时间:2023-06-13 16:20:12
序论:写作是一种深度的自我表达。它要求我们深入探索自己的思想和情感,挖掘那些隐藏在内心深处的真相,好投稿为您带来了七篇安全保障体系建设范文,愿它们成为您写作过程中的灵感催化剂,助力您的创作。
关键词:电子档案;实体档案;信息安全
1引言
档案信息资源作为一种重要的社会资源,保障其安全是十分有必要的。但是在社会的信息化发展中,由于法律法规的滞后、保存环境的不合理、保存技术的不成熟、管理人员专业水平的欠缺,使得档案信息的安全性受到了极大的挑战,因此档案信息安全保障体系的建设需要尽快完善。
2档案信息安全保障体系的建设现状
保障档案信息的安全具有很重要的现实意义,然而在实际操作中,保障档案信息的安全工作受到了很大的阻力和压力。第一,相关法律法规制度的建设相对滞后,给了很多不法分子可趁之机,使其可以低成本地、轻易地盗取、买卖、损坏档案信息[1]。第二,档案信息保存困难,尤其是实体资料。由于保存时间较长,很多档案资料存在字迹模糊、无法辨认的问题;还有的在较长的保存时间中,经历了很多任档案管理员的整理,使得查找起来十分困难,比如文字图片资料混合在一起、标签缺失、编号混乱等等。电子档案的保存也一样不容乐观,因为我国的电子档案信息化保存的发展历史还比较短,安全系统还不够完善强大,所以常常会受到黑客的攻击和病毒的侵扰;高素质、高技术的专业电子档案信息管理人员的缺失,也极大的延缓了档案信息电子化保存的工作进度。
3档案信息安全保障体系建设问题的解决策略
3.1完善法制保障
国家层面上,相应法律法规的修订和完善是保证档案信息安全保障体系健康安全有序发展的前提条件和依据。在修订中,也要注意循序渐进,多借鉴国外的相关成功经验,同时找到适合国内国情的特色方法。企业层面上,应当在规则允许的范围下,合理运用先进的技术和方法做好档案信息安全保障体系建设工作,管理分工明确、责任具体落实到个人、自己负责好自己的部分、尽量不要出错。在合作中逐渐形成有效有序的安全管理系统,确保每一步都有理有据、安全可行。从业人员层面上,档案信息安全工作人员需要具备较强的法律意识、服务意识、责任意识和过硬的专业技术能力,充分发挥每一位从业人员的主观积极性和创造性,并定期开展相关培训活动和交流会,使其工作能力不断提升,从而为档案信息安全保障体系的顺利建设奠定基础。例如近日铜仁市纪委市监委出台的《铜仁市市管干部廉政档案管理暂行办法》,通过法规的出台使1300余名市管干部档案信息安全得以保障。该《办法》遵从“一人一档”、“逐步完善”、“动态更新”的原则,同步建立电子廉政档案、纸质廉政档案和文书档案,全面收集归档反映全市在职市管干部廉政情况的信息和材料,梳理形成清单,实现一人一档、全面覆盖。同时,廉政档案实行集中管理、由专人负责、保持动态维护更新、严格执行保密相关规定,保证廉政档案的使用安全。
3.2加强管理保障
3.2.1改进工作方法
在电子档案保存过程中,首先硬件技术要能相匹配,计算机设备、扫描仪以及安全的移动硬盘都是不可缺少的。其次,在扫描过程中,也要在保证内容完整性的同时保证字迹的清晰度。再次,在保存过程中,既要严格清理存储在电脑中的信息,避免被盗,也要做好备份工作,防止丢失。最后,不把鸡蛋放在同一个篮子里,做好档案的分类和多重备份工作,也是抵御风险的一种有效办法。除此之外,在档案信息安全管理中,也可以使用防火墙技术、设置高级密码技术、高级人脸识别技术、指纹识别技术、多重密码防护技术以及软件定期查杀病毒的方式来增强信息的安全性。只要每一个步骤都严格控制,形成有效的安全保障体系,就可以避免不必要的损失,增加档案信息的安全系数。例如资阳区社保服务中心的业务资料整理归档工作,其按照档案管理规范化标准,全面收集应归档的各类文件、业务资料以确保档案的完整性;并且按照业务资料归档要求,规范化、系统化的完成装订、整理、分类、编号、装盒整理工作;同时按照档案保管要求,文件、资料的归档全部使用专用档案盒,并规范档案管理、保管、借阅等各项制度。每一步工作都认真负责、严格落实,以确保档案的保密性和安全性。
3.2.2提升人员素质
由于在档案信息安全工作中会遇到各种各样的突况,对档案信息安全工作人员的业务水平提出了很高的要求。因此,每一个从业者都必须不断提升自己的专业知识,做好行业培训工作,丰富自己的知识体系,提高自己的服务意识和安全隐患意识。并且需要多与各自领域的专业人才交流,强强联合以开阔思路,优化工作方式。
3.3强化技术保障
技术支持保障属于档案信息安全保障体系中的刚性保障,对整个体系的构建至关重要。对于实体档案,主要考虑保存环境与档案修复两个方面。其中配备合理的保存环境是保障实体档案信息安全的基础。保存环境的优劣会直接影响到档案的保管情况。保存环境的合理设计与建造能使档案得到更加长久、安全、完整的保护。当档案在保管、利用的过程中出现字迹模糊、纸张老化、硬盘受损、胶片褪色等现象时,修复技术的存在就是挽救实体档案信息安全的最后一道屏障。纸质档案修复技术主要包括:去污与去酸技术、加固与修裱技术、字迹恢复与显示技术等,而磁盘、光盘受损后目前技术还很难做到有效恢复[2]。
【关键词】电力信息;安全保障体系;建设
0 引言
在当前我国的互联网管理中心有超过90%的境内外的黑客进行过攻击以及侵入,其中电信以及电力、政府等领域对这一信息的安全威胁问题得到了重视。在最近这几年的发展中,我国已经在信息系统的等级保护政策上进行了大力的推行,这一政策的实行对信息系统的抵御风险能力有了很大程度的提高,从电力信息安全体系建设的实际来看,还存在着诸多的安全漏洞没有及时科学的进行处理。
1 电力信息系统安全体系建设的原则
