科技計劃項目檔案信息化建設(shè)中的信息安全及防護措施

摘要：本文對進行科技計劃項目檔案信息化建設(shè)過程中遇到的信息安全問題進行分析，從系統(tǒng)、制度、技術(shù)和人員等四個方面提出有效防護保障措施。

關(guān)鍵詞：科技計劃項目檔案信息安全防護措施

科技計劃項目是以科學(xué)技術(shù)發(fā)展規(guī)劃綱要為指導(dǎo)，以提高科技創(chuàng)新能力、解決經(jīng)濟與社會發(fā)展中的關(guān)鍵性科技問題為重點，由國家科技計劃安排，在一定期限內(nèi)進行的科學(xué)技術(shù)研究開發(fā)項目。科技計劃項目申請立項、審核、立項研究、研究過程以及驗收活動等一系列過程中形成的必須歸檔的文件材料就是科技計劃項目檔案。隨著我國科學(xué)技術(shù)的發(fā)展進步，國家對科技計劃項目管理也日趨完善，據(jù)統(tǒng)計，2013年度福建省省級以上科技計劃項目共計2922項，安排年度經(jīng)費17億多元。如何將科技計劃項目研究成果轉(zhuǎn)化為現(xiàn)實生產(chǎn)力，并為社會所用，進行科技計劃項目檔案信息化建設(shè)是必然選擇。

一、科技計劃項目檔案信息化建設(shè)中的檔案信息安全問題

根據(jù)國家對信息安全的定義：信息安全是指信息網(wǎng)絡(luò)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護，不受偶然的或者惡意的原因而遭受破壞、更改、泄露，系統(tǒng)連續(xù)正常地運行。在科技計劃項目檔案信息化實施的過程中，同樣會遇到信息安全問題，應(yīng)引起重視并認真研究解決。

（一）檔案管理軟件系統(tǒng)存在信息安全問題

目前，福建省科技檔案館使用的檔案管理軟件是科易檔案管理軟件，該系統(tǒng)是一套綜合檔案管理系統(tǒng)，遵循國家檔案局制定的規(guī)范標準，并結(jié)合科技檔案館實際需求定制的。它可以實現(xiàn)全部檔案目錄數(shù)據(jù)的規(guī)范化管理和查詢利用，其中文書檔案實現(xiàn)了全文掃描件和OA系統(tǒng)對接的電子檔案全文管理。同時也應(yīng)看到，科易檔案管理軟件系統(tǒng)采用VB技術(shù)，容易遭受非法入侵者的攻擊，很有可能導(dǎo)致檔案信息資料被泄露和被篡改，這對檔案信息管理的安全性造成了威脅。此外，使用該系統(tǒng)時，還常常會遇到突然死機、突然自動跳出系統(tǒng)的情況。因此，全面實現(xiàn)科技計劃項目檔案信息化仍需進行一系列升級改造，并強化檔案信息安全功能。

（二）安全管理制度不完善帶來信息安全問題

目前我國對文書檔案進行管理的法規(guī)、標準、規(guī)范較為完備，而關(guān)于科技計劃項目檔案的法規(guī)、標準、規(guī)范則較少。例如，1980年，由國家經(jīng)委、建委、科委、檔案局四家聯(lián)合制定、頒發(fā)的《科學(xué)技術(shù)檔案工作條例》，至今未修訂過；1992年國家檔案局頒布的《科學(xué)技術(shù)研究課題檔案管理規(guī)范》，也多年未修改過。

（三）開放的網(wǎng)絡(luò)環(huán)境存在信息安全問題

科技計劃項目檔案信息化最后要通過檔案系統(tǒng)與科技計劃項目管理系統(tǒng)的無縫對接、電子文檔的遷移、接收來實現(xiàn)的。福建省科技計劃項目管理系統(tǒng)面向全省所轄范圍內(nèi)的政府、企事業(yè)單位的管理人員、科研人員，需要依靠互聯(lián)網(wǎng)（外網(wǎng)）來進行彼此的建構(gòu)。在互聯(lián)網(wǎng)環(huán)境下，信息安全具有諸多不確定性，黑客的攻擊和病毒的入侵都會使檔案信息安全受到影響。

