shù)據(jù)安全等方面的問(wèn)題,需要制定符合自身業(yè)務(wù)特點(diǎn)的策略。

1.硬件設(shè)備問(wèn)題。多數(shù)高校檔案信息系統(tǒng)是外包定制開(kāi)發(fā)的,且在運(yùn)維過(guò)程中,對(duì)于系統(tǒng)硬件設(shè)備的維護(hù)和管理不夠重視,更談不上有完善的保障機(jī)制和運(yùn)維制度。一旦系統(tǒng)因?yàn)橛布O(shè)備故障、斷電或網(wǎng)絡(luò)問(wèn)題造成信息丟失、服務(wù)中斷等問(wèn)題無(wú)法正常使用,就會(huì)給高校造成巨大的損失。由此可見(jiàn),對(duì)硬件設(shè)備的安全運(yùn)維和妥善管理是高校檔案信息系統(tǒng)安全體系的基礎(chǔ)保障,是高校管理者不能忽視的一個(gè)環(huán)節(jié)。

常規(guī)的硬件設(shè)備運(yùn)維需要重點(diǎn)關(guān)注以下幾個(gè)方面：(1)檔案信息系統(tǒng)要求不斷電運(yùn)行的,要配置UPS電源,提供可應(yīng)急的不間斷供電;定時(shí)檢查UPS運(yùn)行情況。(2)要建立定期巡檢制度,安排專人負(fù)責(zé)對(duì)硬件設(shè)備、網(wǎng)絡(luò)等運(yùn)行狀態(tài)進(jìn)行檢查,發(fā)現(xiàn)問(wèn)題及時(shí)上報(bào)、處理。(3)保證系統(tǒng)數(shù)據(jù)安全,對(duì)接入硬件設(shè)備的介質(zhì)進(jìn)行嚴(yán)格管理,并對(duì)進(jìn)入機(jī)房的人員進(jìn)行登記。為保證系統(tǒng)硬件設(shè)備安全,盡量采用遠(yuǎn)程方式對(duì)硬件設(shè)備進(jìn)行操作。

2.網(wǎng)絡(luò)入侵問(wèn)題。網(wǎng)絡(luò)入侵主要以盜取信息和攻擊系統(tǒng)為目的,并利用系統(tǒng)自身存在的漏洞對(duì)系統(tǒng)進(jìn)行操作。高校需要根據(jù)自身網(wǎng)絡(luò)特點(diǎn)對(duì)系統(tǒng)安全設(shè)備進(jìn)行配置,避免外界非法訪問(wèn)高校內(nèi)部資源。

常規(guī)的防范措施如下：制定相應(yīng)的訪問(wèn)控制策略,根據(jù)業(yè)務(wù)需要嚴(yán)格控制員工對(duì)設(shè)備、資源的訪問(wèn)方式和時(shí)限;管控硬件設(shè)備端口,只按需開(kāi)放制定端口,減少漏洞,增加入侵難度;定期掃描系統(tǒng)漏洞,更新相應(yīng)補(bǔ)丁。有條件的話,可以部署IPS (入侵防御系統(tǒng))和IDS(入侵檢測(cè)系統(tǒng))設(shè)備。

3.病毒問(wèn)題。病毒主要是針對(duì)檔案信息系統(tǒng)所部署的操作系統(tǒng)進(jìn)行攻擊。一旦操作系統(tǒng)感染病毒,就會(huì)造成檔案信息系統(tǒng)的崩潰、信息丟失等嚴(yán)重問(wèn)題。

常規(guī)防范措施如下：在操作系統(tǒng)中安裝殺毒軟件,并定期對(duì)其更新;根據(jù)高校自身網(wǎng)絡(luò)特性,對(duì)殺毒軟件進(jìn)行正確的安全配置,降低感染病毒的風(fēng)險(xiǎn)。

4.數(shù)據(jù)安全問(wèn)題。數(shù)據(jù)是檔案信息系統(tǒng)最核心的財(cái)富,因此,數(shù)據(jù)安全是系統(tǒng)安全的重中之重。

