導語：如何才能寫好一篇安全保障體系建設，這就需要搜集整理更多的資料和文獻，歡迎閱讀由公務員之家整理的十篇范文，供你借鑒。

篇1

關鍵詞：電子檔案；實體檔案；信息安全

1引言

檔案信息資源作為一種重要的社會資源，保障其安全是十分有必要的。但是在社會的信息化發展中，由于法律法規的滯后、保存環境的不合理、保存技術的不成熟、管理人員專業水平的欠缺，使得檔案信息的安全性受到了極大的挑戰，因此檔案信息安全保障體系的建設需要盡快完善。

2檔案信息安全保障體系的建設現狀

保障檔案信息的安全具有很重要的現實意義，然而在實際操作中，保障檔案信息的安全工作受到了很大的阻力和壓力。第一，相關法律法規制度的建設相對滯后，給了很多不法分子可趁之機，使其可以低成本地、輕易地盜取、買賣、損壞檔案信息[1]。第二，檔案信息保存困難，尤其是實體資料。由于保存時間較長，很多檔案資料存在字跡模糊、無法辨認的問題；還有的在較長的保存時間中，經歷了很多任檔案管理員的整理，使得查找起來十分困難，比如文字圖片資料混合在一起、標簽缺失、編號混亂等等。電子檔案的保存也一樣不容樂觀，因為我國的電子檔案信息化保存的發展歷史還比較短，安全系統還不夠完善強大，所以常常會受到黑客的攻擊和病毒的侵擾；高素質、高技術的專業電子檔案信息管理人員的缺失，也極大的延緩了檔案信息電子化保存的工作進度。

3檔案信息安全保障體系建設問題的解決策略

3.1完善法制保障

國家層面上，相應法律法規的修訂和完善是保證檔案信息安全保障體系健康安全有序發展的前提條件和依據。在修訂中，也要注意循序漸進，多借鑒國外的相關成功經驗，同時找到適合國內國情的特色方法。企業層面上，應當在規則允許的范圍下，合理運用先進的技術和方法做好檔案信息安全保障體系建設工作，管理分工明確、責任具體落實到個人、自己負責好自己的部分、盡量不要出錯。在合作中逐漸形成有效有序的安全管理系統，確保每一步都有理有據、安全可行。從業人員層面上，檔案信息安全工作人員需要具備較強的法律意識、服務意識、責任意識和過硬的專業技術能力，充分發揮每一位從業人員的主觀積極性和創造性，并定期開展相關培訓活動和交流會，使其工作能力不斷提升，從而為檔案信息安全保障體系的順利建設奠定基礎。例如近日銅仁市紀委市監委出臺的《銅仁市市管干部廉政檔案管理暫行辦法》，通過法規的出臺使1300余名市管干部檔案信息安全得以保障。該《辦法》遵從“一人一檔”、“逐步完善”、“動態更新”的原則，同步建立電子廉政檔案、紙質廉政檔案和文書檔案，全面收集歸檔反映全市在職市管干部廉政情況的信息和材料，梳理形成清單，實現一人一檔、全面覆蓋。同時，廉政檔案實行集中管理、由專人負責、保持動態維護更新、嚴格執行保密相關規定，保證廉政檔案的使用安全。

3.2加強管理保障

3.2.1改進工作方法

在電子檔案保存過程中，首先硬件技術要能相匹配，計算機設備、掃描儀以及安全的移動硬盤都是不可缺少的。其次，在掃描過程中，也要在保證內容完整性的同時保證字跡的清晰度。再次，在保存過程中，既要嚴格清理存儲在電腦中的信息，避免被盜，也要做好備份工作，防止丟失。最后，不把雞蛋放在同一個籃子里，做好檔案的分類和多重備份工作，也是抵御風險的一種有效辦法。除此之外，在檔案信息安全管理中，也可以使用防火墻技術、設置高級密碼技術、高級人臉識別技術、指紋識別技術、多重密碼防護技術以及軟件定期查殺病毒的方式來增強信息的安全性。只要每一個步驟都嚴格控制，形成有效的安全保障體系，就可以避免不必要的損失，增加檔案信息的安全系數。例如資陽區社保服務中心的業務資料整理歸檔工作，其按照檔案管理規范化標準，全面收集應歸檔的各類文件、業務資料以確保檔案的完整性；并且按照業務資料歸檔要求，規范化、系統化的完成裝訂、整理、分類、編號、裝盒整理工作；同時按照檔案保管要求，文件、資料的歸檔全部使用專用檔案盒，并規范檔案管理、保管、借閱等各項制度。每一步工作都認真負責、嚴格落實，以確保檔案的保密性和安全性。

3.2.2提升人員素質

由于在檔案信息安全工作中會遇到各種各樣的突況，對檔案信息安全工作人員的業務水平提出了很高的要求。因此，每一個從業者都必須不斷提升自己的專業知識，做好行業培訓工作，豐富自己的知識體系，提高自己的服務意識和安全隱患意識。并且需要多與各自領域的專業人才交流，強強聯合以開闊思路，優化工作方式。

3.3強化技術保障

技術支持保障屬于檔案信息安全保障體系中的剛性保障，對整個體系的構建至關重要。對于實體檔案，主要考慮保存環境與檔案修復兩個方面。其中配備合理的保存環境是保障實體檔案信息安全的基礎。保存環境的優劣會直接影響到檔案的保管情況。保存環境的合理設計與建造能使檔案得到更加長久、安全、完整的保護。當檔案在保管、利用的過程中出現字跡模糊、紙張老化、硬盤受損、膠片褪色等現象時，修復技術的存在就是挽救實體檔案信息安全的最后一道屏障。紙質檔案修復技術主要包括：去污與去酸技術、加固與修裱技術、字跡恢復與顯示技術等，而磁盤、光盤受損后目前技術還很難做到有效恢復[2]。

篇2

[關鍵詞]電子檔案；信息安全；保障體系

[中圖分類號]G270.7 [文獻標識碼]A [文章編號]1672-5158（2013）06-0437-02

1 引言

信息時代把“電子檔案”這一新生事物推至我們面前。基于不同的認識背景和知識結構，人們對它的理解和認識有所差別。“電子檔案”從社會意義上可以歸納為是將傳統的以紙張、錄音帶、錄像帶為存儲介質的各種原始檔案資料，通過掃描、壓縮、轉化等手段轉換成圖片文件、聲音文件和錄像文件，對圖片文件可以通過文字識別等技術手段，再運用分級存儲管理技術將圖片和索引字段存儲于光盤庫等各種大容量的存儲介質上，并可通過各種方便的查詢手段迅速地檢索出所需要的檔案資料，到局域網、廣域網、企業內部網、國際互聯網，最終實現“電子檔案”。檔案的安全保管和有效利用，是檔案工作最基本的兩項任務。

2 影響電子檔案信息安全的因素

在電子檔案的歸檔、管理和服務利用等過程中，影響電子檔案安全的因素主要來自四個層面：

2.1 網絡軟件因素

網絡因素主要指系統外部非法用戶和不安全數據包侵犯竊取秘密與篡改破壞檔案信息。這是計算機網絡所面臨的最大威脅，也稱黑客行為。它們又可以分為以下兩種：一種是主動攻擊，即以各種方式有選擇地破壞數據的原始性和完整性；另一類是被動攻擊，它是在不影響網絡正常工作的情況下，進行截獲、刪除、竊取、破譯以獲得重要機密信息。這兩種攻擊均可對計算機網絡造成極大的危害，并導致信息的機密數據的泄漏。

