‘壹’ 请问信息安全的5大特征是什么
1.完整性
指信息在传输、交换、存储和处理过程保持非修改、非破坏和非丢失的特性,即保持信息原样性,使信息能正确生成、存储、传输,这是最基本的安全特征。
2.保密性
指信息按给定要求不泄漏给非授权的个人、实体或过程,或提供其利用的特性,即杜绝有用信息泄漏给非授权个人或实体,强调有用信息只被授权对象使用的特征。
3.可用性
指网络信息可被授权实体正确访问,并按要求能正常使用或在非正常情况下能恢复使用的特征,即在系统运行时能正确存取所需信息,当系统遭受攻击或破坏时,能迅速恢复并能投入使用。可用性是衡量网络信息系统面向用户的一种安全性能。
4.不可否认性
指通信双方在信息交互过程中,确信参与者本身,以及参与者所提供的信息的真实同一性,即所有参与者都不可能否认或抵赖本人的真实身份,以及提供信息的原样性和完成的操作与承诺。
5.可控性
指对流通在网络系统中的信息传播及具体内容能够实现有效控制的特性,即网络系统中的任何信息要在一定传输范围和存放空间内可控。除了采用常规的传播站点和传播内容监控这种形式外,最典型的如密码的托管政策,当加密算法交由第三方管理时,必须严格按规定可控执行。
‘贰’ 如何确保电子档案信息的安全
第一,必须不断强化各级领导、有关人员乃至全体人员的网络安全意识。要充分认识到电子档案、电子网络、“云存储”等的高危性,意识到现存网络安全设施的局限性、脆弱性、不可靠性,意识到网络攻击、网络窃密的经常性、激烈性、技术先进性、人员复杂性等。无论是采用新的管理办法也好,还是采用新的技术手段也好,始终不忘把“安全”放在首位,用“安全”去拷问、去衡量其是否能用,把“安全”放到“一票否决”的决定性、首要性位置上,永远绷紧“安全”这根弦。
第二,必须充分利用现有安全设施,严格防范外来攻击。现有安全设施,尽管门槛不高,但也是门槛;尽管不能拦住全部侵入,但也能拦住部分侵入。所以,对现有网络安全设施,还是要充分利用,百分之百地发挥它的功能,严格地防范外来攻击,而不能弃置不用或表面上用而实际上不用,自废武功,完全不设防,听凭任何人随意攻击。
第三,要不断用最先进的技术和手段改进、升级现有网络安全设施,不断提高安全防护等级,不断增强安全防护效能。在网络技术方面,“矛”和“盾”的较量将是长期的、无止境的。再坚固的“盾”,也只能防昨日之“矛”,而不能防今日之“矛”,更不能防明日之“矛”。今日之“矛”再厉害,明日之“盾”也能防护它。我们的一切档案网络防护设施,都是针对过去的网络攻击技术设计的,都会很快过时,被今天和明天更新的网络攻击技术所攻破。所以,采用任何高级的网络防护设施,我们都不能希望其能“毕其功于一役”“一劳永逸”,因为信息技术发展日新月异,网络攻防领域的竞争异常激烈,甲方刚在防的方面推出新手段,乙方又在攻的方面推出新产品,能轻松破解甲方之前的新手段。各级档案部门要想有效防止各种网络攻击,必须经常采用新的防护技术,不断升级自己的网络防护设施,不断提高自己的网络安全等级、安全系数和安全效能,使自己的设施常用常新、长期有效。
第四,要善于“以拙制巧”,使用原始的、笨拙的办法,有效防护和破解日益升级的高级网络攻击,使自己立于不败之地。什么措施最能从根本上保证电子档案安全,我们就采取什么措施,不管这种措施是原始的还是现代的,是笨拙的还是智能的。例如:我们可以吸取好多绝密级文件在用计算机处理的过程中被敌人远程窃取的教训,对绝密级文件一律不用计算机处理;我们可以吸取好多纸质文件在数字化过程中被人窃取的教训,对绝密或机密级纸质文件不进行数字化;我们可以吸取好多电子文件生成后或被篡改调包,或被删除消失的教训,把重要的电子文件及时异质存储,保全其信息,保证其信息的绝对安全,等等。诸如此类,不一而足。这些办法,虽然土,不洋,但有效;虽然原始,不现代,但好使;虽然笨拙,不智能,但管用。而且更重要的是,它还简单,不复杂,能确保电子档案的信息安全。
第五,对新的档案存储载体、档案处理和传输技术等,为确保安全,要慎重使用。新的信息存储载体和处理、传输技术,往往首先考虑的是便利而不是安全,而档案存储载体和档案传输、处理技术,首先需要考虑的则是安全而不是便利,如果不安全,则越便利的东西,用后造成的危害会越大。因此,在应用信息新技术方面,档案部门的方针应该是:稳妥积极。也就是:以稳妥安全为第一考量, 在此前提下,才能积极应用。档案部门最好不要急于或率先应用那些未经检验的各种新载体和新的处理、传输技术,而要在其他部门应用后经过检验、证明比较安全了,再加应用。走别人走过的路,把后悔留给别人,把安全留给自己。因为档案部门“输不起”,一出事,就可能出大事,所以不能当新信息技术的“小白鼠”,做新信息技术的试验品。上面那条消息中所说的“云盘信息”消失或被“调包”的用户,如果是档案馆,那会给国家造成多大的损失、给档案部门造成多大的信誉损害呀!又会有多少人成为这一安全事故的牺牲品呀!
所以,档案部门在采用新的信息技术之前,一定要把安全问题放在首位加以考虑,对它用“安全”问题再三加以拷问,对它的安全效能再三进行测试,并要与提供方签订协议,由对方为安全后果负全责、买全单,把双方都绑在安全“囚车”上,放在安全“利剑”下,让双方谁都不敢松懈,从而确保档案安全。