程 娅

(浙江纺织服装职业技术学院)

高校档案信息系统安全体系建设初探

程 娅

(浙江纺织服装职业技术学院)

进入信息时代,信息安全问题日益突出。高校面临的业务风险将与高校档案信息系统是否能够安全、稳定、可靠地运行直接挂钩。高校档案信息系统如果得不到安全有效的保护,可能会对高校工作开展和品牌形象等方面带来巨大影响,甚至是严重损害。因此,对于高校来说,加强档案信息系统安全体系建设至关重要。

高校档案 信息系统 安全体系 建设

随着互联网和信息技术的发展,用信息化技术武装、改造高校工作已成为一种潮流和趋势,现如今高校档案工作也搭上了信息化的快车。越来越多的高校在内部建立起符合自身业务特点的档案信息系统,以提高高校的档案工作效率,整合、分析、积累有用的信息来协助高校决策。但与信息化随之而来的是信息安全问题。高校档案信息系统如果得不到安全有效的保护,可能会对高校工作开展和品牌形象等方面造成巨大影响和严重损害。因此,高校档案信息系统在满足其自身业务需求的同时,还要保障系统安全、稳定、高效地运行。这就要求高校档案部门重视档案安全防护体系建设,将档案信息安全工作纳入高校发展策略和安全保障体系建设规划,努力为高校业务开展提供有效服务和基础支撑。

一、当前高校档案信息安全现状及存在的主要问题

高校档案是国家信息资源的重要组成部分,加强高校档案安全体系建设,对于维护高校真实历史面貌,对于高校档案工作的可持续发展,都具有十分重要的意义。我国是一个幅员辽阔的国家,同时也是一个自然灾害频发的国家,洪涝、干旱、台风、泥石流、地震等各种自然灾害时有发生。近几年汶川、玉树地震,南方雪灾,洪涝等灾害事件无不对档案安全造成严重威胁。在对这些自然灾害的反思中,我们必须深刻认识到,面对日益复杂的社会环境和频发的自然灾害,保证档案信息安全已是摆在档案部门面前的迫切任务。当前高校档案信息安全方面还存在不少问题：

1.高校档案管理人员安全意识淡薄。不少高校档案管理人员或多或少存在重前台业务、轻安全管理的思想,将档案信息安全看成是负担或可做可不做的工作。有的因自身水平有限,对档案信息安全不了解或认识不到位,认为档案信息安全是高校信息部门或软硬件厂商的事,档案部门不需管也管不了。

2.档案信息安全管理机制不健全。有的高校档案信息安全管理制度不健全或流于形式,导致档案安全工作无章可循,档案安全制度落实不到位,缺乏有效的制度执行保障和机制,没有将安全责任具体落实到岗到人。

3.档案信息安全软硬件设施和运维管理不到位。一些高校事关档案安全的设施和设备到位率低,严重威胁档案的安全保管,对档案设施设备投入不足,安全防范措施形同虚设,存在严重的安全隐患。一些高校档案工作物质保障情况非常差：档案室破旧、设施设备缺失、经费保障不足。这些情况很容易导致档案安全事故的发生。档案安全管理的经费投入不足,一些处于经济欠发达地区的高校档案部门经费长期得不到有效保障,加上专业人员不足等问题,导致信息系统的软硬件运维管理不到位。

4.档案信息安全风险管理和防范措施不到位。如未开展档案信息系统安全评估工作,未制定档案信息安全相关应急预案或应急处置管理不到位;档案数据存在较大安全风险,未按要求开展本地、异地备份或备份措施不到位等。

二、高校档案信息系统安全的主要风险分析及应对措施

(一)加强档案信息系统的硬件安全管理

直观来讲,软硬件设施的安全直接决定着档案信息系统的安全性,是档案信息系统安全体系建设的基础。在高校实际工作中,将面临硬件审核、网络入侵、病毒和数据安全等方面的问题,需要制定符合自身业务特点的策略。