对电力信息安全水平进行提高能够有效的对电力系统安全事件的发生率有效的降低,关于信息系统的安全建设并不是仅仅局限于安全产品的集成,要在电力信息安全系统建设以及管理建设和策略建设方面得到重视,而对于这一安全体系的建设完备的标志也要具备安全管理体系以及技术完备的成功建立和安全策略的完善及安全团队的成功建设等几个重要的要素。
在电力信息系统的安全保障体系方面,不仅要对电力系统整体安全水平进行提高,同时还要对其中的信息安全的隐患进行消除,电力系统对我国的国民经济的发展起到了决定性的作用,由于其自身具有的特殊性,故此在建立电力信息系统的安全保障体系中就要遵循几个基本原则,即:法定原则、动态原则、均衡原则、立体性原则[1]。
其中法定原则根据我国的有关规定的内容可以得知,为了能够满足管理信息大区对生产控制大区数据的访问,生产控制大区和管理信息大区间要设置经国家相关部门检测的安全隔离装置,进而起到安全访问的作用。倘若是对这一原则没有遵循,那么就很可能在电网生产上存有安全隐患。在动态原则方面就是任何的系统在安全保障的提供上是一成不变的,在科技的不断发展过程中,各种的安全问题也不断的涌现,所以在对方案进行策划的时候都要能够在可扩展性的方面进行充分的考虑,并能够及时的提供安全系统维护以及预防和应急的相关服务[2]。在均衡原则方面指的是在整个的电力信息安全体系的建设要能够按照电力的生产安全目标进行,要在各个产品以及技术上进行效益分析。立体性原则方面就是在电力信息安全保障上应该在各个层面得到重视,严格的按照立体性的原则进行实施。
2 电力信息系统在当前的现状问题分析
电力系统的组件自身存在着脆弱性以及缺陷,由于在对其组件的设计、组装以及制造的过程中在各种因素的影响下,就可能存有多方面的隐患。在硬件的组件方面主要是来源于设计,由于设计问题的因素就在物理的存取上存在隐患。软件组件的安全隐患主要是设计以及软件工程的实施过程中所留下的问题,主要是表现在安全漏洞上。还有是网络以及通信协议方面的安全隐患,因特网自身就是没有明确物理界限的网际是虚拟的网络现实,这在安全问题上也较容易发生。其次是自然威胁以及意外的人为威胁和恶意的人为威胁。
在电力信息系统方面的发展过程中同时也存在着一些问题,首先就是人员信息安全意识的薄弱,当前的电力企业对于信息的安全以及保密的意识还有待进一步的提高,各个单位领导以及相关的工作人员对于信息安全的问题没有得到充分的重视,在个人的办公终端有的不设置口令或者是口令的密度较低,对于软件的安装以及下载都是没有授权的,这些问题都是源自对信息安全意识的薄弱[3]。另外就是在电力信息的安全管理机制方面还不够完善,制度的执行力度还不够,在相关人员的配备上没有做到位,安全监管职责也没有得到有效的落实,对于信息安全事件还存在着不通报以及通报不及时的现象,并且在信息安全的原因分析方面还不够充分,对于整改的措施没有落实到位,同时在电力信息安全事件的调查处理以及考核机制方面还有待进一步的完善,在其信息系统的边界安全防护方面还存在着能够被黑客高手利用的一些较为薄弱的环节,在安全体系以及可评估的安全模型方面比较的缺乏。
3 电力信息安全保障体系的建设方案探究
通过以上对于我国的电力信息安全问题的分析就可以有针对性的对其进行建设信息安全保障体系,从而有效的确保信息的完整性以及机密性和可控性等等。
对于电力信息的安全它主要是在企业的信息安全策略的指导下和管理的体制下通过运作机制然后再借助一定的手段来进行实现的,其中就有安全管理以及安全技术措施和安全运行、安全策略,如下图所示。
图1 电力信息安全模型
在电力信息安全模型进行运转之后就会形成一套管理规定以及运行记录的文档,具体的可以将其分为四个重要的文档,与安全策略相对应的是策略政策,和安全管理相对应的是管理制度技术规范,和安全运行相对应的是作业指导书以及操作规程和记录性文件,与安全技术措施相对应的是管理制度技术规范[4]。
在具体的方案建设上首先要建立并完善电力信息安全的工作机制,切实加强组织以及领导,将信息安全归纳到电力的安全生产体系当中,要把信息化建设和信息安全的保障工作得到兼顾,把信息安全管理制度落实到责任部门,并明确责任人员,同时在人员信息安全的意识方面也要得到加强。在电力信息安全管理制度体系方面要不断的进行完善,统筹规划突出重点,强化信息安全规章制度的落实工作,根据相关的规划,要对电力信息系统安全重大任务以及项目进行继续的落实,在电力信息安全体系建设规范要尽快的出台并落实。对于电力二次系统安全防护规定要严格的得以执行,加快信息安全的管控手段建设,强化信息安全应急和通报工作,对于信息安全的保密工作要能够高度重视,对全员信息安全意识要进行提高。
在安全系统的建设过程当中,最为重要的就是整体系统的规划,可以将其分为三个重要的步骤,即:结构安全以及流程安全和对象安全。在安全管理建设方面它和安全策略的建设的关系非常的密切,而管理又是在策略的指导下进行的,在安全系统的建设方面主要包括网络防火墙以及漏洞扫描等,所以要能够建立集中式以及全方位和动态的安全管理中心[5]。安全管理中心建设包含着机构的设立以及基础建设和智能的明确等,而在信息安全综合管理系统方面它主要包括数据分析功能以及应急报警功能等。另外在电力信息的安全运行方面要进行有效加强。
4 结语
对于电力信息系统的安全体系的建设,要能够把安全保障以及安全管理得到有机的结合,在我国的电力信息化的不断发展以及推进的过程中,信息系统以及网络安全管理已经愈来愈广泛的得到了电力企业的重视,这对于保障电力信息的安全有着极其重要的作用。
【参考文献】
[1]李志茹,张华峰,党倩.电网企业信息系统安全防护措施的研究与探讨[J].电力信息化,2012(04).
