檔案信息安全實務(wù)培訓(xùn)課件

1、檔案信息安全實務(wù)培訓(xùn),1,徐 沖 鹽城市檔案局,檔案信息安全專題實務(wù)培訓(xùn),檔案信息安全實務(wù)培訓(xùn),2,目 錄,檔案信息安全管理的主要任務(wù),1,常用安全技術(shù),2,3,檔案信息安全管理分類,檔案信息安全實務(wù)培訓(xùn),3,檔案信息安全管理的主要任務(wù),一)提高思想認(rèn)識，為檔案安全構(gòu)筑堅固的思想防線。 (二)加強(qiáng)安全管理，為檔案安全提供健全的制度保障。 (三)加強(qiáng)基礎(chǔ)設(shè)施建設(shè)，為檔案安全提供更好條件。 (四)大力保護(hù)檔案原件，確保檔案原件安全。 (五)認(rèn)真管好電子文件，確保電子文件安全。 (六)切實搞好安全備份，確保萬一情況下的檔案安全,檔案信息安全實務(wù)培訓(xùn),4,檔案信息安全管理的主要任務(wù),一) 思想認(rèn)識 1

2、、要樹立“檔案安全事關(guān)黨和國家根本利益”的思想。 2、要樹立“安全第一”的思想。 3、要樹立“安全問題無所不在”的思想。 4、要樹立“安全問題人人有責(zé)”的思想,檔案信息安全實務(wù)培訓(xùn),5,檔案信息安全管理的主要任務(wù),二) 制度 1、要完善并執(zhí)行檔案安全法規(guī)。 2、要完善并采用檔案安全技術(shù)標(biāo)準(zhǔn)。 3、要積極制定并貫徹執(zhí)行檔案安全業(yè)務(wù)指南。 4、要加強(qiáng)內(nèi)部管理,檔案信息安全實務(wù)培訓(xùn),6,檔案信息安全管理的主要任務(wù),三) 基礎(chǔ)設(shè)施 1、要加強(qiáng)館庫建設(shè)。 2、要加強(qiáng)安全設(shè)施建設(shè)。 3、要采用先進(jìn)的技術(shù)防范手段,檔案信息安全實務(wù)培訓(xùn),7,檔案信息安全管理的主要任務(wù),四) 原件保護(hù) 1、要加強(qiáng)館庫建設(shè)。 2

3、、要加強(qiáng)安全設(shè)施建設(shè)。 3、要采用先進(jìn)的技術(shù)防范手段,檔案信息安全實務(wù)培訓(xùn),8,檔案信息安全管理的主要任務(wù),五) 電子原件 1、要明確歸檔范圍。 2、要統(tǒng)一技術(shù)應(yīng)用標(biāo)準(zhǔn)。 3、要嚴(yán)格對電子文件進(jìn)行安全備份。 4、要加強(qiáng)對電子文件信息系統(tǒng)和載體的安全檢測。 5、要大力開展電子文件的安全保護(hù)技術(shù)研究,檔案信息安全實務(wù)培訓(xùn),9,檔案信息安全管理的主要任務(wù),六) 備份 1、要切實開展檔案備份工作。 2、要實行異地存放。 3、要落實備份制度,檔案信息安全實務(wù)培訓(xùn),10,檔案信息安全管理分類,當(dāng)前威脅檔案信息安全的主要因素 1、載體損害 2、設(shè)備故障或破壞 3、操作失誤 4、程序缺陷 5、病毒 6、竊聽與

