數(shù)字檔案信息館安全管理策略研究

鄔家鵬

制定一個(gè)應(yīng)對(duì)數(shù)字檔案信息安全現(xiàn)狀問題的對(duì)策包含理論和實(shí)踐問題，這是一個(gè)多層次、多因素和多目標(biāo)的完整性系統(tǒng)概念。數(shù)字檔案信息安全具有綜合性、相關(guān)性和可認(rèn)證性等屬性。如何在如今這個(gè)信息安全頻發(fā)的網(wǎng)絡(luò)時(shí)代確保數(shù)字檔案館信息安全這一方凈土，成為現(xiàn)代許多檔案學(xué)者關(guān)注的問題。本文根據(jù)筆者的從業(yè)經(jīng)驗(yàn)，從崗位管理、日志管理、存儲(chǔ)管理以及風(fēng)險(xiǎn)管理等方面提出相關(guān)建議，為數(shù)字檔案信息安全保駕護(hù)航。

一、完善崗位設(shè)置

數(shù)字檔案信息安全的保障是需要相應(yīng)的崗位人員。主要完善崗位設(shè)置的方法可以分為以下幾點(diǎn)：

1.設(shè)置安全管理崗位。數(shù)字檔案館信息安全部門應(yīng)根據(jù)管理系統(tǒng)、網(wǎng)絡(luò)管理員、安全管理人員等崗位，確定各自職責(zé)。

2.制定工作說明。工作說明一般是描述工作職責(zé)和工作內(nèi)容。這個(gè)內(nèi)容一般可以包括實(shí)施數(shù)字檔案信息安全管理制度的通用職責(zé)、保護(hù)具體以及執(zhí)行具體安全活動(dòng)的職責(zé)、工作范圍、獲得的授權(quán)以及承擔(dān)的責(zé)任等內(nèi)容。

3.建立保障數(shù)字檔案信息安全的團(tuán)隊(duì)。在保證有保障數(shù)字檔案信息安全崗位的前提下，根據(jù)檔案館的規(guī)模大小，可以建立一個(gè)保障數(shù)字檔案信息安全的團(tuán)隊(duì)，團(tuán)隊(duì)的職責(zé)是保障整個(gè)數(shù)字檔案信息系統(tǒng)的安全，從管理到技術(shù)，從法規(guī)到人員，保障各個(gè)方面的安全。

二、豐富日志管理措施

檔案部門應(yīng)豐富日志管理的制度，對(duì)日志管理的主要措施可以實(shí)施如下：

1.集合日志平臺(tái)：利用日志系統(tǒng)，將網(wǎng)絡(luò)設(shè)備日志、操作系統(tǒng)日志、應(yīng)用程序日志等等日志收集至一個(gè)平臺(tái)。

2.每日進(jìn)行日志類型梳理。每日梳理程序日志、安全日志以及系統(tǒng)日志等等。

3.日志管理系統(tǒng)引入。通過引入日志管理系統(tǒng)，可以有效地整合來自防火墻、堡壘機(jī)等安全設(shè)備和系統(tǒng)、操作系統(tǒng)、數(shù)據(jù)庫(kù)系統(tǒng)、應(yīng)用系統(tǒng)、中間系統(tǒng)的安全該管理數(shù)據(jù)和操作安全管理數(shù)據(jù)信息。

4.日志管理系統(tǒng)功能探索。日志管理系統(tǒng)可以分析來自各個(gè)系統(tǒng)的數(shù)據(jù)，根據(jù)分析的結(jié)果可以讓安全管理人員將注意力集中于可能受到安全威脅比較大的地方。

三、落實(shí)存儲(chǔ)管理工作

檔案館應(yīng)加強(qiáng)數(shù)字檔案存儲(chǔ)管理工作，將工作細(xì)化，落實(shí)數(shù)字檔案分級(jí)保管、異地備份、定期檢查三方面工作，提升數(shù)字檔案信息安全整體水平。相關(guān)的措施如下：

