公需科目资料7
作者:师训部  文章来源:本站原创  点击数  更新时间:2018/10/18 16:16:46  文章录入:chenyong  责任编辑:chenyong

公需科目资料7   电子文档安全管理

一、电子文档的概述

(一)电子文档的概念及相关术语

电子文档: Records,是指机关、团体、企事业单位和其他组织在公务过程中,通过计算机等电子设备形成、办理、传输和存储的文字、图表、图像、音频、视频等格式的信息记录。

电子文档:也叫电子档案、电子文件,是指电子数字设备基于环境生成的,以数码形式存储于磁盘等载体,依赖计算机进行阅读、处理,可以在网络上进行通讯的文件。

文件(档案):Records,机构或个人在履行其法定义务或业务事务活动过程中形成、收到并保管的作为证据或者凭证的信息记录。

记录:Document,可以作为一个单元存在的信息记录或信息实体。

案卷:File,互有联系的若干文件组合成的档案保管单位。

元数据:Metadata,描述文件的背景、内容、结构及其整个管理过程的数据。

(二)电子文档的安全管理

l  安全工作要警钟长鸣,安全工作是“一票否定”;

l  保密工作是安全管理的一个组成部分,只有涉密电子文件涉及保密。

网络安全调查显示,超过85%的安全威胁来自于企业单位内部,只有5%来自于黑客攻击。内部人员泄密造成的损失是黑客所造成损失的16倍,是病毒所造成损失的12倍。

内网比外网的安全更重要,据国际安全界统计,各类计算机网络、存储数据被攻击和破坏,80%是内部所为。

加强电子文档安全工作的重点:狠抓单位内部的电子文档管理。

2012年,我国85%的网民遇到过网络信息安全事件,总人数达4.56亿,各种黑色产业链屡禁不止,其中77%的网民遭受过不同形式的损失,产生经济损失的占7.7%。

安全形势严峻,我们要重视电子文档的安全管理工作。

公共Wifi、二维码、伪基站已成为网络钓鱼的高发地。20156月底,上海市手机安全软件用户规模达到956万户,手机安装安全软件用于拦截骚扰电话或短信的不到七成,扫描杀毒和流量监控使用率不到六成。

我们的安全意识、安全行为远远不够。

l  电子文档安全管理是管理电子文档的产生、制作、传输、使用乃至销毁全过程中的安全,包括文件的安全和文件内容的安全;

l  安全管理过程:实现事前管理、事中控制、事后审查;

l  安全管理原则:全面性、系统性、层次性、有效性;

l  变单一堵防为全内容、全方位、全过程防护的安全管理。

(三)如何保证电子文档安全

Ø  内容上:内涵、质量要求上怎样才算安全?

Ø  技术上:电子文件的安全措施、手段和途径怎样做才能实现安全?

Ø  管理上:电子文件安全指导的思路、活动准则和规范,怎样指导安全工作?

Ø  层次性:物理上、系统上、网络上、应用上和管理上等,展开加强电子文档安全管理的工作。

Ø  系统性安全?

Ø  物理上是否安全?

Ø  网络上是否安全?

Ø  操作系统是否安全?

Ø  应用程序是否安全?

Ø  安全管理工作是否到位?

人防:制度管人,建立电子文档安全保密制度和规范,相关人员要签定安全管理责任书,落实职责,定期、不定期地开展安全检查工作。

物防:改善电子文档保管、保密方面的硬件设施、设备,安装防盗报警、电子监控、自动消防、温湿度控制系统、防磁柜、服务器等和电子文档相关的各类硬件设施、设备。

技防:运用技术手段确保电子文档安全。

Ø  在应用安全上,系统后台能全程自动跟踪记录电子文档操作者的行为;

Ø  电子原文安全上,实现传输加密、水印处理、元数据管理;

Ø  网络安全上,局域网与互联网实现物理隔离,政务网与局域网实现逻辑隔离;

Ø  数据安全上,做到数据库备份、整库冷热备份、异地备份等。

二、组织部门信息系统安全

怎么提高电子文档的安全工作?

