档案信息安全保障体系建设课件

1、档案信息安全保障体系建设,1,第八章 档案信息安全保障体系建设,第一节 档案信息安全的涵义 第二节 档案信息安全涉及的要素 第三节 档案信息安全的基本策略 第四节 威胁档案信息安全的主要因素 第五节 档案信息安全保障体系的构建,档案信息安全保障体系建设,2,1. 信息安全的涵义 “为数据处理系统建立和采取的技术和管理的安全保护，保护计算机硬件、软件和数据不因偶然和恶意的原因而遭到破坏、更改和显露”。 国际标准化组织(ISO) “计算机信息系统的安全保护，应当保障计算机及其相关的和配套的设备、设施（含网络）的安全，运行环境的安全，保障信息的安全，保障计算机功能的正常发挥，以维护计算机信息系统的安

2、全运行”。 中华人民共和国计算机信息系统安全保护条例,第1节 档案信息安全的涵义,档案信息安全保障体系建设,3,从逻辑上： 从动态过程上,第1节 档案信息安全的涵义,信息安全,硬件安全,软件安全,数据安全,信息安全,实体安全,运行安全,通信安全,存储安全,20世纪80年代后基于网络的信息安全，除了要求保证信息的保密性、完整性和可用性以外，还要求保证信息的可控性、抗抵赖性等,档案信息安全保障体系建设,4,2. 档案信息安全概念 构建动态的档案信息安全保障体系，确保档案信息的真实性、完整性、保密性、可用性、可控性和抗抵赖性,第1节 档案信息安全的涵义,真实性 完整性 有效性 保密性 可控性 抗抵赖

3、性,是指对电子文件的内容、结构和背景信息进行鉴定后，确认其与形成时的原始状况一致,档案信息安全保障体系建设,5,2. 档案信息安全概念 构建动态的档案信息安全保障体系，确保档案信息的真实性、完整性、保密性、可用性、可控性和抗抵赖性,第1节 档案信息安全的涵义,真实性 完整性 有效性 保密性 可控性 抗抵赖性,1)电子文件个体的完整：电子文件的各项要素完备不缺，能够完整、准确地再现其最初内容。 (2)电子文件整体的完整:围绕某项职能活动所形成的所有电子文件的数量齐全、关系清晰，相互之间按照原生次序有机联系为一体，能够完整地再现该项社会活动的总体面貌和全部过程,档案信息安全保障体系建设,6,2.

4、档案信息安全概念 构建动态的档案信息安全保障体系，确保档案信息的真实性、完整性、保密性、可用性、可控性和抗抵赖性,第1节 档案信息安全的涵义,真实性 完整性 有效性 保密性 可控性 抗抵赖性,电子文件具备可理解性和可被利用性，包括信息的可识别性、存储系统的可靠性、载体的完好性和兼容性等,档案信息安全保障体系建设,7,2. 档案信息安全概念 构建动态的档案信息安全保障体系，确保档案信息的真实性、完整性、保密性、可用性、可控性和抗抵赖性,第1节 档案信息安全的涵义,真实性 完整性 有效性 保密性 可控性 抗抵赖性,涉密档案在存储和利用过程中只为合理授权的用户所利用，而不泄密给非授权的用户,档案信息

5、安全保障体系建设,8,2. 档案信息安全概念 构建动态的档案信息安全保障体系，确保档案信息的真实性、完整性、保密性、可用性、可控性和抗抵赖性,第1节 档案信息安全的涵义,真实性 完整性 有效性 保密性 可控性 抗抵赖性,档案信息始终处于受控状态，对其流转过程进行严格的前端控制和过程追踪，以确保访问档案信息的主体、内容、方式和过程的合理性,档案信息安全保障体系建设,9,2. 档案信息安全概念 构建动态的档案信息安全保障体系，确保档案信息的真实性、完整性、保密性、可用性、可控性和抗抵赖性,第1节 档案信息安全的涵义,真实性 完整性 有效性 保密性 可控性 抗抵赖性,档案信息的流转过程中，确保参与者