【关键词】工程训练 安全保障 体系建设
【中图分类号】G637 【文献标识码】A 【文章编号】1009-9646(2008)09(a)-0015-02
1 前言
工程训练是指高等院校根据学生的特点,在特定的工程实践环境中对机械制造、电工、电子及其它基础技术进行高度综合的工程技术训练,目的是培养学生的综合工程实践能力。此处的工程实践能力并不仅限于实践动手能力,还包括对事物的观察能力和分析能力,敢于接触实际、提出问题、解决问题的能力,以及处理工程实际问题所需的协调能力,创新能力等。毫无疑问,各高等院校的工程训练中心已成为实现上述目的的重要基地。在现代大工程背景下,工程训练包含丰富的内涵,其中安全意识的培养、安全技能的提高是工程训练的重要组成部分,也是实施素质教育的核心内容之一。安全意识可以在训练过程中逐步加强和固化,这对学生今后的职业生涯乃至终生都大有益处。随着各高等院校对工程训练基地建设的高度重视,投人大量的人力、物力和财力,对训练场地进行了改造、扩建或新建,对设备进行了补充或更新。学生在训练过程中既要进行车、钳、刨、铣、磨、铸、锻、焊、电工、电子等基本操作及工艺方法的训练,又要接受数控加工、特种加工等新技术、新工艺的基本训练,必然要接触大量的机床设备、工艺设备、电工设备、测量仪器仪表、工卡量具,而绝大多数学生训练前对训练设备知之不多,加上训练时间较短,学生训练换组频率高,指导教师对学生不易深入了解,学生动手能力参差不齐,因此在训练过程中存在大量的安全隐患。近年来在工程训练中安全事故时有发生。一旦出现安全事故,在造成机器设备受损的同时,也易导致人员受伤。万一出现人身安全事故,不仅对学生及其家庭会造成极大的伤害,也会对学校造成难以挽回的损失。因此,如何搞好工程训练,在加强教学改革,提高工程训练质量,强化学生的整体素质和就业竞争力的同时,不断培养学生的安全意识和安全技能,建设工程训练的安全保障体系,确保人员和设备的安全,是各高等学校校必须解决的迫切问题。
2 工程训练安全事故的类型及原因分析
根据现在的工程训练流程,学生分配到训练车间之前都必须进行相应的安全教育。尽管如此,在训练过程中还是会出现这样或那样的安全事故,其产生的原因也各不相同。通过调研和对多起安全事故的原因分析,表明工程训练的安全隐患存在于整个训练过程中,安全事故的发生是多种因素综合作用的结果,主要有以下三个方面的原因。
2.1 训练人员的不安全行为
训练人员包括指导人员(教师)和受训人员(学生)。虽然个别指导人员由于安全意识淡化、责任心不够、自身技能不高等原因也会产生不安全行为,从而引发安全事故。但绝大多数不安全行为是出现在学生身上。常见的有以下几种:
(1)违反操作规程引发的不安全行为。工程训练是大多数学生第一次接触工业生产的实践活动,学生对每个工种易产生浓厚的兴趣和强烈的求知欲望。在具体操作时,有些同学以大胆实施自己的想法或试验来获得成功的喜悦,但因缺乏相关的专业知识和操作经验而出现安全事故或安全隐患。如在数控车床训练中,违反操作规程而造成设备损坏;磨工实训中,个别同学想加快磨削速度,不按照规定的进给量来磨削,从而造成打飞磨削工件或砂轮破碎,造成操作者或他人受伤害的严重后果。又如,有的同学对车削下来的长长的带状金属切屑感到十分好奇,爱不释手,与同学争抢 、玩耍而把手划伤。
(2)因心理恐惧、焦虑情绪引发的不安全行为。个别同学因受安全教育课血淋淋的安全事故的负面影响过大、切削深度过大或车刀变钝而出现噪音时,个别有恐惧心理的同学就不知所措、惊叫并离开操作岗位,而不是立即关掉车床使车床停止运转,从而造成车床受损;个别同学在用三爪卡盘装夹工件时,当指导老师巡视到他(她)身边时,情绪异常紧张、思维混乱,三爪卡盘未拧紧或扳手还未从三爪卡盘上卸下,就动手开动车床,从而产生严重安全事故。
(3)因训练态度不端正引发的不安全行为。个别学生存在重理论、轻实践的错误思想或对工程训练不感兴趣 ,训练过程中不认真听老师讲解设备的工作原理,不仔细观察示范操作,对不懂的问题不闻不问、心不在焉。这种消极情绪必然会导致安全隐患或安全事故。如个别学生在操作车床时,不听指导老师的讲解和反复强调,在车床运行时就给车床主轴变速,容易出现严重损坏车床的安全事故。
1.2 训练设备及训练环境的不安全状态
有的工程训练设备维修保养不够、对一些失效的零部件没有及时更换;有的训练车间设备布置不当,缺乏必要的警示标志和防护设施等,也会存在极大的安全隐患。如有的学生做清洁时被机床悬伸物撞伤、搬运材料时因通道不畅而碰伤等。
1.3 训练安全管理的缺陷
虽然工程训练中对各工种都制定了相应的安全操作规程,但有时执行不力,管理不严。少数学生不按操作规程严格办事,心存侥幸,麻痹大意,从而带来一些无法预料的安全事故。如个别学生不用毛刷清除切屑,而用手去拨抹,造成手指划伤;有些学生因在车间拉扯打闹而发生碰伤等。
3 工程训练安全保障体系建设的内容和方法
实践表明,建设完善的工程训练安全保障体系是实现安全训练的根本保证。为此,重点需做好下列工作:
