檔案信息化管理中面臨的信息安全威脅與對(duì)策

高子君

摘 要：信息化提高了檔案管理效率、提高檔案安全管理水平、豐富檔案服務(wù)模式，給檔案管理工作的創(chuàng)新和改革帶來了新的思路。但與此同時(shí)，服務(wù)性和開放性的不斷增強(qiáng)也給檔案信息化管理帶來系統(tǒng)、技術(shù)和管理等多方面的信息安全問題。對(duì)此，本課題從提高信息安全意識(shí)、加強(qiáng)技術(shù)更新、優(yōu)化管理流程的角度提出了提高檔案信息安全防護(hù)能力的措施，以共同仁參考。

關(guān)鍵詞：檔案;信息化;信息安全

如今，信息化已成為檔案管理工作發(fā)展的必然趨勢(shì)。在信息技術(shù)發(fā)展和檔案管理理念革新的雙重推動(dòng)下，檔案信息化管理已逐漸取代傳統(tǒng)檔案管理模式，計(jì)算機(jī)設(shè)備、網(wǎng)絡(luò)通信設(shè)施、檔案信息管理軟件大大提升了檔案的管理效率和范圍。但同時(shí)，信息化的環(huán)境也帶來了更為嚴(yán)峻的信息安全態(tài)勢(shì)，近年來我國(guó)政府、高校等企事業(yè)單位屢發(fā)信息安全事故，給國(guó)家和公民帶來了巨大損失。對(duì)此，有必要對(duì)檔案信息化管理中面臨的信息安全威脅進(jìn)行系統(tǒng)梳理并提出對(duì)策，以構(gòu)筑牢靠的檔案信息安全防護(hù)體系。

一、信息化環(huán)境下檔案管理的優(yōu)勢(shì)

1.有助于提高檔案管理效率

信息化環(huán)境下檔案管理具有信息化和智能化的提升，這也大大的提高了檔案管理的效率，給檔案管理工作的創(chuàng)新和改革提供新的思路。檔案信息化管理的智能化特征就是通過完善的軟硬件系統(tǒng)和技術(shù)支撐，讓信息設(shè)備在日常的檔案管理工作中發(fā)揮簡(jiǎn)單決策、邏輯推動(dòng)等基礎(chǔ)性作用，如檔案自動(dòng)收集、智能檢索、自動(dòng)分類等等。在管理工作中，信息化帶來的云計(jì)算、大數(shù)據(jù)等新技術(shù)能夠根據(jù)年份、類別、價(jià)值等標(biāo)準(zhǔn)對(duì)檔案進(jìn)行自動(dòng)分類，以更為直觀的給管理者呈現(xiàn)出檔案資料的整體情況，進(jìn)而給管理者決策提供一定的參考依據(jù)。進(jìn)一步說，檔案信息化管理能夠?qū)n案資料進(jìn)行更為深度的分析，甚至可以依據(jù)這些分析結(jié)果為管理者推薦管理方案或是依據(jù)對(duì)在管檔案的數(shù)據(jù)分析對(duì)檔案進(jìn)行科學(xué)的分類、排布與儲(chǔ)存，對(duì)不同單位、不同高校的檔案進(jìn)行高效的一體化管理與共享。

2.有助于提升檔案安全管理水平

檔案具有多重價(jià)值同時(shí)也有保密性的特點(diǎn)，如何提升檔案的安全管理水平，是檔案管理的一個(gè)重要課題。在紙質(zhì)檔案的管理過程中不可避免的需要涉及借閱、查閱、移交、歸還、維護(hù)等環(huán)節(jié)，這些環(huán)節(jié)既不利于檔案的妥善保存，又容易在操作過程中造成檔案的損毀或遺失，對(duì)于一些珍貴的檔案資料安全管理風(fēng)險(xiǎn)極高。將檔案資料數(shù)字化、信息化之后，可以大大減少對(duì)實(shí)體檔案的擾動(dòng)、減少實(shí)體檔案的流轉(zhuǎn)頻率，有利于重要檔案的安全管理和珍貴資料的留存。

二、檔案信息化管理面臨的信息安全威脅

1.系統(tǒng)風(fēng)險(xiǎn)

