电子保护论文(共12篇)
电子保护论文 篇1
随着以计算机为核心的信息技术广泛而深入的发展,电子、光子等数字信息的表达、传输将逐渐代替以纸质为主体的模拟信息体系。由于数字信息与模拟信息本质上的诸多不同,现有的以模拟信息为主的纸质档案保护技术体系无论从理论到实践都难以包括和适应数字信息的电子档案保护的要求,于是建立独成体系的电子档案保护技术已成为必需和必然。
一、电子档案的保护
新型文件材料的归档势在必行,这就要求档案工作者必须深入到现行文件工作领域,对产生的大量电子文件的接收、处置乃至存储工作进行研究,保护电子文件的原始信息。由于归档电子文件以脱机方式保存,在实际使用中大量电子文件还是用软磁盘和可移动磁盘保存。光盘作为新型的存贮载体,比磁盘有更好的抗干扰能力,结构更稳定,有利于归档电子文件的长期保存,因此,档案部门应配备光盘刻录仪,将归档电子文件转储到光盘上。但是,由于条件所限,光盘刻录仪一时难以配备齐全,故软磁盘、可移动磁盘和光盘的保护仍是当前归档电子文件的主要载体,必须制定切实有效的保护措施。
软磁盘、可移动磁盘的保护。首先,要严把磁盘质量关。磁盘的质量直接影响到磁盘信息的保存寿命,高质量的磁盘在良好的保管条件下可保存近10年,而低质量磁盘往往不到1年就读不出数据。目前市场上存在不少质量低劣的产品,所以在选购磁盘时要认真把好质量关。其次,要规范保管条件。磁盘要存放在无强磁场干扰、无震动、无尘、无腐蚀气体和温湿度适中的环境里,环境空气相对湿度控制在40%~50%,温度控制在14℃~24℃。再次,要加强病毒防范。各业务部门要加强计算机的病毒检测,确保保存电子文件的磁盘不带病毒,并将磁盘经常置于写保护状态。最后,要利于长期保存。有的电子文件在存盘时进行过加密或隐含文件名,如果密码或文件名被遗忘,电子文件就难以打开。对于这类文件,应该解密或显现文件名后再归档保存。在条件允许时,应及时将存贮电子文件的磁盘载体更换成光盘,便于长久保存。
光盘的保护。第一,要规范摆放和使用。光盘应置于盒中直立放置,避免大量堆叠,以防光盘翘曲,同时在使用过程中应避免摩擦和划痕造成光盘的损伤。光盘在信号稳定性方面比磁盘好得多,但由于其数据密度比磁盘大许多倍,所以对定位准确度的要求比较高,尤其是数据光盘一旦划伤或变形,将可能导致整张盘的数据无法读出。在使用中不能用手直接触摸光盘数据面,放置时数据面应朝上平放以免弄脏或划伤,用完后应及时放回保护套或盒中保存,并且要立放。光盘若被弄脏,用无腐蚀性的清洁剂清洗干净后,仍可正常使用。第二,要保持良好的温度、湿度环境。高温会使光盘氧化、变形或老化,潮湿会使光盘片基霉变。为此,光盘存放的温度宜控制在14℃~24℃,相对湿度40%~65%。第三,要注意避光。光盘材料的塑料保护层对紫外光极为敏感,阳光的直射会使光盘过早老化。因此,光盘要十分注意避光。不管是磁盘还是光盘,定期复制是当前延长电子文件寿命的有效措施,磁盘每2年、光盘每5年要转储一次,转储后的载体要与原载体同样编号保存。第四,要健全新型载体的档案借阅利用制度。为了安全地保护和利用新型载体,应专门建立其档案的借阅、利用制度,并严格审批手续。磁性载体文件应一式两份归档,将其中一份作为保存件不得外借。利用率高的档案应另制作复制件,在利用时以复制件替代保存的原件。
二、计算机档案管理系统的应用和维护
在计算机档案业务管理系统的使用中也时刻存在着安全保护问题。通过计算机进行编目、著录、检索、统计等工作时,应设定不同操作人员对不同内容的访问权限,如在检索统计工作中不允许对档案目录进行登录、修改等操作(这一般可通过软件设置口令密码来达到)。为防止外来借档、查档人员直接操作计算机修改文件,对不同密级的档案也应设置不同的保护措施,如除对高密级的档案设置多级密码保护外,还应对文件内容进行数据加密。对长期保存不需要修改变动的档案,可以刻录在一次性写入的只读光盘上,以保证其不被修改。
为了保护计算机系统中数据的安全,对系统数据应定期进行备份,重要数据应有两个以上的备份分开保存。同时,要采取一定的防计算机病毒措施,因为系统一旦染上计算机病毒将可能对数据产生毁灭性的破坏,故应从建立计算机安全使用制度等方面来预防,不允许随便使用外来磁盘、光盘等,必须使用时应严格进行病毒检测,在确认无病毒后方可使用。
三、电子档案保护技术应注意的问题
在我国,有关数字信息的保护技术体系无论在理论还是实践上都处于初步探索阶段,还没有形成一个明确的系统和成熟的技术体系,有待于理论工作者和实践工作者的共同努力。我国电子档案的使用和保管起步更晚,进行这方面研究存在着人才和技术的严重不足,开展这方面工作不仅要奋起直追,充分借鉴先进国家的成热技术,更要稳扎稳打。笔者认为,当前我们在进行电子档案保护技术研究工作中应注意以下几方面的问题:
一要借鉴纸质档案保护技术的理论与实践。电子档案将逐渐代替纸质档案,这是历史的必然。电子档案代替纸质档案如同纸质档案代替竹木简档案一样,需要继承和发展。纸质档案保护技术与电子档案保护技术二者研究的对象和任务既有区别又有联系,二者的共同点都是保护人类记忆,确保人类文明源远流长,为人类文明发展保留下确切的记忆,以利于推动更高文明的出现。另外,二者在理论和技术手段上也存在着结合点,如在技术手段上,纸质档案研究的物质保护方法同样适用于电子档案,电子档案同样有载体的损坏和保护问题。电子档案信息的方便传递、利用又是纸质档案进行现代化管理和信息再生性保护需要应用的手段。因而我们在建立电子档案保护技术体系时,做好对纸质档案保护技术的继承和发展工作是非常必要的。
二要做好电子档案与纸质档案并存时期保护技术相互衔接的促进和过渡工作。目前,档案保护技术研究的主要内容仍是以纸张为主,电子为辅,一些新编教材和档案学论著也将电子档案有关内容充实进去,这是可行的。电子档案的管理及其独成体系保护还没有完全成熟,目前与纸质档案仍是互补的关系。随着电子档案的增多,数量上如果超过纸质档案,则可建立起以电子档案为主、纸质档案为辅或二者各自独立的体系。
三要重塑档案保护技术学人才的知识结构。目前研究以纸质档案为主的档案保护技术人才主要是具有理工科专长的档案人员,而未来的电子档案保护技术学需要的人才则应由计算机信息技术、自动化技术、网络技术等方面的人才构成。因此,为适应电子档案保护技术研究和应用的需求,在档案教育中应加强对以上相关知识的教育和培训,在实际部门中加大对计算机软件、自动化技术方面人才的引进和培养。同时,档案工作人员要适应信息技术和档案事业的发展,注重知识更新,引进、消化、适应电子信息技术的成果,使档案人员拥有广博的知识,以适应信息技术发展的需要。可以肯定,加快档案人员知识结构的变革,多途径、多层次地培养人才,是档案工作迎接信息技术革命最根本的对策。
电子保护论文 篇2
电子商务与知识产权保护存在着内在的、密不可分的联系,这已成为一个不争的事实。笔者认为,这种联系主要体现在以下几个方面:
一、电子商务的核心问题是“数据信息“,知识产权法律制度是保护信息的一种法律工具
知识产权属于一种“信息产权”,从某种意义上讲,它是对符合法定条件的、处于专有领域的一些“信息“提供的法律保护.
电子商务的核心是“数据信息”,在构成电子商务的四种“流“中,“信息流”是最基本的、必不可少的。作为电子商务“信息流“中的相当大的一部分“数据信息”是可以作为“商业秘密“直接得到知识产权法的保护的;而更多“数据信息”的固化、表达可以文学作品、计算机软件、数据库等形式取得版权和其他权利的保护;某些“数据信息“可以商品化,构成“信息化商品”受到商标、商誉等权利的保护;电子商务中进行的商业竞争自然也要受到反不正当竞争法的制约和限制。不仅如此,现在知识产权的版权保护,已经延伸到在网络环境中对作品(也是一种信息)传播、利用的保护,这对电子商务的健康发展,显得尤为重要。
二、知识产权贸易已成为电子商务活动,特别是国际间电子商务活动中的一种主要形式和竞争手段
知识产权贸易,狭义的理解就是指以知识产权为标的的贸易,主要包括知识产权许可、知识产权转让等内容;广义的理解还应包括知识产权产品贸易。
以知识产权转让、许可为主要形式的无形商品贸易大大发展。据联合国有关机构统计,国际间技术贸易总额1965年为30亿美元,1995年信息技术产品出口贸易为5950亿美元,超过了农产品贸易,30年间增加了190多倍。除了技术贸易以外,以商标许可、商号许可、商业秘密许可、版权许可等形式为主要内容的知识产权贸易,也有飞速的发展,并成为知识经济条件下实现企业发展虚拟化的主要方式。
三、知识产权产品已成为电子商务中的一种主要交易对象
随着知识经济的临近,已经出现了知识产业,即以人才和知识等智力资源为第一要素配置的产业,就是通常所讲的高科技产业和版权产业,也可通称为知识产权产业。在有形商品贸易中,附有高新技术的高附加值的高科技产品,通常被称为“知识产品“或“知识产权产品”,在这些高科技产品中凝结着占相当大比重的、多种知识产权的价值,如集成电路、计算机软件、多媒体等产品就属于这类产品。在无形商品贸易中,计算机软件、包括电影在内的视听作品、录音制品、文学作品等版权产业的产品占据了主要地位。简而言之,这种主要利用知识、信息、智力开发的知识产品所载有的知识财富,将成为创造社会物质财富的主要形式,这些知识产权产品已成为目前商品交易中的一种主要商品,也是电子商务中的一种主要交易对象。尤其是版权产品,大部分都可以通过互联网进行“上载“和“下载”,实现网上交付,利用电子商务形式进行交易更是独具优势。
四、电子商务模式已成为专利保护的一种客体
,美国专利商标局颁发的《专利审查程序手册M.P.E.P》中已经明确允许商业方法申请专利。
7月23日,美国联邦巡回上诉法院(CAFC)就StateStreet银行诉SignatureFinancial金融集团一案作出判决,确认指导电子商务的`经营模式的专利是合法、有效的。这一判决是针对Signature集团拥有的美国第5193056号专利而作出的,也是CAFC首次对涉及电子商务经营模式是否可以取得专利作出的判决,引起业内人士的高度关注。1月,美国最高法院确认了这一判决,从而确立了电子商务经营模式专利保护的合法地位。
194月,美国联邦巡回上诉法院(CAFC)对AT&T公司诉ExcelCo鄄munication长途电话公司一案作出判决,判定AT&T公司的市场营销方法的经营模式专利有效。
美国对于这类基于因特网的电子商务经营模式的专利,采取了极为“宽容“的态度。那些已在现实社会中广泛应用的经营方式,首次移用到因特网上,便可获得专利保护,将已有的经营模式“系统化”也可获得专利保护。
在此前后,有一批相当数量的有关电子商务领域的申请获得了美国专利。据美国专利商标局的统计,1990年美国授予的与网络有关的发明专利仅有22项;在19以前,涉及因特网的专利申请只有13件;到年底,有关电子商务的授权专利,美国已有1500多件,日本有接近200件。随后的国家是加拿大、英国、荷兰等国。韩国宣称每年有关电子商务的专利申请达到3000~4000件,位居全球之首。
外国向中国提交的第一件电子商务专利申请是在1994年5月9日(申请号94190313.3),国内提交的第一件电子商务专利申请是在1995年12月7日(申请号95117826.1)。目前中国对于商业方法不准备给予专利保护。
对于因特网上电子商务经营模式给予专利保护,尽管争议甚大,且会产生较大的负面影响,但它确实可以刺激和推动电子商务的发展,这也是事实,不容忽视。
五、电子商务为知识产权的获得提供了一种新的途径
在电子商务的影响下,一种新的获得知识产权的途径――电子申请也已问世。电子申请就是以电子文件的形式向国家知识产权主管机关提交知识产权确权申请。按照传统的做法,这类申请(如专利申请、商标注册申请等)应该是以纸件为载体进行的。
WIPO起草的专利法案条约(PLT)和专利合作条约(PCT)细则的修改中,已提出电子申请的要求,确认了其合法性。日本专利局是第一家成功实施电子申请系统的,1990年12月已经开始接受有关专利的电子申请,到年,67%的专利申请是通过网上提交的,另外有29%的专利申请是以软盘的形式提交的,只有4%的申请文件是以传统的纸介质方式提交的。韩国已经着手进行通过互联网申请专利的试验。美国、日本、欧洲3个专利局正在进行通过互联网联机申请专利的准备,并把实现专利文献无纸化作为今后发展的方向。
以电子申请形式
获得专利权、商标权,从其实质内容来看,是获得知识产权的一种新途径,也可以看作是一种特殊的电子商务。
请NOD32保护电子邮件 篇3
关闭发送检测功能
在打开的杀毒软件操作窗口按快捷键F5,在弹出的程序配置窗口就可以进行设置操作。在左侧列表中选中“电子邮件客户端防护”的“电子邮件客户端”这个项目。接着将“已发送的电子邮件”和“已阅读的电子邮件”选项的钩去除,减少NOD32对电子邮件的扫描频率,毕竟我们是不会给其他人发送含有病毒的电子邮件的。然后选中左侧列表中的“操作”项目,在操作选项中选中“删除电子邮件”就可以。
