周明華（江蘇省檔案館，江蘇南京，210008）

多措并舉，全力推進(jìn)檔案信息安全等級(jí)保護(hù)工作

周明華（江蘇省檔案館，江蘇南京，210008）

信息安全等級(jí)保護(hù)制度是國(guó)家在國(guó)民經(jīng)濟(jì)和社會(huì)信息化的發(fā)展過(guò)程中，提高信息安全保障能力和水平，維護(hù)國(guó)家安全、社會(huì)穩(wěn)定和公共利益，保障和促進(jìn)信息化建設(shè)健康發(fā)展的一項(xiàng)基本制度。近幾年來(lái)，江蘇省檔案局館積極推進(jìn)檔案信息化和電子政務(wù)建設(shè)，全面落實(shí)檔案信息系統(tǒng)等級(jí)保護(hù)制度，取得了成效。目前，江蘇省檔案局館有三網(wǎng)（政務(wù)內(nèi)網(wǎng)、局辦公網(wǎng)、館業(yè)務(wù)網(wǎng)）、一站（江蘇檔案信息網(wǎng)站）和一中心（省電子檔案中心）。其中，江蘇檔案信息網(wǎng)站2008年底定為二級(jí)（指導(dǎo)保護(hù)級(jí)）信息系統(tǒng)，并向江蘇省公安廳備案，2010年進(jìn)行了等級(jí)保護(hù)測(cè)評(píng)、整改加固工作。省電子檔案中心建設(shè)項(xiàng)目從建設(shè)初始，就積極貫徹信息安全設(shè)施同步建設(shè)的原則，保障信息安全與信息化建設(shè)相適應(yīng)。我們的做法和體會(huì)是：

一、健全組織機(jī)構(gòu)，深化制度建設(shè)

局領(lǐng)導(dǎo)歷來(lái)十分重視信息安全保密管理工作。謝波局長(zhǎng)到局館上任不久，就專門召開(kāi)了一次檔案信息安全保密專題會(huì)議，明確要求在新形勢(shì)下，信息安全保密工作要采取積極防范措施，預(yù)防、堵塞、消除不安全漏洞。局館建立了主要領(lǐng)導(dǎo)對(duì)信息安全工作負(fù)總責(zé)，分管領(lǐng)導(dǎo)具體負(fù)責(zé)，局信息安全領(lǐng)導(dǎo)小組負(fù)責(zé)信息安全管理工作，技術(shù)部進(jìn)行日常信息安全管理工作的管理體制。層層落實(shí)安全責(zé)任，使每名機(jī)關(guān)工作人員都成為信息安全工作的支持者、實(shí)踐者和執(zhí)行者，以積極的態(tài)度參與信息安全管理工作。2011年度，我局被江蘇省信息安全領(lǐng)導(dǎo)小組辦公室評(píng)為省信息安全工作先進(jìn)單位。

制度建設(shè)是做好信息系統(tǒng)等級(jí)保護(hù)工作的基本保障，沒(méi)有制度的保障，等級(jí)保護(hù)工作也難以落到實(shí)處。我們根據(jù)等級(jí)保護(hù)的政策和標(biāo)準(zhǔn)體系，本著“堵漏、補(bǔ)缺、實(shí)用”的原則，修訂、完善了網(wǎng)絡(luò)與信息系統(tǒng)安全工作的各項(xiàng)規(guī)章制度及操作規(guī)程，并建立各類管理臺(tái)賬，使信息系統(tǒng)等級(jí)保護(hù)工作有據(jù)可依、有章可循。在信息上網(wǎng)工作中，認(rèn)真落實(shí)“控制源頭、加強(qiáng)檢查、明確責(zé)任、落實(shí)制度”和“誰(shuí)上網(wǎng)、誰(shuí)負(fù)責(zé)”的管理原則，確?！吧婷苄畔⒉簧暇W(wǎng)，上網(wǎng)信息不涉密”。

二、持續(xù)增加投入，增強(qiáng)安全防護(hù)

為確保信息安全工作持續(xù)開(kāi)展，我局將信息安全防護(hù)設(shè)施和信息安全服務(wù)等相關(guān)經(jīng)費(fèi)投入納入年度預(yù)算，根據(jù)實(shí)際投入和需求合理分配經(jīng)費(fèi)配額。

安全基礎(chǔ)建設(shè)是安全防護(hù)和管理的前提。我局嚴(yán)格按照安全規(guī)范標(biāo)準(zhǔn)和要求，對(duì)所有信息資產(chǎn)進(jìn)行規(guī)范標(biāo)識(shí)和全生命周期安全管理。所有信息化基礎(chǔ)建設(shè)和工作中均有安全工作方案，電子檔案中心建設(shè)具有UPS供電、防火、防雷、防盜竊、防靜電、防電磁泄漏以及溫濕度控制等安全功能，并部署了機(jī)房監(jiān)控系統(tǒng)。在檔案數(shù)字化掃描加工室及外聘人員工作室全部安裝監(jiān)控系統(tǒng)。