數(shù)據(jù)安全包括數(shù)據(jù)存儲(chǔ)安全和數(shù)據(jù)傳輸安全兩方面,具體防范措施如下：數(shù)據(jù)存儲(chǔ)方面,采用定期備份機(jī)制,做到多位置保存數(shù)據(jù)及數(shù)據(jù)完整性和恢復(fù)能力;數(shù)據(jù)傳輸方面,采用數(shù)據(jù)密鑰、VPN網(wǎng)絡(luò)傳輸?shù)确椒?保證數(shù)據(jù)的安全傳輸。

(二)加強(qiáng)檔案信息系統(tǒng)的安全機(jī)制建設(shè)

檔案信息系統(tǒng)安全管理是安全技術(shù)能夠完善實(shí)施的有力保障。俗話說(shuō),三分技術(shù)、七分管理,技術(shù)再好,沒(méi)有好的管理,技術(shù)也無(wú)法順利實(shí)施。因此,完善的管理制度是檔案信息系統(tǒng)安全體系建設(shè)的重要組成部分。

1.建立和完善高校檔案信息系統(tǒng)安全管理制度。安全管理制度應(yīng)根據(jù)國(guó)家有關(guān)檔案及信息系統(tǒng)安全的政策法規(guī)和標(biāo)準(zhǔn)規(guī)范制定,它是高校檔案信息系統(tǒng)安全體系建設(shè)的重要基礎(chǔ),對(duì)于保障檔案信息系統(tǒng)的正常運(yùn)行具有十分重要的作用。

2.普及信息安全知識(shí),提高員工相關(guān)安全意識(shí)。多數(shù)高校管理者大多關(guān)注業(yè)務(wù)環(huán)節(jié)的運(yùn)行安全,而對(duì)后臺(tái)歷史信息數(shù)據(jù)的安全不夠重視。為此,要重視信息安全宣傳工作,提高員工對(duì)專業(yè)技能、行業(yè)特點(diǎn)及安全管理的認(rèn)知程度,提高員工的信息安全防范意識(shí)。安全宣傳必須覆蓋所有業(yè)務(wù)部門、技術(shù)部門和管理部門,所有員工都應(yīng)該參與其中。

3.嚴(yán)格執(zhí)行安全制度,狠抓制度落實(shí)。隨著信息技術(shù)的高速發(fā)展,檔案信息系統(tǒng)安全管理的難度也在不斷加大。當(dāng)前高校管理者普遍要面臨的問(wèn)題是,如何在遵守相關(guān)法律法規(guī)及行業(yè)標(biāo)準(zhǔn)的基礎(chǔ)上,建立健全有效的、可實(shí)施性強(qiáng)的信息安全制度。為此,高校管理者需要不斷更新知識(shí),認(rèn)真分析檔案信息系統(tǒng)出現(xiàn)的新問(wèn)題、新漏洞,將發(fā)現(xiàn)的問(wèn)題和解決方案整合完善為一套新的、更加嚴(yán)密的檔案信息系統(tǒng)安全管理制度。不斷提高制度的有效性、可執(zhí)行性,要求安全制度具有可操作性、合理性,無(wú)語(yǔ)言歧義,包含清晰、明確的操作步驟。嚴(yán)格執(zhí)行檔案信息系統(tǒng)的操作流程和管理辦法,將安全責(zé)任落實(shí)到崗到人,全力消除檔案信息系統(tǒng)安全隱患。管理過(guò)程中,發(fā)現(xiàn)問(wèn)題及時(shí)上報(bào),并按照相關(guān)規(guī)定進(jìn)行處理。