NOD32更好地支持Gmail
当我们用Foxmail收Gmail时,NOD32的邮件查杀功能并没有启用,这是什么原因呢?通常情况下接收电子邮件使用的是POP3协议,该协议使用的是110这个网络端口,但是包括Gmail等電子邮箱却使用的是加密协议。所以选择“POP3,POP35”下面的“电子邮件客户端”项目,接着点击窗口下方的“添加”按钮,在弹出的窗口选择需要保护的邮件客户端程序,比如这里添加的就是Foxmail程序的文件。
当Foxmail程序接收或发送邮件的时候,NOD32就会对传输的数据扫描,一旦发现传输的数据里面存在病毒信息就会提示用户。所以选中“POP3,POP35”项目,在“POP3协议使用的端口”中,输入加密协议使用的995端口。以后电子邮件就可以全方位地得到保护。
虽然不少邮件客户端都提供了垃圾邮件过滤功能,但经常还会漏掉一些垃圾邮件。配合NOD32的垃圾邮件检测功能,双管齐下就能起到更好的效果。
第一步:开启NOD32的垃圾邮件监控功能。右击系统托盘区的NoD32程序图标并选择“高级设置”,在打开的窗口中选择“反垃圾邮件模块”,选中右侧的“启用反垃圾邮件”选项,如果只需要将垃圾邮件放到垃圾邮件箱,直接选中“将邮件移至垃圾邮件文件夹”即可。
浅谈电子档案的保护 篇4
关键词:电子档案
由于归档电子文件以脱机方式保存, 在实际使用中大量电子文件还是用软磁盘保存。所以, 软磁盘和光盘的保护仍是当前归档电子文件载体保护的重点, 必须制定保护措施。
一、软磁盘的保护
1、统一软盘的规格, 使用3.5寸高密盘保存。
2、把住软磁盘质量关。
软磁盘的质量直接影响到磁盘信息的保存寿命, 高质量的软磁盘在良好的保管条件下可保存近10年, 而低质量软磁盘往往不到-年, 就读不出数据。目前市场上存在不少质量低劣产品, 所以在选购软磁盘时要认真把好质量关。
3、规范保管条件。
要求软磁盘存放在无强磁场干扰、无震动、无尘、无腐蚀气体和温湿度适中的环境里, 环境空气相对湿度控制在40%一50%, 温度控制在14-24℃。
4、加强病毒防范。
要求各业务部门加强计算机的病毒检测, 确保保存电子文件的磁盘不带病毒, 并将磁盘经常置于保护状态。
5、对加密盘的管理。
有的电子文件在存盘时进行过加密或隐含文件名, 如果密码或文件名被遗忘, 电子文件就难以打开。所以对这类文件应该解密或显现文件名后再归档保存。
6、在条件允许时, 及时将存贮电子文件的软磁盘载体更换成光盘, 便于长久保存。
二、光盘的保护
1、规范排放和使用。
光盘的存放应置于盒中直立放置, 避免大量堆叠, 以防光盘翘曲, 在使用过程中应避免摩擦和划痕造成光盘的损伤。
2、保持良好的温度、湿度环境。
高温会使光盘氧化、变形或老化, 潮湿会使光盘片基霉变。为此光盘存放的温度宜控制在14-24℃, 相对湿度
40%-65%。
3、注意避光。
光盘材料的塑料保护层对紫外光极为敏感, 阳光的直射会使光盘过早老化。因此, 光盘要十分注意避光。不管磁盘还是光盘, 定期复制是当前延长电子文件寿命的有效措施, 磁盘每2年, 光盘每5年转储一次, 转储后的载体与原载体同样编号保存。
三、电子文件与纸质档案在保护技术上的差异
电子文件以其载体和载体与信息结合方式的特殊性对传统档案保护理论造成很大的冲击, 电子文件与传统纸质档案在保护技术上有很大的差别, 这些差别将是电子时代档案保护技术的新领域。
1、载体寿命的差异
纸张的耐久性取决于纤维素的性质, 尽管纤维素在一定的条件, 如高温、高湿、酸、酶、氧化剂等下, 可发生水解和氧化反应, 但只要我们在档案保护过程中, 注意排除发生两大化学反应所需要的条件, 就可以使纸质档案的寿命达到上百年甚至上千年。电子文件的载体材料是磁性物质和光盘。聚酯底基是磁盘和磁带的支持体。聚酯底基具有易产生静电而吸引尘埃导致卷曲、易与磁粉脱离、伸长后不易恢复等缺点。粘和剂起着连接底基和磁粉的作用, 它具有易热胀冷缩、磨损、脱落、粘连、生霉等缺点, 直接影响信息再现。
2、环境条件影响的差异
(1) 温湿度影响的差异。不适宜的温湿度对磁性载体、光盘和纸张均有影响。对纸张而言, 高温高湿, 可促进纸张发生水解-氧化反应, 加速纸张内部不利化学成分对纸张的影响, 也可使字迹材料发生扩散、洇化现象。而电子文件载体受温湿的影响方式截然不同。实验证明, 保存纸质档案的标准温度为14℃—24℃, 相对湿度为45%—60%, 而保存电子文件的理想温度为16℃—20℃, 相对湿度为40%±5%, 可见, 温湿度对电子文件和纸质档案的影响程度是不同的。
(2) 灰尘影响的差异。灰尘对纸张的危害主要是机械磨损纸张、使纸张发生粘结而形成“档案砖”、给纸张带来霉菌等。而灰尘对电子文件载体的损坏主要有物理损坏、化学损坏和生物损坏。综上所述, 灰尘均可以损坏纸张和电子文件载体。只是对纸张而言, 即使灰尘已经对其产生实质性的损害, 如磨损纸张、形成“档案砖”、产生色斑和霉斑等, 也可通过修复手段在很大程度上恢复其所记录信息。而灰尘一旦对电子文件载体造成危害, 载体上所记录的信息可能会局部丢失, 在计算机系统上便无法读出原始信息, 使电子文件失去保存价值。因此, 防止灰尘对电子文件载体的危害有特别重要的意义, 在电子文件形成和使用过程中, 要采取严密的防灰尘措施。
(3) 外来磁场和机械震动影响的差异。磁场和机械震动对纸质档案无任何影响, 而对电子文件的磁性载体则是最重要的影响因素。外来磁场作用于磁性载体, 能使磁性涂层的剩磁发生消磁或磁化, 造成信号失落或信噪比降低, 破坏记录信息, 影响读出效果。
关于电子政务信息安全等级保护 篇5
相关文件的学习报告 引言 1.1 编写目的
《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27 号,以下简称“27 号文件”)明确要求我国信息安全保障工作实行等级保护制度,提出“抓紧建立信息安全等级保护制度,制定信息安全等级保护的管理办法和技术指南”。2004 年9 月发布的《关于信息安全等级保护工作的实施意见》(公通字[2004]66 号,以下简称“66 号文件”)进一步强调了开展信息安全等级保护工作的重要意义,规定了实施信息安全等级保护制度的原则、内容、职责分工、基本要求和实施计划,部署了实施信息安全等级保护工作的操作办法。号文件和66 号文件不但为各行业开展信息安全等级保护工作指明了方向,同时也为各行业如何根据自身特点做好信息安全等级保护工作提出了更高的要求。电子政务作为国家信息化战略的重要组成部分,其安全保障事关国家安全和社会稳定,必须按照27 号文件要求,全面实施信息安全等级保护。因此,组织编制《电子政务信息安全等级保护实施指南》,规范电子政务信息安全等级保护工作的基本思路和实施方法,指 1 导我国电子政务建设中的信息安全保障工作,对搞好电子政务信息安全保障具有十分重要的现实意义。
1.2 适用范围
本指南提供了电子政务信息安全等级保护的基本概念、方法和过程,适用于指导各级党政机关新建电子政务系统和已建电子政务系统的等级保护工作。
1.3 文档结构
本指南包括五个章节和两个附录。
第1章为引言,介绍了本指南的编写目的、适用范围和文档结构;第2章为基本原理,描述了等级保护的概念、原理、实施过程、角色与职责,以及系统间互联互通的等级保护要求;第3章描述了电子政务等级保护的定级,包括定级过程、系统识别和描述、等级确定;第4章描述了电子政务等级保护的安全规划与设计,包括电子政务系统分域报护框架的建立,选择和调整安全措施,以及安全规划与方案设计;第5章描述了安全措施的实施、等级评估,以及等级保护的运行改进。基本原理 2.1 基本概念
2.1.1 电子政务等级保护的基本含义
信息安全等级保护是国家在国民经济和社会信息化的发展过程中,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进信息化健康发展的基本策略。27 号文件对信息安全等级保护做出了系统的描述——“信息化发展的不同阶段和不同的信息系统有着不同的安全需求,必须从实际出发,综合平衡安全成本和风险,优化信息安全资源的配置,确保重点。要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统。”
电子政务信息安全等级保护是根据电子政务系统在国家安全、经济安全、社会稳定和保护公共利益等方面的重要程度,结合系统面临的风险、系统特定安全保护要求和成本开销等因素,将其划分成不同的安全保护等级,采取相应的安全保护措施,以保障信息和信息系统的安全。电子政务等级保护工作分为管理层面和用户层面两个方面的工作。管理层的主要工作是制定电子政务信息安全等级保护诉讼的管理办法、定级指南、基本安全要求、等级评估规范以及对电子政务等级保护工作的管理等。用户层的主要工作是依据管理层的要求对电子政务系统进行定级,确定系统应采取的安全保障措施,进行系统安全设计与建设,以及运行监控与改进。本指南的内容主要针对用户层面的工作。
电子政务信息安全等级保护遵三循以下原则: a)重点保护原则
电子政务等级保护要突出重点。对关系国家安全、经济命 脉、社会稳定等方面的重要电子政务系统,应集中资源优先建设。
b)“谁主管谁负责、谁运营谁负责”原则
电子政务等级保护要贯彻“谁主管谁负责、谁运营谁负责”的原则,由各主管部门和运营单位依照国家相关法规和标准,自主确定电子政务系统的安全等级并按照相关要求组织实施安全保障。
c)分区域保护原则
电子政务等级保护要根据各地区、各行业电子政务系统的重要程度、业务特点和不同发展水平,分类、分级、分阶段进行实施,通过划分不同的安全区域,实现不同强度的安全保护。
d)同步建设原则
电子政务系统在新建、改建、扩建时应当同步建设信息安全设施,保证信息安全与信息化建设相适应。
e)动态调整原则
由于信息与信息系统的应用类型、覆盖范围、外部环境等约束条件处于不断变化与发展之中,因此信息与信息系统的安全保护等级需要根据变化情况,适时重新确定,并相应调整对应的保护措施。
2.1.2 电子政务安全等级的层级划分
号文件中规定信息系统的安全等级从低到高依次包括自主保护级、指导保护级、监督保护级、强制保护级、专控保 护级五个安全等级。按66 号文件的规定,对电子政务的五个安全等级定义如表2-1 所示。
2.1.3 电子政务等级保护的基本安全要求
电子政务等级保护基本安全要求是对各等级电子政务系统的一般性要求,分为五个等级,从第一级至第五级,对应于五个等级的电子政务系统。对特定电子政务系统的安全保护,以其相应等级的基本安全要求为基础,通过对安全措施的调整和定制,得到适用于该电子政务系统的安全保护措施。电子政务等级保护基本安全要求分为安全策略、安全组织、安全技术和安全运行四个方面。
a)安全策略
安全策略是为了指导和规范电子政务信息安全工作而制定的安全方针、管理制度、规范标准、操作流程和记录模板等文档的总和。安全策略具有层次化的结构,包括整体安全策略、部门级安全策略、系统级安全策略等。
b)安全组织
安全组织是为了保障电子政务信息安全而建立的组织体系,包括各级安全组织机构、岗位安全职责、人员安全管理、第三方安全管理、安全合作与沟通等方面。
c)安全技术
安全技术是指保障电子政务信息安全的安全技术功能要求和安全技术保障要求,包括网络与通讯安全、主机与平台安全、数据库安全、应用安全、数据安全、物理环境安全等方面。
d)安全运行
安全运行市委了保障电子政务系统运行过程中的安全而制定的安全运维要求,包括风险管理、配置和变更管理、信息系统工程安全管理、日常运行管理、技术资料安全、应急响应等方面。
具体的电子政务等级保护基本安全要求参见相关的国家标准。
2.2 基本方法
2.2.1 等级保护的要素及其关系
电子政务等级保护的基本原理是:依据电子政务系统的使命、目标和重要程度,将系统划分为不同的安全等级,并综合平衡系统特定安全保护要求、系统面临安全风险情况和实施
安全保护措施的成本,进行安全措施的调整和定制,形成与系统安全等级相适应的安全保障体系。
电子政务等级保护包含以下七个要素: a)电子政务系统
电子政务系统是信息安全等级保护的对象,包括系统中的信息、系统所提供的服务,以及执行信息处理、存储、传输的软硬件设备等。
b)目标
目标是指电子政务系统的业务目标和安全目标,电子政务 7 等级保护要保障业务目标
和安全目标的实现。c)电子政务信息安全等级
电子政务信息安全等级划分为五级,分别体现在电子政务系统的等级和安全保护的等级两个方面。
d)安全保护要求
不同的电子政务系统具有不同类型和不同强度的安全保护要求。
e)安全风险
