檔案事業(yè)發(fā)展中安全保密相關(guān)問(wèn)題的思考

王震亞，楊忠清

（1.中國(guó)電子科技集團(tuán)公司第二十八研究所，南京 210007；2.南京航空航天大學(xué)，南京 210016）

1 引言

全國(guó)檔案安全工作必須根據(jù)形勢(shì)任務(wù)的發(fā)展變化不斷加強(qiáng)和改進(jìn)。如今正是信息高速發(fā)展的時(shí)代，大量的紙質(zhì)文件逐漸被電子文件取代，為檔案工作者帶來(lái)了全新的挑戰(zhàn)，同時(shí)，檔案的安全和保密問(wèn)題也浮出水面，論文對(duì)檔案發(fā)展過(guò)程中可能遇見(jiàn)的安全保密問(wèn)題和解決對(duì)策展開(kāi)論述。

2 檔案發(fā)展中面臨的問(wèn)題

2.1 日常工作中檔案資料的損害

在日常的檔案管理工作中，受到主客觀因素的影響，檔案資料存在著被丟失、損壞、污染、篡改和泄密的可能，特別是經(jīng)常借閱的文件資料，更容易遭到如上述所說(shuō)的損害，具體情況表現(xiàn)為：操作失誤，錄入中出現(xiàn)錯(cuò)誤，導(dǎo)致數(shù)據(jù)信息的真實(shí)性被破壞；借閱者因保管不當(dāng)，致使檔案資料丟失，造成無(wú)法彌補(bǔ)的損失；檔案員或借閱者沒(méi)有好好保護(hù)檔案原件，檔案被撕毀，弄臟，甚至有意去涂改原有的數(shù)據(jù)；授權(quán)人擅自將檔案資料給未經(jīng)授權(quán)人查看，資料內(nèi)容被泄露；由于不可抗的原因，如火災(zāi)、地震，使檔案資料損失嚴(yán)重。隨著檔案信息化建設(shè)的推進(jìn)，電子檔案資料被損害的可能性就更大，表現(xiàn)為：授權(quán)用戶濫用權(quán)限，隨意給他人開(kāi)放，使數(shù)據(jù)違規(guī)修改、刪除；黑客、病毒的攻擊，使信息系統(tǒng)癱瘓，檔案數(shù)據(jù)丟失、損壞，以及不法分子對(duì)涉密檔案資料的竊取。

2.2 檔案信息化建設(shè)中埋藏的隱患

現(xiàn)在大部分企業(yè)單位處于檔案信息化建設(shè)的初期，還忙于檔案管理系統(tǒng)、檔案數(shù)字化系統(tǒng)等平臺(tái)的搭建，沒(méi)有將檔案的安全保密問(wèn)題放在首位考慮。例如，用于檔案信息化的電腦、服務(wù)器設(shè)備存放環(huán)境是否存在電磁泄露的可能；是否對(duì)電子檔案管理系統(tǒng)、檔案數(shù)字化軟件本身存在的安全漏洞進(jìn)行排查，并采取隔離、防范措施；電腦中的安全策略、防火墻是否啟動(dòng)，殺毒軟件是否安裝等。同時(shí)，為了加快信息化進(jìn)程，在不注意的情況下還可能違反保密相關(guān)規(guī)定，混用涉密和非涉密存儲(chǔ)介質(zhì)、計(jì)算機(jī)設(shè)備，涉密計(jì)算機(jī)未與網(wǎng)絡(luò)系統(tǒng)隔離等。

2.3 安全保密技術(shù)和裝備的短板

企業(yè)不分規(guī)模大小，檔案管理工作都屬于其中很小的一部分，因?yàn)椴恢苯訛槠髽I(yè)賺取利潤(rùn)，企業(yè)高層一般會(huì)忽視檔案事業(yè)發(fā)展中經(jīng)費(fèi)的投入，導(dǎo)致檔案無(wú)論是管理水平還是設(shè)備設(shè)施，都處于落后的狀態(tài)，安全保密技術(shù)和裝備自然就相對(duì)落后。如今信息化高速發(fā)展，新的病毒層出不窮，脆弱的防護(hù)設(shè)施如同虛設(shè)，尤其是涉密檔案資料無(wú)異于是暴露在光天化日之下，很容易被竊取或丟失，直接影響到一個(gè)企業(yè)的利益甚至前程發(fā)展。