2.2 硬件數據因素

硬件因素主要指網絡運行系統的物理設備問題，如：主機硬件系統本身的安全漏洞，路由交換設備的不穩定，或硬件設備的意外損壞造成的系統癱瘓等；

數據因素主要指設計系統存儲檔案的數據安全問題，如數據版本與格式轉換，存儲介質的老化失效，自然災害造成的數據丟失和損壞等。

2.3 應用管理因素

主要指檔案管理信息系統在實際應用操作過程中存在的安全問題。管理是保護電子檔案信息安全的主要手段，而責任不明、管理混亂、安全管理制度不健全及缺乏可操作性等都可能引起管理安全的風險。據調查，在已有的網絡安全攻擊事件中，約70%是來自內部網絡的侵犯。如：檔案管理信息系統的用戶管理層次的不規范性；操作人員安全配置不當，用戶安全意識不強，口令選擇不慎，用戶將自己的帳號隨意轉借他人或與別人共享造成檔案信息泄密、原始信息被篡改等。這些都是因為管理不善而造成電子檔案信息不安全的因素。

2.4 突發性因素

非人為因素是指不是由于人的直接行為引起的電子檔案信息真實與完整的損失、檔案信息的破壞，如設備故障和失效、自然社會災害和意外災禍等，也叫突發性災害，主要指不可抗拒的自然災害，如：雷擊、火災、地震、水災、颶風以及其他不可預測的突發事件等。針對影響電子檔案信息網絡安全的種種危險因素，在電子檔案信息資源的系統安全管理中采取相應的預防措施即安全技術防護至為重要。

3 電子檔案信息安全保障體系的建設

電子檔案信息的安全包括網絡、系統安全；信息安全；物理安全等方面，要有可靠的技術措施和完善的管理制度來保證各方面的安全。因此，安全管理機制建設創新要有實招：

3.1 組建信息安全管理機構

機構級可以在本單位現有的頂層如信息安全與保密委員會下設電子檔案工作小組，在建立了機構時必須同時制定職責、運作機制等相關制度，使保密機構真正起到決策、監督作用。

3.2 電子檔案信息安全體系建設

電子檔案的安全與保密除通過軟硬件保障外，制度的保障更加重要，因此必須制定相關的規章制度，主要有以下幾項：

3.2.1 建立安全管理制度

管理制度是保證電子信息安全的重要措施。維護電子信息的安全除了技術手段外，更重要的是要加強對信息的管理，制定合理而嚴密的管理措施和規范，才能真正保護電子信息的真實、可靠和完整。因此，為保證電子檔案信息的安全，必須制定以下各項規章制度：文檔管理制、人員安全管理制度、應用系統運營安全管理制度、系統運行環境制度。

3.2.2 建立網絡管理制度

計算機網絡系統的安全系數會隨著時間的推移而降低。原因很多，主要有設備老化，安全技術方法逐漸泄露，管理日漸松懈，攻擊者經驗的積累等。與此相反，電子文件和電子檔案的價值卻隨著時間積累而增加，對系統安全的要求越來越高。因此，為長時間保證安全，必須結合本單位的實際，建立配套的、切實可行的網絡管理制度。

3.2.3 建立全過程的電子文件管理制度

電子文件從形成到電子檔案的開發利用，中間要經過很多環節，哪一個環節出了問題都會影響電子文件的真實可靠性。因此建立全過程的管理制度，明確各環節的職責要求，就顯得非常重要。如電子文件形成之后，要及時收集積累，以防分散狀態下發生信息丟失；電子文件歸檔時，要嚴格檢查相關文件是否收集齊全，負責就會給將來利用帶來困難和麻煩；遷移時，要認真檢查是否發生信息丟失。任何環節的疏忽，都對電子信息的真實性與可靠性造成危害。

3.2.4 建立電子文件管理記錄系統

為加強對電子文件的管理，保證電子文件的法律證據性而建立。記錄系統內容：

（1）對于收集積累階段在網絡系統上傳輸的電子文件，可通過網絡系統自動記錄有關信息；

（2）文件在現行期的重要處理環節，如文件的創立、登記、修改、審核、簽署、分發；

（3）文件在半現行期和非現行期的管理、利用等；

（4）對于按存儲載體方式進行收集、積累的電子文件，還要輔以必要的人工記錄。

（5）文件存儲位置的改變、數據轉換的記錄；

3.3 電子檔案信息安全與保密日常監督與檢查

電子檔案的安全與保密還必須通過日常的監督與檢查來得到保證，設備的日常維護，制度的貫徹與落實等等都必須落實到日常的工作中，一是檢查人員的安全防護意識；二是檢查各項規章制度的執行情況；三是檢查機器設備和網絡運行情況；四是檢查網上數據的流動情況。因此電子檔案必須制定安全與保密制度，明確檢查周期、檢查項目與檢查方法，對出現問題要有歸零跟蹤，對違反紀律的員工有懲罰。

3.4 加強網絡安全管理的人文策略

加強對電子文件制作和管理人員的業務學習和技術培訓。在電子文件的安全管理過程中，僅靠制度是不夠的，一方面必須加強組織對涉及電子文件人員的業務學習和技術培訓。通過組織業務學習和技術培訓等途徑，盡快使他們掌握信息管理自動化的知識和技能，擔負起電子文件歸檔工作的重任。另一方面要加強人才隊伍的建設。人才隊伍的建設貫徹以管理型人才為基礎，以復合型人才為重點的指導思想。根據電子檔案業務工作的劃分，所需人才的類型有：檔案采集、處理與數據加工人才；信息技術及計算機系統和網絡設計與開發人才；檔案信息分析、研究與咨詢人才；電子檔案理論與方法研究人才；電子檔案系統運營與服務的管理人才。對人才隊伍業務素質的要求是具有較全面的知識結構以及敏銳的信息意識、良好的信息道德、較強的信息能力，以適應電子檔案的建設和正常運行的需要。

結束語

總之，電子檔案信息安全保障體系應是一個包含法制標準、基礎設施、組織管理、安全技術、災難恢復機制的多層次、全方位的系統，該系統以法制標準為重要手段，以安全基礎設施為基礎，在整體安全策略和安全組織管理之下，采用國內外先進成熟的安全技術，制訂統一的備份恢復策略，建立完備的綜合防范機制，以保障電子檔案信息安全、可靠、有序、高效地運行，確保電子檔案信息資源的高安全性、高可靠性和高可用性。同時，積極促進檔案整體信息化應用水平的全面提高，為信息化建設保駕護航。

參考文獻

[1]趙暉：電子檔案信息安全管理面臨的問題和挑戰，《城建檔案》2013（1）

篇3

【關鍵詞】電力信息系統；安全保障體系；建設原則；思路分析

【中圖分類號】P208 【文獻標識碼】A 【文章編號】1672-5158（2012）09-0046-01

隨著計算機技術與互聯網技術的發展，電力信息系統的安全在電力企業的正常運營、客戶營銷、財務管理以及電網調度等方面起著積極地促進作用。黑客與病毒以及安全漏洞在很大程度上威脅著電力企業的正常運營。因此，本文將從電力信息系統的安全保障體系的角度出發，對如何在電力企業中建立電力信息系統的安全保障體系的思路與原則進行有效性研究。

一、關于電力信息系統的概述

電力信息系統包括信息網絡、網絡服務系統、應用系統、安全系統、存儲與備份系統、輔助系統、終端計算機用戶設備等系統及上述系統的附屬設備。其所涉及的技術有：數據加密技術、入侵檢測技術、防火墻、訪問控制技術以及網絡掃描技術等。在網絡硬件方面，已基本實現千兆骨干網、百兆到桌面、三層交換以及VLAN等技術的普遍使用；而在軟件方面，主要包括辦公信息化系統、一體化整合平臺、安全生產管理信息系統、電力地理信息系統、營銷管理信息系統及各專業相關的應用子系統等。計算機及信息網絡系統在電力生產、調度、經營、管理等各個領域有著十分廣泛的應用，在安全生產、節能消耗、降低成本、縮短工期、提高勞動生產率等方面取得了明顯的社會效益和經濟效益。引發信息系統安全問題的因素包括安全架構在設計上出現問題與管理方面出現問題。

