辛宇航
?
電子文件信息安全保障體系創(chuàng)設研究
辛宇航
衡水第一中學,河北 衡水 053000
首先對電子文件信息安全保障體系的構(gòu)建原則進行了簡要闡述,在此基礎上對電子文件信息安全保障體系的創(chuàng)設要點進行了論述,期望能夠?qū)﹄娮游募畔踩缘奶岣哂兴鶐椭?/p>
電子文件信息;安全;保障體系
電子文件信息安全管理要以準確評估各類潛在的風險為前提,根據(jù)評估結(jié)果構(gòu)建完善的安全保障體系,進而保護電子文件信息的安全性和完整性,杜絕發(fā)生信息泄露問題。對重要、私密、敏感的電子文件信息而言,更要建設安全保障體系,維護信息所有者的利益不受侵害。安全保障體系在構(gòu)建過程中應遵循以下原則:
安全保障體系的構(gòu)建必須遵循科學性原則,在構(gòu)建之前對電子文件信息的安全情況進行深入調(diào)查研究,識別潛在風險隱患,運用相關(guān)理論制訂出科學的防范策略,確保風險防范策略有理有據(jù),具備較強的實用功能[1]。
安全保障體系的構(gòu)建要嚴格執(zhí)行我國相關(guān)法律法規(guī),使各項技術(shù)標準能夠達到國家標準,甚至是國際標準,提高電子文件信息安全保障水平,避免因技術(shù)水平落后而降低安全保障體系的功能作用。
安全保障體系的構(gòu)建不僅要考慮系統(tǒng)的安全保密性能,使系統(tǒng)具備較強的可操作性,而且還要考慮系統(tǒng)建設成本,合理配置人力、物力、財力等資源,實現(xiàn)最大化的建設效益。同時,安全保障體系還要根據(jù)電子文件信息的泄密等級進行建設,確保安全保障體系具備良好的適用性。
安全保障體系的構(gòu)建必須以安全性原則為基本原則,在建設前期開展總體規(guī)劃設計,預測影響信息發(fā)展的各項條件因素。根據(jù)這些影響因素設計系統(tǒng)安全防范功能,確保電子文件信息長久安全[2]。
(1)強化風險管理意識。從電子文件信息安全管理實踐來看,影響文件安全的重要因素在于文件管理人員和文件利用者的風險意識薄弱。所以,在構(gòu)建電子文件信息安全管理體系的過程中應強化相關(guān)人員的風險管理意識,組織相關(guān)人員進行安全教育,明確相關(guān)人員的風險責任,從而保障安全管理體系的順利實施。同時,安全管理體系還要符合電子文件管理規(guī)律,明確安全管理的重點,最大限度減少風險事故的發(fā)生,保護電子文件信息安全,營造良好的安全管理氛圍。
(2)建立安全管理制度。在電子文件信息安全管理中應建立健全規(guī)章制度,為各項管理工作的開展提供執(zhí)行依據(jù)。首先,建立專人負責制。在每項電子文件安全管理活動中均要分派專人負責,必要時可成立安全管理小組,細化小組成員的安全管理責任。其次,落實職責分離制。針對不相容崗位應遵循職責分離原則進行分配,如電子文件信息傳送與接收崗位、存儲介質(zhì)保管與系統(tǒng)操作崗位均要分派不同的人員負責。最后,實施獎懲激勵機制。各單位根據(jù)電子文件信息安全管理實際情況,定期對各部門和人員進行考核評價,落實相應的獎懲措施。如果發(fā)現(xiàn)部門或個人因違規(guī)操作導致信息泄露,則要通報批評,追究其相關(guān)責任[3]。
(3)成立信息安全管理機構(gòu)。單位應成立專門負責電子文件信息安全的管理機構(gòu)。機構(gòu)成員包括行政領(lǐng)導、技術(shù)人員、管理人員,應明確不同人員的職責分工和工作任務。行政領(lǐng)導負責制定電子文件信息安全管理規(guī)章制度,做好安全管理系統(tǒng)建設規(guī)劃,明確安全管理目標,確定安全管理的整體策略,組織協(xié)調(diào)好機構(gòu)內(nèi)部人員的工作;文件管理人員負責實施機構(gòu)領(lǐng)導下達的各項任務,執(zhí)行各項策略,及時向領(lǐng)導反饋安全管理情況;技術(shù)人員負責安全管理系統(tǒng)建設、維護和升級。
電子文件又被稱為數(shù)字文件。它以數(shù)碼形式在通信網(wǎng)絡上進行傳輸。為確保電子文件信息的安全性,必須采取合理可行的技術(shù)措施。針對電子文件信息的性質(zhì),提出以下幾點安全技術(shù)措施:
(1)數(shù)字簽名技術(shù)。此技術(shù)具體指對電子形式的信息進行簽名的一種方法,對電子文件進行數(shù)字簽名后,能夠證實該文件出自于作者之手。除作者本人之外,任何人都無法改動電子文件的內(nèi)容,由此可保障電子文件信息的安全。在電子文件信息中,比較常用的數(shù)字簽名方式有以下兩種:一種是證書式;另一種是手寫式。前者的技術(shù)原理如下:電子文件信息的發(fā)出者,通過密鑰對文件進行加密,然后發(fā)出,文件信息的接收者利用解密密鑰及特定的算法進行解碼,借此來驗證數(shù)字簽名的真?zhèn)?。后者是用手寫筆在觸屏上簽署自己的名字,計算機系統(tǒng)通過數(shù)字轉(zhuǎn)換器可對該簽名進行捕獲,并將之與電子文件打包后,利用通信網(wǎng)絡發(fā)送給接收者。在此需要闡明的一點是,證書式的數(shù)字簽名在確保電子文件信息的安全性方面效果較好,但在具體應用時,必須向有關(guān)機構(gòu)進行注冊登記[4]。
