摘 要:在新時(shí)代數(shù)字化人事檔案管理的背景下,數(shù)字化人事檔案管理系統(tǒng)的信息安全顯得尤為重要,文章分析了當(dāng)前數(shù)字化人事檔案管理過(guò)程中信息安全方面存在的實(shí)際問(wèn)題,并有針對(duì)性地提出改進(jìn)策略。
關(guān)鍵詞:數(shù)字化;檔案;檔案管理;信息安全
中圖分類(lèi)號(hào):D0923 文獻(xiàn)標(biāo)識(shí)碼:A
數(shù)字化人事檔案管理將傳統(tǒng)的紙質(zhì)人事檔案轉(zhuǎn)化為數(shù)字化載體,并通過(guò)計(jì)算機(jī)和互聯(lián)網(wǎng)實(shí)施收集、存儲(chǔ)、管理、利用,是傳統(tǒng)的人事檔案的擴(kuò)展和延伸,不但改善了人事檔案庫(kù)房的空間利用效率,而且更加方便地為用戶(hù)提供查詢(xún)、查看、借閱等功能,并提高了人事檔案工作人員的工作效率。
由于網(wǎng)絡(luò)空間存在大量風(fēng)險(xiǎn)和安全隱患以及硬件設(shè)備設(shè)施容易受到外界環(huán)境干擾,所以數(shù)字化檔案管理的核心是安全。
本文從物理環(huán)境安全、通信網(wǎng)絡(luò)安全、區(qū)域邊界安全、計(jì)算環(huán)境安全、業(yè)務(wù)應(yīng)用安全、數(shù)據(jù)安全、員工賬號(hào)安全、人員使用安全幾個(gè)方面編制了相應(yīng)的調(diào)查問(wèn)卷,針對(duì)運(yùn)用數(shù)字化人事檔案管理系統(tǒng)的人員開(kāi)展調(diào)查。本次共發(fā)放問(wèn)卷239份,回收有效問(wèn)卷217份,用EXCEL建立數(shù)據(jù)庫(kù),用SPSS23.0統(tǒng)計(jì)軟件對(duì)調(diào)查數(shù)據(jù)實(shí)施整理匯總及統(tǒng)計(jì)分析。
一、數(shù)字化人事檔案管理的信息安全問(wèn)題
1.機(jī)房建設(shè)安全調(diào)查分析
根據(jù)調(diào)查得知,在物理環(huán)境安全方面,機(jī)房建設(shè)合理性得分為3.2171分,可見(jiàn)處于中等以上水平。得分最高的是機(jī)房?jī)?nèi)部的基礎(chǔ)設(shè)備設(shè)施,體現(xiàn)了當(dāng)前設(shè)備設(shè)施的完備程度。進(jìn)入機(jī)房需要嚴(yán)格審批,得分處于中等以上水平。員工對(duì)于機(jī)房的管理制度了解上得分最低。
2.云平臺(tái)通信鏈路調(diào)查分析
根據(jù)調(diào)查結(jié)果,在通信網(wǎng)絡(luò)安全方面,得分最高的是云平臺(tái)通信鏈路帶寬能夠滿(mǎn)足業(yè)務(wù)高峰期流量需求,然后是關(guān)鍵設(shè)備的業(yè)務(wù)處理能力滿(mǎn)足實(shí)際需要,其他兩個(gè)方面的得分也都在3.5分以上,由此體現(xiàn)了當(dāng)前在通信網(wǎng)絡(luò)安全方面相對(duì)較好。
3.網(wǎng)絡(luò)出口邊界安全調(diào)查分析
在區(qū)域邊界安全上,各方面的得分都相對(duì)較低,均在3分以下,從實(shí)際運(yùn)用角度來(lái)看,檢測(cè)網(wǎng)絡(luò)入侵行為的提示、異常流量情況報(bào)警提示、網(wǎng)絡(luò)攻擊行為報(bào)警提示幾個(gè)方面得分均較低,應(yīng)當(dāng)予以適當(dāng)?shù)膬?yōu)化與改進(jìn)。
4.環(huán)境內(nèi)部署防病毒調(diào)查分析