二、針對電力信息系統安全保障體系建設原則的研究

電力信息系統安全保障體系建設不能只是簡單地局限在電網運行安全這個方面，需要經過三個階段：一是信息安全系統的建設；二是信息安全管理的建設；三是信息安全策略的建設。隨著信息技術的發展與人們對信息安全人士的加深，電力用戶對電網的安全管理與用電需求也在發生著變化，由原先單一的產品逐漸向信息安全的管理與構建轉變。由于電力企業在社會經濟發展的特殊作用，因此在建設電力信息系統的安全保障體系的過程中，需要堅持以下四項原則：

（一）原則之一——動態性原則

在建設電力信息系統安全保障體系的過程主要堅持動態性原則，主要是因為無論哪個安全保障系統都有可能出現技術或者操作問題，不能為企業運行與管理提供真正的安全。再加上隨著黑客技術的發展，安全系統的保障能力也逐漸下降。所以，信息安全系統建設計劃要具有可擴展性，可以為電力信息系統提供安全預防與維護以及應急方案，

（二）原則之二——均衡性原則

在建設的過程中堅持均衡性原則，是因為安全保障體系是根據電力企業的安全生茶目標進行設置的，其中所涉及的各項技術都要經過成本與效益方法的分析，以降低施工成本并提升企業的經濟效益。

（三）原則之三——立體性原則

在建設的過程中堅持立體性原則，是因為安全保障體系建設不是一個簡單地系統建設。它所涉及的內容包括：人文與自然環境、管理知識、相關技術以及法律法規等。因此在建設的過程中，不僅需要從橫向的方向進行考慮，還需要從縱向的方向進行考慮，以確保電力網絡的信息安全。

（四）原則之四——法令性原則

在建設的過程中堅持法令性原則，是源于《電力二次系統安全防護規定》的相關規定。管理信息大區要訪問電力生產控制大區內的數據，需要在兩者之間安裝電力專用的橫向安全隔離設備，而且這類設備是經過國家相關部門認定的。一旦背離法令性原則的設計施工方案都會對電力企業的正常運行帶來巨大的經濟損失。

三、針對電力信息系統安全保障體系建設思路的研究

（一）思路之一——采取措施加強信息系統的安全運行與管理建設

要加強電力信息系統安全保障體系的安全運行與管理管理建設，需要做到以下三點：

一是要在電力信息系統安全保障體系的建設過程中，建立并完善多層次、動態、全方位的安全管理信息中心，有效控制因為安全技術問題所引起的混亂局面，將和體系安全有關的各項技術與方案聚合在一個具有整體性、安全性與系統性的平臺上，充分發揮人力因素、策略因素以及技術因素的優勢，從而提升安全保障體系的質量與水平。

二是要了解并掌握安全管理信息中心的基本內容：設置相關機構、完善相關的技術手段、加強基礎設施建設、明確各部門的職能、制定嚴格的規章制度以及培訓專業工作人員。

三是利用先進的計算機技術與網絡通訊技術研發信息安全的綜合管理系統，該系統除了具有分析電網運行信息、監視電網設備運行狀態以及應急響應電網運行過程中的異常事件功能之外，還有數據搜集與分析功能、可視瀏覽功能等。信息安全的綜合管理系統在電力信息系統的安全保障體系中扮演著承上啟下的紐帶作用，它可以搜集電力網絡中的各種信息，并將這些信息進行整理歸類后進行分析處理，再反饋給管理人員。其中處理的信息包括：統計數據信息、報警數據信息以及歷史數據信息等。

（二）思路之二——采取措施加強電力信息系統中的信息安全系統建設

要加強對信息安全系統的建設，需要做到以下三點：

一是要保障電力信息系統中數據對象的安全，可以采取操作系統加固、數據指紋、主機加固、安裝防病毒系統以及數據加密的歌方式對需要保護的對象進行保護，同時要加強電力信息系統安全保障體系建設過程中的周圍環境的安全保護。

二是采取措施保障系統結構的安全，其主要側重在體系的應用、網絡數據的應用以及信息數據的邊界界定，或者物理與邏輯方面的規劃，它是信息系統安全的前提條件，這種方式不僅可以有效地降低企業的施工與管理成本，同時也有助于解決數據泄密等問題。

三是保障信息系統流程的安全，其內容包括兩個方面的內容，首先是利用訪問控制與身份識別等技術手段，其次是加強流程管理等方面對信息流程的安全進行審核與風險評估，從而設計出有效進行信息流動控制的方案。

篇4

關鍵詞：檔案；管理；安全；策略

在我國檔案管理體系中，存在著檔案資源基數大、管理層次復雜等國情特點，而在檔案管理工作中，檔案的安全制度及要求也存在著零散、片面的情況，因此，完善檔案安全保障體系的建設已經成為檔案管理者當下必須進行的重要規劃。加快建設覆蓋人民群眾的檔案資源體系，對檔案安全保障體系的構建問題進行深入分析及總結，進一步提升檔案部門的檔案安全保障能力，具有重要的現實意義。

1安全防范“三位一體”

1.1堅持根本抓人防

檔案安全的首道防線就是人防，安全管控關鍵在人。

（1）筑牢思想防線。牢固樹立“安全第一、預防為主”的思想意識，市委、市政府高度重視檔案安全工作，市委書記和市長分別到市檔案局（館）檢查調研，要求我們充分認識做好檔案安全工作的重要性和緊迫性。市委分管領導就檔案館庫建設、數字檔案館（室）建設等重大安全問題多次到現場進行指導，并幫助破解難題。

（2）構建機構防線。成立了全市檔案安全工作領導小組，各級黨委、政府承擔檔案安全工作的領導責任，各級檔案部門承擔行政區域內檔案安全工作的監管職責，各部門各單位承擔本部門本單位檔案安全職責，強化內設機構，提高相關人員檔案安全技能和水平，把安全工作落實到崗、到人。

（3）健全制度防線。建立健全各項檔案安全保密制度，用制度管人，靠制度辦事。近年來，市“兩辦”出臺《關于加強和改進新形勢下全市檔案工作的通知》，為做好新形勢下檔案安全工作提供了重要遵循，為政府機構改革過程中檔案安全工作提供安全防護。

1.2夯實基礎抓物防

建設符合檔案安全保管要求的檔案館室，是保障檔案安全的重要基礎。

（1）加強檔案館庫建設。在全市各級黨委、政府的關心支持下，市、縣（區）6個國家綜合檔案館100%建成新館，市本級16500m2新館計劃明年上半年投入使用。

（2）加強基層檔案館室建設。為切實改善基層檔案保管保密的硬件條件，市檔案局每年組織基層檔案館室保管條件安全檢查，對存在安全隱患的保管場所及時督促整改，確保安全達標。

1.3注重創新抓技防

充分利用現代科技手段加強“技術保險”，提高檔案信息安全系數。

（1）加強網絡安全。網絡的開放性對檔案信息的安全性構成嚴重威脅，為避免病毒、黑客行為造成的安全問題，市檔案局將局域網與互聯網進行了物理隔離，政務網與互聯網進行了邏輯隔離。

（2）加強數據安全。為打造安全的數字存儲環境，建立獨立機房，安裝監控系統，加強對信息系統、計算機和載體的安全保密管理，嚴防文件、檔案在傳輸過程中失泄密。

（3）加強登記利用安全。實行電子登記，從查閱登記到歸還進行全程跟蹤記錄，嚴格審核查閱手續，確保檔案利用的絕對安全。對檔案進行開放鑒定、掃描加工、搶救保護等工作，引進新技術，探索建立了安全高效的區域檔案信息共享模式，在提供快捷方便地查閱利用的同時，確保檔案安全。

2安全監管“三維覆蓋”

2.1館內安全與館外安全并軌

館內安全注重建章立制，建立健全檔案安全各項規章制度，包括檔案收集制度、n案開放鑒定制度、檔案利用查閱制度、檔案庫房管理制度、病變檔案的分析控制及搶救方案、檔案保密制度等，嚴格執行各項安全制度，做好安全防范措施及日常安全管理。館外安全注重安全監管，全市各級檔案部門將檔案安全體系建設納入本地綜合考核體系之中，簽訂檔案安全工作責任狀。通過電子文件中心等館室一體化平臺對全市進館單位進行在線全面監管，實時掌握各進館單位的檔案數據情況。加強對社會中介機構的監管，多次組織開展全市檔案數字化外包工作檢查。

