信息安全策略在數(shù)字檔案館系統(tǒng)中的應(yīng)用

王錄芳

【摘要】近年來，伴隨檔案管理事業(yè)的飛速發(fā)展，對(duì)數(shù)字檔案館系統(tǒng)提出了較高要求。在實(shí)際管理工作中，信息安全策略的應(yīng)用備受人們廣泛關(guān)注，其不僅能確保檔案信息的有效性和真實(shí)性，還能保證數(shù)據(jù)的完整性。本文將主要圍繞信息安全策略的定義和特點(diǎn)展開分析，并提供具體應(yīng)用方法以供參考，旨在提高管理水平。

【關(guān)鍵詞】信息安全策略;數(shù)字檔案館;系統(tǒng)

伴隨檔案信息載體越來越豐富，電子檔案與文件數(shù)量的不斷增加，尤其是數(shù)字檔案館實(shí)踐和理論的深入發(fā)展，應(yīng)運(yùn)而生的檔案信息安全問題日漸嚴(yán)重。信息安全是保證檔案內(nèi)容在形成、儲(chǔ)存、整理、傳遞與應(yīng)用過程中，維持有效性、完整性、穩(wěn)定性與真實(shí)性和保證其記載方式與記錄載體不被破壞的過程和對(duì)策。

一、信息安全策略的定義和特點(diǎn)

（一）基本定義。所謂信息安全策略，還叫做信息安全方針，是針對(duì)信息與信息處置設(shè)備實(shí)施保護(hù)、分配與監(jiān)管的一種原則。其為保護(hù)信息安全建設(shè)了一個(gè)框架，明確了監(jiān)管網(wǎng)絡(luò)安全性的手段，為相關(guān)部門分別劃定了所要遵循的規(guī)定和所要履行的職責(zé)。

（二）主要特點(diǎn)。此策略不包含實(shí)際操作細(xì)節(jié)，只提供需要達(dá)成的任務(wù)和目標(biāo)，未表明實(shí)際該怎樣做，在信息安全策略中不會(huì)提供落實(shí)某一對(duì)策需應(yīng)用哪項(xiàng)技術(shù)，也不會(huì)提供相關(guān)技術(shù)參數(shù)。其僅僅是組織敘述保護(hù)信息安全渠道的一種指導(dǎo)性文件，從大局出發(fā)引導(dǎo)組織此方面工作，沒有強(qiáng)制性。一般情況下，信息安全策略應(yīng)用的都是普通術(shù)語，并非專業(yè)術(shù)語來敘述安全，其敘述語言屬于非技術(shù)范圍，和用戶界面口令有關(guān)的保密策略可敘述成：口令界面應(yīng)準(zhǔn)許用戶在不體現(xiàn)任何口令的特點(diǎn)下錄入口令，口令要采用不可讀的模式在互聯(lián)網(wǎng)傳遞，此條目沒有涵蓋加密算法。

另外，這一策略要具有一定的可行性，設(shè)置的目標(biāo)要有可實(shí)現(xiàn)性，而且要易于檢測(cè)與審核。策略若是缺少可行性，不但會(huì)浪費(fèi)時(shí)間，而且會(huì)導(dǎo)致難執(zhí)行。當(dāng)然，信息安全策略要緊隨時(shí)代發(fā)展，做到與時(shí)俱進(jìn)，以順應(yīng)不斷改變的信息安全環(huán)境與新興的各種技術(shù)，要兼具動(dòng)態(tài)性，標(biāo)記出修訂歷史與有效時(shí)間。并且，此策略要與我國(guó)下發(fā)的相關(guān)法律規(guī)程相統(tǒng)一，與組織現(xiàn)行的方針相匹配。此特點(diǎn)還表現(xiàn)在安全策略本身風(fēng)格的一致性上，要真實(shí)反饋企業(yè)對(duì)信息安全有哪些想法與觀點(diǎn)，避免用戶將策略視為不科學(xué)的、只是針對(duì)某一人的。

二、數(shù)字檔案館系統(tǒng)中運(yùn)用信息安全策略的方法

把信息安全策略引入數(shù)字檔案館管理工作之中，展現(xiàn)出相應(yīng)的多樣性，可從控制訪問檔案對(duì)象信息、控制訪問用戶的角色、儲(chǔ)存檔案對(duì)象信息等方面入手，全方位保護(hù)檔案信息安全，提升信息管理效率和質(zhì)量。

