論企業(yè)檔案安全風(fēng)險(xiǎn)與對(duì)策

邢維萍

企業(yè)檔案是企業(yè)的重要信息資源,在企業(yè)各項(xiàng)工作中發(fā)揮著重要作用。信息技術(shù)在檔案管理中的運(yùn)用，給檔案工作帶來(lái)了前所未有的發(fā)展機(jī)遇,但也使檔案安全風(fēng)險(xiǎn)囊括了計(jì)算機(jī)網(wǎng)絡(luò)信息系統(tǒng)的安全風(fēng)險(xiǎn)。為充分發(fā)揮信息技術(shù)在檔案管理中的作用，適應(yīng)信息技術(shù)條件下檔案安全所面臨的挑戰(zhàn)，我們要積極研究各種可能存在的風(fēng)險(xiǎn),建立安全可行的對(duì)策,消除各種安全隱患,使檔案具備抗風(fēng)險(xiǎn)能力, 從而更好地為企業(yè)發(fā)展服務(wù)。

一.檔案安全的風(fēng)險(xiǎn)

檔案安全包含實(shí)體檔案安全和電子檔案安全。實(shí)體檔案主要指紙質(zhì)檔案，電子檔案指離線電子檔案(如磁帶、磁盤(pán)、光盤(pán))和檔案管理信息系統(tǒng)上的檔案信息。檔案安全風(fēng)險(xiǎn)存在于多個(gè)方面，主要存在于環(huán)境、技術(shù)、人為三個(gè)方面。

1.環(huán)境風(fēng)險(xiǎn)

(1)自然因素：火災(zāi)、水災(zāi)、地震、雷電、有害生物（霉菌、蟲(chóng)、鼠）、灰塵、有毒有害氣體、高溫高濕、紫外線等會(huì)直接損毀或損害檔案。

(2)非自然因素：突然斷電、電壓不穩(wěn)定、電磁場(chǎng)、靜電會(huì)損壞信息系統(tǒng)計(jì)算機(jī)硬盤(pán)及COMS等靜電敏感電路，產(chǎn)生干擾信號(hào)，破壞檔案信息系統(tǒng)數(shù)據(jù)和影響信息系統(tǒng)正常運(yùn)行。此外，磁場(chǎng)也會(huì)影響離線電子檔案數(shù)據(jù)的穩(wěn)定。

2.技術(shù)風(fēng)險(xiǎn)

(1)計(jì)算機(jī)病毒感染：破壞計(jì)算機(jī)功能和數(shù)據(jù),給信息系統(tǒng)帶來(lái)致命打擊。

(2)技術(shù)故障：硬件缺陷和軟件錯(cuò)誤或漏洞引起的故障,網(wǎng)絡(luò)安全策略選擇和配置不當(dāng)也會(huì)形成信息系統(tǒng)的安全隱患。

(3)儲(chǔ)存介質(zhì)：檔案可使用壽命與儲(chǔ)存介質(zhì)和保存條件有關(guān)。電子檔案都有數(shù)據(jù)消失危險(xiǎn)，磁盤(pán)會(huì)因磁性漸漸衰退而失去保存數(shù)據(jù)功能,光盤(pán)則因記錄層的信息慢慢退化而無(wú)法讀取數(shù)據(jù)。

3.人為風(fēng)險(xiǎn)

(1)人為竊取：直接偷盜實(shí)體檔案和離線電子檔案。通過(guò)竊聽(tīng)獲取重要涉密信息,冒充合法用戶直接訪問(wèn)檔案信息系統(tǒng)下載涉密信息,造成企業(yè)甚至國(guó)家的涉密信息泄露，使企業(yè)經(jīng)營(yíng)、知識(shí)產(chǎn)權(quán)甚至國(guó)家的經(jīng)濟(jì)、核心技術(shù)等受到重大損失。