在計(jì)算環(huán)境安全上,從日常使用中的感知情況來(lái)看,各個(gè)方面的得分都在3分以上。防病毒系統(tǒng)能夠滿(mǎn)足需要方面得分最高,其次是計(jì)算環(huán)境方面的總體安全性,然后是在系統(tǒng)中安裝的防毒軟件的適用方面,可見(jiàn),當(dāng)前在計(jì)算環(huán)境安全方面相對(duì)較好。
5.權(quán)限身份調(diào)查分析
在業(yè)務(wù)應(yīng)用安全上,從得分的實(shí)際情況看,最高的是應(yīng)用系統(tǒng)的身份認(rèn)證機(jī)制方面,較為完善,然后是對(duì)系統(tǒng)的自身安全意識(shí)方面,得分在3分以上,最低的是訪問(wèn)超出權(quán)限范圍的資源,可見(jiàn)自身的安全意識(shí)還有待提升。
6.數(shù)據(jù)庫(kù)使用情況調(diào)查分析
在數(shù)據(jù)安全方面,得分最高為數(shù)據(jù)存儲(chǔ)過(guò)程中的風(fēng)險(xiǎn),得分為3.3222分,其次是在數(shù)據(jù)傳輸過(guò)程中被非法竊取或篡改的風(fēng)險(xiǎn),然后是數(shù)據(jù)訪問(wèn)與處理過(guò)程中被意外中斷的風(fēng)險(xiǎn),從得分情況來(lái)看,此方面處于中等水平。
7.賬號(hào)登錄調(diào)查分析
首先,在賬號(hào)密碼與默認(rèn)初始密碼不一致上,得分為3.2335分,體現(xiàn)出大部分人對(duì)默認(rèn)密碼做了修改,但也體現(xiàn)出部分人對(duì)密碼未實(shí)施修改。在賬號(hào)密碼的復(fù)雜程度與賬號(hào)密碼的定期更換上,這兩個(gè)方面的得分較低,可見(jiàn)員工在此方面的安全意識(shí)還有待提升,需要在系統(tǒng)的設(shè)計(jì)過(guò)程中,提升密碼管理強(qiáng)度,避免出現(xiàn)員工賬號(hào)安全問(wèn)題。
8.人員使用滿(mǎn)意度調(diào)查分析
在使用人員安全方面,訪問(wèn)控制系統(tǒng)的完善程度、用戶(hù)的權(quán)限設(shè)置、賬號(hào)管理更新程度三個(gè)方面得分相對(duì)較低,都在3分以下,可見(jiàn)在使用人員安全方面還有待進(jìn)一步的改進(jìn)與提升。
二、人事檔案管理系統(tǒng)信息安全設(shè)計(jì)的對(duì)策
數(shù)字化人事檔案管理系統(tǒng)安全建設(shè)體系總框架的設(shè)計(jì)不能忽視國(guó)家相關(guān)政策要求,所采用的技術(shù)手段和安全建設(shè)管理都必須符合相應(yīng)的國(guó)家標(biāo)準(zhǔn),并且涉及的安全能力符合業(yè)內(nèi)安全通用規(guī)范。應(yīng)針對(duì)數(shù)字化人事檔案管理系統(tǒng)特點(diǎn)建立安全技術(shù)體系和安全管理體系,構(gòu)建具備相應(yīng)等級(jí)安全保護(hù)能力的網(wǎng)絡(luò)安全綜合防御體系。
1.物理環(huán)境安全防護(hù)建議
根據(jù)調(diào)查可知,物理環(huán)境安全總體符合要求,但當(dāng)前在物理環(huán)境安全方面也存在一定不足。一方面,機(jī)房未采取電磁屏蔽措施;另一方面,未對(duì)關(guān)鍵設(shè)備設(shè)施和磁介質(zhì)實(shí)施電磁屏蔽,可能造成敏感信息被泄露的問(wèn)題。
系統(tǒng)物理環(huán)境規(guī)劃和建設(shè),應(yīng)遵循以下整體安全策略:
