試談檔案信息系統實施等保測評的必要性

陳紅

國家檔案局、中央檔案館2002年12月《全國檔案信息化建設實施綱要》（檔發[2002]8號）提出了在“十五”期間全國檔案信息化的建設目標和主要任務：加快檔案信息化基礎設施建設，加強電子文件歸檔和電子檔案的規范化管理，推動館藏檔案的數字化和數據庫建設，在部分中心城市建設示范性數字檔案館，開展公眾網查詢檔案信息服務，加快推進檔案信息化標準體系建設、安全保障體系和人才隊伍建設。

一、頂層設計，國家檔案局明確要求

國家檔案局2010年6月《數字檔案館建設指南》，明確指出數字檔案館的建設目標為：緊緊依靠國家和當地信息化基礎設施建設環境，充分利用各種政務平臺、公眾網平臺以及各類網絡資源，以先進的信息技術為手段，集成建設適應本部門本單位一定時期內數字檔案管理需要的網絡平臺，開發應用符合功能需求的管理系統，推動館藏資源數字化、增量檔案電子化，逐步實現對數字檔案信息資源的網絡樺管理以及分層次多渠道提供檔案信息資源利用和社會共享服務。建設內容中有一條“配套建設數字檔案館保障體系，確保數字檔案館系統安全和數字檔案信息安全”。對保障體系建設問題，《指南》更是明確指出：安全保障體系建設是數字檔案館建設的基礎工作，數字檔案館的安全包括數字檔案數據的安全和信息系統及其網絡平臺的安全。數字安全就是要保證數字檔案信息的可靠、可用、不泄密、不被非法更改等，系統及其網絡平臺安全就是要保持系統軟硬件的穩定性、可靠性、可控性。

二、多方聯合，相關部門共同推動

公安部、國家保密局、國家密碼管理局、國務院信息化工作辦公室《關于印發信息安全等級保護管理辦法》（公通字[2007]43號）對信息安全等級劃分與保護又作了進一步明確，同時要求：信息系統建設完成后，運營、使用單位或者其主管部門應當選擇符合本辦法規定條件的測評機構，依據《信息系統安全等級保護測評要求》等技術標準，定期對信息系統安全等級狀況開展等級測評。經測評或自查，信息系統安全狀況未達到安全保護要求的，運營、使用單位應當制定方案進行整改。

三、實地測評，安全隱患敲響警鐘

2015年，按照如皋市政府統一部署，如皋市檔案局（館）對該局（館）數字檔案館系統——館藏資源管理系統進行了定級申報，根據等級劃分標準，申報了三級等級保護。如皋市檔案館館藏資源管理系統是如皋市檔案局的核心系統，保存有所有館藏重要的檔案目錄和全文數據。虛擬檔案室系統是館藏資源管理系統中的核心子系統，采用數字技術存儲信息，通過網絡技術使分散于不同立檔單位的檔案信息通過電子通訊系統聯系在一起，全市近100家立檔單位可通過該系統實現檔案的收集、整理、鑒定、數字化、移交、備份等檔案業務工作及OA辦公系統產生電子文件、政府公開信息的實時移交。

如皋市檔案局館藏資源管理系統是局域網內的內網系統，和外網是物理隔離的，安全保護等級為三級。經如皋市政府統一招標，由南通鑫暉網絡科技有限公司承擔本次的安全等級測評工作。按照GB/T 28449-2012《信息安全技術信息系統安全等級保護測評過程指南》要求，本次測評的范圍主要包括與如皋市館藏資源管理系統相關的網絡與安全設備操作系統、應用軟件系統、主機操作系統、數據庫管理系統、安全相關人員、機房、介質以及管理文檔。本次測評參照GB/T 22239-2008《信息安全技術信息系統安全等級保護基本要求》、GB/T 28448-2012《信息安全技術 信息系統安全等級保護測評要求》中的第三級系統標準要求。

測評公司通過訪談相關管理人員和技術人員，檢查服務器主機操作系統、應用系統、數據庫系統的配置項，查看部分安全管理相關規章、制度和記錄文檔，使用等保檢查工具及漏洞掃描工具對應用服務器主機操作系統以及應用軟件的安全漏洞進行測試，將所有信息進行綜合分析，以確定信息系統的安全性。

四、明晰思路，等保測評勢在必行。

一是確定保護等級。《數字檔案館建設指南》要求，數字檔案館系統一般要求達到二級（系統審計保護級）以上安全保護標準。《信息安全等級保護管理辦法》中第二級“是指信息系統受到破壞后，會對公民、法人和其他組織的合法權益產生嚴重損害，或者對社會秩序和公共利益造成損害，但不損害國家安全。”第三級是指“信息系統受到破壞后，會對社會秩序和公共利益造成嚴重損害，或者對國家安全造成損害”。據此，本人認為，檔案信息系統需達到三級以上安全保護標準。

二是明確工作目標。依據信息安全等級保護保護有關政策和標準，通過組織開展信息安全等級保護安全管理制度建設、技術措施建設和等級測評，落實等級保護制度的各項要求，使檔案信息系統安全管理水平明顯提高，安全防范能力明顯增強，安全隱患和安全事故明顯減少，有效保障檔案信息化健康發展，維護國家安全、社會秩序和公共利益。

三是細化工作內容。開展檔案信息安全等級保護管理制度建設，提高信息系統安全管理水平。建立健全并落實符合相應等級要求的安全管理制度，如信息安全責任制、人員安全管理制度、系統建設管理制度、系統運維管理制度等；開展信息安全等級保護安全技術措施建設，提高信息系統安全保護能力。開展信息安全等級保護安全技術措施建設，落實相應的物理安全、網絡安全、主機安全、應用安全和數據安全等安全保護技術措施，建立并完善信息系統綜合防范體系，提高系統的安全防護能力和水平；開展信息系統安全等級測評，使信息系統安全保護狀況逐步達到等級保護要求。對照相應等級安全保護要求進行差距分析，排查系統安全漏洞和隱患并分析其風險，進出整改建議。

四是落實工作要求。統一組織，加強領導。按照“誰主管、誰負責”的原則，切實加強對信息安全等級保護安全建設整改工作的組織領導，完善工作機制。循序漸進，分步實施。結合本單位檔案信息系統數量、等級、規模等實際情況，按照先重點后一般的順序開展。結合實際，制定規范。在不低于等級保護基本要求的情況下，結合系統安全保護的特殊需求，制定行業標準規范或細則。