2.2實體安全與信息安全并重

（1）嚴把人員關。制定檔案數字化的安全保管和保密工作制度，嚴格做到檔案進出及各個工作流程的登記確認，做好每份檔案流向的書面臺賬。設置檔案數字化項目的管理員、保密員、監理員，對數字化加工人員要求核實身份信息，參加專業技術和安全保密培訓，并簽訂保密協議書。

（2）嚴把監管關。在數字化加工場所配置監控系統，健全安全措施，便于實時監管。確保工作環境的網絡是獨立封閉、具備安全等級的網絡。在檔案出庫領用、預處理、數字化處理、質量檢查、裝卷歸還、數字檔案信息備份移交等環節加強監管，發現問題及時解決，防止各類檔案安全事故的發生。

（3）嚴把數據關。近年來，館藏檔案數字化成果達到三個100%要求，即：條目查詢利用100%正確；原件掛接率100%準確；掃描件質量100%滿足利用要求。工作現場全部存儲設備進行妥善處理，嚴禁檔案原件及檔案信息私自復印復制、傳閱與外借。

2.3線上安全與線下安全并行

（1）把平臺建設在市政府政務網上，并在政務網上又專門建設了共享平臺VPN虛擬專網，通過加密、認證、封裝等技術使專網變成了一條安全通道；

（2）對所有文件在傳輸前和通訊過程中均進行加密處理，即使平臺系統設備被盜，也無法提取文件信息；

（3）所有文件的打印和出證均需與專用密鑰相結合，形成登錄人員“行為”跟蹤記錄，確保掌握文件信息流向；

篇5

摘 要： 在全球網絡安全形勢日益嚴峻的形勢下，中國企業安全防御的水平較之國外仍有較大差距。中國企業把太多目光聚焦在了來自外部的攻擊和威脅，卻忽視了企業信息安全的自身防御了，如：2016年9月12日發生了一件震驚中國互聯網的大事，阿里巴巴5位參與違規搶月餅的程序員被阿里巴巴辭退了、其中還包括了阿里云云盾的安全技術負責人，這些人利用企業內部網絡編寫代碼、自動高頻率點擊按鈕、由此搶到了16盒月餅，從中也可以引出聯想：如果是彩票、股票、基金、重要限購物品的拍賣呢？ 本文從目前企業信息安全防御的現狀出發，分析了網絡安全形勢與防御水平的差距，提出了新的信息安全保障體系的設想。

關鍵詞： 云安全 信息安全保障 安全防御 IT免疫系統

一、簡介

信息安全對企業而言事關重大，這一點已越來越引起企業管理者的重視。另一方面，隨著企業業務計算環境的發展與技術更迭，企業所面對的各方面安全威脅、攻擊方式也演變得愈加復雜和多樣化，安全防御的重點也隨之變化。與此同時，隨著企業安全與業務相結合的緊密度越來越高，探索未來信息安全防御體系趨勢已成為如今企業管理者最為重視的關注點之一。

如今國內的信息安全圈，談攻防的很多，但談防御的卻很少。我們把太多目光聚焦在了來自外部的攻擊和威脅，卻忽視了企業信息安全的自身防御了。

國內的企業信息安全發展經歷了幾個重要的階段：從2004年到2009年，基于還處于建設符合合規要求，解決信息安全基礎問題的階段；2009年到2013年，基于基礎合規建設開始構思如何使信息安全保障體系更具有效性；到2014年至2016年，有效的信息安全保障體系如何落地成為探討的重點；而從2016年開始，則進入了如何在合規建設的基礎上探索有效構建下一代信息安全落地保障w系的階段。

1.目前企業信息安全防御的現狀

在全球網絡安全形勢日益嚴峻的情況下，中國企業安全防御的水平較之國外仍有較大差距。根據權威咨詢機構IDC去年的調查數據顯示，中國企業級網絡安全的投入只占企業信息化投入的1% ，而這一數字在日本則是8%，在美國更是高達10%。這一數字已經反映出中國安全行業目前所處的水平。

具體到企業業務中，目前國內許多企業對安全防御的意識同樣嚴重缺乏。企業本身的安全意識非常欠缺，在國內有些企業甚至是剛剛開始做信息化改造，遠遠未達到考慮安全問題的水平。而大多數企業在信息化建設初期也不會對安全問題給予過多的考慮或者是不全面的安全防護。因此也導致了在現階段，我國企業級安全防御能力從整體上看還是非常薄弱的。

而反觀對企業網絡安全造成嚴重威脅的黑客團體一方，則更是與當前企業整體網絡安全水平形成了鮮明的對比。基于強大的利益驅動，黑客團隊在協作分工、形成地下黑產業鏈方面已經非常成熟。如此說來，黑客團隊反而是非常強大的。從未來趨勢來看，目前企業的安全防御能力以及IT建設速度與黑客團隊相比差距非常之大，如果我們仍舊不能改變這種現狀，保持這樣的安全差距的話，未來將會造成更加巨大的差距與威脅。所以說，目前我們所面臨的整體網絡安全形勢還是非常危險的。

2.網絡安全形勢與防御水平差距的分析

為什么會造成當前如此嚴峻的網絡安全形勢與防御水平的差距？我們從兩方面進行了分析。

一方面，對于企業而言，安全事件一旦發生，其對企業核心價值所造成的影響將是非常巨大的。特別是以存儲客戶大量信息數據為核心的金融、醫療等行業，一旦發生數據泄露及攻擊，后果甚至不堪設想。而企業在這方面的防御卻往往是最為薄弱的環節。

而除去單純技術上的防御水平因素，數據本身對于企業和對于黑客的價值之間的差距也會造成許多核心數據的泄露。比如，當數據對于黑客的價值要遠遠大于對企業自身的價值時，許多數據甚至會被人為地泄露出去。如果這個局沒有法律、輿論以及市場的管控等第三方的有效監管去破解，那么僅僅只靠安全技術來對數據進行保護往往也是不湊效的。而這一點也是目前造成國內與國外安全防御所存在的巨大的差距的原因之一。

另一方面，從針對企業的核心運營的防護程度來看，中國的IT建設進展也同樣沒有歐美國家深入。隨著大數據、信息化產業的推進，企業越來越多的價值都被數字化了。只有當企業意識到：這些數據一旦遭受攻擊被泄露，企業的損失將有多么巨大，那么這時企業則會看重這些數據。

正是以上兩方面關鍵因素，構成了當前中國市場所面臨的網絡威脅形勢要更加嚴峻。與此同時我們也看到，在當下的網絡攻擊中，諸如APT 攻擊等“高大上”的手段被頻繁應用進來，面對這樣的攻擊，企業的安全防御在攻擊對抗中所起到的真實防御能力卻很微小。相反，黑客們卻率先建立起了攻擊聯盟。要想從根本上改變這種局面， 就需要明確推動整個安全產業的驅動力究竟是什么，如果不是出于對企業安全的強烈需求、而是出于對安全的免責為目的的話，安全的產業就永遠不會得到發展。當然，隨著中國市場對企業安全觀念的轉變與逐漸重視，這一現狀也會得到相應的改觀。

二、新信息安全保障體系的構想

“以不變應萬變”的安全防御思路是：構建一套穩定的防御體系，抵御萬變的網絡威脅。構建一套穩定的防御體系，不能僅依靠以往的傳統防御體系，傳統安全3大件：防病毒、IDS、IPS，這三大件雖然抵御威脅有一定的效果，但基于已知特征進行防御，也就是說針對已知威脅可以防御，但對于未知威脅只能當正常行為放過，不能滿足當今網絡安全的防御需求。通過近期的一系列的APT攻擊事件即可看出，傳統安全防御已不適合當今的防御需求。所以構建一套穩定的防御體系非常必要，下面幾個方面進行設想：

