前言:想要写出一篇令人眼前一亮的文章吗?我们特意为您整理了5篇安检员实习心得范文,相信会为您的写作带来帮助,发现更多的写作思路和灵感。
一、信息时代档案人员必备的素质
所谓素质是指人们通过学习、训练和内化过程而形成的相对稳定的、内在的、人的整体质量水平。从某种意义上说,素质就是具有复杂结构的身心各方面的能力及品质特征的总和。档案人员从事的虽然是一项业务性强而又极其平凡的服务性工作,但就其深远意义来说它又是一项功在当代、利在千秋的伟大事业。随着信息化、网络化的发展,档案人员只有不断提高自身的素质,特别是信息素质,才能适应信息社会的需求。那么,信息时代的档案人员应当具备怎样的素质呢?笔者认为有以下几个方面。
1.档案人员的信息素质
在信息时代,档案人员首先应具有信息素质。信息素质作为人的整体素质的重要组成部分,它是人们在信息社会生存的基本条件之一,也是人们在信息时代必须具备的能力。这一概念最早出自于美国信息产业协会主席波尔(PaulZurkouski)在1974年向全美图书馆学与信息学委员会提交的一份报告中,并被概括为“利用大量的信息工具及主要信息源使问题得到解决的技术和技能。”此后,这一概念不断得到发展。1997年,纽约州立大学图书馆馆长将信息素质定义为:“能清楚地认识到何时需要信息,并能确定、评价、有效利用信息以及有利用各种形式交流信息的能力。”笔者认为,信息素质是人们对信息与信息活动的认知能力和对信息综合利用能力的一种体现。它是信息社会的人,特别是信息人员(图书馆员、档案馆员等)的基本能力。固然传统档案馆员也需要具有很好的信息素质,但是在信息时代,数字档案馆人员与传统相比,其所具有的信息素质在内容上和程度上都有很大的不同。从内涵上讲,现代档案人员的信息素质应包括三个方面:信息意识、信息道德和信息能力。
(1)信息意识
良好的信息意识是具有较高的信息素质的前提,同时也是信息资源开发和利用的强大动力。档案馆是各类文献信息的集中保管基地,档案人员担负着准确、快速地收集档案信息,有效地提供档案信息的重要职责,因此要求档案人员必须具有强烈的信息意识。档案人员的信息意识应包括两层涵义:Bp一般意义上的信息意识和特殊的档案信息意识。一般意义的信息意识是指人对信息的敏感程度,是人们对自然界和社会各种现象、行为、理论观点等从信息角度的理解、感受和评介。它是特殊的档案信息意识的基础。档案人员的档案信息意识是指其对档案的信息属性、对档案信息组织、开发、传播、利用的一种内在的、专注的心理倾向。这种信息意识具体表现在:
a.充分认识到信息的重要性,认识到有价值的信息可以在生活和工作中起到非常重要的作用,有时甚至是决定性的作用。档案信息是社会的宝贵资源和财富,应当并且能够在社会上流通,而且应当认识到,档案工作者在信息社会发挥着重要的作用.肩负着传播档案信息为大众服务的重任。
b.对信息具有分析鉴别能力。一是对所接触的信息,能判断出属于哪种类型,产生于哪个领域,主要服务对象是谁。二是能判断出此信息是否有价值,并能估测出价值大小。
c.充分认识到信息社会信息量的膨胀程度以及信息流动速度和更新速度的快捷性。
(2)信息道德
信息道德习惯上也称为信息品德,从广义上讲,信息道德是指在整个信息化活动中调节信息创造者、信息传播者、信息使用者之间相互关系的行为规范的总和。作为档案信息管理者,其信息道德又有其特定具体的内涵,它与职业道德密切相连,可以说是职业道德在信息社会的拓展与延伸。档案人员的信息道德,就是指档案工作者在档案信息的管理、开发、传递和利用服务等活动中,其思想与行为所应遵循的信息规范和伦理准则。档案人员在工作中,应该兢兢业业地为用户服务。及时、全面地向用户提供信息。这里除了一般的职业道德问题外,还需特别指出的是关于知识产权的保护问题,由于在网络环境下,往往缺乏社会有关机构的监督和管理,而且数字档案馆本身也要进行档案信息的数字化工作,所以这个问题在信息时代就显得重要、复杂和敏感。
(3)信息能力
这主要是指档案人员获取、鉴别、组织和开发档案信息的能力。
a.对档案信息的获取能力。在信息社会,由于数字信息产生和传播的特点,信息的密集程度,信息分布的复杂程度以及更新程度都是工业社会不可比拟的。所以档案人员必须熟悉各个数字馆藏的内容及查找方式、各种商业数据库的内容以及获取方式,各种搜索引擎的有效利用等等,及时收集各类档案信息,以丰富馆藏。
b、鉴别档案信息的能力。这是档案人员的一项基本信息素质。对档案信息的鉴别包括对其原始性、真实性的判别和档案价值的评估。确定档案信息的真伪,是一项十分重要的工作,特别是在信息社会.产生了大量的电子文件和数字档案,其真实性的判定就更为重要,难度也更大。这就需要有比较专业的信息鉴别能力。对档案信息价值的评估和鉴定,区分其价值的大小,是在确定了真实性后的又一个重要工作,是档案信息开发利用的基础。
