試談檔案信息系統(tǒng)實施等保測評的必要性

陳紅

國家檔案局、中央檔案館2002年12月《全國檔案信息化建設(shè)實施綱要》（檔發(fā)[2002]8號）提出了在“十五”期間全國檔案信息化的建設(shè)目標和主要任務(wù)：加快檔案信息化基礎(chǔ)設(shè)施建設(shè)，加強電子文件歸檔和電子檔案的規(guī)范化管理，推動館藏檔案的數(shù)字化和數(shù)據(jù)庫建設(shè)，在部分中心城市建設(shè)示范性數(shù)字檔案館，開展公眾網(wǎng)查詢檔案信息服務(wù)，加快推進檔案信息化標準體系建設(shè)、安全保障體系和人才隊伍建設(shè)。

一、頂層設(shè)計，國家檔案局明確要求

國家檔案局2010年6月《數(shù)字檔案館建設(shè)指南》，明確指出數(shù)字檔案館的建設(shè)目標為：緊緊依靠國家和當?shù)匦畔⒒A(chǔ)設(shè)施建設(shè)環(huán)境，充分利用各種政務(wù)平臺、公眾網(wǎng)平臺以及各類網(wǎng)絡(luò)資源，以先進的信息技術(shù)為手段，集成建設(shè)適應(yīng)本部門本單位一定時期內(nèi)數(shù)字檔案管理需要的網(wǎng)絡(luò)平臺，開發(fā)應(yīng)用符合功能需求的管理系統(tǒng)，推動館藏資源數(shù)字化、增量檔案電子化，逐步實現(xiàn)對數(shù)字檔案信息資源的網(wǎng)絡(luò)樺管理以及分層次多渠道提供檔案信息資源利用和社會共享服務(wù)。建設(shè)內(nèi)容中有一條“配套建設(shè)數(shù)字檔案館保障體系，確保數(shù)字檔案館系統(tǒng)安全和數(shù)字檔案信息安全”。對保障體系建設(shè)問題，《指南》更是明確指出：安全保障體系建設(shè)是數(shù)字檔案館建設(shè)的基礎(chǔ)工作，數(shù)字檔案館的安全包括數(shù)字檔案數(shù)據(jù)的安全和信息系統(tǒng)及其網(wǎng)絡(luò)平臺的安全。數(shù)字安全就是要保證數(shù)字檔案信息的可靠、可用、不泄密、不被非法更改等，系統(tǒng)及其網(wǎng)絡(luò)平臺安全就是要保持系統(tǒng)軟硬件的穩(wěn)定性、可靠性、可控性。

二、多方聯(lián)合，相關(guān)部門共同推動

公安部、國家保密局、國家密碼管理局、國務(wù)院信息化工作辦公室《關(guān)于印發(fā)信息安全等級保護管理辦法》（公通字[2007]43號）對信息安全等級劃分與保護又作了進一步明確，同時要求：信息系統(tǒng)建設(shè)完成后，運營、使用單位或者其主管部門應(yīng)當選擇符合本辦法規(guī)定條件的測評機構(gòu)，依據(jù)《信息系統(tǒng)安全等級保護測評要求》等技術(shù)標準，定期對信息系統(tǒng)安全等級狀況開展等級測評。經(jīng)測評或自查，信息系統(tǒng)安全狀況未達到安全保護要求的，運營、使用單位應(yīng)當制定方案進行整改。

三、實地測評，安全隱患敲響警鐘

2015年，按照如皋市政府統(tǒng)一部署，如皋市檔案局（館）對該局（館）數(shù)字檔案館系統(tǒng)——館藏資源管理系統(tǒng)進行了定級申報，根據(jù)等級劃分標準，申報了三級等級保護。如皋市檔案館館藏資源管理系統(tǒng)是如皋市檔案局的核心系統(tǒng)，保存有所有館藏重要的檔案目錄和全文數(shù)據(jù)。虛擬檔案室系統(tǒng)是館藏資源管理系統(tǒng)中的核心子系統(tǒng)，采用數(shù)字技術(shù)存儲信息，通過網(wǎng)絡(luò)技術(shù)使分散于不同立檔單位的檔案信息通過電子通訊系統(tǒng)聯(lián)系在一起，全市近100家立檔單位可通過該系統(tǒng)實現(xiàn)檔案的收集、整理、鑒定、數(shù)字化、移交、備份等檔案業(yè)務(wù)工作及OA辦公系統(tǒng)產(chǎn)生電子文件、政府公開信息的實時移交。

