檔案管理信息化的優(yōu)勢(shì)及安全風(fēng)險(xiǎn)評(píng)估研究

文/菏澤市城市綜合開(kāi)發(fā)辦公室 潘曉露

隨著社會(huì)的快速發(fā)展，國(guó)家越來(lái)越重視檔案信息化的管理工作。檔案信息化是指運(yùn)用先進(jìn)的科學(xué)信息技術(shù)，充分的應(yīng)用檔案網(wǎng)絡(luò)建設(shè)平臺(tái)，通過(guò)科學(xué)有效的方法對(duì)檔案信息進(jìn)行合理的管理與應(yīng)用，這樣在一定程度上可以實(shí)現(xiàn)檔案信息資源的充分利用。近年來(lái)，隨著科學(xué)技術(shù)的快速發(fā)展，為我國(guó)的檔案管理事業(yè)信息化帶來(lái)了很好的發(fā)展機(jī)會(huì)，檔案管理信息化可以依托先進(jìn)的科學(xué)技術(shù)，使管理的方法和手段得到更新和改革，但是在檔案管理信息化的過(guò)程中也會(huì)出現(xiàn)一些信息安全問(wèn)題，所以有效的使用信息安全風(fēng)險(xiǎn)評(píng)估理論，加強(qiáng)檔案信息安全管理具有十分重要的意義。

一、檔案管理信息化的優(yōu)勢(shì)

（一）有助于檔案資料的長(zhǎng)期存檔以及儲(chǔ)備。傳統(tǒng)的檔案管理方式主要是以紙質(zhì)為核心，這種管理方式存在著很多的弊端，因?yàn)殡S著時(shí)代的發(fā)展，檔案資料日益增加，紙質(zhì)資料由于物理因素，長(zhǎng)期的存儲(chǔ)會(huì)導(dǎo)致其發(fā)生潮濕或者變質(zhì)等，由此可以看出，傳統(tǒng)的檔案信息管理方式不利于檔案資料的長(zhǎng)期有效的存儲(chǔ)。如今使用的檔案管理信息化可以有效的解決這些問(wèn)題，通過(guò)使用先進(jìn)的科學(xué)技術(shù)，將逐漸增加的原始的檔案資料儲(chǔ)存到一個(gè)很小的硬盤(pán)中，而且還能夠?qū)崿F(xiàn)長(zhǎng)期的儲(chǔ)存。由此可以看出，檔案管理信息化在檔案資料的長(zhǎng)期儲(chǔ)存方面有著很大的優(yōu)勢(shì)。

（二）有助于檔案信息的檢索。傳統(tǒng)的檔案信息管理中需要安排專(zhuān)門(mén)的管理人員，從很多的檔案管理資料的目錄中查找所需要的檔案信息，而且這個(gè)過(guò)程主要是通過(guò)肉眼來(lái)查找，然后根據(jù)查找到的記錄標(biāo)號(hào)信息，再到原始的檔案存儲(chǔ)庫(kù)房中去查找，這個(gè)查找的過(guò)程需要消耗大量的時(shí)間和人力，大大降低了查找的效率。這種查找方式更多的依賴(lài)人力。所以，有的時(shí)候由于工作人員的馬虎，會(huì)導(dǎo)致查找結(jié)果失敗，嚴(yán)重影響查找結(jié)果的準(zhǔn)確性。隨著時(shí)代的快速發(fā)展，檔案管理信息化的使用，工作人員只需要通過(guò)對(duì)計(jì)算機(jī)中特定的檔案信息系統(tǒng)的管理軟件的使用，再結(jié)合查找所需要的具體條件，就可以快速、準(zhǔn)確地從眾多的信息資源中找到符合條件的檔案信息。這樣既能夠節(jié)省查找所需要的時(shí)間，又能夠保證檢索的準(zhǔn)確性，從而在一定程度上提高了檢索的效率。

（三）有助于檔案信息的共享。隨著科學(xué)技術(shù)的發(fā)展，計(jì)算機(jī)的廣泛使用，各個(gè)單位之間可以通過(guò)網(wǎng)絡(luò)實(shí)現(xiàn)彼此之間的信息聯(lián)系，如果每個(gè)單位都實(shí)現(xiàn)檔案管理信息化，那么通過(guò)網(wǎng)絡(luò)平臺(tái)，所有的單位之間可以有效的實(shí)現(xiàn)資源共享的目的，從而實(shí)現(xiàn)檔案資源的有效利用，總而言之，檔案資源管理信息化的建設(shè)有利于檔案資源信息的共享。