安全风险是指电子政务系统由于本身存在安全弱点,通过人为或自然的威胁可能导致安全事件的发生。安全风险由安全事件发生的可能性及其造成的影响这两种指标来综合衡量。
f)安全保护措施
安全保护措施是用来对抗安全风险、满足安全保护要求、保护电子政务系统和保障电子政务目标实现的措施,包括安全管理措施和安全技术措施。
g)安全保护措施的成本
不同类型和强度的安全保护措施的实现需要不同的成本,安全保护措施的成本应包括设备购买成本、实施成本、维护成本和人员成本等。
电子政务等级保护各要素之间的关系是:
a)电子政务系统的安全等级由系统的使命、目标和系统重要程度决定。b)安全措施需要满足系统安全保护要求,对抗系统所面临的风险。
1)不同电子政务系统的使命和业务目标的差异性,业务和系统本身的特性(所属信息资产特性、实际运行情况和所处环境等)的差异性,决定了系统安全保护要求特性(安全保护要求的类型和强度)的差异性。
2)系统保护要求类型和强度的差异性,安全风险情况的差异性,决定了选择不同类型和强度的安全措施。
c)电子政务安全措施的确定需要综合平衡系统保护要求的满足程度、系统面临风险的控制和降低程度、系统残余风险的接受程度、以及实施安全措施的成本,在适度成本下实现适度安全。
2.2.2 电子政务等级保护实现方法 号文件指出,实行信息安全等级保护时“要重视信息安全风险评估工作,对网络与信息系统安全的潜在威胁、薄弱环节、防护措施等进行分析评估,综合考虑网络与信息系统的重要性、涉密程度和面临的信息安全风险等因素,进行相应等级的安全建设和管理”。
电子政务等级保护的实现方法如图2-1 所示:
__ 9
电子政务系统实施等级保护的方法是:
a)依据电子政务安全等级的定级规则,确定电子政务系统的安全等级;
b)按照电子政务等级保护要求,确定与系统安全等级相对应的基本安全要求;
c)依据系统基本安全要求,并综合平衡系统安全保护要求、系统所面临风险和实施安全保护措施的成本,进行安全保护措施的定制,确定适用于特定电子政务系统的安全保护措施,并依照本指南相关要求完成规划、设计、实施和验收。
2.3 实施过程
电子政务等级保护的实施过程包括三个阶段,分别为: a)定级阶段 b)规划与设计阶段
c)实施、等级评估与改进阶段
电子政务等级保护的基本流程如图2-2 所示:
第一阶段:定级
定级阶段主要包括两个步骤: a)系统识别与描述
清晰地了解政务机构所拥有的电子政务系统,根据需要将复杂电子政务系统分解为电子政务子系统,描述系统和子系统的组成及边界。
b)等级确定
完成电子政务系统总体定级和子系统的定级。
第二阶段:规划与设计
规划与设计阶段主要包括三个步骤,分别为: 系统分域保护框架建立
通过对电子政务系统进行安全域划分、保护对象分类,建立电子政务系统的分域保护框架。
b)选择和调整安全措施
根据电子政务系统和子系统的安全等级,选择对应等级的基本安全要求,并根据风险评估的结果,综合平衡安全风险和成本,以及各系统特定安全要求,选择和调整安全措施,确定出电子政务系统、子系统和各类保护对象的安全措施。
c)安全规划和方案设计
根据所确定的安全措施,制定安全措施的实施规划,并制定安全技术解决方案和安全管理解决方案。
第三阶段:实施、等级评估与改进
实施、等级评估与改进阶段主要包括三个步骤,分别为: a)安全措施的实施
依据安全解决方案建设和实施等级保护的安全技术措施和安全管理措施。
b)评估与验收
按照等级保护的要求,选择相应的方式来评估系统是否满足相应的等级保护要求,并对等级保护建设的最终结果进行验收。
c)运行监控与改进
运行监控是在实施等级保护的各种安全措施之后的运行期间,监控系统的变化和系统安全风险的变化,评估系统的安全状况。如果经评估发现系统及其风险环境已发生重大变化,新的安全保护要求与原有的安全等级已不相适应,则应进行系统重新定级。如果系统只发生部分变化,例如发现新的系统漏洞,这些改变不涉及系统的信息资产和威胁状况的根本改变,则只需要调整和改进相应的安全措施。
对于大型复杂电子政务系统,等级保护过程可以根据实际情况进一步加强和细化,以满足其复杂性的要求。附录B 给出了大型复杂电子政务系统等级保护实施过程的示例。
新建电子政务系统的等级保护工作与已经建成的电子政务系统之间,在等级保护工作的切入点方面是不相同的,它们各 13 自的切入点及其对应关系如图2-3 所示。
新建电子政务系统在启动时,应当按照等级保护的要求来建设。
a)系统规划阶段,应分析并确定所建电子政务系统的安全等级,并在项目建议书中对系统的安全等级进行论证。
b)系统设计阶段,要根据所确定的系统安全等级,设计系统的安全保护措施,并在可行性分析中论证安全保护措施;
c)系统实施阶段,要与信息系统建设同步进行信息安全等级保护体系的实施,之后进行等级评估和验收。
d)系统运行维护阶段,要按照所建立的等级保护体系的要求,进行安全维护与安全管理。
e)系统废弃阶段,要按照所建立的等级保护体系的要求,对废弃过程进行有效的安全管理。
对于已建的电子政务系统,由于在系统规划、设计和实施阶段没有考虑等级保护的要求,因此等级保护工作的切入点是系统运行维护阶段。
在确定要实施等级保护工作之后,应对系统进行安全现状分析,深入认识和理解机构所拥有的电子政务系统,对每个系统进行定级,之后进行等级保护的安全规划和方案设计,最
后进行实施、评估和验收。2.4 角色及职责
电子政务等级保护工作主要包括决策者、技术负责人、实施人员三类角色。
a)决策者
决策者是政务机构中对本单位实施电子政务信息安全等级保护工作的最终决策人。决策者在等级保护中的职责如下:
1)组织、协调和推动本单位电子政务等级保护工作; 2)负责最终确定本单位电子政务系统的安全等级; 3)领导和监督本单位电子政务等级保护体系的建设工作; 4)与本单位电子政务等级保护建设的上级主管部门进行沟通和协调,组织、配合等级评审与验收;
5)监督本单位电子政务等级保护体系的运行与改进。b)技术负责人
技术负责人是对本单位实施电子政务信息安全等级保护工作的决策支持者、技术决策人和实施管理者。技术负责人在等级保护中的职责如下:
1)协助决策者组织、协调和推动本单位电子政务等级保护的工作;
2)向决策者提供本单位电子政务系统安全定级的建议及依据;
3)组织实施本单位电子政务等级保护体系的建设; 4)组织和总结本单位等级保护的实施情况,配合上级主管部门进行等级评估和验收;
5)组织实施本单位电子政务等级保护体系的运行与改进。c)实施人员
实施人员是政务机构中实施信息安全等级保护的具体工作人员。实施人员在等级保护中的职责如下:
1)分析本单位电子政务系统,收集定级理由和证据; 2)在技术负责人的领导下,具体组织和参与完成等级保护 各阶段的工作。
2.5 系统间互联互通的等级保护要求
不同安全等级的电子政务系统之间可以根据业务需要进行互联互通。不同安全等级的系统互联互通,要根据系统业务要求和安全保护要求,制定相应的互联互通安全策略,包括访问控制策略和数据交换策略等。要采取相应的边界保护、访问控制等安全措施,防止高等级系统的安全受低等级系统的影响。电子政务系统间的互联互通遵循以下要求:
a)同等级电子政务系统之间的互联互通
由系统的拥有单位参照该等级对访问控制的要求,协商确定边界防护措施和数据交换安全措施,保障电子政务系统间互联互通的安全。
b)不同等级电子政务系统间的互联互通
各系统在按照自身安全等级进行相应保护的基础上,协商对相互连接的保护。高安全等级的系统要充分考虑引入低安全等级系统后带来的风险,采取有效措施进行控制。
c)涉密系统与其它系统的互联互通,按照国家保密部门的有关规定执行。
d)电子政务系统互联互通中的密码配置按照国家密码管理部门的要求执行。
3 定级
电子政务系统定级可以采用以下两种方式进行: a)对系统总体定级
系统总体定级是在识别出政务机构所拥有的电子政务系统后,针对系统整体确定其安全等级。
b)将系统分解为子系统后分别定级
政务机构所拥有的电子政务系统如果规模庞大、系统复杂,则可以将系统分解为多层次的多个子系统后,对所分解的每个子系统分别确定其安全等级。
3.1 定级过程
定级阶段的主要目标是确定电子政务系统及其子系统的安全等级。定级结果是进行安全规划与设计的基础,定级结果应按照相关管理规定提交相关管理部门备案。
定级阶段工作主要包含两个过程: a)系统识别与描述
应准确识别并描述出整体的电子政务系统,以及系统可以分解的子系统。系统识别要确定系统的范围和边界,识别系统包含的信息和系统提供的服务,作为后续定级工作的输入。
b)等级确定
进行系统整体定级和子系统分别定级,形成系统的定级列表,作为后续阶段工作的基础。定级工作流程如图3-1 所示。
3.2 系统识别与描述 3.2.1 系统整体识别与描述
实施等级保护工作首先要求政务机构对其拥有的或拟建的电子政务系统进行深入的识别和描述,识别和描述的内容至少包括如下信息:
a)系统基本信息
系统名称,系统的简要描述,所在地点等。b)系统相关单位
负责定级的责任单位,系统所属单位,系统运营单位,主管部门,安全运营单位,安全主管部门等。c)系统范围和边界
描述系统所涵盖的信息资产范围、使用者和管理者范围、行政区域范围和网络区域范围等,并清晰描述出其边界。
d)系统提供的主要功能或服务
从整体层面描述系统所提供的主要功能或服务,即对公众、企业、相关政府机关、内部用户等提供的主要服务。
e)系统所包含的主要信息
描述系统所输入、处理、存储、输出的主要信息和数据。3.2.2 划分子系统的方法 3.2.2.1 划分原则
对政务机构所拥有的大型复杂电子政务系统,可以将其划分为若干子系统进行定级,子系统划分基于以下原则:
a)按照系统服务对象划分
电子政务系统的服务对象即目标用户,包括社会公众、企事业单位、机构内部人员、其它政务机构等。依据其所服务的目标用户可分为以下几类系统:
1)政务机构对公民的电子政务系统 2)政务机构对企业的电子政务系统 3)政务机构对政务机构的电子政务系统 4)政务机构对公务员的电子政务系统 b)按系统功能类型划分
根据系统的功能类型或提供的服务类型划分子系统。划分 时除了考虑到对外部用户(社会公众、企事业单位、其它政务机构)提供服务的对外业务系统,对内部用户(内部公务员、领导)提供服务的内部办公和管理系统外,还应考虑到对前两类系统提供承载、支撑和管理作用的支持系统,如网络承载平台、网管系统、安全系统等。
c)按照网络区域划分
根据电子政务系统建设现状,系统可能运行在不同的电子政务网络范围内,不同的电子政务网络在涉密程度、隔离模式和管理模式上差异较大,所以可以按照电子政务系统运行的网络区域进行子系统划分。
d)按行政级别划分
按系统所处的行政级别,如中央、省部级、地市级、县区级等进行子系统划分。
3.2.2.2 子系统划分方法
在子系统划分时,应根据系统实际情况和管理模式,综合考虑子系统划分的四个原则,确定适用于各电子政务系统的子系统划分标准。划分时可以选择一个原则,也可以同时选用
多个原则作为划分标准,如以某一个或两个要素为主要划分标准,其余为辅助划分标准。对于规模庞大的系统,为了便于描述,一般应按照多个层次逐级进行划分。具体的划分方法可参考《附录B:大型复杂电子政务系统等级保护实施过程示例》。
3.2.3 子系统识别与描述
子系统的识别与描述可参照3.2.1 系统整体识别与描述。3.3 等级确定
3.3.1 电子政务安全属性描述
电子政务安全等级主要依据系统的信息安全属性被破坏后所造成的影响来确定。电子政务信息安全属性包括三个方面:保密性、完整性、可用性。
a)保密性
确保电子政务系统中的信息只能被授权的人员访问。保密性破坏是指电子政务系统中各类信息的未授权泄漏。电子政务系统中的信息依据其保密程度分为以下类别:
1)涉及国家秘密的信息,包括绝密级、机密级和秘密级信息;
2)敏感信息,指不涉及国家秘密,但在政务工作过程中需要一定范围保密,不对 社会公众开放的信息;
3)公开信息,指对社会公众开放的信息。b)完整性
确保电子政务系统中信息及信息处理方法的准确性和完备性。完整性破坏是指对电
子政务系统中信息和系统的未授权修改和破坏。电子政务完整 22 性目标包括两个方面:
1)电子政务系统中存储、传输和处理的信息完整性保护;
2)电子政务系统本身的完整性保护。系统完整性保护涉及从物理环境、基础网络、操作系统、数据库系统、电子政务应用系统等信息系统的每一个组成部分的完整性保护。
c)可用性
确保已授权用户在需要时可以访问电子政务系统中的信息和相关资产。可用性破坏是指电子政务系统所提供服务的中断,授权人员无法访问电子政务系统和信息。可用性目标是保证授权用户能及时可靠地访问信息、服务和系统资源,不因人为或 自然的原因使系统中信息的存储、传输或处理延迟,或者系统服务被破坏或被拒绝达到不能容忍的程度。电子政务可用性目标保护包括两个方面:
1)电子政务系统所提供的服务的可用性;
