网络环境下涉秘档案安全保密体系的构建

    档案作为原始的社会历史记录，记载着许多国家、集体、个人重要的秘密。档案信息中凡涉及国家秘密、商业秘密、工作秘密、个人隐私和其他法律规定不得公开的信息都属于保密范围，我们应积极构建涉密档案安全保密体系，确保这些保密档案不丢失、不泄密、不超范围扩散。

一、法律法规制度层面

    在我国推进依法治国的进程中，建立一个健康有序的社会环境离不开法律的规范和约束。法律的强制性可以有效保障国家的健康环境，同样，信息安全保密法律法规可以使非法分子慑于法律的威力不敢轻举妄动，可有效保护信息安全。

    1．制定安全保密制度。依据实际情况制定切实可行的安全保密制度，制定每一项法律规章制度时都要看其是否反映了当时的信息网络化环境和多层次、多角度的政策需求的实际，是否符合国家在特定时期内的发展战略。保密工作是一项综合管理行为，在众多因素中任何一个环节上出现问题都有可能造成泄密，国家、地方、部门的法律法规只有和各个机关单位实际情况结合起来才能够真正发挥效用，因此，依据国家的相关法律法规、规章，制定符合本单位实际情况的安全保密制度尤为重要。

    2．完善安全保密法律法规。目前，我国安全保密法规与规章的建设还没有形成一个完整的体系，各法律、法规之间的分工、协调仍未得到有效的解决，有关计算机与网络安全保密问题的规定不全，存在着法律的空白；对于相同的问题，法规与规章有不同的规定；如何选择使用亦没有具体规定等现象。这些问题对应用法律规章来进行信息网络安全管理有很大的约束性。因此，就计算机与网络安全保密问题构建完善的法规、规章体系是十分必要的，档案法律规章之间要有协调一致性。只有这样，才能做到有法可依、有章可循。

    3．加强安全保密宣传。提高安全保密意识，增强人们的法制观念，对于我国档案事业的健康有序发展是十分必要的。保护国家秘密是每个公民应尽的义务，国家应加强对公民的安全保密法制教育，让公民了解信息安全保密的重要性以及哪些是违反法律规定的行为等。

二、道德层面

    法律与道德在社会良性发展中不可或缺。法律法规得以实施，除了需要国家强制力的保障外，也需要优良的道德氛围来维护；一定的道德规范也只有在特定的法律规范的保障下才能发扬光大。道德是社会中被人们普遍认同并推崇的基本的行为准则与规范，它的实现不是靠法律法规等强制力，而是靠人民的共同遵守与舆论评判所形成的团体压力。

    1．档案工作者职业道德。每一种社会职业都会形成特定的职业道德准则和行为规范。档案职业道德是指档案工作者在从事档案行政、档案保管和利用服务等职能活动中，应当遵守的基本行为准则。档案工作者有良好的职业素质才能有效保证档案保密工作的有效实行。

    (1)档案职业道德规范。档案职业道德规范的内容主要包括：忠于职守，爱岗敬业；遵纪守法，严守机密；博学求进，公正服务。档案工作者应当把对事业的热情倾注于档案工作的各个环节，倾注于维护人类社会历史记忆的真实性、可靠性与连续性，坚决同危害档案安全的行为作斗争，维护国家、集体的利益，最大限度的发挥档案的社会文化作用。

    (2)档案职业道德修养。档案职业道德修养的基本任务，就是要使档案职业道德的原则和规范内容内化为档案工作者的内心情感和信念，并付诸于档案管理实践。主要包括档案职业道德理想、职业道德义务、职业道德情感、职业道德行为、职业态度、职业良心、职业荣誉和职业尊严。档案工作者只有切实加强自身的职业道德修养，才能使自己的职业行为符合档案职业道德的要求，将应该遵循的规范内化为自觉自愿、自然而然的行为，履行好自己的职业使命，为社会做出应有的贡献。

