摘 要 在“互聯(lián)網(wǎng)+”計劃下，檔案信息化建設(shè)工作逐漸實現(xiàn)了快速發(fā)展，而安全建設(shè)作為檔案信息化建設(shè)中的基礎(chǔ)和前提，具有十分關(guān)鍵的作用。本文將對檔案信息化建設(shè)中的系統(tǒng)漏洞和網(wǎng)絡(luò)攻擊進(jìn)行分析，在此基礎(chǔ)上總結(jié)檔案信息系統(tǒng)中存在的安全問題，以切實提升檔案信息化建設(shè)的安全性。

關(guān)鍵詞 “互聯(lián)網(wǎng)+”;檔案信息化建設(shè);安全性

互聯(lián)網(wǎng)應(yīng)用技術(shù)的持續(xù)發(fā)展使得傳統(tǒng)的檔案管理模式已經(jīng)不能適應(yīng)現(xiàn)代化社會的發(fā)展需求，出現(xiàn)了越來越多的管理問題?；诖?，要針對檔案管理工作進(jìn)行改革，與信息化技術(shù)和互聯(lián)網(wǎng)技術(shù)相結(jié)合，以提升檔案信息化建設(shè)的安全性。為此，在“互聯(lián)網(wǎng)+”的時代背景下，要積極獲取來自政府、服務(wù)、資金、技術(shù)等方面的支持，在安全保障下，促進(jìn)國家檔案管理工作的開展。

1基礎(chǔ)網(wǎng)絡(luò)安全防護(hù)

用于保障檔案信息系統(tǒng)所處網(wǎng)絡(luò)環(huán)境的安全，避免檔案信息系統(tǒng)受到跨域攻擊、端口嗅探及網(wǎng)絡(luò)掃描等攻擊方式。作為保障網(wǎng)絡(luò)安全的重要手段，在可信任網(wǎng)絡(luò)和不可信網(wǎng)絡(luò)之間設(shè)置防火墻，可以對不同網(wǎng)段之間的數(shù)據(jù)通信和訪問行為實施保護(hù)，有效保障可信網(wǎng)絡(luò)的安全。除此之外，借助隔離網(wǎng)關(guān)、網(wǎng)絡(luò)互聯(lián)安全控制設(shè)備及設(shè)置DMZ區(qū)域等方式，可以有效保護(hù)檔案信息系統(tǒng)，避免遭受非法站點和網(wǎng)段的攻擊，針對安全等級更高的信息系統(tǒng)，可以借助物理隔離的形式，確保系統(tǒng)不會受到來自外部網(wǎng)絡(luò)的黑客攻擊[1]。

2計算環(huán)境安全防護(hù)

為保障計算機終端的可信度，避免受到病毒和木馬等惡意軟件的破壞，需要安裝防護(hù)系統(tǒng)，如殺毒軟件和主機入侵檢測軟件等，同時要及時將病毒、木馬等惡意代碼特征庫進(jìn)行升級更新，以查殺常見的惡意代碼。因為病毒庫是在病毒出現(xiàn)和爆發(fā)后才開始升級，因此只靠殺毒軟件和主機入侵檢測軟件等系統(tǒng)不能滿足病毒防護(hù)的要求，必須主動進(jìn)攻，積極開展安全防御工作。當(dāng)前階段，可信計算技術(shù)是一種比較主流的技術(shù)，借助信任根和信任鏈實現(xiàn)信息系統(tǒng)內(nèi)生安全的構(gòu)建，以保證計算環(huán)境行為的可預(yù)期和可監(jiān)控性;設(shè)立白名單機制，保證只有安全軟件可以在此運行，拒絕非可信軟件的運行請求;此外，借助主機對非法外聯(lián)和違規(guī)外設(shè)接入等行為進(jìn)行監(jiān)控，以構(gòu)建安全等級較高的可信終端環(huán)境。

3應(yīng)用系統(tǒng)安全防護(hù)

用于保障檔案信息系統(tǒng)自身安全，避免出現(xiàn)針對系統(tǒng)漏洞的攻擊現(xiàn)象。首先，需要提升系統(tǒng)自身的免疫力，將操作系統(tǒng)和應(yīng)用軟件進(jìn)行維護(hù)升級，將補丁庫進(jìn)行更新，以減少系統(tǒng)漏洞，避免系統(tǒng)攻擊;其次，可以借助外圍加固的方式，有針對性地實施防護(hù)。設(shè)置應(yīng)用入侵防護(hù)系統(tǒng)、WAF、信息服務(wù)防護(hù)設(shè)備等系統(tǒng)防護(hù)設(shè)備，通過會話狀態(tài)監(jiān)測、異常行為監(jiān)測、網(wǎng)絡(luò)審計等入侵分析與檢測技術(shù)，實時監(jiān)測和過濾進(jìn)出Web服務(wù)器的網(wǎng)絡(luò)數(shù)據(jù)包，避免出現(xiàn)各類Web攻擊行為，保障Web應(yīng)用的可靠性[2]。

4數(shù)據(jù)資源安全防護(hù)

