近年來,局領導高度重視檔案信息安全工作,採取有力措施,進一步規範了數字檔案館務平台建設,落實了工作制度,強化了工作流程管理,檔案信息安全工作日趨規範化、標準化、科學化。按照局領導要求,我處室於9月下旬對全局檔案信息安全工作情況進行了全面自查。現將自查情況報告如下。
一、自查情況
1、數字化外包情況。我局從2009年開展檔案數字化工作,從今年起每年保障30萬數字化資金投入,通過政府向社會購買服務的方式,與江蘇力鼎公司簽訂數字化項目合同。最近一期的數字化項目合同期為今年-今年,在組織實施上,通過競爭性談判選擇江蘇省檔案局推薦的數字化加工企業,並對數字化聘用人員進行嚴格的資格審查,確定無犯罪記錄且非外籍人員,才與其簽訂崗位責任保密書,以明確相應責任;在數字化場所管理上,劃定獨立的掃描加工區域,並配備防盜、視頻監控設施設備,場所基本符合防塵、防火、防有害生物等安全管理要求,場所管理規範;在數字化規範上,我局嚴格遵守江蘇省檔案局數字化的地方標準《檔案數字化轉換操作規程db32》,移交的數據經驗收有效、可讀,無木馬病毒,數據質量符合相應規範標準,檔案實體出入庫有齊全的交接手續,操作流程規範達標;在數字化設備管理上,網絡與外界物理隔離,並且嚴禁工作人員攜帶手機、照相機、攝像機等具備攝像、無線功能的設備和各類移動存儲介質進入數字化加工場所,目前未發現數據丟失和泄密事故。
2、網站運行情況。鹽城檔案信息網建於2007年,網站採用租用虛擬主機的方式,由鹽城市通聯網絡公司設計開發網頁、負責伺服器及相關軟硬體的維護,我處室負責網站的內容維護和數據維護工作。對於網站的信息發布,我局嚴格遵守「上網信息不涉密,涉密信息不上網」的原則,按照「采、編、審、發」的信息發布流程,由辦公室匯總編輯各業務處室和各縣(市、區)檔案局上報的信息,經房局長審批後,交由技術保護處發布在網站的相應欄目內,信息發布流程操作規範;對於網絡諮詢提問,各相關處室(一般涉及到業務指導處、管理處)按分工視具體問題認真及時給予答覆,由技術保護處統一在網絡上回復,回復網絡諮詢提問及時到位;對於網站數據備份,網站後台每天進行自動備份,我處室每月1號再通過手動備份的方式將網站數據實行異機備份,網站數據相對安全。
3、數字檔案館平台運行情況。鹽城市數字檔案館平台自今年9月上線以來,一直重視相應的安全體系建設,伺服器和磁碟陣列採用了磁碟冗餘技術,避免了因為單點物理損壞導致的數據丟失;伺服器還安裝了正版網絡殺毒軟體並配備了硬體防火牆,有效保障了平台的穩定運行。數據管理方面,對已形成的各種電子數據,目錄資料庫由批處理程序控制每天自動在線備份,全文資料庫採取手動異機和離線備份的方式,所有資料庫數據又使用移動硬碟和光碟各手動備份了一套。同時,每兩年開展一次與省館捆綁異地備份工作,將館內存量數據和增量數據一起打包異地備份到湖南省檔案館,有效確保了數據完整性和可用性。
4、網絡管理。市檔案局內部已建成區域網、連入電子政務網、接入網際網路,數字檔案館平台運行在單位區域網內,電子政務網主要運行的是政府收發文系統和局的財務系統,網際網路上建有單位的網站,已實現「三網」的嚴格物理隔離,為檔案信息化建設構建了網絡支撐體系。
5、安全管理制度。結合工作實際情況,在機房管理上我們制定了《計算機信息系統安全管理暫行辦法》、《檔案綜合應用系統用戶帳戶管理制度》和《計算機網絡安全管理制度》等制度;在數字化加工管理上制定了《鹽城市檔案數字化工作安全保密管理辦法》,這些工作制度在檔案信息化管理中發揮了較好的作用。
