数据安全体系建设

前言：想要写出一篇令人眼前一亮的文章吗？我们特意为您整理了5篇数据安全体系建设范文，相信会为您的写作带来帮助，发现更多的写作思路和灵感。

数据安全体系建设范文第1篇

关键词：中间件；数据库；安全可控；集中专业化运维

一、背景及意义

随着信息科技的快速发展，银行所开展的各方面业务均以IT基础设施作为支撑。保障银行业务数据的完整性、安全性，保障业务系统的连续性、稳定性、可靠性，是IT系统运维的主要目标。如何充分整合利用各类软硬件资源，提高运维团队专业化水平，提高运维管理效率是目前银行IT运维的主要挑战。

（一）信息系统运维管理面临的挑战

我们已投产应用系统200余套。由于IT人员少，需借助外包人员从事具体运维工作，目前由70多家外包商，每家从2人到15人不等，分别负责不同应用系统，绝大部分是纵向独立运维。随着我们业务及IT系统快速发展，信息系统运维管理问题日渐凸显。

第一方面，管理复杂度高。系统多，队伍散，对统一的质量，统一流程控制难度大，规范难以落地。专业化程度受影响，每个队伍人员少，难以兼顾各方面。整个运维管理水平，风险控制能力依赖于每个队伍。每个人的短板决定了系统性风险。每个系统相对独立，难以保证跨系统、跨团队知识转移。对外包队伍依赖性高，外包管理难度大。

第二方面，资源利用受影响。数据库中间件等软硬件资源无法跨系统调度，交付时间长，资源管理标准化程度低，资源配置合理性不足，资源投入成本高。

第三方面，安全生产压力大。没有双活或多活架构，系统跨中心抗风险能力不足，给安全生产带来很大压力。

第四方面，银监会提出安全可控，是长治久安的战略举措。因非关键系统运维多、小、散、标准化程度低，导致保证安全可控实施难度大。

针对上述挑战，如果没有强大的运维体系，专业化队伍，自动化管理，信息系统风险将会很高。

（二）研究内容及目标

本课题立足实际，结合安全可控监管要求，以专业化、标准化为指导，从管理革新和技术改进两个层面，通过对人力和软硬件资源进行科学分类、集中整合，围绕应用系统、中间件和数据库多层次立体化综合设计，建成一套高效实用的运维体系，重点解决生产安全面临的突出问题与挑战，提高信息系统的整体抗风险能力。

二、集中专业化体系建设整体思路

通过虚拟化技术，结合数据库及中间件的云化高可用性、负载均衡和DNS技术实现主机虚拟化、数据库云化、中间件池化的技术架构体系；通过建设专业团队体系，实现应用集中化、接入智能化、运维专业化、监控统一化的管理体系。

整个体系通过数据库云、中间件资源池、集中专业化应用运维三个层面的资源整合、专业化建设实现。

集中数据库平台。通过利用全局DNS机制，结合负载均衡及数据库自身高可用技术，整合非关键系统数据库，提高服务器资源利用率，实现统一管理，降低数据库版本多样性，提高数据库服务高可用性和安全性水平。

中间件池化建设。建立基于虚拟机为基础的中间件资源池，实现中间件快速部署，统一配置，提高中间件部署工作效率，充分利用各类软硬件资源。

三、集中数据库建设方案

集中数据库平台应满足高可靠高可用服务要求，即业界公认的RAS标准。所采用的数据库软件在集群、管理、数据保护、资源利用方面要求具有先进性，有较长时间的技术支持。我们已有的数据库管理经验对集中数据库平台运行维护具有支持作用。集中数据库平台建设重点满足以下方面：

1、高可用性。集中数据库平台应能够满足较大的负载需求，提供高可用的数据处理和应用响应能力。可根据负载需求灵活扩展计算资源，提高系统容量和处理能力。调整资源过程简便，能有效缩短服务中断时间。

2、数据同步及数据安全。为保证数据安全性和操作管理风险可控，集中数据库平台应具备数据多冗余存储机制及同步机制，满足不同级别容灾需求。

3、快速切换。数据库集群内部及站点间应具有快速切换功能。

4、隔离机制及可审计性。应用与系统管理间具有分离机制、操作可审计机制。

5、数据备份及服务保障。集中数据库平台配套相应的备份及其他保障机制。

6、兼容性和弹性扩展。集中数据库平台通过较简单的部署配置方便的扩展并利用现有软硬件及人力资源，提供较高的性能价格比。从而以较低的成本、较少的人员投入来建设和维护系统。

7、风险可控。数据库集中运行采取逐步过渡原则，根据系统重要性和各自情况分别制定数据库部署方案。将需要集中部署的新系统数据库和现有系统数据库分期分批逐步融入集中运行平台。

（一）整体架构

通过整合服务器资源，对数据库进行“统一资源、统一管理、统一标准、统一监控”四“统一”管理，持续提升数据库运维工作的规范化和标准化水平，同时提高运维质量和资源利用率，降低成本。

以数据库容器及运行其上的数据库实例为核心，将备份、监控、审计、安全机制进行合理整合，通过数据库双活和同城容灾建设实现集中数据库平台安全性和高可用性。

（二）高可用性

应用访问数据库方式通常采用节点叠加的配置方式，给集群扩展及服务切换带来诸多不便。主要体现在横向扩展难度大、跨中心切换复杂度高、应用配置变更频繁、运维难度大。

为了实现高可用性，简化操作复杂度，减少数据库切换对应用系统带来的影响，集中数据库平台综合采用负载均衡、域名服务实现与应用系统连接透明化，即无需在应用层修改配置，只需要调整负载均衡分发策略即可实现数据库切换。

经全面测试验证，我们选用F5作为负载均衡实现产品。负载均衡与数据库集群的连接有F5简单分发、F5单路与集群负载、F5多路与集群负载三种配置方式。

（三）容灾实现

1、服务切换

引入负载均衡设备后，数据库切换操作大幅简化，且简单快速。在负载均衡器上均预先设置好主辅数据库两组配置信息，其中辅中心的数据库配置状态禁用。在数据库不可用而需要切换时，一键式将F5分发由主中心切换至辅中心，应用无需进行任何操作，且对应用透明。

为了实现F5跨中心透明切换，通过采用全局DNS机制，当一个中心的F5都发生故障时，辅中心的F5接管服务，同时DNS提供辅中心F5的域名解析。

2、数据同步

提供存储级数据同步和数据库级数据同步。各系统可根据自身特点选择主数据中心和容灾数据中心间数据同步方式。目前所采用的数据同步机制有存储复制（TC）、数据库复制（ADG）、存储复制与数据库复制结合（TC+ADG）、Oracle GoldenGate（OGG）四种。