2.4 安全保密責(zé)任意識(shí)不強(qiáng)

在傳統(tǒng)檔案管理模式的影響下，大部分檔案員的思想還停留在檔案保管者的狀態(tài)下，只知道要將紙質(zhì)檔案保護(hù)好在檔案庫(kù)房中。然而由于檔案被賦予新的載體，傳輸?shù)慕橘|(zhì)也更為多樣，檔案員此時(shí)缺乏相應(yīng)的計(jì)算機(jī)網(wǎng)絡(luò)安全保密知識(shí)的學(xué)習(xí)，直接導(dǎo)致了相關(guān)安全保密責(zé)任意識(shí)的缺失，管理力度不夠，監(jiān)督弱化，檔案員沒(méi)有意識(shí)到新的檔案模式下安全保密責(zé)任的重大。

2.5 檔案安全制度的缺漏

一般企業(yè)檔案安全制度主要包括庫(kù)房安全制度、人員登記制度、安全備份制度等。目前，國(guó)家檔案局還未出臺(tái)相關(guān)的制度文件為企業(yè)做參考，各企業(yè)在檔案信息化建設(shè)推進(jìn)過(guò)程中很可能遺漏相關(guān)安全制度的制定，沒(méi)有了制度的約束，信息化建設(shè)中就會(huì)隱藏著很多的安全隱患。例如，檔案的數(shù)字化外包，應(yīng)該制定外包人員的操作規(guī)范，人員管理規(guī)定等，如果沒(méi)有這些規(guī)定，外包人員隨意操作，這樣對(duì)檔案的安全保密相當(dāng)不利。

3 安全保密防范的幾點(diǎn)建議

3.1 建立健全并落實(shí)規(guī)章制度

安全、規(guī)范的檔案管理少不了健全完善的規(guī)章制度的支持。應(yīng)抓好制度的廢、改、立，將單位內(nèi)已有的檔案相關(guān)制度進(jìn)行梳理，廢止過(guò)時(shí)不用的制度，及時(shí)添加新內(nèi)容，有新要求的要抓緊研究制定。尤其是一些新項(xiàng)目、新系統(tǒng)的建立和使用，要及時(shí)思考分析其可能存在的安全保密問(wèn)題，調(diào)整不合適的制度條款，在實(shí)踐中改進(jìn)安全措施，補(bǔ)全相應(yīng)的制度，才能使檔案安全得以有效保障。要注意統(tǒng)籌規(guī)劃，確保制度之間相互銜接配套，既要避免制度空白，也要避免交叉重復(fù)，應(yīng)結(jié)合檔案工作實(shí)際制定詳細(xì)全面的規(guī)章制度。

3.2 加強(qiáng)人員教育管理

人是檔案安全管理的第一要素，應(yīng)建設(shè)檔案安全的人才隊(duì)伍?，F(xiàn)在檔案信息化正快速發(fā)展，不僅會(huì)引進(jìn)新型的設(shè)備，也會(huì)采購(gòu)很多檔案信息化要用的系統(tǒng)和軟件，這時(shí)就要針對(duì)這些新事物對(duì)檔案員進(jìn)行教育，定期為檔案員進(jìn)行計(jì)算機(jī)技術(shù)、數(shù)字化信息技術(shù)、網(wǎng)絡(luò)技術(shù)的培訓(xùn)學(xué)習(xí)，增強(qiáng)其維護(hù)檔案安全保密的本領(lǐng)，關(guān)注設(shè)備軟件使用中可能存在的安全保密問(wèn)題，及時(shí)發(fā)現(xiàn)并解決[1]。

加強(qiáng)檔案員的管理，完善檔案安全主體責(zé)任制，建立一把手為首的安全保密領(lǐng)導(dǎo)小組，制定檔案安全應(yīng)急預(yù)案，預(yù)估檔案管理中可能存在的安全保密問(wèn)題。檔案部門領(lǐng)導(dǎo)帶領(lǐng)大家學(xué)習(xí)有關(guān)檔案安全的規(guī)章制度，簽訂《崗位保密責(zé)任書(shū)》，劃分職責(zé)。檔案部門內(nèi)部建立有效的獎(jiǎng)懲機(jī)制，對(duì)優(yōu)秀人才給予鼓勵(lì)，對(duì)不能盡責(zé)的人員扣除績(jī)效獎(jiǎng)金。