(2)信息加密技術(shù)。這是電子文件信息安全保障中較為常用的一種技術(shù)措施。所謂信息加密,具體是指通過一些物理或數(shù)學手段,對電子文件信息在傳輸和存儲載體內(nèi)進行保護的技術(shù),能夠避免電子文件信息的內(nèi)容外泄。對于電子文件信息而言,其需要通過網(wǎng)絡進行傳輸。如果信息以明文的形式進行傳遞,一旦被黑客截取,將會導致文件中的內(nèi)容泄露。使用信息加密技術(shù)后,可以使電子文件信息從明文轉(zhuǎn)換為密文,在沒有解密密鑰的前提下,其中內(nèi)容很難破譯,所以就算黑客截獲了該信息,也無法從中得到所需的內(nèi)容。目前,比較常用的加密方式有兩種:一種是對稱加密,即采用相同的加密算法對信息進行加密和解密,整個過程中使用的密鑰也是相同的。在這種加密方式下,只有保證密鑰不泄露,才能確保電子文件信息的安全性。另一種是非對稱加密,具體是指采用一對具有數(shù)學關(guān)聯(lián)性的加密和解密密鑰對信息進行處理。電子文件信息的發(fā)出者通過密鑰對文件內(nèi)容進行加密后,只能通過其解密密鑰采用使密文還原成明文。這種加密方式的安全性和保密性更高。
(3)身份認證技術(shù)。該技術(shù)是一種訪問限制技術(shù)。它能夠有效阻止不相關(guān)的人員對電子文件信息進行訪問,其實現(xiàn)過程較為簡單,即為合法用戶發(fā)放一串代表其身份的字符組合。當用戶需要登錄系統(tǒng)對其中的電子文件信息進行查詢和讀取時,系統(tǒng)會要求該用戶輸入字符組合,隨后系統(tǒng)會驗證其合法性,確認該用戶具有訪問權(quán)限后,便會允許其進入系統(tǒng),對權(quán)限范圍的電子文件信息進行訪問。如果字符組合輸入不正確,系統(tǒng)會判定其為非法用戶,將其阻隔在系統(tǒng)之外,使其無法對電子文件信息進行訪問,由此確保信息的安全性[5]。
(4)防火墻技術(shù)。該技術(shù)可以在內(nèi)網(wǎng)與外網(wǎng)之間設置一道屏障,其不但能夠防止來自于外網(wǎng)的非法入侵,而且還能阻止電子文件信息從內(nèi)網(wǎng)非法傳出,在確保網(wǎng)絡安全的同時,為電子文件信息的安全提供了強有力的保障。
綜上所述,為使電子文件信息的安全得到有效的保障,應從安全管理和技術(shù)措施兩方面著手,構(gòu)建一套相對完善的安全保障體系。在未來一段時期,應加大對電子文件信息安全技術(shù)措施的研究力度。除對現(xiàn)有的技術(shù)進行改進和完善之外,還應開發(fā)一些新的技術(shù),從而更好地為電子文件信息安全保障服務。
[1]石念峰,韓振英,李寶玲.基于XML文件訪問控制的電子檔案安全保障技術(shù)研究[J].檔案管理,2016(11):141-143.
[2]周荃.電子文件信息安全保護問題研究[J].蘭臺世界,2016(9):97-98.
[3]趙學.電子文件管理系統(tǒng)中的信息安全保障研究[J].機電兵船檔案,2015(2):24-25.
[4]王志宇,趙淑梅.論云計算環(huán)境下電子文件管理工作的發(fā)展特點[J].遼寧大學學報(哲學社會科學版),2015(5):46-47.
[5]李小靜.從“失控”勒索病毒事件談電子文件安全管理的幾點思考[J]辦公自動化,2017(7):87-88.
Research on the Creation of Subfile Information Security System
Xin Yuhang
Heng Shui No. 1 Middle School, Hebei Hengshui 053000
Firstly, the construction principles of electronic document information security system are briefly expounded. On the basis, the essentials of the creation of electronic document information security system are discussed, hoping to help improve the safety of electronic file information.
electronic file information; security; security system
TP399
A
1009-6434(2017)11-0039-02