電子檔案信息安全保障體系建設研究

林野

[摘要]電子檔案與傳統(tǒng)檔案館相比有著極大的優(yōu)越性，然而它也存在著不少缺陷。電子檔案信息是隨著計算機網(wǎng)絡技術(shù)、電子技術(shù)以及多媒體技術(shù)等在檔案及其管理、利用諸環(huán)節(jié)中的不斷發(fā)展而衍生的一種新事物。如何建設電子檔案信息安全保障體系已經(jīng)成為當前一個亟需解決的問題。

[關(guān)鍵詞]電子檔案；信息安全；保障體系

[中圖分類號]G270.7 [文獻標識碼]A [文章編號]1672-5158（2013）06-0437-02

1 引言

信息時代把“電子檔案”這一新生事物推至我們面前?；诓煌恼J識背景和知識結(jié)構(gòu)，人們對它的理解和認識有所差別。“電子檔案”從社會意義上可以歸納為是將傳統(tǒng)的以紙張、錄音帶、錄像帶為存儲介質(zhì)的各種原始檔案資料，通過掃描、壓縮、轉(zhuǎn)化等手段轉(zhuǎn)換成圖片文件、聲音文件和錄像文件，對圖片文件可以通過文字識別等技術(shù)手段，再運用分級存儲管理技術(shù)將圖片和索引字段存儲于光盤庫等各種大容量的存儲介質(zhì)上，并可通過各種方便的查詢手段迅速地檢索出所需要的檔案資料，發(fā)布到局域網(wǎng)、廣域網(wǎng)、企業(yè)內(nèi)部網(wǎng)、國際互聯(lián)網(wǎng)，最終實現(xiàn)“電子檔案”。檔案的安全保管和有效利用，是檔案工作最基本的兩項任務。

2 影響電子檔案信息安全的因素

在電子檔案的歸檔、管理和服務利用等過程中，影響電子檔案安全的因素主要來自四個層面：

2.1 網(wǎng)絡軟件因素

網(wǎng)絡因素主要指系統(tǒng)外部非法用戶和不安全數(shù)據(jù)包侵犯竊取秘密與篡改破壞檔案信息。這是計算機網(wǎng)絡所面臨的最大威脅，也稱黑客行為。它們又可以分為以下兩種：一種是主動攻擊，即以各種方式有選擇地破壞數(shù)據(jù)的原始性和完整性；另一類是被動攻擊，它是在不影響網(wǎng)絡正常工作的情況下，進行截獲、刪除、竊取、破譯以獲得重要機密信息。這兩種攻擊均可對計算機網(wǎng)絡造成極大的危害，并導致信息的機密數(shù)據(jù)的泄漏。

2.2 硬件數(shù)據(jù)因素

硬件因素主要指網(wǎng)絡運行系統(tǒng)的物理設備問題，如：主機硬件系統(tǒng)本身的安全漏洞，路由交換設備的不穩(wěn)定，或硬件設備的意外損壞造成的系統(tǒng)癱瘓等；

數(shù)據(jù)因素主要指設計系統(tǒng)存儲檔案的數(shù)據(jù)安全問題，如數(shù)據(jù)版本與格式轉(zhuǎn)換，存儲介質(zhì)的老化失效，自然災害造成的數(shù)據(jù)丟失和損壞等。

2.3 應用管理因素

主要指檔案管理信息系統(tǒng)在實際應用操作過程中存在的安全問題。管理是保護電子檔案信息安全的主要手段，而責任不明、管理混亂、安全管理制度不健全及缺乏可操作性等都可能引起管理安全的風險。據(jù)調(diào)查，在已有的網(wǎng)絡安全攻擊事件中，約70%是來自內(nèi)部網(wǎng)絡的侵犯。如：檔案管理信息系統(tǒng)的用戶管理層次的不規(guī)范性；操作人員安全配置不當，用戶安全意識不強，口令選擇不慎，用戶將自己的帳號隨意轉(zhuǎn)借他人或與別人共享造成檔案信息泄密、原始信息被篡改等。這些都是因為管理不善而造成電子檔案信息不安全的因素。

2.4 突發(fā)性因素

非人為因素是指不是由于人的直接行為引起的電子檔案信息真實與完整的損失、檔案信息的破壞，如設備故障和失效、自然社會災害和意外災禍等，也叫突發(fā)性災害，主要指不可抗拒的自然災害，如：雷擊、火災、地震、水災、颶風以及其他不可預測的突發(fā)事件等。針對影響電子檔案信息網(wǎng)絡安全的種種危險因素，在電子檔案信息資源的系統(tǒng)安全管理中采取相應的預防措施即安全技術(shù)防護至為重要。

3 電子檔案信息安全保障體系的建設

電子檔案信息的安全包括網(wǎng)絡、系統(tǒng)安全；信息安全；物理安全等方面，要有可靠的技術(shù)措施和完善的管理制度來保證各方面的安全。因此，安全管理機制建設創(chuàng)新要有實招：

3.1 組建信息安全管理機構(gòu)

機構(gòu)級可以在本單位現(xiàn)有的頂層如信息安全與保密委員會下設電子檔案工作小組，在建立了機構(gòu)時必須同時制定職責、運作機制等相關(guān)制度，使保密機構(gòu)真正起到?jīng)Q策、監(jiān)督作用。