    2．公民道德。我国有五千年的悠久历史文化，形成了中华民族优良的道德传统。现代的思想道德是在批判继承的基础上对历史上思想道德的推陈出新、与时俱进，是继承优良传统与弘扬时代精神的有机结合，是继承与创新的统一。维护信息安全，国家公民也发挥着不可或缺的重要作用，所以公民应该具备良好的道德素质。其中的正义，包含“见利思义”、“见得思义”、“见义勇为”等思想，具有坚持人格尊严、实现个人价值的意义；孝慈，古今都视孝慈为仁、义的根本，一个人如果不能对自己的父母尽“孝”，也绝对不可能对国家尽“忠”；诚信，“人无信不立，政无信不威”，诚在于仁，信近乎义；知耻，即“不从枉”、“羞为非”的善恶之心，要求人们做事要守仁行义，谨言慎行，辨之荣辱。爱祖国、爱人民、爱劳动、爱科学、爱社会主义，是被中国社会公开承认的起码的道德规则、规范。在社会主义建设环境中，我们应加强以为人民服务为中心的公民道德建设，提倡为人民服务的精神，提倡尊重人、理解人、关心人，发扬社会主义人道主义精神，热爱人民，热心公益，扶贫帮困，为人民多做好事，反对和抵制拜金主义、享乐主义和极端个人主义。同时，还要把外在规范制度的落实与内在道德素质的境界的提高结合起来。

三、安全管理层面

    1．安全管理措施。

    (1)内部专员管理。确保内部专门人员进行电子信息档案的管理。第一，电子信息档案应有专门的管理团队。同时，应明确相关人员职责，相互制约监督。第二，培养档案信息人才。学习以现代信息技术为重点的高科技知识，定期对档案工作人员进行技术培训，进行技术扫盲，掌握新的信息技术并把新技术有效应用到电子信息档案管理工作当中，成为新型、复合型人才。第三，接触国家和单位秘密信息的人员必须经过人事档案管理部门的审查，以确定能否录用。录用时还需确定可以接触到哪一类秘密信息，对已录用的人员还要定期进行在职考察。

    (2)特设工作地点。要有专门进行电子信息档案管理的工作地点，不得与其他工作地点混合使用，如有需要，应在物理环境上进行有效的选择设计。如进行电子档案管理的计算机房不应选在交通繁忙和人多拥挤的闹市，要远离使馆或其它外国驻华机构的所在地，要便于警卫和巡逻，要与外部人员频繁出入的场所隔离，机房周围应有围墙或栅栏等防止非法进入的设施，建筑物周围应有足够照明度的照明设施，无人值守的地方应设置报警设备，机房内部设计应有利于出入控制和分区控制等。

    (3)划分保密等级。正确划分保密信息，对不同密级的电子信息应采取不同的管理方式。首先应按照法律法规和其他有关规章的规定确定哪些可以公开，哪些应该保密。确定信息上网的范围，对不可公开的秘密信息应采取多种技术措施以确保其安全保密性。

    2．安全保密技术。安全保密技术是安全保密工作的一项重要内容和重要手段，是信息安全保密的根本保障，在构建保密体系的过程中，技术占据重要的位置。具体来讲，在技术层次的安全保密工作主要从以下几个方面人手：

    (1)信息数据本身安全保密。信息层次的安全保密问题主要利用加密技术。加密是通过对信息的重新组合，使得只有收发双方才能解码还原信息。数据加密技术可以分为单密钥加密、双密钥加密。单密钥即对称型加密。使用单个密钥对数据进行加密或解密，其特点是计算量小、加密效率高。但是此类算法在分布式系统上使用较为困难，主要是密钥管理困难，从而使用成本较高，保密性能也不易保证。双密钥即不对称型加密。也称公用密钥算法，其特点是有两个密钥(即公用密钥和私有密钥)，只有两者搭配使用才能完成加密和解密的全过程。由于不对称算法拥有两个密钥，特别适用于分布式系统中的数据加密，在互联网中得到广泛应用。其中，公用密钥在网上公布，为数据对数据加密使用，而用于解密的相应私有密钥则由数据的接收方妥善保管。