2)电子政务系统中存储、传输和处理的信息的可用性。3.3.2 定级原则
电子政务系统的安全等级可从信息安全的保密性、完整性、可用性三个基本属性在遭到破坏时对政务机构履行其政务职能、机构财产、人员造成的影响来确定。
a)安全等级第一级
对电子政务信息和信息系统安全属性的破坏会对政务机构 23 履行其政务职能、机构财产、人员造成较小的负面影响,包括:
1)对政务机构运行带来较小的负面影响,政务机构还可以履行其基本的政务职能,但效率有较小程度的降低;
2)对政务机构、相关单位、人员造成较小经济损失; 3)对政务机构、相关单位、人员的形象或名誉造成较小影响;
4)不会造成人身伤害。b)安全等级第二级
对电子政务信息和信息系统安全属性的破坏会对政务机构履行其政务职能、机构财产、人员造成中等程度的负面影响,包括:
1)对政务机构运行带来中等程度的负面影响,政务机构还可以履行其基本的政务
职能,但效率有较大程度的降低;
2)对政务机构、相关单位、人员造成一定程度的经济损失;
3)对政务机构、相关单位、人员的形象或名誉造成一定程度的负面影响;
4)造成轻微的人身伤害。c)安全等级第三级
对电子政务信息和信息系统安全属性的破坏会对政务机构履行其政务职能、机构财产、人员造成较大的负面影响,对国家安全造成一定程度的损害,包括: 1)对政务机构运行带来较大的负面影响,政务机构的一项或多项政务职能无法履 行;
2)对政务机构、相关单位、人员造成较大经济损失; 3)对政务机构、相关单位、人员的形象或名誉造成较大的负面影响;
4)导致严重的人身伤害。d)安全等级第四级
对电子政务信息和信息系统安全属性的破坏会对政务机构履行其政务职能、机构财产、人员造成严重的负面影响,对国家安全造成较大损害,包括:
1)对政务机构运行带来严重的负面影响,政务机构的多项政务职能无法履行,并
在省级行政区域范围内造成严重影响;
2)对国家造成严重的经济损失; 3)对国家形象造成严重影响; 4)导致较多的人员伤亡;
5)导致危害国家安全的犯罪行为。e)安全等级第五级
对电子政务信息和信息系统安全属性的破坏会对政务机构履行其政务职能、机构财产、人员造成极其严重的负面影响,对国家安全造成严重损害,包括:
1)对政务机构运行带来极其严重的负面影响,中央政务 机构的一项或多项政务职能无法履行,并在全国范围内造成极其严重的影响;
2)对国家造成极大的经济损失; 3)对国家形象造成极大影响; 4)导致大量人员伤亡;
5)导致危害国家安全的严重犯罪行为。
电子政务五个安全等级在保密性、完整性和可用性三个安全属性方面的描述如表3-1 所示。
3.3.3 定级方法
确定电子政务安全等级的基本方法是:通过确定系统保密 性、完整性和可用性三个方面的安全等级来综合确定系统的安全等级。定级方法适用于电子政务系统整体定级和各子系统定级。对大型复杂系统,可以引入业务系统等级确定方法,具体方法可以参照《附录B:大型复杂电子政务系统等级保护实施过程示例》。
系统定级主要考虑两个方面:一是系统中所存储、处理、传输的主要信息,二是系统所提供的主要服务。通过对每一类信息和服务安全等级的分析,最终确定系统的安全等级。系 统安全等级是系统中各类信息和服务安全等级的最大值,并且可以根据系统整体实际情况进行调整,确定系统最终的安全等级。某个电子政务系统(假设其名称为A)的安全等级可以表示为:安全等级(A)=Max{(系统保密性等级),(系统完整性等级),(系统可用性等级)}其中:
系统保密性等级=Max {(各信息或服务的保密性等级)} 系统完整性等级=Max {(各信息或服务的完整性等级)} 系统可用性等级=Max {(各信息或服务的可用性等级)} 电子政务系统A 最终的安全等级为系统保密性等级、系统完整性等级、系统可用性等级中的最大值。
举例:某个政务机构招标采购系统进行定级,系统中包含两类信息和一种服务,一类信息为开标前各投标单位的投标信息,另一类信息为系统管理信息,系统提供的服务为招标服 务。投标信息的保密性等级为3,完整性等级为2,可用性等级为2;系统管理信息的保密性等级为1,完整性等级为1,可用 性等级为1;招标服务的保密性等级为1,完整性等级为1,可用性等级为2。通过比较两类信息各安全属性等级的最大值,得到系统在三个安全属性方面的等级:
系统保密性等级=Max {(投标信息保密性等级:3),(系统管理信息保密性等级:
1),(招标服务保密性等级:1)}=3 系统完整性等级=Max {(投标信息完整性等级:2),(系统管理信息完整性等级:1),(招标服务完整性等级:1)}=2,系统可用性等级=Max {(投标信息可用性等级:2),(系统管理信息可用性等级:1),标服务可用性等级:2)}=2,得到该政务机构招标采购系统的安全等级为:安全等级(投标采购系统)= Max {(保密性等级:3),(完整性等级:2),(可用性等级:2)}=3该政务机构招标采购系统的最终安全等级确定为3。
3.3.4 复杂系统定级方法
对于包括多个子系统的复杂电子政务系统,定级可以包括系统总体安全等级和各子系统的安全等级。系统总体定级和各子系统定级可以分别采用自上向下的定级方式和自下向上的
定级方式,也可以综合两种方式进行。3.3.4.1 自上向下的定级方式
自上向下的定级方式是从系统总体等级向下细化出子系统等级的方式。首先依据系统的整体情况,根据定级规则对电子政务系统进行总体定级,然后根据系统总体安全等级,对子
系统采用同一等级或适当降低等级,从而确定子系统等级。自上向下定级方式是从整体系统的属性出发,向下细分,通过考虑整体系统的使命、整体业务框架、业务特性、安全要求、系统在国家层面的定位等,来把握系统整体的安全等级。自上向下的定级方式包含如下步骤:
a)确定整体系统的等级,即总体定级
1)对整体系统识别的主要信息或服务分别分析其保密性、完整性和可用性的等级,得到一个列表;
2)按照系统定级规则,计算得到整体系统的保密性、完整性和可用性的初始安全等级,和初始的总体定级;
3)对已确定的系统三性的初始安全等级和初始的总体定级应进行适用性评审,评审时要考虑系统在政务机构履行其职能中所起的作用、系统的使命、整体业务框架、系统在国家层面的定位,以及本系统的外部环境等因素。对于等级不合适的部分进行调整,最后确定系统的最终安全等级。
b)确定各子系统的等级
1)从总体等级出发,对子系统采用相同等级或适当降低等级,从而确定子系统等级;
2)也可以对各子系统识别的每一类信息或服务分别分析其保密性、完整性和可用性的等级,按照系统定级规则确定各子系统等级;
3)把上述的两种定级结果进行比较,最终确定各子系统的等级。3.3.4.2 自下向上的定级方式
自下向上的定级方式是从各子系统定级向上综合确定系统总体安全等级的方式。首先依据各子系统的属性,根据定级规则对各子系统进行定级,然后以各子系统的安全等级为基础,综合考虑,得到系统总体的安全等级。自下向上的定级方式从各个子系统的属性出发,通过考虑各个子系统的实际情况、所处的环境、之间的差异性来确定各子系统的安全等级。自下向上的定级方式包含如下步骤:
a)确定各子系统的等级
1)对各子系统已识别的每一类信息或服务分别分析其保密性、完整性和可用性的等级,得到一系列的列表;
2)针对每个子系统,按照系统定级规则得到各子系统安全等级。
b)确定整体系统的等级,即总体定级对各子系统等级进行总结和分析,确定整体系统的等级。总体安全等级的确定可以选用最高的子系统等级,但对于只有比例极少的子系统是最高等级的情况下,可以调低一级。安全规划与设计
电子政务系统在完成定级之后,等级保护工作的第二个阶段就是要进行安全规划与设计,包括系统分域保护框架建立,选择和调整安全措施,安全规划与方案设计三个部分。其主要工作内容与输入输出如图4-1 所示:
4.1 系统分域保护框架建立 4.1.1 安全域划分
安全域划分是将电子政务系统划分为不同安全区域,分别进行安全保护的过程。
4.1.1.1 安全域划分方式
安全域划分可以采用以下两种方式实现: a)对政务机构整体进行安全域划分
在政务机构所管辖的范围内对其所拥有的所有电子政务系统统一进行安全域划分,将整个政务机构的所有系统分为若干个安全区域。
b)在每个电子政务系统内进行安全域划分
在每个电子政务系统内部,划分为若干个安全区域。4.1.1.2 安全域划分原则
电子政务安全区域的划分主要依据电子政务系统的政务应用功能、资产价值、资产所面临的风险,划分原则如下:
a)系统功能和应用相似性原则
安全区域的划分要以服务电子政务应用为基本原则,根据政务应用的功能和应用内容划分不同的安全区域。
b)资产价值相似性原则
同一安全区域内的信息资产应具有相近的资产价值,重要电子政务应用与一般的电子政务应用分成不同区域。
c)安全要求相似性原则
在信息安全的三个基本属性方面,同一安全区域内的信息资产应具有相似的机密性要求、完整性要求和可用性要求。
d)威胁相似性原则
同一安全区域内的信息资产应处在相似的风险环境中,面临相似的威胁。
4.1.2 保护对象分类
保护对象是信息系统内具有相似安全保护需求的一组信息资产的组合,是从安全角度对信息系统的描述。依据电子政务系统的功能特性、安全价值以及面临威胁的相似性,电子政务保护对象可分为计算区域、区域边界、网络基础设施三类。
a)计算区域
计算区域是指由相同功能集合在一起,安全价值相近,且面临相似威胁的一组信息系统组成。计算区域的信息资产包括:
主机资产、平台资产、应用软件资产和政务数据资产等。涉及区域内的物理层、网络层、系统层、应用软件层、数据层和业务流程层面。包含的安全属性包括所属信息资产的物理安全、网络安全、边界安全、系统安全、应用系统安全、数据安全和业务流程安全等。计算区域可以从安全域划分的结果得到。
b)区域边界
区域边界是指两个区域或两组区域之间的隔离功能集。边界是虚拟对象,不与具体资产对应,边界是一组功能集合,包括边界访问控制,边界入侵检测和审计等。设计系统分域保护框架时区域边界可以作为计算区域的一个属性进行处理。通过对各安全区域之间的连接状况分析,可以得到某个安全区域与其它区域之间的边界。
c)网络基础设施
网络基础设施是指由相同功能集合在一起,安全价值相近,且面临相似威胁来源的一组网络系统组成,包括由路由器、交换机和防火墙等构成的局域网或广域网,一般指区域边界之间的连接网络。某一个安全区域或多个安全区域网络支撑平台构成了该区域的网络基础实施。电子政务保护对象及所包括信息资产如图4-2 所示:
各类信息资产描述如下: a)物理环境
是指支撑电子政务系统的场所、所处的周边环境以及场所内保障计算机系统正常运行的设备,包括机房、门禁、监控、电源、空调等。
b)人员资产
指与电子政务系统直接相关的人员,包括各级安全组织、安全人员、各级管理人员、网管员、系统管理员、业务操作人员和第三方人员等。
c)网络资产
是指电子政务系统网络传输环境的设备,软件和通信介质。
网络资产包括路由器、交换机、防火墙、网管、网络设备控制台等。
d)主机资产
是指电子政务系统中承载业务系统和软件的计算机系统、外围系统(不含网络设备)及其操作系统。这里的主机资产包括大型机、中型机、小型机、磁盘阵列、Unix 服务器、Windows 服务器、工作站和终端等。
e)平台资产
主要是指电子政务系统的软件平台系统,包括数据库、中间件、群件、邮件、Web服务器、集成开发环境和工具软件等。
f)应用软件资产
是指为政务业务和管理应用而开发的各类应用软件及其提供的服务。
g)数据资产
是电子政务系统所存储、传输、处理的数据对象,是电子政务系统的核心资产。
4.1.3 系统分域保护框架
系统分域保护框架是从安全角度出发,通过对各保护对象进行组合来对信息系统进行结构化处理的方法。结构化是指通过特定的结构将问题拆分成子问题的迭代过程,其目标是更
好地体现信息系统的安全特性和安全要求。进行结构化处理要遵循以下几条基本原则:
a)充分覆盖
所有子问题的总和必须覆盖原问题。如果不能充分覆盖,那么解决问题的方法就可能出现遗漏,严重影响方法的可行性。
b)互不重叠
同一级别的所有子问题都不允许出现重复,类似以下的情况不应出现在一个框架中:
1)两个不同的子问题其实是同一个子问题的两种表述; 2)某一个子问题其实是同一级别的另外两个子问题或多个子问题的合集。
c)不需再细分
所有子问题都必须细分到不需再细分,或不可再细分的程度。当一个问题经过框架分析后,所有不可再细分的子问题组合构成了一个“框架”。以安全域划分和保护对象分类为基础,经过结构化的分解,可以将电子政务系统分解为不同类别的保护对象,形成系统分域保护框架。