c.档案信息的组织开发能力。档案信息组织开发己成为信息时代档案工作的核心内容,各类档案信息必须按照一定的方式进行组织整理,形成各种专题数据库,并能根据用户需求对信息进行深层次的开发,形成二次文献、三次文献等。而档案信息开发的深度和广度,以及档案信息开发的时效性,则依赖于档案人员的信息开发能力。组织开发能力决定着档案服务的质量和社会用户的档案信息利用程度,影响着档案事业的发展进程。要求档案人员有一种对档案信息的职业敏感性,能及时了解用户的需求热点,有效地组织档案信息并向社会传播。因此.档案信息组织开发能力是档案人员信息能力中最主要、最核心的内容,居于信息能力的最高层次,是具有创新性质的能力。
2、其他各项基本素质
这些基本素质是对传统档案人员素质的继承,也是形成和提高档案人员自身信息素质的基础,涉及的范围较广,包括政治素质、业务素质、心理素质、身体素质等等,这与传统档案人员的素质要求大致相同,在此不作赘述。下面主要强调一下在信息社会必需的几项基本素质。
(1)掌握档案专业基础理论与方法
作为一名档案工作者,首先必须掌握档案专业知识,了解档案信息的收集、整理到利用的全套理论与方法,并能将这些档案学理论与现代信息技术相结合。
(2)掌握现代信息技术
21世纪是信息高速发展的时代,现代档案信息管理与传统上有很大的不同,需要既懂档案学又掌握了先进的信息技术的“复合型”人才方可胜任。这里的“现代信息技术”主要是指计算机网络与通讯技术、声像技术、多媒体技术、数据库技术、数据存取技术、人工智能技术等。信息数字化和网络化为用户提供了在更大范围内查阅信息的机会,但同时也把用户带入了一个陌生的数字信息海洋,这就要求档案人员能尽快地适应信息环境,能根据用户需求及时通过网络系统快捷地获取档案信息,并把分散的片断信息组合整理出新信息提供给用户,成为用户信赖的咨询员。
(3)较好的外语能力
随着国际交往的加强,熟练地掌握一种外语已成为迫切需要的工作能力。一是因为档案馆是对外交往的窗口;二是档案馆的职能也要求馆员外语能力必须加强,这不仅是因为外文信息在馆藏中占有重要比例,而且随着网络化程度的加强、联机检索的需要、资源共享的扩大,档案人员只有熟练掌握一门以上的外语知识才能更好地为用户服务。
(4)具有丰富的科学知识和科学管理能力
档案专业人员,除具备档案专业知识外,还应具有比较全面、系统的文化、理论、科学技术知识,才能更好地胜任自己的工作。
档案信息管理是一项实践性很强的工作,档案管理、流通借阅、藏用关系等都是档案工作中值得研究学习和实践的问题。一个好的档案馆员不仅要掌握档案馆的管理知识、运行规律,还要了解各业务部门之间的内在联系。
二、目前档案人员的素质现状及培养途径
在信息社会,档案作为一种“原生信息”或“信息资源”,其重要意义不言而喻。无论是发达国家还是发展中国家,都在积极地发展其档案事业。而是否拥有充足的、高素质的人才资源已成为档案事业能否持续发展的关键所在,人才资源的开发必然涉及到档案专业的教育培训问题。
1、档案人员的知识结构状况
近二十年来,随着档案学教育的发展,档案专业人员的素质有了明显的提高。接受档案专业教育的人占总档案人员的60%以上,而且教育程度也呈上升趋势。大中专教育已不再是培训的主体,而是转向本科生教育,国家也加大了档案专业教育的投人力度。但问题在于,一是档案专业人员的总体教育程度不高。据统计,从业人员中,大部分只接受过专科或在职短期培训,具有本科学历的约占5%,有研究生学历的更是寥寥无几,仅占0.5%左右。仍有不足4o%的档案人员未接受过任何专业训练,并且年龄大都在35岁至5O岁之间,这些人很难胜任信息时代的档案工作。这是一个十分严峻的现实,解决这个问题是中国档案教育最迫切的任务。二是档案专业教育尚未走出传统的桎梏。首先是专业设置过窄,培养目标过专,为档案馆(室)机构外壳所束缚;再者,课程设置不合理,未能反映出信息社会发展的趋势,学生知识面狭窄,且缺乏必要的实践技能;三是在职教育以“针对性教育”为模式,培训不系统,档案人员信息素质问题未能从根本上解决。
2、提高档案人员自身素质的途径
以学校专业教育为主体,大力发展在职继续教育,以全面提高档案人员的素质,具体地说应从以下几个方面进行。
(1)完善档案专业的教育体制,发展本科教育,积极探索研究生教育,在教育方针上坚持“大档案学”的观念,既把档案学放到信息学和管理学的大系统中,而不要只局限于档案学。在课程设置上要增加现代信息技术的内容,从而扩大学生的知识面和综合能力,其中着重培养其信息素质。使未来的档案工作者成为具备良好的信息能力、合理的知识结构、掌握现代信息技术的高素质“通才”。
(2)对在职人员开展“多元化、全方位”的在职继续教育模式。可以从以下几个方面着手:首先,档案馆可以在经费允许的惰况下有计划地组织培训,使档案馆员能够尽可能多地掌握新知识、新技能,提高其业务素质。另一方面,可聘请信息专业教授、专家有针对性地举办一些专题讲座。为促使档案馆员自觉地学习新的技能,还可将计算机、信息网络技能的考核与馆员的提拔、使用、晋级、聘任等挂钩,并使其制度化,以此调动档案人员参加继续教育的积极性。