3、备份策略

集中数据库平台按照每天全备策略进行数据备份。一个月的数据保留在虚拟带库，超过1个月的数据保留在磁带库。恢复验证按照系统等级分每月一次，两月一次，每季度一次三类。

4、技术选择

鉴于Oracle数据库是我们的主流数据库，通过对11g和12c的对比测试，12c具有更为先进的云化技术优势，因此采用Oracle12c实施集中数据库平台建设。

在数据同步、负载均衡、数据安全、资源分配、数据复制等方面分别采用业界主流产品ADG、F5、DV、PDB、TC进行实施。

四、中间件池化方案

中间件在扩展性、安全性、与应用耦合度、资源使用情况均与数据库有很大不同。通过建立统一的中间件资源池，实现中间件部署自动化、服务定制化、配置标准化、架构统一化。中间件池通过最小资源单位进行分配，每个资源单位具有统一标准，可以灵活、快速的为用户部署所需的中间件集群。单个中间件节点具有高可用机制，可提供持续稳定服务。

（一）整体架构

通过虚拟化技术制定基础资源模板（包括操作系统、中间件平台和标准化参数配置），采用镜像技术进行资源初始化，同时实现WAS节点在服务器层面高可用性。在基础资源模板上通过配置完成中间件集群搭建。

在计算资源分配上，通过虚拟化技术实现资源分配自动化，可以为中间件提供高可用、可随时扩展的虚机资源。有效整合资源，简化管理流程。

（二）技术方案

1、池化内容。目前我们使用的中间件产品有WebSphere、WebLogic、Tomcat、MQ、Filenet、Cognos、Informatica和Tibco等多种。其中WAS中间件占59%，绝大多数部署工作以WAS为主。中间件池化建设工作从WAS池化开始，逐步酌情扩展至其他中间件产品。

基于我们现状及发展规划，搭建WAS三个主流版本的资源池。每个资源池包括WEB服务池、DM管理池、WAS服务池。

WAS资源池：WAS资源池用于部署应用程序，通过集群功能实现高可用，集群中节点数依据应用系统访问量和并发等指标设定。

DM资源池：DM资源池用于管理WAS集群和应用程序。

WEB资源池：WEB资源池用于特定系统的静态程序。

2、资源单位。最小资源单位。虚拟化环境为WAS池提供的虚拟机资源为2核CPU、8G内存、150G存储空间。每个虚拟机上部署1个WAS节点及一个服务实例。

集群资源单位。通过横向扩展WAS节点组成的集群满足较大的WAS资源需求。每个WAS集群最多由2或8个节点组成。

3、负载均衡机制。WAS节点间通过网络负载均衡设备+WAS单节点部署、网络负载均衡设备+WEB分发（可选）+WAS集群两种方式实现。

五、集中专业化运维管理方案

（一）人员组织

按照业务条线组建专业应用运维团队，将外包人员按照供应商分组，同时配备不同行方项目经理，实现横向运维，纵向管理。根据不同维度，分别建立应用软件、中间件和数据库共五个专业技术团队，统一负责相关系统及数据库和中间件基础软件的运维。

1、应用软件运维团队

负责业务应用软件日常巡检、热线电话支持、版本上线、数据变更、数据备份、系统跑批等运维工作。根据实际经验，为保证运维质量和控制操作风险，对于非关键应用系统而言，每个人负责的系统平均不超过3个，每个系统运维都设立AB角，并统一安排运维质量管理人员。

2、中间件运维团队

负责中间件环境的建设和维护，包括中间件的安装、升级、监控、技术支持、故障排查等运维任务。中间件是通用软件，与具体的业务逻辑无关，但种类繁多，技术复杂，对运维人员的专业技能和实际经验要求高。每类软件产品配置3-4名专家，集中统一提供技术支持服务。

3、数据库运维团队

负责数据库系统建设和维护，包括建设集中数据库系统，负责数据库系统的统一监控、性能调优、故障处理、技术支持等。数据库与中间件软件类似，也属于通用软件，同样具有复杂度高，专业性强的特点，与具体的业务逻辑无关。但由于数据库系统直接存放业务数据和负责数据处理，其安全稳定性至关重要，数据库团队对全行所有系统提供7*24小时技术支持。

（二）外包商集约化

外包商集约化，主要是通过引入大型专业外包服务商，精简行内现有的小众外包商数量，由3家外包商组成3支专业的应用运维团队替代原先的9个公司的18个团队负责全行非关键类系统应用运维工作。

管理流程上，由于外包运维团队减少，组织流程节点也随之减少。每个运维团队向对应的行方经理汇报，行方经理向行内主管领导汇报，形成3层组织汇报机制。运维管理由分散向集中过渡。

六、成效与收益

（一）成效

1、管理革新。按照业务条线创建了专业应用运维团队。消除了多小散问题，避免了技能参差不齐，加强了应用运维专业性，知识经验易于共享，个人技能可以实现价值最大化，制度规范容易落地，服务质量明显改善；外包管理复杂度显著降低，外包风险控制能力得到加强。另一方面，按照技术类别创建了中间件和数据库专业运维团队。加强了技术专业性，统一安装规范，统一配置标准，制度规范容易落地，整体服务水平大幅提升。

2、技术改进。已建成三套集中数据库平台，整合50套数据库。统一了软件版本、运行监控；资源利用率平均提高4-6倍，资源分配更高效合理。完成中间件资源池选型、架构设计、测试验证工作。为中间件版本统一、资源合理分配和快速交付打下了基础。

（二）收益

集中数据库平台建设为我们节约服务器资源62台，存储资源20TB，数据库授权130 CPU，备份软件授权65 CPU，双机软件授权65 CPU，卷管理授权近70 CPU。

专业化运维团队建设在提升各应用系统服务质量的同时，减少21名外包运维人员，人员复用率提高近20%。

七、结束语

应用系统数据库中间件安全可控集中专业化运维体系的建成，实现应用系统运维统一管理，统一制度、统一规范、统一流程，运维质量有了保证。集中数据库平台资源实现统一冗余配置，并实现跨中心部署，使系统可用性得到极大提升。实现外包自主可控，外包团队可替换性增强。所积累的经验为以后我们新数据中心建设提供了依据。

数据库云建设方案、F5与数据库集群融合、数据库分权管理等具有一定可推广价值。我们将在此基础上，对基础软件、自动化部署工具、监控工具进行开源化和自主化研究实践；同时探索通过开源软件进行云平台建设。

（作者单位：国家开发银行股份有限公司）

参考文献：

[1] 李克.中国金融电脑.2015年2月.

