數(shù)字檔案信息安全的問題與對(duì)策分析

朱玲飛

(浙江浙能蘭溪發(fā)電有限責(zé)任公司)

數(shù)字檔案信息安全的問題與對(duì)策分析

朱玲飛

(浙江浙能蘭溪發(fā)電有限責(zé)任公司)

隨著計(jì)算機(jī)等現(xiàn)代化設(shè)備的廣泛應(yīng)用和檔案信息化進(jìn)程的不斷加快,檔案工作進(jìn)入了一個(gè)全新的網(wǎng)絡(luò)化時(shí)代,數(shù)字檔案信息已經(jīng)成為今后檔案管理部門的主要資源?？萍嫉陌l(fā)展給企業(yè)檔案管理帶來了變革,電子文件的大量產(chǎn)生改變了傳統(tǒng)的管理模式,如何保障這些數(shù)字檔案信息的安全已迫在眉睫。本文根據(jù)筆者多年來的工作經(jīng)歷,對(duì)數(shù)字檔案管理中普遍存在的信息安全問題等進(jìn)行了分析歸納,并根據(jù)工作實(shí)際,從安全管理、技術(shù)手段、人才培養(yǎng)等方面提出了相應(yīng)對(duì)策和措施。

數(shù)字檔案 信息安全 對(duì)策

檔案信息安全涉及方方面面,其中,數(shù)字檔案信息安全是檔案信息安全諸多環(huán)節(jié)中的重要一環(huán)。數(shù)字檔案通常包括電子業(yè)務(wù)數(shù)據(jù)、電子公文、檔案數(shù)字化成果等三項(xiàng)。電子業(yè)務(wù)數(shù)據(jù)指各專業(yè)主管部門及下屬單位通過專門業(yè)務(wù)信息管理系統(tǒng)形成的現(xiàn)行電子業(yè)務(wù)數(shù)據(jù)(庫(kù));電子公文是指各單位在處理公務(wù)的過程中,通過計(jì)算機(jī)等電子設(shè)備形成的公務(wù)電子文件(一般為版式公文或文檔、圖表等形式,包括相關(guān)元數(shù)據(jù)和機(jī)讀目錄);檔案數(shù)字化成果指各單位傳統(tǒng)載體檔案經(jīng)數(shù)字化轉(zhuǎn)換后的數(shù)據(jù)成果,包括全文和目錄等。筆者根據(jù)多年來的工作實(shí)踐,就數(shù)字檔案的信息安全工作談?wù)劥譁\的看法。

一、數(shù)字檔案信息安全管理概述

隨著現(xiàn)代科技的高速發(fā)展及計(jì)算機(jī)技術(shù)和網(wǎng)絡(luò)技術(shù)在檔案管理中的逐步應(yīng)用,數(shù)字檔案應(yīng)運(yùn)而生。它不僅使檔案信息資源共享、遠(yuǎn)程查詢利用服務(wù)成為現(xiàn)實(shí),同時(shí)也給檔案管理工作提出了新的要求。由于數(shù)字檔案是通過計(jì)算機(jī)進(jìn)行操作、傳輸、存儲(chǔ)等處理方式而形成的,與傳統(tǒng)紙質(zhì)檔案相比,有著許多不同的特性,如非人工識(shí)讀性、系統(tǒng)的依賴性、信息的不穩(wěn)定性、信息的可共享性等。正是由于這些特性,導(dǎo)致了其區(qū)別于傳統(tǒng)載體檔案的不少脆弱性、安全性問題,如數(shù)字檔案在輸入、輸出、存儲(chǔ)、傳輸?shù)冗^程中可能會(huì)導(dǎo)致的誤操作、丟失、被偷竊、自然災(zāi)害、病毒及黑客侵犯等危害。要解決這些新情況、新問題,我們必須抓住安全問題的本質(zhì)和關(guān)鍵,采取一些切實(shí)可行的安全措施,在重視突發(fā)事故安全處置的同時(shí),加強(qiáng)日常安全風(fēng)險(xiǎn)防范,做到防患于未然,以確保數(shù)字檔案的安全性、完整性和準(zhǔn)確性。