二、目前存在的問題
1、網站運行中的問題。在檢查過程中,發現「業務諮詢」版塊存在安全漏洞,有用戶惡意重複提交空問題(問題編號為「763-1093」),嚴重破壞了檔案部門與群眾溝通的橋樑;通過滲透性測試安全評估方式發現,網站還存在sql注入風險,可能會導致網站所有用戶的信息被竊取,使攻擊者獲取整個伺服器的權限。
2、網絡管理中的問題。目前我單位政務網內運行的系統缺少相應的安全設備,已配備的ups(uninterruptible power system,不間斷電源系統)設備、硬體防火牆等設備相對陳舊,不能滿足日趨繁重的網絡安全管理需要。
3、制度管理中的問題。檔案信息化管理中的制度有些相對滯後,不符合現在的發展形勢;新增的機房門禁系統等設備,在人員管理、工作流程等方面沒有建立起配套的管理制度。
三、整改措施及下一步工作建議
1、改進網站建設工作。對於目前發現的網站安全漏洞問題,首先要堅持問題導向積極整改,聯繫網站服務商鹽城市通聯網絡公司採取相應安全措施,針對網站「業務諮詢」版塊的安全漏洞,增加網絡提問驗證機制,防止惡意重複提交;針對sql注入安全漏洞,進行轉義處理或編碼轉換屏蔽出錯信息。其次是加強網站定期進行安全檢查和數據備份,堅持關口前移,加強日常防範,徹查各種安全隱患及根源做到堵塞漏洞,防患未然。再次是建議進一步優化網站版面和欄目設計,使網站主頁更加簡潔大方,對網站現有數據進行整合、優化,通過技術手段進一步提高我局網站頁面打開速度,使網站發揮檔案、服務、教育、在線交流的重要作用,為群眾提供更優質的檔案信息服務。
2、強化安全技術保障。在信息化快速發展的背景下,我們需要主動適應,積極推動檔案安全防範體系的建設和升級,結合下一步建設集中式虛擬檔案室和電子文件中心等工作的需要,建議增加一批設備設施:政務網核心交換機1台、入侵檢測系統1台,網絡安全審計1台,硬體防火牆1台,漏洞掃描1台,殺毒軟體1套,伺服器2台,磁碟陣列1台,kvm系統1台,ups不間斷電源系統1台,更換恆溫恆濕系統以及大樓安保視頻監控系統。
3、健全安全管理制度。檔案安全制度供給不足是檔案安全體系建設亟需重點解決的問題。在這次自查過程中列出制度清單,進一步明確工作職責,根據實際工作,健全安全管理制度,確保覆蓋無死角,對不適應新形勢新要求的檔案安全制度,抓緊修訂完善;對不符合現實要求的及時予以廢止,切實增強制度的操作性和執行力。
4、建立應急響應機制。檔案信息安全應急響應機制是處理或管理突發性公共事件的重要內容和組成部分,是為預防和應對各種自然或人為突發性公共事件引起的數據丟失或泄密而專門設計建立的一套完整的緊急狀態處理程序,以最大限度地降低突發性公共事件所引起的數據丟失,建議下一步探索建立並完善檔案安全工作(既包含檔案實體安全也包括檔案信息安全)應急機制的可行途徑,保證突發事故應急處置工作有序進行。
5、加強安全教育培訓。通過安全主題教育、專題培訓、法規學習、模擬演練等方式,提高全館人員的安全意識和安全防範技能;技術保護處加強對最新檔案信息安全技術基礎理論和關鍵方法的研究攻關,以提高應對新技術的能力和水平;另外加強檔案信息安全文化教育,通過單位的展廳普及信息安全知識,引導大家把安全操作的規範外化為自覺行為,在全局上下營造檔案安全輿論氛圍,築牢全員安全思想防線。
6、建立安全追責機制。安全追責機制的建立是信息安全體系建設的重要手段,落實全程追責,建立責任清單和移交清單制度,建立健全從信息數據形成、管理、備份等各環節全過程的檔案安全責任追究機制,加強對安全事故的事前問責和事故發生後的責任追究,以安全追責機制的建立倒逼安全體系的完善,應用法治思維探索依法治檔新途徑。