要保障檔案信息系統(tǒng)處理數(shù)據(jù)在傳輸和存儲過程中的安全性和可靠性，避免出現(xiàn)信息竊取和遺失的現(xiàn)象。首先，為應(yīng)對數(shù)據(jù)遺失和損毀的安全風(fēng)險，需要通過容災(zāi)備份的形式，借助數(shù)據(jù)輔助技術(shù)，進(jìn)行檔案數(shù)據(jù)的異地備份，讓數(shù)據(jù)可以實現(xiàn)永久可靠存儲。其次，為應(yīng)對檔案數(shù)據(jù)被竊取的安全風(fēng)險，可以通過標(biāo)簽水印技術(shù)，進(jìn)行數(shù)據(jù)的標(biāo)記、追蹤和查找，借助數(shù)據(jù)管控技術(shù)，對數(shù)據(jù)進(jìn)行有效管理，在可控單位內(nèi)，實現(xiàn)數(shù)據(jù)的加密處理，確保及時出現(xiàn)數(shù)據(jù)泄露，也不會讓攻擊者獲得有效的信息。在綜合的數(shù)據(jù)資源安全防護(hù)的基礎(chǔ)上，提升數(shù)據(jù)的可管控和可追蹤性，讓攻擊者無法拿走數(shù)據(jù)，或者即使拿走也無法理解數(shù)據(jù)。

5用戶訪問安全防護(hù)

可以保障用戶在訪問檔案信息系統(tǒng)時的可控性，避免出現(xiàn)非法用戶登錄和用戶未經(jīng)授權(quán)直接訪問等一系列違規(guī)行為。在檔案信息系統(tǒng)中，存在大量的內(nèi)部涉密信息，與普通信息系統(tǒng)相比，檔案信息系統(tǒng)對用戶的范圍及權(quán)限提出了更高的要求。當(dāng)前階段，常用的用戶名口令登錄方式非常容易被黑客破解，此外，為了保障使用的便捷性，可以針對不同密級的檔案信息系統(tǒng)的用戶登錄采取不同等級的實施方式：針對一般化的檔案信息系統(tǒng)，可以使用用戶名口令的方式進(jìn)行登錄，但是需要明確規(guī)定密碼的長度和組合形式，以確保口令的強度;針對安全等級較高的檔案信息系統(tǒng)，可以通過USBKey進(jìn)行登錄，將其視作用戶的身份標(biāo)識;針對安全等級更高的檔案信息系統(tǒng)，可以借助指紋、語音、虹膜等生物登錄認(rèn)證技術(shù)，將多種認(rèn)證手段進(jìn)行結(jié)合，進(jìn)行多級認(rèn)證。要結(jié)合用戶的身份、需求和權(quán)限要求進(jìn)行訪問授權(quán)，在用戶登錄成功后，針對其訪問范圍進(jìn)行控制，避免出現(xiàn)低權(quán)限用戶訪問高密級檔案信息的現(xiàn)象。以上五種安全防護(hù)系統(tǒng)分別從不同的層級對檔案信息系統(tǒng)進(jìn)行安全保護(hù)，有效避免各類安全隱患。針對核心重大的檔案信息系統(tǒng)，可以通過安全審計系統(tǒng)對其進(jìn)行安全防護(hù)。安全審計系統(tǒng)主要負(fù)責(zé)針對網(wǎng)絡(luò)、應(yīng)用、用戶、終端等的行為狀態(tài)進(jìn)行記錄，然后結(jié)合具體情況進(jìn)行細(xì)致分析，追查不良記錄，在綜合評判的基礎(chǔ)上進(jìn)行細(xì)致全面的安全防御。同時，要在維護(hù)檔案信息系統(tǒng)時，使用“三權(quán)分立”的管理方法，也即由專門人員負(fù)責(zé)系統(tǒng)管理、安全管理和審計管理的工作，彼此監(jiān)督彼此制約，以提升檔案信息系統(tǒng)的可靠性，避免出現(xiàn)超級管理員。

6結(jié)束語

為建設(shè)完善的信息化檔案系統(tǒng)，首先需要提升系統(tǒng)的安全性。然而，迫于網(wǎng)絡(luò)攻擊和系統(tǒng)漏洞的持續(xù)壓力，限制了檔案信息安全性的提升。檔案信息化安全建設(shè)是一項長期且艱巨的任務(wù)，需要被重點關(guān)注。借助全面性較高的安全防御體系，可以有效保障檔案信息系統(tǒng)的建設(shè)，提升其運行環(huán)節(jié)中的穩(wěn)定性和安全性。

參考文獻(xiàn)

[1] 于修.“互聯(lián)網(wǎng)+”下檔案信息化安全建設(shè)研究[J].信息記錄材料，2020，21（4）：63-64.

[2] 朱瑜，王冉，程喜.“互聯(lián)網(wǎng)+”下檔案信息化安全建設(shè)研究[J].檔案學(xué)研究，2017（1）：73-76.

作者簡介

張小靜（1981-），女，河南省永城市人;學(xué)歷：本科，職稱：館員，現(xiàn)就職單位：中國艦船研究院，研究方向：檔案信息化建設(shè)，船舶科研檔案資源整合與共享。