高校檔案信息系統安全體系建設初探

程 婭

(浙江紡織服裝職業技術學院)

高校檔案信息系統安全體系建設初探

程 婭

(浙江紡織服裝職業技術學院)

進入信息時代,信息安全問題日益突出。高校面臨的業務風險將與高校檔案信息系統是否能夠安全、穩定、可靠地運行直接掛鉤。高校檔案信息系統如果得不到安全有效的保護,可能會對高校工作開展和品牌形象等方面帶來巨大影響,甚至是嚴重損害。因此,對于高校來說,加強檔案信息系統安全體系建設至關重要。

高校檔案 信息系統 安全體系 建設

隨著互聯網和信息技術的發展,用信息化技術武裝、改造高校工作已成為一種潮流和趨勢,現如今高校檔案工作也搭上了信息化的快車。越來越多的高校在內部建立起符合自身業務特點的檔案信息系統,以提高高校的檔案工作效率,整合、分析、積累有用的信息來協助高校決策。但與信息化隨之而來的是信息安全問題。高校檔案信息系統如果得不到安全有效的保護,可能會對高校工作開展和品牌形象等方面造成巨大影響和嚴重損害。因此,高校檔案信息系統在滿足其自身業務需求的同時,還要保障系統安全、穩定、高效地運行。這就要求高校檔案部門重視檔案安全防護體系建設,將檔案信息安全工作納入高校發展策略和安全保障體系建設規劃,努力為高校業務開展提供有效服務和基礎支撐。

一、當前高校檔案信息安全現狀及存在的主要問題

高校檔案是國家信息資源的重要組成部分,加強高校檔案安全體系建設,對于維護高校真實歷史面貌,對于高校檔案工作的可持續發展,都具有十分重要的意義。我國是一個幅員遼闊的國家,同時也是一個自然災害頻發的國家,洪澇、干旱、臺風、泥石流、地震等各種自然災害時有發生。近幾年汶川、玉樹地震,南方雪災,洪澇等災害事件無不對檔案安全造成嚴重威脅。在對這些自然災害的反思中,我們必須深刻認識到,面對日益復雜的社會環境和頻發的自然災害,保證檔案信息安全已是擺在檔案部門面前的迫切任務。當前高校檔案信息安全方面還存在不少問題：

1.高校檔案管理人員安全意識淡薄。不少高校檔案管理人員或多或少存在重前臺業務、輕安全管理的思想,將檔案信息安全看成是負擔或可做可不做的工作。有的因自身水平有限,對檔案信息安全不了解或認識不到位,認為檔案信息安全是高校信息部門或軟硬件廠商的事,檔案部門不需管也管不了。

2.檔案信息安全管理機制不健全。有的高校檔案信息安全管理制度不健全或流于形式,導致檔案安全工作無章可循,檔案安全制度落實不到位,缺乏有效的制度執行保障和機制,沒有將安全責任具體落實到崗到人。

3.檔案信息安全軟硬件設施和運維管理不到位。一些高校事關檔案安全的設施和設備到位率低,嚴重威脅檔案的安全保管,對檔案設施設備投入不足,安全防范措施形同虛設,存在嚴重的安全隱患。一些高校檔案工作物質保障情況非常差：檔案室破舊、設施設備缺失、經費保障不足。這些情況很容易導致檔案安全事故的發生。檔案安全管理的經費投入不足,一些處于經濟欠發達地區的高校檔案部門經費長期得不到有效保障,加上專業人員不足等問題,導致信息系統的軟硬件運維管理不到位。

4.檔案信息安全風險管理和防范措施不到位。如未開展檔案信息系統安全評估工作,未制定檔案信息安全相關應急預案或應急處置管理不到位;檔案數據存在較大安全風險,未按要求開展本地、異地備份或備份措施不到位等。

二、高校檔案信息系統安全的主要風險分析及應對措施

(一)加強檔案信息系統的硬件安全管理

直觀來講,軟硬件設施的安全直接決定著檔案信息系統的安全性,是檔案信息系統安全體系建設的基礎。在高校實際工作中,將面臨硬件審核、網絡入侵、病毒和數據安全等方面的問題,需要制定符合自身業務特點的策略。