1.硬件设备问题。多数高校档案信息系统是外包定制开发的,且在运维过程中,对于系统硬件设备的维护和管理不够重视,更谈不上有完善的保障机制和运维制度。一旦系统因为硬件设备故障、断电或网络问题造成信息丢失、服务中断等问题无法正常使用,就会给高校造成巨大的损失。由此可见,对硬件设备的安全运维和妥善管理是高校档案信息系统安全体系的基础保障,是高校管理者不能忽视的一个环节。

常规的硬件设备运维需要重点关注以下几个方面：(1)档案信息系统要求不断电运行的,要配置UPS电源,提供可应急的不间断供电;定时检查UPS运行情况。(2)要建立定期巡检制度,安排专人负责对硬件设备、网络等运行状态进行检查,发现问题及时上报、处理。(3)保证系统数据安全,对接入硬件设备的介质进行严格管理,并对进入机房的人员进行登记。为保证系统硬件设备安全,尽量采用远程方式对硬件设备进行操作。

2.网络入侵问题。网络入侵主要以盗取信息和攻击系统为目的,并利用系统自身存在的漏洞对系统进行操作。高校需要根据自身网络特点对系统安全设备进行配置,避免外界非法访问高校内部资源。

常规的防范措施如下：制定相应的访问控制策略,根据业务需要严格控制员工对设备、资源的访问方式和时限;管控硬件设备端口,只按需开放制定端口,减少漏洞,增加入侵难度;定期扫描系统漏洞,更新相应补丁。有条件的话,可以部署IPS (入侵防御系统)和IDS(入侵检测系统)设备。

3.病毒问题。病毒主要是针对档案信息系统所部署的操作系统进行攻击。一旦操作系统感染病毒,就会造成档案信息系统的崩溃、信息丢失等严重问题。

常规防范措施如下：在操作系统中安装杀毒软件,并定期对其更新;根据高校自身网络特性,对杀毒软件进行正确的安全配置,降低感染病毒的风险。

4.数据安全问题。数据是档案信息系统最核心的财富,因此,数据安全是系统安全的重中之重。

数据安全包括数据存储安全和数据传输安全两方面,具体防范措施如下：数据存储方面,采用定期备份机制,做到多位置保存数据及数据完整性和恢复能力;数据传输方面,采用数据密钥、VPN网络传输等方法,保证数据的安全传输。

(二)加强档案信息系统的安全机制建设

档案信息系统安全管理是安全技术能够完善实施的有力保障。俗话说,三分技术、七分管理,技术再好,没有好的管理,技术也无法顺利实施。因此,完善的管理制度是档案信息系统安全体系建设的重要组成部分。

1.建立和完善高校档案信息系统安全管理制度。安全管理制度应根据国家有关档案及信息系统安全的政策法规和标准规范制定,它是高校档案信息系统安全体系建设的重要基础,对于保障档案信息系统的正常运行具有十分重要的作用。

2.普及信息安全知识,提高员工相关安全意识。多数高校管理者大多关注业务环节的运行安全,而对后台历史信息数据的安全不够重视。为此,要重视信息安全宣传工作,提高员工对专业技能、行业特点及安全管理的认知程度,提高员工的信息安全防范意识。安全宣传必须覆盖所有业务部门、技术部门和管理部门,所有员工都应该参与其中。

3.严格执行安全制度,狠抓制度落实。随着信息技术的高速发展,档案信息系统安全管理的难度也在不断加大。当前高校管理者普遍要面临的问题是,如何在遵守相关法律法规及行业标准的基础上,建立健全有效的、可实施性强的信息安全制度。为此,高校管理者需要不断更新知识,认真分析档案信息系统出现的新问题、新漏洞,将发现的问题和解决方案整合完善为一套新的、更加严密的档案信息系统安全管理制度。不断提高制度的有效性、可执行性,要求安全制度具有可操作性、合理性,无语言歧义,包含清晰、明确的操作步骤。严格执行档案信息系统的操作流程和管理办法,将安全责任落实到岗到人,全力消除档案信息系统安全隐患。管理过程中,发现问题及时上报,并按照相关规定进行处理。

4.建立和完善信息系统安全管理平台。为应对高校档案信息系统日益严峻的安全问题,在加强系统安全基础设施建设的同时,必须建立一个功能性强的信息系统安全管理平台,以全面贯彻高校的安全管理思路,将安全管理制度融入所有的业务流程中。通过平台功能实现量化安全管理标准,提升高校档案信息系统安全管理标准的可执行性。