（四）有助于遠(yuǎn)程服務(wù)功能的實(shí)現(xiàn)。傳統(tǒng)的檔案資源的管理使用的是實(shí)體信息的物理管理手段，這種方式嚴(yán)重的阻礙著遠(yuǎn)程服務(wù)功能的實(shí)現(xiàn)，因?yàn)槿鄙倏茖W(xué)技術(shù)含量，無(wú)法實(shí)現(xiàn)檔案信息資源在空間的轉(zhuǎn)移，從而在一定程度上影響遠(yuǎn)程服務(wù)功能的使用。而檔案管理的信息化的使用，可以有效的使用先進(jìn)的網(wǎng)絡(luò)技術(shù)以及通信技術(shù)，通過(guò)遠(yuǎn)程檢索可以實(shí)現(xiàn)檔案資源的檢索，而且還能夠很好的實(shí)現(xiàn)檔案信息資源在空間上的轉(zhuǎn)移，如果在不同的地方可以檢索同樣一份檔案資料，還可以將檢索出來(lái)的檔案資料在檢索的地方進(jìn)行打印，完全擺脫了地點(diǎn)的局限性。所以，采用的檔案管理的信息化方式，能夠有效的實(shí)現(xiàn)遠(yuǎn)程服務(wù)功能。

（五）有助于資源的節(jié)省。在過(guò)去，使用傳統(tǒng)的檔案管理方式，主要利用人工對(duì)一些資料進(jìn)行收集、整理、保管以及檢索。這樣的管理方式存在很多的弊端，主要表現(xiàn)在需要投入大量的人力，而且還會(huì)花費(fèi)大量的檢索時(shí)間。傳統(tǒng)的管理模式的屬性是以手工勞動(dòng)為主。所以，檢索的結(jié)果的準(zhǔn)確性在一定程度上受到人為因素的影響。隨著信息技術(shù)的快速發(fā)展，科學(xué)技術(shù)在檔案檔案管理方面的使用，實(shí)現(xiàn)了檔案資料管理的信息化，使其工作的過(guò)程中增加了技術(shù)含量，從根本上改變了傳統(tǒng)檔案管理方式，在一定程度上提高了資料管理的效率，增加了檔案的存儲(chǔ)量，從而降低的資源的使用。

二、檔案管理信息化過(guò)程中存在的不足之處

信息技術(shù)以及信息產(chǎn)業(yè)的飛速發(fā)展，給檔案管理信息化建設(shè)帶來(lái)了機(jī)會(huì)，同時(shí)也給其帶來(lái)了巨大的沖擊和新的挑戰(zhàn)。信息系統(tǒng)自身所處的網(wǎng)絡(luò)環(huán)境的特點(diǎn)以及信息系統(tǒng)自身的局限性會(huì)導(dǎo)致信息系統(tǒng)的發(fā)展過(guò)程中會(huì)受到一些因素的影響。而且，在使用的過(guò)程中也會(huì)遇到一些認(rèn)為破壞或者是木馬等方面的破壞。所以，檔案管理信息化的過(guò)程中會(huì)遇到一些信息安全隱患，這嚴(yán)重影響信息的安全可靠性。但是，隨著時(shí)代的快速發(fā)展，人們?cè)诓粩嗟奶剿骱脱芯糠乐剐畔⑾到y(tǒng)遭受到破壞的措施，而且在殺毒軟件和入侵檢測(cè)技術(shù)方面獲得了很大的成就。雖然這些檢測(cè)手段的使用在一定程度上可以防止惡意程序?qū)π畔⑾到y(tǒng)的破壞，但是并沒(méi)有從根本上解決檔案信息系統(tǒng)的安全問(wèn)題。因?yàn)殡S著信息技術(shù)的發(fā)展，信息系統(tǒng)受到的威脅也在逐漸向著多樣化的趨勢(shì)發(fā)展變化，而且更加的隱蔽化，對(duì)于信息系統(tǒng)的破壞性越來(lái)越大。隨著信息技術(shù)的廣泛使用，信息安全的內(nèi)涵也在不斷的豐富，已經(jīng)不再是最開(kāi)始的單單對(duì)信息保密，而是向著保證信息的完整性、準(zhǔn)確性方向發(fā)展，使檔案信息變得更加的實(shí)用而且具有不可否認(rèn)性。進(jìn)而實(shí)現(xiàn)多方面的防控實(shí)施技術(shù)。