（四）不了解網(wǎng)絡(luò)技術(shù)而人為忽視信息安全問題

電子檔案與傳統(tǒng)檔案相比具有較大差異，檔案信息化要求檔案管理人員不僅要具備管理知識，還要掌握網(wǎng)絡(luò)、電子信息技術(shù)及信息安全防護知識。目前，很多檔案人員雖然懂得檔案管理，但是對用計算機技術(shù)去處理信息安全問題知之甚少，甚至對在網(wǎng)絡(luò)環(huán)境中檔案信息存在哪些安全問題也不清楚，哪些環(huán)節(jié)會產(chǎn)生檔案信息安全問題也不清楚，更不清楚如何解決安全問題。此外，部分檔案人員安全意識淡薄，在相關(guān)安全問題上采取放任態(tài)度，也會使檔案信息安全出現(xiàn)問題。

二、科技計劃項目檔案信息化建設(shè)中檔案信息安全的有效防護措施

（一）系統(tǒng)方面：對檔案管理軟件系統(tǒng)進行升級改造

首先，針對科易檔案管理軟件系統(tǒng)在系統(tǒng)結(jié)構(gòu)、數(shù)據(jù)存儲、提供利用等方面的問題逐項進行研究，進行檔案管理軟件系統(tǒng)升級，升級后的系統(tǒng)設(shè)計應(yīng)基于J2EE平臺開發(fā)的B/S結(jié)構(gòu)，力求系統(tǒng)功能齊全，可共享數(shù)據(jù)，有較高的數(shù)據(jù)獨立性和易拓展性，操作方便，保證數(shù)據(jù)輸入與處理的準確性和安全性。這樣既符合科技計劃項目管理的規(guī)律，又滿足檔案管理的要求。其次，對于福建省科技計劃項目管理系統(tǒng)，除了要融合J2EE技術(shù)與數(shù)據(jù)庫技術(shù)，實現(xiàn)科技項目網(wǎng)上申報、推薦、受理、評審，任務(wù)書簽訂，執(zhí)行情況跟蹤和驗收等功能，特別是在局域網(wǎng)實現(xiàn)立項、經(jīng)費計劃、經(jīng)費結(jié)轉(zhuǎn)等功能以外，還應(yīng)符合電子文件收集、遷移、歸檔的技術(shù)要求。如通過Web Service技術(shù)，在科技計劃項目系統(tǒng)和檔案管理系統(tǒng)中建立對接通道，實現(xiàn)數(shù)據(jù)的交互對接；科技計劃項目管理系統(tǒng)中電子文件進入中間庫（預(yù)歸檔庫）之前要先進行統(tǒng)一的格式轉(zhuǎn)換；對同一項目的科技計劃項目應(yīng)歸檔電子文件自動封裝成XML封裝包，將Web Service接收到的已通過檢驗的XML封裝包自動解包遷入至檔案管理系統(tǒng)中。除了管理系統(tǒng)軟件的升級改造以外，檔案信息安全也離不開系統(tǒng)硬件設(shè)備的安全。例如網(wǎng)絡(luò)設(shè)備的安全，包括存儲設(shè)備的安全、服務(wù)器的安全、操作設(shè)備的安全等。

（二）制度方面：逐步建立健全信息化檔案信息安全的法律法規(guī)體系及管理制度

我國科技計劃項目檔案信息化建設(shè)起步較晚，雖然已經(jīng)制定公布了一批有關(guān)計算機網(wǎng)絡(luò)安全方面的相關(guān)法律，如《計算機安全保護條例》、《計算機信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)保密管理規(guī)定》等，但尚無有關(guān)科技計劃項目檔案信息安全方面的專門法規(guī)。因此，要逐步建立健全信息化檔案信息安全的法律法規(guī)體系。目前，據(jù)筆者所知部分省市結(jié)合相關(guān)研究和初步實踐，開始制定或起草了適應(yīng)科技計劃項目檔案管理實際需求的檔案信息安全法規(guī)標準，例如福建省制定了《福建省科技廳科技計劃項目檔案整理辦法》、《福建省科技廳科技計劃項目電子文件元數(shù)據(jù)規(guī)范》和《福建省科技廳科技計劃項目電子文件歸檔與電子檔案管理辦法》等。同時，還要建立健全計算機和網(wǎng)絡(luò)系統(tǒng)的各項規(guī)章制度。計算機及網(wǎng)絡(luò)硬件設(shè)施是保證數(shù)字檔案信息安全存儲和傳遞的物質(zhì)基礎(chǔ)，要制定包括網(wǎng)絡(luò)線路、通訊設(shè)備、服務(wù)器、機房等支持檔案管理機構(gòu)內(nèi)部檔案信息管理系統(tǒng)運行的防火防盜制度和定期維護制度，并落實責(zé)任人，加強對口令（密碼）、授權(quán)（權(quán)限）的管理。此外還要建立和完善定期備份和異質(zhì)備份、異地備份管理制度。

