干部人事档案数字化系统风险规避分析
来源:用户上传
作者:
【摘要】2017年各省(市、区)组织部门出台了干部人事档案数字化相关要求;2018年各机关、企事业单位纷纷实现干部人事档案数字化,搭建数字系统平台,建立干部人事档案数据库,为下一步实现人事档案数字化做好充分准备。
【关键词】干部人事档案;数字化;风险;规避分析
干部人事档案是组织人事处有关部门,按照党的路线方针政策,在党的组织建设、干部管理、人才服务等工作中形成的反映个人政治思想、品德诚信、成长经历、业务能力、工作实绩、勤政廉政等情况的历史记录,也是党政机关人事部门的基础业务工作。随着网络技术的不断发展,人事档案必然要适应“数字化生存”的要求,纸质档案逐步数字化,对档案信息加以现代化管理、使用和传播。
一、干部人事档案数字化的系统风险
干部人事档案数字化系统为保护档案原件、改善档案利用等提供便利的同时,也成为安全威胁的首要目标,网络安全面临着前所未有的威胁。威胁主要包括“物理威胁”和“人为威胁”两方面。
(一)物理威胁。主要是自然灾害、物理损坏(如硬盘损坏、设备使用寿命等)、设备故障等。应对此类威胁,我们可以依靠“干部人事档案数字化”软件对物理基础设施的保障,同时系统备份、数据备份是减轻物理威胁造成的损失、保障系统可用性的有效措施。
(二)对于系统安全更大、更常见的威胁是“人为威胁”。
“人为威胁”所表现的形式为攻击行为,包括被动攻击、主动攻击、邻近攻击、内部人员攻击等,现分别阐述如下:1.被动攻击。被动攻击是通过监视组织工作信息系统中网络上进行的信息传送,从中得到某些敏感信息。常用的被动攻击手段包括:解密加密不善的通信数据、口令嗅探、通信流量分析等。2.主动攻击。主动攻击指攻击者企图避开或打破安全防护、引入恶意代码以及破坏数据或系统的完整性等行为。常见的主动攻击手段包括:修改传输中的数据、重放、会话拦截、伪装成授权的用户或者服务器、获取系统应用和操作系统软件、利用主机或者网络信任、利用数据执行、插入或者利用恶意代码、利用协议或者基础设施的漏洞、拒绝服务等。3.邻近攻击。邻近攻击指未授权者利用网络安全措施不良的情况下,在地理上接近网络环境、系统或硬件设备,对信息进行修改、收集或恶意破坏。常见的攻击方式包括:修改数据或者收集信息、系统干涉、物理破坏等。4.内部人员攻击。内部人员是指两种人员(被授权在信息安全系统范围内的人员或者是对信息安全系统具有直接访问权的人员)恶意的和非恶意的,实施了信息系统的“攻击”行为,对系统造成损失。内部人员攻击分为恶意和非恶意两种,恶意攻击是指出于各种目的而对所使用的信息系统实施的攻击。常见的恶意攻击主要有:修改网页数据或者安全机制、建立未授权网络连接、建立隐通道、物理损坏或破坏等。非恶意“攻击”则是由于合法用户的无意行为造成了對政务信息系统的攻击,他们由于误操作、经验不足、培训不足而导致一些特殊的行为,对系统造成了不同程度的损坏。非恶意攻击主要有:修改数据、物理损害或破坏等。
二、面对安全威胁所应采取的办法
组织人事部门及档案管理员,要根据这些可能会被攻击的因素,积极采取相应的措施,对症下药,采取有效的办法:
(一)统一授权。统一授权系统将针对所有登录系统人员,实现各个应用系统统一的授权在线验权,确保适当的人员享受相应的权限,杜绝越权操作。从功能角度,统一授权系统要负责收集所有部门权限信息及办公资源信息,根据进行权限、资源分类从而录入并配置权限、资源数据库,并根据办公业务需求进行业务角色定制,并给角色分配相应的资源及权限,建立管理员制度,包括系统管理员和业务域管理员,根据管理需要进行分组,并给组分配相应的资源及权限。系统为权限管理员提供了权限管理界面,使得管理员能够对参与的管理者进行相应的授权以及权限的管理工作。另一方面,统一授权系统要在认证服务系统进行身份验证的前提下,确定他们对各个业务系统和其他信息资源的访问和存取权限。
(二)访问控制。身份认证是对客户访问系统功能的安全性限制手段,用户在访问系统时,需要进行身份认证,认证成功后才能访问系统的功能,认证不通过将不能访问。系统为每个访问系统的用户提供访问账号,用户在拥有访问账号的前提下才能访问系统。用户访问账号由系统管理员管理,系统可自动生成初始口令(密码),用户可在自助界面上自行设置口令或更新口令。
(三)数据访问安全。数据访问安全是对存储的用户数据进行用户访问的安全限制,避免数据直接开放给终端客户。数据库采用严密的安全措施,以保证数据库的访问安全性和存储安全性。数据库管理员应采用数据库管理系统提供的安全手段保证数据库安全。
(四)数据传输安全。由于系统绝大多数的操作都是通过浏览器完成的,因此网络传输的安全对保证系统的安全具有重要的意义。
(五)数据备份恢复。一般在生产本地的备份目的主要有两个:一是生产系统的业务数据由于系统或人为误操作造成损坏或丢失后,可及时在生产本地实现数据的恢复;另一个目的是在发生地域性灾难(地震、火灾、机器毁坏等)时,可及时在本地或异地实现数据及整个系统的灾难恢复。
【参考文献】
[1]金波,丁华东编著.电子文件管理学[M].上海大学出版社.
[2]安小米,王淑珍著.城市建设文件档案信息集成管理服务研究[M].中国建筑工业出版社.
转载注明来源:https://www.xzbu.com/3/view-15056119.htm