4.建立和完善信息系統(tǒng)安全管理平臺(tái)。為應(yīng)對(duì)高校檔案信息系統(tǒng)日益嚴(yán)峻的安全問(wèn)題,在加強(qiáng)系統(tǒng)安全基礎(chǔ)設(shè)施建設(shè)的同時(shí),必須建立一個(gè)功能性強(qiáng)的信息系統(tǒng)安全管理平臺(tái),以全面貫徹高校的安全管理思路,將安全管理制度融入所有的業(yè)務(wù)流程中。通過(guò)平臺(tái)功能實(shí)現(xiàn)量化安全管理標(biāo)準(zhǔn),提升高校檔案信息系統(tǒng)安全管理標(biāo)準(zhǔn)的可執(zhí)行性。

(三)加強(qiáng)檔案信息系統(tǒng)安全防范和控制

檔案信息系統(tǒng)安全防范和控制是指系統(tǒng)管理人員對(duì)高校檔案信息系統(tǒng)的安全漏洞、防范措施等進(jìn)行評(píng)估、處置的過(guò)程。做好高校檔案信息系統(tǒng)安全體系建設(shè),需要對(duì)系統(tǒng)安全進(jìn)行防范和控制,及時(shí)發(fā)現(xiàn)并解決安全漏洞,不斷提升安全管理水平,這是一個(gè)長(zhǎng)期的,需要持續(xù)不斷更新的系統(tǒng)工程。在普通意義上,根據(jù)檔案信息系統(tǒng)的特性,安全防范和控制工作包括如下內(nèi)容：

1.數(shù)據(jù)控制。前文提到過(guò)數(shù)據(jù)是檔案信息系統(tǒng)最重要的部分,也是高校最寶貴的資產(chǎn)。系統(tǒng)數(shù)據(jù)安全的控制工作是非常關(guān)鍵的,其目的在于保障數(shù)據(jù)的安全性和完整性,避免人為原因造成的惡意破壞和竊取。數(shù)據(jù)安全防護(hù)的主要手段有：嚴(yán)格控制用戶訪問(wèn)行為,明確劃分用戶權(quán)限;規(guī)范數(shù)據(jù)操作流程和保存方法。數(shù)據(jù)安全控制過(guò)程中應(yīng)重點(diǎn)關(guān)注：應(yīng)選擇具有計(jì)算機(jī)行業(yè)相關(guān)專業(yè)知識(shí),具有崗位資格或接受過(guò)相關(guān)培訓(xùn)的人員作為數(shù)據(jù)操作人員;檔案信息系統(tǒng)要求能夠記錄所有用戶行為,并將其形成日志保存,充分備份,以用于控制工作。

2.數(shù)據(jù)傳輸控制。檔案信息系統(tǒng)中,數(shù)據(jù)在子系統(tǒng)之間傳輸?shù)倪^(guò)程中也是極為容易出現(xiàn)問(wèn)題的,尤其是一些高校檔案信息系統(tǒng)需要訪問(wèn)互聯(lián)網(wǎng)資源的,就更容易在數(shù)據(jù)傳輸過(guò)程中出現(xiàn)數(shù)據(jù)安全問(wèn)題。數(shù)據(jù)需要傳輸?shù)那闆r很多,如果只靠員工個(gè)人的努力,是沒(méi)有辦法避免問(wèn)題的。比如某業(yè)務(wù)需要手工錄入數(shù)據(jù),并同時(shí)同步到幾個(gè)子系統(tǒng)的情況。如果數(shù)據(jù)在同步傳輸?shù)倪^(guò)程中發(fā)生了變化,致使各子系統(tǒng)得到的參考數(shù)據(jù)不一致,就會(huì)出現(xiàn)非常嚴(yán)重的后果。

由上例可知,在數(shù)據(jù)傳輸控制過(guò)程中,要重點(diǎn)關(guān)注如下問(wèn)題和常規(guī)解決辦法：

(1)數(shù)據(jù)的可靠性、完整性。問(wèn)題：如何檢驗(yàn)數(shù)據(jù)在傳輸過(guò)程中是否發(fā)生變化?解決辦法：常規(guī)辦法是使用數(shù)據(jù)校驗(yàn)碼,將校驗(yàn)碼和數(shù)據(jù)同時(shí)進(jìn)行傳輸,接收方使用校驗(yàn)碼和數(shù)據(jù)進(jìn)行匹配,成功后證明數(shù)據(jù)是正確和完整的。匹配不成功,要求系統(tǒng)重新發(fā)送數(shù)據(jù),避免數(shù)據(jù)錯(cuò)誤造成的損失。

