文件档案信息安全管理对策研究

文件档案信息安全管理对策研究

网络信息时代赋予了档案信息安全以新内涵和高要求，除了延续和加强传统管理中诸如防蛀、防火、防盗、防灾、防篡改等安全防范与综合治理的防护与保障措施外，档案工作者还需结合档案馆信息化与电子文件管理工作的开展，识别网络环境下的安全风险，思考和研究应对风险的制度、策略、方法与措施。

1  风险要素分析

当前，信息技术处于快速发展、应用与普及的新阶段，档案载体处于新旧交替、迁移变革的过渡时期，档案工作面临的风险主要来自技术和管理两方面。

1.1  现代档案管理业务的复杂多样性带来全新挑战和管理方面的风险。信息化助推档案管理的理念与方法、策略与思路、手段与对象的变革与提升。开展现代档案管理工作，不但要继续做好传统载体档案的接收、保管与利用，而且要应对信息化环境中产生的电子文件的接收、管理、网络化利用和存储备份等工作。而电子文件格式多样、数字资源长期保存困难、以及网络安全风险扩大等难题尚处于渐进改善与动态发展过程，档案工作处于新旧管理变革的过渡时期，档案信息安全管理的风险因素随之增加，详见表1。

1.1.1  “双套制”或曰“双轨制”，是当前档案馆接收电子文件进馆的主流模式，电子文件制作成纸质拷贝时要么丢失信息要么难以保持纸质文件的原貌，多媒体档案难以制成纸质拷贝，加之具有传统知识结构和习惯了传统归档方式的档案工作者，难免有操作不规范、技术不熟练、误操作等行为，这些都是造成档案信息的不完整、不规范甚至无效的风险要素；

1.1.2  馆藏档案数字化是开发和提供档案利用的主要手段，数字化加工可能引起档案原件磨损、档案丢失、档案信息泄密、以及因参数设置或操作工序等问题引起从模拟到数字转换过程中档案信息的不完整、不准确、不标准等风险；

1.1.3  在多种形式载体的档案管理、数据迁移或模数转换过程中，档案内容信息的准确性、完整性、可读性与非变更性是需要重点保障的，这其中如若管理人员的知识结构单一、认识水平浅显、操作不规范、数据迁移不及时等，也可能引发各类载体档案信息的失效、无法读取、档案内容或形式发生改变等风险；

1.1.4  档案信息化应用系统的专业技术性和知识综合性，以及以指数方式快速增长的电子文件的存储与保管，要求对档案信息实施科学组织、合理存储、有效管理和安全备份，这对具有传统知识结构的档案工作者而言是个挑战，若不及时参与继续教育，更新知识结构，了解和研究电子文件及其工作机理，档案人员将会面临难以应对电子文件管理工作之风险[1]。

1.2  数字档案信息依附的软硬件网络环境存在先天不足和技术方面的风险。网络、计算机、服务器、存储设备、系统软件和档案管理信息系统是数字化档案信息赖以生存的IT基础环境，也是引发档案信息安全问题的风险基地。

1.2.1  网络的互连互通、IT资源可共享性及信息访问无边界之特点，使得档案信息被访问、被纂改、被盗窃的可能性加大，如果对网络访问不加以控制，对系统使用不设置权限，对网络传输的信息不实施加密处置，信息化环境下的档案信息就无安全可言[2]；

1.2.2  网络设施、操作系统、应用软件等技术产品设计之初不可能是完美无缺的，特别是随着信息化应用的深入和拓展，漏洞、后门以及不完善的地方逐渐被发现，若不及时跟踪和获悉漏洞、安装补丁、升级产品，系统会面临被攻击、无法使用甚至瘫痪的危险；

1.2.3  数字存储介质和网络存储设备的“有限”寿命及电子文件的易拷贝、易修改、易传输等特点，难以保障数字化档案信息的长期保存和档案内容固定不能被变更之要求，如果不加强对数字载体和信息系统发展历程的跟踪、管理与迁移，档案信息必然面临不可读、失效、易改之风险；

1.2.4  黑客攻击、病毒蔓延等外来攻击行为，更是造成网络不稳定、计算机打不开、系统不工作、数据不正确等严重问题，如果不加强全体档案工作者的安全意识，不利用技术手段建立安全防护体系，不采取有效措施加强安全管理的监督执行，档案信息面临丢失、泄露、无法传承之风险。

2  风险应对策略

档案的原始性、唯一性、文化传承性，以及广泛的社会参考与利用价值决定了档案信息安全管理的特殊性，不仅要保障档案内容信息的真实、完整、有效、可读及不被窃取或泄露，而且要保障档案文件的原貌与历史痕迹，更重要是需要长期地、持续地获得安全保管。这就需要档案工作者在信息化过程中，充分认识风险，采取各种有效的手段和方法，建立整体安全防范体系，增强对风险的抵抗能力。

应对技术方面的风险，需要从IT基础设施规划、网络访问、信息传输、数据存储、操作系统与数据库管理系统及应用软件系统、软硬件运行维护等各个方面部署防护措施，如采用防火墙加固网络访问控制，采用防水墙防止内网数据的非法拷贝和流失，采用入侵检测技术动态监控网络安全状态，采取电子签名技术防止电子文件被篡改和滥用，采用数据加密技术防止信息泄露，采取身份认证防止非法用户的入侵访问，采取防病毒软件和查杀技术防止系统文件遭破坏，采取升级服务技术堵漏洞关后门，采用容灾备份技术规避设备故障风险等。

应对管理方面的风险，需要从现代档案管理业务的特点和需求出发，建立各种防范制度和治理措施。提高人员的安全意识，制定可实施的管理制度和安全操作规程，推行规范化应用；从档案信息的密级与访问权限角度，规划和部署网络区域和各类档案信息的组织、保存和管理策略，对于涉密档案实行物理隔离，非密档案采用授权管理模式提供利用；对于档案信息存储，按照使用要求和访问频度采取分级存储策略进行管理；针对数字介质寿命相对较短等特点，采取制作纸质拷贝的“双套制”方式以应对长期之风险；针对IT技术动态发展的特点，采取技术变迁管理方式，及时实施格式转换、数据迁移和版本跟踪管理；在内部IT资源管理方面，采取多人协同负责，定期轮换岗位和相互制约方法，降低单人集中管理之安全风险；在网络系统整体管理方面，避免“木桶短板”现象，采取同步升级，整体安全之管理理念[2]。

技术和管理两方面的防范方法是相互作用、相互渗透的，所有技术手段都需要人按照管理制度、标准规范与操作规程来正确执行和动态监控，而管理方法也会随着网络信息技术的发展与业务范围的扩展不断得到修订、改进和完善，因此，在建立安全防护体系时，不能将二者隔离或对立开来，需要在充分了解技术防护产品和使用方法的基础上，依据档案管理之需求，有针对性地提出方案，并配合产品的有效使用以及安全管理手段和方法加以实施落实。表1列出笔者在开展现代档案管理工作过程中，分析和总结常见的风险因素、潜在危害以及应对策略[3]供读者参考。

推荐访问:信息安全 对策研究 档案 文件 管理