档案信息安全实务培训.ppt

徐 冲 盐城市档案局,档案信息安全专题实务培训,目 录,档案信息安全管理的主要任务,1,常用安全技术,2,3,档案信息安全管理分类,档案信息安全管理的主要任务,(一)提高思想认识，为档案安全构筑坚固的思想防线。 (二)加强安全管理，为档案安全提供健全的制度保障。 (三)加强基础设施建设，为档案安全提供更好条件。 (四)大力保护档案原件，确保档案原件安全。 (五)认真管好电子文件，确保电子文件安全。 (六)切实搞好安全备份，确保万一情况下的档案安全。,档案信息安全管理的主要任务,(一) 思想认识 1、要树立“档案安全事关党和国家根本利益”的思想。 2、要树立“安全第一”的思想。 3、要树立“安全问题无所不在”的思想。 4、要树立“安全问题人人有责”的思想。,档案信息安全管理的主要任务,(二) 制度 1、要完善并执行档案安全法规。 2、要完善并采用档案安全技术标准。 3、要积极制定并贯彻执行档案安全业务指南。 4、要加强内部管理。,档案信息安全管理的主要任务,(三) 基础设施 1、要加强馆库建设。 2、要加强安全设施建设。 3、要采用先进的技术防范手段。,档案信息安全管理的主要任务,(四) 原件保护 1、要加强馆库建设。 2、要加强安全设施建设。 3、要采用先进的技术防范手段。,档案信息安全管理的主要任务,(五) 电子原件 1、要明确归档范围。 2、要统一技术应用标准。 3、要严格对电子文件进行安全备份。 4、要加强对电子文件信息系统和载体的安全检测。 5、要大力开展电子文件的安全保护技术研究。,档案信息安全管理的主要任务,(六) 备份 1、要切实开展档案备份工作。 2、要实行异地存放。 3、要落实备份制度。,档案信息安全管理分类,当前威胁档案信息安全的主要因素 1、载体损害 2、设备故障或破坏 3、操作失误 4、程序缺陷 5、病毒 6、窃听与篡改 7、黑客攻击 8、技术淘汰,档案信息安全管理分类,1、物理安全（前提）（存储载体、系统设备） 2、软件安全（操作系统、应用软件） 3、网络安全（重要内容） 4、数据安全（核心） 5、用户安全,档案信息安全管理分类,档案信息安全管理的基本要求 1、规章制度（管理制度、备份恢复制度、应急处理制度等） 2、人员管理（人员选择、安全教育、技术培训等） 3、技术方法（环境与设备安全、实体管理安全、管理系统安全、网络管理安全、信息内容安全、电子文件销毁安全等）,档案信息安全管理分类,建立健全安全保障体系：安全法规标准、安全管理体系、安全技术手段。 预防为主、防治结合：事前分析各种安全风险，建立预警、保护、检测、反应、恢复的安全保障机制，主动发现和及时消除安全隐患，有效保障档案信息安全，将各种安全危险拒之门外。 管理与技术并重：档案信息安全非单纯的技术问题，安全技术及安全产品的应用只是档案信息安全的内容之一。,档案信息安全管理分类,内部防护与外部防护并存：重视内部安全 实施安全等级保护：对档案信息的安全性能的要求不是无限度的，必须以风险系数为依据，确定适宜的安全等级，设计相应的安全体系。,档案信息安全管理分类,安全等级的划分与适用范围 我国计算机信息系统安全保护等级划分细则于1999年9月13日经国家质量技术监督局审查通过并正式批准发布，根据细则将计算机信息系统安全保护能力划分为五个安全保护等级： 第一级：用户自主保护级。用户自主保护级通过身份鉴别，自主访问控制机制，要求系统提供每一个用户具有对自身所创造的数据进行安全保护的能力。适用于普通内联网用户。 第二级：系统审计保护级。在用户自主保护级的基础上，重点强调系统的审计功能，要求通过审计、资源隔离等安全机帛，使每一个用户对自己的行为负责。适用于内联/国际互联网需要保密商务活动的用户。 第三级：安全标记保护级。在系统审计保护的基础上，从安全功能的设置和安全强度的要求方面均有明显的提高。首先，增加了标记和强制访问控制功能。同时，对身份鉴别、审计、数据完整性等安全功能均有更进一步的要求。如要求使用完整性敏感性标记，确保信息在网络传输的完整性。一般党政机关、金融机构、大型商业工业用户。 第四级：结构化保护级。在安全标记保护级的基础上，重点强调通过结构化设计方法使得所具有的安全功能具有更高的安全要求。适用于国家机关、中央金融机构、尖端科技和国防应用系统单位。 