(2)數(shù)據(jù)路徑的可靠性。問(wèn)題：不同的子系統(tǒng)同時(shí)進(jìn)行一個(gè)數(shù)據(jù)傳輸行為,如何判斷數(shù)據(jù)是否為我們所需?解決方法：常規(guī)辦法是業(yè)務(wù)流程需要捕獲并驗(yàn)證數(shù)據(jù)來(lái)源地址,查詢系統(tǒng)相關(guān)配置,與配置要求一致時(shí),可認(rèn)為數(shù)據(jù)路徑可靠。問(wèn)題：從網(wǎng)站平臺(tái)獲得的數(shù)據(jù),如何保障其可靠性?解決方法：配備云鎖系統(tǒng)及構(gòu)建網(wǎng)站云主機(jī)。其中云鎖系統(tǒng)是集合服務(wù)器安全管理與監(jiān)控為一體的免費(fèi)安全軟件,通過(guò)PC端即可實(shí)現(xiàn)對(duì)服務(wù)器端的遠(yuǎn)程安全管理與監(jiān)控,能有效防御病毒、木馬、后門等惡意代碼和CC攻擊、XSS跨站攻擊、網(wǎng)頁(yè)篡改、掛黑鏈等黑客行為,有效保護(hù)服務(wù)器和網(wǎng)站安全。通過(guò)構(gòu)建網(wǎng)站云主機(jī),可選購(gòu)快速建站、CDN云節(jié)點(diǎn)中心、負(fù)載均衡、彈性配置、二層隔離、私有網(wǎng)絡(luò)等特有功能,除了在網(wǎng)站速度上做到極致,還可以杜絕內(nèi)網(wǎng)入侵和外部掃描,它與云鎖結(jié)合可謂是無(wú)衣無(wú)縫,就算網(wǎng)站有漏洞,在云鎖的防御中也很難實(shí)現(xiàn)入侵,確保網(wǎng)站運(yùn)行快、網(wǎng)站不被黑。

(四)重視檔案信息系統(tǒng)的安全運(yùn)維管理

要確保檔案信息安全,單靠技術(shù)層面是無(wú)法解決問(wèn)題的,必須從管理、技術(shù)、服務(wù)等多個(gè)層面同時(shí)著力。在安全管理方面,應(yīng)從安全管理機(jī)構(gòu)的優(yōu)化、系統(tǒng)建設(shè)管理的開(kāi)發(fā)、安全管理制度的完善、系統(tǒng)運(yùn)維體系的建設(shè)出發(fā),盡可能減少非技術(shù)問(wèn)題引發(fā)的安全威脅。在安全服務(wù)方面,網(wǎng)站應(yīng)在醒目位置展示一些基本的網(wǎng)絡(luò)安全知識(shí),并在網(wǎng)站的設(shè)計(jì)中廣泛咨詢客戶的意見(jiàn)和建議,建立信息安全評(píng)估部門,定期對(duì)運(yùn)維人員進(jìn)行安全培訓(xùn),加強(qiáng)安全巡檢,使安全加固常態(tài)化,

三、結(jié)束語(yǔ)

綜上所述,檔案安全威脅是隨著信息技術(shù)發(fā)展而不斷發(fā)展和變化的,檔案安全體系建設(shè)也同樣是一個(gè)長(zhǎng)期、動(dòng)態(tài)的過(guò)程。要構(gòu)建完備有效的檔案信息安全體系,必須多措并舉,從管理、技術(shù)、安全基礎(chǔ)設(shè)施建設(shè)、安全宣傳等多方面著手,持續(xù)不斷地進(jìn)行改進(jìn)和完善。