4、篡改 7、黑客攻擊 8、技術(shù)淘汰,檔案信息安全實務(wù)培訓(xùn),11,檔案信息安全管理分類,1、物理安全（前提）（存儲載體、系統(tǒng)設(shè)備） 2、軟件安全（操作系統(tǒng)、應(yīng)用軟件） 3、網(wǎng)絡(luò)安全（重要內(nèi)容） 4、數(shù)據(jù)安全（核心） 5、用戶安全,檔案信息安全實務(wù)培訓(xùn),12,檔案信息安全管理分類,檔案信息安全管理的基本要求 1、規(guī)章制度（管理制度、備份恢復(fù)制度、應(yīng)急處理制度等） 2、人員管理（人員選擇、安全教育、技術(shù)培訓(xùn)等） 3、技術(shù)方法（環(huán)境與設(shè)備安全、實體管理安全、管理系統(tǒng)安全、網(wǎng)絡(luò)管理安全、信息內(nèi)容安全、電子文件銷毀安全等,檔案信息安全實務(wù)培訓(xùn),13,檔案信息安全管理分類,建立健全安全保障體系：安全法規(guī)標(biāo)準(zhǔn)、

5、安全管理體系、安全技術(shù)手段。 預(yù)防為主、防治結(jié)合：事前分析各種安全風(fēng)險，建立預(yù)警、保護(hù)、檢測、反應(yīng)、恢復(fù)的安全保障機(jī)制，主動發(fā)現(xiàn)和及時消除安全隱患，有效保障檔案信息安全，將各種安全危險拒之門外。 管理與技術(shù)并重：檔案信息安全非單純的技術(shù)問題，安全技術(shù)及安全產(chǎn)品的應(yīng)用只是檔案信息安全的內(nèi)容之一,檔案信息安全實務(wù)培訓(xùn),14,檔案信息安全管理分類,內(nèi)部防護(hù)與外部防護(hù)并存：重視內(nèi)部安全 實施安全等級保護(hù)：對檔案信息的安全性能的要求不是無限度的，必須以風(fēng)險系數(shù)為依據(jù)，確定適宜的安全等級，設(shè)計相應(yīng)的安全體系,檔案信息安全實務(wù)培訓(xùn),15,檔案信息安全管理分類,安全等級的劃分與適用范圍 我國計算機(jī)信息系統(tǒng)安全

6、保護(hù)等級劃分細(xì)則于1999年9月13日經(jīng)國家質(zhì)量技術(shù)監(jiān)督局審查通過并正式批準(zhǔn)發(fā)布，根據(jù)細(xì)則將計算機(jī)信息系統(tǒng)安全保護(hù)能力劃分為五個安全保護(hù)等級： 第一級：用戶自主保護(hù)級。用戶自主保護(hù)級通過身份鑒別，自主訪問控制機(jī)制，要求系統(tǒng)提供每一個用戶具有對自身所創(chuàng)造的數(shù)據(jù)進(jìn)行安全保護(hù)的能力。適用于普通內(nèi)聯(lián)網(wǎng)用戶。 第二級：系統(tǒng)審計保護(hù)級。在用戶自主保護(hù)級的基礎(chǔ)上，重點強(qiáng)調(diào)系統(tǒng)的審計功能，要求通過審計、資源隔離等安全機(jī)帛，使每一個用戶對自己的行為負(fù)責(zé)。適用于內(nèi)聯(lián)/國際互聯(lián)網(wǎng)需要保密商務(wù)活動的用戶。 第三級：安全標(biāo)記保護(hù)級。在系統(tǒng)審計保護(hù)的基礎(chǔ)上，從安全功能的設(shè)置和安全強(qiáng)度的要求方面均有明顯的提高。首先，增加了

7、標(biāo)記和強(qiáng)制訪問控制功能。同時，對身份鑒別、審計、數(shù)據(jù)完整性等安全功能均有更進(jìn)一步的要求。如要求使用完整性敏感性標(biāo)記，確保信息在網(wǎng)絡(luò)傳輸?shù)耐暾?。一般黨政機(jī)關(guān)、金融機(jī)構(gòu)、大型商業(yè)工業(yè)用戶。 第四級：結(jié)構(gòu)化保護(hù)級。在安全標(biāo)記保護(hù)級的基礎(chǔ)上，重點強(qiáng)調(diào)通過結(jié)構(gòu)化設(shè)計方法使得所具有的安全功能具有更高的安全要求。適用于國家機(jī)關(guān)、中央金融機(jī)構(gòu)、尖端科技和國防應(yīng)用系統(tǒng)單位。 第五級：訪問控制保護(hù)級。訪問驗證保護(hù)級重點強(qiáng)調(diào)”訪問“監(jiān)控器本身的可驗證性，也是從安全功能的設(shè)計和實現(xiàn)方面提出更高要求。適用于國防關(guān)鍵應(yīng)用以及國家特殊隔離信息系統(tǒng)使用單位,檔案信息安全實務(wù)培訓(xùn),16,常用安全技術(shù),訪問控制是網(wǎng)絡(luò)安全防范和