1.采取相應(yīng)措施對(duì)數(shù)字檔案信息進(jìn)行安全分級(jí)保護(hù)工作

（1）明確數(shù)字檔案信息安全分級(jí)保護(hù)的組織機(jī)構(gòu)以及管理。第一，鉆研制定一個(gè)數(shù)字檔案信息安全分級(jí)存儲(chǔ)的方案，提出數(shù)字檔案信息安全分級(jí)存儲(chǔ)的理念，細(xì)化整個(gè)分級(jí)存儲(chǔ)工作。第二，加大數(shù)字檔案分級(jí)存儲(chǔ)的理念宣傳工作。第三，負(fù)責(zé)管理檔案的各級(jí)領(lǐng)導(dǎo)應(yīng)給予數(shù)字檔案實(shí)行分級(jí)存儲(chǔ)工作大力支持，提高資金的投入，為實(shí)施數(shù)字檔案分級(jí)存儲(chǔ)工作提供有力支持。第四，建立一個(gè)數(shù)字檔案分級(jí)防護(hù)機(jī)構(gòu)，確定其監(jiān)管的職能。

（2）運(yùn)用科學(xué)的理論和方法對(duì)數(shù)字檔案信息進(jìn)行安全級(jí)別鑒定。從信息安全保護(hù)的角度出發(fā)，應(yīng)選擇合適的安全分級(jí)鑒定方法?？梢詮臋n案的產(chǎn)生來源、形成時(shí)間及現(xiàn)實(shí)作用等多方面因素綜合分析，劃分其安全等級(jí)。

2.積極開展異地備份工作

（1）從思想上重視異地備份工作。異地備份是實(shí)現(xiàn)數(shù)字檔案信息安全的一種有效措施，其最終目標(biāo)是保證數(shù)字檔案信息安全。我們要從思想上重視異地備份工作，樹立和堅(jiān)持全面的、科學(xué)的、發(fā)展的數(shù)字檔案異地備份理念，從而有效地開展數(shù)字檔案異地備份工作。

（2）加大異地備份工作資金投入。檔案部門要開展數(shù)字檔案異地備份工作，必須要投入大量的人力、物力以及財(cái)力，其成本是昂貴的。一方面，在異地備份工作建設(shè)準(zhǔn)備階段，諸如備份站點(diǎn)、存儲(chǔ)數(shù)據(jù)庫(kù)以及各種軟硬件設(shè)備都是一筆較大的開支。另一方面，在異地備份準(zhǔn)備完畢階段，檔案部門仍需要有一大筆的費(fèi)用來保障各個(gè)設(shè)備的安全運(yùn)行以及定期更新。因此，加大異地備份建設(shè)的資金投入，會(huì)促使檔案部門開始實(shí)施開展數(shù)字檔案異地備份的工作。

（3）采用科學(xué)的方法對(duì)數(shù)字檔案信息進(jìn)行定期檢查。由于數(shù)字檔案存儲(chǔ)載體壽命較短以及載體損壞不易被發(fā)現(xiàn)等原因，采用科學(xué)的方法定期對(duì)存儲(chǔ)在各種載體中的數(shù)字檔案信息進(jìn)行定期檢查是非常有必要的。定期檢查周期不宜過長(zhǎng)，一般可以根據(jù)存儲(chǔ)載體的壽命長(zhǎng)短、存儲(chǔ)容量、數(shù)字檔案信息重要程度等因素來確定相應(yīng)的檢查周期。

四、重視風(fēng)險(xiǎn)管理工作

檔案館應(yīng)加強(qiáng)數(shù)字檔案信息安全風(fēng)險(xiǎn)管理，應(yīng)采取相關(guān)的措施解決在合作管理、評(píng)估機(jī)制、應(yīng)急預(yù)案等三方面中存在的問題。相關(guān)的措施如下：

1.加強(qiáng)合作管理模式?！奥劦烙邢群?，術(shù)業(yè)有專攻”，如今對(duì)于數(shù)字檔案信息安全工作的管理涉及到許多專業(yè)的計(jì)算機(jī)知識(shí)和技術(shù)，一般的檔案工作人員沒有相應(yīng)的計(jì)算機(jī)知識(shí)和技術(shù)，那么保障數(shù)字檔案工作一直停滯于以前的管理方式中，無法跟上信息時(shí)代的步伐，所以如今檔案館需要與專業(yè)的信息安全公司合作管理數(shù)字檔案信息安全工作。采用合作管理模式有著一定的優(yōu)勢(shì)：一是合作管理節(jié)約保障數(shù)字檔案信息安全的成本與時(shí)間。二是合作管理數(shù)字檔案信息安全工作可以有效地提數(shù)字檔案的安全性。