(3)培养自学能力
关键词:档案馆 信息集成 档案信息资源 建设体系
档案信息集成服务,亦可称为档案信息资源集成式服务,或是“一站式”服务,即将信息集成服务理念应用于档案信息资源建设中,在数字网络环境下,通过对档案信息服务各要素进行集成与动态的整合,构建优化的档案馆信息资源建设与服务体系,使用户需求实现最大的满足。在档案馆信息资源集成建设过程中,对用户、档案资源、信息技术、档案馆功能和外部环境进行集成优化,以用户需求集成为中心,以馆藏档案信息资源集成为基础,以信息技术集成为驱动,以环境集成为依托,以档案馆功能集成为过程,动态地构建档案信息资源服务体系。
一、用户需求集成
档案馆信息资源建设要明确以用户为中心的服务核心,用“以人为本”作为判断标准,审视档案工作的方向、重点和成效,审视档案馆基础设施和信息服务能力建设。
1.用户的管理
用户需求集成首先需要对用户的含义进行界定。以用户为中心不能只考虑到当前的用户,此“用户”应是大范围的、包含未来的,档案工作的远瞻性也要求档案信息资源共享应以历史大局的需求为导向,为整个历史的发展进程提供服务。故而在集成整合档案信息资源时要考虑档案资源的长远价值,对潜在的、长期的用户进行预测,对用户信息进行集成管理。
2.需求的集成
用户需求集成管理是档案信息资源建设“以人为本”思想模式的一个重要表现。要推进档案馆信息资源建设,便要了解用户,需要对用户需求状态进行跟踪,建立并维护与用户达成的契约,建立对用户需求的可测试标准体系等。可借鉴图书馆建立一个专门的信息服务咨询台或是虚拟档案信息咨询服务中心,直接与用户接触,向用户提供馆内的资源和服务的基本信息,协调不同的服务机构满足用户的需求,或设立专门的部门与人员,分析较复杂的用户需求。建立用户需求管理部门,制定明确的服务协定和完善的服务规范,畅通读者信息反馈渠道。①
二、馆藏档案信息资源集成
馆藏档案信息资源集成是档案馆信息服务建设的物质基础。学者毕建新、张照余曾从标准、技术和组织管理层面对档案信息资源集成进行了阐述,②笔者认为档案信息资源共享之资源集成最基本的内容是档案信息资源的集成。
1.资源的有效
“有效”的资源是档案信息资源集成整合的第一步。档案信息资源集成整合时不仅要讲究数量上的“合”,更要注重质量上的“合”,要保证对公众提供的档案信息资源都是有实用价值的,要保证整合时档案信息资源的可用性与可开放性。故要做到以下两点:一要及时对馆藏档案进行解密降密,保证可开放档案资源的内容与范围更新。 二要紧随时代特征和社会民生潮流,筛选符合当代社会需求与时代主题的档案资源,继而进一步挖掘档案知识内涵,丰富档案内容,实现档案信息资源有效共享。
2.集成的有效
手段的有效是档案信息资源有效集成的重要步骤。在进行馆藏资源结构调整时,不能盲目地、不切实际地强调馆藏档案结构上的完整,因为从全国档案馆藏分布实际来看,即使是综合档案馆内的馆藏档案也不可能是真正的综合,这是由我国特殊的政治体制以及档案事业体制决定的,如城建档案馆与综合档案馆之间的矛盾等。在整合档案信息资源时要分析社会对档案信息的需求,分析信息用户的特征,继而针对性地整合优化馆藏档案信息资源,一要丰富和优化馆藏内容和结构,建构平民化的档案馆藏;二要加强特色馆藏的建设,并通过一系列专题服务形式进行开发利用的工作,以实现多元一体化的服务模式。
三、信息技术集成
信息技术集成要敢用、善用新技术,利用网络技术构建一个虚拟环境,营造一个虚拟共享平台。在这个数字环境中,用户通过各种功能界面,通过安装网络搜索引擎,获取电子档案资源及其他信息资源。然而对各种信息技术,也不能盲目地应用。
1.敢用新技术
档案界在谈到现在网络技术对档案工作的运用时多用“新”这个字眼。实际上这个“新”只是相对于档案工作的传统手段而言的,而这些媒体、网络、计算机技术在计算机行业、其他学科领域以至图书馆学领域都早已被运用。面对现在科技的发展及社会发展的压力,档案学科需要这些网络通信技术来提升自己的工作效率,故面对这些“新”技术,我们要敢于去利用,去构建档案信息资源的共享场所,拓展档案工作的空间。
2.善用信息技术
档案信息资源开发利用离不开网络技术的驱动,善用信息技术要用集成的思想管理这些信息技术,包括技术集成与档案网站集成。信息技术集成指除了拥有获取电子资源的软件外,还应安装各种软件,提供一致、快捷的用户界面和简明详细的电子版使用指南。在充分利用数字档案馆资源的基础上,加强一站式搜索引擎、知识导航、虚拟参考咨询、虚拟社区档案、专题论坛、培训课程与预约系统等内容的建设。③档案网站集成指档案馆要在《全国档案信息化建设实施纲要》的指导下,加强自身的信息化建设,实现政府上网工程,进一步在总体上加强馆际间的网络建设,实现彼此间的联网工作,从而实现彼此间档案信息资源的共享。目前,全国基于互联网的档案网站已逾千个,且都直接或间接地链接在一起,供登录者了解馆藏范围,检索档案文件的目录信息。这种方式被称为“网站集群”。④