Ø  部门特色决定信息内容安全要求较高;

Ø  网络基础设施的共性安全要求;

Ø  各类具体应用系统安全功能上的要求;

Ø  使用者的安全意识、安全工作。

(一)组织部门的特色

组织部门的工作围绕人、涉及人,在电子文档管理方面,要体现内外有别、上下有别,加强信息管控,定向、定岗发送相关信息。

电子文档安全管理的重要性比其他部门更重要,要求更高,应该得到更大程度的重视。

(二)网络基础设施防范

骨干网、城域网、局域网;

因特网、局域网、增值网、专网;

互联网技术已经成为一种基础设施;

宽带网络基础设施现在蓬勃发展;

移动互联网基础设施。

网络基础设施是信息高速公路,电子文档和管理电子文档的人在这个路上要开展安全之旅,所以要加强电子文档安全管理的防范工作。

(三)应用信息系统防范

电子文档主要依赖应用信息系统而存在,我们在各类应用信息系统中要加强电子文档的安全管理工作。

Ø  人力资源管理信息系统;

Ø  办公自动化系统;

Ø  人事管理与业绩考核系统;

Ø  移动业务应用系统;

Ø  电子文档安全管理系统;

Ø  外网、专网、内网、组织工作频道:“三网一频道”;

Ø  组织部信息集成系统、干部人事系统、公务员信息系统、干部教育培训系统、党员信息管理系统等。

这些应用系统的权限管理、角色管理、用户管理都有安全功能的体现,通过技术系统、信息系统防范、管控电子文档的安全。

(四)组织部门人员工作规范

注意防止

Ø  U盘等存储设备泄密;

Ø  红外线等通讯设备泄密;

Ø  通讯网络打印带出;

Ø  便携式电脑进入局域网络窃取信息、带离单位;

Ø  文件共享导致无关人员获取相关文件;

Ø  邮件、FTP通过互联网泄密。

三、电子文档的安全管理对策

(一)“一分为三”的哲学

电子文档的安全管理是在0.382-0.618之间的一个动态均衡,有限度、有条件、有权限,区分对象,实现电子文档的互联互通,同时保证电子文档的安全。

一分为三:黑、白、非黑非白。

Ø  安全、保密、防失密、防泄密,实现隐私保护;

Ø  共享、分享、互联互通、流动、信息公开。

(二)《电子文档安全管理》相关信息

《电子文档安全管理》的相关教材、书籍、文章、知识、常识、技能要求、应用系统。

《电子文件信息安全管理研究》
——张健著,2012

l  总体国家安全观

Ø  国家安全形势的新特点、新趋势;

Ø  中国特色国家安全道路;

Ø  国家安全基本规律;

Ø  国家安全实践的思想武器;

Ø  总体的国家安全观战略思想;

Ø  应对国际国内各种安全风险挑战;

Ø  维护国家利益,做好国家安全工作。

树立总体国家安全观,对国家总体安全观的内涵、道路依托、领域、任务、法治保障和实践要求要提高认识。

l  安全管理组织体系

Ø  中央网络安全和信息化领导小组;

Ø  地方经信委、信息办、信息中心;

Ø  智慧城市、平安城市的建设;

Ø  一把手负责制,领导要重视;

Ø  各级网络与信息安全领导组织机构;

Ø  舆情管理,管控社会安全。

l  安全管理制度办法上的对策

Ø  安全制度:信息安全制度、电子文档安全制度、人员工作安全制度、和电子文档相关的国际国内组织岗位职责;

Ø  国内安全保密主题活动、安全保密资格认证、安全保密检查,签订安全保密责任书、使用安全保密手册,进行安全保密培训、安全保密宣传、安全保密奖励等活动;

Ø  《电子文档工作职责》、《电子文档安全制度》、《电子文件归档制度》。

Ø  工作行为

l  习惯上的对策:

电子文档管理要公私分明,自己用电子文档与工作用电子文档的目录夹要分开,应用系统内的电子文档与自身硬盘、云盘下的电子文档分类安全管理。

Ø  PC机终端、笔记本电脑、平板电脑、手机、云盘、U盘上的电子文件分类加强安全管理;

Ø  工作电子文档与私人生活的电子文档实现分类、分级别、分情况安全管理;

Ø  尽量采取保密措施。

四、电子文档的安全技术措施

(一)软、硬件的安全应对措施

l  软件措施

电子文档的操作痕迹记录在电脑、网络上,让管理人员能够看到,日志审计实现三员管理(系统、审计、操作)。

Ø  系统管理员:负责应用系统的正常运行维护,只能进行系统设置、权限设置、系统管理操作,看不到电子文档的内容;

Ø  审计员:能看到操作员的各种违规行为、违规操作记录,监控操作员的行为是否违规、合法;

Ø  操作员:应用系统的使用人员,能看到电子文档的内容,对电子文档有操作权限,能进行电子文档的分层、流转、运行、分发,甚至删除、销毁。

Ø  基于角色的用户权限划分,对电子文件实现权限控制;