3.1 认真做好安全环境的建设
建立安全的工程训练环境,对安全保障具有举足轻重的作用。各高等院校应该投入必要的经费,确保训练场地的面积、空间大小、照明采光度、通风、地面防滑、设备台套数、机床的朝向和间距、通道的畅通、安全栏杆的设置等条件符合规范标准,这不仅是安全保障的基础,而且对培养学生的安全意识能起到潜移默化的作用。必须根据学校这一特定的工程训练环境和学生这一特定的训练对象建立更具体的安全环境要求。考虑到学生的安全知识与安全意识的不足,对训练中心各个涉及安全的地方都应标出明确而醒目的提示标志或安全操作要求。如对易燃易爆气体、液体(如乙炔、氧气及各种油类等),应有严禁烟火的警示标志、安全操作规程和责任人姓名;对训练中心所有的电源开关,都应贴有‘不得自行合闸’的标志,各种用电设备、带电操作的训练台,都应有‘用电注意安全’ 的标志;对各种防火设施,除了标志外,还应有简单的用法提示。这些标志与提示,能提高学生的安全警觉,对营造安全训练环境是十分有益的。
3.2 坚持不懈地抓好安全宣传教育
要不断强化“工程训练、安全第一、预防为主”的指导思想,认真把好“三级”安全教育关,即做好入训安全教育、车间安全教育和岗位安全教育。强化训练纪律和安全规章制度。在安全教育中,应注重对训练环境的介绍、对安全隐患和安全事故的原因分析。要重点告诉学生各种安全事故的预防措施,不必片面过分渲染安全事故造成种种伤害的案例,这样既能引导学生在思想上高度重视安全训练,又可帮助少数同学克服对工程训练的恐惧心理。这对预防安全事故,消除安全隐患具有不可忽视的重要作用。针对学生急于动手实践的欲望,指导教师要不断总结教学经验并大胆实施改革,精讲训练内容,注重示范操作,尽快让学生掌握基本的安全操作方法。同时应以身作则、言传身教,做好安全表率。面对学生损坏刀具或出废品时,不要过多责备,应热情耐心地和学生一起分析发生问题的原因及杜绝的方法,从而消除学生的紧张心理,帮助他们树立成功的信心。
3.3 提高训练指导人员的政治思想素质和业务水平
在加强对指导教师管理的同时,应注重安全意识、安全责任感和业务水平的提高,这是防止安全事故的关键。指导教师应掌握组织管理、教育心理、逻辑语言以及相应专业的理论知识和操作技能,指导学生时要有满腔的热情和十足的耐心,鼓励学生勤练多问,杜绝学生带着问题操作而发生安全事故,切实做到“学为人师,行为示范”。
3.4 强化工程训练安全管理制度
工程训练要与机电设备打交道,稍有疏忽、麻痹大意就可能造成一些安全事故。加上学生的训练时间短、流动性大,存在更多的安全隐患。因此。必须加大管理力度,强化工程训练的全过程安全管理,制定切实可行的安全管理规章制度,依靠师生相互配合,人人重视安全,个个规范操作,才能避免人员伤害或设备损坏,保证工程训练的顺利进行。对那些组织纪律松散、不重视工程训练的学生,在加强教育的基础上,应注重正面引导,提高学生的认识水平;对违反训练管理规章制度的行为,应及时制止,消除安全隐患;对造成安全事故的人员,要给予适当的处分,以警示大家。
3.5 在训练设备上安装安全保护装置,减少设备本身存在的安全隐患
工程训练的很多工种都存在或多或少的安全隐患,其中有一些是由该工种的特点所决定的,只要设备一启动,安全隐患就是时刻存在的。对训练设备本身进行技术改造,在设备上安装安全保护装置,可以大大地减少事故发生的概率。例如在车工训练的时候,卡盘扳手就存在很大的危险性,在启动车床的时候如果卡盘扳手不从卡盘上取下,卡盘扳手就会飞出伤人。学生在初上车床的时候,往往会由于紧张、操作不熟练,发生上述情况。在车床上合适的位置安装一行程开关,行程开关与机床主轴电机的电源串联,在行程开关上安装一定位装置,只有将卡盘扳手放入该定位装置使行程开关闭合的时候,车床主轴电机才会启动。也就是说,如果卡盘扳手不从卡盘上取下放入行程开关处的话,卡盘不会旋转,这样就避免了卡盘扳手飞出伤人这种情况的发生。
3.6 建立完善的工程训练安全档案
工程训练安全档案对消除各种安全隐患、提高训练安全保障的可靠性具有非常重要的作用。工程训练安全档案包括设备安全档案、安全制度档案、安全设施档案、训练安全情况登记及安全检查等一系列文字记录与存档。设备安全档案项目包括设备现状、设备使用、设备维修情况,安全制度档案应包括各训练车间管理制度、器材保管、使用制度、指导人员守则、学生训练守则等;安全设施档案包括各类安全防范设施的配备、设施的检查与现状、设施的保养维护。训练安全情况及安全检查档案则要求把每次训练的安全与安全检查情况记录在案。安全责任人应根据安全档案进行安全措施的落实.如对消防器材和漏电保护器的检查,对已损坏或丢失的安全标志进行补充;对设备进行定期检查保养、设备出现损坏及时修复;对各个车间所配备的急救药箱(内置必备药品)进行检查补充、对各种安全管理规章制度的执行情况进行监督检查等。
参考文献
[1] 丁涛.谈金工实习中学生安全意识的培养和素质教育[J].合肥工业大学学报,2001,15(1):221―222.
