陳紅

國家檔案局、中央檔案館2002年12月《全國檔案信息化建設(shè)實(shí)施綱要》（檔發(fā)[2002]8號(hào)）提出了在“十五”期間全國檔案信息化的建設(shè)目標(biāo)和主要任務(wù)：加快檔案信息化基礎(chǔ)設(shè)施建設(shè)，加強(qiáng)電子文件歸檔和電子檔案的規(guī)范化管理，推動(dòng)館藏檔案的數(shù)字化和數(shù)據(jù)庫建設(shè)，在部分中心城市建設(shè)示范性數(shù)字檔案館，開展公眾網(wǎng)查詢檔案信息服務(wù)，加快推進(jìn)檔案信息化標(biāo)準(zhǔn)體系建設(shè)、安全保障體系和人才隊(duì)伍建設(shè)。

一、頂層設(shè)計(jì)，國家檔案局明確要求

國家檔案局2010年6月《數(shù)字檔案館建設(shè)指南》，明確指出數(shù)字檔案館的建設(shè)目標(biāo)為：緊緊依靠國家和當(dāng)?shù)匦畔⒒A(chǔ)設(shè)施建設(shè)環(huán)境，充分利用各種政務(wù)平臺(tái)、公眾網(wǎng)平臺(tái)以及各類網(wǎng)絡(luò)資源，以先進(jìn)的信息技術(shù)為手段，集成建設(shè)適應(yīng)本部門本單位一定時(shí)期內(nèi)數(shù)字檔案管理需要的網(wǎng)絡(luò)平臺(tái)，開發(fā)應(yīng)用符合功能需求的管理系統(tǒng)，推動(dòng)館藏資源數(shù)字化、增量檔案電子化，逐步實(shí)現(xiàn)對數(shù)字檔案信息資源的網(wǎng)絡(luò)樺管理以及分層次多渠道提供檔案信息資源利用和社會(huì)共享服務(wù)。建設(shè)內(nèi)容中有一條“配套建設(shè)數(shù)字檔案館保障體系，確保數(shù)字檔案館系統(tǒng)安全和數(shù)字檔案信息安全”。對保障體系建設(shè)問題，《指南》更是明確指出：安全保障體系建設(shè)是數(shù)字檔案館建設(shè)的基礎(chǔ)工作，數(shù)字檔案館的安全包括數(shù)字檔案數(shù)據(jù)的安全和信息系統(tǒng)及其網(wǎng)絡(luò)平臺(tái)的安全。數(shù)字安全就是要保證數(shù)字檔案信息的可靠、可用、不泄密、不被非法更改等，系統(tǒng)及其網(wǎng)絡(luò)平臺(tái)安全就是要保持系統(tǒng)軟硬件的穩(wěn)定性、可靠性、可控性。

二、多方聯(lián)合，相關(guān)部門共同推動(dòng)

公安部、國家保密局、國家密碼管理局、國務(wù)院信息化工作辦公室《關(guān)于印發(fā)信息安全等級(jí)保護(hù)管理辦法》（公通字[2007]43號(hào)）對信息安全等級(jí)劃分與保護(hù)又作了進(jìn)一步明確，同時(shí)要求：信息系統(tǒng)建設(shè)完成后，運(yùn)營、使用單位或者其主管部門應(yīng)當(dāng)選擇符合本辦法規(guī)定條件的測評機(jī)構(gòu)，依據(jù)《信息系統(tǒng)安全等級(jí)保護(hù)測評要求》等技術(shù)標(biāo)準(zhǔn)，定期對信息系統(tǒng)安全等級(jí)狀況開展等級(jí)測評。經(jīng)測評或自查，信息系統(tǒng)安全狀況未達(dá)到安全保護(hù)要求的，運(yùn)營、使用單位應(yīng)當(dāng)制定方案進(jìn)行整改。

三、實(shí)地測評，安全隱患敲響警鐘

2015年，按照如皋市政府統(tǒng)一部署，如皋市檔案局（館）對該局（館）數(shù)字檔案館系統(tǒng)——館藏資源管理系統(tǒng)進(jìn)行了定級(jí)申報(bào)，根據(jù)等級(jí)劃分標(biāo)準(zhǔn)，申報(bào)了三級(jí)等級(jí)保護(hù)。如皋市檔案館館藏資源管理系統(tǒng)是如皋市檔案局的核心系統(tǒng)，保存有所有館藏重要的檔案目錄和全文數(shù)據(jù)。虛擬檔案室系統(tǒng)是館藏資源管理系統(tǒng)中的核心子系統(tǒng)，采用數(shù)字技術(shù)存儲(chǔ)信息，通過網(wǎng)絡(luò)技術(shù)使分散于不同立檔單位的檔案信息通過電子通訊系統(tǒng)聯(lián)系在一起，全市近100家立檔單位可通過該系統(tǒng)實(shí)現(xiàn)檔案的收集、整理、鑒定、數(shù)字化、移交、備份等檔案業(yè)務(wù)工作及OA辦公系統(tǒng)產(chǎn)生電子文件、政府公開信息的實(shí)時(shí)移交。