1.構筑網絡安全

系統安全：運行系統安全即保證信息處理和傳輸系統的安全。它側重于保證系統正常運行。避免因為系統的崩演和損壞而對系統存儲、處理和傳輸的消息造成破壞和損失。避免由于電磁泄翻，產生信息泄露，干擾他人或受他人干擾。

網絡的安全：網絡上系統信息的安全。包括用戶口令鑒別，用戶存取權限控制，數據存取權限、方式控制，安全審計。安全問題跟踩。計算機病毒防治，數據加密等。

信息傳播安全：網絡上信息傳播安全，即信息傳播后果的安全，包括信息過濾等。它側重于防止和控制由非法、有害的信息進行傳播所產生的后果，避免公用網絡上大云自由傳翰的信息失控。

信息內容安全：網絡上信息內容的安全。它側重于保護信息的保密性、真實性和完整性。避免攻擊者利用系統的安全漏潤進行竊聽、冒充、詐編等有損于合法用戶的行為。其本質是保護用戶的利益和隱私。

網絡安全防護手段：全面規劃網絡平臺的安全策略，制定網絡安全的管理措施，使用防火墻，（4）盡可能記錄網絡上的一切活動，注意對網絡設備的物理保護，檢驗網絡平臺系統的脆弱性，建立可靠的識別和鑒別機制。

2.云端問題與安全

緊隨云計算、云存儲之后，云安全也出現了。云安全是我國企業創造的概念，在國際云計算領域獨樹一幟。“云安全（Cloud Security）”計劃是網絡時代信息安全的最新體現，它融合了并行處理、網格計算、未知病毒行為判斷等新興技術和概念，通過網狀的大量客戶端對網絡中軟件行為的異常監測，獲取互聯網中木馬、惡意程序的最新信息，傳送到服務器端進行自動分析和處理，再把病毒和木馬的解決方案分發到每一個客戶端。

數據丟失/泄漏：云計算中對數據的安全控制力度并不是十分理想，API訪問權限控制以及密鑰生成、存儲和管理方面的不足都可能造成數據泄漏，并且還可能缺乏必要的數據銷毀政策。

共享技術漏洞：在云計算中，簡單的錯誤配置都可能造成嚴重影響，因為云計算環境中的很多虛擬服務器共享著相同的配置，因此必須為網絡和服務器配置執行服務水平協議（SLA）以確保及時安裝修復程序以及實施最佳做法。

內奸：云計算服務供應商對工作人員的背景調查力度可能與企業數據訪問權限的控制力度有所不同，很多供應商在這方面做得還不錯，但并不夠，企業需要對供應商進行評估并提出如何篩選員工的方案。

帳戶、服務和通信劫持：很多數據、應用程序和資源都集中在云計算中，而云計算的身份驗證機制如果很薄弱的話，入侵者就可以輕松獲取用戶帳號并登陸客戶的虛擬機，因此建議主動監控這種威脅，并采用雙因素身份驗證機制。

不安全的應用程序接口：在開發應用程序方面，企業必須將云計算看作是新的平臺，而不是外包。在應用程序的生命周期中，必須部署嚴格的審核過程，開發者可以運用某些準則來處理身份驗證、訪問權限控制和加密。 6. 沒有正確運用云計算：在運用技術方面，黑客可能比技術人員進步更快，黑客通常能夠迅速部署新的攻擊技術在云算中自由穿行。

未知的風險：透明度問題一直困擾著云服務供應商，帳戶用戶僅使用前端界面，他們不知道他們的供應商使用的是哪種平臺或者修復水平。

3.客戶端問題與安全

對于客戶來說，云安全有網絡方面的擔憂。有一些反病毒軟件在斷網之后，性能大大下降。而實際應用當中也不乏這樣的情況。由于病毒破壞，網絡環境等因素，在網絡上一旦出現問題，云技術就反而成了累贅，幫了倒忙。

用戶身份安全問題

云計算通過網絡提供彈性可變的IT服務，用戶需要登錄到云端來使用應用與服務，系統需要確保使用者身份的合法性，才能為其提供服務。如果非法用戶取得了用戶身份，則會危及合法用戶的數據和業務。

共享業務安全問題

云計算的底層架構（IaaS和PaaS層）是通過虛擬化技術實現資源共享調用，優點是資源利用率高的優點，但是共享會引入新的安全問題，一方面需要保證用戶資源間的隔離，另一方面需要面向虛擬機、虛擬交換機、虛擬存儲等虛擬對象的安全保護策略，這與傳統的硬件上的安全策略完全不同。

用戶數據安全問題

數據的安全性是用戶最為關注的問題，廣義的數據不僅包括客戶的業務數據，還包括用戶的應用程序和用戶的整個業務系統。數據安全問題包括數據丟失、泄漏、篡改等。傳統的IT架構中，數據是離用戶很“近”的，數據離用戶越“近”則越安全。而云計算架構下數據常常存儲在離用戶很“遠”的數據中心中，需要對數據采用有效的保護措施，如多份拷貝，數據存儲加密，以確保數據的安全。

4.主要技術手段

木馬下載攔截：基于業界領先的反木馬技術，攔截中毒電腦通過網絡下載更多的病毒和盜號木馬，截斷木馬進入用戶電腦的通道，有效遏制“木馬群”等惡性木馬病毒的泛濫。

木馬判斷攔截：基于強大的“智能主動防御”技術，當木馬和可疑程序啟動、加載時，立刻對其行為進行攔截，阻斷其盜號等破壞行為，在木馬病毒運行時發現并清除，保護QQ、網游和網銀的賬號安全。

自動在線診斷： “云安全”計劃的核心功能。自動檢測并提取電腦中的可疑木馬樣本，并上傳到 “木馬/惡意軟件自動分析系統”，隨后將把分析結果反饋給用戶，查殺木馬病毒，并通過“安全資料庫”，分享給其他所有用戶。

漏洞掃描：應用全新開發的漏洞掃描引擎，智能檢測Windows系統漏洞、第三方應用軟件漏洞和相關安全設置，并幫助用戶修復。用戶也可以根據設置，實現上述漏洞的自動修復，簡化了用戶的操作，同時更加及時的幫助用戶在第一時間彌補安全隱患。

強力修復：對于被病毒破壞的系統設置，如IE瀏覽器主頁被改、經常跳轉到廣告網站等現象，卡卡助手會修復注冊表、系統設置和host文件，使電腦恢復正常。

篇6

>> 數字環境下的圖書館信息資源保障體系建設初探 探討數字環境下的信息資源保障體系建設 數字環境下的信息資源保障體系建設 構建數字圖書館信息資源共享的保障體系 大數據時代數字檔案信息資源安全保障體系研究 高職圖書館數字化資源保障體系的創建 信息環境下高校圖書館如何構建文獻資源保障體系 住房保障體系建設對策研究 檔案安全保障體系建設研究 加快社會保障體系建設 試論檔案安全保障體系建設 檔案安全保障體系建設淺析 淺談檔案安全保障體系建設 淺析檔案安全保障體系建設 教育部查新站文獻信息資源保障體系建設探討 西部落后地區信息資源保障體系建設研究 軍事人力資源社會化保障體系建設研究 武警士官學校文獻資源保障體系建設研究 淺談基于采購角度優化高職院校圖書館文獻資源保障體系建設 數字化校園安全保障體系研究 常見問題解答 當前所在位置：.

[2] 趙雨田.淺析海關情報資料中心資源建設[J].上海高校圖書情報工作研究，2012（4）：54-57.

[3] 周琴.面向學科方向的圖書館文獻資源建設研究[J].群文天地，2012（10）：156.

[4] 龐孝梅.高校圖書館與知識服務研究[J].現代情報，2007（5）：164-166.