近年來(lái)，我局先后配置完善了綜合網(wǎng)關(guān)（防火墻、入侵檢測(cè)）、桌面管理、終端安全準(zhǔn)入及管理系統(tǒng)、防病毒軟件、數(shù)據(jù)備份及頁(yè)面防篡改等國(guó)產(chǎn)安全設(shè)備，專門購(gòu)置了涉密計(jì)算機(jī)檢查工具軟件，完成了“辦公軟件正版化”工作，并按要求在內(nèi)網(wǎng)中全部使用國(guó)產(chǎn)辦公軟件。委托具有相關(guān)資質(zhì)的國(guó)內(nèi)信息安全服務(wù)廠商進(jìn)行等級(jí)保護(hù)測(cè)評(píng)、安全風(fēng)險(xiǎn)評(píng)估、外部安全測(cè)試及安全檢查等工作。

三、規(guī)范日常管理，加強(qiáng)技術(shù)防范

隨著信息技術(shù)的發(fā)展，危害信息安全的手段也在不斷更新和變化，因此只有將信息安全等級(jí)保護(hù)制度落實(shí)到信息系統(tǒng)安全規(guī)劃、建設(shè)、測(cè)評(píng)、運(yùn)行維護(hù)和使用等各個(gè)環(huán)節(jié)，防管并舉，才能達(dá)到較好的安全效果。

我局從資產(chǎn)管理、監(jiān)控管理、流程管理、外包管理、綜合管理等方面構(gòu)筑檔案信息安全管理體系，確保檔案信息系統(tǒng)的安全運(yùn)維，實(shí)現(xiàn)對(duì)檔案信息安全事件的可預(yù)防、可發(fā)現(xiàn)、可控制。按照重點(diǎn)保護(hù)和分類保護(hù)的原則，合理劃分信息系統(tǒng)安全保護(hù)區(qū)域、層次、重點(diǎn)和等級(jí)，借助信息技術(shù)和信息化手段，實(shí)現(xiàn)對(duì)安全風(fēng)險(xiǎn)和安全運(yùn)維進(jìn)行系統(tǒng)化和全過(guò)程監(jiān)控管理。我局嚴(yán)格實(shí)行內(nèi)外網(wǎng)物理隔離，實(shí)行IP－MAC地址綁定，嚴(yán)格控制終端入網(wǎng)和訪問(wèn)；制定合理的安全策略，定期查殺病毒木馬，修補(bǔ)系統(tǒng)漏洞，有效降低信息系統(tǒng)安全隱患。安排專人對(duì)網(wǎng)絡(luò)設(shè)備、服務(wù)器設(shè)備、系統(tǒng)線路和機(jī)房環(huán)境進(jìn)行定期巡檢，審查分析并定期保存系統(tǒng)日志信息，對(duì)分析結(jié)果進(jìn)行排查，及時(shí)消除安全隱患。設(shè)置資產(chǎn)管理清單，對(duì)計(jì)算機(jī)及相關(guān)設(shè)備的采購(gòu)、使用、維修、報(bào)廢銷毀等進(jìn)行審批與記錄。

四、強(qiáng)化教育培訓(xùn)，建立保障隊(duì)伍

落實(shí)信息安全等級(jí)保護(hù)工作與機(jī)關(guān)所有工作人員息息相關(guān)，我局非常重視信息安全教育，每年都分層次開(kāi)展信息安全教育培訓(xùn)。一是通過(guò)專家講座、觀看錄像、實(shí)地演示、參觀展覽等方式，對(duì)全體人員進(jìn)行信息安全知識(shí)和技術(shù)普及教育，提高全體人員的信息安全意識(shí)，增強(qiáng)基本防護(hù)技能。二是派技術(shù)維護(hù)人員不定期參加省信安辦、省保密局等有關(guān)單位組織的教育培訓(xùn)活動(dòng)，及時(shí)了解新情況、新問(wèn)題，掌握新技術(shù)，不斷提高信息安全保障水平。三是與專業(yè)服務(wù)機(jī)構(gòu)合作，共同建立起由局館技術(shù)人員、專業(yè)技術(shù)人員組成的信息安全隊(duì)伍，形成層次清晰、優(yōu)勢(shì)互補(bǔ)的運(yùn)維管理體制。