8、保護(hù)的主要策略，它的主要任務(wù)是保證網(wǎng)絡(luò)資源不被非法使用和非法訪問。 網(wǎng)絡(luò)的權(quán)限控制。網(wǎng)絡(luò)的權(quán)限控制是針對網(wǎng)絡(luò)非法操作所提出的一種安全保護(hù)措施。用戶和用戶組被賦予一定的權(quán)限?？刂朴脩艉陀脩艚M可以訪問哪些目錄、子目錄、文件和其他資源。限制用戶和用戶組可以執(zhí)行的操作，防止用戶和用戶組越權(quán)操作,檔案信息安全實務(wù)培訓(xùn),17,常用安全技術(shù),入網(wǎng)訪問控制：它控制哪些用戶能夠登錄到服務(wù)器并獲取網(wǎng)絡(luò)資源，同時也控制準(zhǔn)許用戶入網(wǎng)的時間和準(zhǔn)許他們在哪臺工作站入網(wǎng),檔案信息安全實務(wù)培訓(xùn),18,常用安全技術(shù),計算機(jī)病毒是一種特殊的具有破壞性的計算機(jī)程序，它具有自我復(fù)制的能力，可通過非授權(quán)入侵可執(zhí)行程序或數(shù)據(jù)文件中，竊取

9、個人資料、各種帳號密碼，對網(wǎng)上檔案信息的安全產(chǎn)生極大威脅。 檔案工作者需了解反病毒原理，熟練使用殺毒軟件，遵守防毒規(guī)章（定期升級殺毒軟件、定期查殺病毒、不使用來歷不明軟件等,檔案信息安全實務(wù)培訓(xùn),19,常用安全技術(shù),防火墻指的是一個由軟件和硬件設(shè)備組合而成、在內(nèi)部網(wǎng)和外部網(wǎng)之間、專用網(wǎng)與公共網(wǎng)之間的界面上構(gòu)造的保護(hù)屏障，是一種計算機(jī)硬件和軟件的結(jié)合，使Internet與Intranet之間建立起一個安全網(wǎng)關(guān)（Security Gateway），從而保護(hù)內(nèi)部網(wǎng)免受非法用戶的侵入，防火墻主要由服務(wù)訪問規(guī)則、驗證工具、包過濾和應(yīng)用網(wǎng)關(guān)4個部分組成。 防火墻就是一個位于計算機(jī)和它所連接的網(wǎng)絡(luò)之間的軟件

10、或硬件。該計算機(jī)流入流出的所有網(wǎng)絡(luò)通信和數(shù)據(jù)包均要經(jīng)過此防火墻,檔案信息安全實務(wù)培訓(xùn),20,常用安全技術(shù),安全檢測技術(shù)是近年出現(xiàn)的新型網(wǎng)絡(luò)安全技術(shù)，目的是實時地入侵檢測及采取相應(yīng)的防護(hù)手段，它提供對網(wǎng)絡(luò)通訊活動的監(jiān)控捕獲和分析整個網(wǎng)段傳輸?shù)臄?shù)據(jù)包，檢測和識別可疑的網(wǎng)絡(luò)通信活動，并在這種非授權(quán)訪問發(fā)生時進(jìn)行實時響應(yīng)，阻止對數(shù)據(jù)和資源的非法存取。 網(wǎng)絡(luò)安全檢測系統(tǒng)分為兩類：（1）基于主機(jī)的入侵檢測系統(tǒng)；（2）基于網(wǎng)絡(luò)的入侵檢測系統(tǒng),檔案信息安全實務(wù)培訓(xùn),21,常用安全技術(shù),加密是實現(xiàn)信息保密的重要手段，它把有關(guān)的原始數(shù)據(jù)作為明文P，經(jīng)加密算法E的變換，成為所謂的密文C，使無關(guān)人員無法讀懂、無法應(yīng)用

