檔案信息安全保障體系構(gòu)建研究

鄭云鵬

【摘要】對于大多數(shù)檔案管理機(jī)構(gòu)和檔案資源所有組織而言，檔案信息中包含大量機(jī)密性和安全性信息，因此保障檔案信息安全是所有檔案管理機(jī)構(gòu)的基本工作內(nèi)容。但在信息化時代，檔案數(shù)字化和檔案管理的信息化改革逐步加深，這對檔案信息安全保障形成了新的挑戰(zhàn)。本文主要結(jié)合當(dāng)前信息化時代發(fā)展的基本現(xiàn)實，探討檔案信息安全保障的需求，并提出具體的保障體系構(gòu)建策略，希望能夠為各類檔案管理機(jī)構(gòu)提供有效參考。

【關(guān)鍵詞】檔案管理;檔案信息安全;保障體系

一、檔案信息面臨的主要安全風(fēng)險

（一）傳統(tǒng)風(fēng)險。檔案信息的傳統(tǒng)風(fēng)險主要是指傳統(tǒng)形式檔案所面臨的各類信息安全風(fēng)險。目前幾乎所有的檔案管理機(jī)構(gòu)都保存有傳統(tǒng)形式的檔案，即以紙張、光盤為基礎(chǔ)媒介的傳統(tǒng)實體檔案。此類檔案通常面臨兩類基本的安全風(fēng)險，即檔案本身滅失和檔案記錄內(nèi)容損壞的風(fēng)險，在現(xiàn)代管理條件下這兩類風(fēng)險大多是由不可抗拒的自然因素和管理者的疏忽大意所導(dǎo)致，這類風(fēng)險也可以通過加強(qiáng)保障技術(shù)和管理力度來有效規(guī)避，并不屬于現(xiàn)代檔案信息安全的主要風(fēng)險。而且現(xiàn)階段檔案管理研究已經(jīng)對傳統(tǒng)形式檔案的各類信息滅失風(fēng)險建立了較為完善的防范策略體系，因此本文僅對此類風(fēng)險進(jìn)行簡要介紹，不再對此類風(fēng)險的防范措施進(jìn)行深入探討。

（二）信息化時代的新型風(fēng)險。信息化時代檔案信息的安全風(fēng)險則更為多樣化，也表現(xiàn)得更為特殊?？梢詫⑿畔⒒瘯r代檔案信息安全風(fēng)險歸結(jié)為如下幾類：1.因信息化檔案的硬件載體損壞而出現(xiàn)的信息滅失風(fēng)險。信息化檔案一般可以通過光盤、軟盤、硬盤、U盤等存儲介質(zhì)進(jìn)行長期的固定保存，此類檔案存儲介質(zhì)雖然相對于傳統(tǒng)的紙質(zhì)媒介而言具有較高的穩(wěn)定性和抗外力侵害性，但其本身仍是相對脆弱的，可以輕易被人為破壞，也有可能在信息化設(shè)備中使用的過程中因電氣故障等因素出現(xiàn)損壞。在這類保存介質(zhì)中，只有少部分介質(zhì)在損壞后仍能恢復(fù)部分信息（如硬盤），但也不能保證恢復(fù)信息的完整性。2.因人為不當(dāng)操作而導(dǎo)致的信息損毀或滅失風(fēng)險。信息化檔案的操作過程更為簡單，這雖然為檔案管理工作帶來了較大便利，但同時也使得檔案管理工作存在更大的人為操作風(fēng)險。例如傳統(tǒng)檔案在不當(dāng)操作后，可能僅出現(xiàn)極少部分檔案信息的消失或不清晰，而信息化檔案可能只需要一個簡單的刪除鍵即可完全被滅失，從而導(dǎo)致檔案信息的完全破壞。3.因病毒和木馬傳播而導(dǎo)致的信息損壞風(fēng)險。信息化檔案的管理過程大部分依托于計算機(jī)軟件平臺，而計算機(jī)病毒和木馬可能導(dǎo)致計算機(jī)內(nèi)部存儲和操作的各類信息被篡改或破壞，其中部分篡改和破壞是不可逆的，這可能導(dǎo)致單一備份的信息化檔案在破壞后無法有效恢復(fù)。4.受人為攻擊而導(dǎo)致的多種信息安全風(fēng)險。信息化檔案存儲在計算機(jī)硬件介質(zhì)當(dāng)中，可以通過計算機(jī)軟件系統(tǒng)和網(wǎng)絡(luò)體系進(jìn)行訪問，在不法分子通過非法手段獲取系統(tǒng)或網(wǎng)絡(luò)的訪問權(quán)限后，可能會對檔案信息進(jìn)行竊取、篡改和破壞，這會對檔案信息造成多種形式的安全威脅。5.因軟件不兼容而導(dǎo)致的檔案損壞風(fēng)險。信息化檔案在不同軟件平臺間所采用的存儲形式和格式不一定完全相同，在未對檔案文件的可寫屬性進(jìn)行限定的情況下，通過錯誤的軟件平臺對檔案進(jìn)行讀寫操作可能會破壞檔案文件，導(dǎo)致檔案信息丟失或亂碼化。