三、檔案管理信息化中安全風(fēng)險(xiǎn)評(píng)估的作用

人們?cè)谶M(jìn)行檔案信息管理的過(guò)程中受到認(rèn)識(shí)能力以及實(shí)踐能力的限制，不能夠保證信息管理的完全安全性，所以檔案信息管理系統(tǒng)在一定程度上存在著脆弱性，這種情況導(dǎo)致在使用檔案信息的過(guò)程中面臨著一些人為或者是自然條件的破壞，所以檔案信息管理存在安全風(fēng)險(xiǎn)具有必然性。因此，對(duì)檔案信息管理進(jìn)行安全風(fēng)險(xiǎn)評(píng)估具有重要的意義，信息安全建設(shè)的前提是，基于對(duì)綜合成本以及效益的考慮，采取有效的安全方法對(duì)風(fēng)險(xiǎn)進(jìn)行控制，保證殘余風(fēng)險(xiǎn)降低在最小的程度。因?yàn)椋藗冏非髮?shí)際的信息系統(tǒng)的安全，是指對(duì)信息系統(tǒng)實(shí)施了風(fēng)險(xiǎn)控制之后，接受殘余風(fēng)險(xiǎn)的存在，但是殘余風(fēng)險(xiǎn)應(yīng)該控制在最小的程度。所以，要保證檔案信息系統(tǒng)的安全可靠性，就應(yīng)該實(shí)施全面、系統(tǒng)的安全風(fēng)險(xiǎn)評(píng)估，將安全風(fēng)險(xiǎn)評(píng)估的思想以及觀念貫穿到整個(gè)信息管理的過(guò)程中。

通常情況下，信息安全風(fēng)險(xiǎn)主要指的是在整個(gè)信息管理的過(guò)程中，信息的安全屬性所面臨的危害發(fā)生的可能性。產(chǎn)生這種可能性的原因是系統(tǒng)脆弱性、人為因素或者是其他的因素造成的威脅。用來(lái)衡量安全事件發(fā)生的概率以及造成的影響的指標(biāo)主要有兩種。然而，危害的程度并不只取決于安全事件發(fā)展的概率，還與其造成的后果的嚴(yán)重性的大小有著直接的關(guān)系。安全風(fēng)險(xiǎn)評(píng)估具有很多的特點(diǎn)。首先，它具有決策支持性，這個(gè)特點(diǎn)在整個(gè)安全風(fēng)險(xiǎn)評(píng)估周期中都存在，只是內(nèi)容不相同，因?yàn)榘踩u(píng)估的真正目的是供給安全管理支持以及服務(wù)的。在系統(tǒng)生命周期中都存在著安全隱患，所以整個(gè)生命周期中都離不開(kāi)安全風(fēng)險(xiǎn)評(píng)估。其次，比較分析性，這個(gè)特點(diǎn)主要體現(xiàn)在對(duì)安全管理和運(yùn)營(yíng)的不同的方案能夠進(jìn)行有效的比較以及分析；能夠?qū)Σ煌尘扒闆r下使用的科學(xué)技術(shù)以及資金投入進(jìn)行比較分析；還能夠?qū)Ξa(chǎn)生的結(jié)果進(jìn)行有效的比較分析。最后，前提假設(shè)性，對(duì)檔案信息進(jìn)行管理的過(guò)程中所使用的風(fēng)險(xiǎn)評(píng)估會(huì)涉及到各種評(píng)估數(shù)據(jù)，這些數(shù)據(jù)能夠被分為兩種。其中一種數(shù)據(jù)的功能是對(duì)檔案信息實(shí)際情況的描述，通過(guò)這些數(shù)據(jù)就可以了解整個(gè)檔案管理信息中的情況；另一種數(shù)據(jù)是指預(yù)測(cè)數(shù)據(jù)，主要是根據(jù)系統(tǒng)各種假設(shè)前提條件確定的，因?yàn)樵谛畔⒐芾淼恼麄€(gè)過(guò)程中，都要對(duì)一些未知的情況進(jìn)行事先的預(yù)測(cè)，然后做出必要的假設(shè)，得出相關(guān)的預(yù)測(cè)數(shù)據(jù)，再根據(jù)這些預(yù)測(cè)數(shù)據(jù)對(duì)系統(tǒng)進(jìn)行風(fēng)險(xiǎn)評(píng)估。