一、自查情況
1、數字化外包情況。我局從2009年開展檔案數字化工作,從今年起每年保障30萬數字化資金投入,通過政府向社會購買服務的方式,與江蘇力鼎公司簽訂數字化項目合同。最近一期的數字化項目合同期為今年-今年,在組織實施上,通過競爭性談判選擇江蘇省檔案局推薦的數字化加工企業,並對數字化聘用人員進行嚴格的資格審查,確定無犯罪記錄且非外籍人員,才與其簽訂崗位責任保密書,以明確相應責任;在數字化場所管理上,劃定獨立的掃描加工區域,並配備防盜、視頻監控設施設備,場所基本符合防塵、防火、防有害生物等安全管理要求,場所管理規範;在數字化規範上,我局嚴格遵守江蘇省檔案局數字化的地方標準《檔案數字化轉換操作規程db32》,移交的數據經驗收有效、可讀,無木馬病毒,數據質量符合相應規範標準,檔案實體出入庫有齊全的交接手續,操作流程規範達標;在數字化設備管理上,網絡與外界物理隔離,並且嚴禁工作人員攜帶手機、照相機、攝像機等具備攝像、無線功能的設備和各類移動存儲介質進入數字化加工場所,目前未發現數據丟失和泄密事故。
2、網站運行情況。鹽城檔案信息網建於2007年,網站採用租用虛擬主機的方式,由鹽城市通聯網絡公司設計開發網頁、負責伺服器及相關軟硬體的維護,我處室負責網站的內容維護和數據維護工作。對於網站的信息發布,我局嚴格遵守「上網信息不涉密,涉密信息不上網」的原則,按照「采、編、審、發」的信息發布流程,由辦公室匯總編輯各業務處室和各縣(市、區)檔案局上報的信息,經房局長審批後,交由技術保護處發布在網站的相應欄目內,信息發布流程操作規範;對於網絡諮詢提問,各相關處室(一般涉及到業務指導處、管理處)按分工視具體問題認真及時給予答覆,由技術保護處統一在網絡上回復,回復網絡諮詢提問及時到位;對於網站數據備份,網站後台每天進行自動備份,我處室每月1號再通過手動備份的方式將網站數據實行異機備份,網站數據相對安全。
3、數字檔案館平台運行情況。鹽城市數字檔案館平台自今年9月上線以來,一直重視相應的安全體系建設,伺服器和磁碟陣列採用了磁碟冗餘技術,避免了因為單點物理損壞導致的數據丟失;伺服器還安裝了正版網絡殺毒軟體並配備了硬體防火牆,有效保障了平台的穩定運行。數據管理方面,對已形成的各種電子數據,目錄資料庫由批處理程序控制每天自動在線備份,全文資料庫採取手動異機和離線備份的方式,所有資料庫數據又使用移動硬碟和光碟各手動備份了一套。同時,每兩年開展一次與省館捆綁異地備份工作,將館內存量數據和增量數據一起打包異地備份到湖南省檔案館,有效確保了數據完整性和可用性。
4、網絡管理。市檔案局內部已建成區域網、連入電子政務網、接入網際網路,數字檔案館平台運行在單位區域網內,電子政務網主要運行的是政府收發文系統和局的財務系統,網際網路上建有單位的網站,已實現「三網」的嚴格物理隔離,為檔案信息化建設構建了網絡支撐體系。
5、安全管理制度。結合工作實際情況,在機房管理上我們制定了《計算機信息系統安全管理暫行辦法》、《檔案綜合應用系統用戶帳戶管理制度》和《計算機網絡安全管理制度》等制度;在數字化加工管理上制定了《鹽城市檔案數字化工作安全保密管理辦法》,這些工作制度在檔案信息化管理中發揮了較好的作用。
二、目前存在的問題