6、身份及其交互行为的真实性和不可否认性，所有参与信息流转过程的人员均无法隐匿或抵赖曾经发送的档案信息或曾经接收过档案信息，从而使档案信息的发送和利用行为具有可信度,档案信息安全保障体系建设,10,硬件 软件 档案数据 人员 物理环境 人文环境,第2节 档案信息安全涉及的要素,档案信息安全保障体系建设,11,第3节 档案信息安全的基本策略,构筑立体化的安全保障体系 根据 “木桶原理”，档案信息的安全水平将由档案信息安全所有环节中最薄弱的环节决定,档案信息安全保障体系建设,12,第3节 档案信息安全的基本策略,构筑立体化的安全保障体系 技术与管理并重,档案信息安全保障体系,安全法规标准,安全管理体系

7、,安全技术手段,档案信息安全保障体系建设,13,第3节 档案信息安全的基本策略,主动防御 分级防护 长治久安 立足国内 采用最新技术 重视内部安全,只有事前分析各种安全风险，采取全面防范、主动防御的办法建立起预警、保护、检测、反应、恢复的闭环反馈，主动发现和及时消除安全隐患，才能有效保障档案信息的安全，将各种安全危险“拒之门外,档案信息安全保障体系建设,14,第3节 档案信息安全的基本策略,主动防御 分级防护 长治久安 立足国内 采用最新技术 重视内部安全,对档案信息安全性能的要求不是无限度的，必须以风险系数为依据，确定适宜的安全等级，设计相应的安全体系 美国国防部可信计算机系统评价准则将计算

8、机系统及其产品的安全可信程度划分为D、C1、C2、B1、B2、B3和A1七个层次 我国国家标准则将计算机信息系统的安全保护能力设定为：用户自主保护级、系统审计保护级、安全标记保护级、机构化保护级、访问验证保护级五个安全保护等级,档案信息安全保障体系建设,15,第3节 档案信息安全的基本策略,主动防御 分级防护 长治久安 立足国内 采用最新技术 重视内部安全,档案信息安全体系的构建过程可遵循PDCA（Plan-Do-Check-Act）模式,档案信息安全保障体系建设,16,第3节 档案信息安全的基本策略,主动防御 分级防护 长治久安 立足国内 采用最新技术 重视内部安全,档案信息系统的设计和信息

9、安全产品的应用应尽可能采用国有技术，实现安全产品的国产化,档案信息安全保障体系建设,17,第3节 档案信息安全的基本策略,主动防御 分级防护 长治久安 立足国内 采用最新技术 重视内部安全,在构筑档案信息安全保障体系时，必须采用最先进的防护技术（不一定是最高档的措施,档案信息安全保障体系建设,18,第3节 档案信息安全的基本策略,主动防御 分级防护 长治久安 立足国内 采用最新技术 重视内部安全,在构筑档案信息安全保障体系时，必须采用最先进的防护技术（不一定是最高档的措施,档案信息安全保障体系建设,19,第4节 威胁档案信息安全的主要因素,档案信息的安全受到众多因素的威胁。 根据安全威胁的来源： 内源威胁（源于单位内部的各种威胁因素） 外源威胁（如外来黑客对系统资源的非法占有） 根据安全威胁的对象： 对数据的安全威胁 对硬件设备的安全威胁 对软件系统的安全威胁,档案信息安全保障体系建设,20,第4节 威胁档案信息安全的主要因素,根据安全威胁的性质： 人为威胁 自然威胁 根据安全威胁的发生的层面： 来自物理层的威胁 来自操作系统层的威胁 来自应用平台层的威胁 来自档案应用软件系统层的威胁,档案信息安全保障体系建设,21,第4节 威胁档案信息安全的主要因素,归结起来，对档案信息安全构成威胁的主要因素有： 载体损害 设备故障或破坏 操作失误 程序缺陷 病毒 窃听与篡改 黑客攻击 技