3.2 電子檔案信息安全體系建設

電子檔案的安全與保密除通過軟硬件保障外，制度的保障更加重要，因此必須制定相關(guān)的規(guī)章制度，主要有以下幾項：

3.2.1 建立安全管理制度

管理制度是保證電子信息安全的重要措施。維護電子信息的安全除了技術(shù)手段外，更重要的是要加強對信息的管理，制定合理而嚴密的管理措施和規(guī)范，才能真正保護電子信息的真實、可靠和完整。因此，為保證電子檔案信息的安全，必須制定以下各項規(guī)章制度：文檔管理制、人員安全管理制度、應用系統(tǒng)運營安全管理制度、系統(tǒng)運行環(huán)境制度。

3.2.2 建立網(wǎng)絡管理制度

計算機網(wǎng)絡系統(tǒng)的安全系數(shù)會隨著時間的推移而降低。原因很多，主要有設備老化，安全技術(shù)方法逐漸泄露，管理日漸松懈，攻擊者經(jīng)驗的積累等。與此相反，電子文件和電子檔案的價值卻隨著時間積累而增加，對系統(tǒng)安全的要求越來越高。因此，為長時間保證安全，必須結(jié)合本單位的實際，建立配套的、切實可行的網(wǎng)絡管理制度。

3.2.3 建立全過程的電子文件管理制度

電子文件從形成到電子檔案的開發(fā)利用，中間要經(jīng)過很多環(huán)節(jié)，哪一個環(huán)節(jié)出了問題都會影響電子文件的真實可靠性。因此建立全過程的管理制度，明確各環(huán)節(jié)的職責要求，就顯得非常重要。如電子文件形成之后，要及時收集積累，以防分散狀態(tài)下發(fā)生信息丟失；電子文件歸檔時，要嚴格檢查相關(guān)文件是否收集齊全，負責就會給將來利用帶來困難和麻煩；遷移時，要認真檢查是否發(fā)生信息丟失。任何環(huán)節(jié)的疏忽，都對電子信息的真實性與可靠性造成危害。

3.2.4 建立電子文件管理記錄系統(tǒng)

為加強對電子文件的管理，保證電子文件的法律證據(jù)性而建立。記錄系統(tǒng)內(nèi)容：

（1）對于收集積累階段在網(wǎng)絡系統(tǒng)上傳輸?shù)碾娮游募?，可通過網(wǎng)絡系統(tǒng)自動記錄有關(guān)信息；

（2）文件在現(xiàn)行期的重要處理環(huán)節(jié)，如文件的創(chuàng)立、登記、修改、審核、簽署、分發(fā)；

（3）文件在半現(xiàn)行期和非現(xiàn)行期的管理、利用等；

（4）對于按存儲載體方式進行收集、積累的電子文件，還要輔以必要的人工記錄。

（5）文件存儲位置的改變、數(shù)據(jù)轉(zhuǎn)換的記錄；

3.3 電子檔案信息安全與保密日常監(jiān)督與檢查

電子檔案的安全與保密還必須通過日常的監(jiān)督與檢查來得到保證，設備的日常維護，制度的貫徹與落實等等都必須落實到日常的工作中，一是檢查人員的安全防護意識；二是檢查各項規(guī)章制度的執(zhí)行情況；三是檢查機器設備和網(wǎng)絡運行情況；四是檢查網(wǎng)上數(shù)據(jù)的流動情況。因此電子檔案必須制定安全與保密制度，明確檢查周期、檢查項目與檢查方法，對出現(xiàn)問題要有歸零跟蹤，對違反紀律的員工有懲罰。

3.4 加強網(wǎng)絡安全管理的人文策略

加強對電子文件制作和管理人員的業(yè)務學習和技術(shù)培訓。在電子文件的安全管理過程中，僅靠制度是不夠的，一方面必須加強組織對涉及電子文件人員的業(yè)務學習和技術(shù)培訓。通過組織業(yè)務學習和技術(shù)培訓等途徑，盡快使他們掌握信息管理自動化的知識和技能，擔負起電子文件歸檔工作的重任。另一方面要加強人才隊伍的建設。人才隊伍的建設貫徹以管理型人才為基礎，以復合型人才為重點的指導思想。根據(jù)電子檔案業(yè)務工作的劃分，所需人才的類型有：檔案采集、處理與數(shù)據(jù)加工人才；信息技術(shù)及計算機系統(tǒng)和網(wǎng)絡設計與開發(fā)人才；檔案信息分析、研究與咨詢?nèi)瞬?；電子檔案理論與方法研究人才；電子檔案系統(tǒng)運營與服務的管理人才。對人才隊伍業(yè)務素質(zhì)的要求是具有較全面的知識結(jié)構(gòu)以及敏銳的信息意識、良好的信息道德、較強的信息能力，以適應電子檔案的建設和正常運行的需要。

結(jié)束語

總之，電子檔案信息安全保障體系應是一個包含法制標準、基礎設施、組織管理、安全技術(shù)、災難恢復機制的多層次、全方位的系統(tǒng)，該系統(tǒng)以法制標準為重要手段，以安全基礎設施為基礎，在整體安全策略和安全組織管理之下，采用國內(nèi)外先進成熟的安全技術(shù)，制訂統(tǒng)一的備份恢復策略，建立完備的綜合防范機制，以保障電子檔案信息安全、可靠、有序、高效地運行，確保電子檔案信息資源的高安全性、高可靠性和高可用性。同時，積極促進檔案整體信息化應用水平的全面提高，為信息化建設保駕護航。

參考文獻

[1]趙暉：電子檔案信息安全管理面臨的問題和挑戰(zhàn)，《城建檔案》2013（1）

[2]王玉杰；蘇衛(wèi)東：檔案信息化與檔案信息安全保障體系建設，《機電兵船檔案》2012（8）

[3]劉俊玲：檔案開放利用的信息安全保障研究，安徽大學，2012