二、數(shù)字檔案信息安全管理問題分析

(一)檔案安全意識(shí)普遍薄弱,管理制度不健全

一些單位和部門雖然明確了分管檔案的領(lǐng)導(dǎo),但他們對(duì)數(shù)字檔案信息安全工作認(rèn)識(shí)不夠,認(rèn)為檔案工作無關(guān)緊要、無須親為,存在不同程度的敷衍應(yīng)付思想,對(duì)所形成的各類文件材料數(shù)字信息化建設(shè)不夠重視,加上管理制度缺失,沒有制定嚴(yán)格的檔案安全管理相關(guān)制度和行之有效的安全檢查制度、安全保障制度等,檔案安全管理沒有提到議事日程,未能做到有章可循。有的單位即使制定了相應(yīng)的檔案管理制度,也存在不少漏洞,缺乏有效的制度執(zhí)行保障,沒有進(jìn)行經(jīng)常性的安全檢查,未能及時(shí)發(fā)現(xiàn)事故苗頭,事故危害不斷蔓延擴(kuò)大,以致造成不可挽回的損失。也有的單位未將檔案數(shù)字化的要求落到實(shí)處,造成大量資料散存在個(gè)人手中或流向不明,由于網(wǎng)絡(luò)安全防護(hù)技術(shù)較低和安全意識(shí)不強(qiáng),造成了對(duì)檔案信息的無意侵權(quán)或檔案丟失,直接威脅著檔案信息的安全,對(duì)檔案的安全缺乏準(zhǔn)確的認(rèn)識(shí)。

(二)計(jì)算機(jī)系統(tǒng)的不安全性和存儲(chǔ)載體安全問題

1.計(jì)算機(jī)系統(tǒng)的不安全性影響數(shù)字檔案信息安全。數(shù)字檔案的管理離不開計(jì)算機(jī)軟硬件系統(tǒng)的支持,雖然現(xiàn)在計(jì)算機(jī)技術(shù)越來越先進(jìn),功能越來越強(qiáng)大,但不穩(wěn)定性和不安全性還很突出。而數(shù)字化檔案管理所涉及的通信、計(jì)算機(jī)和信息處理等處理的各個(gè)部分都存在著薄弱環(huán)節(jié),自身安全保護(hù)能力不強(qiáng),極易受到病毒的攻擊和破壞,容易造成檔案管理系統(tǒng)的癱瘓,信息的泄露以及非法增加、刪減、篡改等問題。來自內(nèi)部和外部的非法訪問,可能導(dǎo)致網(wǎng)絡(luò)遭受非法修改和惡意攻擊,威脅網(wǎng)絡(luò)安全,比如局域網(wǎng)上往來的公文共享屬性設(shè)置不當(dāng),網(wǎng)絡(luò)管理員分配用戶權(quán)限不合理,用戶密碼選擇不慎都是網(wǎng)絡(luò)安全的隱患。黑客熟練掌握計(jì)算機(jī)知識(shí)和技能,一旦網(wǎng)絡(luò)中的個(gè)別口令為其所破譯,他就取得了對(duì)網(wǎng)絡(luò)的訪問權(quán),就能以合法用戶的身份使用該系統(tǒng),甚至可以以網(wǎng)絡(luò)管理員的身份翻閱、涂改網(wǎng)絡(luò)中使用的全部數(shù)據(jù)或修改指令來改變路徑,對(duì)網(wǎng)絡(luò)信息進(jìn)行破壞,致使網(wǎng)絡(luò)部分或全部癱瘓。