隨著我國(guó)檔案事業(yè)的不斷發(fā)展，信息化已成為各企事業(yè)單位檔案管理的必然趨勢(shì)，信息化在提升了檔案管理效率、豐富檔案管理方式的同時(shí)也帶來了新的信息安全問題，首先就是計(jì)算機(jī)病毒威脅。在過去，很多檔案管理部門的信息化程度較低，計(jì)算機(jī)設(shè)備通常只作為檔案的存儲(chǔ)設(shè)備，盡在局域網(wǎng)內(nèi)運(yùn)行，但隨著線下管理轉(zhuǎn)為線上管理和移動(dòng)終端的廣泛普及，檔案管理也實(shí)現(xiàn)了從局域網(wǎng)到互聯(lián)網(wǎng)的轉(zhuǎn)變，這大大的突破了傳統(tǒng)管理模式下的時(shí)空界限，同時(shí)也使得檔案網(wǎng)絡(luò)更易遭受到計(jì)算機(jī)病毒的威脅。如“蠕蟲病毒”、“熊貓燒香”等計(jì)算機(jī)病毒曾給我國(guó)互聯(lián)網(wǎng)帶來了難以估量的破壞和損失。計(jì)算機(jī)病毒一方面通過不斷的復(fù)制和傳播造成了通信網(wǎng)絡(luò)的癱瘓，影響檔案管理的效率，更為嚴(yán)重的是通過對(duì)服務(wù)器文件的鎖定和破壞，造成大量檔案資料的丟失和損壞，對(duì)檔案管理造成的危害是災(zāi)難性的。今年3月11日起，國(guó)家網(wǎng)絡(luò)與信息安全信息通報(bào)中心監(jiān)測(cè)發(fā)現(xiàn)，境外某黑客組織對(duì)我國(guó)有關(guān)政府部門開展勒索病毒郵件攻擊。通過瀏覽器登錄攻擊者的數(shù)字貨幣支付窗口，要求受害用戶繳納贖金。今后，隨著檔案管理工作的開放化和社會(huì)化，這種風(fēng)險(xiǎn)會(huì)逐漸提高，考驗(yàn)著檔案管理部門的信息安全防護(hù)能力。

2.技術(shù)風(fēng)險(xiǎn)

檔案信息化管理是在計(jì)算機(jī)網(wǎng)絡(luò)環(huán)境下進(jìn)行的，涉及了檔案管理的各個(gè)環(huán)節(jié)，如收集、分類、整理、歸檔、檢索等等，這一切都依托于網(wǎng)絡(luò)傳輸。可以說，通信技術(shù)、計(jì)算機(jī)技術(shù)的進(jìn)步帶來的計(jì)算機(jī)硬件、軟件和網(wǎng)絡(luò)通信基礎(chǔ)設(shè)施是檔案信息化管理的生存基礎(chǔ)。因此，這些技術(shù)本身所具備的風(fēng)險(xiǎn)也是檔案信息化管理所必須面臨的信息安全問題，如上文中提到的“蠕蟲病毒”、“勒索病毒”。此外，技術(shù)風(fēng)險(xiǎn)還包括計(jì)算機(jī)硬件風(fēng)險(xiǎn)和信息流通方面的風(fēng)險(xiǎn)。硬件風(fēng)險(xiǎn)主要來源于兩方面，一是檔案信息化建設(shè)中的計(jì)算機(jī)設(shè)備和網(wǎng)絡(luò)設(shè)備等，可能由于欠缺維護(hù)和使用年限長(zhǎng)的原因?qū)е聯(lián)p壞，造成檔案資料的丟失;二是基礎(chǔ)網(wǎng)絡(luò)設(shè)施的風(fēng)險(xiǎn)，如寬帶運(yùn)營(yíng)商、云服務(wù)提供商等第三方平臺(tái)提供的網(wǎng)絡(luò)服務(wù)，這一部分的風(fēng)險(xiǎn)是不可控的。另一方面，信息化環(huán)境下的檔案管理也面臨著更多的信息流通風(fēng)險(xiǎn)。在過去檔案工作封閉性較高，信息流通閉塞，而隨著信息化建設(shè)的不斷完善，檔案服務(wù)多元化、社會(huì)化，信息流通頻率和范圍增多，也增加了檔案流失的風(fēng)險(xiǎn)。

3.管理風(fēng)險(xiǎn)