如皋市檔案局館藏資源管理系統(tǒng)是局域網(wǎng)內(nèi)的內(nèi)網(wǎng)系統(tǒng)，和外網(wǎng)是物理隔離的，安全保護等級為三級。經(jīng)如皋市政府統(tǒng)一招標，由南通鑫暉網(wǎng)絡(luò)科技有限公司承擔本次的安全等級測評工作。按照GB/T 28449-2012《信息安全技術(shù)信息系統(tǒng)安全等級保護測評過程指南》要求，本次測評的范圍主要包括與如皋市館藏資源管理系統(tǒng)相關(guān)的網(wǎng)絡(luò)與安全設(shè)備操作系統(tǒng)、應(yīng)用軟件系統(tǒng)、主機操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)、安全相關(guān)人員、機房、介質(zhì)以及管理文檔。本次測評參照GB/T 22239-2008《信息安全技術(shù)信息系統(tǒng)安全等級保護基本要求》、GB/T 28448-2012《信息安全技術(shù) 信息系統(tǒng)安全等級保護測評要求》中的第三級系統(tǒng)標準要求。

測評公司通過訪談相關(guān)管理人員和技術(shù)人員，檢查服務(wù)器主機操作系統(tǒng)、應(yīng)用系統(tǒng)、數(shù)據(jù)庫系統(tǒng)的配置項，查看部分安全管理相關(guān)規(guī)章、制度和記錄文檔，使用等保檢查工具及漏洞掃描工具對應(yīng)用服務(wù)器主機操作系統(tǒng)以及應(yīng)用軟件的安全漏洞進行測試，將所有信息進行綜合分析，以確定信息系統(tǒng)的安全性。

四、明晰思路，等保測評勢在必行。

一是確定保護等級?！稊?shù)字檔案館建設(shè)指南》要求，數(shù)字檔案館系統(tǒng)一般要求達到二級（系統(tǒng)審計保護級）以上安全保護標準?！缎畔踩燃壉Ｗo管理辦法》中第二級“是指信息系統(tǒng)受到破壞后，會對公民、法人和其他組織的合法權(quán)益產(chǎn)生嚴重損害，或者對社會秩序和公共利益造成損害，但不損害國家安全。”第三級是指“信息系統(tǒng)受到破壞后，會對社會秩序和公共利益造成嚴重損害，或者對國家安全造成損害”。據(jù)此，本人認為，檔案信息系統(tǒng)需達到三級以上安全保護標準。

二是明確工作目標。依據(jù)信息安全等級保護保護有關(guān)政策和標準，通過組織開展信息安全等級保護安全管理制度建設(shè)、技術(shù)措施建設(shè)和等級測評，落實等級保護制度的各項要求，使檔案信息系統(tǒng)安全管理水平明顯提高，安全防范能力明顯增強，安全隱患和安全事故明顯減少，有效保障檔案信息化健康發(fā)展，維護國家安全、社會秩序和公共利益。

三是細化工作內(nèi)容。開展檔案信息安全等級保護管理制度建設(shè)，提高信息系統(tǒng)安全管理水平。建立健全并落實符合相應(yīng)等級要求的安全管理制度，如信息安全責(zé)任制、人員安全管理制度、系統(tǒng)建設(shè)管理制度、系統(tǒng)運維管理制度等；開展信息安全等級保護安全技術(shù)措施建設(shè)，提高信息系統(tǒng)安全保護能力。開展信息安全等級保護安全技術(shù)措施建設(shè)，落實相應(yīng)的物理安全、網(wǎng)絡(luò)安全、主機安全、應(yīng)用安全和數(shù)據(jù)安全等安全保護技術(shù)措施，建立并完善信息系統(tǒng)綜合防范體系，提高系統(tǒng)的安全防護能力和水平；開展信息系統(tǒng)安全等級測評，使信息系統(tǒng)安全保護狀況逐步達到等級保護要求。對照相應(yīng)等級安全保護要求進行差距分析，排查系統(tǒng)安全漏洞和隱患并分析其風(fēng)險，進出整改建議。

四是落實工作要求。統(tǒng)一組織，加強領(lǐng)導(dǎo)。按照“誰主管、誰負責(zé)”的原則，切實加強對信息安全等級保護安全建設(shè)整改工作的組織領(lǐng)導(dǎo)，完善工作機制。循序漸進，分步實施。結(jié)合本單位檔案信息系統(tǒng)數(shù)量、等級、規(guī)模等實際情況，按照先重點后一般的順序開展。結(jié)合實際，制定規(guī)范。在不低于等級保護基本要求的情況下，結(jié)合系統(tǒng)安全保護的特殊需求，制定行業(yè)標準規(guī)范或細則。