1.硬件設備問題。多數高校檔案信息系統是外包定制開發的,且在運維過程中,對于系統硬件設備的維護和管理不夠重視,更談不上有完善的保障機制和運維制度。一旦系統因為硬件設備故障、斷電或網絡問題造成信息丟失、服務中斷等問題無法正常使用,就會給高校造成巨大的損失。由此可見,對硬件設備的安全運維和妥善管理是高校檔案信息系統安全體系的基礎保障,是高校管理者不能忽視的一個環節。

常規的硬件設備運維需要重點關注以下幾個方面：(1)檔案信息系統要求不斷電運行的,要配置UPS電源,提供可應急的不間斷供電;定時檢查UPS運行情況。(2)要建立定期巡檢制度,安排專人負責對硬件設備、網絡等運行狀態進行檢查,發現問題及時上報、處理。(3)保證系統數據安全,對接入硬件設備的介質進行嚴格管理,并對進入機房的人員進行登記。為保證系統硬件設備安全,盡量采用遠程方式對硬件設備進行操作。

2.網絡入侵問題。網絡入侵主要以盜取信息和攻擊系統為目的,并利用系統自身存在的漏洞對系統進行操作。高校需要根據自身網絡特點對系統安全設備進行配置,避免外界非法訪問高校內部資源。

常規的防范措施如下：制定相應的訪問控制策略,根據業務需要嚴格控制員工對設備、資源的訪問方式和時限;管控硬件設備端口,只按需開放制定端口,減少漏洞,增加入侵難度;定期掃描系統漏洞,更新相應補丁。有條件的話,可以部署IPS (入侵防御系統)和IDS(入侵檢測系統)設備。

3.病毒問題。病毒主要是針對檔案信息系統所部署的操作系統進行攻擊。一旦操作系統感染病毒,就會造成檔案信息系統的崩潰、信息丟失等嚴重問題。

常規防范措施如下：在操作系統中安裝殺毒軟件,并定期對其更新;根據高校自身網絡特性,對殺毒軟件進行正確的安全配置,降低感染病毒的風險。

4.數據安全問題。數據是檔案信息系統最核心的財富,因此,數據安全是系統安全的重中之重。

數據安全包括數據存儲安全和數據傳輸安全兩方面,具體防范措施如下：數據存儲方面,采用定期備份機制,做到多位置保存數據及數據完整性和恢復能力;數據傳輸方面,采用數據密鑰、VPN網絡傳輸等方法,保證數據的安全傳輸。

(二)加強檔案信息系統的安全機制建設

檔案信息系統安全管理是安全技術能夠完善實施的有力保障。俗話說,三分技術、七分管理,技術再好,沒有好的管理,技術也無法順利實施。因此,完善的管理制度是檔案信息系統安全體系建設的重要組成部分。

1.建立和完善高校檔案信息系統安全管理制度。安全管理制度應根據國家有關檔案及信息系統安全的政策法規和標準規范制定,它是高校檔案信息系統安全體系建設的重要基礎,對于保障檔案信息系統的正常運行具有十分重要的作用。

2.普及信息安全知識,提高員工相關安全意識。多數高校管理者大多關注業務環節的運行安全,而對后臺歷史信息數據的安全不夠重視。為此,要重視信息安全宣傳工作,提高員工對專業技能、行業特點及安全管理的認知程度,提高員工的信息安全防范意識。安全宣傳必須覆蓋所有業務部門、技術部門和管理部門,所有員工都應該參與其中。

3.嚴格執行安全制度,狠抓制度落實。隨著信息技術的高速發展,檔案信息系統安全管理的難度也在不斷加大。當前高校管理者普遍要面臨的問題是,如何在遵守相關法律法規及行業標準的基礎上,建立健全有效的、可實施性強的信息安全制度。為此,高校管理者需要不斷更新知識,認真分析檔案信息系統出現的新問題、新漏洞,將發現的問題和解決方案整合完善為一套新的、更加嚴密的檔案信息系統安全管理制度。不斷提高制度的有效性、可執行性,要求安全制度具有可操作性、合理性,無語言歧義,包含清晰、明確的操作步驟。嚴格執行檔案信息系統的操作流程和管理辦法,將安全責任落實到崗到人,全力消除檔案信息系統安全隱患。管理過程中,發現問題及時上報,并按照相關規定進行處理。

4.建立和完善信息系統安全管理平臺。為應對高校檔案信息系統日益嚴峻的安全問題,在加強系統安全基礎設施建設的同時,必須建立一個功能性強的信息系統安全管理平臺,以全面貫徹高校的安全管理思路,將安全管理制度融入所有的業務流程中。通過平臺功能實現量化安全管理標準,提升高校檔案信息系統安全管理標準的可執行性。