四、服务环境集成
服务环境集成即要把档案信息资源建设放入社会各种环境中,对各个环境综合分析,获取档案信息资源建设的有利因素,进而采取相应措施,联合其他外部环境力量共同推进档案馆的信息服务建设。
1.环境的集合
在信息化及档案信息化这一大时代背景下,档案信息资源集成建设面临着各种外部环境。一是近年来政务信息环境的形成为档案信息资源共享建设提供了客观的条件。二是国家法制法规如《中华人民共和国信息网络国际联网管理暂行规定》、《互联网电子公告服务管理暂行规定》等的逐渐建立为档案信息资源集成建设提供政策环境。三是国家网络基础设施的不断改善以及数字化技术、数据库技术、网络通信技术、多媒体和超文本等技术的发展为档案信息资源集成建设提供了技术支撑环境。
2.协同共建
我国档案馆信息资源集成建设的要素和措施纷繁复杂,既包含档案工作的专业范围,又涉及了管理学、计算机技术等领域,实际操作时须把这些因素紧密结合起来考虑。不仅要认识到这些措施的重要作用,还要弄清楚它们之间的关系,使其能够和谐共处,共同发挥作用。
2008年5月1日《政府信息公开条例》的正式实施,为综合档案馆向公共档案馆转型提供了一个良好的契机。档案部门参与了政府信息公开工作,成为政府部门公开政府信息的场所,拓展了档案服务工作的领域。档案馆借此机遇向公共档案馆转型,更加突出其服务性、公共性和开放性,更加体现出档案部门所应该具有的文化价值。因而我们应借此时机,发挥协同理念的思想内涵,加强与政府部门的合作,共同做好政府信息的公开,服务社会。同时,社会用户也是档案馆信息资源集成建设体系中的重要部分。要以人为本,从用户需求出发,以丰富的档案信息资源满足用户的需求。并建立用户反馈机制,对档案馆的服务质量进行评价,形成档案馆与用户的互动,最终在档案馆信息资源集成建设这一动态服务环境中,档案馆、政府部门与社会用户三者协同合作,共建共享,共同推动档案馆工作向前发展。
五、档案馆功能集成
功能集成是信息共享空间理念⑤的理论基础之一,它是一种使相关多元信息有机融合并优化使用的理念。国内相关公共档案馆建设也应用了功能集成的理念,且取得了一定的成效。如2004年4月建成的上海市档案馆外滩新馆便是集决策参考、展览教育、社会课堂、咨询利用、信息集聚和传播、市场服务、学术交流、文化休闲等功能为一体的一种新的服务窗口。
现要将档案馆信息资源建设看成一个功能集成的过程,将档案馆的各种功能,如档案保管、档案研究、存史资政、展览教育、社会课堂、咨询利用、信息集聚和传播、市场服务、学术交流、文化休闲等,通过依托整合的档案资源基础,先进的技术驱动,优化构建档案馆的服务模式与体系。通过功能集成,实现档案馆的集成化“一站式”,将信息开放存取环境中的档案信息资源系统与服务体系进行无缝式链接,实现档案管理与利用工作“管理无缝隙,服务无边界”的新要求。
注释:
①⑤任树怀,盛兴军.信息共享空间理论模型建构与动力机制研究[J].中国图书馆学报,2008(4):34-40.
1.高职院校档案管理信息化建设的重要意义
1.1更利于对于档案纸质的保护
作为高职院校来讲,通常会有用成千上万的学生和工作人员,需要进行管理的档案无疑是一个庞大的数目。同时,这些档案资料对于学生和学校来说都有着极其重要的意义。伴着社会和经济的不断发展,学校的规模也在不断进行扩大,但是,单纯凭借手工操作对重要档案资料进行管理,仍然会出现重要档案出现丢失或者是损坏的现象,这种情况是无法避免的;平时资料还会经常被查阅,同然也会带来一定程度的破坏,甚至是丢失。如果选用计算机进行管理,上述现象就不会再出现。其次,档案资料进行信息化管理之后,使用起来也会更加便捷。
1.2有利于管理人员工作效率提高
当今的时代是一个追求效率的时代,原来的高职院校档案管理中,纸质档案无法形成信息网,借阅的时候都需要工作人员利用手工进行操作,不仅浪费时间、浪费精力还容易出现差错,并且在对档案进行管理和统计的时候同样出现了诸多不便,工作效率被大大降低。实施信息化管理之后,档案的管理就可以呈现出自动化、实时化以及网络化的特征。档案进行记录之后,可以反复进行记录,更加易于保存,也容易进行修改,还可以借助网络来进行传送,这样档案的使用率就被大大提高起来。
2.推进高职院校档案信息化建设的对策
2.1转变传统管理模式,提升综合服务水平
档案真正的价值在于利用,高职院校档案信息管理部门应当转变管理观念,彻底摒弃传统的重藏轻用的管理模式,注重档案价值的开发与利用;要加强现代化信息技术的应用,以实现档案信息资源的共享,进而促进工作质量和服务水平的提高;要从以往的“你求我供”的被动服务方式转变为网上主动提供的服务方式,以便在当前的网络环境中,促进管理和档案业务工作自动化的真正实现。