（一）控制訪問檔案對(duì)象信息。在實(shí)行安全管理策略的過程中，可以訪問檔案對(duì)象為突破口，保證信息在安全的環(huán)境中被管理。實(shí)施控制訪問檔案對(duì)象信息策略，有利于信息數(shù)據(jù)具有有效性、保密性以及真實(shí)性。在管理檔案信息時(shí)，檔案信息具有突出的級(jí)別特點(diǎn)，而密級(jí)性，具體是指按照使用者用戶的保密級(jí)別，開展管理工作，劃分出不同的監(jiān)管層級(jí)。據(jù)我國(guó)下發(fā)的檔案法可知，信息被分成5個(gè)保密級(jí)別，分別為絕密、機(jī)密、秘密、內(nèi)部與公開。所以，在維護(hù)數(shù)字檔案館信息安全過程中，管理人員要結(jié)合檔案管理的有關(guān)規(guī)定和法律，科學(xué)制定安全保護(hù)體系。就在公開保密級(jí)別的檔案信息而言，在數(shù)字化系統(tǒng)中可更改成開放于所有用戶。就帶有密級(jí)的有關(guān)檔案信息來講，則要設(shè)置成被授權(quán)才可訪問，并非對(duì)每一名訪問人員都開放此端口。若是歸屬于數(shù)字檔案館內(nèi)的真實(shí)信息，在數(shù)字化系統(tǒng)中則要把外部端口關(guān)閉起來，僅準(zhǔn)許館內(nèi)互聯(lián)網(wǎng)授權(quán)用戶訪問。對(duì)于絕密或是秘密一類的檔案信息而言，更要強(qiáng)化管理，要求用戶只能在數(shù)字檔案館專網(wǎng)上進(jìn)行訪問，不可用其他渠道。在信息安全管理工作中，若是非公開信息，一定要通過授權(quán)處理，認(rèn)真查看用戶權(quán)限，等到管理者檢測(cè)完畢并認(rèn)可后，才能利用專網(wǎng)或是內(nèi)網(wǎng)完成訪問。

（二）控制訪問用戶的角色。Role base，叫做基于角色的訪問控制，是一種控制系統(tǒng)。站在數(shù)字檔案館信息安全管理工作角度來看，角色處于業(yè)務(wù)體系的專業(yè)范圍內(nèi)。即針對(duì)信息安全策略提供的所有事實(shí)，一定要認(rèn)真按照業(yè)務(wù)體系的職位分配狀況來進(jìn)行。在管控訪問用戶的角色過程中，檔案管理者一定要認(rèn)真區(qū)別權(quán)限和職責(zé)，把特殊的權(quán)限逐一搭配到具體使用者身上，確保其角色和權(quán)限協(xié)調(diào)統(tǒng)一。比如：以業(yè)務(wù)分工為核心，對(duì)各個(gè)職位和其工種的權(quán)限，予以正確的授權(quán)，讓用戶訪問具有良好的匹配性，而且為數(shù)字檔案館信息安全維護(hù)工作的順利開展奠定良好基礎(chǔ)。在實(shí)際維護(hù)過程中，由于個(gè)體有較大的改變可能性，而且遠(yuǎn)大于角色的改變，因此控制訪問用戶的角色這一對(duì)策在數(shù)字檔案館中備受青睞和認(rèn)可。以windows操作系統(tǒng)為例，其以此種控制原理和角色訪問來落實(shí)。根據(jù)數(shù)字檔案館的基礎(chǔ)業(yè)務(wù)工作，針對(duì)有關(guān)信息進(jìn)行正確分級(jí)，予以全面的保護(hù)，是推動(dòng)檔案事業(yè)實(shí)現(xiàn)可持續(xù)發(fā)展的必經(jīng)之路。

（三）儲(chǔ)存檔案對(duì)象信息。在數(shù)字檔案館管理工作中，實(shí)施儲(chǔ)存檔案對(duì)象信息策略有著舉足輕重的作用。在監(jiān)管過程中，可全方位運(yùn)用分級(jí)儲(chǔ)存對(duì)策。對(duì)于數(shù)字檔案館系統(tǒng)而言，其廣泛運(yùn)用了儲(chǔ)存池基本定義，根據(jù)信息安全管理的具體內(nèi)容，搭建并優(yōu)化儲(chǔ)存池管理體系，進(jìn)而有效提高信息數(shù)據(jù)可靠性和安全性。這主要因?yàn)樵诖罱▋?chǔ)存池體系時(shí)，能實(shí)現(xiàn)龐大信息數(shù)據(jù)的儲(chǔ)存，為海量?jī)?chǔ)存大數(shù)據(jù)對(duì)象提供有效支持，而且具有不同流媒體與靜態(tài)的有關(guān)信息。在儲(chǔ)存池監(jiān)管體系中，涵蓋豐富的管理元數(shù)據(jù)，此種儲(chǔ)存能通過監(jiān)管元（下轉(zhuǎn)第101頁）