(1)機(jī)房場(chǎng)地選擇、環(huán)境安全、布線(xiàn)施工需符合國(guó)家標(biāo)準(zhǔn),保證物理環(huán)境安全。
(2)通過(guò)訪問(wèn)控制,保證關(guān)鍵應(yīng)用系統(tǒng)的服務(wù)器、網(wǎng)絡(luò)設(shè)備自身的安全性。
(3)建立人員訪問(wèn)控制機(jī)制,嚴(yán)控人員出入機(jī)房和其他重要安全區(qū)域,訪問(wèn)控制機(jī)制具備審計(jì)功能,便于檢查和分析。
(4)由安全管理員或機(jī)房管理員全程陪同工作人員進(jìn)入機(jī)房。
(5)機(jī)房?jī)?nèi)部必須安裝電子門(mén)禁系統(tǒng)、消防滅火系統(tǒng)、溫濕度控制系統(tǒng)等基礎(chǔ)防護(hù)系統(tǒng)和防雷、電磁屏蔽等設(shè)備設(shè)施。
(6)建立設(shè)備安全管理、介質(zhì)安全管理等計(jì)算機(jī)機(jī)房管理制度。
(7)定期檢查機(jī)房各項(xiàng)安全措施及安全管理制度實(shí)施狀況。
2.通信網(wǎng)絡(luò)安全防護(hù)對(duì)策
通信網(wǎng)絡(luò)安全方面,通過(guò)在云平臺(tái)網(wǎng)絡(luò)邊界安裝防火墻、WAF、動(dòng)態(tài)感知平臺(tái)等安全防護(hù)設(shè)備設(shè)施,可以滿(mǎn)足云客戶(hù)的安全通信要求。但仍存在一定的問(wèn)題,一是安全通信網(wǎng)絡(luò)無(wú)可信基或可信密碼模塊;二是安全通信網(wǎng)絡(luò)未使用基于硬件安全模塊支持下的可信計(jì)算平臺(tái)。
合理劃分網(wǎng)段,通過(guò)安全機(jī)制控制訪問(wèn)。采取技術(shù)措施,監(jiān)控網(wǎng)絡(luò)安全隱患。優(yōu)化系統(tǒng)配置彌補(bǔ)安全漏洞,打補(bǔ)丁消除安全隱患。
劃分為互聯(lián)網(wǎng)區(qū)和政務(wù)外網(wǎng)區(qū)。用10.0.X.X作為互聯(lián)網(wǎng)區(qū)業(yè)務(wù)地址,用172.16.X.X作為政務(wù)外網(wǎng)區(qū)業(yè)務(wù)地址,其他用作設(shè)備設(shè)施管理、監(jiān)控、網(wǎng)段各不相同,不互相重疊。
通過(guò)控制用戶(hù)入網(wǎng)權(quán)限、入網(wǎng)時(shí)間、入網(wǎng)方式、入網(wǎng)服務(wù)器、入網(wǎng)資源等訪問(wèn)控制為網(wǎng)絡(luò)訪問(wèn)提供第一層訪問(wèn)控制。賦予涉密系統(tǒng)的用戶(hù)和用戶(hù)組一定的權(quán)限,控制用戶(hù)和用戶(hù)組訪問(wèn)的目錄和資源執(zhí)行的操作。
在外層防火墻默認(rèn)不允許任何IP地址入網(wǎng)訪問(wèn)。當(dāng)業(yè)務(wù)系統(tǒng)有對(duì)外服務(wù)需求時(shí),以“最小化”原則開(kāi)放IP地址訪問(wèn)策略。對(duì)于用戶(hù)、用戶(hù)組訪問(wèn)資源,同理以“最小化”原則放開(kāi)。
為實(shí)現(xiàn)數(shù)據(jù)在網(wǎng)絡(luò)間傳輸過(guò)程中的機(jī)密性、完整性保護(hù),核心設(shè)計(jì)思想是以密碼技術(shù)為核心,對(duì)于有傳輸需求的業(yè)務(wù)應(yīng)用和管理,通過(guò)在網(wǎng)絡(luò)邊界部署VPN設(shè)備,從而在公共網(wǎng)絡(luò)平臺(tái)上構(gòu)建VPN虛擬通道,將傳輸?shù)臄?shù)據(jù)包實(shí)施加密,保護(hù)傳輸數(shù)據(jù)的機(jī)密性和完整性。