高职院校档案信息化建设过程中,一方面要对档案进行深加工,积极主动地对档案管理的信息进行组织、开发、管理、利用;另一方面,强化档案信息的传播,要依托校园网建立档案信息网站,把档案信息公布给广大师生;同时,在网页中设置目录查询、机构简介、政策法规和业务规范等诸多栏目,引导用户正确使用档案信息,构建新型的档案信息服务模式。
2.2利用现有设施设备,不断提高建设质量
提升档案信息化技术水平。由于高职院校用于档案信息化的经费偏于紧张,要配备充足、先进的档案信息管理设施设备目前还不易做到,档案管理人员应结合实际,在配备必不可少的信息设备的同时,充分挖掘和利用学校现有信息人才和设施设备资源,为档案信息化建设所用。可利用现有扫描仪、照相机、微缩胶卷、光盘、硬盘等,对重要档案进行鉴定、扫描、整理、保存,通过阅读器等存储、利用,并争取异地备份保存,加强安全管理。要抓好教学、科研、学生、人力资源管理等工作的建档、归档,利用办公自动化和信息公开平台,在各部门建立信息资源体系和查询系统,逐步实现办公自动化与档案信息化建设的统一。要注重信息共享,在保密原则下,实现局域网内信息共享。还要加强档案管理的科研工作,科研先行,资源共享,提升信息化建设质量。
2.3 学习借鉴先进经验,更新自身服务理念
信息时代档案专业实践的发展领域已经明显跨越了档案馆室的界限,档案管理人员也从档案实体保管员转变为档案知识管理者、档案信息提供者和决策咨询者,角色的转变伴随着观念的更新和管理的创新。信息化建设要求高职院校档案管理人员必须走出传统模式,学习国内外档案管理信息化建设的先进理念和管理方法,转变服务观念,变被动为主动,利用信息技术,做好档案信息的综合分析,及时准确地为相关部门提供有价值的信息,为正确解决问题提供第一手资料,把资料库存变成信息资源库,把沉寂的“死档案”变成有价值的“活”知识。在档案信息利用服务工作中要以人为本,从用户角度出发进行档案信息化建设和管理,营造一个方便、高效、轻松的档案信息利用环境,使档案馆(室)成为一个人们愿意去、喜欢去且去有所获的信息资料库,切实为师生员工服务,促进学校教学、科研、管理等工作的发展。
2.4加快完善数字档案,建设高质量数据库
档案信息资源建设是信息化建设的基础和核心。在数字化档案硬件架构建设完成之后,应按照《纸质档案数字化技术规范》,将原有馆藏传统载体档案,通过扫描、加工和处理,进行数字化转换,形成规范化、系列化的文字、声像等档案数据。将这些数据统一存入资源库,通过对数据库的完善来完成档案数字化进程。对于日后产生的新档案,要求直接保存为数字格式,并且定期按照一定的顺序存入数据库。在档案数字化建设过程中,还要同时做好自身馆藏档案机读目录建设,以方便对档案的管理和应用。用户可以根据所需档案的关键词对档案进行检索和调用,既节约了时间和精力,也降低了?n案管理部门工作的复杂程度。
数字校园是以校园网为背景的集教学、管理和服务为一体的一种新型的数字化工作、学习和生活环境。一个典型的数字校园包括各种常用网络服务、共享数据库、身份认证平台、各种业务管理系统和信息门户网站等[1]。数字校园作为一个庞大复杂的信息系统,构建和维护一个良好的信息安全管理体系是一项非常重要的基础管理工作。
信息安全风险评估是构建和维护信息安全管理体系的基础和关键环节,它通过识别组织的重要信息资产、资产面临的威胁以及资产自身的脆弱性,评估外部威胁利用资产的脆弱性导致安全事件发生的可能性,判断安全事件发生后对组织造成的影响。对数字校园进行信息安全风险评估有助于及时发现和解决存在的信息安全问题,保证数字校园的业务连续性,并为构建一个良好的信息安全管理体系奠定坚实基础。
二、评估标准
由于信息安全风险评估的基础性作用,包括我国在内的信息化程度较高的国家以及相关国际组织都非常重视相关标准和方法的研究。目前比较成熟的标准和方法有ISO制定的《IT信息安全管理指南》(ISO/IEC13335)和《信息安全管理体系要求》(ISO/IEC27001:2005)、美国NIST制定的SP800系列标准、美国CMU软件工程研究所下属的CERT协调中心开发的OCTAVE2.0以及我国制定的《信息安全技术——信息安全风险评估规范》(GB/T20984-2007)。
ISO/IEC27001系列标准于2005年10月15日正式,作为一种全球性的信息安全管理国际标准适用于任何组织的信息安全管理活动,同时也为评估组织的信息安全管理水平提供依据。但是ISO27001系列标准没有制定明确的信息安全风险评估流程,组织可以自行选择适合自身特点的信息安全风险评估方法,如OCTAVE2.0等[2][3]。