篇7

數字檔案信息的長久保存要求存儲介質能夠在信息的硬件環境與軟件系統中兼容，保證數字檔案信息的安全、可讀，這就要求必須采用統一標準來保證計算機硬件設備及軟件系統的更新換代能夠實現前后協調，消弭沖突。

二、我國數字檔案信息安全相關標準研究的現狀

數字檔案信息安全工作的推進，需要嚴格遵守信息化和檔案管理方面的標準和規范，可參考的相關標準和規范有：1.國家標準《信息安全技術計算機信息系統安全保護等級劃分準則》(GB17859-1999)，數字檔案信息安全保障體系建設要求各單位在配備檔案軟硬件基礎設施時，必須符合信息安全等級保護的要求，尤其是保密單位的數字檔案館建設，其軟硬件基礎設施的配備更要達到信息安全等級保護要求的二級(系統審計保護級)以上安全保護標準。《信息安全技術基于互聯網電子政務信息安全實施指南》(GB/Z24294-2009)，該標準對于我國基于互聯網電子政務信息安全保障建設起到重要的指導作用。通過分析基于互聯網電子政務系統及其所面臨的安全威脅，建立基于互聯網電子政務信息安全保障體系，提出了系統分類分域防護機制。《信息安全技術信息安全應急響應計劃規范》(GB/T24363-2009)，數字檔案信息安全隱患包括電力中斷、載體損壞、自然災害、計算機病毒、黑客攻擊、數據篡改、操作失誤等等，應當高度重視檔案數字化加工和電子文件接收等過程中的安全保密管理工作。同時應當根據信息安全應急響應計劃制訂應急預案，完善災難恢復機制，提高應急處置能力。《電子文件歸檔與管理規范》(GB/T18894-2002)，該標準明確了對電子文件的形成、收集、整理、鑒定、保管、統計、檢索、利用等全過程實現管理與監控，保證電子文件的真實性、完整性和有效性。同時明確規定了電子文件歸檔的時間、范圍、技術環境、相關軟件、版本、數據類型、格式、作數據、檢測數據等要求，保證了歸檔電子文件的質量。2.行業標準《信息安全技術終端計算機系統安全等級技術要求》(GA/T671-2006)，該標準規定了對終端計算機系統進行安全等級保護所需要的安全技術要求，并給出了每一個安全保護等級的不同技術要求。數字檔案信息安全保障體系建設應該按照信息系統安全管理要求配置數據庫的安全管理策略，正確設置數據庫管理系統歸檔模式，制定適宜的數據庫維護和備份計劃，及時驗證數據庫管理系統及數據的正確性。《信息安全技術終端計算機系統安全等級評估準則》(GA/T672-2006)，終端計算機系統承擔著大量數據存儲、處理、傳輸的工作，該標準主要對各個安全等級的信息系統中終端計算機系統的安全提出了測評方法，保證了終端計算機的安全和整個信息系統的安全。《紙質檔案數字化技術規范》(DA/T31-2005)，該標準規定了紙質檔案數字化的主要技術要求。適用于采用各種設備對紙質檔案的數字化加工處理及數字化成果的管理。《縮微膠片數字化技術規范》(DA/T43-2009)，該標準通過對縮微膠片檔案數字化的檢查、整理、掃描、圖像處理、圖像存儲、目錄建庫、數據掛接、數據驗收、數據備份、成果管理等各個環節進行規范，確保了檔案的安全。同時提出對各個環節的工作情況進行記錄，并整理匯總、裝訂成冊。3.地方標準地方標準是各省、市根據國家和行業標準制定的適合本地區實際情況的標準，比如《青島市電子文件歸檔與管理規范(試行)》、《上海市文書檔案目錄數據元規范》等。

三、數字檔案信息安全標準體系建設存在的問題與對策

從上面數字檔案信息安全標準的現狀來看，近年來我國已經相繼出臺了一些與數字檔案信息安全保障方面相關的標準規范，但從整體來看，尚不能解決數字檔案信息安全保障體系建設面臨的復雜問題，標準規范的建設還存在以下幾個方面的問題：1.標準體系過時。數字檔案信息隨著信息化技術的發展也產生了新的特點，比如異構性、多維性等特點。而我國數字檔案信息標準規范還處于傳統的對同構數據、二維數據的安全保障。2.針對性較差，缺乏系統性、全面性。目前為止，還沒有出臺專門針對數字檔案信息安全方面的相關標準規范，大多數規范只可以為數字檔案信息安全提供借鑒、參考作用，或者只是針對數字檔案信息安全的某些方面提出標準規范，缺乏完整、全面、系統的數字檔案信息安全保障的標準體系。3.國家標準較少。檔案信息從采集、處理到存儲、利用各個環節要經歷一個復雜的過程，在社會化分工越來越明細的今天，不可能由一家單位單獨完成，更需要從國家層面制定統一的標準規范，實現檔案信息資源在全社會的共享。4.借鑒吸收國外相關規范經驗較少。歐洲、美國這樣的發達國家已經在信息安全保護領域制定了一些國際標準和規范，我們在制定數字檔案信息安全領域的標準時，不應該閉門造車，而應該在充分借鑒國際標準的前提下，制定和擴展本國對數字檔案信息安全領域的標準規范。

四、數字檔案信息安全標準體系建設的對策

篇8

關鍵詞 信息系統；安全；保障體系；技術；信息技術基礎設施

中圖分類號：TP393 文獻標識碼：A 文章編號：1671-7597（2013）14-0137-02

油服信息技術應用與集中程度的不斷深入提高，信息安全保障體系建設工作已成為信息化建設過程中的重要組成部分。油服具有地域分布廣、業務復雜多樣等特點，在信息安全形勢多變的情況下，獨立分散的安全措施已無法更好地滿足安全防護需求。信息安全若不能得到很好的保障，將給公司的業務正常運作及辦公穩定性、高效性和有效性帶來影響。因此，需完善公司的信息安全政策方針、規劃并建立符合油服實際情況的信息安全保障體系，采用先進的安全管理過程模式，完善信息安全管理制度與規范，提高員工的信息安全意識，提升風險控制及保障水平，以支撐油服核心業務的健康發展。

1 信息安全保障體系

1.1 信息安全保障體系建設需求

油服在信息安全方面已部署了部分信息安全防護措施，如劃分安全域、部署邊界訪問控制設備、配備入侵防御系統、部署統一的防惡意代碼軟件等。與此同時，每年都開展信息系統安全測評工作，對公司的信息系統進行安全等級測評差距分析、安全問題整改咨詢核查以及滲透性測試等，從而能夠較為全面的掌握當前各信息系統和信息安全管理制度的建設、運維和使用情況，以提高信息系統的安全防護能力。但從總體來看，仍缺乏信息安全保障體系框架，總體安全方針和策略不夠明確，安全區域劃分不夠細致，網絡設備和重要服務器的安全策略缺乏統一標準，未部署安全運維管理中心，無法真正起到縱深安全防御的效用。

1.2 信息安全保障體系目標與定位

信息安全保障體系的建設要結合油服的信息安全需求、網絡應用現狀及未來發展趨勢，在風險評估的基礎上，明確與等級保護相適應的安全策略及具體的實施辦法。對全網進行合理的安全域劃分，技術與管理并重的同時，以應用與實效為主導，從網絡、應用系統、組織管理等方面，保障油服信息安全，形成集檢測、響應、恢復、防護為一體的安全保障體系。

2 油服信息安全保障體系架構模型

油服信息安全保障體系框架采用“結構化”的分析和控制方法，縱向把保護對象分成安全計算環境、安全區域邊界和安全通信網絡；橫向把控制體系分成安全管理、安全技術和安全運行的控制體系，同時通過“一個安全管理中心”的安全管理概念和模式，形成一個依托于安全保護對象為基礎，橫向建立安全管理體系、安全技術體系、安全運行體系和安全管理中心“三個體系、一個中心、三重防護”的信息安全保障體系