數(shù)字化人事檔案管理系統(tǒng)在電子政務(wù)外網(wǎng)采用HTTPS技術(shù),實(shí)現(xiàn)通信傳輸過(guò)程中的保密性和完整性保護(hù)。
3.區(qū)域邊界安全防護(hù)對(duì)策
區(qū)域邊界安全方面,總體滿(mǎn)足現(xiàn)實(shí)需求,但根據(jù)調(diào)查,從人員的實(shí)際運(yùn)用角度來(lái)看,檢測(cè)網(wǎng)絡(luò)入侵行為提示、異常流量情況報(bào)警提示、網(wǎng)絡(luò)攻擊行為報(bào)警提示幾個(gè)方面得分較低,應(yīng)當(dāng)予以適當(dāng)?shù)膬?yōu)化與改進(jìn)。
通過(guò)云平臺(tái)統(tǒng)一綜合安全網(wǎng)關(guān)設(shè)備,實(shí)施配置訪問(wèn)控制策略,數(shù)據(jù)僅可通過(guò)申請(qǐng)的端口實(shí)施通信,確??邕吔缭L問(wèn)和數(shù)據(jù)流通過(guò)受控接口實(shí)施通信。
檢測(cè)網(wǎng)絡(luò)入侵行為,對(duì)內(nèi)外部的網(wǎng)絡(luò)攻擊行為實(shí)施檢測(cè)、防止或限制。關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)部署入侵保護(hù)、入侵檢測(cè)、防惡意代碼等系統(tǒng),抗DDoS攻擊、抗APT攻擊、防病毒網(wǎng)關(guān)等設(shè)備設(shè)施。
安裝綜合安全審計(jì)系統(tǒng),審計(jì)用戶(hù)行為、網(wǎng)絡(luò)邊界、網(wǎng)絡(luò)節(jié)點(diǎn)和安全事件,并對(duì)審計(jì)記錄實(shí)施保護(hù)、備份,避免誤刪除、修改或覆蓋等。
4.計(jì)算環(huán)境安全防護(hù)對(duì)策
目前,在服務(wù)器和終端主要的安全問(wèn)題有兩方面,一是無(wú)可信基或可信密碼模塊,二是未使用基于硬件安全模塊支持下的可信計(jì)算平臺(tái)。
防病毒系統(tǒng)一般包含軟件網(wǎng)絡(luò)防病毒體系和硬件防病毒網(wǎng)關(guān)系統(tǒng),網(wǎng)絡(luò)防病毒體系一般由控制臺(tái)、系統(tǒng)中心、服務(wù)器端、客戶(hù)端等組成。每一個(gè)子系統(tǒng)均包括若干不同的模塊,除承擔(dān)各自的任務(wù)外,還與其他子系統(tǒng)協(xié)同工作,并與硬件病毒防護(hù)系統(tǒng)共同完成對(duì)整個(gè)網(wǎng)絡(luò)的病毒防護(hù)工作。
安裝防病毒軟件,在服務(wù)器和終端上查殺病毒、惡意腳本、木馬、蠕蟲(chóng)等惡意代碼,利用硬件的病毒過(guò)濾網(wǎng)關(guān)系統(tǒng)檢測(cè)并過(guò)濾網(wǎng)絡(luò)中的病毒,兩者互相結(jié)合,充分保證系統(tǒng)免遭來(lái)自病毒的惡意攻擊。
5.業(yè)務(wù)應(yīng)用安全防護(hù)對(duì)策
業(yè)務(wù)應(yīng)用安全方面,主要存在以下幾個(gè)方面的安全風(fēng)險(xiǎn):首先,用戶(hù)身份假冒;其次,用戶(hù)自身安全意識(shí)不強(qiáng);最后,非授權(quán)訪問(wèn)。