(2)人為攻擊：在竊聽(tīng)獲取信息的基礎(chǔ)上，對(duì)數(shù)據(jù)進(jìn)行篡改、刪除，從而造成更嚴(yán)重的后果。

(3)檔案利用：企業(yè)檔案管理人員疏忽涉密檔案的保密性,隨意擴(kuò)大涉密檔案的利用范圍，擴(kuò)大涉密信息的知曉范圍。實(shí)體檔案被直接利用時(shí)容易損壞,電子檔案則易被更改。

(4)麻痹大意：企業(yè)網(wǎng)絡(luò)管理人員沒(méi)有保護(hù)好用戶賬號(hào)和密碼,檔案管理人員將自己的賬號(hào)轉(zhuǎn)借他人或與別人共享,都會(huì)構(gòu)成檔案信息系統(tǒng)的信息安全隱患。

(5)管理方式改變：管理人員對(duì)電子文檔打印成紙質(zhì)文件歸檔的認(rèn)同度低，認(rèn)為電子文件隨時(shí)都可方便地利用，沒(méi)有必要打印成紙質(zhì)檔案。另外，企業(yè)各類信息系統(tǒng)中的許多數(shù)據(jù)要通過(guò)集成、優(yōu)化整合后才能成為檔案信息。

（6）數(shù)字檔案:檔案數(shù)字化、聲像檔案工作，編輯沒(méi)按標(biāo)準(zhǔn)要求進(jìn)行，影響了文件的保真度，或編制的文件太大而浪費(fèi)磁盤(pán)空間，甚至影響系統(tǒng)穩(wěn)定。

二. 檔案安全風(fēng)險(xiǎn)的預(yù)防與控制

從上述分析可以看出，檔案安全風(fēng)險(xiǎn)主要來(lái)自于自然災(zāi)害、外部攻擊、企業(yè)內(nèi)部、客觀環(huán)境、儲(chǔ)存介質(zhì)。其中自然災(zāi)害、外部攻擊是沒(méi)法控制和阻止發(fā)生的事，但可通過(guò)完善基礎(chǔ)設(shè)施，加強(qiáng)網(wǎng)絡(luò)安全把不可控災(zāi)害轉(zhuǎn)變?yōu)榭深A(yù)防的風(fēng)險(xiǎn)；由企業(yè)內(nèi)部產(chǎn)生的風(fēng)險(xiǎn)則可通過(guò)加強(qiáng)內(nèi)部管理來(lái)防止；由客觀環(huán)境、儲(chǔ)存介質(zhì)而產(chǎn)生的風(fēng)險(xiǎn)則可采取一定手段和措施加以避免。

因此，預(yù)防和控制檔案風(fēng)險(xiǎn)要通過(guò)加強(qiáng)企業(yè)內(nèi)部管理，提高檔案安全認(rèn)識(shí)；通過(guò)完善基礎(chǔ)設(shè)施和防護(hù)措施，實(shí)現(xiàn)檔案實(shí)體的安全；通過(guò)提高信息系統(tǒng)的網(wǎng)絡(luò)安全，實(shí)現(xiàn)檔案信息的安全。

1．完善基礎(chǔ)設(shè)施和防護(hù)措施 實(shí)現(xiàn)檔案實(shí)體的安全

(1)檔案實(shí)體的保存

檔案庫(kù)房是保存檔案的場(chǎng)所。庫(kù)房要有利于檔案的長(zhǎng)久保存，抵御自然災(zāi)害。為此，新建、改建、擴(kuò)建庫(kù)房設(shè)計(jì)要按《檔案館建筑設(shè)計(jì)規(guī)范》要求，并結(jié)合企業(yè)自身的條件進(jìn)行。庫(kù)房建筑的抗震強(qiáng)度應(yīng)不低于7度，防雷保護(hù)措施不低于三級(jí)，遠(yuǎn)離易燃易爆場(chǎng)所，保持空氣流通及排水通暢。如檔案的裝具是密集架，則庫(kù)房樓面活荷載應(yīng)不小于12KN/M2，此外還須裝有必要的防盜、防火、溫濕度控制設(shè)施，使庫(kù)房溫度保持在14—24攝氏度，濕度在40%—60%之間，達(dá)到防火、防盜、防潮、防塵、防有害氣體、防有害生物（霉、蟲(chóng)、鼠）和防高溫的9防要求。同時(shí)要考慮未來(lái)檔案的增長(zhǎng)量,留有充分的存放空間。電子檔案存放應(yīng)符合電磁安全屏蔽要求，在無(wú)分庫(kù)保存的條件下可將磁性載體、光盤(pán)等電子檔案分別置防磁柜內(nèi)。因光盤(pán)較薄，物理強(qiáng)度較低，不宜水平疊放以免形變而影響數(shù)據(jù)讀取，而應(yīng)置光盤(pán)盒內(nèi)垂直存放在防磁柜內(nèi)。