Ø  文件离线控制、有效备份;

Ø  主机监控审计、病毒防护、查杀、打印监控审计、网络安全审计、信息清除、数据保护、电子文档安全管理系统等;

Ø  数据恢复工具、上网取证工具、恶意程序检查监控工具。

l  硬件保密措施

Ø  保密文件柜、密码保险柜;

Ø  手机屏蔽柜、手机信号干扰器;

Ø  计算机屏蔽柜、视频电磁干扰仪;

Ø  红黑隔离电源插座、保密专用碎纸机、保密专用光盘粉碎机;

Ø  防盗门、防盗窗、视频监控、探测报警、电子门禁等。

l  算法加密

Ø  对明文文件或数据按照某种算法处理为不可读的代码、密文,输入相应密钥后可显示内容,加密的逆过程为解密,道理近似密码电报;

Ø  加密软件、加密文件夹、加密U盘、加密硬盘目录。

Ø  电子文档全文水印,预防文档拍照外泄、截图外泄、打印外泄;

Ø  时间戳,文档外泄追责凭证;

Ø  文件备份、异地备份、自动备份;

Ø  硬拷贝、双套制、镜像技术;

Ø  数字签名,防止篡改;

Ø  访问控制,防止电子文件被非法利用和蓄意破坏;

Ø  身份验证:用户名、用户口令、账号缺省限制检查、防火墙;

Ø  病毒防治:防止病毒感染,清除或恢复已感染病毒的电子文档,预防病毒、检测病毒。

Ø  双轨制:文件生成、处理过程中,纸质文件和电子文件两种状态共存;文件运转阶段,电子文件和纸质文件两种进程并行。

Ø  双套制:电子文件和纸质文件都归档,两种文件共存。

电子文件、纸质文件双管制客观上为电子文档的安全提供了一种保障。

(二)电子文档安全管理的OAIS框架

(三)电子文档安全管理新技术

1.可信计算:

可信计算技术的安全目标:进不去、看不见、拿不走、赖不掉。

在每个终端平台上植入一个信任根,让PC端从基本输入输出系统到计算机操作系统的内核层,再到应用层,都构建信任关系,由此建立一个能在网络上广泛传递的信任链,实现信息免疫,防止终端被攻击,实现自我保护、自我管理和自我恢复。

一把可以丈量计算机可信度的标尺,计算机启动时对系统所有运行的软件进行可信性、完整性分析,判定是否授权、篡改。若判定不可信则阻止该软件运行,并自动恢复合法的版本。

可信计算密码支撑平台功能与接口规范,可桌面监控PC端、笔记本电脑、服务器、加密机是否安全运行。

我国自主研发的可信技术从芯片到PC硬件,再到应用系统软件、CA认证,已经形成初具规模的产业链。

2.其他安全新技术

保密移动存储介质管理、安全保密检查与评测、安全审计与追踪、电子数据取证与证据管理、涉密电子文档安全处理与管理软件、防信息泄漏、网络木马监测与防治、网络反扫描、产品脆弱性扫描分析与风险评估、高速智能化入侵监测、移动和桌面终端与WEB服务器安全防护、无线网络安全管理。

安全一体化集中管理、等级保护综合管理、云计算安全保护、电子印章、视频、音频监控、网络安全态势分析与预测、预警。

交叉组合,加强管控:1+12,使电子文档作为信息资产能防泄密、可管控、能追溯。

Ø  电子文档安全防泄密;

Ø  安全基础框架;

Ø  加密算法管理、密钥管理、加解密管理;

Ø  授权管理、用户角色管理;

Ø  各类接口管理、流程管理;

Ø  审计管理。

五、电子文档安全管理工作的注意事项

Ø  三重安全防护体系建设:应用环境安全、应用区域边界安全、网络通信安全;

Ø  电子文档应用权限细分:使用级别、使用范围(只读、共享、存储、拷贝、应用、传输、打印)。

Ø  特征码识别技术:甄别受保护程序和非受保护程序,受保护程序可以将数据信息转移到不受保护程序,如QQ、微信,在转移时自动屏蔽复制内容。

Ø  离线文件的权限可以设置打开次数、使用时间,能够禁止打印,让电子文件以U盘绑定离线文件,在指定U盘上使用离线文件。

(一)组织信息安全工作

Ø  信息安全保密工作无小事,严防失密、泄密事件;