2.檔案存儲(chǔ)載體的不安全性影響數(shù)字檔案信息安全。當(dāng)前,數(shù)字檔案信息的主要載體是磁盤、磁帶等,對(duì)讀取設(shè)備有絕對(duì)的依賴性,同時(shí),對(duì)保存環(huán)境的要求也很高。電子檔案在存儲(chǔ)介質(zhì)、利用方式和保存形式等方面與傳統(tǒng)的紙質(zhì)檔案也存在著本質(zhì)的差異。一方面,目前適用的磁帶、磁盤、光盤等介質(zhì)的壽命都比較短,與能保存千年以上的紙質(zhì)載體相比其壽命相差甚遠(yuǎn),而且它還受到溫濕度、磁場(chǎng)、記錄存儲(chǔ)格式、硬件配置等多方面的影響。另一方面,電子檔案信息的格式與計(jì)算機(jī)系統(tǒng)相關(guān)聯(lián),而計(jì)算機(jī)的操作系統(tǒng)、文字處理格式、數(shù)據(jù)庫(kù)系統(tǒng)等在不斷地升級(jí)換代,這就存在著老的檔案信息格式與新的計(jì)算機(jī)系統(tǒng)的銜接問題。

(三)日常安全管理和應(yīng)急管理不到位,未建立有效的檔案安全防范和應(yīng)急備份體系

1.日常安全管理和應(yīng)急管理責(zé)任落實(shí)不到位。一些單位領(lǐng)導(dǎo)和檔案管理人員對(duì)檔案日常安全管理和應(yīng)急管理認(rèn)識(shí)不到位,主體責(zé)任未落實(shí),監(jiān)管責(zé)任不到位,檔案信息安全事故時(shí)有發(fā)生。尤其是在信息化環(huán)境下,檔案信息損毀、泄密風(fēng)險(xiǎn)日益突出,檔案安全處在事故易發(fā)期、多發(fā)期,檔案安全依然嚴(yán)峻。

2.檔案安全防范和應(yīng)急備份體系不健全。檔案是一種不可再生資源,一旦遭到破壞,將會(huì)造成不可挽回的損失,檔案安全防范是檔案工作的重中之重。好多單位都制定了檔案管理的一般制度,如檔案的接收、分類、借閱、保密、鑒定、銷毀等制度,但是,部分單位認(rèn)為檔案管理一般不會(huì)發(fā)生安全問題,未將檔案安全管理提到議事日程,未能做到有章可循,也沒有建立有效的檔案安全防范和應(yīng)急備份體系,因而面對(duì)突發(fā)事件時(shí),束手無策,不知所措。

(四)缺乏高素質(zhì)檔案復(fù)合型管理人才

數(shù)字檔案信息的安全問題是檔案工作者必須面對(duì)的現(xiàn)實(shí)問題,構(gòu)建數(shù)字檔案信息安全體系,要求提高數(shù)字檔案信息管理人員的整體素質(zhì),確保數(shù)字檔案信息的物理環(huán)境和硬件環(huán)境安全。當(dāng)前,檔案管理已經(jīng)不能囿于傳統(tǒng)管理模式和方式,大膽變革、創(chuàng)新發(fā)展已經(jīng)刻不容緩。人才隊(duì)伍建設(shè)是事業(yè)發(fā)展的根本保障,數(shù)字檔案室建設(shè)的任務(wù)重、時(shí)間緊,培養(yǎng)高素質(zhì)的復(fù)合型檔案管理人才是當(dāng)務(wù)之急。在實(shí)踐中,檔案管理人員多為兼職,繁重的工作任務(wù)使他們沒有精力去學(xué)習(xí)檔案業(yè)務(wù)知識(shí)和網(wǎng)絡(luò)技術(shù)知識(shí),提升檔案業(yè)務(wù)能力,致使數(shù)字檔案信息安全難以保障。