图4-3 描述了某个电子政务系统的系统分域保护框架的示例,包括了系统所划分出的计算区域、区域边界、网络基础设施等各类保护对象。示例中的计算区域包括两个层面,细分为7 个计算区域。第一层区域包括政务专网区域和政务外网区域。政务专网区域又分为核心数据区、业务服务器区、办公服务器区、网络管理区和机关办公区;政务外网区域分为WEB 服务区和机关工作区。示例中的网络基础设施包括政务专网网络基础设施、政务外网网络基础设施。
示例中的区域边界包括:政务专网与其它政务专网系统的边界、政务专网与政务外网的边界、政务外网与互联网的边界,以及内部各计算区域之间的边界。
系统分域保护框架是设计解决方案的基础。大型复杂系统的分域保护框架见附录B。
4.2 选择和调整安全措施
电子政务系统或子系统的安全等级确定后,需要以分域保护框架为基础确定具体的安全保护措施(包括技术措施和管理措施)。确定安全措施的过程如图4-4 所示:
确定安全措施首先是根据电子政务系统的安全等级选择适用等级的基本安全要求,如电子政务系统A 的安全等级为3 级,应选择3 级基本安全要求。在确定了基本安全要求的基
础上,再针对每个系统特定安全要求、面临风险的状况,并考虑安全措施的成本进行安全措施的选择和调整,以得到针对特定系统的安全保护措施。对安全措施的调整基于以下原则:
a)根据电子政务系统特定安全要求进行调整
1)如果电子政务系统的保密性等级、完整性等级、可用性等级之中的一项或两项
低于系统的安全等级,则可以降低该等级安全措施中对应的控制项的等级;
2)如果电子政务系统的某些特定安全要求在基本安全要求中没有相应的控制项,则可以添加与特定安全要求相适应的安全措施。b)根据风险评估的结果进行调整
1)如果电子政务系统(或其保护对象)不存在五个等级基本安全要求中某个控制项所要控制的安全风险,或其控制项不适用,则该控制项可以进行删减;
2)如果风险评估中识别的某个风险,在五个等级基本安全要求中没有相应的控制项,则可以增加此类控制项;
3)如果风险评估的结果显示,与五个等级基本安全要求提供的某个安全措施的安全强度相比,风险较低,则可以降低控制项的强度等级;
4)如果风险评估的结果显示,与五个等级基本安全要求提供的某个安全措施的安全强度相比,风险较高,则可以提高控制项的强度等级。
c)根据安全措施的成本进行调整在安全措施的调整过程中,安全措施的成本也是一个重要的考虑因素,各机构要根
据实际情况,基于合理成本选择和调整安全措施。如果某些安全措施的成本太高,机构无法承受,可以通过其他措施进行弥补。如果无法找到其他措施进行弥补,则需要改变机构的业务流程、运作方式或管理模式。
4.3 安全规划与方案设计
安全规划与方案设计阶段的目的是提出科学实施安全措施的方案,规划综合防范的安全保障体系,实现整体安全。安全规划与方案设计包括安全需求分析、安全项目规划、安全工作规划、安全方案设计等几个步骤。
4.3.1 安全需求分析
通过对现有安全措施的评估明确系统的安全现状,通过对比系统将要达到的安全等级的安全要求,得到现状和要求间的差距,即为安全需求。如图4-5 所示:
4.3.2 安全项目规划
安全项目规划是通过对安全项目的相关性、紧迫性、难易程度和预期效果等因素进行分析,确定实施的先后顺序。安全项目规划主要包括:
a)将安全措施依据相关性,打包成一个或多个的安全项目
b)进行项目分析
1)对项目进行支持或依赖等相关性分析; 2)对项目进行紧迫性分析; 3)对项目进行实施难易程度分析;
4)对项目进行预期效果分析。
c)综合项目分析结果,形成项目实施先后顺序的列表
4.3.3 安全工作规划
我们在安全规划中,不仅要做项目建设的规划,还要做安全工作方面的规划,以此来让等级保护的建设实施和运行能够融入到日常的安全管理和运维工作当中去,来确保等级保护
工作落到实处。安全工作规划需要确定安全工作的宗旨、远期安全工作目标和当年目标、关键和重点的工作,并分析潜在的风险和障碍、所需的资源和预算,从而进行实施策略选择,确定当年的安全工作计划和等级保护项目建设计划。
4.3.4 安全方案设计
在解决方案设计阶段,将对安全规划中所提到的近期应实现的安全措施和项目进行分析,编制系列的技术解决方案和管理解决方案。实施、等级评估与运行 5.1 安全措施的实施
安全措施的实施是在完成等级保护的安全规划与设计之后,依据安全解决方案进行安全管理措施和安全技术措施建设。
安全措施的实施应依据国家有关规定和标准执行。在工程实施过程中应充分考虑施工对业务系统可能造成的影响,做好应急预案,保障业务系统正常运转。应与第三方实施单位签订保密协议和服务质量协议,同时要加强对第三方履行保密协议和服务质量协议的监督。工程实施过程中应避免因第三方人员进场带来新的安全风险。
5.2 等级评估与验收
完成电子政务系统定级、安全措施选择与实施之后,应启动等级评估与验收工作,以便评估电子政务系统是否满足信息安全等级保护的要求,并由电子政务系统的拥有单位或主管 单位组织验收。
电子政务等级保护工作的等级评估可以采取以下三种方式:
a)自评估
自评估是由电子政务系统的拥有单位组织单位内部人员,评估本单位的电子政务系统是否满足电子政务信息安全等级保
护的要求。
b)检查评估
检查评估是由信息安全主管机关或业务主管机关发起,依据已经颁布的电子政务等级保护的法规或标准进行的评估活动。
c)委托评估
委托评估指信息系统拥有单位委托具有风险评估能力的专业评估机构(包括国家建立的测评认证机构或安全企业)实施的评估活动。电子政务系统的拥有单位应根据系统的安全等级选择一种或多种评估模式。等级评估结束后,应由电子政务系统的拥有单位或主管单位主持验收工作,确定完成等级保护建设工作的电子政务系统是否达到相应的安全等级,以及是否可以投入运行。
5.3 运行监控与改进
电子政务等级保护在完成实施、评估与验收工作之后,则进入了安全运行与改进阶段。这一阶段的主要工作是对系统的安全风险和等级保护体系的运行状况进行持续监控,确保在
系统发生变化、系统的安全风险发生变化的情况下,能够及时调整系统的安全措施,并在系统或系统的安全风险发生重大变化时,进行系统的重新定级和安全措施的调整,以确保系统得到相应的保护。等级保护的运行改进过程如图5-2 所示。
附录A 术语与定义 a)信息资产
对组织具有价值的信息资源,是安全策略保护的对象。资产价值是资产的属性,也是进行资产识别的主要内容。
b)服务
信息系统通过提供某些功能来满足用户需求的过程。
c)信息系统生命周期
信息系统生命周期是某一信息系统从无到有,再到废弃的整个过程,包括规划、设计、实施、运维和废弃五个阶段。
d)威胁
可能对资产或组织造成损害的潜在原因。威胁可以通过威胁主体、资源、动机、途径等多种属性来刻画。
e)脆弱性
可能被威胁利用对资产造成损害的薄弱环节。
f)影响
信息安全事件造成的后果。g)风险
风险是指人为或自然的威胁利用系统存在的脆弱性,导致安全事件发生的可能性及其造成的影响。它由安全事件发生的可能性及其造成的影响这两种指标来衡量。
h)信息安全风险评估
依据有关信息安全技术与管理标准,对信息系统及由其处理、传输和存储的信息的机密性、完整性和可用性等安全属性进行评价的过程。它要评估资产面临的威胁以及威胁利用脆弱性导致安全事件的可能性,并结合安全事件所涉及的资产价值来判断安全事件一旦发生对组织造成的影响。
i)风险管理
组织中识别风险、分析风险和控制风险的活动。j)安全措施
保护资产、抵御威胁、减少脆弱性、降低安全事件的影响,以及打击信息犯罪而实施的各种实践、规程和机制的总称。
附录B 大型复杂电子政务系统等级保护实施过程示例 B.1 大型复杂电子政务系统描述
大型复杂电子政务系统主要是指涉及多个行政级别、多种网络以及各类繁杂的信息系统等特征的系统,一般具有以下特点:
a)覆盖多级行政级别,涉及的部门多、范围和地域广; b)信息系统种类繁多、应用众多、服务类型多并且结构复杂;
c)网络建设涉及涉密政务内网、涉密和非涉密政务专网、政务外网以及互联网。大型复杂电子政务系统信息安全建设保障工作目前存在的主要困难包括:
1)信息安全涵盖内容极为广泛,从物理安全,网络安全,系统安全一直到应用安全,数据安全,安全管理,安全组织等等,凡是涉及到影响正常运行的和业务连续性的都可以认为是信息安全问题;
2)安全保障是个系统化的工程,各个要素之间存在紧密联系,互相依赖,牵一发而动全身;
3)安全保障是个长期性的工作,伴随信息系统的整个生命周期,是一个不断实施、检查和改进的过程;
4)不同行业、不同信息化发展阶段、不同地域和行政隶属层次的安全要求属性和强度存在较大差异性;
5)安全保障除了耗费人力财力,还会损失易用性,降 48 低效率,所以应该考虑信息安全要求与资金人力投入的平衡,控制安全的成本。
B.2 等级保护实施过程描述
大型复杂电子政务系统的等级保护实施过程应符合等级保护的整体实施过程,但对于这类电子政务系统由于存在系统复杂、庞大、行政级别多以及涉及范围广等特点,因此建议在 各阶段增加以下相关工作和实施方法:
第一阶段:定级阶段
本阶段主要的三个步骤包括系统识别与描述、子系统划分以及对于系统总体和子系统进行定级,对于大型复杂电子政务系统建议在进行系统识别和子系统划分的过程中结合“系统分域保护框架”的设计思路进行不同层次划分,可以从整体的角度出发,根据适合的划分方法进行整体性划分(例如行政级别、行政区域以及网络等要素),也可以从各个子系统的角度出发,总结和归类进行合并,最终形成多个层次的保护对象。每个 层次的保护对象都能够对应相应的等级,形成“等级系统分域保护框架”。这里建议从整体角度出发进行划分,从子系统的角度出发进行验证,形成从下到上和从上到下的统一和平衡。
第二阶段:规划与设计阶段
本阶段主要的三个步骤包括系统分域保护框架建立、选择
和调整五个等级基本安全要求、安全规划和方案设计。对于大型复杂电子政务系统在选择和调整安全措施等级时建议首先根据行业背景、政府职能特征以及相对应的安全特性整体进行安全措施指标的选择,制定相关行业和政务机构的五个等级整体的基本安全要求,在这个基础上相关的各级部门和政务机构可以根据已经选择的安全等级指标进行进一步的修订和细化,这样可以确保从整体性出发安全措施的有效性和可控性;在进行安全规划与方案设计的过程时,不仅要根据不同安全等级系统选择不同安全措施进行规划和方案设计,这里建议采用“体系化”设计的方法,既能够从整体上进行统一规划,又能够通过安全解决方案解决现有安全问题,同时覆盖安全的各个层面,实现了等级化和体系化的相互结合,最终形成等级化的安全体系。
第三阶段:实施阶段
浅析电子商务消费者权益保护 篇6
关键词:电子商务;消费者;权益保护
电子商务作为一种新的贸易形式逐渐走入人们的视线,与传统的现场交易相比,电子商务交易为人们的生产生活节省了时间、精力,已经逐渐为人们所接受,网上购物成为现代人们炙手可热的购物方式。
一、电子商务中消费者权益保护的特殊性
电子商务简单说就是网上购物,网上成交生意,买家与卖价通过信息网络,本着各自的需求进行交易与交流,在网络提供的虚拟平台中,获取自己的利用。与传统的真实的现场交易行为方式对比,网络交易具有自身的特点。
首先,网络信息的传播速度更加快捷,而且网络商品信息往往能够波及更多的人,覆盖更大的消费人群,而且网上交易往往在形式上更加单一,缺少复杂的交易制度或者行为规范的制约。
其次,网上交易是一种虚拟交易行为,交易双方没有真实地看到对方,消费者无法真切地触及到商品的质量与模式,而是通过网页或者网页图片上的说明,或者宣传海报来选取产品,签订交易协议书,在这一过程中,客户缺乏的是直接的感官认识,与实际产品的验证。
再次,网上交易对于消费者来说具有很大的优势,节省了消费者的时间与精力,但是主要的优势特征还是更加倾向于经营者。因为经营者往往掌握了商品、资金以及货源的主动权,并在网络技术方面也拥有更多的优势,这样的交易性质,决定了消费者一方处于劣势地位。因为经营者有随意掌控商品信息的公開程度的权利,这样就会使消费者对与一些交易方面的具体规则与商品的实际情况发生疑虑,往往在这个时候,消费者会上当受骗。
最后,网上交易属于事后交易。经营者从自身的利益角度考虑,对消费者采取极大的防御措施,一般都是消费者先付款,然后才能收到商品,这样消费者收到商品以后,往往会发生实际商品与网络图片差距甚远,或者不相一致的状况,而且多数情况下,一旦交易行为达成,货物就不予退回,这就对消费者的利益造成了侵害。所以,同传统的现场交易方式想对比,网上交易往往使消费者面临着更大的交易风险。
电子商务交易是科技发展,经济进步的产物,它的持续发展需要建立在一系列公平与公正的规范与制度的基础上,使交易双方都能够在行为规范的限制下约束自身行为。从目前我国的电子商务的发展状况来看,缺乏法律制度方面的规范,电子商务的健康有序发展需要对消费者的权益给予保护。
