关于数字档案应用的安全问题的几点看法

2009-06-22 05:02刘胜利赵铁良
活力 2009年8期
关键词:防火墙数字用户

刘胜利 赵铁良

[摘 要]本文作者对数字档案的安全问题提出几点看法。一、数字档案网络应用的安全问题。二、网络基础环境的安全技术方案。三、档案管理信息系统的安全方案。四、设备故障的安全防范。

[关键词]数字档案;安全

一、数字档案网络应用的安全问题

数字档案的产生、移交、归档、管理和利用都是基于互联网、专用网和局域网环境下进行。在数字档案的归档、管理和服务利用等过程中,档案数据的安全问题往往表现在多个层面。

1.网络级安全。根据需要采用适当的防火墙设备及网络管理软件来确保局域网的内外用户的访问权限和网络上数据包的检测与过滤;选用可靠的硬件安全设备保证整个系统的稳定运行,如双机热备份、磁盘阵列等设备的采用来保证一台服务器出现故障而不会导致整个系统的瘫痪问题等等。网络级安全策略是整个系统得以安全运行的基本保障,这是需要在系统规划阶段严格把关的重要内容之一。

2.数据级安全。操作系统和数据库管理系统的安全问题虽说主要是取决于软件供应商所开发的商品化软件的稳定性和安全的保障问题,但对于建立网络化档案管理信息系统,首要考虑的是靠近什么样的操作系统来确保应用系统的安装和运行,目前主流的操作系统有Unix?摇Windows和Linix,他们各自有其优越性,安全问题也各有特点,关键是如何选择满足用户实际需求的操作系统和数据库管理系统。当然考虑档案无数据的存放规则和保管策略也是本阶段非常重要的问题之一,如数据库的分布式或集中式存放模式、数据的异地备份、电子数据格式的定期升级和保存介质的更换等,需要一定的保管制度来约束。这些都是在系统设计和具体实现的过程中需要要综合考虑的关键因素,也是档案应用系统能够安全运行的根本保障。

3.应用级安全。一般情况下,档案管理信息系统的用户模型分多个层次、多个角色、多种功能或多种形式混合使用,来分别定义用户权限。系统常常按功能划分为系统管理、数据操作和数据浏览等3大类用户;每类用户角色的定义可以按照各业务职能的实际需求,对其操作权限和操作功能进行定义,如单位领导、部门领导、普通业务员等。但不论采用哪种用户模型,要求应用级的安全至少包括两项功能,一是对系统中各个功能模块的操作权限的定义,另一个是以系统数据的分层管理和操作权限的定义。比如,两个不同的用户可以操作同一个功能模块,但所能看到的数据只能是本用户所在单位的数据,而不应看到另一个用户所在单位的数据,这是网络版档案管理信息系统的基本操作需求;再如上级领导能够看到下级人员所操作的数据,而下级人员则无权看到上级领导权限范围内的数据。

二、网络基础环境的安全技术方案

网络基础环境的安全建设是防止系统外部非法用户和不安全数据包侵犯的主要措施,常常采取的主要方法是物理隔离、应用防火墙以及身份证等安全技术。防火墙技术是实现内外网的隔离与访问控制的最基本、最流行、最经济的、也是很有效的措施之一,这里以防火墙为例来讨论数字档案的网络基础环境的安全解决方案。

1.防火墙安全解决方案。防火墙是多个网络之间的安全隔离网,其基本原理是设置安全策略,控制出入网络的数据包,它本身具有较强的抗攻击能力,可以实现以下几种安全功能:一是限制未被授权的用户进入内部网络,过滤掉不安全的数据包;二是防止入侵者接近本系統的防御设施;三是限定内部网络用户访问特殊站点;四是为监视Internet安全提供方便。

2.网络安全管理的人文策略。硬件设备和网络管理软件是保证网络安全运行的基本手段,同样加强网络的安全管理,采取科学有序的管理策略也是非常重要的人为因素,往往诸多的不安全因素恰恰反映在组织管理和防范不当等方面,因此致必须引起足够的重视。系统管理采用双人负责制和任期有限的基本原则,防止人员流动或缺岗造成损失,避免职位垄断或由于时间过长滥用职权。安全级别确定应根据工作的重要程度来确定,根据确定的安全等级,确定安全管理的范围。

制定的机房管理制度:对于安全等级要求较高的系统,要实行分区控制,限制工作人员出入与已无关的区域。出入管理可采用证件识别或安装自动识别登记如门禁系统,采用磁卡、身份卡等手段,对人员进行识别、登记管理。

制定严格的操作规程:操作规程要根据职责分离和多人负责的原则,各负其责,不能超越自己的管辖范围。

制定完备的系统维护制度,如数据保护,数据备份等工作计划。重要数据维护时要首先经主管部门批准,并有安全管理人员在场,随时将出现故障的原因、维护内容和维护前后的情况要详细记录。

制定应急措施,保证紧急情况下,如何尽快恢复的应急措施,使损失减至最小。建立人员雇用和解聘制度,对工作调动和离职人员要及时调整相应的授权。

三、档案管理信息系统的安全方案

数字档案信息的录入和维护主要依靠管理信息系统所提供的各项功能来完成,由于用户角色的不同,权限的差异,要求应用系统能够提供一套完整的用户安全管理策略,以保证档案信息的完整性和安全性。档案管理信息系统的安全管理主要体现在三个方面。一是要采用成熟先进的计算机应用系统运行结构;二是对系统用户按照工作需要进行角色和等级的区分;三是对档案数据的安全管理级别如保密、开放等状态按照档案法规定和实施细则进行多级安全管理,以区别不同类型用户的访问。

1.应用系统的体系结构。三层Browser/Server体系结构有着多层数据安全机制、日常维护工作量小、对客户端的运行环境要求也比较低、客户端物理位置可以灵活设置等诸多优点,因此采用三层B/S的系统结构无疑是一个先进且明智的选择。安全防护措施有三级,即防火墙安全措施、应用系统的身份认证安全措施以及数据库管理系统的安全模型。

2.应用系统用户权限管理:系统用户权限的管理和角色分配与档案管理的业务功能、操作流程、档案数据的管理层次密切相关。一般情况下用户分三大类,即管理级用户、业务级用户和浏览级用户。无论是哪一类用户,他在访问系统的过程中主要是通过严格的身份认证技术来保证系统的安全性。

四、设备故障的安全防范

网络和计算机设备等硬件系统出现故障造成的危害也是非常大的。往往将数据完全丢失或者系统无法保持原有的有续的存贮状态。这就要求系统在设计之初应充分考虑到系统的安全应急措施、数据的异地备份等硬备份管理策略。当发生计算机设备故障时,是以保护数据为主要目的的还是兼顾数据和运行系统的二者的安全,各单位可以根据自己的工作需要和资金分配情况进行选择。

□(编辑/李舶)

猜你喜欢
防火墙数字用户
您拨打的用户已恋爱,请稍后再哭
基于用户和电路的攻击识别方法
答数字
信用卡资深用户
数字看G20
成双成对
数字变变变
浅谈防火墙
防火墙选购必读
新手设置Windows Vista自带防火墙