论电子信息的安全策略
(甘肃省国土资源信息中心)
研究电子文件不同于纸质文件的形成特点,是制定科学的电子文件管理策略和实施有效管理的基础。本文主要讨论了影响电子信息安全的因素和问题,分析了保障电子信息安全的主要因素,提出了保障电子信息安全的策略。
关键词电子信息安全
0简介
电子文件是在信息化发展过程中出现的与档案管理相关的数字文件。其主要特点是数字化的特点和对计算机软硬件的依赖性。人们一直将档案视为社会记忆的重要载体,电子信息的长期安全保存是档案工作的应有之义。如何在信息化环境下实现电子信息的长期安全保存,是电子档案工作的生命线。研究电子信息安全机制,有利于拓宽档案保护研究领域,发展档案保护理论,繁荣档案学理论体系,指导档案信息化建设和档案事业健康持续发展。
如何延长数字信息的寿命是数字档案馆发展的一个重要问题。但是,由于数字信息依赖于计算机硬件和软件,而计算机硬件技术又在不断发展,在过时的软硬件平台上可以读取的信息不一定能被当前或未来的软硬件平台读取,无法访问的信息无论寿命多长都是无用的。由于电子信息对软硬件的固有依赖性、信息环境的波动性、数字载体的不稳定性以及数据管理活动中的各种特殊要求,电子档案信息难以长期安全保存。同时,我们也应该清醒地认识到,电子档案信息的长期安全保存是一个复杂的系统,需要整合技术、管理、法律等多种影响因素进行统筹规划。
1影响电子信息安全的主要因素
影响电子信息安全的因素既有内部因素,也有外部因素。既有主观原因,也有客观原因。档案材料的损坏是内外因素和主客观因素综合影响的结果。具体来说,影响电子档案信息安全的因素主要包括自然因素、环境因素、技术因素、社会因素、管理因素和财务因素。目前,在电子档案信息的安全运行和管理中,由于这些因素的影响,主要存在以下问题:
1.1电子信息安全管理意识有待加强
随着地质数据信息服务集群化产业化的推进,数据电子信息对网络资源的依赖性越来越大,所有涉及数据信息安全乃至国家安全的重大问题都将逐渐在网络上浮现。信息系统面临的来自四面八方的安全威胁不仅与日俱增,而且呈现出更加频繁、更具挑战性和高科技的势头。
目前对电子信息的安全存在一些误区:一种认为只要一个系统或电脑安装了安全产品,就意味着安全。说到上网,首先想到的是买安全产品,比如防火墙。众所周知,任何一种安防产品都只能在一定的环境和条件下才能起到安防的作用。安全问题在不断变化,安全技术在不断发展,安全漏洞也会不断被发现。所以安全产品的配置虽然可以降低安全风险,但并不能完全杜绝。而且安全产品是由人来操作、使用和管理的。如果相关人员安全意识不强或者缺乏必要的安全管理知识,也会带来很大的安全隐患。没有管理者安全意识的提高,任何先进的设备都会变得毫无用处。实践表明,很多信息安全问题往往不在于设备,而在于管理者的安全意识。一些安全专家在分析了历史上的电子入侵案例后得出的结论是,大部分入侵手段都非常笼统,内部管理不严给了黑客很大帮助。无论黑客想要攻击的多么强大,也必须在现有的信息系统中找到突破口,而这些漏洞往往来自内部人员的失误和管理人员的疏忽。
1.2电子信息系统的安全隐患
由于电子文件信息是在互联网、专网、局域网的环境中传输的,因此在电子文件信息的生产、管理和服务利用中,都面临着不同层次的信息安全问题:
1)网络层安全。网络层安全是支撑系统运行的物理设备的安全问题,包括网络基础设施,如网络布线、网络连接、局域网和广域网环境的搭建、设备的选择以及各个环节安全策略的考虑。网络设备的安全还涉及到系统使用的大量网络设备,如交换机、路由器等,其自身的安全将直接影响网络系统及其应用的正常运行。网络安全还包括网络外围环境和物理特性导致的网络系统故障,包括地震、雷击、火灾和洪水、停电、人为操作失误或错误、电磁干扰等环境事故。,可能会对档案信息网络造成一定程度的危害。
2)数据层安全。电子信息安全系统是以数据存储和查询为特征的数据库应用系统,主要涉及系统中存储数据的安全问题,包括操作系统、数据库管理系统、数据存储、数据备份、数据格式转换、各种电子文件的存储和远程存储等。由于数据版本更新、数据格式转换、硬件设备意外损坏、存储介质老化失效、自然灾害等原因,造成数据丢失、数据损坏甚至计算机系统的破坏和瘫痪。
3)应用层安全。应用层安全是电子管理信息系统实际应用中应该考虑的基本问题。一般来说,档案管理信息系统的用户模型分为多个层次、多个角色、多个功能或多种形式来分别定义用户权限。计算机在实际运行时,电子数据非常脆弱,总是处于各种有意或无意的破坏威胁之下,如操作人员的疏忽导致的输入删除和数据文件覆盖、过时数据被导入为当前数据、不合理的权限设计导致普通访问者获得不同程度的权限进行越权删除、恶意代码破解者在破解系统安全防御后入侵、篡改和删除数据、用户或工作人员暴力破坏数据存储介质或计算机以发泄不满、计算机崩溃和停电等。
