第八章档案信息安全保障体系建设

1、 档案信息化概论 1 第八章 档案信息安全保障体系建设 第一节 档案信息安全的涵义 第二节 档案信息安全涉及的要素 第三节 档案信息安全的基本策略 第四节 威胁档案信息安全的主要因素 第五节 档案信息安全保障体系的构建 档案信息化概论 2 1. 信息安全的涵义 “为数据处理系统建立和采取的技术和管理的安全保护，保护计 算机硬件、软件和数据不因偶然和恶意的原因而遭到破坏、更改和显 露”。 国际标准化组织(ISO) “计算机信息系统的安全保护，应当保障计算机及其相关的和配 套的设备、设施（含网络）的安全，运行环境的安全，保障信息的安 全，保障计算机功能的正常发挥，以维护计算机信息系统的安全运 行”

2、。 中华人民共和国计算机信息系统安全保护条例 第第1节节 档案信息安全的涵义档案信息安全的涵义 档案信息化概论 3 从逻辑上： 从动态过程上： 第第1节节 档案信息安全的涵义档案信息安全的涵义 信 息 安 全 硬件安全 软件安全 数据安全 信 息 安 全 实体安全 运行安全 通信安全 存储安全 20 世纪80 年代后基于网络的信息安全，除了要求保证信息的保密性、完 整性和可用性以外，还要求保证信息的可控性、抗抵赖性等。 档案信息化概论 4 2. 档案信息安全概念 构建动态的档案信息安全保障体系，确保档案信息的真实性、完 整性、保密性、可用性、可控性和抗抵赖性。 第第1节节 档案信息安全的涵义档

3、案信息安全的涵义 ? 真实性 ? 完整性 ? 有效性 ? 保密性 ? 可控性 ? 抗抵赖性 是指对电子文件的内容、结构和 背景信息进行鉴定后，确认其与 形成时的原始状况一致 档案信息化概论 5 2. 档案信息安全概念 构建动态的档案信息安全保障体系，确保档案信息的真实性、完 整性、保密性、可用性、可控性和抗抵赖性。 第第1节节 档案信息安全的涵义档案信息安全的涵义 ? 真实性 ? 完整性 ? 有效性 ? 保密性 ? 可控性 ? 抗抵赖性 (1)电子文件个体的完整：电子文件的各 项要素完备不缺，能够完整、准确地再 现其最初内容。 (2)电子文件整体的完整:围绕某项职能 活动所形成的所有电子文件的

4、数量齐全、 关系清晰，相互之间按照原生次序有机 联系为一体，能够完整地再现该项社会 活动的总体面貌和全部过程。 档案信息化概论 6 2. 档案信息安全概念 构建动态的档案信息安全保障体系，确保档案信息的真实性、完 整性、保密性、可用性、可控性和抗抵赖性。 第第1节节 档案信息安全的涵义档案信息安全的涵义 ? 真实性 ? 完整性 ? 有效性 ? 保密性 ? 可控性 ? 抗抵赖性 电子文件具备可理解性和可被利用性， 包括信息的可识别性、存储系统的可靠 性、载体的完好性和兼容性等 档案信息化概论 7 2. 档案信息安全概念 构建动态的档案信息安全保障体系，确保档案信息的真实性、完 整性、保密性、可用

5、性、可控性和抗抵赖性。 第第1节节 档案信息安全的涵义档案信息安全的涵义 ? 真实性 ? 完整性 ? 有效性 ? 保密性 ? 可控性 ? 抗抵赖性 涉密档案在存储和利用过程中只为 合理授权的用户所利用，而不泄密 给非授权的用户 档案信息化概论 8 2. 档案信息安全概念 构建动态的档案信息安全保障体系，确保档案信息的真实性、完 整性、保密性、可用性、可控性和抗抵赖性。 第第1节节 档案信息安全的涵义档案信息安全的涵义 ? 真实性 ? 完整性 ? 有效性 ? 保密性 ? 可控性 ? 抗抵赖性 档案信息始终处于受控状态，对其 流转过程进行严格的前端控制和过 程追踪，以确保访问档案信息的主 体、内容

6、、方式和过程的合理性。 档案信息化概论 9 2. 档案信息安全概念 构建动态的档案信息安全保障体系，确保档案信息的真实性、完 整性、保密性、可用性、可控性和抗抵赖性。 第第1节节 档案信息安全的涵义档案信息安全的涵义 ? 真实性 ? 完整性 ? 有效性 ? 保密性 ? 可控性 ? 抗抵赖性 档案信息的流转过程中，确保参与者身 份及其交互行为的真实性和不可否认性， 所有参与信息流转过程的人员均无法隐 匿或抵赖曾经发送的档案信息或曾经接 收过档案信息，从而使档案信息的发送 和利用行为具有可信度 档案信息化概论 10 硬件 软件 档案数据 人员 物理环境 人文环境 第第2节节 档案信息安全涉及的要素

