多措并舉，全力推進檔案信息安全等級保護工作

周明華（江蘇省檔案館，江蘇南京，210008）

多措并舉，全力推進檔案信息安全等級保護工作

周明華（江蘇省檔案館，江蘇南京，210008）

信息安全等級保護制度是國家在國民經濟和社會信息化的發展過程中，提高信息安全保障能力和水平，維護國家安全、社會穩定和公共利益，保障和促進信息化建設健康發展的一項基本制度。近幾年來，江蘇省檔案局館積極推進檔案信息化和電子政務建設，全面落實檔案信息系統等級保護制度，取得了成效。目前，江蘇省檔案局館有三網（政務內網、局辦公網、館業務網）、一站（江蘇檔案信息網站）和一中心（省電子檔案中心）。其中，江蘇檔案信息網站2008年底定為二級（指導保護級）信息系統，并向江蘇省公安廳備案，2010年進行了等級保護測評、整改加固工作。省電子檔案中心建設項目從建設初始，就積極貫徹信息安全設施同步建設的原則，保障信息安全與信息化建設相適應。我們的做法和體會是：

一、健全組織機構，深化制度建設

局領導歷來十分重視信息安全保密管理工作。謝波局長到局館上任不久，就專門召開了一次檔案信息安全保密專題會議，明確要求在新形勢下，信息安全保密工作要采取積極防范措施，預防、堵塞、消除不安全漏洞。局館建立了主要領導對信息安全工作負總責，分管領導具體負責，局信息安全領導小組負責信息安全管理工作，技術部進行日常信息安全管理工作的管理體制。層層落實安全責任，使每名機關工作人員都成為信息安全工作的支持者、實踐者和執行者，以積極的態度參與信息安全管理工作。2011年度，我局被江蘇省信息安全領導小組辦公室評為省信息安全工作先進單位。

制度建設是做好信息系統等級保護工作的基本保障，沒有制度的保障，等級保護工作也難以落到實處。我們根據等級保護的政策和標準體系，本著“堵漏、補缺、實用”的原則，修訂、完善了網絡與信息系統安全工作的各項規章制度及操作規程，并建立各類管理臺賬，使信息系統等級保護工作有據可依、有章可循。在信息上網工作中，認真落實“控制源頭、加強檢查、明確責任、落實制度”和“誰上網、誰負責”的管理原則，確保“涉密信息不上網，上網信息不涉密”。

二、持續增加投入，增強安全防護

為確保信息安全工作持續開展，我局將信息安全防護設施和信息安全服務等相關經費投入納入年度預算，根據實際投入和需求合理分配經費配額。

安全基礎建設是安全防護和管理的前提。我局嚴格按照安全規范標準和要求，對所有信息資產進行規范標識和全生命周期安全管理。所有信息化基礎建設和工作中均有安全工作方案，電子檔案中心建設具有UPS供電、防火、防雷、防盜竊、防靜電、防電磁泄漏以及溫濕度控制等安全功能，并部署了機房監控系統。在檔案數字化掃描加工室及外聘人員工作室全部安裝監控系統。

近年來，我局先后配置完善了綜合網關（防火墻、入侵檢測）、桌面管理、終端安全準入及管理系統、防病毒軟件、數據備份及頁面防篡改等國產安全設備，專門購置了涉密計算機檢查工具軟件，完成了“辦公軟件正版化”工作，并按要求在內網中全部使用國產辦公軟件。委托具有相關資質的國內信息安全服務廠商進行等級保護測評、安全風險評估、外部安全測試及安全檢查等工作。

三、規范日常管理，加強技術防范

隨著信息技術的發展，危害信息安全的手段也在不斷更新和變化，因此只有將信息安全等級保護制度落實到信息系統安全規劃、建設、測評、運行維護和使用等各個環節，防管并舉，才能達到較好的安全效果。

