48信息安全论文

福建中医药大学人文与管理学院《信息安全》期末论文浅谈电子档案信息安全管理——电子档案信息安全评价指标体系的构建作者：向若君学院：人文与管理学院专业：信息管理与信息系统（医学信息方向）年级：2014级学号：3140707004指导教师：黄敏讲师日期：2017.05.16目录摘要.....................................................IAbstract.................................................II1课题研究现状...........................................11.1信息安全风险评估现状...............................11.2电子档案信息安全管理现状...........................12电子档案信息安全评价指标体系的建立原则.................23电子档案信息安全评价指标体系的组成.....................33.1物理安全评价指标...................................33.2管理安全评价指标...................................43.3网络安全评价指标...................................53.4信息安全评价指标...................................53.5系统安全评价指标...................................74电子档案信息安全评价指标体系权重的确定.................74.1权的定义...........................................74.2权重确定方法的理论基础.............................84.3确定权的方法.......................................95电子档案信息安全综合评价方法..........................165.1综合评价方法介绍..................................166总结..................................................17参考文献................................................18I摘要随着科学技术的迅猛发展和信息技术的广泛应用，国家和社会对信息化的依赖程度越来越大，各单位出现了愈来愈多的电子档案。如何保障这些电子档案信息的安全问题，已成为摆在我们面前的严峻问题。本文在分析影响电子档案信息安全的风险因素的基础上，选取物理安全、管理安全、网络安全、信息安全、系统安全五个一级指标和二十个二级指标作为电子档案信息安全的影响因子，建立了电子档案信息安全评价指标体系。关键词：电子档案安全评价层次分析法IIAbstractWiththerapiddevelopmentofscienceandtechnologyandwidespreadapplicationofinformationtechnology,nationandsocietyisbecomingincreasinglydependentoninformationsectors.Moreandmorefiles,documentsareproducedandexisteddigitally.Duetotheirspecialty,howtokeepthesedigitalarchivesafely,andmaintaintheiraccessibilityisachallenge.Basedonanalyzingthemainfactorsthatthreatthesafetyofdigitalarchive,thispapersetsupfivefirstlevelindexes,suchasphysicalsecurity,managementsafety,networksecurity,informationsecurityandsystemsecurity,correspondingtoeachfirstlevelindexandsetsupsecondindex,thenconstructsevaluationsystemfordigitalarchiveinformationsecurity.KeyWords:DigitalArchiveSecurityEvaluationAnalyticHierarchyProcess第1页1课题研究现状1.1信息安全风险评估现状信息安全风险评估（以下简称“风险评估”）就是从风险管理角度，运用科学的方法和手段，系统地分析网络与信息系统所面临的威胁及其存在的脆弱性，评估安全事件一旦发生可能对组织造成的危害程度，提出有针对性的抵御威胁的防护对策和整改措施。并为防范和化解信息安全风险，或者将风险控制在可接受的水平，从而为最大限度地保障网络和信息系统安全提供科学依据[1]。风险评估是建设信息安全保障体系过程中的重要的评价方法和决策机制。1.2电子档案信息安全管理现状尽管我国已提出了建设档案信息安全保障体系的目标，但现实状况是仍处于初步探索阶段，与国内外信息安全保障的要求还存在差距，主要表现在如下几个方面。（1）偏重安全技术档案信息安全保障体系的建设，应包括安全技术、安全管理和安全法规标准等。然而，长期以来人们对档案信息安全采取的手段偏重于依靠技术，从早期的加密技术、数据备份、防病毒到近期网络环境下的防火墙、入侵检测、身份认证等等[2]。（2）缺失评估体系目前，我国档案信息安全保障体系的建设处于各自为政阶段，一方面尚未明确档案信息安全保障体系的构成和安全目标，更没有将基于等级保护制度下的档案信息安全风险评估提到议事日程上来。