三、加強(qiáng)數(shù)字檔案信息安全管理的對(duì)策和建議

(一)提高檔案安全意識(shí),建立健全相關(guān)管理制度

俗話說,三分技術(shù),七分管理,管理是保障數(shù)字檔案信息安全的重要手段,僅僅依靠技術(shù)不能保證整體的安全,只有加上有效的管理來支持和補(bǔ)充,才能確保技術(shù)發(fā)揮其應(yīng)有的作用,真正實(shí)現(xiàn)整體的安全,而責(zé)任不明、管理混亂、制度不健全及缺乏可操作性等都可能引起數(shù)字檔案信息安全的風(fēng)險(xiǎn)。因此,數(shù)字檔案信息安全管理要實(shí)行單位領(lǐng)導(dǎo)負(fù)責(zé)制,各單位應(yīng)將數(shù)字檔案信息安全管理工作列為單位安全保密工作的重要內(nèi)容,明確檔案信息安全管理工作的主管領(lǐng)導(dǎo)。指定系統(tǒng)安全管理人員負(fù)責(zé)本單位檔案信息化系統(tǒng)各項(xiàng)安全措施的落實(shí)和日常管理工作,依照有關(guān)安全保密和檔案工作的要求和標(biāo)準(zhǔn),對(duì)數(shù)字檔案信息安全管理工作情況進(jìn)行定期檢查,確保檔案信息安全。建立健全本單位的數(shù)字檔案管理制度,具體包括電子文件歸檔與管理辦法、檔案數(shù)字化技術(shù)標(biāo)準(zhǔn)、檔案安全保密制度、檔案數(shù)據(jù)網(wǎng)上查詢利用制度、檔案數(shù)據(jù)管理維護(hù)制度、電子檔案鑒定銷毀制度等,明確各部門應(yīng)履行的職責(zé)和應(yīng)承擔(dān)的責(zé)任,同時(shí)加強(qiáng)監(jiān)管,定期考核。

(二)加強(qiáng)對(duì)入網(wǎng)用戶的管理和存儲(chǔ)安全管理

1.加強(qiáng)檔案信息系統(tǒng)安全管理。對(duì)存儲(chǔ)與管理檔案信息的應(yīng)用系統(tǒng),應(yīng)采用數(shù)據(jù)庫(kù)加密、身份鑒別、訪問控制、日志審計(jì)跟蹤、備份恢復(fù)等安全技術(shù)措施,對(duì)系統(tǒng)各功能模塊的訪問應(yīng)當(dāng)采用權(quán)限管理機(jī)制,不能越權(quán)操作。存儲(chǔ)與管理檔案信息的網(wǎng)絡(luò)系統(tǒng),應(yīng)采取網(wǎng)絡(luò)間安全防護(hù)措施,不得直接連接到政務(wù)外網(wǎng)的公眾服務(wù)專網(wǎng)、國(guó)際互聯(lián)網(wǎng)等信息網(wǎng)絡(luò)上進(jìn)行。進(jìn)入局域網(wǎng)需要通過IP地址申請(qǐng),在檔案管理系統(tǒng)中嚴(yán)格按規(guī)定分配不同用戶的使用權(quán)限,保障每個(gè)用戶只能訪問到其授權(quán)范圍內(nèi)的信息,嚴(yán)禁用戶非法越級(jí)使用檔案信息,用戶進(jìn)入檔案信息管理系統(tǒng)之前要進(jìn)行身份鑒別,確認(rèn)授權(quán)用戶的名稱和口令密碼。信息化系統(tǒng)驗(yàn)收后,各單位應(yīng)立即督促檢查承建單位清除為調(diào)試系統(tǒng)向他們提供的各種檔案數(shù)據(jù),以防數(shù)據(jù)泄露。網(wǎng)絡(luò)構(gòu)架與服務(wù)器的調(diào)整,數(shù)據(jù)庫(kù)軟件、應(yīng)用系統(tǒng)等的更新、升級(jí)后,應(yīng)對(duì)單位整個(gè)信息化系統(tǒng)運(yùn)行狀況進(jìn)行安全檢測(cè),及時(shí)消除安全隱患,確保信息安全和系統(tǒng)正常運(yùn)行;同時(shí)由專人負(fù)責(zé)檔案信息數(shù)據(jù)庫(kù)的管理工作,建立數(shù)據(jù)庫(kù)日常維護(hù)管理與安全檢查備份制度,嚴(yán)禁非數(shù)據(jù)庫(kù)管理員繞過應(yīng)用系統(tǒng)直接進(jìn)入數(shù)據(jù)庫(kù)操作。未采取必要的安全保密技術(shù)防范措施的檔案信息基礎(chǔ)數(shù)據(jù)庫(kù)不得聯(lián)入局域網(wǎng)、政務(wù)網(wǎng)及互聯(lián)網(wǎng)等網(wǎng)絡(luò)。