框架。

2.1 安全管理體系

根據等級保護基本要求的相關內容，信息安全管理體系重點落實安全管理制度、安全管理機構和人員安全管理的相關控制要求。

2.2 安全技術體系

根據等級保護基本要求的相關內容，通過安全技術在物理、網絡、主機、應用和數據各個層面的實施，建立與實際情況相結合的安全技術體系。

2.3 安全運行體系

根據等級保護基本要求的相關內容，信息安全運行體系重點落實系統建設管理和系統運維管理的相關控制要求，并與實際情況相結合，形成符合等級保護要求的信息安全運行體系

框架。

2.4 安全管理中心

根據等級保護基本要求和安全設計技術要求的相關內容，通過“自動、平臺化”的方式，對信息安全管理、技術、運行三個體系的相關控制內容，結合實際情況加以落實。

3 油服信息安全保障體系架構設計

3.1 安全管理體系架構設計

信息安全管理體系架構的設計可從以下3方面開展。

3.1.1 信息安全組織

油服信息安全組織為信息安全管理委員會，各業務部門為信息安全小組，部門經理為本小組的第一安全責任人。同時，定義了組織中各職能角色的職責，以此指導信息安全工作開展。

3.1.2 信息安全制度

油服的信息安全制度一方面能及時反映公司的信息安全風險動態，便于靈活地修訂與更新；另一方面確保信息安全技術與管理人員及用戶能夠了解哪些是禁止做的，哪些是必須做的。

3.1.3 人員安全管理

在人員安全管理方面，可以通過對人員錄用、調用、離崗、考核、培訓教育和第三方人員安全幾個方面進行設計。

3.2 安全技術體系架構設計

信息安全技術體系架構設計可從以下3個方面開展。

3.2.1 信息安全服務架構

信息安全服務架構設計分為保護、檢測、響應與恢復四個環節，實現對信息可用性、完整性和機密性的保護，監測檢查系統存在的安全漏洞，對危害系統安全的事件行為做出響應

處理。

3.2.2 信息技術基礎設施安全架構

信息技術基礎設施安全架構以網絡安全架構為主體，結合系統軟硬件進行安全配置和部署。網絡安全架構的規劃根據網絡所承載的應用系統特性和所面臨的風險劃分不同的網絡安全域，并實施安全防護措施。

3.2.3 應用安全架構

應用系統的信息安全保障是在信息技術基礎設施安全架構上，更多地關注已有的信息安全服務是否被充分利用。為滿足業務系統對信息安全的需求，通過在業務系統中實現集成保障信息安全的機制，從而達到信息安全技術控制要求。

3.3 安全運行體系架構設計

油服信息安全運行體系架構設計主要從以下3個方面開展。

3.3.1 信息系統安全等級劃分

油服信息系統安全等級劃分從信息資產等級、網絡系統等級和應用系統等級三個方面進行定義。

3.3.2 信息安全技術控制

信息安全技術控制是由系統自身自動完成的安全控制。主要在信息系統的網絡層、系統層和應用層，包含身份鑒別、訪問控制、安全審計等五大類通用技術。

3.3.3 信息安全運作控制

信息安全運作控制是在油服業務運作和信息技術運作過程中進行實施的運作類安全控制，包括控制針對的主要風險點及具體分類。

4 結束語

在油服業務不斷拓展，國際化步伐不斷深入的過程中，信息系統在公司發展中的作用和地位日趨重要。公司對信息系統的依賴性也在不斷增長，信息安全也愈發重要。健全油服信息安全保障體系，為實現“制度標準化、工作制度化”的管理常態奠定了堅實的基礎。油服信息安全保障體系不僅從物理網絡安全、系統應用安全、數據和用戶安全等方面入手，還從安全域劃分、安全邊界防護、主動監控、訪問控制和應急響應等方面綜合考慮，進一步加強落實信息安全等級保護的基本要求，初步實現對網絡與應用系統細粒度、全方位的安全管控，從而更為有效地提升了油服在信息安全方面的管理水平。

參考文獻

[1]馬永.淺談企業信息安全保障體系建設[J].計算機安全，2007（7）：72-75.

[2]王朗.一個信息安全保障體系模型的研究和設計[J].北京師范大學學報（自然科學版），2004（2）：58-62.

[3]黃海鷹.信息安全保障體系建設研究[J].數字圖書館論壇，2009（9）：13-15.

篇9

關鍵詞：檔案安全體系；問題；解決方案

中圖分類號：G271 文獻標識碼：A 文章編號：1001-828X（2012）12-00-01

如何科學構建檔案安全體系，全方位做好檔案安全保障工作，是檔案界共同關注的問題，也是需要我們認真研究的重要課題。

一、檔案安全體系建設的必要性

這些年，地震、水災、泥石流等自然災害以及戰爭、暴亂、恐怖襲擊等人為災害時有發生，這些事件無不對檔案安全造成嚴重威脅和損壞，給檔案工作者敲響了警鐘，人們在總結經驗教訓與反思中，深刻認真到檔案安全工作的重要性。因此建立檔案安全體系，提高安全保障能力，預防各種自然和人為災害的侵襲是當前各級檔案部門的迫切任務。此外，建立檔案安全體系也是應對新技術條件下，數字檔案信息安全挑戰的需要。隨著信息技術的廣泛應用，給檔案信息的安全帶來新的隱患和挑戰。一方面，各級檔案館普遍開展館藏紙質檔案數字化工作，數字化檔案信息成海量增長；另一方面，隨著電子政務的推進，電子文件和歸檔電子文件將逐漸成為檔案管理的主角，這些以數字形態存在的檔案信息安全問題就成為我們面臨的重大問題。如何確保電子文件長期不失真、不失密、不丟失，而且若干年后還能被讀取利用，是我們要解決的迫切問題。所以，建立檔案安全體系的提出正當其時，意義深遠。建立檔案安全體系，可以從根本上解決檔案保障實施過程中的關鍵性難題，從根本上提高檔案安全保障技術的整體水平。

二、目前存在的主要問題

（一）法規、標準缺乏配套

在我國現行的檔案法律法規中，可以說在上位法里，檔案安全工作處于無統一規劃、統一協調和統一領導制度的狀態。例如《檔案法》少數條款里有關于檔案安全的規定，但作為檔案工作的基本法，從全局和權威的規劃全國檔案安全工作的角度，缺乏與其自身地位相稱的內容，沒有形成檔案安全法律體系。在下位法里，檔案安全工作的規定是“散”的狀態，即檔案安全規定散見在各類法規、規章里，相互缺乏有機聯系，在整個檔案法律體系中，檔案安全方面的規定沒有形成上下呼應、互補的完整體系。

（二）理論研究不夠

20世紀90年代以前，檔案安全保障主要以實體檔案為主。90年代后，隨著檔案信息化的推進，檔案保護工作出現了新特點，內涵不斷豐富，范圍更加寬泛，不僅包括實體檔案的安全，而且覆蓋了電子文件、數字檔案以及檔案信息的安全。給檔案工作的理論和實踐帶來巨大的影響，檔案安全體系建設中出現的新情況、新問題、新技術對檔案理論研究和科學研究提出了新的要求。然而，由于數字檔案出現的時間不長，關于數字檔案安全保障的理論研究有所滯后。以檔案安全保障為主題的研究、檔案保障體系基本框架及相關理論的研究、檔案安全保障體系機制、體制創新研究還比較缺乏，有些研究還比較簡單化、模式化，理論深度尚顯欠缺，還沒有形成一個完整的檔案安全保障體系的理論框架。

（三）經費投入不足

我國檔案安全保障經費的投入主要以政府為主。檔案信息化建設和國家重點檔案搶救與保護工作的投入，都是以政府財政為主，依靠國家撥款，經費來源單一。盡管這些年來中央和地方財政不斷加大對檔案保護方面的資金投入，但面對繁重龐大的保護任務，相對檔案保護的需求而言，這些投入仍顯不足。由于經費不足，勢必使檔案保護工作的開展受到制約，影響檔案安全體系總體效益的發揮。