二、檔案信息安全風(fēng)險和保障的現(xiàn)狀及問題

（一）安全風(fēng)險發(fā)展趨勢與現(xiàn)狀。結(jié)合上文所總結(jié)的五類信息化檔案信息安全風(fēng)險來看，目前在檔案管理領(lǐng)域出現(xiàn)率相對較高的安全風(fēng)險主要集中在第2-3類：信息化檔案硬件載體損壞的情況在現(xiàn)代社會并不常見，這主要與計算機(jī)硬件存儲設(shè)備集成化、移動化存儲設(shè)備的抗破壞性提升有較大關(guān)系;人為不當(dāng)操作、病毒和木馬傳播、人為攻擊是目前檔案信息安全最突出的風(fēng)險，其中前兩類問題的出現(xiàn)率相對較高，但通常所造成的信息安全破壞問題較小，在安全保障手段逐步完善的情況下，其所造成的信息安全問題大多數(shù)也能夠得到完全解決，但其中人為攻擊所導(dǎo)致的檔案信息安全問題普遍較為嚴(yán)重，而且很難消除其所造成的影響;因為軟件不兼容而導(dǎo)致的檔案損壞風(fēng)險在近年來逐漸降低，這主要與檔案管理領(lǐng)域的格式標(biāo)準(zhǔn)化、檔案管理軟件技術(shù)的完善化有較大關(guān)系，大多數(shù)檔案都具備了讀寫權(quán)限控制條件，能夠在很大程度上預(yù)防軟件不兼容導(dǎo)致的檔案損壞風(fēng)險。

（二）安全保障手段的發(fā)展趨勢與現(xiàn)狀。就國內(nèi)外檔案管理機(jī)構(gòu)信息化改革與發(fā)展的現(xiàn)狀來看，目前在檔案管理領(lǐng)域較為流行的信息安全風(fēng)險保障措施主要有以下幾個方面：

1.基于計算機(jī)系統(tǒng)軟件和硬件的保護(hù)措施。在硬件方面主要保護(hù)檔案存儲介質(zhì)、網(wǎng)絡(luò)訪問設(shè)備，避免硬件載體損壞，以及源于網(wǎng)絡(luò)的非主動性病毒及木馬傳播。在軟件方面，主要防護(hù)電腦系統(tǒng)間傳遞的病毒和木馬，其本身主要針對計算機(jī)常見病毒和木馬進(jìn)行防護(hù)，較少考量專門針對特定檔案文件格式的病毒和木馬。2.基于檔案管理工作制度的保護(hù)措施。要求檔案管理工作人員按照既定的標(biāo)準(zhǔn)和流程進(jìn)行操作，強(qiáng)調(diào)操作的規(guī)范性和安全性，避免人為不當(dāng)操作、人為使用未經(jīng)認(rèn)證和檢查的移動存儲設(shè)備、人為訪問外部網(wǎng)絡(luò)等所造成的病毒和木馬入侵風(fēng)險。

3.基于外部攻擊行為的主動防護(hù)措施。這種防護(hù)措施主要出現(xiàn)在一些對檔案信息機(jī)密性關(guān)注較高的組織中，例如大型企業(yè)的檔案管理功能會更重視對主動攻擊導(dǎo)致的檔案信息安全風(fēng)險的防范，這也是保護(hù)企業(yè)經(jīng)濟(jì)利益的必要手段。具體保護(hù)主要通過計算機(jī)軟硬件協(xié)同的防護(hù)措施來保護(hù)特定檔案。