即使这样,如下安全问题依然摆在了很多企业面前:安全设备部署了很多,安全制度流程也建立了,但从整体角度看,仍然是各自为战,仿佛信息安全问题只是IT部门的事情,与其他人无关,这就使得无法形成整体有效的安全防护;一边是业务应用越来越复杂,一边是安全设备和制度不断增加,如果安全设备和制度做多了,业务部门抱怨太繁琐,但如果不做这么多,又怕出现安全问题,左右为难。
那么,出现这些问题的根源是什么呢?我们早就知道,建设安全系统不仅仅是技术问题,也是管理问题。而信息安全服务的主要目标就是更好的支撑IT应用系统的效果和效率,也就是说,信息安全的主要目的是通过信息安全管理体系、技术体系以及运维体系的综合有效建设,让IT应用系统能够达到更好的运营效果以及更高的效率。而如何综合而有效的建立信息安全保障体系,成为了摆在每个企业面前的课题。
合规是重中之重
信息安全标准是确保信息安全产品和系统在设计、研发、生产、建设、使用和测评过程中保持一致性、可靠性、可控性、先进性和符合性的技术规范和依据,其不仅关系到国家的信息安全,也是保护国家利益、促进产业发展的一种重要手段,同时更是信息安全保障体系中的重要组成部分,是政府进行宏观管理的重要依据。
我国在这方面虽然起步较晚,但也制定了一批符合中国国情的信息安全标准,同时在一些重点行业还颁布了一批信息安全的行业标准,尤其是国家等级保护制度和分级保护制度是我国在进行信息安全保障体系建设中的重要依据。
因此,企业只有在信息安全保障体系建设过程中依据相关标准进行合规性分析,通过安全风险评估,然后比对相关标准中所涉及的技术要求、管理要求、测评要求,才能明确得出建设的方向和重点,了解目前系统中存在的问题和改进的方法,同时明确在管理、部署和运维过程中信息安全管理的相关制度、流程和需要持续改进的目标。
此外,相关标准还为企业明确了进行信息安全保障体系建设的方法,只有遵循这种方法才能做到“有法可依、有章可循”。
安全咨询是桥梁
前面提到,信息安全建设的主要目的是让IT应用系统能够达到更好的运行效果,并提高系统的运行效率,也就是说,要让信息安全保障体系成为IT应用系统的有效支撑。然而,不同政府或企业的具体业务环境和流程各不相同,所以也不是每个政府或企业都可以使用一个统一的模板。不同的组织在建立与完善信息安全保障体系时,必须根据自己的业务特点和具体情况以及IT应用的实际情况,采取不同的步骤和方法。此外,还要注意,信息安全不仅涉及安全管理和技术层面的问题,还会涉及到治理机制、业务流程、人员管理、企业文化等内容。
这就使得,企业要运用风险的方法来决定信息安全体系建设的目标和步骤。这个过程实际上是需要专业资深的安全服务人员对目标的业务特点、IT应用实际情况和具体管理方式进行现场调研、符合性分析、相关的风险评估等操作的,尤其是对关键业务应用的深入了解和分析,只有这样才能与标准比对形成安全基线和框架参考。
而且,在建设过程中,还要不断与相关负责人(决策人员、安全管理员、网络安全维护人员)进行深入沟通,以便发现安全隐患、找出关注重点,并提出有效的策略建议,最终才能运用风险的方法来决定体系建设的目标和步骤,并一步一步实施完成。通过这一点我们不难看出,信息安全咨询贯穿于整个信息安全体系建设的过程中,是联系实际需求和建设目标的桥梁。
实际落地是关键
信息安全技术体系是利用技术手段实现了技术层面的安全保护,是整个信息安全保障体系中非常重要的一部分。很多政府和企业都部署过一些技术防护手段,但这些防护手段是不是符合相关标准和关键业务的需求,是不是把风险控制到了一个可控的水平,我们就不得而知了。
因此,在信息安全保障体系建立过程中,一定要依照标准来选择技术防护手段,同时实现技术手段的落地是关键。而要实现技术手段的落地,就要兼顾以下几点:选择的技术产品要满足政府或企业实际环境、IT应用和管理流程制度等客观条件;选择的技术产品要具有易维护、管理简便的特点,并要能够保持先进性;选择的技术产品要能够满足应用变化的需要,并适应技术的不断发展。即保障可用性、适用性和持续性。
安全意识是必须
在很多政府部门和企业中普遍存在这样一个问题,仿佛信息安全只是IT部门的事情,其他业务部门大多采取了“事不关己,高高挂起”的态度,这势必会造成安全天天喊,但是总没有明显效果的局面。
可以说,建设信息安全保障体系是企业内的一次“安全革命”,通过培训,不仅仅要让每个人都提高对安全事件处理的管理水平和技术水平,更重要的是让每个人都拥有“信息安全人人有责”的意识。
同时,这场“安全革命”给企业带来了新的知识和管理模式,企业必须通过培训将整个信息安全保障体系的相关知识转移到每位员工身上,让他们对整个体系逐步达到从接受到适应,再到最终掌握。只有这样才能让整个信息安全保障体系真正应用起来,并真正起到效果。
运维平台是手段
一、互联网金融时代,金融信息安全面临的主要挑战
