試談檔案信息系統(tǒng)實施等保測評的必要性

陳紅

國家檔案局、中央檔案館2002年12月《全國檔案信息化建設實施綱要》（檔發(fā)[2002]8號）提出了在“十五”期間全國檔案信息化的建設目標和主要任務：加快檔案信息化基礎設施建設，加強電子文件歸檔和電子檔案的規(guī)范化管理，推動館藏檔案的數(shù)字化和數(shù)據(jù)庫建設，在部分中心城市建設示范性數(shù)字檔案館，開展公眾網(wǎng)查詢檔案信息服務，加快推進檔案信息化標準體系建設、安全保障體系和人才隊伍建設。

一、頂層設計，國家檔案局明確要求

國家檔案局2010年6月《數(shù)字檔案館建設指南》，明確指出數(shù)字檔案館的建設目標為：緊緊依靠國家和當?shù)匦畔⒒A設施建設環(huán)境，充分利用各種政務平臺、公眾網(wǎng)平臺以及各類網(wǎng)絡資源，以先進的信息技術為手段，集成建設適應本部門本單位一定時期內(nèi)數(shù)字檔案管理需要的網(wǎng)絡平臺，開發(fā)應用符合功能需求的管理系統(tǒng)，推動館藏資源數(shù)字化、增量檔案電子化，逐步實現(xiàn)對數(shù)字檔案信息資源的網(wǎng)絡樺管理以及分層次多渠道提供檔案信息資源利用和社會共享服務。建設內(nèi)容中有一條“配套建設數(shù)字檔案館保障體系，確保數(shù)字檔案館系統(tǒng)安全和數(shù)字檔案信息安全”。對保障體系建設問題，《指南》更是明確指出：安全保障體系建設是數(shù)字檔案館建設的基礎工作，數(shù)字檔案館的安全包括數(shù)字檔案數(shù)據(jù)的安全和信息系統(tǒng)及其網(wǎng)絡平臺的安全。數(shù)字安全就是要保證數(shù)字檔案信息的可靠、可用、不泄密、不被非法更改等，系統(tǒng)及其網(wǎng)絡平臺安全就是要保持系統(tǒng)軟硬件的穩(wěn)定性、可靠性、可控性。

二、多方聯(lián)合，相關部門共同推動

公安部、國家保密局、國家密碼管理局、國務院信息化工作辦公室《關于印發(fā)信息安全等級保護管理辦法》（公通字[2007]43號）對信息安全等級劃分與保護又作了進一步明確，同時要求：信息系統(tǒng)建設完成后，運營、使用單位或者其主管部門應當選擇符合本辦法規(guī)定條件的測評機構(gòu)，依據(jù)《信息系統(tǒng)安全等級保護測評要求》等技術標準，定期對信息系統(tǒng)安全等級狀況開展等級測評。經(jīng)測評或自查，信息系統(tǒng)安全狀況未達到安全保護要求的，運營、使用單位應當制定方案進行整改。

三、實地測評，安全隱患敲響警鐘

2015年，按照如皋市政府統(tǒng)一部署，如皋市檔案局（館）對該局（館）數(shù)字檔案館系統(tǒng)——館藏資源管理系統(tǒng)進行了定級申報，根據(jù)等級劃分標準，申報了三級等級保護。如皋市檔案館館藏資源管理系統(tǒng)是如皋市檔案局的核心系統(tǒng)，保存有所有館藏重要的檔案目錄和全文數(shù)據(jù)。虛擬檔案室系統(tǒng)是館藏資源管理系統(tǒng)中的核心子系統(tǒng)，采用數(shù)字技術存儲信息，通過網(wǎng)絡技術使分散于不同立檔單位的檔案信息通過電子通訊系統(tǒng)聯(lián)系在一起，全市近100家立檔單位可通過該系統(tǒng)實現(xiàn)檔案的收集、整理、鑒定、數(shù)字化、移交、備份等檔案業(yè)務工作及OA辦公系統(tǒng)產(chǎn)生電子文件、政府公開信息的實時移交。