第五级：访问控制保护级。访问验证保护级重点强调”访问“监控器本身的可验证性，也是从安全功能的设计和实现方面提出更高要求。适用于国防关键应用以及国家特殊隔离信息系统使用单位。,常用安全技术,访问控制是网络安全防范和保护的主要策略，它的主要任务是保证网络资源不被非法使用和非法访问。 网络的权限控制。网络的权限控制是针对网络非法操作所提出的一种安全保护措施。用户和用户组被赋予一定的权限。控制用户和用户组可以访问哪些目录、子目录、文件和其他资源。限制用户和用户组可以执行的操作，防止用户和用户组越权操作。,常用安全技术,入网访问控制：它控制哪些用户能够登录到服务器并获取网络资源，同时也控制准许用户入网的时间和准许他们在哪台工作站入网。,常用安全技术,计算机病毒是一种特殊的具有破坏性的计算机程序，它具有自我复制的能力，可通过非授权入侵可执行程序或数据文件中，窃取个人资料、各种帐号密码，对网上档案信息的安全产生极大威胁。 档案工作者需了解反病毒原理，熟练使用杀毒软件，遵守防毒规章（定期升级杀毒软件、定期查杀病毒、不使用来历不明软件等）,常用安全技术,防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障，是一种计算机硬件和软件的结合，使Internet与Intranet之间建立起一个安全网关（Security Gateway），从而保护内部网免受非法用户的侵入，防火墙主要由服务访问规则、验证工具、包过滤和应用网关4个部分组成。 防火墙就是一个位于计算机和它所连接的网络之间的软件或硬件。该计算机流入流出的所有网络通信和数据包均要经过此防火墙。,常用安全技术,安全检测技术是近年出现的新型网络安全技术，目的是实时地入侵检测及采取相应的防护手段，它提供对网络通讯活动的监控捕获和分析整个网段传输的数据包，检测和识别可疑的网络通信活动，并在这种非授权访问发生时进行实时响应，阻止对数据和资源的非法存取。 网络安全检测系统分为两类：（1）基于主机的入侵检测系统；（2）基于网络的入侵检测系统。,常用安全技术,加密是实现信息保密的重要手段，它把有关的原始数据作为明文P，经加密算法E的变换，成为所谓的密文C，使无关人员无法读懂、无法应用；解密是其逆过程，即将密文C，用解密算法D，变换为数据信息的原样P。 加密算法分为单匙（私钥或对称）加密算法和双匙（公匙或非对称）加密算法。 通过网络进行传输的档案信息，为防止泄密，有必要使用加密技术，防止被他人截获或篡改。,常用安全技术,备份就是保留一套后备系统，这套后备系统与现有系统一样，或者能够代替现有系统的功能。当现有系统遭到攻击，原始数据丢失或遭到破坏的情况下，可以利用备份数据把原始数据恢复出来，使系统能正常运行。,常用安全技术,备份类型 硬件级：通过多余的硬件保证系统的连续运行。缺点在于无法防止逻辑错误，如人为误操作、数据错误等。 软件级：将系统数据保存到其他介质上，当系统出错时可以将系统恢复到备份时的状态。 人工级：以手工方式把所有数据都记载成文字形式。,常用安全技术,某数字档案馆数据备份拓扑图（数据备份方案工作原理：一台服务器安装WEB服务和应用服务，另一台服务器上安装数据库和文件服务。两台服务器共享磁盘阵列柜，组成双机双工容错系统，主要防止物理故障。 管理工作站安装数据备份软件通过磁带机实现自动备份，主要防止逻辑故障。大容量备份管理工作站，主要对数据进行跟踪观察，必要时刻录光盘保存）,常用安全技术,仿真 ：就是制造一种能运行过时软硬件的软件，在运行过程中对过时软硬件进行模仿，有的也采用直接保存原始的软硬件的方式。 迁移：将数字信息从一种技术平台转换到另一种技术平台上的复制方法。它是计算机软硬件变化适时改变数字信息格式的一种处理过程，这过程使得数字信息在将来也可被读取。 再生性技术（异质）：将存储在磁性载体或光盘上的档案信息适时转移到纸张或缩微品上的方法，避免计算机软硬件过时带来的麻烦。,常用安全技术,口令机制：相互约定的代码，假定只有用户和系统知道。 数字签名：是一种字符串，发文方利用自己不公开的密钥对发出的电子文件进行加密处理，生成一个字符串，与文件一起发出，同时还带走一个可使其生效的公开密钥。收文方用发文方的公开密钥及特定的计算方法解码校验数字签名，确