互联网金融信息安全不仅面临着互联网自身存在的安全风险,还面临着金融业务新技术与新形势的挑战,后者也为互联网金融的发展提供了诸多发展障碍。1、互联网金融信息安全保障体系的建设速度滞后于互联网金融业务的发展速度。由于互联网技术的不断创新与发展,为金融业务提供了全新的发展平台与端口,众多理财、保险类互联网金融业务乘着互联网技术的发展态势不断涌出,在相关的金融信息安全保障体系尚未建立与完善之际,这种互联网金融业务的发展无疑是一种如履薄冰的繁荣。网络病毒的侵袭使得这种互联网金融业务的安全运行成为了一种偶然,如果不能及时构建严密的金融信息安全保障体系,那么互联网金融的发展则会变成无稽之谈。2、层出不穷的互联技术应用是当前金融信息安全面临的最大挑战。由于第三方支付平台的出现以及大数据等新兴分析技术的兴起,打破了传统金融业务的运行机制,也为消费者的金融信息安全增添了更多威胁。互联技术应用已经成为互联网金融发展的重要支撑,因此必须为其制定出相应的安全管理策略,来保证其安全运行。3、网络安全防控是互联网金融信息安全防范的难点。互联网金融发展面临的另一重要安全隐患便是互联网自身存在的安全漏洞。互联网由于其自身的开放性和匿名性特点,为许多网上金融犯罪提供了便利,这也是互联网金融信息安全防范的重难点。要想依附互联网这一平台展开相关金融业务,必须在网络安全防控方面有所作为。
二、相关对策建议
1、完善顶层设计,尽快构建适应互联网金融发展需要的金融信息安全保障体系。互联网金融的安全平稳运行离不开相关保障体系的保驾护航,我国当前已经存在的金融信息安全保障体系主要是根据传统金融信息安全问题而建立的,这显然已经不适应当前发展得日新月异的互联网金融的信息安全需要。所以,国家必须做好相关顶层设计,在安全保障技术方面提供最严密、最尖端的技术支持,加快金融信息安全方面的人才建设,在对当前金融信息安全保障体系进行完善的前提下,时刻关注互联网金融业务的整体发展态势,以实现金融信息安全问题的有效预测与防范。2、加快安全网络体系建设,最大限度提升金融网络防御攻击的水平。作为互联网金融业务发展依附的主要平台,互联网有必要进一步减少自身存在的安全隐患,从而为金融网络的自身防御提供高安全系数的保障。互联网可基于大数据分析,对于不同的金融业务平台进行相关数据分析,为互联网金融业务所的平台进行信用评估,从而为消费者进行选择时提供相关参考性意见。3、加强对新生金融实体从事互联网金融业务的信息安全保障。新生金融实体开通互联网金融业务时,在很大程度上会存在信息安全保障不到位的现象,因此,国家需要对这些新生互联网金融业务进行相关审批,制定出相关的考核检验标准,考核检验新生互联网金融业务的整体发展实力以及相关安全保障体系的建设与投入,严格遵守为消费者负责的态度,为我国的互联网金融发展的大环境保驾护航。4、积极探索适合监管互联网金融的金融信息安全防范措施。由于我国互联网金融的发展处在发展初期,因此缺乏相关管理经验,所以,我国可以借助国外先进互联网金融信息安全管理经验,对我国的互联网金融信息安全保障体系建设提供相应的支持。还可以展开国际互联网金融信息安全管理合作,因为互联网金融是面向世界各国的业务,单纯依靠一个国家的力量无法对涉及国际金融信息安全的问题实现有效处理。
三、结语
关键词:档案信息;安全保障体系;建设;思考
0 引言
随着我国社会的进步以及经济的发展,我国的档案事业也取得了极大的进步,档案信息化建设日益加快。档案信息资源是社会资源的重要组成部分,确保档案信息安全十分必要。但是,当前由于各种因素的影响,档案信息安全问题日益突出。如何建设档案信息安全保障体系,确保档案信息的安全是当前的一个重要问题。
1 档案信息安全保障体系简介
信息安全是一个广泛而抽象的概念,具有保密性、完整性、可用性等特征,档案信息安全继承了这些特点。因此,凡是涉及到这些特征方方面面的理论体系和技术应用,都是档案信息安全保障工作值得探讨和研究的对象。档案信息安全保障工作的任务,就是要通过提高软硬件技术能力、加强安全保密管理水平等有效措施,让档案信息资产免遭或尽可能少遭风险损失,以维护档案工作的正常运行。
档案信息安全保障体系应运而生,它是法律法规、政策、标准、管理、指导、监控、培训、工具、人才以及安全保障技术、应用技术、操作技术等等的有机结合。这是一项复杂的系统工程,不仅仅是解决技术上的问题,还包括安全保障各个环节的管理和组织。其主要目的是通过档案信息安全管理体系、档案信息安全技术体系等的有效建设、综合应用,技术管理双管齐下,让档案信息系统所面临的风险可控,以保障档案信息系统的稳定运行和利用效率。
2 档案信息安全保障体系的建设与思考
解决档案信息安全问题通常取决于两个因素,一是技术,二是管理。技术手段是保障信息安全的重要环节,但要发挥安全技术应有的作用,控制信息安全风险,还必须有适当的安全管理模式做支持。
2.1 档案信息安全技术保障体系