(三)加强档案信息系统安全防范和控制

档案信息系统安全防范和控制是指系统管理人员对高校档案信息系统的安全漏洞、防范措施等进行评估、处置的过程。做好高校档案信息系统安全体系建设,需要对系统安全进行防范和控制,及时发现并解决安全漏洞,不断提升安全管理水平,这是一个长期的,需要持续不断更新的系统工程。在普通意义上,根据档案信息系统的特性,安全防范和控制工作包括如下内容：

1.数据控制。前文提到过数据是档案信息系统最重要的部分,也是高校最宝贵的资产。系统数据安全的控制工作是非常关键的,其目的在于保障数据的安全性和完整性,避免人为原因造成的恶意破坏和窃取。数据安全防护的主要手段有：严格控制用户访问行为,明确划分用户权限;规范数据操作流程和保存方法。数据安全控制过程中应重点关注：应选择具有计算机行业相关专业知识,具有岗位资格或接受过相关培训的人员作为数据操作人员;档案信息系统要求能够记录所有用户行为,并将其形成日志保存,充分备份,以用于控制工作。

2.数据传输控制。档案信息系统中,数据在子系统之间传输的过程中也是极为容易出现问题的,尤其是一些高校档案信息系统需要访问互联网资源的,就更容易在数据传输过程中出现数据安全问题。数据需要传输的情况很多,如果只靠员工个人的努力,是没有办法避免问题的。比如某业务需要手工录入数据,并同时同步到几个子系统的情况。如果数据在同步传输的过程中发生了变化,致使各子系统得到的参考数据不一致,就会出现非常严重的后果。

由上例可知,在数据传输控制过程中,要重点关注如下问题和常规解决办法：

(1)数据的可靠性、完整性。问题：如何检验数据在传输过程中是否发生变化?解决办法：常规办法是使用数据校验码,将校验码和数据同时进行传输,接收方使用校验码和数据进行匹配,成功后证明数据是正确和完整的。匹配不成功,要求系统重新发送数据,避免数据错误造成的损失。

(2)数据路径的可靠性。问题：不同的子系统同时进行一个数据传输行为,如何判断数据是否为我们所需?解决方法：常规办法是业务流程需要捕获并验证数据来源地址,查询系统相关配置,与配置要求一致时,可认为数据路径可靠。问题：从网站平台获得的数据,如何保障其可靠性?解决方法：配备云锁系统及构建网站云主机。其中云锁系统是集合服务器安全管理与监控为一体的免费安全软件,通过PC端即可实现对服务器端的远程安全管理与监控,能有效防御病毒、木马、后门等恶意代码和CC攻击、XSS跨站攻击、网页篡改、挂黑链等黑客行为,有效保护服务器和网站安全。通过构建网站云主机,可选购快速建站、CDN云节点中心、负载均衡、弹性配置、二层隔离、私有网络等特有功能,除了在网站速度上做到极致,还可以杜绝内网入侵和外部扫描,它与云锁结合可谓是无衣无缝,就算网站有漏洞,在云锁的防御中也很难实现入侵,确保网站运行快、网站不被黑。

(四)重视档案信息系统的安全运维管理

要确保档案信息安全,单靠技术层面是无法解决问题的,必须从管理、技术、服务等多个层面同时着力。在安全管理方面,应从安全管理机构的优化、系统建设管理的开发、安全管理制度的完善、系统运维体系的建设出发,尽可能减少非技术问题引发的安全威胁。在安全服务方面,网站应在醒目位置展示一些基本的网络安全知识,并在网站的设计中广泛咨询客户的意见和建议,建立信息安全评估部门,定期对运维人员进行安全培训,加强安全巡检,使安全加固常态化,

三、结束语

综上所述,档案安全威胁是随着信息技术发展而不断发展和变化的,档案安全体系建设也同样是一个长期、动态的过程。要构建完备有效的档案信息安全体系,必须多措并举,从管理、技术、安全基础设施建设、安全宣传等多方面着手,持续不断地进行改进和完善。