（三）技術(shù)方面：運用先進技術(shù)，保障數(shù)字檔案的信息安全

一是訪問控制技術(shù)。訪問控制是為了防止未授權(quán)的訪問而對訪問者的身份進行識別，控制網(wǎng)絡(luò)以及其他資源，準許授權(quán)者瀏覽訪問信息資源而采取的技術(shù)。訪問控制技術(shù)是局域網(wǎng)的第一道安全防線，就像一堵墻把局域網(wǎng)保護在相對安全的區(qū)域內(nèi)，通過對來訪的請求進行控制，確認誰可以進入和誰可以走出這個受保護的環(huán)境。二是防火墻技術(shù)。用于增強局域網(wǎng)（內(nèi)網(wǎng)）和互聯(lián)網(wǎng)（外網(wǎng)）之間的訪問控制，保護內(nèi)部網(wǎng)絡(luò)免受非法用戶侵入、過濾不良信息、防止信息資源的未授權(quán)訪問。防火墻把安全防范集中在內(nèi)外網(wǎng)絡(luò)連接的阻塞點上，有效管理進出網(wǎng)絡(luò)的訪問行為。三是信息加密技術(shù)。信息加密技術(shù)通過信息的變換或編碼將機密敏感信息變換為難以讀懂的亂碼型信息，以達到保護數(shù)據(jù)安全的目的。其運作原理是對網(wǎng)絡(luò)上傳輸?shù)臋n案信息進行加密解密、數(shù)字簽名和簽名驗證，確保網(wǎng)上傳遞信息的機密性與完整性。四是數(shù)字水印技術(shù)。數(shù)字水印（Digital Watermarking）技術(shù)是將一些標識信息（數(shù)字水?。┲苯忧度霐?shù)字載體當(dāng)中（包括多媒體、文檔、軟件等）或是間接表示（修改特定區(qū)域的結(jié)構(gòu)），且不影響原載體的使用價值，也不容易被泄露和再次修改，但可以被生產(chǎn)方識別和辨認。通過這些隱藏在載體中的信息，達到確認內(nèi)容傳遞隱秘信息或者判斷載體是否被篡改等目的。五是復(fù)制、打印控制技術(shù)。防止電子文件的復(fù)制粘貼、打印下載等電子文件的擴散。未經(jīng)授權(quán)的文件，無論創(chuàng)建者還是使用者都不能打印，只有經(jīng)過申請，并得到管理員審核批準后，才能打印所指定的文件。

（四）人員方面：促進檔案人員對網(wǎng)絡(luò)等相關(guān)技術(shù)的了解，加強檔案信息安全意識

一方面要充實檔案隊伍的新生力量，將既懂得檔案業(yè)務(wù)又具有計算機專業(yè)知識的人員充實到檔案隊伍中來，適應(yīng)檔案管理的需要；另一方面對現(xiàn)有檔案人員不僅要求其具有較高的檔案專業(yè)知識和能力素質(zhì)，還應(yīng)加大培訓(xùn)學(xué)習(xí)力度，使其具有較廣博的現(xiàn)代化科學(xué)技術(shù)知識，特別是要對科技計劃項目檔案管理系統(tǒng)的相關(guān)技術(shù)知識有較為深入的了解，進而加強信息安全意識，這樣才會能更好地預(yù)防檔案信息安全問題的出現(xiàn)。

參考文獻：

[1]洪源清，朱文等.福建省科技計劃項目電子文件歸檔管理研究，課題研究報告[R]. 2013.

[2]王麗麗.國家科技計劃項目檔案管理現(xiàn)狀分析及對策[J].中國市場，2015（3）：74.

[3]周豐榮.科技檔案創(chuàng)新管理工作探索[J].中國管理信息化，2015（4）：209.