    (2)防止电磁辐射泄漏。防止电磁辐射泄露主要采取的技术方法有：①干扰技术。使用相关干扰器发出能自动跟踪计算机电磁辐射信号的相关干扰信号，使电磁辐射信号被扰乱或将电磁辐射信号掩盖，起到加密效果，使接收方接收到电磁辐射信号也无法解调出信号所携带的真实信息。这种方法经济、方便，适用于处理较低密级信息的系统。②屏蔽技术。使用导电性能良好的金属网或金属板造成六个面的屏蔽室或屏蔽笼，将产生电磁辐射的计算机设备包围起来，并且良好地抑制和阻挡电磁波在空中传播。由于屏蔽室造价相当高，因而较为适用于一些保密等级要求较高、较重要的大型计算机设备放置的场合，如国家情报机构的计算中心等。③专网技术。专网技术就是将一些重要的或涉密程度高的有线传输设备使用专用线路连接的技术，这是一种对付搭线窃听、防止串音泄密较为有效的技术。在专网技术中，采用地下电缆或光纤电缆可较好地实现安全保密。尤其是光纤电缆，根本上不存在电磁辐射问题，也很难进行搭线接收。因此，在安全保密要求较高的系统传输中，应尽可能地采用光缆传输的方式。

    3．网络层次技术保障。网络层次的技术保障主要是采用网络分段、建立访问控制系统，进行网络安全检测、审计跟踪。①网络分段。网络分段是将非法用户与网络资源相互隔离，从而达到限制用户非法访问的目的。网络分段可分为物理分段和逻辑分段两种方式：物理分段通常是指将网络从物理层和数据链路层上分为若干网段，各网段相互之间无法进行直接通讯；逻辑分段则是指将整个系统在网络层上进行分段。②内外网隔离。对于涉密程度较高的信息系统建设，可在本单位内部局域网基础上再建独立存在的核心网。涉密信息集中在核心网上，只有领导和涉密较多的处室才能上核心网，核心网与单位局域网完全物理分开，两网之间由一台有双网卡的微机进行数据有条件交换。对外统一由局域网网络中心负责连接，这样的网络结构可有效地防止核心网被非法入侵而造成泄密。③访问控制系统。采取入网访问控制、网络权限控制等方式，以保证网络资源不被非法使用和非法访问。入网访问控制，控制能够登录到服务器并获取网络资源的用户，同时也控制准许用户入网的时间和准许他们从哪台工作站入网。网络权限控制是针对网络非法操作提出的一种安全保护措施，用户和用户组被赋予一定的权限，具体可利用身份鉴别技术，包括口令验证、通行证验证和人类特征验证等。④网络安全监测。网络安全监测，是利用网络安全检测工具，扫描分析网络系统，检查报告系统存在的弱点和漏洞，建议补救措施和安全策略，达到增强网络安全性的目的。⑤审计跟踪。审计跟踪是一种事后追查手段，它对涉及计算机系统安全保密的操作进行完整的记录，以便事后能有效地追查事件发生的用户、时间、地点和过程。审计是记录用户使用计算机网络系统进行所有活动的过程；跟踪是对发现的侵犯行为实时监控，掌握有力证据，及时阻断攻击的行动。这是提高系统安全保密性的重要工作。对涉密程度高的系统，系统日志应该能够自动检测并记录侵犯系统安全保密的事件，并能够及时自动告警。

    总之，档案保密工作是一项涉及国家安全利益的重要工作，而网络环境下涉密档案的保密工作尚面临着一系列的问题。我们通过分析涉密档案的内容、网络环境下容易泄密的工作环节以及采取哪些技术管理措施来对档案进行保密管理等问题，以便对网络环境下的涉密档案的保密工作有进一步的了解，进而应对未来新挑战。 

核心关注：拓步ERP系统平台是覆盖了众多的业务领域、行业应用，蕴涵了丰富的ERP管理思想，集成了ERP软件业务管理理念，功能涉及供应链、成本、制造、CRM、HR等众多业务领域的管理，全面涵盖了企业关注ERP管理系统的核心领域，是众多中小企业信息化建设首选的ERP管理软件信赖品牌。

转载请注明出处：拓步ERP资讯网http://www.toberp.com/

本文标题：网络环境下涉秘档案安全保密体系的构建

本文网址：http://www.toberp.com/html/consultation/1083952558.html