(三)加強檔案信息系統安全防范和控制

檔案信息系統安全防范和控制是指系統管理人員對高校檔案信息系統的安全漏洞、防范措施等進行評估、處置的過程。做好高校檔案信息系統安全體系建設,需要對系統安全進行防范和控制,及時發現并解決安全漏洞,不斷提升安全管理水平,這是一個長期的,需要持續不斷更新的系統工程。在普通意義上,根據檔案信息系統的特性,安全防范和控制工作包括如下內容：

1.數據控制。前文提到過數據是檔案信息系統最重要的部分,也是高校最寶貴的資產。系統數據安全的控制工作是非常關鍵的,其目的在于保障數據的安全性和完整性,避免人為原因造成的惡意破壞和竊取。數據安全防護的主要手段有：嚴格控制用戶訪問行為,明確劃分用戶權限;規范數據操作流程和保存方法。數據安全控制過程中應重點關注：應選擇具有計算機行業相關專業知識,具有崗位資格或接受過相關培訓的人員作為數據操作人員;檔案信息系統要求能夠記錄所有用戶行為,并將其形成日志保存,充分備份,以用于控制工作。

2.數據傳輸控制。檔案信息系統中,數據在子系統之間傳輸的過程中也是極為容易出現問題的,尤其是一些高校檔案信息系統需要訪問互聯網資源的,就更容易在數據傳輸過程中出現數據安全問題。數據需要傳輸的情況很多,如果只靠員工個人的努力,是沒有辦法避免問題的。比如某業務需要手工錄入數據,并同時同步到幾個子系統的情況。如果數據在同步傳輸的過程中發生了變化,致使各子系統得到的參考數據不一致,就會出現非常嚴重的后果。

由上例可知,在數據傳輸控制過程中,要重點關注如下問題和常規解決辦法：

(1)數據的可靠性、完整性。問題：如何檢驗數據在傳輸過程中是否發生變化?解決辦法：常規辦法是使用數據校驗碼,將校驗碼和數據同時進行傳輸,接收方使用校驗碼和數據進行匹配,成功后證明數據是正確和完整的。匹配不成功,要求系統重新發送數據,避免數據錯誤造成的損失。

(2)數據路徑的可靠性。問題：不同的子系統同時進行一個數據傳輸行為,如何判斷數據是否為我們所需?解決方法：常規辦法是業務流程需要捕獲并驗證數據來源地址,查詢系統相關配置,與配置要求一致時,可認為數據路徑可靠。問題：從網站平臺獲得的數據,如何保障其可靠性?解決方法：配備云鎖系統及構建網站云主機。其中云鎖系統是集合服務器安全管理與監控為一體的免費安全軟件,通過PC端即可實現對服務器端的遠程安全管理與監控,能有效防御病毒、木馬、后門等惡意代碼和CC攻擊、XSS跨站攻擊、網頁篡改、掛黑鏈等黑客行為,有效保護服務器和網站安全。通過構建網站云主機,可選購快速建站、CDN云節點中心、負載均衡、彈性配置、二層隔離、私有網絡等特有功能,除了在網站速度上做到極致,還可以杜絕內網入侵和外部掃描,它與云鎖結合可謂是無衣無縫,就算網站有漏洞,在云鎖的防御中也很難實現入侵,確保網站運行快、網站不被黑。

(四)重視檔案信息系統的安全運維管理

要確保檔案信息安全,單靠技術層面是無法解決問題的,必須從管理、技術、服務等多個層面同時著力。在安全管理方面,應從安全管理機構的優化、系統建設管理的開發、安全管理制度的完善、系統運維體系的建設出發,盡可能減少非技術問題引發的安全威脅。在安全服務方面,網站應在醒目位置展示一些基本的網絡安全知識,并在網站的設計中廣泛咨詢客戶的意見和建議,建立信息安全評估部門,定期對運維人員進行安全培訓,加強安全巡檢,使安全加固常態化,

三、結束語

綜上所述,檔案安全威脅是隨著信息技術發展而不斷發展和變化的,檔案安全體系建設也同樣是一個長期、動態的過程。要構建完備有效的檔案信息安全體系,必須多措并舉,從管理、技術、安全基礎設施建設、安全宣傳等多方面著手,持續不斷地進行改進和完善。