【摘要】本文从本单位的档案管理系统等级保护定级工作实践出发,对高校档案馆信息系统安全等级保护工作的现状进行分析,并提出如何推进相关工作的建议。
【关键词】高校档案馆;信息系统安全;等级保护;现状分析
近年来,依托高校信息化建设的不断开展,高校档案馆大部分升级成为数字档案馆,推动档案管理水平不断提高。使档案馆服务发生了质的飞跃。其服务内容数字化、服务手段网络化、服务方式多样化、服务资源共享化、服务流程一体化等,是传统档案馆在网络环境下的新发展。档案信息系统的建设过程中,由于安全意识淡薄和资金欠缺等方面的原因,各高校档案馆普遍都存在着“重技术、轻安全、轻管理”的倾向。由于档案信息系统需要通过网络上的数据转移来完成,而网络系统、操作系统、应用软件所具有的安全漏洞,都可能成为黑客和病毒攻击的目标。高校档案信息管理系统如果出现诸如档案数据泄露、系统被黑客攻击等安全问题,不仅会造成损失,而且会影响学校声誉,带来负面影响。360公司曾在《中国高校网站安全检测报告》中指出:中国每所高校网站平均每天被黑客攻击113次。从教育行业漏洞报告平台公布的即时数据来看,位于漏洞排行榜第一名的上海交通大学漏洞总数为1075,漏洞威胁值高达3517(每个漏洞分值按风险等级由低到高为0~10)。由此可见,高校信息系统的安全防护不容忽视,其研究工作意义深远。但是,至今高校档案馆信息安全等级保护相关工作的推进并不顺利,本文对高校档案馆信息系统等级保护定级工作进行分析并提出相应对策。定级作为等级保护工作的第一步,其能否科学、合理关系到后续环节的顺利展开。本文针对高校档案馆信息系统的定级流程、核心要素进行分析,结合上海某高校档案馆信息系统定级实例,希望对高校档案馆信息系统等级保护评测提供借鉴。
一、定级依据
档案管理信息系统等级保护是指档案管理信息系统根据其在国家安全、经济建设、社会生活中的重要程度,遭到破坏后对国家安全、社会秩序、公共利益以及公民和其他组织的合法权益的危害程度等,由低到高划分等级实施安全保护。根据《计算机信息系统安全保护等级划分准则》,档案管理信息系统划分为五个等级进行保护,安全级别由低到高分别为:自主保护级、指导保护级、监督保护级、强制保护级和专控保护级。
二、定级流程
信息系统定级工作总体按照“自主定级、专家评审、主管部门审批、备案”的程序进行。
(一)业务信息描述。档案信息系统,是业务人员管理档案的工具,也是提供档案服务的窗口,联结着档案信息资源、档案工作人员、用户等,是安全保护的重中之重。档案信息系统是指开展档案业务所使用的档案信息管理系统、档案信息服务系统和档案办公系统三类信息管理系统:1.档案信息管理系统类包括档案目录管理系统、数字档案接收系统、数字档案管理系统、档案数字化加工系统等;2.档案信息服务系统类包括档案利用服务系统、档案网站系统等;3.档案办公系统类包括承担档案工作管理的档案局馆办公业务系统等。结合本单位实际,档案网站系统位于学校网站集群中,由学校信息中心统一进行等级保护工作。档案目录管理、数字档案接收、数字档案管理和档案利用服务已经整合到一个系统中。按照“谁使用谁负责,谁维护谁负责”的原则,由档案馆牵头完成定级保护工作。根据《中华人民共和国网络安全法》《网络安全等级保护基本要求(GB/T 22239-2019)》(等保 2.0)和《中华人民共和国国家档案局档案信息系统安全等级保护定级工作指南》要求,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害。客观方面表现的侵害结果为:1.影响系统正常运行及单位形象;2.对平台涉及的公民、法人、其他组织的合法权益造成特别严重损害;3.对社会秩序和公共利益造成严重损害。因此该系统考虑定级为第三级。
(二)档案信息系统等级保护差距评估与自测评。档案馆内部系统维护人员通过前期对档案馆信息系统进行全面的梳理,并依托第三方公司从技术要求与管理要求出发,对信息系统及网络环境安全进行评估,开展漏洞扫描和渗透测试工作,生成《差距分析报告》。使得信息网络决策者及负责人能更快更清楚了解档案馆信息系统情况及整体的信息安全状况,以便更好开展后期安全建设及整改工作。通过对定级的系统进行自测评的结果数据分析,对本单位内信息系统安全状况有了初步的判断。主要存在以下几个方面的内容:1.主机安全。未对数据库资源使用进行限制,若单个用户过度占用数据库资源,可能导致数据库瘫痪、服务器宕机等安全事故;数据库未重命名系统默认账户ROOT,可能导致外部能猜测系统用户名口令,造成信息泄露;操作系统未限制单个用户对系统资源的最大或最小使用限度,该问题可能引发系统资源耗尽,导致业务中断等风险;未对操作系统的服务水平进行检测和报警,管理者无法及时掌握可能出现的异常事件,无法及时对出现的异常问题进行分析和应对,对信息系统的平稳运行带来影响;操作系统未采取措施对入侵事件进行监测,可能无法及时发现入侵行为,不便于对入侵行为进行分析、追溯;操作系统没有及时更新系统补丁,可能导致遭受由系统漏洞带来的风险。2.应用安全。未使用密码技术保证通信过程中数据的完整性,可能导致重要数据在传输过程中被攻击者劫持、篡改;系统未提供监控报警功能,无法发现系统出现的异常征兆,导致管理者无法及时发现并排除隐患;未使用负载均衡、集群、热备等方式对系统进行自动保护,当故障发生时无法自动进行恢复。3.管理安全。安全管理制度未通过正式、有效的方式,未对安全管理制度进行评审和修订;没有建立人员离岗管理规定,会给信息系统带来安全隐患,尤其是越权访问的隐患;对外包软件源代码未全面审查,无法确保及时发现软件中可能存在的后门;未指定专人负责恶意代码库的升级并进行记录,可能导致系统恶意代码监测管理不到位,存在信息系统感染恶意代码进而导致信息泄露的风险。未实行系统管理员、安全管理员和审计管理员三员分开。即系统管理员对系统功能进行配置;安全管理员对系统人员权限进行配置,并对审计管理员操作日志进行审计;审计管理员对系统管理员及安全管理员操作日志进行审计。
三、档案馆信息系统等级保护安全建设与整改
根据差距分析与自测评,总结出已有信息系统与信息安全等级保护之间的差距,并参照信息系统当前等级要求和标准,购买和使用相应级别的信息安全产品,采取安全技术措施,对信息系统进行安全加固。
四、结语
以本单位档案馆为例,阐述高校档案馆信息系统安全等级保护建设的实施过程,档案馆信息系统的信息安全保障工作也在安全等级保护的要求和规范下逐步完善和健全,有效规避和降低风险,对事前的防护、风险规避以及事后恢复、溯源都有极大帮助。
【参考文献】
[1]全国高校漏洞排行榜[EB/OL].
[2]赵晶晶.基于等级保护的网络安全建设之研究[J].网络安全技术与应用,2017(4):17-19.
[3]戴丽金,张丽娜,巫立华,林加宝,江宁.福建地震信息系统等级保护应用实践[J].网络安全技术与应用.2020(10).
作者:张文燕 单位:上海大学档案馆