（上接第75頁）數(shù)據(jù)反饋出儲(chǔ)存池的基礎(chǔ)儲(chǔ)存構(gòu)造，比如：包儲(chǔ)存設(shè)施、集合主機(jī)和其地址等性質(zhì)等，有利于進(jìn)一步完善信息分級(jí)儲(chǔ)存管理工作。儲(chǔ)存池監(jiān)管元數(shù)據(jù)的優(yōu)勢(shì)主要體現(xiàn)在幾方面：第一，在管理人員操作過程中，其不必再思考電子文件所在位置，可忽略物理儲(chǔ)存位置直接進(jìn)行管理。第二，其擁有計(jì)算機(jī)技術(shù)中的優(yōu)質(zhì)性能，能實(shí)現(xiàn)主動(dòng)識(shí)別、分析和定位。簡(jiǎn)單來講，應(yīng)用人員在訪問有關(guān)信息時(shí)，元數(shù)據(jù)會(huì)立刻有所感應(yīng)，同時(shí)利用儲(chǔ)存管理體系，自主定位并分析電子文件的物理儲(chǔ)存位置。

（四）其他注意事項(xiàng)。第一，設(shè)施與環(huán)境安全策略。要保證館內(nèi)所有硬件設(shè)施不會(huì)被偷盜、火災(zāi)、水災(zāi)、電磁泄露等事故所干擾。第二，能支持的應(yīng)用策略，即AUP。一個(gè)良好的總結(jié)方案，必須要涵蓋信息安全策略系統(tǒng)中概括應(yīng)用者責(zé)任的內(nèi)容，相當(dāng)于一個(gè)協(xié)議，需要檔案管理人員時(shí)刻遵循其所表示的安全策略。第三，實(shí)施信息資產(chǎn)分級(jí)對(duì)策。對(duì)相關(guān)檔案信息進(jìn)行分級(jí)分類處理，同時(shí)完成重要性和價(jià)值的評(píng)價(jià)工作，以此確定應(yīng)選用哪種安全策略。第四，信息保密對(duì)策。對(duì)數(shù)字檔案館中有必要加密保護(hù)的數(shù)據(jù)信息進(jìn)行重新定義，同時(shí)確定使用的加密對(duì)策。第五，推行安全事故的響應(yīng)和報(bào)告對(duì)策，并建設(shè)出相應(yīng)的機(jī)制。第六，使用災(zāi)難恢復(fù)和備份對(duì)策。確定備份體制和災(zāi)難出現(xiàn)時(shí)的應(yīng)對(duì)手段、人員責(zé)任、聯(lián)系方式和程序等等。第七，加強(qiáng)從業(yè)人員培養(yǎng)、任用工作。保證數(shù)字檔案館中所有職工均能通過審核，并且其能深刻意識(shí)到安全策略的重要性和帶來的影響，能積極履行有關(guān)責(zé)任。第八，用戶口令和賬號(hào)安全對(duì)策。制定檔案館管理人員、系統(tǒng)管理人員、查找用戶等相關(guān)口令和賬號(hào)的標(biāo)準(zhǔn)，包括使用、優(yōu)化、保護(hù)口令的規(guī)定等等。第九，入侵檢測(cè)和防火墻對(duì)策，明確檔案館內(nèi)互聯(lián)網(wǎng)應(yīng)對(duì)外界不良訪問和非法入侵的管理和技術(shù)手段。第十，Email應(yīng)用對(duì)策，設(shè)立館內(nèi)職工應(yīng)用電子郵件時(shí)的規(guī)定要求。第十一，網(wǎng)絡(luò)訪問對(duì)策，對(duì)職工在網(wǎng)上的具體行為予以明確規(guī)定。第十二，實(shí)行遠(yuǎn)程訪問安全對(duì)策，進(jìn)一步明確館內(nèi)資源的應(yīng)用人員（如web查找用戶、服務(wù)供應(yīng)商的技術(shù)工作者）權(quán)限和具體行為標(biāo)準(zhǔn)。

三、結(jié)論

綜上所述，在數(shù)字檔案館系統(tǒng)中運(yùn)用信息安全策略，是時(shí)代發(fā)展的必然趨勢(shì)。相關(guān)人員要根據(jù)館內(nèi)實(shí)際情況和人員特點(diǎn)，有針對(duì)性地選用措施和手段。但需要注意的是，此種策略并非是無所不能的，要通過不斷優(yōu)化信息安全保障系統(tǒng)來讓其充分發(fā)揮出自身作用，從而推動(dòng)數(shù)字檔案事業(yè)向著更加健康的方向發(fā)展。

【參考文獻(xiàn)】

[1]周楓，謝文群.云計(jì)算環(huán)境下數(shù)字檔案館信息安全分析及管理策略研究[J].北京檔案，2012（08）：55-57.

[2]余慧瓊，易輝敏，龔暢.數(shù)字檔案信息安全風(fēng)險(xiǎn)與防范策略探討[J].管理觀察，2018（07）：55-56.

[3]葉蓉.數(shù)字檔案信息安全的影響因素分析及應(yīng)對(duì)策略探討[J].才智，2017（24）：247.