3.3 對(duì)檔案工作進(jìn)行監(jiān)督檢查

檔案部門日常監(jiān)督和定期檢查使檔案的安全保密有了更好的保障。檔案部門領(lǐng)導(dǎo)可安排年度檔案的盤點(diǎn)、季度和月度的檔案工作檢查，以及日常的自查來(lái)保證檔案工作流程的規(guī)范，并且以集中檢查、隨機(jī)抽查和專項(xiàng)巡查的方式，趁早發(fā)現(xiàn)問(wèn)題，提早預(yù)防，及時(shí)跟進(jìn)整改，將問(wèn)題歸零。發(fā)生事故后要敢于通報(bào)，給對(duì)檔案安全保密不以為然者敲響警鐘，使督查工作起到應(yīng)有的警示、震懾作用。

3.4 采取檔案信息安全保密防范措施

加強(qiáng)信息數(shù)據(jù)庫(kù)的維護(hù)并備份數(shù)據(jù)。信息化后的檔案有遭病毒黑客攻擊、電磁輻射、系統(tǒng)崩潰、硬盤損壞等比實(shí)體檔案更多的潛在風(fēng)險(xiǎn)，需做好數(shù)據(jù)庫(kù)的維護(hù)工作，消除信息被刪除、損壞、更改的可能。雖然信息化后的檔案已有實(shí)體和電子兩份，但基于數(shù)字檔案信息安全的不確定性，應(yīng)將重要的檔案再次備份，可以建立云存儲(chǔ)備份中心，這樣既能降低檔案損失的風(fēng)險(xiǎn)，也可以將檔案集中起來(lái)供開(kāi)發(fā)利用。

在檔案數(shù)字化處理場(chǎng)所設(shè)立安全保密設(shè)施。因工作量大、耗時(shí)較多的檔案數(shù)字化處理往往需要企業(yè)外包給外單位，但涉及的大都是重要且涉密的檔案資料需要數(shù)字化，所以要在數(shù)字化處理場(chǎng)所中無(wú)死角地安裝攝像監(jiān)控，配備視頻、防盜報(bào)警系統(tǒng)，安裝門禁，限制人員的進(jìn)出，不允許將任何與工作無(wú)關(guān)的東西帶入數(shù)字化場(chǎng)所，防止事故的發(fā)生[2]。

采取技術(shù)手段構(gòu)建安全防護(hù)體系。首先，架設(shè)防火墻，若有不安全因素可以自動(dòng)過(guò)濾并提醒用戶，提高內(nèi)網(wǎng)的安全系數(shù)。其次，利用防水墻技術(shù)，其主要針對(duì)內(nèi)網(wǎng)安全系統(tǒng)，防止重要的檔案數(shù)據(jù)被竊取。最后，由于網(wǎng)絡(luò)中存在各種隱患，傳輸數(shù)據(jù)的不安全性較大，還需采取網(wǎng)絡(luò)隔離技術(shù)使內(nèi)外網(wǎng)之間通過(guò)一個(gè)中間設(shè)備實(shí)現(xiàn)數(shù)據(jù)交換，以安全為基礎(chǔ)互聯(lián)互通，它可以有效解決操作系統(tǒng)、網(wǎng)絡(luò)應(yīng)用以及安全策略等漏洞問(wèn)題。另外，可以采用數(shù)字簽名、賬戶加密保護(hù)、漏洞掃描工具、非法入侵檢測(cè)系統(tǒng)等手段提高檔案資料的安全性和保密性。

4 結(jié)語(yǔ)

檔案管理正在迅速發(fā)展中，檔案逐漸信息化、數(shù)據(jù)化后再進(jìn)行開(kāi)發(fā)利用，檔案的保管和使用方式變得更加多元，加上檔案的信息化建設(shè)才剛剛起步，信息安全保護(hù)較為薄弱，安全保密威脅不僅是來(lái)自網(wǎng)絡(luò)，還潛伏在信息管理各個(gè)環(huán)節(jié)中。安全保密問(wèn)題不容忽視，檔案管理部門應(yīng)加強(qiáng)安全防護(hù)建設(shè)，保證檔案安全、有效。