四、檔案管理不同階段進(jìn)行不同的風(fēng)險(xiǎn)評(píng)估

信息系統(tǒng)的開(kāi)發(fā)涉及到很多的模型，而且隨著科學(xué)技術(shù)的快速發(fā)展，各種模型都在不斷的升級(jí)。從最早期的線性模型到螺旋式模型再到后來(lái)的并發(fā)式的模型，這些系統(tǒng)模型的開(kāi)發(fā)都是為了滿(mǎn)足不同的系統(tǒng)需求。然而，風(fēng)險(xiǎn)評(píng)估卻存在于整個(gè)信息系統(tǒng)的生命周期中，但是由于信息系統(tǒng)的生命周期中有很多的階段，而且每一個(gè)階段活動(dòng)的內(nèi)容都有所差別，因此信息管理的安全目標(biāo)以及對(duì)安全風(fēng)險(xiǎn)評(píng)估的要求也是不同的。

（一）對(duì)于分析階段的風(fēng)險(xiǎn)評(píng)估。其真正的目的是為了實(shí)現(xiàn)規(guī)劃中的檔案信息系統(tǒng)安全風(fēng)險(xiǎn)的獲得，這樣才能夠根據(jù)獲得的信息來(lái)滿(mǎn)足安全建設(shè)的具體需求。分析階段的風(fēng)險(xiǎn)評(píng)估的重點(diǎn)是抓住系統(tǒng)初期的安全風(fēng)險(xiǎn)評(píng)估，從而有效的滿(mǎn)足對(duì)安全性的需求，然后從宏觀的角度來(lái)分析和評(píng)估檔案信息管理系統(tǒng)中可能存在的危險(xiǎn)因素。

（二）設(shè)計(jì)階段的安全風(fēng)險(xiǎn)評(píng)估。這個(gè)階段涉及到的安全目標(biāo)比較多，所以能夠有效的確定安全目標(biāo)具有重要的意義。應(yīng)該采取有效的措施，通過(guò)安全風(fēng)險(xiǎn)評(píng)估，保證檔案信息管理系統(tǒng)中安全目標(biāo)的明確。

（三）集成實(shí)現(xiàn)階段。這個(gè)階段的主要目的是要驗(yàn)證系統(tǒng)安全要求的實(shí)現(xiàn)效果與符合性是否一致，所以，應(yīng)該通過(guò)有效的風(fēng)險(xiǎn)評(píng)估對(duì)其進(jìn)行驗(yàn)證。需要注意的是，在進(jìn)行資產(chǎn)評(píng)估的時(shí)候，如果在分析階段以及設(shè)計(jì)階段已經(jīng)對(duì)資產(chǎn)進(jìn)行了評(píng)估，那么在這個(gè)階段就不需要再重新做資產(chǎn)評(píng)估的工作，防止重復(fù)性工作的發(fā)生。所以，可以直接用前兩個(gè)階段得出的資產(chǎn)評(píng)估的結(jié)果，但是如果在分析階段和設(shè)計(jì)階段都沒(méi)有進(jìn)行資產(chǎn)評(píng)估，則需要在此階段先進(jìn)行這項(xiàng)工作。威脅評(píng)估依然著重威脅環(huán)境，而且要對(duì)真實(shí)環(huán)境中的具體威脅進(jìn)行有效的分析。除此之外，還應(yīng)該對(duì)檔案信息管理系統(tǒng)進(jìn)行實(shí)際環(huán)境的脆弱性的有效分析，重點(diǎn)放在信息的運(yùn)行環(huán)境以及管理環(huán)境中的脆弱性的分析。

（四）運(yùn)行維護(hù)階段。對(duì)檔案管理系統(tǒng)不斷的進(jìn)行有效的風(fēng)險(xiǎn)評(píng)估，從而確保系統(tǒng)的安全、可靠性，這樣才能夠保證檔案管理系統(tǒng)在整個(gè)生命周期中都處于安全的環(huán)境。