2.加強(qiáng)存儲(chǔ)介質(zhì)安全管理。根據(jù)不同的存儲(chǔ)介質(zhì),隨時(shí)調(diào)整存儲(chǔ)地點(diǎn)的溫濕度,采取嚴(yán)格的安保措施,確保磁帶、光盤、磁盤等載體的安全保存,并定期對(duì)磁盤里的數(shù)據(jù)進(jìn)行可讀性檢測(cè)。對(duì)快到生命期限的載體,采取復(fù)制措施,將數(shù)據(jù)導(dǎo)入到易長(zhǎng)久保存的介質(zhì)上(如移動(dòng)硬盤等)或檔案專用服務(wù)器上,防止數(shù)據(jù)丟失或因載體更新?lián)Q代而不可讀,確保檔案數(shù)據(jù)的安全。

(三)完善應(yīng)急管理機(jī)制,建立風(fēng)險(xiǎn)評(píng)估和安全防范體系

1.加強(qiáng)應(yīng)急管理體制建設(shè)。根據(jù)實(shí)際情況制定和完善應(yīng)急管理工作責(zé)任制度,明確各類事件的防范和處置程序,做好各級(jí)各類相關(guān)預(yù)案的銜接工作。認(rèn)真研究和把握應(yīng)急管理工作的內(nèi)在規(guī)律,總結(jié)和推廣應(yīng)急管理工作中的新經(jīng)驗(yàn),堅(jiān)持“安全第一,預(yù)防為主”的檔案安全工作方針,以高度的政治責(zé)任感和使命感,不斷提高處置突發(fā)事件的能力。

2.開展檔案信息安全風(fēng)險(xiǎn)評(píng)估。檔案信息安全風(fēng)險(xiǎn)評(píng)估是安全管理的根本依據(jù),應(yīng)通過定期對(duì)信息系統(tǒng)進(jìn)行風(fēng)險(xiǎn)評(píng)估來識(shí)別風(fēng)險(xiǎn)大小。通過綜合考慮信息系統(tǒng)所面臨的風(fēng)險(xiǎn)、自身弱點(diǎn)、威脅造成的潛在影響和發(fā)生的可能性等因素,合理部署和利用信息安全的信息體系、監(jiān)控體系,制定可行的應(yīng)急響應(yīng)方案,規(guī)范信息安全應(yīng)急響應(yīng)工作,能有效預(yù)防、及時(shí)控制和最大限度地消除各類突發(fā)事件的危害和影響。

3.構(gòu)建有效的檔案安全防護(hù)體系。檔案安全體系中的任何一個(gè)環(huán)節(jié)出現(xiàn)漏洞,都可能導(dǎo)致整個(gè)安全體系的崩潰,帶來災(zāi)難性的后果。為此,檔案信息的安全工作必須從整體出發(fā),著力于體系建設(shè),通過對(duì)所有相關(guān)因素的分析梳理,建立起系統(tǒng)、高效的檔案安全防護(hù)體系。其一,在防護(hù)對(duì)象上,不僅要著力保護(hù)檔案實(shí)體的安全,而且要保證檔案信息的安全和檔案文件保存環(huán)境的安全。既要維護(hù)傳統(tǒng)載體檔案的安全,也要維護(hù)數(shù)字檔案信息的安全;既要保證檔案本體的安全,又要維護(hù)檔案相關(guān)材料及其元數(shù)據(jù)的安全。其二,在防護(hù)環(huán)節(jié)上,要對(duì)檔案文件的生命全程實(shí)現(xiàn)不間斷防護(hù)。通過各種措施來嚴(yán)密監(jiān)控檔案文件自形成伊始的存儲(chǔ)、處理、傳輸與利用過程,實(shí)現(xiàn)自文件至檔案的一體化防護(hù)。其三,在防護(hù)策略上,要“預(yù)防為主,防治結(jié)合”。一手抓防范,一手抓治理,在積極實(shí)施主動(dòng)性防御的基礎(chǔ)上,對(duì)由于歷史原因或不可抗因素而造成的受損檔案、瀕危檔案開展搶救性的保護(hù)與修復(fù),以避免這些檔案的安全狀況進(jìn)一步惡化。我們應(yīng)牢固樹立未雨綢繆、預(yù)防為主的思想,將損失降低到最低程度。