确保电子商务长远发展的最根本的条件主要包括两个方面:一方面:交易安全。交易安全是电子商务健康发展的基本保障,这其中涵盖了信息网络系统的安全运行,网络交易过程的安全以及消费者生命财产方面的安全。另一方面:交易公平。公平是市场交易行为最重要的灵魂。交易双方要本着平等互利的原则,不随意侵犯对方的利益,确保交易双方的平等与互惠、互利,只有在双方互惠互利的基础上才能保证电子商务经济的持续健康发展。一旦电子商务交易失去了诚实信用,对消费者的利益造成损害,就会失去消费者的信任与支持,这种交易方式就会逐渐被人们所遗弃,影响其长远发展。
二、电子商务中消费者权益保护存在的问题
电子商务交易具有自身的特点与特征,在整个的电子商务交易中,消费者属于弱势群体,一方面是由于网络信息技术的欠缺,以及消费者网上购物经验的匮乏,另一方面一些不法商家利用消费者这些弱点来采取措施进行不正当交易,损害了消费者的利益,具体表现在以下几个方面:
第一,大肆宣传商品,用虚假图片诱惑消费者,实际商品与图片大相径庭,以次充好的现象时有发生,消费者在经验不足的情况下,很容易上当受骗,买去劣质产品,自身的利益受到极大损害。
第三,商品质量与价格不符,损害消费者利益。一些不法商家在商品交易过程中,以次充好,开展非法的传销活动,以此骗取巨额钱款。
三、完善电子商务消费者权益保护的方法
1.严格控制网络经营企业的市场准入
要想进入网络世界进行商品销售,从事电子商务,就要接受相关部门的资格登记审查,无论是经营团体还是个人都要向相关部门申请资格认证,获得审批条件以后才能正式进入电子商务经营,而且要具体细化审批条件与登记内容,防止出现问题时找不到明确的负责人。
2.确保消费者在网络交易过程中享有知情权
电子商务的经营者要负责保护消费者的消费安全,对于一些涉及到消费者自身利益的情况有提醒与告知的义务。具体包括以下几个方面:①经营者的详细信息,例如:注册名字,责任人的名字,经营生意的网站以及具体的地理位置,联系方式等等。②和交易有联系的信息。这些信息体现在:商品以及服务的类型、价格以及方式,送货方式以及售后服务等等。③经营者要向客户说明网络通讯所采用的方式、每一笔费用都要清清楚楚地向客户列出,以此确保客户对信息享有知情权。④向客户提供争议的解决方法并指出对应的法律依据等等。⑤经营者的经营信用情况,具体涵盖了:认证机构以及社会团体,通过一些社会服务性机构对自身的服务质量做出承诺与保证。对于以上信息,经营者没有提供给消费者的行为,完全由经营者承担责任。
3.建立健全统一的退货与换货制度与规则
为了有效保证消费者的利益,要在互利公平的基础上建立为消费者提供换货的服务,保证消费者的正当利益。经营者还要负责保护消费者的隐私,包括消费者的银行卡号,身份证号以及个人信息等等。
第三,建立健全网上交易消费者权益保护的行政法律制度。要想确保消费者的权益得到切实保护,可以将电子商务交易列入工商行政监管与检查的范围内,由相关的执法部门对经营者的行为进行有效监督。
四、总结
电子档案的整理与保护 篇7
一、电子档案的相关整理
目前, 就我国档案管理工作而言, 已经基本电子化, 如此, 其整理工作也相对简单, 当然, 不一样类型的档案, 整理方式也有不同, 故而, 相关人员要区分其类型, 采取合理的整理方式。
(一) 文书电子档案的相关整理。
此类档案有两大类文件, 一类来源于内部, 另外一类则来源于外部, 整理它们的时候, 要区分明确。若是前者, 分类的时候, 可以依据时间, 也可以依据组织机构名称, 如此, 再做好相应的组盘和分盘工作, 检索起来格外方便, 这样的整理方式也使得电子档案的保存时间可以得到有效延长。归档的时候, 为方便进一步查找, 提高档案的利用效率, 可以依据部门做好分类。为避免归档时伴随诸多不规范行为, 可以选择专门部门负责此工作, 完成组盘后, 为了提高他人查找和查收效率, 应由专业人员做好相关安排, 同时, 将对应目录建立起来。
就后者而言, 整理的时候, 可以选择文书室, 将相关文件进行扫描存入计算机, 就公文传递等环节, 也可以通过网络技术来实现, 归档等工作可以由业务部门来处理, 完成此项工作后, 再由承办部门做好分级, 接着由档案部门处理, 审核结束, 由档案工作者将相关档案信息填写完毕存入数据库。当有人想要查找这些档案的时候, 就可以通过网络终端查到自己需要的文件。
(二) 科技电子档案的相关整理。
就此类档案而言, 有着丰富的类型, 因而归档工作相应复杂, 整理的时候, 可以选择分类管理, 也可以选择项目归档, 大多情况下, 都是基于前者, 然后利用后者, 具体而言, 如下:
第一, 基建档案, 此类档案大多是经过电脑进行打印, 然后完成相应的输入工作, 若此档案为纸张实体的形式, 应该采取扫描方式完成对其的电脑录入工作, 然后, 结合案卷号和其他序号实际做好相应的链接工作, 如此, 用户查找档案时, 仅仅输入较为简单的词即可;第二, 设备档案。此类档案的来源大多属于企业, 当相关工作者进行相关设备的采购工作时, 外商提供的信息中, 就传统的资料而言, 它们存在的形式大多是图纸, 而就现代的资料而言, 存在的时候则多属于电子方式, 目前, 国内相关的设计部门, 设计产品的时候大多为电子化方式, 因而进行相关设备购买的时候, 就交易双方而言, 要将电子档案提供出来, 并且将相关说明和可能存在的问题标识出来。
二、电子档案的相关保护
(一) 软磁盘的相关保护。
首先, 要采用统一标准的软盘。一般而言, 大多选择高密度的3.5寸软盘, 同时, 要保证好其质量, 因为质量好的软盘大多有近十年的寿命, 而质量差的软盘寿命大多不会超过一年。第二, 要将管理条件规范化。软盘存放的时候需要避开磁场和震动, 同时其存储环境需要整洁并且具有适中的温度 (14度到24度) 与湿度 (40%到50%) 。第三, 防范好病毒的入侵。就各业务部门而言, 要重视自身电脑的病毒监测, 使得电子文件的磁盘一直处于健康和受保护的状态当中。
(二) 光盘的相关保护。
首先要保证光盘使用和排放的规范化。因为其使用寿命和累计使用时间密不可分, 而伴随使用时间的不断加长, 激光对光盘原料的稳定性影响也逐渐变大。其次, 要预防一些有害物质的侵蚀。某些工业区域里, 有着相对较大密度的有害气体诸如氟化氢等会对光盘有着较大的侵蚀;而海洋地带的海盐颗粒也可能会使得光盘逐渐老化。故而, 应该将其存放在具备合适温度 (14度到24度) 与湿度 (40%到50%) 的环境里。第三, 要保证信息读取面的光洁度, 拿用光盘的时候, 要避免触摸其数据区, 尽量将和其的接触面控制在光盘内沿地带。
(三) 重视创新。
就电子档案而言, 很多人还觉得其是个新鲜事情, 要想让人们全面认识它, 还需要加大对其的宣传和利用。因而, 就档案部门而言, 要通过大力宣传让自身工作人员养成依法治档的理念, 同时, 针对档案工作者, 要重视相关专业知识的培训, 从而保证使得各档案能够规范归档。基于电子档案的发展视角而言, 档案工作者要通过各项电子设备, 制作和维护好相关电子信息, 参与文件的保管工作, 重视电子档案检索系统的规划和设计工作, 使得电子档案能够进一步规范化和标准化的发展。
三、结语
综上, 就电子档案而言, 不论是其整理工作, 还是对其的保护工作, 都十分重要, 因而, 在整理电子档案的时候, 要做到规范化和标准化;而在保护电子档案的时候, 也要重视整理方面的相关问题, 并将两者和谐结合起来, 如此才能推进电子档案的和谐健康发展。
摘要:伴随着各项网络技术的应用及发展, 电子档案的整理以及保护工作越来越重要。而在本文中, 笔者就其整理和保护进行了相应论述和分析, 希望能为相关探究提供一定参考。
关键词:电子档案,整理工作,保护工作
参考文献
[1]刘爽, 王永华.传统档案保护与电子档案保护的措施[J].黑龙江科技信息, 2007, (17) :25.
浅谈电子防雷避雷与保护 篇8
1.直击雷。带电云层与大地上某一点之间发生的猛烈放电过程, 我们称之为直击雷。它是一种迅速猛烈的放电, 每次放电大约在几微秒内释放相当大的能量;其放电时的空气温度有时高达两万度, 在极短的时间内放电电流可达到几十到几百千安。因此, 直击雷对建筑物、人、畜、树木等危害巨大, 简直无法保护和躲避, 电子设备也不例外。
2.感应雷。感应雷的产生主要来自两个方面:一个是直击雷发生后地面某一范围内散流电阻大, 以至于出现局部的高电压感应;另一种则是直击雷在放电过程中强大的脉冲电流对周围导线或金属物体发生电磁感应, 而产生高电压或发生放电闪击 (又称二次雷击) , 因此说感应雷是由高电压感应和雷电流产生的电磁感应两种原因造成的。感应雷对各种电子设备的损害极大, 由于它的覆盖范围比较远, 有时甚至可侵害几公里外的电子设备。电子设备的雷击损坏90%以上为感应雷。因此, 对感应雷的防护就是电子防雷的重点。
3.球雷。球雷也就是通常所说的”滚地雷”或“落雷”。这种雷一般直径在10到20公分大小, 直径最大时可达到一米, 颜色为红色或橙红色火球, 常从窗户、门、管道口等进入建筑物内部, 造成破坏, 引起火灾。
二常见易遭雷击的区域
根据对雷灾事故的分析研究和实验证明:雷击区域与地质结构有关。因为雷电在先期放电过程中, 大地中的先导电流主要沿着电阻率较小的路径流通, 所以说下列几种情况遭受雷击的可能性比一般地区要多。
1. 土壤电阻率较大的山区和平原, 特别是山坡与稻田接壤的地段和不同电阻率土壤的交界地段。
2. 湖泊沼泽地, 湿地, 低洼地区, 地下水位高的地区;有金属矿床的地区, 河岸, 地下水出口处。
3. 空旷平野上的孤立突出的建筑物、凉亭、大树、草棚, 高耸的铁塔, 高楼大厦等。
4. 金属结构的建筑物, 内部有大型金属体的厂房, 或内部经常潮湿的房屋。
5. 高低并排的烟囱或排气管道。
对以上易遭雷击区域的了解, 有助于我们在这些区域内安装广电设备或架设传输线路时, 提前进行防雷规划、设计和防护。
三雷电的危害
1. 感应雷危害。
直击雷一次只能袭击一个小范围的目标, 而一次感应雷击却可能使一个较大范围内的多个小局部同时遭受损失;并且感应雷击可以通过电力线、信号线等传输到很远, 造成雷击范围的扩大。当这种感应雷击发生在低压架空线路附近或上空时, 其感应高电位最大可达100 kV以上;在电讯线路上也可高达40 kV到60 kV, 对各种线路电子设备或装置造成损坏。
2. 电磁波危害。
由于巨大雷电流有极大的峰值和陡度, 雷击后会在其周围产生瞬变电磁场, 所有处在该瞬变电磁场中的导体都会感应出较高的电动势, 产生脉冲电磁波辐射;虽然感应雷的波头 (由零至幅直) 一般只有几秒, 波尾也只有几十微秒, 但它包含丰富的高次谐波, 其基波频率大的为几千赫兹 (kHz) , 因此, 它对电子设备, 特别是通讯等设备却具有巨大的破坏力。而且由于雷电流峰值大, 陡度高 (变化率大) , 瞬变时间相短, 感应电压高, 可能还会产生电火花或闪击。
3. 地电位反击。
指雷击大地或接地体时, 引起地电位上升而波及附近的电子设备, 这种危害常通过接地体入侵连接在接地线上的电子设备, 或线路器材与传输设备, 导致设备损坏。
四雷电入侵设备的几种方式与途径
1. 雷电闪击到建筑物时, 雷电能量通过的电位反击, 各种耦合机制 (电流耦合、电感耦合、电容耦合) 及电磁脉冲辐射等方式沿供电线路、通讯线路、网络线路和金属管线进入设备, 造成设备的损坏。以雷击中心1.5 km~3 km为半径的范围内, 雷电电磁脉冲辐射可通过各种线路进入设备;
2. 在输电线路上发生雷击时, 线路上产生或线路通过雷击区段感应的高电压和雷电流, 也会沿着线路传送, 直到设备, 造成设备的损坏。
3. 雷云与雷云之间放电, 同样会产生雷电浪涌;或者云层带电, 使地面上某一建筑物表面或长导线感应带异电荷而产生电涌, 通过各种线路进入设备。
五电子防雷技术的应用发展与保护方式
(一) 电子防雷技术的应用发展
1. 避雷针 (带、线、网) 。
自从富兰克林发明避雷针后, 后续发展的技术包括了各种类型的避雷针、避雷带、避雷线、避雷网、接闪器的推广使用, 但它们仅限于直击雷击的防护。
2. 放电管。
作为电子防雷的早期产品, 放电管在对信号的防雷和小型电子设备的保护中, 曾发挥过一定的作用;但由于放电管产品的通流量等技术的局限性和使用寿命的限制, 以及电子电路的高度集成, 单独的放电管防雷保护, 不能有效地对感应雷击进行防护。
3.“等电位”防雷产品。
上世纪末兴起的等电位防雷产品, 采用的是等电位原理, 采用相关的电子限压型或电压开关型器件、电感器件、耦合器件等组成, 串接和并接在各种被保护的电子设备前, 在雷击时快速反应, 构成瞬间短路, 拉平电位, 使各导体电位相等;并快速泻放雷电流, 从而保护设备免遭雷击。由于沿袭传统的接地防雷的模式进行设计, 产品在使用中还需防雷分流接地的通道。
4.“等电位截流技术”防雷产品。