我局從資產管理、監控管理、流程管理、外包管理、綜合管理等方面構筑檔案信息安全管理體系，確保檔案信息系統的安全運維，實現對檔案信息安全事件的可預防、可發現、可控制。按照重點保護和分類保護的原則，合理劃分信息系統安全保護區域、層次、重點和等級，借助信息技術和信息化手段，實現對安全風險和安全運維進行系統化和全過程監控管理。我局嚴格實行內外網物理隔離，實行IP－MAC地址綁定，嚴格控制終端入網和訪問；制定合理的安全策略，定期查殺病毒木馬，修補系統漏洞，有效降低信息系統安全隱患。安排專人對網絡設備、服務器設備、系統線路和機房環境進行定期巡檢，審查分析并定期保存系統日志信息，對分析結果進行排查，及時消除安全隱患。設置資產管理清單，對計算機及相關設備的采購、使用、維修、報廢銷毀等進行審批與記錄。

四、強化教育培訓，建立保障隊伍

落實信息安全等級保護工作與機關所有工作人員息息相關，我局非常重視信息安全教育，每年都分層次開展信息安全教育培訓。一是通過專家講座、觀看錄像、實地演示、參觀展覽等方式，對全體人員進行信息安全知識和技術普及教育，提高全體人員的信息安全意識，增強基本防護技能。二是派技術維護人員不定期參加省信安辦、省保密局等有關單位組織的教育培訓活動，及時了解新情況、新問題，掌握新技術，不斷提高信息安全保障水平。三是與專業服務機構合作，共同建立起由局館技術人員、專業技術人員組成的信息安全隊伍，形成層次清晰、優勢互補的運維管理體制。

五、嚴格檢查整改，促進安全保障

信息系統安全檢查和自查是一項非常重要且十分有效的工作方式。以檢查為手段，以整改為牽引，能夠有效地促進信息安全保障水平的提升，提高信息系統的整體防護能力。我們每年都要組織開展信息安全檢查工作，對照檢查內容，制定實施方案，分解檢查工作任務，按照相關管理要求和技術標準，認真開展安全檢查工作。對檢查發現的問題，及時采取管理和技術措施，積極進行排查、清理和整改。如今年4月份，我們發現“江蘇檔案信息網”查檔接待、監督投訴、在線咨詢等互動欄目收到大量無意義信息的問題，這些信息均由同一個用戶，在數小時之內完成發送的。網站互動欄目是政府網站必需項目，是提供在線服務、進行公眾互動交流的重要渠道，但是一些網民因為種種原因，會發送一些無意義信息，甚至是發送一些不良信息，這種情況在所難免，只能防范，無法杜絕。考慮方便群眾利用和保護個人信息要求，我們采取在用戶使用互動欄目提交發送時，增加輸入“識別驗證碼”的措施，以防范用戶利用程序自動發送大量無意義的信息。

六、注重數據備份，完善應急預案

數據安全是數字檔案的生命線，隨著檔案信息化的快速發展，檔案數據規模越來越大，重要數據的丟失或毀壞將會帶來災難性的后果，然而病毒入侵、硬件故障、系統崩潰、自然災害等難以預測的意外問題，以及誤操作等人為因素都時刻威脅著檔案數據的完整和安全。因此，我們將數據備份作為檔案信息化的一項基礎性工作，建立多重數據備份機制，定期對檔案數據進行在線、離線和脫機備份。根據國家檔案局的規定，江蘇省檔案局與湖南省檔案局簽訂了互為“異地異質備份”基地的協議，構建起重要檔案數據多道安全保存的“防護網”。2012年7月，首批備份數據和縮微膠片已安全送到湖南省檔案館保存。

為積極應對信息系統安全突發事件，做到預防有效、反應及時、處置得當，2010年我局編制了《網絡與信息安全事件應急預案》，明確工作機構、處置辦法、處置流程，明確應急技術支援隊伍。2012年8月，我們進行了以網站網頁遭篡改和局域網大面積出現病毒為主要內容的信息安全應急模擬演練，以檢驗應對突發信息安全事件的應急響應與處置能力。

隨著檔案信息化及電子政務系統的廣泛應用，目前信息安全和保密工作重點已從傳統領域轉至計算機信息網絡。信息安全等級保護工作是一項需要常抓不懈的工作。今后我們將在上級部門的指導下，進一步加強組織領導、健全制度規范、嚴格檢查監督，完善長效機制，積極應對新情況、新形勢、新發展，全面推進檔案信息系統安全等級保護工作。