为了指导我国信息安全风险评估工作的开展,我国于2007年11月正式颁布了《信息安全技术——信息安全风险评估规范》(GB/T20984-2007),这是我国自主研究和制定的信息安全风险评估标准,该标准与ISO27001系列标准思想一致,但对信息安全风险评估过程进行了细化,使得更加适合我国企业或者组织的信息安全风险评估工作开展。
三、评估流程
《信息安全技术——信息安全风险评估规范》(GB/T20984-2007)等标准为风险评估提供了方法论和流程,为风险评估各个阶段的工作制定了规范,但标准没有规定风险评估实施的具体模型和方法,由风险评估实施者根据业务特点和组织要求自行决定。本文根据数字校园的业务流程和所属资产的特点,参考模糊数学、OCTAVE的构建威胁场景理论和通用弱点评价体系(CVSS)等风险评估技术,提出了数字校园信息安全风险评估的具体流程和整体框架,如图1所示。
据图1可知,数字校园的信息安全风险评估首先在充分识别数字校园的信息资产、资产面临的威胁以及可被威胁利用的资产脆弱性的基础上,确定资产价值、威胁等级和脆弱性等级,然后根据风险矩阵计算得出信息资产的风险值分布表。数字校园信息安全风险评估的详细流程如下:
(1)资产识别:根据数字校园的业务流程,从硬件、软件、电子数据、纸质文档、人员和服务等方面对数字校园的信息资产进行识别,得到资产清单。资产的赋值要考虑资产本身的实际价格,更重要的是要考虑资产对组织的信息安全重要程度,即信息资产的机密性、完整性和可用性在受到损害后对组织造成的损害程度,预计损害程度越高则赋值越高。
在确定了资产的机密性、完整性和可用性的赋值等级后,需要经过综合评定得出资产等级。综合评定方法一般有两种:一种方法是选取资产机密性、完整性和可用性中最为重要的一个属性确定资产等级;还有一种方法是对资产机密性、完整性和可用性三个赋值进行加权计算,通常采用的加权计算公式有相加法和相乘法,由组织根据业务特点确定。
设资产的机密性赋值为,完整性赋值为,可用性赋值为,资产等级值为,则
相加法的计算公式为v=f(x,y,z)=ax+by+cz,其中a+b+c=1(1)
(2)威胁识别:威胁分为实际威胁和潜在威胁,实际威胁识别需要通过访谈和专业检测工具,并通过分析入侵检测系统日志、服务器日志、防火墙日志等记录对实际发生的威胁进行识别和分类。潜在威胁识别需要查询资料分析当前信息安全总体的威胁分析和统计数据,并结合组织业务特点对潜在可能发生的威胁进行充分识别和分类。
(3)脆弱性识别:脆弱性是资产的固有属性,既有信息资产本身存在的漏洞也有因为不合理或未正确实施的管理制度造成的隐患。软件系统的漏洞可以通过专业的漏洞检测软件进行检测,然后通过安装补丁程序消除。而管理制度造成的隐患需要进行充分识别,包括对已有的控制措施的有效性也一并识别。
(4)威胁—脆弱性关联:为了避免单独对威胁和脆弱性进行赋值从而造成风险分析计算结果出现偏差,需要按照OCTAVE中的构建威胁场景方法将“资产-威胁-脆弱性-已有安全控制措施”进行关联。
(5)风险值计算:在资产、威胁、脆弱性赋值基础上,利用风险计算方法计算每个“资产-威胁-脆弱性”相关联的风险值,并最终得到整个数字校园的风险值分布表,并依据风险接受准则,确认可接受和不可接受的风险。
四、评估实例
本文以笔者所在高职院校的数字校园作为研究对象实例,利用前面所述的信息安全风险评估流程对该实例对象进行信息安全风险评估。
1.资产识别与评估
数字校园的资产识别与评估包括资产识别和资产价值计算。
(1)资产识别
信息安全风险评估专家、数字校园管理技术人员和数字校园使用部门代表共同组成数字校园信息资产识别小组,小组通过现场清查、问卷调查、查看记录和人员访谈等方式,按照数字校园各个业务系统的工作流程,详细地列出数字校园的信息资产清单。这些信息资产从类别上可以分为硬件(如服务器、存储设备、网络设备等)、软件(OA系统、邮件系统、网站等)、电子数据(各种数据库、各种电子文档等)、纸质文档(系统使用手册、工作日志等)、人员和服务等。为了对资产进行标准化管理,识别小组对各个资产进行了编码,便于标准化和精确化管理。
(2)资产价值计算
获得数字校园的信息资产详细列表后,资产识别小 组召开座谈会确定每个信息资产的价值,即对资产的机密性、完整性、可用性进行赋值,三性的赋值为1~5的整数,1代表对组织造成的影响或损失最低,5代表对组织造成的影响或损失最高。确定资产的信息安全属性赋值后,结合该数字校园的特点,采用相加法确定资产的价值。该数字校园的软件类资产计算样例表如下表1所示。
由于资产价值的计算结果为1~5之间的实数,为了与资产的机密性、完整性、可用性赋值相对应,需要对资产价值的计算结果归整,归整后的数字校园软件类资产的资产等级结果如表1所示。