进入21世纪, 随着防雷技术的进一步发展, 在原有等电位防雷技术的基础上, 一种新的“等电位截流”防雷技术应运而生, 产品选用新型的电子材料制成的元器件, 它采用各导体电位相等连接的原理, 瞬间短路拦截雷电流, 并吸收和限制雷电能量, 类似于水库大坝拦截上游洪水一样。这种技术最大的优点在于: (1) 不需要做“防雷接地线”, 安装简单、方便, 特别适用于室外、野外的传输设备、电子设备、无线电收发设备、电源设备和低压电器的防雷保护。 (2) 弥补了早期的“等电位”防雷技术设计的缺陷, 更耐雷电流的冲击, 防雷效果更佳, 更可靠。 (3) 可以有效地防止地电位对设备的反冲击。
5. 系统防雷工程。
由于通讯、广电、电力、信息、安防、监控、智能管理等各类系统网络的急速发展及大量电子设备的投入使用, 特别是重大的昂贵的电子设备及重要的机房、信息处理中心、监控室等重点部位对直击雷防护和感应雷防护具有双重保护的要求, 这种情况就必须考虑进行综合性系统防雷工程建设, 也就是对直击雷和感应雷击的全方位保护。
电子档案载体与信息保护分析 篇9
1 电子档案的有效载体
1.1 光学载体
电子档案的光学载体是基于已经普遍应用的光盘技术开发出来并已被普及使用的最常见电子档案载体, 光盘主要由盘片、载体和保护层三个主要部分组成。电子档案的光学载体存储时间长、生产成本低、利于复制和多次反复使用, 它有着更为可靠和简便的物理操作技术, 对环境等因素没有太大的硬性要求, 而且存储量大, 特别是伴随着多媒体技术的广泛应用, 光盘已经成为当前最流行的电子档案储存手段。
1.2 微缩载体
以最前沿的固态硬盘为代表的微缩载体已经成为军事、医疗、工程领域的主要存储介质。U盘、硬盘微缩载体读写速度快, 容量大、低能耗、无噪音、防震性好特点, 而且在很小体积上就可以存储大容量电子档案数据。微缩载体尽量减小了对机械部件的使用, 在计算机中使用时散发的热量较小, 也更为安全和有效。
1.3 网络载体
网络载体主要指随着互联网技术的快速发展, 在云计算机概念上发展出的档案存储技术, 它可以将网络中存储在不同计算机上的大量不同类型的档案自动拆分, 放置在互联网当中, 当用户需要时可以快速的将档案传递给用户, 虽然其本质上是一种计算机服务, 但其强大的档案调取和流动能力, 能更好的发挥电子档案作用, 本文也将其列为现代新兴的存储方式之一。
2 电子档案存在的问题
虽然电子档案有强大的存储能力, 方便的调取功能, 与计算机结合后, 还可以产生强大的信息整合效应, 但也存在着数据泄露、存储介质失效、程序错误引发的数据丢失等问题。
2.1 数据泄密
数据安全和保密性是电子档案存储工作的生命线, 即使数据保存的再持久完好, 泄密的档案也是毫无意义的。电子档案的强大交互性和快捷使用的方便特点, 也为档案数据的流失带来了极大的风险, 虽然已经开发出了大量的保密手段, 但是仍然不能100%阻止泄密事件的发生, 这也成为电子档案受到质疑的最大原因。而且电子档案的泄密不易被察觉, 一旦发生电子档案的泄密问题, 极有可能带来难以估量的巨大损失。
2.2 存储介质失效
电子档案是基于光盘、硬盘等物理介质存储的数据, 当物理存储介质出现破坏时, 存储其中的档案数据很难被恢复。电源电压的不稳定、外来磁场对磁介质存储设备的破坏, 特别是随着电子计算机技术的发展, 软件的更新, 电子档案的长久保存也会遇到像文件扩展名称改变、数据读取程序对物理介质不适应等问题, 这些归类于存储介质失效的问题都可能引起电子档案的无法调取、甚至是电子档案的永久灭失, 存储介质的安全性也是当前电子档案应用领域必须要面对的现实问题。
2.3 程序引发的数据错误
电子计算机领域最大的敌人就是病毒, 程序的错误、黑客的攻击都有可能造成对电子档案的破坏。网络的发展使电子档案可以被广泛共享, 但木马程序同样对电子档案构成致命的威胁。电子档案在使用过程中还可能由于传输过程为了适应某些软件的操作需要, 电子档案数据无形中被篡改, 从而引发了对电子档案的数据破坏。由程序引发的电子档案错误正在像疾病一样侵蚀着电子档案, 严重影响了电子档案的正常高效使用。
3 有效电子档案保护手段
3.1 审慎的采用电子档案存储方式
发挥电子档案方便快捷的特点和低成本制作优势, 首先需要保证电子档案的安全, 因此不是越方便简单的电子存储介质越好, 而是要根据电子档案的内容进行科学的选择。一般来说, 容量小、密级低的电子档案可以选择经济实惠、可以多次使用的光盘做为主要存储手段。容量大、需要长久保存的电子档案可以选择不易损坏、不直接接入互联网的磁盘为主要存储手段。选择存储方式应当尽量根据电子档案的用途对其分类处理, 以此达到事半功倍、防患于未然的效果。
3.2 建立规范的电子档案管理制度
更为规范的电子档案安全管理制度应当覆盖到电子档案从生成到使用的每一个环节, 使所有过程都处在可监控的安全体系之下, 这其中包括电子档案的制作、使用、维护、人员培训、安全检查等种种环节, 也包括了电子档案的存储与使用在分别的操作系统和终端进行、纳入了电子档案的使用管理权限设定等工作, 只有建立了规范合理的电子档案安全制度, 才可以最大限度的保证档案数据的原始性、使用操作的合理性、档案长久存在的安全性。
3.3 建立电子档案的备份系统
在目前技术条件下, 建立一套完备的电子档案备份系统, 可以最大限度的保留电子档案的原始性。包括硬件的备份, 指的是实现两套存储介质分别对档案进行存储, 其中一套用来使用, 另一套用来做永久储存。软件的备份, 主要指对系统的定期进行备份, 可以随时将数据恢复到某个时间结点, 以此保证当电子档案数据出现错误时, 可以快速追查, 解决问题。备份不是将档案数据进行简单的复制, 而是要建立起一整套可控的保险机制, 只有建立了电子档案的备份系统, 才可以做到有备无患, 减小不必要的档案损失。
3.4 广泛应用电子档案安全技术
为了有效应对计算机病毒、恶意篡改电子档案数据等行为, 切实防止因档案数据破坏带来的损失, 可以将电子档案置身于先进的安全技术当中, 这其中包括建立一个安全的电子档案网络结构, 将包括数据服务器、数据存储设备、数据调取机制全部处在网络监管体系内运行, 比如设置不可卸载的模块程序、进行目录级别控制、进行身份认证、实行档案通信的网络端口控制等。这些依靠技术对电子档案实现的监管, 可以有效抵御降低电子档案的运营维护成本, 最大限度的发挥电子档案的实际功有, 保持电子档案的稳定使用。
4 结论
随着电子信息技术的广泛应用, 电子档案正在成为广泛应用的存储手段, 在充分发挥电子档案可快速读取、方便传递交流信息特点的同时, 要时刻重视电子档案可能带来的数据信息泄露、存储介质不安全、网络电子档案交换所带来的风险。要使电子档案时刻处于规范监管的状态下, 按照科学的方式方法, 选择正确恰当的电子档案存储介质, 定期对电子档案进行维护, 广泛应用现代网络技术, 确保电子档案的有效保护和合理使用。
摘要:电子信息技术的快速发展已经触发了档案管理手段的全新变革, 在电子档案日益广泛应用的今天, 探讨电子档案新载体的实践应用, 加强电子档案的信息保护, 已经成为档案管理和应用领域的前沿。从电子档案的载体分类介绍开始, 着力总结出电子信息档案载体的选择标准, 并对电子信息档案的保护措施进行阐述, 力争为长期、有效、大规模使用电子档案找到理论依据。
关键词:电子档案,载体,信息,保护
参考文献
[1]陈勇.现代电子档案载体的分析与选择[J].经济管理, 2008, 3.
刍议电子文档的管理与保护 篇10
现在电子文件主要有磁盘、光盘、磁带几种归档类别, 想要完成好电子文档的管理工作就要按照档案种类进行整理各个组盘。
(一) 文书电子档案的整理。第一, 企业内部文件
根据年度, 结构和保管期限组盘, 一种是依照不同的时间, 结构和保管期限组盘;另一种是依照时间, 结构和保管期限的文件分盘保管, 这样有助于按照时间和保管期限, 可以延长档案文件的保管时间。在一张光盘上归档同部门的文件, 可以方便实用。要由档案部门结构归档文件的时候统一进行, 组盘, 使用统一的数据库结构和规范命题, 构建档案目录, 方便查找。第二, 企业外来文件。文书是将外来文件扫描处理成影响文件传输至网络, 不同的公文的传输, 批示, 检查都在网上进行。业务部门归档电子文件, 然后由承办部门依照文件的保密程度, 实施保密设置, 然后转到档案部门, 经档案人员检查, 设定分类和号别信息进入数据库保管。需要查询的话, 可以通过数据终端按照权限设定使用信息查询。
(二) 电子文件的归档
企业内部科技电子档案有很多, 主要都是使用计算机打印的规范纸张输出来的, 所以在整理数据信息的时候要按照档案管理要求进行, 扫描纸质文件, 然后依照标号, 图号顺序标注连接存储。设备档案是在采购设备的时候供应商提供的产品设计的电子文件, 在引进设备时要对相关内容提出要求, 在移交这些文档的时候要附有详细说明。
(三) 会议电子文件的整理
一是工资单, 在归档工资的时候要将纸质形式的工资汇表列出来, 将部门, 命名, 人数, 工资等项目列出, 移交清单, 以备财务和档案部门移交时做凭证;二是账簿, 企业会计账簿有计算机管理, 在光盘归总的时候要使用账簿交接表, 注明部门总称, 账簿名称, 序号以及页数, 相关责任人要一一签名, 保证账簿的准确和公正。
二、电子文档的保护
因为归档的电子文件都是采用脱机的方式保存的, 在实际的应用中很多电子文件的保存方式还是使用软磁盘进行。和磁盘相比较, 光盘是一种新型的保存载体, 它的抗干扰能力很好, 而且结构相对稳定, 可以保证电子文档长期的安全保存。所以, 建议企业的档案部门将归档的电子文件使用光盘刻录一将电子文件存储到光盘上。但现在的实际情况来看, 光盘刻录还不能完全普及, 这样就要把软磁盘和光盘的保护看成是目前电子文件载体保护的重点, 从而采取一些保护措施。
(一) 软磁盘的保护
第一, 确定一致的软磁盘规格, 一般保存都使用3.5寸高密盘;第二, 保证软磁盘质量。软磁盘质量对磁盘内保存信息的时间长短有直接影响, 软磁盘质量好, 保证保管环境, 能够保证存储信息保存十年左右。软磁盘质量不好, 一般一年不到就不能读出数据了。现在市场上有很多质量低劣的软磁盘, 所以在采购的时候一定要确定软磁盘的质量;第三, 要控制保管条件。软磁盘的存放条件要求很高, 要没有强烈的干扰磁场, 没有震动, 没有灰尘和复试气体, 另外要保证湿度和温度适中的环境下保存;第四, 提高对病毒的防范意识。提升各个部门对电脑病毒的防范意识, 定时检测, 保证计算机内部的电子文件的存储磁盘不携带病毒, 平时讲磁盘设置在保护状态;第五, 加强加密盘的管理。一些电子文件再存盘的时候进行加密或者是文件名称隐含设置, 这样一旦遗忘密码或者名称就不易打开文件。所以需要先把这类文件解密, 显现文件名之后在归档处理;第六, 如果条件允许, 最好将存储电子文件的软磁盘转换成光盘, 以便长时间保存。
(二) 光盘的保护
第一, 使用和排放保持规范。光盘尽量在盒中直立排放, 不要一起堆叠, 避免其卷翘, 在使用的时候要尽量避免摩擦出现划痕;第二, 保持适当的湿度和温度。高温情况下, 光盘容易氧化, 出现变形或老化的现象, 湿度过高光盘片基霉变, 所以要采取适宜的湿度和温度保存光盘;第三, 尽量避光。光盘外部的塑料材质对紫外线特别敏感, 过度直射的阳光会是光盘老化。所以, 要加强光盘的避光存放。光盘和磁盘想要延长其电子文件的保存时间的最好办法就是定期复制, 磁盘两年一复制, 光盘五年一转储, 并且编制同样的载体编号继续保存。
三、结论
现代社会知识信息不断发展, 企业的所有档案都是特有的原始记录, 其中内容涉及到企业没公开的以及没申请技术专利的技术和信息, 包括重要的设计和图纸。掌握这些内容的档案就掌握了企业特有的技术和信息, 假如企业的档案信息资料没有收集, 整理, 保护好, 就会在强有力的市场竞争和信息快速流通的情况下形成不可挽回的损失。
在实现办公自动化之后, 无纸办公使得各个工作岗位都依靠电子文档进行文件存储, 这种情况下, 就需要档案管理人员掌握处理和整理文档的技术, 及掌握整理和保护文档的技术。档案部门要发挥自身作用, 依靠自身的管理制度和方法, 提升并加强对电子文档的使用和保密工作。
摘要:现代社会办公自动化水平在不断推进, 企业的档案也开始使用电子文档进行管理。企业的工作人员要能够处理, 整理和保护电子文档。磁盘, 光盘和磁带都是电子文件的归档类型, 想要完成好管理与保护电子文件的工作, 就需要将档案按照类别整理好。目前归档电子文件比较重要的在提示软磁盘和光盘, 需要对其实施重点管理与保护。
关键词:电子文档,管理,保护
参考文献
[1]王艳琴.网络环境下档案安全防护的探析[J].档案, 2003年04期.
[2]倪丽娟.管理信息化背景下的档案工作思考[J].档案学通讯, 2004年04期.