三、檔案信息安全保障體系的構(gòu)建策略

（一）一般檔案信息安全保障體系的問題。從當(dāng)前檔案機(jī)構(gòu)對于檔案信息安全保障的基本做法來看，其中存在兩個方面的典型問題：第一，過度關(guān)注計算機(jī)硬件和系統(tǒng)層面上的安全，忽略了系統(tǒng)和制度層面上的安全，大多數(shù)小型機(jī)構(gòu)普遍采用計算機(jī)軟硬件技術(shù)來保障系統(tǒng)安全而很少對人員操作進(jìn)行標(biāo)準(zhǔn)化的管理，只有一些大型企業(yè)會在檔案管理方面對人員進(jìn)行嚴(yán)格管理。第二，多數(shù)機(jī)構(gòu)未充分考慮到云存儲技術(shù)廣泛應(yīng)用后的新型安全風(fēng)險問題，云存儲技術(shù)能夠在很大程度上規(guī)避數(shù)字檔案安全風(fēng)險，但同時也會造成新的風(fēng)險，這是許多檔案管理機(jī)構(gòu)尚未觸及的領(lǐng)域，因此并未得到全面重視。

（二）檔案信息安全保障體系完整構(gòu)建的基本策略。結(jié)合全文分析來看，信息化檔案管理體系下的檔案信息安全較為多樣，單一的檔案安全保護(hù)措施并不能完全規(guī)避檔案安全風(fēng)險。而且檔案安全風(fēng)險存在較高的偶發(fā)性，所以檔案信息安全保障體系必須保證其全面性，對此本文建議各檔案管理機(jī)構(gòu)在檔案信息安全保障體系的建設(shè)方面不能忽視任何層面上的保障需求。具體到實踐中來看：首先，國家需要建立一套高度完善的數(shù)字檔案信息安全保障法律（法規(guī)），在法律工具上為管理機(jī)構(gòu)的檔案安全管理提供基本的保障條件。其次，檔案機(jī)構(gòu)要從工作制度和人員管理層面上進(jìn)一步確保檔案信息安全，區(qū)分各級管理人員的檔案訪問和使用權(quán)限，規(guī)范檔案管理流程。再者，基于檔案管理工作的基本流程，分析各類可能有人員主觀因素或非主觀因素導(dǎo)致的檔案信息安全問題，制定預(yù)防性措施和安全冗余制度。最后，部署全面覆蓋網(wǎng)絡(luò)體系、服務(wù)器設(shè)備、終端訪問設(shè)備、系統(tǒng)和軟件平臺的安全防護(hù)條件，并根據(jù)制度層面上的安全冗余要求，設(shè)計相應(yīng)的檔案備份與分布式存儲方案，確保檔案被破壞后仍具備回溯的基本條件。

（三）針對未來檔案云存儲應(yīng)用下的信息安全保障建議。云存儲技術(shù)以其 “對單一存儲硬件依賴度低”“天然的信息備份條件”等優(yōu)勢成為存儲技術(shù)發(fā)展的主流，大幅降低了檔案信息存儲的成本，大大降低了數(shù)據(jù)丟失的概率，保證了存儲數(shù)據(jù)的安全性，因此云存儲也成為檔案信息存儲的新方向。但云存儲技術(shù)也并非完全無風(fēng)險，在平臺數(shù)據(jù)泄露以及服務(wù)中斷等情況下，云存儲依然無法完全避免數(shù)據(jù)安全問題。因此，本文建議檔案管理機(jī)構(gòu)在應(yīng)用云存儲技術(shù)時就要考慮到此類風(fēng)險，通過加強(qiáng)合同約束來確保云存儲服務(wù)機(jī)構(gòu)對平臺數(shù)據(jù)保密責(zé)任的履行意識，通過部署新的技術(shù)來規(guī)避服務(wù)器中斷風(fēng)險，由此進(jìn)一步保障檔案信息云存儲應(yīng)用下的安全性。

【參考文獻(xiàn)】

[1]侯嬌嬌.如何做好事業(yè)單位檔案信息安全管理工作[J].辦公室業(yè)務(wù)，2019，311（06）：117.

[2]周麗，楊劍云.基于云計算的檔案信息安全體系應(yīng)用探討[J].城建檔案，2019，233（02）：36-37.