[2] 高军，修永春.银行业务连续性管理实践[J].银行家，2012年第7期.

[3] 金磐石.建设银行云计算数据中心及运维体系建设实践探讨[J].中国金融电脑，2014年7月.

[4] 袁俊德.中国金融电脑.2013年10月.

[5] 牛新庄.Bank3.0时代民生银行灾备体系建设.金融电子化，2014年6月.

[6] 高军.银行业务连续性管理实践[J].银行家，2012年第7期.

[7] 袁俊德。大型银行“两地三中心”运营体系建设实践。中国金融电脑，2013年10月。

[8] 高曙东.打造新型金融IT运维管理模式――访中国光大银行股份有限公司信息科技部副总经理史晨阳.中国金融电脑，2013年9月.

[9] 银行业应用安全可控信息技术推进指南（2014-2015年度）（银监办发317号【2014】，“317号文”）.中国银监会办公厅与工业和信息化部办公厅，2014年12月26日.

数据安全体系建设范文第2篇

【关键词】企业数字档案馆；安全体系；网络管理

企业档案馆的安全保障体系建设主要通过两方面途径实现。一是按照信息安全等级保护的要求，采用相应安全保障技术方法，配备必要的软硬件设施。二是建立健全数字档案馆安全管理制度，并严格遵照实施。

数字档案馆的安全体系主要包括网络平台安全、信息系统安全和档案数据安全三大方面。档案数据安全是要保证数字档案信息的可靠、可用、不泄密、不被非法更改等。系统及其网络平台安全是要保持系统软硬件的稳定性、可靠性、可控性。

一、安全技术防范措施

数字档案馆的安全技术防范措施包括：档案实体安全措施、网络安全措施、系统安全措施、应用安全措施和数据安全措施。

1.档案实体安全措施。档案实体以各种载体形式存在，并存放于档案库房。为了使档案实体达到档案安全管理的“八防”，除了采取传统的档案实体安全保管措施之外，还需利用以下现代技术手段，提高管理的有效性、智能化。（1）自动温湿度控制系统：由中央控制服务器集中自动控制档案库房的空调、除湿机、空气清新机等终端设备，为档案的存放保管提供适宜的温湿度条件。（2）视频监控系统：数字档案馆的重要出入口安装视频监控设备，重点部位（如保密库房、机房）安装红外报警、摄像联动监控，实现对所辖区域的安全监控。（3）自动消防报警及灭火系统：建设档案库房自动消防报警及灭火系统，提高档案实体对应火灾的自动高效防范能力。

2.网络安全措施。（1）防火墙：网络安全是数字档案馆整个安全体系的根基，必须放在首要位置考虑。从安全考虑，必须在整个企业局域网总入口处加载硬件防火墙，确保企业局域网的安全。企业档案馆根据实际应用，可以在防火墙上加载对应用服务的访问控制，如对档案门户网站只开放80端口服务，允许所有地址的访问；而对于综合档案信息系统，限制外网地址的访问，指定专网地址的访问。（2）入侵检测系统：为防范外网的恶意攻击和数据窃取，在企业局域网关键地点部署入侵检测系统，及时发现网络攻击事件并予以防护、向管理员发出告警。（3）网络防病毒系统：建立企业网络病毒防护系统，保证企业企业局域网免受网络病毒的侵害。

3.系统安全措施。系统平台安全管理一方面可以利用操作系统自身安全机制进行合理的配置，另一方面可以通过采用一些系统平台管理软件来实现。（1）操作系统的安全措施：操作系统的安全访问控制一方面可以通过用户账号、密码、用户组方式登录到服务器上，在服务器允许的权限内对资源进行访问、操作。另一方面可以基于TCP/IP协议，通过对文件权限的限制和对IP的选择，对登录用户的认证保护。（2）补丁程序：采用最新版本的操作系统，并及时安装补丁程序。（3）服务过滤：关闭系统上的一些不需要的服务。（4）对网络以及各个子系统管理员权限进行严格划分：严格控制操作系统用户授权，并控制每个用户的对应目录的操作权限，非必要情况下不以系统管理员的用户登录。（5）计算机口令设置：对口令的设置进行有效的管理，限制口令复杂度和有效期限。（6）安装系统加固程序：安装系统安全防范产品提升系统的安全性。如系统防病毒软件、系统漏洞检测及弥补软件、系统补丁检测和自动升级软件、系统木马检测软件等等。

4.应用安全措施。（1）权限控制：在系统中将用户分类，对各类用户的权限进行明确的设定，并进行严格的控制。系统设计时，可采用定义角色的方法，来为每一类具有相同权限的人员定义一个角色，来方便控制人员的权限。（2）日志管理：系统通过记录用户操作日志来加强系统的安全性，以便管理员可以对恶意破坏数据过程进行审计。提供登录日志、操作日志和数据访问日志三类日志。

* 用户登录日志：记录用户成功登录（退出）档案系统的事件。用户登录指用户由档案系统外成功登录进档案系统。

* 用户操作日志：记录用户在档案系统中所进行的一些重要操作事件。例如：全宗管理、部门管理、档案类型管理等。

* 数据访问日志：记录用户对档案数据本身的访问。例如，对档案数据条目的删除。对电子文件的浏览、下载等。

5.数据安全措施。（1）数据传输安全控制：综合档案管理系统需提供对电子原文的加密处理，电子文件先经过系统提供的加密功能加密，以加密状态传输；客户端利用时，采用系统专用原文浏览器，浏览器内部提供对文件解密功能，如果在传输过程中信息被截获，截获的信息如果不在我们专用原文浏览器中阅读，打开后是乱码状态，保证了电子档案在网络中传输的安全性。（2）数据接口安全控制：综合档案管理系统对提供的数据接口和WEBService服务进行安全控制：综合档案管理系统对外部系统提供相关的接口和服务，保证没有权限的人不能获取对应的服务，或者不信任的系统不能访问对应的接口。（3）电子文档防篡改：采用软件生成电子原文校验码可以及时获得被篡改文件的名字，方便快捷的找到被篡改的电子文件。对电子文件进行锁定操作（主要针对大量的office word、excel文件），用户进行篡改后，原文件内容不会彻底消失，会以批注的形式存在，方便于恢复文件内容。（4）电子文件防扩散：电子文件的防扩散功能可以为文档资料的安全防护以及非法传播提供安全保障。当档案管理系统为利用者赋了原文下载权限后，用户在下载原文时系统将下载到利用者本地的文件进行数据加密转换，转换后的电子文件必须用系统提供的阅读工具来读取，转换后的文件完全保持原文的版式，特有格式文件具有防篡改的功能。（5）数据备份和容灾恢复机制：采用主流备份存储设备和专业备份软件，为重要档案信息资源制定存储备份策略，自动/手动、本地/异地、全备份/增量备份、备份时间等。为了应对天灾等突发事情，需建立相应的预警预案，并制定相应的容灾恢复机制。