(2)檔案的數(shù)據(jù)遷移和異質(zhì)備份

利用紙質(zhì)檔案和電子檔案的優(yōu)點(diǎn)，實(shí)行數(shù)據(jù)遷移、異質(zhì)備份，能彌補(bǔ)他們各自的不足，達(dá)到方便利用檔案，信息長(zhǎng)久保真可讀之目的。由于電子檔案會(huì)產(chǎn)生數(shù)據(jù)失真和消失的情況，因此要采取措施，防止這種情況的產(chǎn)生。通過(guò)定期檢測(cè)離線電子檔案，將有安全隱患的離線電子檔案的數(shù)據(jù)及時(shí)遷移到光盤(pán)上，可防止數(shù)據(jù)失真、丟失。對(duì)光盤(pán)可通過(guò)應(yīng)用光盤(pán)檢測(cè)儀，確切把握光盤(pán)數(shù)據(jù)狀況，按國(guó)家標(biāo)準(zhǔn)達(dá)到3級(jí)預(yù)警線時(shí)，適時(shí)將數(shù)據(jù)遷移到光盤(pán)或新的儲(chǔ)存介質(zhì)上。但是電子信息的讀取要保持與錄制時(shí)硬件設(shè)備和軟件兼容的條件下才可進(jìn)行，而電子信息技術(shù)發(fā)展是如此之快，這無(wú)疑給電子檔案的利用、復(fù)制帶來(lái)了難題。如90年代的磁盤(pán)，用現(xiàn)在電腦根本無(wú)法讀取數(shù)據(jù)，為此每到軟件或硬件不能兼容前就要升級(jí)轉(zhuǎn)換、遷移到新的格式上。數(shù)據(jù)不斷地轉(zhuǎn)移，可靠性難以保證。因此，為了確保電子檔案數(shù)據(jù)長(zhǎng)久保真可讀，還必須將重要的電子檔案打印成紙質(zhì)檔案。紙質(zhì)檔案雖有直觀，保存時(shí)間長(zhǎng)久之優(yōu)點(diǎn)，但利用不方便，且利用時(shí)易被損壞。利用電子檔案易復(fù)制和利用方便的優(yōu)點(diǎn)，將紙質(zhì)檔案進(jìn)行數(shù)字化，就可達(dá)到方便紙質(zhì)檔案的利用和保護(hù)紙質(zhì)檔案原件的目的。

2．建立信息系統(tǒng)安全體系 確保檔案信息安全

信息系統(tǒng)安全體系是集人、技、物于一體的復(fù)雜的系統(tǒng)性工程。通過(guò)建立以防止信息系統(tǒng)的實(shí)體安全風(fēng)險(xiǎn)為基礎(chǔ)，以防止信息系統(tǒng)的信息安全風(fēng)險(xiǎn)為核心安全體系，實(shí)現(xiàn)信息系統(tǒng)的檔案信息的保真、保密、保存、保讀。

（1）防止系統(tǒng)硬件和運(yùn)行環(huán)境的安全風(fēng)險(xiǎn)