五、嚴(yán)格檢查整改，促進(jìn)安全保障

信息系統(tǒng)安全檢查和自查是一項(xiàng)非常重要且十分有效的工作方式。以檢查為手段，以整改為牽引，能夠有效地促進(jìn)信息安全保障水平的提升，提高信息系統(tǒng)的整體防護(hù)能力。我們每年都要組織開(kāi)展信息安全檢查工作，對(duì)照檢查內(nèi)容，制定實(shí)施方案，分解檢查工作任務(wù)，按照相關(guān)管理要求和技術(shù)標(biāo)準(zhǔn)，認(rèn)真開(kāi)展安全檢查工作。對(duì)檢查發(fā)現(xiàn)的問(wèn)題，及時(shí)采取管理和技術(shù)措施，積極進(jìn)行排查、清理和整改。如今年4月份，我們發(fā)現(xiàn)“江蘇檔案信息網(wǎng)”查檔接待、監(jiān)督投訴、在線咨詢等互動(dòng)欄目收到大量無(wú)意義信息的問(wèn)題，這些信息均由同一個(gè)用戶，在數(shù)小時(shí)之內(nèi)完成發(fā)送的。網(wǎng)站互動(dòng)欄目是政府網(wǎng)站必需項(xiàng)目，是提供在線服務(wù)、進(jìn)行公眾互動(dòng)交流的重要渠道，但是一些網(wǎng)民因?yàn)榉N種原因，會(huì)發(fā)送一些無(wú)意義信息，甚至是發(fā)送一些不良信息，這種情況在所難免，只能防范，無(wú)法杜絕?？紤]方便群眾利用和保護(hù)個(gè)人信息要求，我們采取在用戶使用互動(dòng)欄目提交發(fā)送時(shí)，增加輸入“識(shí)別驗(yàn)證碼”的措施，以防范用戶利用程序自動(dòng)發(fā)送大量無(wú)意義的信息。

六、注重?cái)?shù)據(jù)備份，完善應(yīng)急預(yù)案

數(shù)據(jù)安全是數(shù)字檔案的生命線，隨著檔案信息化的快速發(fā)展，檔案數(shù)據(jù)規(guī)模越來(lái)越大，重要數(shù)據(jù)的丟失或毀壞將會(huì)帶來(lái)災(zāi)難性的后果，然而病毒入侵、硬件故障、系統(tǒng)崩潰、自然災(zāi)害等難以預(yù)測(cè)的意外問(wèn)題，以及誤操作等人為因素都時(shí)刻威脅著檔案數(shù)據(jù)的完整和安全。因此，我們將數(shù)據(jù)備份作為檔案信息化的一項(xiàng)基礎(chǔ)性工作，建立多重?cái)?shù)據(jù)備份機(jī)制，定期對(duì)檔案數(shù)據(jù)進(jìn)行在線、離線和脫機(jī)備份。根據(jù)國(guó)家檔案局的規(guī)定，江蘇省檔案局與湖南省檔案局簽訂了互為“異地異質(zhì)備份”基地的協(xié)議，構(gòu)建起重要檔案數(shù)據(jù)多道安全保存的“防護(hù)網(wǎng)”。2012年7月，首批備份數(shù)據(jù)和縮微膠片已安全送到湖南省檔案館保存。

為積極應(yīng)對(duì)信息系統(tǒng)安全突發(fā)事件，做到預(yù)防有效、反應(yīng)及時(shí)、處置得當(dāng)，2010年我局編制了《網(wǎng)絡(luò)與信息安全事件應(yīng)急預(yù)案》，明確工作機(jī)構(gòu)、處置辦法、處置流程，明確應(yīng)急技術(shù)支援隊(duì)伍。2012年8月，我們進(jìn)行了以網(wǎng)站網(wǎng)頁(yè)遭篡改和局域網(wǎng)大面積出現(xiàn)病毒為主要內(nèi)容的信息安全應(yīng)急模擬演練，以檢驗(yàn)應(yīng)對(duì)突發(fā)信息安全事件的應(yīng)急響應(yīng)與處置能力。

隨著檔案信息化及電子政務(wù)系統(tǒng)的廣泛應(yīng)用，目前信息安全和保密工作重點(diǎn)已從傳統(tǒng)領(lǐng)域轉(zhuǎn)至計(jì)算機(jī)信息網(wǎng)絡(luò)。信息安全等級(jí)保護(hù)工作是一項(xiàng)需要常抓不懈的工作。今后我們將在上級(jí)部門的指導(dǎo)下，進(jìn)一步加強(qiáng)組織領(lǐng)導(dǎo)、健全制度規(guī)范、嚴(yán)格檢查監(jiān)督，完善長(zhǎng)效機(jī)制，積極應(yīng)對(duì)新情況、新形勢(shì)、新發(fā)展，全面推進(jìn)檔案信息系統(tǒng)安全等級(jí)保護(hù)工作。