（3）缺少适度保护意识信息安全保护的原则之一是提倡适度保护。档案信息价值越高，档案信息所面临的威胁风险就越大，档案信息安全问题就越突出，反之亦然[3]。（4）缺少信息安全保护的持续性档案信息系统安全保护在系统初建阶段一般是会考虑的，但随着软硬件设施第2页升级调整、网络环境变化、系统数据量的增大、信息安全管理人员变更和信息安全要求调整等，都将影响到档案信息的安全状况发生变化。2电子档案信息安全评价指标体系的建立原则建立的安全评价指标体系是否合理和科学，关系到能否发挥评价的作用和功能，即关系到能否通过评价来提高电子档案信息安全水平。电子档案信息安全评价指标体系是由若干单项评价指标组成的整体，建立评价指标体系是系统评价的关键，指标体系要实际、完整、合理和科学，尽可能全面反应档案信息系统安全的所有因素。所以，在建立电子档案信息安全评价指标体系的过程中，应注意体现以下基本原则：（1）科学性科学能揭示事物发展的规律，作为人们改造世界的指南。建立电子档案信息安全指标体系，也必须反映实际以及事物的本质，反映影响电子档案信息安全状况的主要因素[4]。（2）层次性和全面性评价指标体系应力求全面反映评价对象的安全水平，否则评价就会失效，给决策带来误导[5]。（3）定性与定量评价的结合性评价指标体系的设计应当满足定性与定量相结合的原则，即在定性分析的基础上，还要进行量化处理。（4）独立性在综合评价时，需要对各指标赋予不同的分数和权数以便进行加权求和，因此，各指标之间的独立性就十分重要。而包含一个方面因素的指标可能有若干个，所以只能从中选取最有代表性的指标，以免造成概念上的重复或对各项指标赋予权数的相互干涉，造成综合评价结果的失真[6]。（5）可操作性评价指标应该简单、明确、使用方便，要考虑到指标的量化及数据获得的难易程度和可靠性，尽量选取那些表征性强的、实用的、便于统计和量化的参数作第3页为指标。（6）动态性与稳定性相结合评价指标体系内容不宜频繁变动，在一定时期内应保持相对的稳定性，这样有利于评价的连续可操作性和可比性；同时，指标体系也不是一成不变的，应随着社会发展和技术进步而逐步调整[7]。3电子档案信息安全评价指标体系的组成电子档案信息安全是一门涉及档案学、计算机科学、网络技术、通信技术、密码技术、信息安全技术、信息论等多种学科的综合性学科。在现代化技术条件下，电子档案的安全主要是指计算机系统的硬件、软件及其系统中的数据受到保护，不受偶然的或者恶意的原因而遭到破坏、更改和泄露，系统连续正常地运行，网络服务不中断[8]。电子档案信息安全应具有以下4个方面的特征[6]：保密性、完整性、可用性、可控性。对电子档案信息安全现状进行评价是一个复杂的系统的评价，其涉及的内容较多，考虑的因素也比较广泛。实质上，是对电子档案信息系统在各种威胁下，是否具有足够的抗攻击能力的一种评价和测定[9]。由以上分析可知，电子档案信息系统是一个复杂的系统工程，既有硬件，又有软件，既有外部影响，又有内部因素。根据国内外的电子档案信息安全评估标准，国家对电子档案信息和网络信息系统安全性的基本要求，结合电子档案管理和网络管理经验，综合考虑影响电子档案信息安全的各种因素，建立电子档案信息安全评价指标体系[1]。该体系主要包括五大块的评价指标；物理安全评价指标；管理安全评价指标；网络安全评价指标；信息安全评价指标；系统安全评价指标[10]。3.1物理安全评价指标物理安全是指存储档案信息的库房、计算机设备及管理人员工作的场所内外的环境条件必须满足档案信息安全、计算机设备和管理人员的要求。物理安全包括媒体安全、设备安全和环境安全三方面，具体可以从以下几个方面来检查：第4页（1）库房周围环境（2）库房周围100m内有无危险建筑（3）有无监控系统（4）有无防火、防水措施（5）库房有无环境测控设施（温度、湿度和洁净度），如温湿度传感器（6）有无防雷措施（具有防雷装置，接地良好）（7）有无备用电源和自备发电机（8）是否使用UPS。UPS：（UninterruptiblePowerSystem），即不间断电源，是一种含有储能装置，以逆变器为主要组成部分的恒压恒频的不间断电源。主要用于给单台计算机、计算机网络系统或其它电力电子设备提供不间断的电力供应。（9）是否有防静电措施（采用防静电地板，设备接地良好）（10）是否保证持续供电（11）是否有防盗措施3.2管理安全评价指标安全管理在电子档案信息安全保障中起着规范和制约的作用，科学的管理理念加上严格的管理制度才能最终保证电子档案信息的安全。电子档案信息的管理安全评价指标具体包括如下内容：（1）专门的档案信息安全组织机构和专职的档案信息安全管理人员档案信息安全组织机构的成立与档案信息安全管理人员的任命必须有有关单位的正式文件。（2）规章制度①有无健全的电子档案信息安全管理的规章制度是否有健全的规章制度。②是否档案信息安全人员的配备，调离有严格的管理制度。③设备与数据管理制度是否完备设备实行包干管理负责制。④是否有登记建档制度[11]。⑤是否有完整的电子档案信息安全培训计划和培训制度。⑥各类人员的安全职责是否明确，能否胜任电子档案信息安全管理工作[6]。（3）是否有紧急事故处理预案第5页3.3网络安全评价指标越来越多的电子档案在网络上传输，而网络作为一种构建在开放性技术协议基础上的信息流通渠道，它的防卫能力和抗攻击性较弱。为了保证电子档案的安全必须保证其传输的媒介网络的安全，网络安全评价指标包括以下几方面[12]：（1）是否有计算机病毒防范措施众所周知，计算机病毒对生产的影响可以称得上是灾难性的。计算机病毒防范措施：备有病毒预防及消除的软、硬件产品，并能定期的升级。设置客户端级防护、邮件服务器级防护和应用服务器级防护。（2）是否有防黑客入侵设施防黑客入侵设施主要是设置防火墙和入侵检测等设施。防火墙有三种类型，包括过滤防火墙、代理型防火墙和状态监测型防火墙。（3）是否有访问控制措施访问控制