二、安全管理保障措施

在建设数字档案馆安全防护体系时，仅有安全技术防护而无严格的安全管理保障体系相配合是难以保障系统运行安全的。安全管理保障体系包括安全管理组织、安全标准体系、安全规章制度建设、安全服务体系、安全管理手段。

1.安全管理组织。建立完整的安全管理组织体系，具体负责安全保障体系建立的规范、组织实施、运维管理等工作。

2.安全标准体系。安全标准规范体系是支撑数字档案馆安全保障体系建设的需要手段，是系统互联互通、业务协调、信息共享所必须遵守的技术准则。

3.安全规章制度。数字档案馆涉及面广、情况复杂，管理的制度化程度极大地影响着整个平台的安全，数字档案馆的建设、运行、维护、管理都要严格按制度执行。安全规章制度主要有：网络、机房、服务器管理规范，数字档案信息安全存储管理规范，个人PC和客户端的安全操作规范和数字档案应用系统的安全操作规范。

数据安全体系建设范文第3篇

随着云计算技术在核电厂的推广应用，企业的信息化水平提升到新的高度。企业对信息安全可靠性、保密性、完整性产生更高的述求，信息安全的防护工作日趋紧迫。传统的信息安全防御手段无法应对新出现的威胁，因此需结合现有的信息安全体系，采取与云计算技术相结合的手段开展一系列信息安全防护工作。本文主要介绍了云计算的相关概念和体系架构，云计算技术在核电的应用，国内核电信息安全体系现状，以及基于云计算的核电信息安全体系设计。

关键词：

云计算；核电；信息安全

核电行业是很早就使用计算机实现生产自动化的企业。继个人计算机、互联网变革之后，2010年，云计算作为第三次IT浪潮的代表正在向我们走来。它将带来人类生活、生产方式和商业模式的根本性改变，成为当前全社会关注的热点。云计算的目的是将不同的IT资源（资源包括网络，服务器，存储，应用软件，服务）以服务的方式交付给用户。计算资源、存储资源、软件开发、系统测试、系统维护和各种丰富的应用服务，都将像水和电一样方便地被使用。信息实质上是一种资源，其价值在于其所能创造的机遇与利益。信息安全的目的即是保护信息的完整性、可用性及保密性等属性，以保证信息的价值。一旦信息的完整性、可用性或保密性缺失或受损，信息的价值将大打折扣。核电厂作为国防建设的重点单位，信息安全重要性尤为突出。随着云计算技术在核电厂的推广应用，信息安全的防护出现一些新的变化，本文即是针对这些新的变化进行相应的探讨，目的是提升核电厂信息安全水平。

1云计算概念和体系架构

网络通信、分布式计算及服务计算等技术的发展为云计算的实施提供了强有力的支撑。NIST指出云计算是一种以通过网络连接，便携且按需访问的可配置共享资源池的服务，计算资源将以最小的管理和交互代价快速提供给用户；同时云计算还应满足按需自助服务、广泛网络接人、高效资源共享、高弹性计算、支持度量计费等五大功能特性。根据云计算所提供服务类别的不同，云计算的服务模式可以分为软件即服务(SoftwareasaService，SaaS)、平台即服务(PlatformasaService，PaaS)和基础设施即服务(InfrastructureasaService，IaaS)。典型的云计算平台架构如下：IaaS、PaaS、SaaS在功能范围和侧重点上都存在差异，其中IaaS需要在异构资源环境下，提供按需付费、可度量资源池功能，同时要兼顾硬件资源的充分利用和用户需求的满足；PaaS不仅关注底层硬件资源的整合，还需要提供能够供租户进行开发、调试应用的平台环境；SaaS不仅需实现底层资源的充分利用，还必须通过部署一个或多个应用软件环境，为用户提供可定制化的应用服务。

2云计算技术在核电企业的应用

随着核电ERP/EAM/ECM等核心系统的构建，以及IT架构的进一步集中调整，整个核电IT系统的架构变的更为复杂。为了提升信息化水平，提高资源利用率，核电厂开展云计算相关技术研究，结合企业实际情况，遵循四化的理念来建立、提升、完善云计算平台的能力。核电企业四化包括：资源管理集约化：通过对企业计算、存储、网络资源的集中化、标准化、服务化管理实现高效、弹性的IT架构；应用交付一体化：通过软件全生命周期管理的自动化以及面向企业级应用的业务框架提高企业应用的交互能力；系统运营智能化：通过全方位的监控和时间处理，将数据植入到运营流程中，达到流程化、智能化运行的目标；运维管理自动化：通过运维作业集中管理调度与监控实现运维作业的标准化和自动化提高应用运维的效率和可管理型。

3国内核电信息安全体系现状

目前国内大部分核电企业的信息安全体系建设主要遵守《电力行业信息系统等级保护定级工作指导意见》（电监信息[2007]44号）、《信息安全等级保护管理办法》和《关于进一步推进中央企业信息安全等级保护工作的通知》（公通字[2010]70号）等，以上述办法围绕等级保护来开展信息安全体系建设。一些信息化建设水平较好的核电企业，在信息安全建设过程中逐步借鉴和参考国际国内先进的信息安全标准，主要是目前国际上应用最广泛的ISO27001信息安全管理体系。在传统的信息安全时代主要采用隔离作为安全的手段，具体分为物理隔离、内外网隔离、加密隔离，实践证明这种隔离手段针对传统IT架构能起到有效的防护。同时这种隔离为主的安全体系催生了一批以硬件销售为主的安全公司，例如各种FireWall（防火墙）、IDS/IPS（入侵检测系统/入侵防御系统）、WAF(Web应用防火墙)、UTM(统一威胁管理)、SSL网关、加密机等。在这种隔离思想下，并不需要应用提供商参与较多信息安全工作，在典型场景下是由总集成商负责应用和信息安全之间的集成，而这导致了长久以来信息安全和应用相对独立的发展，尤其在国内这两个领域的圈子交集并不大。结果，传统信息安全表现出分散割据化、对应用的封闭化、硬件盒子化的三个特征。信息安全体系的基本建设要素包括物理安全、网络安全和系统安全三个要素。（1）物理安全。物理安全主要涵盖机房安全、信息设备安全、通信线路安全等，保障信息机房的电源、温湿度、进出入的安全，保障信息化基础设施、通信线路等的运行可靠性、双链路互备等措施。（2）网络安全。互联网的安全主要以防火墙为核心，辅以IPS、防病毒网关等设备为核电构建统一的、安全的互联网出入口。内部局域网作为网络中终端数量最大、用户最多的区域，一直是网络安全防护的重点区域。首先，局域网要进行核心层、汇聚层、接入层的规划和IP地址划分，核心层要满足双机热备的要求。在网络管理中要实现网络资源的配置、网络流量监控，保障局域网络的稳定通畅。其次，终端安全管理是内部局域网安全的管理重心，建立终端管理、防病毒、移动介质等防控手段。（3）系统安全。信息系统的稳定运行是支撑核电业务连贯性的必要条件，信息系统的服务器、操作系统、数据库、系统接口等的管理有效性是实现系统安全、稳定运行的基础。系统的应用安全主要指系统中数据访问、流程审批、操作合规性等安全，主要通过用户认证、电子证书、文档加密、行为审计等手段来加以监控。