因为数字校园的所有信息资产总数庞大,其中有些很重要,有些不重要,重要的需要特别关注重点防范,不重要的可以不用考虑或者减少投入。在识别出所有资产后,还需要列出所有的关键信息资产,在以后的日常管理中重点关注。不同的组织对关键资产的判断标准不完全相同,本文将资产等级值在4以上(包括4)的资产列为关键信息资产,并在资产识别清单中予以注明,如表1所示。
2.威胁和脆弱性识别与评估
数字校园与其他计算机网络信息系统一样面临着各种各样的威胁,同时数字校园作为一种在校园内部运行的网络信息系统面临的威胁的种类和分布有其自身特点。任何威胁总是通过某种具体的途径或方式作用到特定的信息资产之上,通过破坏资产的一个或多个安全属性而产生信息安全风险,即任何威胁都是与资产相关联的,一项资产可能面临多个威胁,一个威胁可能作用于多项资产。威胁的识别方法是在资产识别阶段形成的资产清单基础上,以关键资产为重点,从系统威胁、自然威胁、环境威胁和人员威胁四个方面对资产面临的威胁进行识别。在分析数字校园实际发生的网络威胁时,需要检查入侵检测系统、服务器日志文件等记录的数据。
脆弱性是指资产中可能被威胁所利用的弱点。数字校园的脆弱性是数字校园在开发、部署、运维等过程中由于技术不成熟或管理不完善产生的一种缺陷。它如果被相关威胁利用就有可能对数字校园的资产造成损害,进而对数字校园造成损失。数字校园的脆弱性可以分为技术脆弱性和管理脆弱性两种。技术脆弱性主要包括操作系统漏洞、网络协议漏洞、应用系统漏洞、数据库漏洞、中间件漏洞以及网络中心机房物理环境设计缺陷等等。管理脆弱性主要由技术管理与组织管理措施不完善或执行不到位造成。
技术脆弱性的识别主要采用问卷调查、工具检测、人工检查、文档查阅、渗透性测试等方法。因为大部分技术脆弱性与软件漏洞有关,因此使用漏洞检测工具检测脆弱性,可以获得较高的检测效率。本文采用启明星辰公司研发的天镜脆弱性扫描与管理系统对数字校园进行技术脆弱性识别和评估。
管理脆弱性识别的主要内容就是对数字校园现有的安全控制措施进行识别与确认,有效的安全控制措施可以降低安全事件发生的可能性,无效的安全控制措施会提高安全事件发生的可能性。安全控制措施大致分为技术控制措施、管理和操作控制措施两大类。技术控制措施随着数字校园的建立、实施、运行和维护等过程同步建设与完善,具有较强的针对性,识别比较容易。管理和操作控制措施识别需要对照ISO27001标准的《信息安全实用规则指南》或NIST的《最佳安全实践相关手册》制订的表格进行,避免遗漏。
3.风险计算
完成数字校园的资产识别、威胁识别、脆弱性识别和已有控制措施识别任务后,进入风险计算阶段。
对于像数字校园这类复杂的网络信息系统,需要采用OCTAVE标准提供的“构建威胁场景”方法进行风险分析。“构建威胁场景”方法基于“具体问题、具体分析”的原则,理清“资产-威胁-脆弱性-已有控制措施”的内在联系,避免了孤立地评价威胁导致风险计算结果出现偏差的局面。表2反映了数字校园图书馆管理系统的资产、威胁、脆弱性、已有控制措施的映射示例。
将“资产—威胁—脆弱性—已有控制措施”进行映射后,就可以按照GB/T20984-2007《信息安全风险评估规范》要求进行风险计算。为了便于计算,需要将前面各个阶段获得资产、威胁、脆弱性赋值与表3所示的“资产—威胁—脆弱性—已有控制措施”映射表合并,因为在对脆弱性赋值的时候已经考虑了已有控制措施的有效性,因此可以将已有控制措施去掉。
本文采用的风险计算方法为《信息安全风险评估规范》中推荐的矩阵法,风险值计算公式为:R=R(A,T,V)=R(L(T,V)F(Ia,Va))。其中,R表示安全风险计算函数;A表示资产;T表示威胁;V表示脆弱性;Ia表示安全事件所作用的资产重要程度;Va表示脆弱性严重程度;L表示威胁利用资产的脆弱性导致安全事件发生的可能性;F表示安全事件发生后产生的损失。
风险计算的具体步骤是:
(a)根据威胁赋值和脆弱性赋值,查询《安全事件可能性矩阵》计算安全事件可能性值;
(b)对照《安全事件可能性等级划分矩阵》将安全事件可能性值转换为安全事件可能性等级值;
(c)根据资产赋值和脆弱性赋值,查询《安全事件损失矩阵》计算安全事件损失值;
(d)对照《安全事件损失等级划分矩阵》将安全事件损失值转换为安全事件损失等级值;
(e)根据安全事件可能性等级值和安全事件损失等级值,查询《风险矩阵》计算安全事件风险值;
(f)对照《风险等级划分矩阵》将安全事件风险值转换为安全事件风险等级值。
所有等级值均采用五级制,1级最低,5级最高。
五、结束语
数字校园是现代高校信息化的重要基础设施,数字校园的安全稳定直接关系到校园的安全稳定,而风险评估是保证数字校园安全稳定的一项基础性工作。本文的信息安全风险评估方法依据国家标准,采用定性和定量相结合的方式,保证了信息安全风险评估的有效性和科学性,使得风险评估结果能对后续建立数字校园的信息安全管理体系起到指导作用。
参考文献:
[1]宋玉贤.高职院校数字化校园建设的策略研究[J].中国教育信息化,2010(4).
