试谈档案信息系统实施等保测评的必要性

陈红

国家档案局、中央档案馆2002年12月《全国档案信息化建设实施纲要》（档发[2002]8号）提出了在“十五”期间全国档案信息化的建设目标和主要任务：加快档案信息化基础设施建设，加强电子文件归档和电子档案的规范化管理，推动馆藏档案的数字化和数据库建设，在部分中心城市建设示范性数字档案馆，开展公众网查询档案信息服务，加快推进档案信息化标准体系建设、安全保障体系和人才队伍建设。

一、顶层设计，国家档案局明确要求

国家档案局2010年6月《数字档案馆建设指南》，明确指出数字档案馆的建设目标为：紧紧依靠国家和当地信息化基础设施建设环境，充分利用各种政务平台、公众网平台以及各类网络资源，以先进的信息技术为手段，集成建设适应本部门本单位一定时期内数字档案管理需要的网络平台，开发应用符合功能需求的管理系统，推动馆藏资源数字化、增量档案电子化，逐步实现对数字档案信息资源的网络桦管理以及分层次多渠道提供档案信息资源利用和社会共享服务。建设内容中有一条“配套建设数字档案馆保障体系，确保数字档案馆系统安全和数字档案信息安全”。对保障体系建设问题，《指南》更是明确指出：安全保障体系建设是数字档案馆建设的基础工作，数字档案馆的安全包括数字档案数据的安全和信息系统及其网络平台的安全。数字安全就是要保证数字档案信息的可靠、可用、不泄密、不被非法更改等，系统及其网络平台安全就是要保持系统软硬件的稳定性、可靠性、可控性。

二、多方联合，相关部门共同推动

公安部、国家保密局、国家密码管理局、国务院信息化工作办公室《关于印发信息安全等级保护管理办法》（公通字[2007]43号）对信息安全等级划分与保护又作了进一步明确，同时要求：信息系统建设完成后，运营、使用单位或者其主管部门应当选择符合本办法规定条件的测评机构，依据《信息系统安全等级保护测评要求》等技术标准，定期对信息系统安全等级状况开展等级测评。经测评或自查，信息系统安全状况未达到安全保护要求的，运营、使用单位应当制定方案进行整改。

三、实地测评，安全隐患敲响警钟

2015年，按照如皋市政府统一部署，如皋市档案局（馆）对该局（馆）数字档案馆系统——馆藏资源管理系统进行了定级申报，根据等级划分标准，申报了三级等级保护。如皋市档案馆馆藏资源管理系统是如皋市档案局的核心系统，保存有所有馆藏重要的档案目录和全文数据。虚拟档案室系统是馆藏资源管理系统中的核心子系统，采用数字技术存储信息，通过网络技术使分散于不同立档单位的档案信息通过电子通讯系统联系在一起，全市近100家立档单位可通过该系统实现档案的收集、整理、鉴定、数字化、移交、备份等档案业务工作及OA办公系统产生电子文件、政府公开信息的实时移交。

如皋市檔案局馆藏资源管理系统是局域网内的内网系统，和外网是物理隔离的，安全保护等级为三级。经如皋市政府统一招标，由南通鑫晖网络科技有限公司承担本次的安全等级测评工作。按照GB/T 28449-2012《信息安全技术信息系统安全等级保护测评过程指南》要求，本次测评的范围主要包括与如皋市馆藏资源管理系统相关的网络与安全设备操作系统、应用软件系统、主机操作系统、数据库管理系统、安全相关人员、机房、介质以及管理文档。本次测评参照GB/T 22239-2008《信息安全技术信息系统安全等级保护基本要求》、GB/T 28448-2012《信息安全技术 信息系统安全等级保护测评要求》中的第三级系统标准要求。

测评公司通过访谈相关管理人员和技术人员，检查服务器主机操作系统、应用系统、数据库系统的配置项，查看部分安全管理相关规章、制度和记录文档，使用等保检查工具及漏洞扫描工具对应用服务器主机操作系统以及应用软件的安全漏洞进行测试，将所有信息进行综合分析，以确定信息系统的安全性。

四、明晰思路，等保测评势在必行。

一是确定保护等级。《数字档案馆建设指南》要求，数字档案馆系统一般要求达到二级（系统审计保护级）以上安全保护标准。《信息安全等级保护管理办法》中第二级“是指信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。”第三级是指“信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害”。据此，本人认为，档案信息系统需达到三级以上安全保护标准。

二是明确工作目标。依据信息安全等级保护保护有关政策和标准，通过组织开展信息安全等级保护安全管理制度建设、技术措施建设和等级测评，落实等级保护制度的各项要求，使档案信息系统安全管理水平明显提高，安全防范能力明显增强，安全隐患和安全事故明显减少，有效保障档案信息化健康发展，维护国家安全、社会秩序和公共利益。

三是细化工作内容。开展档案信息安全等级保护管理制度建设，提高信息系统安全管理水平。建立健全并落实符合相应等级要求的安全管理制度，如信息安全责任制、人员安全管理制度、系统建设管理制度、系统运维管理制度等；开展信息安全等级保护安全技术措施建设，提高信息系统安全保护能力。开展信息安全等级保护安全技术措施建设，落实相应的物理安全、网络安全、主机安全、应用安全和数据安全等安全保护技术措施，建立并完善信息系统综合防范体系，提高系统的安全防护能力和水平；开展信息系统安全等级测评，使信息系统安全保护状况逐步达到等级保护要求。对照相应等级安全保护要求进行差距分析，排查系统安全漏洞和隐患并分析其风险，进出整改建议。

四是落实工作要求。统一组织，加强领导。按照“谁主管、谁负责”的原则，切实加强对信息安全等级保护安全建设整改工作的组织领导，完善工作机制。循序渐进，分步实施。结合本单位档案信息系统数量、等级、规模等实际情况，按照先重点后一般的顺序开展。结合实际，制定规范。在不低于等级保护基本要求的情况下，结合系统安全保护的特殊需求，制定行业标准规范或细则。