4基于云计算的信息安全体系设计

核电企业云平台承载企业的关键应用，数据作为企业的资产，其安全性需要采取相应措施加以保障，核电企业在建设云平台过程中，注重安全管理。安全管理是为了建设可靠的安全保障体系，实现应用服务及数据调用的安全认证和安全审计，主动的异常数据操作行为的监控分析、预警机制，并提供异常问题的倒查追溯能力。为了更好的保证业务之间的隔离性和安全性，核电厂从三个方面建立信息安全体系：（1）访问安全。访问安全基于身份认证和权限认证来完成。身份认证是建立统一的用户信息库，为系统提供身份认证服务，只有合法用户才能对信息化系统进行访问；权限认证主要是根据用户身份对其进行权限判断，以权限认证与统一认证相结合，为信息化系统提供方便、简单的、可靠的授权服务，从而对用户进行整体的、有效的访问控制，保护系统资源不被非法或越权访问，防止信息泄漏。（2）数据安全。数据安全是对及内部信息系统进行严格的安全防护，对计算机、数据、敏感业务系统采用认证、加密等技术手段进行控制。数据安全主要包括：数据完整性，数据保密性，备份和恢复。数据完整性：通过循环冗余校验（CRC）以及消息认证码（带密钥的Hash函数）来保证完整性。数据保密性：通过传输协议加密以及数据加密来保证保密性。备份和恢复：对重要信息进行备份，并对备份介质定期进行可用性测试。（3）操作安全。操作安全是为了防止误操作带来的风险，如删除关键数据造成系统无法正常运行。操作安全可以通过事前预防和事后补救这两方面来保证。事前预防是通过对关键操作进行多人复核，降低单人误操作机率；事后补救是通过操作日志来回滚误操作。结合云计算平台建设现状和企业实际，核电厂从云平台基础安全、云平台攻防安全、云平台运维安全等方面建设信息安全体系，构筑全方位的信息安全防护屏障。

4.1云平台基础安全

（1）网络安全。云计算平台网络分为两部分：管理平面和业务平面网络。管理平面网络主要用来管理云计算主机，业务网络主要负责传递业务系统相关数据，两者传输数据不同，访问授权也不一致，需将管理平面和业务平面网络隔离。此外，需关闭未使用的网络端口防止非法接入，回收服务器默认路由防止主动外联。（2）宿主机安全。首先要保证操作系统安全，减少系统漏洞。由于云计算操作系统大部分是基于开源平台开发，存在漏洞较多。因此进行系统定制化开发时候需将操作系统内核和组件精简，减少非必要的功能，修复相关漏洞，对主机做符合业界安全规范的配置加固，内核防提权模块加固等。（3）多租户资源隔离。云计算平台的典型场景是多租户共享，但和传统IT架构相比，原来的可信边界彻底被打破了，威胁可能直接来自于相邻租户。租户通过Hypervisor(虚拟机监视器)共享同一个物理操作系统的计算资源，在一张共享的二层网络上实现网络的区隔。攻击者一旦通过某0day漏洞实现虚拟逃逸到宿主机，攻击者就可以读取这台宿主机上所有虚拟机的内存，从而可以控制这台宿主机上的所有虚拟机。同时更致命的是，整个云平台节点间通讯的API默认都是可信的，因此可以从这台宿主机与集群消息队列交互，进而集群消息队列会被攻击者控制，最终一举攻破整个云主机集群。云服务器租户隔离从以下几个方面设计：基于VT-x技术隔离CPU；硬件辅助EPT技术隔离内存；分离设备驱动I/O模型隔离存储；交换型Vswitch，不同VM的数据包被转发到对应的虚拟端口；VM的IP、Mac地址绑定防地址欺骗及网络嗅探；物理内存、物理存储重分配前清零；用户数据打标签隔离存储。（4）数据存储安全。数据是信息系统最核心要素，数据的可靠性和安全性在信息安全中地位尤为突出，云计算平台采取了分布式存储技术，将数据分散在多个磁盘中。同一数据分别备份三份存储于磁盘中，任意部分丢失均立刻进行恢复，可靠性达99.9999%，较好保障数据安全性；为应对物理拷贝，将数据打散后即使单独拷贝磁盘出去，无系统进行数据提取、整合，无法恢复数据。