Ø  建立安全信息工作机构:安全保密委员会、安全办公室,机关、基层设立兼职安全保密员,建设、完善安全保密体系;

Ø  定期、不定期地召开安全保密会议,巡回检查、季度抽查机关、基层的安全保密工作,确保安全保密工作电子文档的秩序化、规范化、常态化,保证电子文档的信息安全。

(二)安全事件案例

1.斯诺登“棱镜”门事件

 2007年,美国国家安全局和联邦调查局FBI启动“棱镜”秘密电子监控项目,可直接进入美国网际网络公司的中心服务器里挖掘数据、收集情报,微软、雅虎、谷歌、苹果等皆参与此项目,通过“棱镜”监控项目,可监视到全球互联网上的电子邮件、即时消息、视频、照片、存储数据、语音聊天、文件传输、视频会议、登录时间和社交网络资料等。

爱德华·斯诺登是美国国家安全局合约外判商职员,在国家保密局工作4年,20135月,他将相关电子文件复制后带到香港,后陆续公开。他说,美国国家安全局可在机器中植入漏洞,一旦全球任何一个人连上因特网,美国国家安全局就能验证你的机器,无论采用什么保护措施,都不可能安全。

2.力拓间谍门事件

中方电子文档藏身澳方电脑,20097月,力拓公司上海办公室的电脑上有数十家与力拓集团签有长期协作合同的钢铁企业的电子文档资料,涉及中方钢铁企业详细的采购计划、原料库存、生产安排等,甚至每月钢铁产量、销售情况。

造成中国钢企进口铁矿石时多付出7000多亿人民币,给我们带来了严重的经济损失。

(三)个人安全工作

管好自己的电子文档;

作为领导,不仅要管好自己的电子文档,而且要管好下级、整个组织电子文档方面的工作,加强重视。

Ø  安全保密实行“一票否决”原则;

Ø  以身作则,加强自我电子文档的安全管理:理念上要与时俱进,行为习惯上要大处着眼、细处着手,了解和电子文档安全工作相关的各类安全规章制度。

六、涉密电子文档应注意的问题

一、公文保密等级和保密期限

1.公文的保密等级

Ø  绝密:含有最重要的国家秘密,泄露会使国家安全和利益遭受特别严重损害的公文。

Ø  机密:含有重要的国家秘密,泄露会使国家安全和利益遭受严重损害的公文。

Ø  秘密:含有一般的国家秘密,泄露会使国家安全和利益遭受损害的公文。

2.保密期限

3.一般电子文档的安全工作

Ø  信息安全等级保护:针对国家信息安全保障工作的重要任务,各类信息系统要按信息安全划分等级——等保;

Ø  信息安全分级保护:专门针对涉密信息系统,电子信息系统的信息安全要分等级进行保护——分保;

Ø  流行信息系统、主要信息系统、多数信息系统实行信息按等级保护制度—等保;

Ø  涉及国家秘密的遵循分级保护原则—分保。

Ø  BMB17《涉及国家秘密的信息系统分级保护技术要求》;

Ø  BMB20《涉及国家秘密的信息系统分级保护管理规范》。

Ø  涉密不上网,上网不涉密。此处的网指“互联网”

Ø  涉密信息系统的界定:系统内存储、处理或传输信息涉及国家秘密的;

Ø  按涉密程度分级保护;

Ø  涉密计算机、涉密存储设备不接入互联网;

Ø  涉密信息系统与互联网间的信息交换必须有防护措施,否则不能联网;

Ø  非涉密计算机、非涉密设备不得存储和处理国家秘密信息;

Ø  不得擅自卸载涉密信息系统的安全技术程序、管理应用程序;

Ø  有线和无线通信、互联网上传递国家秘密须有保密措施。

二、摆渡机与VPN管道

1.摆渡机:

是机关单位内、外网进行物理隔离,为了满足内网和外网信息交换,在保证数据安全、操作方便、可靠的前提下,通过网络电子文档保险柜实现内、外网数据单向传输与安全交互。

绝对的安全没有,绝对的隔离没有,绝对的互联互通没有,在涉密信息内、外网中提供一种既保障一定安全、又实现信息共享的方式。

2.虚拟专线网络VPN(Virtual Private Network):

虚拟专线网络,在内外网物理隔离、逻辑隔离的情况下,通过虚拟专项网络,实现私有网络的安全与效能,内部网络让因特网与内网实现连接,在连接过程中须经过多重验证,让使用者与内网主机间形成加密通道,实现内、外网的通讯。
打印本文 打印本文  关闭窗口 关闭窗口