通過(guò)在主機(jī)部署具備準(zhǔn)入控制、補(bǔ)丁管理、介質(zhì)管理、非法外聯(lián)等功能的監(jiān)控與審計(jì)系統(tǒng),并增加風(fēng)險(xiǎn)管理和主動(dòng)防范機(jī)制,完善違規(guī)監(jiān)測(cè)和風(fēng)險(xiǎn)分析,有效防護(hù)和控制風(fēng)險(xiǎn)。
通過(guò)在終端部署安全管理系統(tǒng),實(shí)現(xiàn)一體化的終端接入管理、桌面安全監(jiān)管、行為監(jiān)管、系統(tǒng)監(jiān)管、非法外聯(lián)和非法內(nèi)聯(lián)監(jiān)控、補(bǔ)丁管理等。
定期對(duì)操作系統(tǒng)、平臺(tái)軟件、應(yīng)用軟件實(shí)施漏洞掃描,關(guān)閉不需要的服務(wù)。定期對(duì)業(yè)務(wù)系統(tǒng)實(shí)施漏洞修復(fù)、安裝安全補(bǔ)丁。
6.數(shù)據(jù)安全防護(hù)對(duì)策
數(shù)據(jù)安全方面,很多數(shù)據(jù)庫(kù)管理員并沒(méi)有及時(shí)修復(fù)漏洞。
對(duì)建檔立卡數(shù)據(jù)按照敏感程度實(shí)施分級(jí)分類(lèi),采用不同的加密方式,平衡保密要求及性能要求。依據(jù)市場(chǎng)數(shù)據(jù)安全防護(hù)成熟的方案與體系,加強(qiáng)數(shù)據(jù)安全防護(hù)措施,包括數(shù)據(jù)加密存儲(chǔ)、數(shù)據(jù)庫(kù)審計(jì)、數(shù)據(jù)防泄露、數(shù)據(jù)訪問(wèn)控制、數(shù)據(jù)簽名及水印等,確保數(shù)據(jù)的使用安全。
監(jiān)控?cái)?shù)據(jù)權(quán)限變化。讓管理員實(shí)時(shí)了解數(shù)據(jù)資產(chǎn)的權(quán)限變化,可以按照用戶(hù)維度、對(duì)象維度對(duì)數(shù)據(jù)庫(kù)的權(quán)限實(shí)施分析整理,并能夠?qū)Ρ炔煌喆螔呙柚g權(quán)限的變化情況。實(shí)時(shí)查看,展現(xiàn)數(shù)據(jù)庫(kù)實(shí)時(shí)的安全視圖;定期掃描,反映當(dāng)前安全狀況相對(duì)于基線(xiàn)的變化,并可以查看詳細(xì)的變化狀況。
根據(jù)數(shù)據(jù)分類(lèi)分級(jí)咨詢(xún)服務(wù)的成果,全面識(shí)別數(shù)據(jù),根據(jù)相關(guān)標(biāo)準(zhǔn)或規(guī)定及業(yè)務(wù)要求實(shí)施數(shù)據(jù)的分類(lèi)分級(jí),建立數(shù)據(jù)資產(chǎn)分類(lèi)分級(jí)清單,根據(jù)數(shù)據(jù)不同類(lèi)別、級(jí)別,明確對(duì)應(yīng)的安全防護(hù)措施。
7.員工賬號(hào)安全防護(hù)對(duì)策
根據(jù)調(diào)查,在賬號(hào)密碼的復(fù)雜程度與賬號(hào)密碼的定期更換這兩個(gè)方面的得分較低,可見(jiàn)在此方面的安全意識(shí)還有待提升。
為提高應(yīng)用系統(tǒng)安全性,應(yīng)用系統(tǒng)需要實(shí)施一系列的加固措施,包括對(duì)登錄用戶(hù)實(shí)施身份標(biāo)識(shí)和鑒別,且保證用戶(hù)名的唯一性。根據(jù)基本要求配置用戶(hù)名/口令,必須具備一定的復(fù)雜度;口令必須具備采用 3 種以上字符、長(zhǎng)度不少于 8 位并定期更換;啟用登錄失敗處理功能,登錄失敗后采取結(jié)束會(huì)話(huà)、限制非法登錄次數(shù)和自動(dòng)退出等措施;應(yīng)用系統(tǒng)如具備上述功能則需要開(kāi)啟使用,若不具備則需實(shí)施相應(yīng)的功能開(kāi)發(fā),且使用效果要達(dá)到以上要求。
