多措并举，全力推进档案信息安全等级保护工作

周明华（江苏省档案馆，江苏南京，210008）

多措并举，全力推进档案信息安全等级保护工作

周明华（江苏省档案馆，江苏南京，210008）

信息安全等级保护制度是国家在国民经济和社会信息化的发展过程中，提高信息安全保障能力和水平，维护国家安全、社会稳定和公共利益，保障和促进信息化建设健康发展的一项基本制度。近几年来，江苏省档案局馆积极推进档案信息化和电子政务建设，全面落实档案信息系统等级保护制度，取得了成效。目前，江苏省档案局馆有三网（政务内网、局办公网、馆业务网）、一站（江苏档案信息网站）和一中心（省电子档案中心）。其中，江苏档案信息网站2008年底定为二级（指导保护级）信息系统，并向江苏省公安厅备案，2010年进行了等级保护测评、整改加固工作。省电子档案中心建设项目从建设初始，就积极贯彻信息安全设施同步建设的原则，保障信息安全与信息化建设相适应。我们的做法和体会是：

一、健全组织机构，深化制度建设

局领导历来十分重视信息安全保密管理工作。谢波局长到局馆上任不久，就专门召开了一次档案信息安全保密专题会议，明确要求在新形势下，信息安全保密工作要采取积极防范措施，预防、堵塞、消除不安全漏洞。局馆建立了主要领导对信息安全工作负总责，分管领导具体负责，局信息安全领导小组负责信息安全管理工作，技术部进行日常信息安全管理工作的管理体制。层层落实安全责任，使每名机关工作人员都成为信息安全工作的支持者、实践者和执行者，以积极的态度参与信息安全管理工作。2011年度，我局被江苏省信息安全领导小组办公室评为省信息安全工作先进单位。

制度建设是做好信息系统等级保护工作的基本保障，没有制度的保障，等级保护工作也难以落到实处。我们根据等级保护的政策和标准体系，本着“堵漏、补缺、实用”的原则，修订、完善了网络与信息系统安全工作的各项规章制度及操作规程，并建立各类管理台账，使信息系统等级保护工作有据可依、有章可循。在信息上网工作中，认真落实“控制源头、加强检查、明确责任、落实制度”和“谁上网、谁负责”的管理原则，确保“涉密信息不上网，上网信息不涉密”。

二、持续增加投入，增强安全防护

为确保信息安全工作持续开展，我局将信息安全防护设施和信息安全服务等相关经费投入纳入年度预算，根据实际投入和需求合理分配经费配额。

安全基础建设是安全防护和管理的前提。我局严格按照安全规范标准和要求，对所有信息资产进行规范标识和全生命周期安全管理。所有信息化基础建设和工作中均有安全工作方案，电子档案中心建设具有UPS供电、防火、防雷、防盗窃、防静电、防电磁泄漏以及温湿度控制等安全功能，并部署了机房监控系统。在档案数字化扫描加工室及外聘人员工作室全部安装监控系统。

近年来，我局先后配置完善了综合网关（防火墙、入侵检测）、桌面管理、终端安全准入及管理系统、防病毒软件、数据备份及页面防篡改等国产安全设备，专门购置了涉密计算机检查工具软件，完成了“办公软件正版化”工作，并按要求在内网中全部使用国产办公软件。委托具有相关资质的国内信息安全服务厂商进行等级保护测评、安全风险评估、外部安全测试及安全检查等工作。

三、规范日常管理，加强技术防范

随着信息技术的发展，危害信息安全的手段也在不断更新和变化，因此只有将信息安全等级保护制度落实到信息系统安全规划、建设、测评、运行维护和使用等各个环节，防管并举，才能达到较好的安全效果。