2确保电子信息安全的策略
电子档案信息的安全保障策略应由思想保障、技术和人才保障、法律策略保障、标准保障等要素构成。安全思想保障是电子档案信息安全保障的前提,安全技术和人才保障是电子信息安全保障的支撑,安全法律政策保障是电子信息安全保障的手段和核心,安全标准保障是电子信息安全保障的基础。
2.1安全思想保证
树立和坚持全面、科学、发展的电子信息安全观,是确保档案信息安全的思想基础。传统的安全观、保密安全观、技术安全观、系统安全观、网络安全观是不完整的、静态的、片面的,缺乏动态的、系统的概念理解。电子信息安全的科学概念是对信息安全主体、信息安全内容和信息安全方式的综合认识,是电子信息记录内容、记录方式和记录载体三位一体。新的信息安全观是一次历史性的飞跃,为建立现代电子信息安全体系和规划电子信息安全战略提供了正确的理论指导和价值取向。
培养和强化电子信息安全意识是预防和控制档案信息安全事故的重要手段。加强电子信息的危机管理,可以最大限度地减少档案信息遭受的损失。完善危机管理法律法规,建立危机管理机构网络,制定科学合理的电子防灾应急预案,从电子信息资产、电子信息面临的安全威胁、安全缺陷等方面全面客观评估分析威胁,做好防灾应急演练、培训、异地文件备份等工作,完善安全决策和危机预测应对机制。
2.2安全技术和人才保护
先进科学技术的研究和应用是确保电子信息安全的重点。电子信息安全技术不仅涉及传统的“预防”和“治疗”技术,而且已经扩展到各种现代信息新技术。传统技术与现代新技术相互补充、相互结合,从不同角度、不同层面解决电子信息的安全问题,为电子信息构筑安全屏障。
国内外学者和档案工作者在电子信息保护技术的研究方面取得了许多可喜的成果。为适应新形势的发展,做好电子信息安全技术的开发和更新工作。加快电子信息安全技术成果的应用、推广和转化,在引进、消化、吸收相关领域科技成果的同时,坚持自主创新,走国产化道路,开发具有自主知识产权的核心技术和关键设备,保障电子信息安全。
在电子信息安全中,人才的教育和培养是关键要素之一。人是信息安全最大的守护者,也是信息安全问题的制造者。随着电子信息化的推进和档案事业的发展,对档案工作者的要求越来越高。树立现代人才理念,有计划、有重点、分层次、分类开展多形式、多渠道的档案电子信息安全人才培养教育。
电子档案的信息安全问题有赖于有效的行业自律和职业道德教育。自律应在确保档案信息安全中发挥作用。一方面要遵循有效自律的适用原则,另一方面要制定更具操作性和客观性的自律规范。制定档案工作者职业道德规范,切实加强档案工作者和信息工作者的职业道德修养。
2.3安全法律政策保障
电子档案信息安全的法律保护是档案信息安全建设的一个重要方面。目前,中国颁布了《中华人民共和国计算机信息系统安全保护条例》、《中华人民共和国计算机信息网络国际联网管理暂行规定》、《计算机信息网络国际联网保护管理办法》、《中华人民共和国档案法》、《中华人民共和国保守国家秘密法》、《中华人民共和国国际联网保护法》。它适用于我国社会主义市场经济,按照社会主义市场经济规律调整档案社会关系是电子信息安全立法和档案信息安全执法活动的基本准则。然而,我国档案信息化的相关法律法规尚不完善。在未来的数字档案信息安全法制建设中,应坚持民主参与、公正平等、奖惩分明、安全保护、综合协调和创新发展的原则。
建立和完善电子信息安全法律法规体系。电子信息安全法律法规在规范电子信息主体活动、协调解决各种矛盾、保障档案信息资源安全方面发挥着重要作用。我国档案信息安全立法由国家法律、行政法规、地方性法规、规章和规范性文件五个层次组成。根据不同的标准,电子信息安全法规框架由不同的部分组成。在法律法规制定中,坚持规范性与可操作性、系统性与兼容性、管理性与发展性并重,吸收借鉴国内外信息安全法律法规经验,及时清理修订现有法律法规,及时制定《电子信息安全法》等新的法律法规。
以前的电子信息违法行为直观,容易察觉,手段和方法也比较简单。然而,在信息时代,电子信息违法犯罪行为不仅具有常规违法行为的特征,还呈现出方法的隐蔽性、手段的多样性、后果的严重性和行为的复杂性等诸多新特点。鉴于违法行为的新特点,加强新时期电子信息行政执法十分必要。
3结论
电子信息安全包含理论和实践问题,是一个多层次、多因素、多目标的完整系统概念。电子信息安全具有综合性、关联性、动态性、相对性、脆弱性、智能性和认证性。电子信息安全是保证档案信息内容在产生、存储、加工、传输和利用全过程中的真实性、完整性、可靠性和长期可读性,确保电子档案信息的记录方式和记录载体不被破坏的策略和过程。在今后数字档案信息安全的法制建设和日常工作中,只要各部门、各单位共同努力,电子信息的安全是有保障的。