4.加強(qiáng)容災(zāi)備份管理。當(dāng)前,全球自然災(zāi)害頻發(fā),汶川大地震、印度洋海嘯等重大自然災(zāi)害給災(zāi)區(qū)檔案數(shù)據(jù)帶來了巨大破壞,使得異地?cái)?shù)據(jù)備份顯得越來越重要?，F(xiàn)在比較常見的備份方式就是刻錄數(shù)據(jù)光盤,或者用移動(dòng)硬盤,近年來也有人喜歡使用網(wǎng)絡(luò)硬盤。異地備份的對(duì)應(yīng)城市應(yīng)選擇與原文檔所在城市地理特征不同、城市間距離較遠(yuǎn)的城市進(jìn)行,這樣,才能確保檔案材料的安全。當(dāng)然,這需要有關(guān)專家依據(jù)城市的綜合因素進(jìn)行必要的評(píng)估,做好電子文檔數(shù)據(jù)備份工作,確保災(zāi)難發(fā)生后能正常恢復(fù)。

(四)提高檔案管理人員綜合素質(zhì)

數(shù)字檔案信息安全管理工作是一項(xiàng)專業(yè)性較強(qiáng)的工作,保障檔案信息的安全,人是第一要素。通過這幾年的實(shí)踐,我的體會(huì)是：在技術(shù)條件和管理制度到位的基礎(chǔ)上,人的素質(zhì)是確保數(shù)字檔案信息安全的決定因素,作為專(兼)職檔案管理人員,必須要有強(qiáng)烈的責(zé)任心和使命感,還要與時(shí)俱進(jìn),一定要熟悉計(jì)算機(jī)技術(shù)和網(wǎng)絡(luò)技術(shù)等相關(guān)知識(shí),努力學(xué)習(xí)檔案業(yè)務(wù)知識(shí)、管理理論和方法,不斷優(yōu)化自身知識(shí)結(jié)構(gòu),提高自身的綜合素質(zhì),爭(zhēng)做既熟悉計(jì)算機(jī)知識(shí)又熟悉檔案業(yè)務(wù)的復(fù)合型人才,以適應(yīng)日益發(fā)展的檔案事業(yè)的需要。

數(shù)字檔案信息安全工作涉及檔案信息化建設(shè)的各個(gè)環(huán)節(jié),包括技術(shù)、管理、人才等各個(gè)方面,是一個(gè)復(fù)雜的系統(tǒng)工程。信息網(wǎng)絡(luò)結(jié)構(gòu)所特有的開放性與共享性,在為檔案管理提供數(shù)字檔案信息服務(wù)創(chuàng)造了極為有利條件的同時(shí),也不可避免地使數(shù)字檔案信息方面存在著極大的安全隱患。數(shù)字檔案信息安全問題不僅是技術(shù)問題,更是管理問題,需要多管齊下才能全方位地應(yīng)對(duì)各種風(fēng)險(xiǎn)。另外,一些傳統(tǒng)的安全保護(hù)手段比較被動(dòng)、滯后,無法應(yīng)對(duì)不斷變化的新的數(shù)字檔案信息安全威脅和挑戰(zhàn)。只有建立事先的、主動(dòng)的安全保護(hù)機(jī)制、容災(zāi)備份制度,并針對(duì)新的風(fēng)險(xiǎn)不斷進(jìn)行調(diào)整優(yōu)化,才能最大限度地對(duì)數(shù)字檔案信息安全進(jìn)行保護(hù)。