五、檔案信息安全風(fēng)險(xiǎn)評(píng)估存在的不足

我國(guó)在檔案信息安全風(fēng)險(xiǎn)評(píng)估方面已經(jīng)取得了很大的成就，積累了一些寶貴的經(jīng)驗(yàn)。但是，由于我國(guó)檔案信息安全風(fēng)險(xiǎn)評(píng)估工作起步晚，還存在一些不足之處，主要表現(xiàn)在以下幾點(diǎn)。

（一）管理層對(duì)于信息安全風(fēng)險(xiǎn)評(píng)估缺乏一定的重視，而且缺少一些專(zhuān)業(yè)評(píng)估技術(shù)人員。當(dāng)前評(píng)估技術(shù)人員的專(zhuān)業(yè)技能不高也是現(xiàn)階段存在的問(wèn)題。所以，應(yīng)該對(duì)評(píng)估人員進(jìn)行定期的培訓(xùn)，提高他們的專(zhuān)業(yè)技能，保證風(fēng)險(xiǎn)評(píng)估工作有效的進(jìn)行，同時(shí)還應(yīng)該采取有效的措施來(lái)提高工作人員對(duì)于風(fēng)險(xiǎn)評(píng)估的重視，是檔案管理信息化環(huán)境處于安全的運(yùn)行環(huán)境中。

（二）風(fēng)險(xiǎn)評(píng)估的工作流程還不夠完善，而且一些風(fēng)險(xiǎn)技術(shù)標(biāo)準(zhǔn)也需要進(jìn)一步的更新。檔案信息化管理的風(fēng)險(xiǎn)評(píng)估，不僅僅是一個(gè)管理的過(guò)程，也是一個(gè)技術(shù)性的過(guò)程，所以應(yīng)該根據(jù)實(shí)際情況來(lái)科學(xué)合理地制定工作流程和技術(shù)標(biāo)準(zhǔn)。如果所有的環(huán)境和情況都套用一種工作流程和一個(gè)技術(shù)標(biāo)準(zhǔn)，就會(huì)導(dǎo)致不匹配現(xiàn)象的出現(xiàn)，不僅影響風(fēng)險(xiǎn)評(píng)估的效果，而且在一定程度上還影響信息系統(tǒng)的安全性。

（三）評(píng)估工具的發(fā)展比較滯后，隨著科學(xué)技術(shù)的快速發(fā)展，信息安全漏洞會(huì)逐漸顯露出來(lái)，所以對(duì)信息系統(tǒng)的威脅逐漸增加。應(yīng)該采用先進(jìn)的評(píng)估工具對(duì)其進(jìn)行風(fēng)險(xiǎn)評(píng)估，從而滿(mǎn)足檔案管理信息化的需求。

六、結(jié)語(yǔ)

隨著信息技術(shù)的飛速發(fā)展，應(yīng)該擺脫傳統(tǒng)的檔案信息管理方式，采用檔案管理信息化的建設(shè)。本文主要探討了檔案管理信息化的優(yōu)勢(shì)，并且介紹了檔案信息安全風(fēng)險(xiǎn)評(píng)估的內(nèi)容，提出了目前檔案信息安全風(fēng)險(xiǎn)評(píng)估中的不足之處，希望對(duì)我國(guó)的檔案信息化的發(fā)展提供一定的參考價(jià)值。

[1]白志英,劉勇,賀紅軍,薛福俊.淺談檔案數(shù)字化工作五個(gè)到位[A].檔案與文化建設(shè):2012 年全國(guó)檔案工作者年會(huì)論文集(中)[C],2012.

[2]王一萍.淺談檔案數(shù)字化現(xiàn)狀及對(duì)策[A].行與知——社會(huì)主義文化大發(fā)展大繁榮中的檔案工作[C],2012.

[3]李雪,杜琴.新形勢(shì)下加強(qiáng)電力企業(yè)檔案現(xiàn)代化管理的思考[J].江西電力職業(yè)技術(shù)學(xué)院學(xué)報(bào),2012(03).

[4]張英奎,王飛,房彥君.大數(shù)據(jù)時(shí)代的企業(yè)檔案信息化建設(shè)[J].北京化工大學(xué)學(xué)報(bào)(社會(huì)科學(xué)版),2014(03).

[5]黃歡.信息安全風(fēng)險(xiǎn)評(píng)估系統(tǒng)的研究和實(shí)現(xiàn)[D].南京航空航天大學(xué),2008.