在檔案信息化管理工作中，管理的系統(tǒng)化和規(guī)范化是做好保障信息安全的重要基礎(chǔ)。但目前，在我國(guó)檔案信息化管理中還存在以下問題：一是管理缺乏宏觀決策。檔案管理工作是一項(xiàng)系統(tǒng)性工作，其各個(gè)工作環(huán)節(jié)都是相互銜接、相互影響的，而隨著信息化建設(shè)的不斷推進(jìn)。檔案的工作環(huán)節(jié)從隱性的管理程序逐漸轉(zhuǎn)變顯性的管理流程，這就給管理的系統(tǒng)化提出了更高的要求。但在檔案的實(shí)際工作中往往會(huì)出現(xiàn)流通環(huán)節(jié)銜接不暢的問題，嚴(yán)重影響了人事檔案的完整性，使得信息安全工作無法全面性的展開;二是檔案重疊管理和管理空白共存。檔案流動(dòng)性、變化性較強(qiáng)且內(nèi)容涵蓋的范圍非常廣泛，檔案管理的相關(guān)部門對(duì)管理范圍和管理界限的劃分不夠明確，出現(xiàn)了重復(fù)管理和管理空白的現(xiàn)象，這也帶來了信息安全的風(fēng)險(xiǎn);三是管理缺乏規(guī)范化。目前檔案數(shù)字資源的管理標(biāo)準(zhǔn)大多沿用傳統(tǒng)的電子文件管理標(biāo)準(zhǔn)，沒有根據(jù)地方檔案管理的特點(diǎn)和具體情況以及信息化管理的環(huán)境制定有針對(duì)性的資源管理標(biāo)準(zhǔn)，這更加大了信息安全防護(hù)的難度，也會(huì)相應(yīng)的提高信息安全技術(shù)層面的建設(shè)成本。

三、檔案信息安全保障體系建設(shè)途徑

1.提高信息安全意識(shí)，防范系統(tǒng)風(fēng)險(xiǎn)

對(duì)于系統(tǒng)風(fēng)險(xiǎn)中計(jì)算機(jī)病毒來說，其防范的方法主要來源于兩個(gè)方式：一是提高信息安全意識(shí)，進(jìn)而減少病毒侵襲的機(jī)會(huì)。在檔案信息安全保障中，公共信息安全意識(shí)是重要環(huán)節(jié)，這不僅是因?yàn)楣娛菣n案來源的重要組成部分，也是因?yàn)楣娛菣n案信息安全受損的受害者。因此，政府和檔案管理部門應(yīng)加強(qiáng)對(duì)公眾的信息安全文化知識(shí)普及，提高基層人民的信息安全防護(hù)意識(shí)。從政府的角度來說，應(yīng)大力完善檔案基礎(chǔ)設(shè)施建設(shè)、豐富個(gè)人信息保護(hù)知識(shí)宣傳活動(dòng)，在社區(qū)、街道開展個(gè)人信息防護(hù)知識(shí)的主題活動(dòng)。從檔案管理主體的角度來看，要強(qiáng)化檔案管理人員的規(guī)范意識(shí)、信息安全意識(shí)和責(zé)任意識(shí)，通過管理流程的規(guī)范化、檔案資源標(biāo)準(zhǔn)化強(qiáng)化檔案工作人員的信息安全意識(shí);二是加強(qiáng)系統(tǒng)的日常維護(hù)，定期對(duì)系統(tǒng)進(jìn)行風(fēng)險(xiǎn)監(jiān)測(cè)和病毒清理，同時(shí)購(gòu)買正版殺毒軟件或引入第三方公司加強(qiáng)系統(tǒng)的病毒查殺于防護(hù)能力;第三，做好備份工作，對(duì)重要檔案資料進(jìn)行備份，并采用不聯(lián)網(wǎng)的設(shè)備進(jìn)行儲(chǔ)存。

2.加強(qiáng)技術(shù)更新?lián)Q代，防范技術(shù)風(fēng)險(xiǎn)