7、档案信息安全涉及的要素 档案信息化概论 11 第第3节节 档案信息安全的基本策略档案信息安全的基本策略 ?构筑立体化的安全保障体系 根据 “木桶原理”，档案信息的安全水平将由档案信息安全所有 环节中最薄弱的环节决定。 档案信息化概论 12 第第3节节 档案信息安全的基本策略档案信息安全的基本策略 ?构筑立体化的安全保障体系 ?技术与管理并重 档案信息安全保障体系 安 全 法 规 标 准 安 全 管 理 体 系 安 全 技 术 手 段 档案信息化概论 13 第第3节节 档案信息安全的基本策略档案信息安全的基本策略 ?主动防御 ?分级防护 ?长治久安 ?立足国内 ?采用最新技术 ?重视内部安全 只

8、有事前分析各种安全风险，采取全面 防范、主动防御的办法建立起预警、保 护、检测、反应、恢复的闭环反馈，主 动发现和及时消除安全隐患，才能有效 保障档案信息的安全，将各种安全危险 “拒之门外”。 档案信息化概论 14 第第3节节 档案信息安全的基本策略档案信息安全的基本策略 ?主动防御 ?分级防护 ?长治久安 ?立足国内 ?采用最新技术 ?重视内部安全 ?对档案信息安全性能的要求不是无限 度的，必须以风险系数为依据，确定 适宜的安全等级，设计相应的安全体 系 ?美国国防部可信计算机系统评价准 则将计算机系统及其产品的安全可 信程度划分为D、C1、C2、B1、B2、 B3和A1七个层次 ?我国国家

9、标准则将计算机信息系统的 安全保护能力设定为：用户自主保护 级、系统审计保护级、安全标记保护 级、机构化保护级、访问验证保护级 五个安全保护等级 档案信息化概论 15 第第3节节 档案信息安全的基本策略档案信息安全的基本策略 ?主动防御 ?分级防护 ?长治久安 ?立足国内 ?采用最新技术 ?重视内部安全 档案信息安全体系的构建过程可遵 循PDCA（Plan-Do-Check-Act ） 模式 档案信息化概论 16 第第3节节 档案信息安全的基本策略档案信息安全的基本策略 ?主动防御 ?分级防护 ?长治久安 ?立足国内 ?采用最新技术 ?重视内部安全 档案信息系统的设计和信息安全产 品的应用应尽

10、可能采用国有技术， 实现安全产品的国产化 档案信息化概论 17 第第3节节 档案信息安全的基本策略档案信息安全的基本策略 ?主动防御 ?分级防护 ?长治久安 ?立足国内 ?采用最新技术 ?重视内部安全 在构筑档案信息安全保障体系时， 必须采用最先进的防护技术（不一 定是最高档的措施） 档案信息化概论 18 第第3节节 档案信息安全的基本策略档案信息安全的基本策略 ?主动防御 ?分级防护 ?长治久安 ?立足国内 ?采用最新技术 ?重视内部安全 在构筑档案信息安全保障体系时，必须采用最先 进的防护技术（不一定是最高档的措施） 档案信息化概论 19 第第4节节 威胁档案信息安全的主要因素威胁档案信息

11、安全的主要因素 档案信息的安全受到众多因素的威胁。 根据安全威胁的来源： ?内源威胁（源于单位内部的各种威胁因素） ?外源威胁（如外来黑客对系统资源的非法占有） 根据安全威胁的对象： ?对数据的安全威胁 ?对硬件设备的安全威胁 ?对软件系统的安全威胁 档案信息化概论 20 第第4节节 威胁档案信息安全的主要因素威胁档案信息安全的主要因素 根据安全威胁的性质： ?人为威胁 ?自然威胁 根据安全威胁的发生的层面： ?来自物理层的威胁 ?来自操作系统层的威胁 ?来自应用平台层的威胁 ?来自档案应用软件系统层的威胁 档案信息化概论 21 第第4节节 威胁档案信息安全的主要因素威胁档案信息安全的主要因素 归结起来，对档案信息安全构成威胁的主要因素有： ? 载体损害 ? 设备故障或破坏 ? 操作失误 ? 程序缺陷 ? 病毒 ? 窃听与篡改 ? 黑