如皋市檔案局館藏資源管理系統(tǒng)是局域網(wǎng)內(nèi)的內(nèi)網(wǎng)系統(tǒng)，和外網(wǎng)是物理隔離的，安全保護(hù)等級(jí)為三級(jí)。經(jīng)如皋市政府統(tǒng)一招標(biāo)，由南通鑫暉網(wǎng)絡(luò)科技有限公司承擔(dān)本次的安全等級(jí)測評工作。按照GB/T 28449-2012《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)測評過程指南》要求，本次測評的范圍主要包括與如皋市館藏資源管理系統(tǒng)相關(guān)的網(wǎng)絡(luò)與安全設(shè)備操作系統(tǒng)、應(yīng)用軟件系統(tǒng)、主機(jī)操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)、安全相關(guān)人員、機(jī)房、介質(zhì)以及管理文檔。本次測評參照GB/T 22239-2008《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求》、GB/T 28448-2012《信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)測評要求》中的第三級(jí)系統(tǒng)標(biāo)準(zhǔn)要求。

測評公司通過訪談相關(guān)管理人員和技術(shù)人員，檢查服務(wù)器主機(jī)操作系統(tǒng)、應(yīng)用系統(tǒng)、數(shù)據(jù)庫系統(tǒng)的配置項(xiàng)，查看部分安全管理相關(guān)規(guī)章、制度和記錄文檔，使用等保檢查工具及漏洞掃描工具對應(yīng)用服務(wù)器主機(jī)操作系統(tǒng)以及應(yīng)用軟件的安全漏洞進(jìn)行測試，將所有信息進(jìn)行綜合分析，以確定信息系統(tǒng)的安全性。

四、明晰思路，等保測評勢在必行。

一是確定保護(hù)等級(jí)?！稊?shù)字檔案館建設(shè)指南》要求，數(shù)字檔案館系統(tǒng)一般要求達(dá)到二級(jí)（系統(tǒng)審計(jì)保護(hù)級(jí)）以上安全保護(hù)標(biāo)準(zhǔn)?！缎畔踩燃?jí)保護(hù)管理辦法》中第二級(jí)“是指信息系統(tǒng)受到破壞后，會(huì)對公民、法人和其他組織的合法權(quán)益產(chǎn)生嚴(yán)重?fù)p害，或者對社會(huì)秩序和公共利益造成損害，但不損害國家安全。”第三級(jí)是指“信息系統(tǒng)受到破壞后，會(huì)對社會(huì)秩序和公共利益造成嚴(yán)重?fù)p害，或者對國家安全造成損害”。據(jù)此，本人認(rèn)為，檔案信息系統(tǒng)需達(dá)到三級(jí)以上安全保護(hù)標(biāo)準(zhǔn)。

二是明確工作目標(biāo)。依據(jù)信息安全等級(jí)保護(hù)保護(hù)有關(guān)政策和標(biāo)準(zhǔn)，通過組織開展信息安全等級(jí)保護(hù)安全管理制度建設(shè)、技術(shù)措施建設(shè)和等級(jí)測評，落實(shí)等級(jí)保護(hù)制度的各項(xiàng)要求，使檔案信息系統(tǒng)安全管理水平明顯提高，安全防范能力明顯增強(qiáng)，安全隱患和安全事故明顯減少，有效保障檔案信息化健康發(fā)展，維護(hù)國家安全、社會(huì)秩序和公共利益。

三是細(xì)化工作內(nèi)容。開展檔案信息安全等級(jí)保護(hù)管理制度建設(shè)，提高信息系統(tǒng)安全管理水平。建立健全并落實(shí)符合相應(yīng)等級(jí)要求的安全管理制度，如信息安全責(zé)任制、人員安全管理制度、系統(tǒng)建設(shè)管理制度、系統(tǒng)運(yùn)維管理制度等；開展信息安全等級(jí)保護(hù)安全技術(shù)措施建設(shè)，提高信息系統(tǒng)安全保護(hù)能力。開展信息安全等級(jí)保護(hù)安全技術(shù)措施建設(shè)，落實(shí)相應(yīng)的物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全和數(shù)據(jù)安全等安全保護(hù)技術(shù)措施，建立并完善信息系統(tǒng)綜合防范體系，提高系統(tǒng)的安全防護(hù)能力和水平；開展信息系統(tǒng)安全等級(jí)測評，使信息系統(tǒng)安全保護(hù)狀況逐步達(dá)到等級(jí)保護(hù)要求。對照相應(yīng)等級(jí)安全保護(hù)要求進(jìn)行差距分析，排查系統(tǒng)安全漏洞和隱患并分析其風(fēng)險(xiǎn)，進(jìn)出整改建議。

四是落實(shí)工作要求。統(tǒng)一組織，加強(qiáng)領(lǐng)導(dǎo)。按照“誰主管、誰負(fù)責(zé)”的原則，切實(shí)加強(qiáng)對信息安全等級(jí)保護(hù)安全建設(shè)整改工作的組織領(lǐng)導(dǎo)，完善工作機(jī)制。循序漸進(jìn)，分步實(shí)施。結(jié)合本單位檔案信息系統(tǒng)數(shù)量、等級(jí)、規(guī)模等實(shí)際情況，按照先重點(diǎn)后一般的順序開展。結(jié)合實(shí)際，制定規(guī)范。在不低于等級(jí)保護(hù)基本要求的情況下，結(jié)合系統(tǒng)安全保護(hù)的特殊需求，制定行業(yè)標(biāo)準(zhǔn)規(guī)范或細(xì)則。