档案信息安全技术保障体系顾名思义,就是从技术上来保障档案信息的安全。为了满足信息安全需要,降低信息系统所面临的众多风险,通常就是直接采用各种相关的技术产品和技术服务,来解决对应的信息安全问题。档案信息安全技术保障体系主要包括以下几方面:
2.1.1 物理安全技术
物理安全问题是档案信息安全中最为基本的问题。物理安全主要指环境安全、设备安全以及存储介质安全。简单来说,就是防火、防水、防雷、防震、防鼠、防电磁辐射以及防人为破坏等等。可以依据众多国家标准,采取相应的技术手段来保障物理安全。
2.1.2 系统安全技术
作为对档案信息的收集、管理、保存、利用等环节提供支持的技术系统,在基础环境、硬件的基础上,主要由软件、网络和数据等相关信息技术组成。系统安全技术自然主要针对这三方面。
(1)软件安全:软件是信息系统的重要组成部分,是保证系统正常运行和有效应用的主要因素和手段,包括操作系统软件安全和应用系统软件安全,涉及软件的安全开发、安装、升级以及软件加密和安全性能测试等技术。
(2)网络安全:主要指对网络系统中的软硬件以及网络数据资源等的安全保护。具体技术包括:网络结构优化、物理隔离、防火墙、网络监控等等。
(3)数据安全:数据是信息系统的中心,数据安全是档案信息安全保护的核心内容,包括数据加密、数据安全存储、数据备份与恢复、数据库安全、云数据安全等保障技术。
档案信息系统的正常运行和有效利用,除了上述物理和系统安全技术的保障之外,还需要相应的运行安全技术。通过访问控制、身份认证、秘钥管理、审计跟踪、病毒防护、入侵告警与系统恢复等技术,以确保档案信息系统运行稳定可靠。如今信息技术与档案信息安全的关系已越来越密切。因此,需要关注信息技术的深度挖掘与应用,加档案安全的科学思考与研究,为档案信息安全保障体系提供必要的理论支撑和技术保障。
2.2 档案信息安全管理保障体系
常言道:三分技术,七分管理。档案信息安全管理保障体系是对档案信息安全技术保障体系的有力支持。有统计数据显示,大多数信息被盗、信息泄密来源于单位内部,大部分计算机安全出现问题来源于系统内部,这些情况的发生主要在于人员思想意识麻痹和安全管理体制不完善。因此,信息安全技术系统搭建之后,还需要结合有效的信息安全管理手段,两者相辅相成,贯彻落实于档案信息安全建设的各个环节,才能保障档案信息安全的稳定性和可控性等。
2.2.1 建立健全档案信息安全管理制度
为了有效地把档案信息的安全管理和档案信息工作落到实处,必须要有配套的安全管理制度。首先要进行统筹规划,在“收、管、存、用”等环节,制定合理的、完备的档案信息安全管理策略。其次要设立档案信息安全管理部门,负责加强档案的信息安全和保密管理,保障档案信息系统各个层面的运行安全。
最后是建立健全各种规章制度,如安全防范责任制度、重要数据及文件管理制度、系统操作规程、备份制度及应急预案等等。只有在制度上约束和规范安全工作,逐步强化安全管理,做好预防工作,才能把各种危害抑制到最小限度,使档案信息系统整体安全性能达到最优化。
2.2.2 加强人员档案信息安全培训提高安全意识
人,是档案信息安全保障体系的核心,是档案信息系统的拥有者、管理者和使用者。要培养优秀的专业档案信息人员,加快档案信息安全管理的队伍建设,必须加强有关人员的档案信息安全意识,并针对不同层次的人员进行相应的培训服务,内容包括安全技能、安全知识等的各个方面,如安全策略培训、安全意识培训、安全管理培训、安全技术培训等等。只有提高人员的安全意识和素质,档案信息安全保障体系工作才可以真正落实。
2.2.3 制定档案信息安全标准规范
构建档案信息安全保障体系,还必须参照国内相关法律法规、行业标准规范,遵循业界惯例,并结合自身实际情况。目前国家档案局已编制《档案信息系统安全等级保护定级工作指南》以指导省级及以上档案信息系统安全等级保护的定级工作,还有《数字档案馆建设指南》、《数字档案室建设指南》等等。但是我国的档案信息安全保障体系建设还处于初级阶段,相比而言关于信息安全保障体系的研究更早标准更多,因此在档案信息安全保障体系实施过程中可以借鉴和参考国际国内信息安全保障体系的一些标准规范。只有制定科学的、有效的档案信息安全标准和规范,才能更好地指导档案信息安全管理工作,减少安全保障体系构建过程中不必要的重复和盲目性,使之系统化、统一化,从而规范和保障档案信息安全。
3 结语
综上所述,在档案信息化建设过程中,其信息安全保障体系的建设是必不可少的环节,对促进档案信息化建设的推进起到十分重要的作用。因此,在档案信息安全保障体系建设中,要引进先进的档案信息安全技术,建立健全相关管理体系制度,并加强档案工作者的安全意识,从而保障档案信息的安全,促进档案事业的健康发展。
参考文献
档案信息安全是保证档案信息在收集、整理、存储和利用过程中,使其一直处于完整性、真实性、可靠性和可用性,确保档案记录载体与记录方式不受损坏。随着人们对信息需求量不断增加,档案数量急增、存储载体多样化,档案信息保护的手段和方式也发生了新的变化。档案安全保护从对档案实体的保护转为对信息和档案载体的保护,最终要建立一个动态的、全方位的、系统化的信息安全保障体系。