主機(jī)安全關(guān)系到整個(gè)信息系統(tǒng)的安全。為了主機(jī)運(yùn)行安全，機(jī)房要能抗震防雷、抗靜電、防電磁輻射、電壓穩(wěn)定、防火、防有害氣體、保溫保濕。為此機(jī)房建設(shè)應(yīng)按《電子信息系統(tǒng)機(jī)房設(shè)計(jì)規(guī)范》執(zhí)行。位置要遠(yuǎn)離易燃、易爆、有害氣體、粉塵與油煙、強(qiáng)電磁場(chǎng)等場(chǎng)所，機(jī)房?jī)?nèi)所有設(shè)備的金屬外殼、各類金屬管道與線槽、建筑物金屬結(jié)構(gòu)等必須進(jìn)行等電位連接并接地，采用不間斷電源系統(tǒng)專用供電,根據(jù)不同的情況和要求采取相應(yīng)的電磁屏蔽措施，安裝必要的空氣調(diào)節(jié)、環(huán)境與設(shè)備的監(jiān)控、安全防范和消防系統(tǒng)。要根據(jù)需求和條件，選用有利于長(zhǎng)期安全運(yùn)行和數(shù)據(jù)長(zhǎng)久穩(wěn)定，儲(chǔ)存量滿足需求的主機(jī)及匹配的輔助設(shè)備和網(wǎng)絡(luò)設(shè)備。

（2）防止信息系統(tǒng)信息的安全風(fēng)險(xiǎn)

信息系統(tǒng)的信息安全就是要實(shí)現(xiàn)信息的完整性、機(jī)密性、可用性。為此，通過(guò)身份認(rèn)證、權(quán)限控制、數(shù)據(jù)加密、防火墻、入侵檢測(cè)系統(tǒng)實(shí)現(xiàn)控制系統(tǒng)可登入的人員及其登入系統(tǒng)后可訪問(wèn)和操作的范圍，阻止外部非法用戶的入侵，驅(qū)逐各種攻擊，達(dá)到防止信息泄密、信息被竊聽(tīng)與篡改的目的。如需要還可用物理隔離、防水墻實(shí)現(xiàn)內(nèi)網(wǎng)與外網(wǎng)的完全隔離，有效防范企業(yè)敏感信息的泄露,有效防止檔案利用時(shí)易被修改的隱患。為了防止病毒的攻擊，不得安裝盜版軟件，安裝病毒防護(hù)軟件并定期更新安全補(bǔ)丁和病毒庫(kù)。同時(shí)要制定信息系統(tǒng)管理規(guī)定，把信息安全責(zé)任落實(shí)到每一部門(mén)及每一位辦公室員工。提高員工安全意識(shí)，保護(hù)好自己的賬號(hào)和密碼；嚴(yán)禁信息內(nèi)網(wǎng)辦公計(jì)算機(jī)通過(guò)任何方式連接信息外網(wǎng)或互聯(lián)網(wǎng)；不經(jīng)檢查不得接入移動(dòng)儲(chǔ)存介質(zhì)和便攜式電腦；禁止下載任何信息至未經(jīng)授權(quán)的移動(dòng)儲(chǔ)存介質(zhì)及便攜式電腦。對(duì)系統(tǒng)數(shù)據(jù)進(jìn)行全備份，以便在發(fā)生突發(fā)事件使系統(tǒng)崩潰或數(shù)據(jù)消失時(shí)能及時(shí)恢復(fù)。

3．建立檔案規(guī)章制度，實(shí)現(xiàn)檔案安全管理

檔案安全管理涉及面廣,要在領(lǐng)導(dǎo)重視、企業(yè)檔案部門(mén)努力、各部門(mén)支持配合下協(xié)同完成。要以國(guó)家的法律法規(guī)為依據(jù)，制定檔案管理各項(xiàng)制度、標(biāo)準(zhǔn)。通過(guò)制定檔案歸檔制度、檔案歸檔范圍及其保管期限表、檔案保密制度、檔案借閱制度、檔案鑒定與銷毀制度、突發(fā)事件檔案應(yīng)急處理預(yù)案、企業(yè)信息系統(tǒng)管理規(guī)定等一系列規(guī)章制度,規(guī)范檔案管理，堵塞工作漏洞，實(shí)現(xiàn)檔案管理到那里,檔案安全管理就到那里，實(shí)現(xiàn)從檔案形成到利用安全風(fēng)險(xiǎn)的全程控制。