（四）應急機制不健全

目前我國各級檔案館中沒有建立應急機制和應急預案體系的現象比較普遍，即使已經建立起的應急預案體系中，主要是針對各種自然災害的防災預案，并且大多數是綜合性的自然災害應急預案。但由于自然災害的多樣性，僅憑一個綜合性的應急預案不足以應對各種自然災害。另外，檔案館還缺少應對人為因素造成的突發事件的應急預案。從應急預案的內容上來看，基本上是一些原則性的規定，缺乏系統性、具體性，可操作性不強的現象比較突出。

三、思考和建議

檔案安全體系是檔案工作在新形勢下提出的一個綜合性的系統工程，涉及檔案收集、整理、保管、利用等各個環節，貫穿于檔案管理的整個過程，包含安全法律法規、安全規章制度、安全基礎設施、安全組織管理等多方面的內容，因此必須統籌考慮，整體推進，才能做好檔案安全保障工作。

（一）提高認識，樹立新的檔案安全觀念

檔案安全體系建設的首要任務是提高人的安全意識，把檔案安全視隨著檔案工作的發展，檔案信息化建設的不斷推進，檔案安全管理的內涵在不斷豐富，無論是從內容還是范圍，無論是工作環境還是管理手段都比過去有很大的發展和變化。因此我們必須樹立新的檔案安全觀，以發展的、全面的眼光審視檔案的安全保障工作，從實體安全到信息安全，從單純保管到管控并重，從單一的傳統保管向全面的檔案安全體系建設轉變。

（二）建立健全檔案安全法規與標準

首先，從國家層面應該對全國檔案安全工作做全盤統籌和規劃，從法律上確定檔案安全工作的原則、監管主體、義務主體、職責主體、安全保障措施、查處制度、法律責任等，搭建檔案安全工作的完整體系。其次，地方和各級檔案部門要依據國家的有關法規，從不同層面制訂檔案安全管理的相關規章和具體制度，確保檔案安全保障工作有法可依，有章可循。與此同時，國家檔案行政主管部門還要加強檔案安全標準規范的建設，它包括基礎標準、管理標準、業務標準、技術標準等，形成一套科學的、合理的標準規范體系，它是對檔案安全有效管理的前提，也是確保檔案安全目標得以實現的有效途徑，這是一個長期逐漸深入和完善的過程，所以要統籌規劃、突出重點、分步實施，既要突出全面建設的要求，又要對其中迫切需要的、技術水平相對成熟的作為近期標準工作的重點，加快標準的研究制定和，從而使檔案安全管理規范化水平得以全面提升。

篇10

關鍵詞：電力信息系統 信息安全防護 安全域 分級分域

中圖分類號：TP309 文獻標識碼：A 文章編號：1674-098X（2016）12（b）-0100-02

電力公司的安全防護體系根據省、市、縣安全防護不同層面防護要求各有側重、相互支撐、互為補充。根據各信息系統重要程度設計安全防護體系“三橫四縱”的總體架，建立信息安全防護體系。

1 信息安全防護策略設計目標

信息安全保障體系的建設緊緊圍繞安全管理、安全技術和安全運維3個方面，在每個方面都有相應的具體目標。達到這個目標就能為綜合服務平臺構建一個多層次、多角度的立體縱深防御體系。

安全管理的建設目標：

確定安全組織和責任劃分，確定安全策略，確定信息資產分類和分級。

實現安全變更管理、安全補丁管理、安全備份管理、應急響應計劃、業務持續性計劃、安全核心流程。

安全培訓與教育、安全控制要求：

對信息資產進行風險評估，達到ISO27001管理標準。

安全技術的建設目標：

根據業務需求劃分不同的安全域，安全邊界進行防護。

實現安全系統強化功能、建立網絡和主機入侵檢測機制、實現高危數據加密傳輸、關鍵系統的日志審計、建立病毒防范體系、建立身份認證體系、訪問控制體系、遠程訪問安全機制。

建立數據安全存儲體系、時間同步機制、集中安全審計體系、安全事件管理平臺。

安全運維的建設目標：

建立定期風險評估機制。

定期對日志進行審計、定期進行滲透測試。

完善安全信息上報機制、定期對安全策略和標準進行評估和修訂。

顯示安全的運維外包。

2 電力信息安全建設體系內容

電力信息系統信息安全保障體系采用了“三橫四縱”的總體架構，即橫向上分為3個層次，分別為應用層、技術層、管理層；技術層次中縱向又分為4種主要體系，即以基礎安全服務設施、數據安全保護、網絡接入保護、平臺安全管理為支柱，信息安全基礎設施為基礎，通過信息安全管理體系為業務應用提供可靠的安全保障。

一是應用層。這是安全保障體系的主要對象。信息化建設的終極目標是提供給用戶好用、易用、夠用的應用系統，應用系統是為了滿足不同用戶的不同業務需求，安全保障體系保障的核心就是應用系統及其數據。

二是技術層。這是信息安全保障體系的主要體系。目前包括技術支撐體系、技術保障體系、網絡信任體系、安全服務體系。這4種體系已經經過多年的探索和建立，應該說已經覆蓋了技術上的所有方面。

三是管理層。包括等級保護安全策略、安全管理制度、法律法規和技術標準。通常說“三分技術、七分管理”，再好的技術也需要完善的管理才能保證技術發揮最大的效能。

3 信息安全防護設計

電力系統是一個由內網、外網兩種網絡域構成的龐大信息系統。各個網絡域執行著不同的服務內容：內網是一個完整的電力系統辦公自動化環境，外網擔負著與公眾間信息溝通的責任。

如此復雜的應用環境給系統帶來了大量潛在的安全隱患：黑客利用外網或專網攻擊內部網絡、數據在傳輸過程中的泄露、網頁遭篡改、偽造身份進入系統、操作系統漏洞、病毒等。這些安全隱患不可能依靠某種單一的安全技術就能得到解決，必須在電力信息系統整體安全需求的基礎上構筑一個完整的安全服務體系。

構建一個完整的安全防護體系有組織地實現上述安全需求，我們提出的安全保障平臺由基礎安全服務設施、數據安全保護、網絡接入保護、平臺安全管理組成。

（1）基礎安全服務設施。

基礎安全服務設施防護設計主要包括部署平臺的應用系統的身份認證與訪問控制、基礎環境安全保護（訪問控制、防火墻、入侵檢測、安全審計、VPN）。

（2）數據安全保護。

數據安全保護方案是為部署在電力信息系統提供數據傳輸、數據訪問和數據存儲備份恢復的安全保障措施，主要分為4類：應用保護、數據傳輸交換保護、數據備份與恢復設計。

（3）網絡接入保護。

統一管理集中建設互聯網接入點，實現電力各部門互聯網的安全接入和可管可控可剝離；各部門在統一的安全技術體系下，根據各自信息下發指令信息包括針對省級安全等級，建設、升級、完善安全系統；依托平臺建設省級安全接入機制，實現與接入統一監控、統一管理和統一服務。

（4）平臺安全管理。

安全管理體系是信息安全保障體系建設的一個重要環節，安全管理體系的建設內容包括：建立完善等級保護安全管理機構、安全管理制度、人員安全管理、系統建設運維管理、系統運維管理。

4 結語

該課題對電力公司信息安全防護策略和防護設計進行研究，電力信息化安全服務平臺也基于電力信息系統安全需求設計安全防護體系，面向系統管理員、安全管理員提供安全保障，為各級信息化安全管理對安全監管、信息共享和提供安全保障支撐。

參考文獻

[1] 高鵬，范杰，郭騫.電力系統信息安全技術督查策略研究[C]//電力通信管理暨智能電網通信技術論壇論文集.2012.

[2] 余勇，林為民，俞鋼.電力信息系統安全保障體系的研究[C]//2004年世界工程師大會電力和能源分會場論文集.2004.

[3] 陳秋園.淺談電力系統信息安全的防護措施[J].科技資訊，2011（14）：147.