关键词:信息安全;教学实践与探讨;启发式教学
中图分类号:G642.41 文献标识码:B
文章编号:1672-5913 (2007) 23-0031-03
1引言
信息安全是一门综合性的交叉学科,涉及数学、计算机、通信、信息、法律和管理等许多学科,涉及内容广泛,既要掌握基本原理知识,也要具有应用技术和设计方案的技能。因此,必须采用灵活多样的教学方法,本人在信息安全课程教学过程中实施了启发式教学方法,通过适时设计问题,施加因势利导的启发;辅之以适当的课外作业,巩固课堂知识;设置灵活的考核方式,取得了一定成效。
2信息安全课程的知识结构及教学目标
2.1信息安全课程的知识结构
按照研究的角度和内容不同,信息安全课程包含的四方面内容:
(1) 密码学理论与技术
所涉及到的知识有基于数学的密码理论和技术,包括古典密码体制、分组密码、序列密码、公钥密码体制、认证码、数字签名技术、HASH函数、身份识别技术、密钥管理及PKI技术;在非数学的密码理论与技术方面,主要包含信息隐藏、量子密码和基于生物特征的识别理论与技术。
(2) 安全协议理论与技术
安全协议的研究主要包括两个方面的内容,即安全协议的安全性分析和各种安全协议的涉及与分析研究。典型安全协议有:安全电子支付协议(SET)、安全套接字协议(SSL)及IPSec协议,等。
(3) 信息防范理论与技术
主要包括:信息分析与监控,入侵检测原理与技术,应急响应系统,计算机病毒,等。
(4) 网络安全与安全产品
网络安全包括网络物理安全和逻辑安全,还包括网络安全整体解决方案的涉及与分析,网络安全产品的研发,等。常见的网络安全产品有防火墙、安全路由器、虚拟专用网(VPN)、安全服务器、CA和PKI产品、用户认证产品、入侵检测系统(IDS)、漏洞扫描工具,等。
2.2课程教学目标
通过对以上几方面的学习,使学生能够掌握信息安全的基本理论框架、通用技术;了解本学科的最新发展动态;能熟悉和掌握几种常用的密码算法和协议,并逐步具备解决信息安全中的与密码相关的工程实践的能力;掌握几种常用的应用安全协议和开发组件;将典型的安全技术初步应用到实践中。
3信息安全课程的教学思路与实践
信息安全该课程是一门综合性很强的课程,所涉及的前序课程主要有:程序设计、数据结构、计算机原理、操作系统、计算机网络、高等数学。这些学科在我校计算机系一般在大学三年级上学期才能修完。因此,信息安全课程的开设不能与其他前序课程并行,选在大三下学期或者大四上学期开设最佳。
3.1通过趣味性的实例实施启发式教学
启发式教学是教师根据教学目标,从学生的知识基础、年龄特点的实际出发,引导学生积极思考,使他们主动地获取知识,发展主观能动性双向教学方法。启发式教学的主要特点是强调学生的主体角色,实现教师引导与学生积极学习相结合;同时应强调理论与实践相结合,实现书本与实际运用相结合。
在启发式教学实践中,教师首先要激发学生求学的兴趣与积极性。对于信息安全课程的密码学理论部分,若采用传统的灌输式教学方法,课堂教学枯燥无味,甚至有一些学生会产生抵触心理。针对这种情况,我们应该先避免直接进行比较理论知识的讲解,先介绍密码技术的发展历史,比如采取从我国四大名著之一的《水浒传》中“吴用智赚玉麒麟”中所见到的一首藏头诗开始讲述其中所包含的密码学知识。“芦花丛中一扁舟,俊杰俄从此地游,义士若能知此理,反躬难逃可无忧”,从而引出我国古代使用具有艺术色彩的隐写技术来保密真实信息的方法,激发学生对密码技术的学习积极性。随后引入原始的“凯撒密码”技术的讲解,并让学生主动参与这些算法的演算,分三人一组的进行上机实践。在上机实践的时候每组中有一方为发送方,一方为接收方,第三方为入侵方,通过实验测试这些算法对数据的保密功能以及测试该算法的抗攻击能力,避免了纯理论讲解教学模式。
3.2通过适时设计问题实现因势利导的启发
在具体的教学过程中,如何围绕知识点设计适当的问题是启发式教学成功与否的关键所在。在信息安全课程关于对私钥加密体制的代表算法DES及公钥加密体制的代表算法RSA的讲解部分,更不能采用传统的“填鸭”式教学方法。在教学过程中可设计适当的情景问题,先从公钥与私钥密码体制的特点讲起,并以典型代表算法DES与RSA为例,设立“如何将二者优点进行结合的设计问题”让学生去思考,让学生从被动接收RSA和DES的理论的模式转移出来,主动参与对问题的讨论。老师因势利导的启发学生,并给出以RSA算法传输DES的密钥,以DES算法保密要发送的消息的设计方案。然后进行算法理论核心介绍,并通过Java的调包类给出算法的实验测试。采用这样的教学方法加深学生对算法应用的掌握。
3.3通过设置适当的课外作业,实现对所学知识的巩固
布置课外作业的目的就是促使学生课下能加强复习。教师可以围绕课堂上所讲的知识点,选择一个相关的课题或者布置一些拓展性的作业,让学生去完成。当然也可以针对信息安全课程的特点,要求学生利用课堂所讲的知识点,通过查阅学习相关资料知识后来自己设计一个主动防范的安全体系结构。这样可以强化学生自主学习的意识,锻炼学生的理论与实践相结合的能力。
3.4设置灵活的考核方式
由于信息安全课程内容比较多,在进行期末考核时应该合理分配基础知识与知识应用的比例。对于大纲要求掌握基本理论部分的内容应该占70%。对于理论运用和学科发展趋势方面的知识点应该采用发散的方案设计题,灵活考察学生运用所学知识进行问题解决能力。比如对对称密码体制与非对称密码体制及散列函数的结合应用方面,设计了一道 “以DES算法、RSA算法及MD5散列算法为例,设计最佳的具有保密功能签名的方案” 的考题,让学生在对对称密码体制、非对称密码体制、散列函数的应用及数字签名的理解的基础上发挥理论运用的能力。在成绩总评方面,设计的成绩比例为:课堂出勤和讨论20%,上机实验作业30%,期末卷面50%。基本达到了对学生理论知识、实践上机、方案设计的全面考核。
4实施效果及分析
启发式教学方法在该课程教学中收到了明显效果。从学生反馈信息中可以看到,学生对基本理论的理解比较牢固;应用比较灵活,能将书本所学内容与现实生活实例进行结合;上机编程能力得到了巩固。通过一个学期的实践教学,学生在期末考核中能正确运用基本知识进行方案设计的超过30%,能基本进行设计方案的也有40%。在考核试卷分析表中(表1)可以看出:考核分布呈合理趋势。
表1 期末考核试卷分析表
5对信息安全课程教学的进一步探讨