电子政务数据库安全保护策略探讨 篇11
关键词:电子政务;数据库;安全
中图分类号:TP393 文献标识码:A 文章编号:1674-7712 (2012) 14-0042-02
随着信息技术的高速发展以及我国经济水平的不断提高,我国电子政务系统建设也在不断深入发展。电子政务的应用可以突破地域限制,整合相关部门之间的数据资源,促进各部门的协作办公,提高政府办公效率。同时政务系统的使用为广大民众办事也提供了便利。但是,任何事物都有其两面性,电子政务在给政府部门和人们带来便利之时其安全问题也不容忽视,其中最为核心的部分当属存储政务信息的数据库系统,其安全性是电子政务安全的重中之重。
一、电子政务系统数据库介绍
电子政务是借助信息系统来完成政务工作,利用计算机技术与通讯技术,采用网络化信息服务手段,将行政管理和行政业务集成,实现行政事业单位业务及其工作流程网络化,提高行政管理及对外服务的效率和水平。电子政务的核心部分—数据库通常是一种处在开放网络环境中的分布式数据库系统,大量的数据信息通过开放式的网络实现多用户的共享。数据库根据其业务服务范围和网络逻辑范围划分为内网数据库和外网数据库,目前所采用的两个典型的模式是C/S模式和B/S模式。C/S所采用的模式主要分为三层结构:客户机、应用服务器、数据库服务器,主要表现形式是由客户机将数据传输到应用服务器,然后再次传输到数据库服务器当中。这种模式作为部门内部业务服务系统居多。主要部署业务审批应用系统和业务数据库服务器,数据库和核心交换设备之间部署防火墙、网闸等网络安全设备,内部工作人员通过网络安全设备访问内网数据库,和外网数据库之间实现数据实时更新交换。B/S模式也是分为三层结构:浏览器、Web服务器、数据库服务器。这种模式一般用于对外服务。数据库服务器主要运行门户网站以及为社会大众提供信息查询服务。
二、数据库安全问题可能导致的风险
电子政务数据库作为政务系统的核心部分,其安全问题是政务系统能否正常运行的关键所在,目前各级政府部门往往由于资金、技术、管理等方面的因素存在重硬件轻软件、重应用轻安全的现象,在政务系统建设和管理方面存在安全隐患,从而导致各种安全风险。主要表现在以下几个方面:
1.缺乏有效的隔离技术手段,没有对核心业务数据库系统的访问进行很好的控制,各个数据库之间没有进行有效隔离和访问控制,外网和内网之间彼此可以互相访问,外网的入侵风险很容易扩散到内网核心数据库。
2.数据库未设置访问权限或访问权限设置不当导致数据库不正确访问和非法访问。未授权访问可能导致重要业务数据被窃取或篡改。政务外网系统要对企业和公众提供在线服务,其内部数据库保存着企业和公众的一些数据。这些数据可能涉及到企业的机密和公众的隐私,一旦泄露将会导致无法挽回的损失,轻则造成不良的社会影响,重则造成企业和个人的利益受损,甚至会引起严重的法律纠纷。
3.没有有效的防火墙系统和防病毒系统,黑客攻击和病毒的威胁导致政府网站信息被篡改。随着计算机网络技术的快速发展,计算机病毒和黑客攻击技术也在不断的发展变化之中,甚至超前于安全防护技术。政务网站与互联网直接连接,网站数据很容易成为黑客攻击和感染病毒的对象。政府网站作为各级政府部门发布重要新闻、重大方针政策以及法规等的重要渠道,一旦其网站被篡改或破坏将造成政府形象受损,公信力缺失,甚至造成政治事件。
三、数据库安全防范机制
(一)内外网有效隔离
电子政务系统一方面要通过INTERNET对企业和个人提供服务,企业和个人需要通过INTERNET访问相关信息,另一方面,存储在政务机构的计算机、服务器、磁盘阵列中的这些数据涉及到一定的机密和隐私,这些数据不应被internet上的其它用户直接访问,也不应在Internet上直接传输。因此必须在政务系统内部网络和外部网络之间采取有效的隔离措施。最简单也是最有效的内部网络与外网隔离手段就是物理隔离。采用硬件将内部网与外部网彻底地物理隔离开,没有任何线路连接。这样可以保证外网用户无法直接连接内部网访问内部数据库,具有极高的安全性。其次还可以通过域的划分和防火墙技术对内网数据库进行逻辑隔离。
(二)用户身份认证
用户身份认证是系统对数据库访问提供的第一道安全防护门,用户每一次访问数据库系统都要求提供身份认证,只有输入正确命令的用户才能准许访问,对于身份信息不正确的用户将发出警告。从而有效防止非授权用户进入数据库对数据信息进行篡改、盗取等行为。目前使用最广泛的身份验证手段是设置用户名与密码。对于机密程度比较高的数据库系统还有更高级别的身份认证方法,如通过智能卡、生物特征识别等认证技术。用户身份的识别只能通过数据库授权与验证才能知道是否为合法的用户。
(三)访问控制技术
访问控制是对授权用户存取访问权限的确定、授予和实施,其目的是在保证系统安全的前提下,最大限度地共享资源。实施访问控制就是按照安全要求,预先给不同的用户指定相应的安全属性,用以标明主体访问权限即可读、可写、查询、添加、修改、删除等操作的组合,还有安全的访问过程等。可以通过对角色的限定、用户的管理以及权限的分层对数据库系统进行安全访问控制,通常数据库系统角色可以分为服务器角色、数据库角色,权限可以分为操作系统级别、数据库系统级别、数据库级别,不同的角色、不同的级别将授予不同的访问权限,从而保证具备特殊数据访问权限的用户能够登录到数据库服务器,访问数据以及对数据库对象实施权限范围内的操作,并且拒绝所有非授权用户的非法操作。
(四)数据加密处理
对于政务数据库而言,其安全防护不仅要满足数据库的日常应用,同时由于政务数据库可能涉及到企业、个人隐私甚至是国家政府机密,因此在采取安全防护的同时为了数据的保密性还必须使用数据加密技术,增加数据储存的安全性。所谓加密,通常而言是将可明确辨别的数据信息转换为不能识别的加密数据信息,非指定用户不能识别相关数据,指定用户可将加密信息通过相关程序进行解密而识别。根据电子政务数据库数据要实现网络共享的特点,可以采用公开密钥的加密办法,这种加密办法可以经受住来自操作系统和DBMS的攻击,但是它的缺点是只能加密数据库中的部分数据,但这也足够机密数据进行数据加密保护。电子政务系统数据库通常采用关系型数据库,根据关系型数据库的特点结合实际需要采取以表、记录或字段、数据元素为单位进行库内加密。如果以记录为单位进行加密,那么每读写一条记录只需进行一次加解密的操作,对于不需要访问到的记录,完全不需要进行任何操作,所以使用起来效率会高一些。但是由于每一个记录都必须有一个密钥与之匹配,因此产生和管理记录密钥比较复杂。也可以以字段为单位进行加密,以字段为单位的加密分析与以记录为单位的加密情况相似。数据元素作为数据库库内加密的最小单位,其加密方式最彻底的但也是效率最低的。每个被加密的元素会有一个相应的密钥,所以密钥的产生和管理比记录加密方式还要复杂。
(五)数据备份与恢复
不论安全防范和保障工作做得多好,都不能保证数据百分百不受损害,因此数据库备份是很有必要的,这也是数据库保护策略最后的一道保障措施。一旦数据库受到非法入侵、病毒破坏、或者发生自然灾害、盗窃等情况造成数据篡改或丢失,可以利用数据备份在短时间内迅速恢复好数据库,将造成的损失或影响降到最小。数据库数据备份可以分为数据完整备份、差异备份、事务日志备份、文件及文件组备份等多种方式,在实际备份作业中可以综合使用完整备份、差异备份、日志备份来提高数据库系统的安全性,将数据丢失的风险降到最低。如对于数据量大、数据更新频繁的数据库可以根据数据库系统实际运行情况进行周期性的数据库完整备份,如每周或每两周一次,同时间隔性地进行数据库的差异备份,在两次差异备份之间进行事务日志备份。为了保证数据备份的及时和备份数据的安全性,可以利用操作系统的自动触发机制或数据库系统自动备份的功能进行数据异地自动备份。
四、结束语
随着通信技术和计算机技术的发展,新的安全风险也与日俱增,数据库安全保障措施作为政务信息系统安全、高效运行的关键,需要在实践中不断去完善,才能真正保障数据信息的安全。
参考文献:
[1]黎水林.基于安全域的政务外网安全防护体系研究[J].信息网络安全,2012,7:3-5.
[2]袁新来.数据库安全技术相关问题探讨[J].信息与电脑,2012,6:94-95.
[3]时以全.电子政务网络数据库安全保护研究[J].信息网络安全,2012,4:16-18.
[4]杨灿.电子政务数据中心安全分析[J].计算机安全,2012,8:82-85.
电子档案的安全保护及利用 篇12
首先, 电子档案的安全保护提倡的是“适度安全”, 就是说, 风险是绝对的, 而安全是在对各种成本和效益因素进行综合考虑的基础上, 通过相关的安全措施对风险进行有效的控制, 最大限度地降低风险度。但是, 这并不意味着不树立风险意识, 而是要以风险度的大小对信息的安全性加以衡量, 把信息提升到资产的高度和位置进行安全保护和管理。但是, 传统的电子档案安全保护和利用在这方面存在着明显的不足。
对绝对安全的过分追求。一直以来, 由于相关的档案管理部门缺乏“适度安全”的风险意识, 总试图找到绝对安全的方法和手段追求档案安全保护的绝对性。但是从理论上说, 风险永远是绝对的, 而安全却是相对的。电子档案的安全保护以及利用, 本质上来讲, 是属于风险管理的一部分。
其次, 电子档案安全管理的风险意识比较薄弱, 对风险管理的认识存在着较大的偏差。部分安全管理人员没有树立足够的风险意识, 缺乏信息安全管理知识, 根本不把电子档案的安全管理工作当作一回事, 更不用说从风险管理的角度去认识电子档案的安全管理。严重影响了电子档案安全保护以及利用工作的开展。
最后, 忽略了对信息资产的价值评估。当前, 相关档案管理部门虽然已经对档子档案的安全管理有了充分的认识, 但是, 大部分管理部门只是将作为一种日常工作的一种辅助工具, 并没有对电子档案进行客观的价值评估, 把其提升到资产的高度进行安全保护和利用。而依据相关的理论, 只有资产被正式评定以后, 才能有效地对其实施安全保护以及开发利用。
2 电子档案信息安全保护技术
签署技术。证书式和手写式数字签名是签署技术的两种常见形式。所谓的证书式签名主要是指发件方利用自己的密钥对文件进行加密处理, 形成加密后的“数字签名”, 然后再与文件一起发送出去。而所谓手写式签名主要是指在相关的文字处理软件中内嵌专门的软件模块, 然后使用光笔或压敏笔进行电子签名。
加密技术。目前的加密技术包括多种形式。确保电子档案信息的非公开性是目前加密技术的一个重要的技术功能。在电子文件的传输过长中, 通常会采用“双密钥码”。在互联网传输中, 一个加密通信者一般都拥有两个密钥, 一个是加密密钥, 一个是解密密钥。之所以会设置两个不同的密钥, 就是为了避免外人截获后信息的泄露, 这对于传送中的电子档案有着很好的安全保护作用。
身份验证。身份验证比较常见的方式就是分配给每个用户一个“通行字”, 相当于密码, 是用户身份的一种代表, 当需要进入电脑系统中进行相关信息的处理时, 就必须先要输入自己的“通行字”, 然后计算机会进行系统自动识别和验证, 当验证为合法用户后, 才能进入系统进行相关信息的处理。与银行相关系统使用的密码验证相类似, 电子档案安全管理系统所使用的是代码验证, 主要是为了防止一些外界人员进入系统进行恶意地破坏, 所以, 在进入系统前进行身份验证就显得非常有必要。
防写措施。这里主要介绍的是我们大家都耳熟能详的CD-ROM (只读光盘) 和EORM (一次写入式光盘) , 前者只能进行信息的读取, 而不能进行信息的改写和删除等。而后者只能进行一次写入多次读出, 可以进行信息的追加, 但是不可进行信息的删改。可以说, 后者这种不可逆式的信息记录媒介, 极大地提高了电子信息内容的安全性, 避免了用户进行随意删改的现象发生。现在的许多文字软件中, 都设有“只读”功能, 是指使用者在此状态下, 只能对信息进行简单的读取, 而不能进行有关的删改。
硬盘还原卡。硬盘还原卡的主要优点在于, 使用者可以对硬盘中存储的电子档案信息内容进行随意的改写, 而一旦发生电脑死机或重启时, 硬盘中的电子档案信息将会恢复到未改动之前的状态, 不会残留任何改动痕迹, 有效保护了原有电子档案信息的原始性。
3 电子档案的安全利用
首先, 进行严格的身份认证, 确保电子档案的安全利用。现在, 电子文件的存储格式已经得到了完全的统一, 文本文件、媒体文件以及图形文件都依据相关的国家标准进行了格式的标准化处理, 正常情况下, 这种通用的文件格式都能被用户有效读取和利用。为了保证信息的安全性, 防止外界无关人员进入系统对电子信息进行恶意的破坏, 就必须要采取身份验证单点登录的方法, 使用统一的用户认证体系, 分配每一位合法用户以唯一的登录帐号, 用户在进入系统前, 进行身份验证, 验证合格后, 才能够进入系统进行相关的信息处理, 这样就充分保证了电子档案的安全利用。
其次, 进行数据监控, 有效保证电子档案的安全利用。为适应档案信息的数字化建设, 目前的电子信息都已经转换成PDF文件格式, 以便于日常的安全利用, 经过长期的实践, PDF格式是当下数字化建设最理想的电子文档格式。PDF文档格式能够实现信息的在线安全浏览, 并达到对电子信息的数据监控, 有效确保电子档案信息的安全利用。换句话说, 就是系统根据使用者的权限, 把原始的多页双层的PDF文件自动拆分为单页的, 然后再结合图像和文字, 一张张的向浏览器进行提交, 这样就有效保护了电子档案信息的原始性。此外, 系统也可以根据使用者的权限, 将原始的PDF文件自动拆解为分辨率较低的图像索引文件或者是文本快照, 以便于简单的浏览和操作, 同时达到了保护原始数据的目的, 实现了电子档案的安全利用。
最后, 采取电子文件加密, 确保电子档案的安全利用。当用户需要对PDF文档进行下载或在线浏览时, 服务器会对这个PDF文件进行文件在线加密处理, 然后把加密后文件通过互联网传送到客户端, 然后再根据使用者的权限进行相关的文件控制, 做到定点、定人、定时以及定次的文件控制。还可以进行防复制———使副本无法使用, 或者会被自动删除;防拷贝———无法Copy里面的内容;防离线———使用者离线后, 相关文件就无法打开;防打印———无法进行打印处理;文件跟踪———可以随时对文件进行跟踪处理, 及时知道此文件在何时, 何机器上, 由何人来进行的何种操作;也可以设置文件被违规操作的报警功能;还可以随时修改或者收回这个文件的操作权, 利用以上技术可以进一步实现信息安全利用的目的。
参考文献
[1]陆敬.电子档案保管和利用过程中的信息安全[J].华北煤炭医学院学报, 2009 (4) .
[2]王国英.档案信息化管理中电子档案的安全管理[J].建筑安全, 2009 (10) .
[3]田淑华.基于电子档案信息的安全评价体系研究[J].云南档案, 2009 (11) .
【电子保护论文】推荐阅读:
消费者隐私权保护电子商务论文05-21
电子文档保护06-27
电子设备的防雷保护07-21
电子文件的真实性保护09-15
电子商务中的品牌保护06-13
浅析电子商务中知识产权保护问题06-21
电子技术电子专业论文08-21
隔热保护论文08-21
直流保护论文09-03
保护义务论文09-15