（1）建立起以檔案部門(mén)為主各部門(mén)為分支的檔案管理網(wǎng)絡(luò)，使企業(yè)歸檔工作落實(shí)到每個(gè)部門(mén)及每個(gè)工作人員，實(shí)現(xiàn)歸檔工作的層層負(fù)責(zé)落實(shí)。按“誰(shuí)形成、誰(shuí)負(fù)責(zé)”的原則，根據(jù)企業(yè)檔案歸檔范圍和各部門(mén)的業(yè)務(wù)范圍，明確各部門(mén)歸檔內(nèi)容及責(zé)任。檔案人員則要加強(qiáng)文件材料形成和歸檔的前端控制和全程控制，有關(guān)領(lǐng)導(dǎo)要加強(qiáng)業(yè)務(wù)指導(dǎo)和監(jiān)督，確保文件及時(shí)歸檔并符合質(zhì)量要求。此外，要研究和解決如何將企業(yè)各類信息系統(tǒng)內(nèi)的數(shù)據(jù)經(jīng)整合優(yōu)化連到檔案管理信息系統(tǒng)的難題。

（2）檔案管理人員要不斷學(xué)習(xí)，與時(shí)俱進(jìn)，掌握現(xiàn)代化檔案管理的技能,掌握現(xiàn)代化辦公設(shè)備的操作，電子檔案防護(hù)上要按國(guó)家檔案行業(yè)的標(biāo)準(zhǔn)進(jìn)行,并注意保持兼容性。

（3）嚴(yán)格執(zhí)行檔案庫(kù)房、檔案辦公與閱覽三分開(kāi)制度，除有特殊原因禁止非檔案部門(mén)人員進(jìn)入庫(kù)房。嚴(yán)格借閱制度,禁止有損害于檔案安全的任何行為。能不借出檔案盡量不借出,盡可能用電子檔案、副本提供利用,以保護(hù)檔案原件。檔案保密管理制度中要包含保密檔案范圍、密級(jí)及利用對(duì)象范圍，處理好保密檔案利用和保密的關(guān)系，嚴(yán)格保密檔案利用審批手續(xù)。將保密檔案和普通檔案分開(kāi)組卷和裝訂。

（4）建立檔案容災(zāi)機(jī)制，實(shí)行重要檔案集中存放，異質(zhì)備份、異地備份、重要檔案多套備份，進(jìn)行檔案突發(fā)事件應(yīng)急演練。

綜上所述，檔案安全風(fēng)險(xiǎn)的形成原因是多種多樣且復(fù)雜地交織在一起。防止企業(yè)檔案安全的風(fēng)險(xiǎn), 要以預(yù)防為主、防治結(jié)合為原則,組成集人、技、物三防一體的綜合安全防范體系,根據(jù)檔案實(shí)體和檔案信息的特點(diǎn)和形成風(fēng)險(xiǎn)的各種因素，制定相應(yīng)的對(duì)策 ，才能構(gòu)筑起抵御檔案各種風(fēng)險(xiǎn)的堅(jiān)固防線。要實(shí)行檔案實(shí)體和檔案信息并重的安全策略，完善庫(kù)房、機(jī)房基礎(chǔ)設(shè)施和防護(hù)措施，實(shí)行異質(zhì)、異地備份，重要檔案多套備份,應(yīng)用網(wǎng)絡(luò)信息技術(shù)的安全措施，采用嚴(yán)格的管理制度和規(guī)范的管理，建立檔案容災(zāi)機(jī)制,達(dá)到有效控制和防止檔案安全風(fēng)險(xiǎn)，實(shí)現(xiàn)檔案保真、保密、保讀、保存的安全目標(biāo)。

（作者系上海市電力公司檢修公司）