2.重視評(píng)估機(jī)制。將安全評(píng)估工作作為數(shù)字檔案信息安全管理的核心內(nèi)容，對(duì)于保障數(shù)字檔案信息安全有著重大意義。首先，通過數(shù)字檔案信息安全風(fēng)險(xiǎn)評(píng)估可以明確數(shù)字檔案信息安全現(xiàn)狀，進(jìn)行安全評(píng)估后，使得檔案工作人員了解數(shù)字檔案信息系統(tǒng)、各個(gè)軟硬件運(yùn)行情況以及管理檔案規(guī)章制度等現(xiàn)狀，從而獲知保障數(shù)字檔案信息安全的需求。其次，進(jìn)行風(fēng)險(xiǎn)評(píng)估可以判斷出影響數(shù)字檔案信息系統(tǒng)的主要安全隱患，確定主要安全隱患后，即可讓檔案部門選擇避免、降低、接受等風(fēng)險(xiǎn)處置措施。最后，通過分析這些不安全的風(fēng)險(xiǎn)因素，可以制定一套符合實(shí)際情況的安全策略以及防護(hù)方案，從而指導(dǎo)數(shù)字檔案信息安全保障工作的有效開展。

3.建立應(yīng)急機(jī)制。從針對(duì)檔案館是否有應(yīng)急機(jī)制的調(diào)研數(shù)據(jù)來看，情況不容樂觀，雖然有不少的檔案館建立了應(yīng)對(duì)自然災(zāi)害的應(yīng)急預(yù)案，但還是有不少的檔案館沒有相關(guān)的應(yīng)急預(yù)案，預(yù)防意識(shí)不強(qiáng)、預(yù)防機(jī)制不完善以及如今自然災(zāi)害隱患多等問題，導(dǎo)致了檔案部門應(yīng)對(duì)自然災(zāi)害非常無力，不僅不能有效的應(yīng)對(duì)災(zāi)害的發(fā)生，相反會(huì)加劇災(zāi)害造成的損失。因此，還沒有建立應(yīng)急預(yù)案的檔案部門要加大建立應(yīng)急預(yù)案力度，通過建立健全的應(yīng)急機(jī)制，解決檔案部門應(yīng)對(duì)突發(fā)災(zāi)難時(shí)出現(xiàn)的諸多問題，滿足檔案部門預(yù)防災(zāi)害的現(xiàn)實(shí)需要，在有效減少災(zāi)難損失的實(shí)踐過程中，使得檔案部門的應(yīng)急管理能力得到逐步的提高。

隨著我國(guó)數(shù)字化進(jìn)程逐漸加快，數(shù)字檔案越來越受到人們關(guān)注，加之互聯(lián)網(wǎng)信息安全事件的頻發(fā)，數(shù)字檔案信息安全問題也越發(fā)受到檔案學(xué)者關(guān)注。本文對(duì)數(shù)字檔案信息館安全管理策略方面進(jìn)行研究，提出幾點(diǎn)建議，希望對(duì)于保障數(shù)字檔案信息安全有著一定的幫助。

參考文獻(xiàn)：

[1]李娟，鄧玉.數(shù)字檔案信息安全防護(hù)思考[J].湖北檔案，2010（10）：21-22.

[2]趙豪邁.數(shù)字檔案長(zhǎng)期保存研究[M].陜西師范大學(xué)出版總社，2015年3月第1版.

[3]劉健美.信息安全視域下高校檔案管理研究[M].國(guó)家行政學(xué)院出版社，2016年1月第1版.

[4]范淵.智慧城市與信息安全[M].電子工業(yè)出版社，2014年.

[5]蔣朝惠.信息安全原理與技術(shù)[M].中國(guó)鐵道出版社，2009年.

[6]康海燕.網(wǎng)絡(luò)隱私保護(hù)與信息安全[M].北京郵電大學(xué)出版社，2016年.

[7]洪崎，林云山，牛新莊.銀行信息安全技術(shù)與管理體系[M].機(jī)械工業(yè)出版社，2016年.