1、網站運行中的問題。在檢查過程中,發現「業務諮詢」版塊存在安全漏洞,有用戶惡意重複提交空問題(問題編號為「763-1093」),嚴重破壞了檔案部門與群眾溝通的橋樑;通過滲透性測試安全評估方式發現,網站還存在sql注入風險,可能會導致網站所有用戶的信息被竊取,使攻擊者獲取整個伺服器的權限。
2、網絡管理中的問題。目前我單位政務網內運行的系統缺少相應的安全設備,已配備的ups(uninterruptible power system,不間斷電源系統)設備、硬體防火牆等設備相對陳舊,不能滿足日趨繁重的網絡安全管理需要。
3、制度管理中的問題。檔案信息化管理中的制度有些相對滯後,不符合現在的發展形勢;新增的機房門禁系統等設備,在人員管理、工作流程等方面沒有建立起配套的管理制度。
三、整改措施及下一步工作建議
1、改進網站建設工作。對於目前發現的網站安全漏洞問題,首先要堅持問題導向積極整改,聯繫網站服務商鹽城市通聯網絡公司採取相應安全措施,針對網站「業務諮詢」版塊的安全漏洞,增加網絡提問驗證機制,防止惡意重複提交;針對sql注入安全漏洞,進行轉義處理或編碼轉換屏蔽出錯信息。其次是加強網站定期進行安全檢查和數據備份,堅持關口前移,加強日常防範,徹查各種安全隱患及根源做到堵塞漏洞,防患未然。再次是建議進一步優化網站版面和欄目設計,使網站主頁更加簡潔大方,對網站現有數據進行整合、優化,通過技術手段進一步提高我局網站頁面打開速度,使網站發揮檔案、服務、教育、在線交流的重要作用,為群眾提供更優質的檔案信息服務。
2、強化安全技術保障。在信息化快速發展的背景下,我們需要主動適應,積極推動檔案安全防範體系的建設和升級,結合下一步建設集中式虛擬檔案室和電子文件中心等工作的需要,建議增加一批設備設施:政務網核心交換機1台、入侵檢測系統1台,網絡安全審計1台,硬體防火牆1台,漏洞掃描1台,殺毒軟體1套,伺服器2台,磁碟陣列1台,kvm系統1台,ups不間斷電源系統1台,更換恆溫恆濕系統以及大樓安保視頻監控系統。
3、健全安全管理制度。檔案安全制度供給不足是檔案安全體系建設亟需重點解決的問題。在這次自查過程中列出制度清單,進一步明確工作職責,根據實際工作,健全安全管理制度,確保覆蓋無死角,對不適應新形勢新要求的檔案安全制度,抓緊修訂完善;對不符合現實要求的及時予以廢止,切實增強制度的操作性和執行力。
4、建立應急響應機制。檔案信息安全應急響應機制是處理或管理突發性公共事件的重要內容和組成部分,是為預防和應對各種自然或人為突發性公共事件引起的數據丟失或泄密而專門設計建立的一套完整的緊急狀態處理程序,以最大限度地降低突發性公共事件所引起的數據丟失,建議下一步探索建立並完善檔案安全工作(既包含檔案實體安全也包括檔案信息安全)應急機制的可行途徑,保證突發事故應急處置工作有序進行。
5、加強安全教育培訓。通過安全主題教育、專題培訓、法規學習、模擬演練等方式,提高全館人員的安全意識和安全防範技能;技術保護處加強對最新檔案信息安全技術基礎理論和關鍵方法的研究攻關,以提高應對新技術的能力和水平;另外加強檔案信息安全文化教育,通過單位的展廳普及信息安全知識,引導大家把安全操作的規範外化為自覺行為,在全局上下營造檔案安全輿論氛圍,築牢全員安全思想防線。
6、建立安全追責機制。安全追責機制的建立是信息安全體系建設的重要手段,落實全程追責,建立責任清單和移交清單制度,建立健全從信息數據形成、管理、備份等各環節全過程的檔案安全責任追究機制,加強對安全事故的事前問責和事故發生後的責任追究,以安全追責機制的建立倒逼安全體系的完善,應用法治思維探索依法治檔新途徑。