如皋市檔案局館藏資源管理系統(tǒng)是局域網(wǎng)內(nèi)的內(nèi)網(wǎng)系統(tǒng)，和外網(wǎng)是物理隔離的，安全保護等級為三級。經(jīng)如皋市政府統(tǒng)一招標，由南通鑫暉網(wǎng)絡科技有限公司承擔本次的安全等級測評工作。按照GB/T 28449-2012《信息安全技術信息系統(tǒng)安全等級保護測評過程指南》要求，本次測評的范圍主要包括與如皋市館藏資源管理系統(tǒng)相關的網(wǎng)絡與安全設備操作系統(tǒng)、應用軟件系統(tǒng)、主機操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)、安全相關人員、機房、介質(zhì)以及管理文檔。本次測評參照GB/T 22239-2008《信息安全技術信息系統(tǒng)安全等級保護基本要求》、GB/T 28448-2012《信息安全技術 信息系統(tǒng)安全等級保護測評要求》中的第三級系統(tǒng)標準要求。

測評公司通過訪談相關管理人員和技術人員，檢查服務器主機操作系統(tǒng)、應用系統(tǒng)、數(shù)據(jù)庫系統(tǒng)的配置項，查看部分安全管理相關規(guī)章、制度和記錄文檔，使用等保檢查工具及漏洞掃描工具對應用服務器主機操作系統(tǒng)以及應用軟件的安全漏洞進行測試，將所有信息進行綜合分析，以確定信息系統(tǒng)的安全性。

四、明晰思路，等保測評勢在必行。

一是確定保護等級?！稊?shù)字檔案館建設指南》要求，數(shù)字檔案館系統(tǒng)一般要求達到二級（系統(tǒng)審計保護級）以上安全保護標準?！缎畔踩燃壉Ｗo管理辦法》中第二級“是指信息系統(tǒng)受到破壞后，會對公民、法人和其他組織的合法權益產(chǎn)生嚴重損害，或者對社會秩序和公共利益造成損害，但不損害國家安全?！钡谌壥侵浮靶畔⑾到y(tǒng)受到破壞后，會對社會秩序和公共利益造成嚴重損害，或者對國家安全造成損害”。據(jù)此，本人認為，檔案信息系統(tǒng)需達到三級以上安全保護標準。

二是明確工作目標。依據(jù)信息安全等級保護保護有關政策和標準，通過組織開展信息安全等級保護安全管理制度建設、技術措施建設和等級測評，落實等級保護制度的各項要求，使檔案信息系統(tǒng)安全管理水平明顯提高，安全防范能力明顯增強，安全隱患和安全事故明顯減少，有效保障檔案信息化健康發(fā)展，維護國家安全、社會秩序和公共利益。

三是細化工作內(nèi)容。開展檔案信息安全等級保護管理制度建設，提高信息系統(tǒng)安全管理水平。建立健全并落實符合相應等級要求的安全管理制度，如信息安全責任制、人員安全管理制度、系統(tǒng)建設管理制度、系統(tǒng)運維管理制度等；開展信息安全等級保護安全技術措施建設，提高信息系統(tǒng)安全保護能力。開展信息安全等級保護安全技術措施建設，落實相應的物理安全、網(wǎng)絡安全、主機安全、應用安全和數(shù)據(jù)安全等安全保護技術措施，建立并完善信息系統(tǒng)綜合防范體系，提高系統(tǒng)的安全防護能力和水平；開展信息系統(tǒng)安全等級測評，使信息系統(tǒng)安全保護狀況逐步達到等級保護要求。對照相應等級安全保護要求進行差距分析，排查系統(tǒng)安全漏洞和隱患并分析其風險，進出整改建議。

四是落實工作要求。統(tǒng)一組織，加強領導。按照“誰主管、誰負責”的原則，切實加強對信息安全等級保護安全建設整改工作的組織領導，完善工作機制。循序漸進，分步實施。結(jié)合本單位檔案信息系統(tǒng)數(shù)量、等級、規(guī)模等實際情況，按照先重點后一般的順序開展。結(jié)合實際，制定規(guī)范。在不低于等級保護基本要求的情況下，結(jié)合系統(tǒng)安全保護的特殊需求，制定行業(yè)標準規(guī)范或細則。