我局从资产管理、监控管理、流程管理、外包管理、综合管理等方面构筑档案信息安全管理体系，确保档案信息系统的安全运维，实现对档案信息安全事件的可预防、可发现、可控制。按照重点保护和分类保护的原则，合理划分信息系统安全保护区域、层次、重点和等级，借助信息技术和信息化手段，实现对安全风险和安全运维进行系统化和全过程监控管理。我局严格实行内外网物理隔离，实行IP－MAC地址绑定，严格控制终端入网和访问；制定合理的安全策略，定期查杀病毒木马，修补系统漏洞，有效降低信息系统安全隐患。安排专人对网络设备、服务器设备、系统线路和机房环境进行定期巡检，审查分析并定期保存系统日志信息，对分析结果进行排查，及时消除安全隐患。设置资产管理清单，对计算机及相关设备的采购、使用、维修、报废销毁等进行审批与记录。

四、强化教育培训，建立保障队伍

落实信息安全等级保护工作与机关所有工作人员息息相关，我局非常重视信息安全教育，每年都分层次开展信息安全教育培训。一是通过专家讲座、观看录像、实地演示、参观展览等方式，对全体人员进行信息安全知识和技术普及教育，提高全体人员的信息安全意识，增强基本防护技能。二是派技术维护人员不定期参加省信安办、省保密局等有关单位组织的教育培训活动，及时了解新情况、新问题，掌握新技术，不断提高信息安全保障水平。三是与专业服务机构合作，共同建立起由局馆技术人员、专业技术人员组成的信息安全队伍，形成层次清晰、优势互补的运维管理体制。

五、严格检查整改，促进安全保障

信息系统安全检查和自查是一项非常重要且十分有效的工作方式。以检查为手段，以整改为牵引，能够有效地促进信息安全保障水平的提升，提高信息系统的整体防护能力。我们每年都要组织开展信息安全检查工作，对照检查内容，制定实施方案，分解检查工作任务，按照相关管理要求和技术标准，认真开展安全检查工作。对检查发现的问题，及时采取管理和技术措施，积极进行排查、清理和整改。如今年4月份，我们发现“江苏档案信息网”查档接待、监督投诉、在线咨询等互动栏目收到大量无意义信息的问题，这些信息均由同一个用户，在数小时之内完成发送的。网站互动栏目是政府网站必需项目，是提供在线服务、进行公众互动交流的重要渠道，但是一些网民因为种种原因，会发送一些无意义信息，甚至是发送一些不良信息，这种情况在所难免，只能防范，无法杜绝。考虑方便群众利用和保护个人信息要求，我们采取在用户使用互动栏目提交发送时，增加输入“识别验证码”的措施，以防范用户利用程序自动发送大量无意义的信息。

六、注重数据备份，完善应急预案

数据安全是数字档案的生命线，随着档案信息化的快速发展，档案数据规模越来越大，重要数据的丢失或毁坏将会带来灾难性的后果，然而病毒入侵、硬件故障、系统崩溃、自然灾害等难以预测的意外问题，以及误操作等人为因素都时刻威胁着档案数据的完整和安全。因此，我们将数据备份作为档案信息化的一项基础性工作，建立多重数据备份机制，定期对档案数据进行在线、离线和脱机备份。根据国家档案局的规定，江苏省档案局与湖南省档案局签订了互为“异地异质备份”基地的协议，构建起重要档案数据多道安全保存的“防护网”。2012年7月，首批备份数据和缩微胶片已安全送到湖南省档案馆保存。

为积极应对信息系统安全突发事件，做到预防有效、反应及时、处置得当，2010年我局编制了《网络与信息安全事件应急预案》，明确工作机构、处置办法、处置流程，明确应急技术支援队伍。2012年8月，我们进行了以网站网页遭篡改和局域网大面积出现病毒为主要内容的信息安全应急模拟演练，以检验应对突发信息安全事件的应急响应与处置能力。

随着档案信息化及电子政务系统的广泛应用，目前信息安全和保密工作重点已从传统领域转至计算机信息网络。信息安全等级保护工作是一项需要常抓不懈的工作。今后我们将在上级部门的指导下，进一步加强组织领导、健全制度规范、严格检查监督，完善长效机制，积极应对新情况、新形势、新发展，全面推进档案信息系统安全等级保护工作。