4.2云平台攻防安全

互联网攻防体系包括DDOS攻击防御、入侵防御、弱点分析和态势感知四个方面，整体架构如下：（1）DDOS攻击防御。DDOS(分布式拒绝服务)，是指借助于客户/服务器技术，将多个计算机联合起来作为攻击平台，很多DOS攻击源一起攻击某台服务器就组成了DDOS攻击。DDOS攻击本质上是一种只能缓解而不能完全防御的攻击，它不像漏洞那样打个补丁解决了就是解决了，DDOS就算购买和部署了当前市场上比较有竞争力的防御解决方案也完全谈不上彻底根治。防火墙、IPS、WAF这些安全产品都号称自己有一定的抗DDOS能力，而实际上他们只针对小流量下，应用层的攻击比较有效，对于稍大流量的DDOS攻击则无济于事。结合云计算平台特点，DDoS攻击防御使用DDoS清洗系统，通过封堵大流量DDoS攻击，保障云平台可用；通过拦截应用层DDoS/CC攻击，保障业务可用。DDoS清洗系统可1秒完成检测->牵引->清洗->回注流程，全自动响应，无人值守，提高效率，降低成本；与全球信息安全防护厂商共享数据，提供最大450+Gbps防御能力，可抵御海量攻击；采用了精准的攻击检测技术，网络抖动小。本系统配置专用大数据平台，采用基于大数据分析技术可快速分析恶意IP库、恶意行为库。（2）入侵防御。入侵防御系统是一部能够监视网络或网络设备的网络资料传输行为的计算机网络安全设备，能够即时的中断、调整或隔离一些不正常或是具有伤害性的网络资料传输行为。传统的入侵防御系统多集中在应对4~7层的应用攻击，在应对DDoS洪水型攻击时却显得捉襟见肘，而基于云计算的入侵防御系统不但要集成的原有入侵防御产品多层的防攻击功能，更需具有专业抗DDoS攻击功能，可清洗2~4层的洪水型攻击流量，能够从而实现系统全方位的入侵防护。云计算入侵防御系统需要具备功能包括：实时网络入侵拦截，封堵恶意行为；自动木马后门检测，保护主机安全；弱点分析，可以快速分析出系统存在漏洞、弱点及时发现弱点，自动修复漏洞；具备实时扫描功能，风险随时可知。（3）网络态势感知。所谓网络态势是指由各种网络设备运行状况、网络行为以及用户行为等因素所构成的整个网络当前状态和变化趋势。网络态势感知是指在大规模网络环境中，对能够引起网络态势发生变化的安全要素进行获取、理解、显示以及预测最近的发展趋势。基于云计算的态势感知服务可以让企业决策者发现眼睛看不见的风险。态势感知的第一个特点是以海量数据、超强的计算为依托，让黑客攻击显影。第二个特点就是让风险可视化。有了它，没有安全技术基础的人也能看见风险的过去、现在和将来。基于云计算的态势感知系统需具备功能包括：安全数据大屏实时展示；集中安全策略管理；多维度日志关联分析；时间+空间，安全风险全局态势感知。（4）数据库审计。数据库是企业最具有战略性的资产，通常都保存着重要的商业伙伴和客户信息，这些信息需要被保护起来，以防止竞争者和其他非法者获取。面对日趋复杂的安全风险，必须部署数据库审计系统。数据库审计能够实时记录网络上的数据库活动，对数据库操作进行细粒度审计的合规性管理，对数据库遭受到的风险行为进行告警，对攻击行为进行阻断。它通过对用户访问数据库行为的记录、分析和汇报，用来帮助用户事后生成合规报告、事故追根溯源，同时加强内外部数据库网络行为记录，提高数据资产安全。基于云计算的数据库审计系统是在数据库虚机上安装数据库审计业务端程序，该程序会对该虚机上的数据库业务进行审计。另外在中控区部署统一的数据库审计管理端程序，对所有业务端程序提供集中管控。

4.3云平台安全运维

随着云计算平台的建设推进，各应用系统也进行了基于“云”的设计改造，因此必须建立一套完整的基于云计算的安全运维体系，保证各类紧急事件能够及时处理。基于云计算的安全运维体系应包括以下两个方面。（1）带外管理分离与运营平台。云平台的运维管理应与业务网络分离，同时建立运维平台和运营平台。运维平台主要供IT管理员进行云平台的运维，运营平台提供运营相关服务，包括计费、考核、流程审批等。（2）运维管理审计。InforCube运维管理审计系统涵盖多种运维协议（RDP、SSH、TELNET、FTP、SCP等）并提供操作回放检索、输入记录、标题抓取等功能，从明确人、主机、帐户各个角度，提供丰富的统计分析，帮助用户及时发现安全隐患，协助优化网络资源的使用。它能够对运维人员的访问过程进行细粒度的授权、全过程的操作记录及控制、全方位的操作审计、并支持事后操作过程回放功能，实现运维过程的“事前预防、事中控制、事后审计”，在简化运维操作的同时，全面解决云计算复杂环境下的运维安全问题，提升企业IT运维管理水平。

5结束语

云计算平台的信息安全体系建设，除了要依据上级单位的要求，参照ISO27001和信息系统安全等级保护体系开展企业信息安全建设，更重要的是要根据云平台架构特点，有针对性进行方案设计，采取更先进的技术进行安全加固。新技术的发展日新月异，相应的安全威胁手段也在改进，如仅仅按照国标和行业的标准进行安全防范，无法防范新出现的威胁。因此针对云平台的信息安全体系建设日趋紧迫。此外，在做好信息安全的技术防御之时，提高管理、加强对安全体系的审查改进是重要的落地手段。通过安全体系的设计，落实改进措施，定期实施加固，将安全体系落实到实处，才可以保障企业的信息安全。

作者：张荣斌 单位：中核核电运行管理有限公司

参考文献：

[1]梅生伟,王莹莹,陈来军等.从复杂网络视角评述智能电网信息安全研究现状及若干展望[J].高电压技术,2011,37(3):672-679.

[2]李文武,游文霞,王先培等.电力系统信息安全研究综述[J].电力系统保护与控制,2011,39(10):140-147.DOI:10.3969/j.issn.1674-3415.2011.10.026.

[3]谢迎军.信息及信息安全思辨[C].//中国电机工程学会电力通信专业委员会第九届学术会议论文集.2013:822-826.

[4]工业和信息化部信息安全协调司司长赵泽良：积极应对风险挑战维护国家信息安全[J].信息安全与通信保密,2012,(3):2-2.

[5]杜保东,杨庆明,李冰等.企业云计算信息安全方案研究[J].信息系统工程,2014,(5):67-68.

[6]汪兆成.基于云计算模式的信息安全风险评估研究[J].信息网络安全,2011,(9):56-59.DOI:10.3969/j.issn.1671-1122.2011.09.018.

[7]杨成.解析现阶段云计算的应用与信息安全[J].科技展望,2015,(20):1-2.

[8]中华人民共和国国家标准GB/T22239-2008《信息系统安全等级保护基本要求》

数据安全体系建设范文第4篇

电子政务是传统政务模式的延伸与转化，事关国家政务信息安全，政务系统运行中容易受到来自外界的各类风险因素的安全威胁，造成或有意或无意的破坏，因此必须加强安全体系建设，保障信息安全与应用安全。电子政务的安全风险主要包括通信风险、物理风险、应用风险、管理风险、区域边界风险及其他风险等。通信风险来自于各类重要数据的泄露与丢失，来自通信传输线路上的监听与阻拦，数据本身完整性、安全性受到攻击威胁。物理风险是电子政务系统遭受来自自然灾害如风雨雷电地震等破坏，硬件设备受损造成数据都是活着损坏，静电、强磁场与电磁镭射等损坏存储介质，数据被偷窃或监听。应用风险是不断动态变化的，其所遭受的风险如程序后门、病毒威胁与恶意代码攻击等都是动态变化着的。电子政务系统作为一个复杂的集成系统，除去需要安全技术手段予以保驾护航之外，有效得当的管理才能事半功倍，管理不当包括口令、密钥管理不当，管理制度不完善造成信息无序运行，安全岗位设置及管理不到位，管理环节缺失或遗漏，政务审计系统与制度不到位等，以上这些管理不当都会造成安全风险。区域边界风险是电子政务系统中不同安全等级区域之间的最易发生危险的区域边界处，区域边界不明确会导致高等级数据信息泄露，流向低等级造成泄露，或者边界防护漏洞导致用户非法访问或窃取高等级区域信息，损坏数据完整性、真实性与可用性。其他安全风险诸如安全意识淡漠、系统运行风险、信息安全战略认识不足等，都会导致电子政务系统运行威胁。