11、；解密是其逆過程，即將密文C，用解密算法D，變換為數(shù)據(jù)信息的原樣P。 加密算法分為單匙（私鑰或?qū)ΨQ）加密算法和雙匙（公匙或非對稱）加密算法。 通過網(wǎng)絡(luò)進(jìn)行傳輸?shù)臋n案信息，為防止泄密，有必要使用加密技術(shù)，防止被他人截獲或篡改,檔案信息安全實務(wù)培訓(xùn),22,常用安全技術(shù),備份就是保留一套后備系統(tǒng)，這套后備系統(tǒng)與現(xiàn)有系統(tǒng)一樣，或者能夠代替現(xiàn)有系統(tǒng)的功能。當(dāng)現(xiàn)有系統(tǒng)遭到攻擊，原始數(shù)據(jù)丟失或遭到破壞的情況下，可以利用備份數(shù)據(jù)把原始數(shù)據(jù)恢復(fù)出來，使系統(tǒng)能正常運行,檔案信息安全實務(wù)培訓(xùn),23,常用安全技術(shù),備份類型 硬件級：通過多余的硬件保證系統(tǒng)的連續(xù)運行。缺點在于無法防止邏輯錯誤，如人為誤操作、數(shù)據(jù)錯誤等。

12、 軟件級：將系統(tǒng)數(shù)據(jù)保存到其他介質(zhì)上，當(dāng)系統(tǒng)出錯時可以將系統(tǒng)恢復(fù)到備份時的狀態(tài)。 人工級：以手工方式把所有數(shù)據(jù)都記載成文字形式,檔案信息安全實務(wù)培訓(xùn),24,常用安全技術(shù),某數(shù)字檔案館數(shù)據(jù)備份拓?fù)鋱D（數(shù)據(jù)備份方案工作原理：一臺服務(wù)器安裝WEB服務(wù)和應(yīng)用服務(wù)，另一臺服務(wù)器上安裝數(shù)據(jù)庫和文件服務(wù)。兩臺服務(wù)器共享磁盤陣列柜，組成雙機(jī)雙工容錯系統(tǒng)，主要防止物理故障。 管理工作站安裝數(shù)據(jù)備份軟件通過磁帶機(jī)實現(xiàn)自動備份，主要防止邏輯故障。大容量備份管理工作站，主要對數(shù)據(jù)進(jìn)行跟蹤觀察，必要時刻錄光盤保存,檔案信息安全實務(wù)培訓(xùn),25,常用安全技術(shù),仿真 ：就是制造一種能運行過時軟硬件的軟件，在運行過程中對過時軟

13、硬件進(jìn)行模仿，有的也采用直接保存原始的軟硬件的方式。 遷移：將數(shù)字信息從一種技術(shù)平臺轉(zhuǎn)換到另一種技術(shù)平臺上的復(fù)制方法。它是計算機(jī)軟硬件變化適時改變數(shù)字信息格式的一種處理過程，這過程使得數(shù)字信息在將來也可被讀取。 再生性技術(shù)（異質(zhì)）：將存儲在磁性載體或光盤上的檔案信息適時轉(zhuǎn)移到紙張或縮微品上的方法，避免計算機(jī)軟硬件過時帶來的麻煩,檔案信息安全實務(wù)培訓(xùn),26,常用安全技術(shù),口令機(jī)制：相互約定的代碼，假定只有用戶和系統(tǒng)知道。 數(shù)字簽名：是一種字符串，發(fā)文方利用自己不公開的密鑰對發(fā)出的電子文件進(jìn)行加密處理，生成一個字符串，與文件一起發(fā)出，同時還帶走一個可使其生效的公開密鑰。收文方用發(fā)文方的公開密鑰及特定的計算方法解碼校驗