网络安全的目标是实现对网络系统和操作过程的有效管理和控制。任何网络安全管理策略必须是建立在技术、组织和制度三者之上的。以下从网络安全规划原则、网络安全管理基本原则和网络安全管理制度三个层面就数字档案馆的网络安全管理策略问题逐步展开论述。
(一)数字档案馆网络安全规划原则
1,一体系化设计原则:
要通过分析数字档案馆信息网络的层次关系,提出科学的安全体系和框架,再根据安全体系分析存在的各种安全风险,从而最大限度地解决可能存在的安全风险。
2,全局性、综合性设计原则
数字档案馆的计算机网络包括计算机和网络设备、系统和应用软件、数据库和档案从业人员等多个环节,好的网络安全措施往往是多个环节综合配合的结果。只有运用系统工程的观点、方法分析网络的安全问题,才能从整体角度制定出切实可行的安全措施。
3,需求、风险、代价的平衡分析原则:
网络的绝对安全是不可能实现的,网络安全是相对的。制定数字档案馆网络系统安全策略,首先要对可能面临的档案馆网络威胁和可能承担的网络风险进行定性与定量相结合的分析,然后才能确定相应的规范和措施。另外,档案馆内被保护数据信息的价值和保护这些信息的成本必须达到一定程度的平衡。例如,购买三十万元的设备和技术去保护三千元的数据信息,显然是不合适的。
4,一致性原则:
制定数字档案馆网络安全体系结构必须与网络安全的需求相一致,网络安全问题与整个网络的生命周期应该是共生共存的。数字档案馆要避免网络建好后再考虑网络安全对策问题,正确的方法是在网络建设之初就考虑网络安全对策,以节省费用。
5,多重保护原则:
数字档案馆的网络安全不能依靠单一的安全措施,多重保护、相互配合,是保护信息的安全的必须选择。选用安全产品时,要考虑使用可扩展性强的网络安全解决方案。
6,易操作性原则:
数字档案馆网络安全措施要在不影响安全系统正常运行的前提下,追求操作的简易性,这直接影响到网络通信平台的畅通。因为各种措施的落实都是由档案馆工作人员来完成的,操作复杂就会降低安全性。
7,适应性、灵活性原则:
数字档案馆网络安全措施要考虑网络升级、性能优化以及安全需求的变化,所以要灵活性强、容易修改。
(二)网络安全管理的基本原则
本着网络安全规划原则,数字档案馆可以制定相应的网络安全管理原则。以下原则可供参考:
1,多人负责原则:任何事关档案馆网络安全的活动与操作都要有两人或多人同时在场,从业者要有很好的业务素质和很强的责任心。
2,职权分离原则:数字档案馆的其它工作人员不宜询问、了解或参加与网络安全相关的工作。
3,任期有限原则:不宜安排某个特定的专业人员长期负责档案馆的网络安全工作,任期要有期限。
4,分离与制约原则:
这包括:①内部人员与外部人员分离;②用户与开发人员分离;③用户机与开发机分离;④权限分级管理
5,有限授权原则:对于不同职位和从事不同业务的人员,赋予的权限是不同的。
6,预防为主原则:对于数字档案馆保存的数字信息安全问题,预防工作永远是第一位的。
7,可审计、跟踪原则:审计是记录档案馆工作人员和档案用户使用计算机网络系统进行所有活动的过程;跟踪是对发现的侵犯行为实时监控。对应预防为主的原则,审计跟踪是一种事后追查手段,它可以有效追查事件发生的用户、时间、地点和过程。数字档案馆系统管理员应该定期审查系统日志。
(三)数字档案馆网络安全管理制度
数字档案馆信息系统的安全管理负责人应根据安全管理原则制订相应的管理制度或规范,这有助于增加网络系统的安全性,其优点主要表现在:
1,能及时发现档案馆的系统安全漏洞;
2,可以对档案馆的系统安全体系进行审查;
3,可以加强档案馆从业人员的安全教育;
4,有利于建立完善的系统管理制度。
一般情况下,网络安全管理制度主要涉及十个方面的内容,即:机构与人员安全管理、系统运行环境安全管理、硬设施安全管理、软设施安全管理、网络安全管理、数据安全管理、技术文档安全管理、应用系统运营安全管理、操作安全管理、应用系统开发安全管理。
具体到数字档案馆方面,网络安全管理制度的内容应主要包括:
1,档案馆要根据已确定的网络安全等级,确定安全管理的范围。
2,要制订相应的档案馆网络服务器房间出入管理制度,对馆内安全等级较高的系统,要实行分区控制,限制馆内无关人员随意出入。
3,要制订严格的网络安全操作规程,实行职责分离。
4,要制订完备的网络安全系统维护制度。需要维护时,要经主管领导批准,有安全管理人员在场。要详细记录系统的故障原因和维护内容。
5,要制订应急预案,以保证意外发生时系统能尽快恢复,减小损失。
6,要制订馆内从业人员的奖惩制度,对工作调动和离职人员要及时调整相应的授权。