2基于分域防护思想的电子政务系统安全体系结构设计

电子政务系统作为服务于政府公务的重要支持系统，安全防护体系建设必须兼顾到系统本身的应用性、开放性等需求，遵循适度安全原则，解除其面临安全威胁，将政务系统划分为不同安全域，并针对各个安全域特点实施针对性安全举措。分域防护的应用有利于明确安全责任，消除政务互联网开放顾虑与障碍，便于科学组织与安全建设。基于分域防护思想，电子政务系统可根据系统本身特点、安全需求、环境重要性进行划分，系统方面可分为政务内网、外网与互联网，安全需求可分为通信传输安全、边界安全与环境安全，环境重要性可划分为核心域、重要域与一般域。不同安全区域内，根据防护要求利用身份认证、访问控制、病毒防护、安全审计等诸多措施保障信息安全，配合软硬件基础设施与管理平台共同打造高效运行的安全体系。分域防护思想指导下根据政务系统职能特点可划分为政务内网、外网与互联网络三类。

政务内网是政府用于办公的内部局域网，主要处理一些保密等级较高的数据业务和网上办公事项，与外网链接，主要由信息处理、存储、传输设备构成，是政务核心处理区域和主要运行平台，与外网间实施物理隔离。外网主要服务政府各类政务部门，如法院、检察院、政府、政协、党委等，是业务专网，运行主要面对社会公众，处理一些无需内网处理的低保密等级公物，与互联网之间实施逻辑隔离。互联网作为公共性质的开放网站，向公众提供各类服务，比如政务信息、收集群众意见反馈及接受公众监督等。分域防护安全结构中，根据环境重要性分为核心域、重要域与一般域。核心域是安全等级最高的政务系统核心区域，需要提供最严密的安全防护措施以保护机密等级最高的数据，做好其存储与安全管理。重要域是次安全等级区域，是国家政府部门各类政务信息交杂处理区域，需实施严密防护。一般域是安全等级较低的防护区域，公开性显著，提供各类公开政务信息与数据服务，防护关键在于保障数据的公开性、真实性、完整性与可用性。分域防护安全结构中，安全方面主要以边界安全、通信传输安全和环境安全为主。通信传输安全关系到政府内网、外网与互联网之间的信息传输与沟通，安全防护既要保障数据的传输通常，又要避免来自外界的恶意攻击，保证传输数据的完整性、真实性与可用性。网络环境安全则是系统自身计算环境安全域数据安全，即处理各个层次数据时有不被泄露、攻击和篡改的风险。边界防护安全则是不同等级安全域之间数据信息交换时不会出现由高向低或者由低向高的安全阀鞥县漏洞，不会出现数据的泄露、流失与非法访问。信息安全管理平台是安全体系结构中技术得以发挥作用的基础，关系到整个信息平台能否顺利运转，是防护关键，管理平台上要配备合适人员，加快标准化制度建设，提供规范制约、法律支持等，配合各类信息安全基础设施在政务系统保护中发挥作用。

3总结

数据安全体系建设范文第5篇

1.1基础设施

基础设施是信息化建设的前提，信息化必备设备馆均拥有量最多的是计算机和打印机，人均分别达1.24台和0.7台，数量基本能满足需求，但质量还有一定差距（如贵州大学档案馆虽有35台电脑，但有15台是几乎不能用的淘汰机）。另外，其他设备如扫描仪、传真机、复印机等，部分档案室至今仍没有。相比之下，重庆、四川馆均拥有量略高于贵州、云南，但总的来看，部分档案馆（特别是档案室）基础设施仍较落后，离档案信息化要求还有一定的距离。表1为四省/市信息化主要设备配置情况统计表。

1.2人才队伍

人才是信息化建设的关键。就调查来看（结果见表2），一是人员严重缺编。馆均5.89人（最多18人），最低估计，35个馆（室）仅综合档案馆藏量平均在3万卷左右，最低应配8人，加上人事档案应配10人左右（按综合档案1万卷以内配3～4人，每增加5000卷增加1人，人事档案千卷1人计），但目前仅1～3人的有14个馆（个别馆是处级馆），达10人以上的仅8个。如贵州大学档案馆有综合档案约6万卷、人事档案4000余卷，应配18人，再加校史馆4人，最少应配22人，但实际仅15人。二是人员队伍学历、职称结构基本合理。硕士（含有学位无学历人员）、本科、大专及以下人员比例，高、中、初级职称比例均呈两头小、中间大（即本科学历、中级职称人员居多），基本合理，但正高职称人员极少，部分还是教授或图书系列的研究馆员（如贵州12个馆室59人中仅2人，且1人是图书系列），这极不利于高校档案馆研究工作的开展。三是人员专业结构不够合理，所需人才缺乏。其他学科专业人员馆（室）均达4.5人，但档案专业人员馆均不足1人，计算机等现代信息技术人才严重匮乏（馆均0.43人）。在信息技术日新月异的今天，建设数字档案馆已是大势所趋，但部分馆（室）至今仍没有现代信息技术人才；再加之部分现有人员的信息技术应用能力较弱，对计算机等现代化设备的功能使用较单一，不能物尽其用。这必将严重影响其档案数字化，阻碍信息化进程。

1.3档案信息资源

数字化资源是信息化建设的核心。35个调查馆（室）中有23个馆已开始数字化工作，19个馆建立了案卷级目录库，18个馆建立了文件级目录库，还有部分馆建立了全文、多媒体及其他专题库。而开展数字化工作较好的是四川省，调查馆已全部开展数字化工作；较差的是贵州省，仅3个馆开展。可见，贵州省与全国甚至西南其他省/市高校相比，均存在较大差距。表3为档案信息化建设及利用情况统计表。

1.4档案管理系统

系统是共享的支撑条件，使用档案管理系统网络版的有23个馆（占65.71％，其中13个馆用的南大之星，其余为其他系统或自行开发的），5个馆是单机版。许多馆虽然购置了管理系统，但其软件应用水平和利用效率均不高，很多功能还未利用，提供互联网查询目录级数据库的仅占25.71％，绝大多数局限于本校、本馆（室）内查询，利用十分有限。另外，由于部分馆自行开发的管理系统没有更多地考虑与其他系统的兼容性以及以后的升级等，因此，存在管理系统使用少、不统一、效率低、发挥作用有限等问题。