在信息化環(huán)境下，技術(shù)是檔案信息安全最為核心的問題，完善的技術(shù)保障是檔案信息安全保障的基礎(chǔ)支撐。如今，隨著我國(guó)互聯(lián)網(wǎng)技術(shù)的發(fā)展和法律體系的完善，我國(guó)網(wǎng)絡(luò)信息安全上的制度和技術(shù)都已較為成熟。但由于通信技術(shù)本身的特點(diǎn)，其更新?lián)Q代時(shí)間很快，同時(shí)我國(guó)檔案管理工作也在不斷開放，其面臨的信息風(fēng)險(xiǎn)勢(shì)必增加。對(duì)此，應(yīng)加強(qiáng)技術(shù)研發(fā)和引進(jìn)以確保檔案管理環(huán)境的安全。首先，采用多元化身份鑒別機(jī)制。多元化身份鑒別機(jī)制是為了減少用戶端帶來的信息安全風(fēng)險(xiǎn)，對(duì)于管理規(guī)模較小的單位，可運(yùn)用更復(fù)雜的加密口令和登錄失敗次數(shù)限制等成本較低的方式，同時(shí)采用圖形驗(yàn)證碼代替文字驗(yàn)證碼，防止非法用戶的入侵。對(duì)于管理規(guī)模較大且資金充裕的單位，可采用人臉識(shí)別、指紋等先進(jìn)技術(shù)，同時(shí)運(yùn)用隱性reCAPTCHA技術(shù)，通過對(duì)用戶后臺(tái)瀏覽習(xí)慣的分析自行進(jìn)行身份鑒別，以加強(qiáng)身份鑒別的精確性。第三，運(yùn)用內(nèi)容識(shí)別技術(shù)。檔案資源多種多樣，如人事檔案、財(cái)務(wù)檔案等，不僅包括個(gè)人信息，還有一些規(guī)章制度和機(jī)密文件，但并不是所有內(nèi)容都需要進(jìn)行安全加密。因此應(yīng)運(yùn)用內(nèi)容識(shí)別技術(shù)對(duì)檔案進(jìn)行深度內(nèi)容識(shí)別，對(duì)涉及到敏感信息要進(jìn)行阻斷，同時(shí)進(jìn)行脫敏處理，讓檔案在一定限度內(nèi)同樣具備可訪問性，既保證了檔案的安全性，又促進(jìn)了其更充分的利用。

3.優(yōu)化檔案管理流程，防范管理風(fēng)險(xiǎn)

檔案管理流程是技術(shù)更新?lián)Q代和信息安全提高地執(zhí)行層，其流程的合理性和管理能力的高低直接關(guān)乎著信息安全防護(hù)體系的穩(wěn)定性，科學(xué)的管理流程和策略不僅能夠更好的發(fā)揮技術(shù)、制度和意識(shí)的作用，還有助于促進(jìn)檔案信息安全防護(hù)科學(xué)有序的發(fā)展。對(duì)此應(yīng)對(duì)信息安全管理流程進(jìn)行重構(gòu)，從計(jì)劃、執(zhí)行、檢查、處理的角度開展循環(huán)管理。在計(jì)劃階段，主要進(jìn)行問題梳理和目標(biāo)制定工作，通過對(duì)本單位信息安全的風(fēng)險(xiǎn)進(jìn)行全面的梳理，結(jié)合內(nèi)外部的問卷調(diào)查、員工訪談等方式對(duì)信息安全的幾個(gè)風(fēng)險(xiǎn)進(jìn)行破壞力、可行性等因素的量化，進(jìn)而制定出有針對(duì)性的管理目標(biāo)。在執(zhí)行階段，通過技術(shù)、制度、信息安全意識(shí)等多方策略的實(shí)施實(shí)現(xiàn)制定的管理目標(biāo)。在檢查階段，主要是對(duì)管理策略的有效性以及管理目標(biāo)的實(shí)現(xiàn)程度進(jìn)行考察，進(jìn)而對(duì)整個(gè)管理流程的有效性進(jìn)行重新的紳士，同時(shí)還要從功能性檢查和階段性檢查兩個(gè)方面進(jìn)行，既要考察整個(gè)管理流程各個(gè)階段的執(zhí)行力和完成度，也要對(duì)其效果進(jìn)行考察。改進(jìn)則是對(duì)檢查的結(jié)果進(jìn)行總結(jié)分析，不斷調(diào)整安全管理目標(biāo)和策略，同時(shí)進(jìn)入新一輪的安全管理流程，以便持續(xù)改進(jìn)檔案管理流程。

參考文獻(xiàn)：

[1]周 濤.檔案信息化與檔案信息安全保障體系建設(shè)[J]. 科學(xué)技術(shù)創(chuàng)新，2015（21）：160-160.

[2]劉凝芳.淺談高校檔案信息安全的有效管理機(jī)制[J].科技創(chuàng)業(yè)月刊，2011（3）：99-100.

[3]趙 紅.檔案信息化建設(shè)中檔案信息安全保障方法研究[J].蘭臺(tái)世界，2010（S2）：132-133.