二、档案开放利用信息安全问题分析
档案开放利用的信息安全包括档案实体安全和档案信息安全两类。档案管理者要沿用传统档案安全保障方法上,针对当前环境变化所带来的问题提出更好地对策,才能确保档案信息的安全,推动档案开放利用工作持续发展。
(一)档案开放利用信息安全的环境问题
档案信息是同时存在于自然环境和社会环境之中的,实体档案或数字化档案都要以相应的软环境和硬环境为基础得以发展和利用。但是,在档案的开放利用过程中,因环境问题导致档案信息存在安全隐患。基于面临的软环境问题来看,一是大众缺乏档案信息安全意识。档案是记录社会经济文化发展的原始凭证,做好档案信息安全保障工作是有利于社会发展的。但是档案工作的特殊性质,使得大众对其认识不深,使得档案信息安全工作得不到社会大众的广泛支持,仅仅靠档案管理人员确保信息的安全远远不够,甚至有些大众因不了解档案的属性,在利用过程中,使得信息遭受损坏。二是档案事业发展相对较慢。档案事业因对社会经济发展的效用不明显,各级管理部门对其重视程度不高,相应的发展速度也被制约。档案安全领域特别是档案信息安全方面的理论研究不足,难以指导实践工作。三是档案安全工作资金投入力度不强。档案安全工作需要一定的资金来支持。因为档案安全需要从存储环境、网络环境等方面加强管理力度,这些都需要一定的财力支持。因档案产生效用明显等各方面相关因素,档案管理部门一直处于资金短缺的情况,导致了许多确保档案信息安全的工作不能开展。资金问题是制约档案信息安全发展的不利因素,只有相关部门积极投入资金加以扶持,问题才能迎刃而解。基于面临的硬环境问题来看,一方面是档案信息安全受到自然灾害威胁。档案信息资源存在于自然环境中,自然界时常发展的灾害直接危害了档案信息的安全。档案库房选择就要相对谨慎,尽量选取规避自然灾害的发生地区作为库房。另一方面是档案存储环境问题。档案信息是通过各种载体来呈现的,载体质量的好坏直接影响了信息的保存情况。一些新材质载体,比如光盘、硬盘等会因磁性减弱、磨损等问题,使得信息丢失。同时,存储信息使用得计算机的硬件、软件及系统等出现问题,也会对档案信息带来不同程度的损坏。
(二)档案开放利用信息安全的法规问题
档案信息安全需要相对完备的法律法规来保护,法律规章制度能有效地预防损坏信息安全的行为发生。但目前有关档案的法律法规建设不力,对档案信息安全造成不良影响。我国虽然制定了一些档案法规,但各地区档案管理情况不同,法规不能完全适应于各类档案机构,导致了开放利用过程中,档案信息出现了混乱局面,使得档案的安全受到危害。
(三)档案开放利用信息安全的技术问题
相对于其他部门的信息技术发展,档案机构的信息技术有些落后。大部分的档案管理机构用于整理、利用和传输档案的技术设备不完善,技术上的缺陷制约了档案信息的开放利用。同时,运用先进的技术手段来修复档案,确保信息能够完整保存下来,也成为亟待解决的问题。另外,安全保障技术是以防为主的对抗发展技术,面对涌现的各种安全问题,档案管理部门对其认识不到位,技术相对薄弱,档案信息安全难以有效保障。
三、建立档案开放利用信息安全保障体系建设
档案开放利用的信息安全保障体系是一项复杂而庞大的系统工程,其需要良好环境与科学管理相结合,法规制度与标准规范相耦合,技术手段与资金投入有机融合。
(一)档案开放利用的信息安全保障体系建设,先要从环境建设入手
加强软、硬环境建设,确保档案在开放利用过程中的物理安全,主要包括对档案管理者和利用者的安全意识培养,相关部门的资金投入管理以及保存环境等各方面建设。档案管理部门要树立正确的、动态的档案保护观念,对档案信息安全内容、档案信息安全主体、档案信息安全方式进行全面的认识,保障档案信息记录内容、记录方式和记录载体三位一体。档案管理者要在开放利用过程中,遵守相应的规范,思想上要重视档案信息安全。同时,要强化对档案工作者进行知识教育和档案开放利用安全教育,采取多种方式开展教育活动。
(二)档案开放利用的信息安全需要相应的法规制度来保证。
法规政策是档案信息安全工作的基础。相关部门应设立针对性的法律法规来确保档案信息安全。要积极完善档案法规,增加对档案信息安全方面的法规设定,要明确规定档案信息安全的执法检查制度,增强法规体系约束力和强制力。同时,要完善有关数字化档案的法规,加强对电子档案信息的保护,针对信息技术的特点,建立适应信息时代需求的档案信息安全保障法规体系。
(三)档案开放利用的信息安全保障体系建设,要取得技术上的支持,技术上保障档案信息的保密性、完整性和真实性。
档案开放利用的安全运行是基于多种网络安全技术综合应用的结果。档案开放利用的信息安全保障要抓住在网络攻防中把握主动权,要依据风险管理的原则制定相应的安全策略。档案管理部门要突出重点,逐步推进,积极引入新技术,运用最新的技术推动档案的安全利用。
四、结语