1.5档案网站

网站是共享的前提条件，目前仍存在一些问题：一是有网站的单位少，35个馆中仅17个建立了自己独立的网站，最少的是贵州（仅3个）。二是网站质量普遍不高。许多网站主页设计大都结构呆板、单一，趋于雷同；网站栏目较为简单，栏目数量少、覆盖面小，栏目内容较少、更新慢、名称缺乏趣味性与亲和力，等等。这既不利于同行之间的沟通交流，使其更好地吸收借鉴别人先进的经验发展自己，同时也会阻碍本馆（室）档案信息化进程和资源共享。

1.6安保措施

安全保障措施是数据安全的保障，已开展数字化工作的档案馆大多采取多种安全保障措施，常用的有权限控制、密钥管理、防火墙以及数据备份。但仍有少数馆（室）防范不力，安全措施不力，备份方式单一（多采用本机或光盘备份，极少数采用异质、异地或实时在线方式），档案数据资源存在一定的安全隐患。

2档案信息化发展建议

（1）加大投入，完善基础设施。基础设施制约着档案信息化建设的发展水平。只有加大基础设施的投入力度，配置高效、完善的设施设备，才能加快档案信息化进程。为此，建议各高校加大投入，把档案信息化建设纳入本单位信息化建设整体规划，统一部署、同步实施，从人力、财力、物力上统筹安排，有计划地购置档案信息化所需设施设备并定期更新，以保持良好的运行状态，较好地满足时展对档案信息化的需求，确保档案信息化与学校信息化协调发展。（2）重视队伍建设，提高人员素质。档案信息化具有较强的专业性、技术性、机密性，要求档案工作者不仅应具备良好的职业道德，强烈的事业心和责任感，一定的档案、法律、知识产权保护等知识，还需具备信息技术应用、系统维护以及数字化加工与管理等方面能力。这就要求：一是有关领导应重视队伍建设，建立科学的引才育才机制，引进和培养信息化所需的各类人才；采取多种措施开展继续教育，提高人员的业务水平和现代信息技术应用能力。二是档案工作者应自觉更新自己的知识结构，积极主动学习相关知识，提高自己的业务能力，特别是计算机、网络技术等应用能力，努力使自己成为一专多能的高素质复合型人才。此外，随着科技的发展、档案载体的日趋丰富，还要求档案工作者要勤于思考、敢于创新，推动档案工作在创新中的发展。总之，应努力造就一支政治强、业务精、作风硬、纪律严的高素质档案队伍，以较好地适应时展对档案工作的新要求。（3）重视资源建设，加快数字化步伐。只有将档案数字化，建设完整的数字档案库，才能更好地保存、存续、传播、利用档案，体现档案的价值。为此，建议各高校根据国家档案局《关于加强和改进新形势下档案工作的意见》要求，真正重视档案信息化建设工作，努力做到应收尽收、应归则归，按照存量档案分步数字化、增量电子化的原则，开展传统载体档案数字化和电子文件归档，切实推进档案存储数字化和利用网络化。同时，在档案管理系统购置（或开发）时，还应考虑与本单位其他管理系统的衔接，以达到自动接收采集学校各部门业务系统电子文件及其元数据，以尽快建成数字档案馆。（4）重视网站建设，发挥窗口作用。网站既是资源共享的前提，又是宣传、展示自己的窗口，以及同行之间沟通、交流的平台。因此，建议充分应用现代信息技术，建立、健全档案网站，着重反映网站特色，揭示自身工作亮点、创新点，并及时更新内容，充分发挥网站的宣传、教育等功能，实现全校、全省乃至全国范围内全文信息查询，不断提高档案检索、利用效率和质量，更好地起到宣传档案工作、开展档案信息服务、发挥档案价值的重要窗口作用。（5）加快平台建设，促进资源共享。档案信息化建设的最终目的是实现资源共享。档案信息服务建设“十二五”规划中明确指出，“未来五年的主要任务之一是实施公共档案信息资源共享服务工程，打造‘一站式’档案信息资源共享和服务平台，为社会提供全方位的档案信息服务”。2014年国家档案局又在“关于加强和改进新形势下档案工作的意见”中明确提出，“国家档案行政管理部门要搭建全国开放档案平台，并与政府公开信息系统对接，实现资源共享”，可见，建立档案信息资源共享平台已是大势所趋。随着信息化技术的快速发展，各高校已陆续使用档案管理系统，但由于多数只关注于本部门需求，缺乏在区域或行业层面的统一标准，导致使用系统不统一，存在信息孤立，给区域或行业内各部门档案信息的协同访问，跨区域、跨系统信息访问和信息处理带来困难。为提高服务能力，实现区域内或行业内各部门能及时、有效、准确地获取各高校的档案信息，建立灵活、高效、安全、稳定的区域性或行业内档案信息资源共享平台，势在必行。为此，部分省市综合档案馆已率先建立起自己的共享平台，如：青岛市建成启用了基于互联网、金宏网的青岛数字档案馆；烟台市在市直机关推广使用政务网数字档案管理系统；莱芜市建设完成了全市数字档案在线管理系统［3］，等等。但高校仍多为封闭式管理，档案部门之间缺乏横向联系、信息交流共享等，至今仍没有建立行业内或区域内档案信息资源共享平台。为此，建议各高校应以管理手段的创新和升级为目的，打破高校档案信息“孤岛”和“各自为政”的局面，运用现代信息技术和传媒手段，并按照国家标准建立高校信息资源共享中心，实现档案信息资源的共建共享。如可将名人档案、有合作关系高校相关档案，因拆分、合并等历史原因存放在其他高校的档案，规章制度、编研成果等在一定范围内共享；同处大学城的学校，因地理位置较近，工作同质化程度较高，可通过建立资源共享中心，对有关档案进行信息整合，实现档案整理、保管、利用、数字化处理等业务的共享，提升档案管理层次和服务质量，使档案的潜在价值得以充分发挥，较好地适应大数据时代对档案信息的需要（因为大数据的一个重要理念就是数据之间的关联性产生价值。档案作为一种数据信息，如果处于分散状态，其潜在价值就无法发挥［4］）。同时，还应加大档案开放鉴定力度，定期开展档案鉴定和开放鉴定工作，把应开放的档案尽可能开放；建立健全档案信息公开保密审查制度，严格档案信息公开保密审查［5］，以确保公开的档案信息不涉及学校秘密和个人隐私。（6）强化安保措施，确保资源安全。档案数据安全是档案工作的重中之重。