8.人員使用安全防護(hù)對(duì)策
根據(jù)調(diào)查,訪問(wèn)控制系統(tǒng)的完善程度、用戶(hù)的權(quán)限設(shè)置、賬號(hào)管理更新程度三個(gè)方面得分相對(duì)較低,可見(jiàn)在使用人員安全方面還有待進(jìn)一步改進(jìn)與提升。
首先,啟用完善的訪問(wèn)控制功能。制定嚴(yán)格的訪問(wèn)控制安全策略,根據(jù)策略控制用戶(hù)對(duì)應(yīng)用系統(tǒng)的訪問(wèn),特別是文件操作、數(shù)據(jù)庫(kù)訪問(wèn)等,控制粒度主體為用戶(hù)級(jí)、客體為文件或數(shù)據(jù)庫(kù)表級(jí)。
其次,權(quán)限控制。訪問(wèn)控制規(guī)則需覆蓋資源訪問(wèn)主體、客體及相互間的操作。對(duì)于不同的用戶(hù)授權(quán)原則是實(shí)施能夠完成工作的最小化授權(quán),避免授權(quán)范圍過(guò)大,并在他們之間形成相互制約的關(guān)系。
最后,賬號(hào)管理。嚴(yán)格限制默認(rèn)賬戶(hù)的訪問(wèn)權(quán)限,重命名默認(rèn)賬戶(hù),修改默認(rèn)口令;及時(shí)刪除多余、過(guò)期的賬戶(hù),避免共享賬戶(hù)的存在。訪問(wèn)控制的實(shí)現(xiàn)主要采取安全操作系統(tǒng)且使用效果需達(dá)到以上要求。
三、結(jié)束語(yǔ)
數(shù)字化人事檔案信息安全研究設(shè)計(jì)是基于信息化系統(tǒng)的安全防護(hù),將已有的信息化業(yè)務(wù)系統(tǒng)再實(shí)施重新防護(hù)措施的研究,進(jìn)而起到更好的防護(hù)作用,做到數(shù)據(jù)不流失、業(yè)務(wù)系統(tǒng)健康、平穩(wěn)運(yùn)行。
參考文獻(xiàn):
[1]信息安全體系方案[EB/OL].[2024-03-19].
[2]XXX單位網(wǎng)絡(luò)安全工作總體方針和安全策略[EB/OL].[2024-03-19].
[3]于 雷.基于等級(jí)保護(hù)的網(wǎng)絡(luò)安全技術(shù)的應(yīng)用研究[J].電腦知識(shí)和技術(shù),2014,10(19):4433-4435.
[4]第六章b訪問(wèn)b控制技術(shù)課程中心[EB/OL].[2024-03-19].
[5]謝振云,申 偉.信息安全策略研究[J].山西電子技術(shù),2018,(1):88-90.
[6]山西師范大學(xué)校園網(wǎng)(三期工程)解決方案[EB/OL].[2024-03-19].
[7]李 巖,石 磊.航空氣象服務(wù)網(wǎng)基于等保2.0的網(wǎng)絡(luò)安全技術(shù)體系建設(shè)探討[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2022(11):93-94.
[8]XXXX等級(jí)保護(hù)三級(jí)建設(shè)規(guī)劃方案[EB/OL].[2024-03-19].
[9]陸健健.網(wǎng)絡(luò)時(shí)代的中國(guó)信息安全問(wèn)題研究[D].南京:南京大學(xué),2017:山西電子技術(shù),2018,(1):105-106.
作者單位:1.浙江省社會(huì)科學(xué)院;
2.北京神州綠盟科技有限公司;
3.杭州電子科技大學(xué)