電子文件和電子檔案管理中的信息安全問題

夏冰

1引言

2019年12月以來，武漢等地發(fā)生了新型冠狀病毒感染肺炎疫情，并蔓延到其他省市。由于疫情來勢迅猛，為減少疫情影響和擴(kuò)散，落實(shí)國務(wù)院聯(lián)控機(jī)制疫情防控工作通知精神的要求，減少員工聚集和集體活動，盡快恢復(fù)正常工作秩序，各地紛紛出臺措施鼓勵(lì)通過網(wǎng)絡(luò)等遠(yuǎn)程方式辦公，減少病毒傳播風(fēng)險(xiǎn)。各單位紛紛通過辦公平臺、網(wǎng)站、微信公眾號、工作群、以及騰訊會議等媒介開展工作。網(wǎng)絡(luò)辦公具有高效靈活性，且基于全社會對疫情防控重要性的共識得到大規(guī)模推行，然而網(wǎng)絡(luò)辦公方便了工作的同時(shí)，電子文件和電子檔案的安全不容忽視，在管理中還有一些問題需要解決。

2主要問題

2.1業(yè)務(wù)系統(tǒng)設(shè)計(jì)實(shí)施不符合信息安全要求，留下安全隱患

業(yè)務(wù)系統(tǒng)設(shè)計(jì)沒有充分調(diào)研和分析，設(shè)計(jì)人員缺少檔案信息化意識，對檔案管理涉及的標(biāo)準(zhǔn)規(guī)范不了解，不知道如何才能實(shí)現(xiàn)電子文件和電子檔案管理的專業(yè)要求。同時(shí)因?yàn)殚_發(fā)運(yùn)維任務(wù)繁重，首先要保證以最少的時(shí)間實(shí)現(xiàn)最多的功能。為此，短期時(shí)間內(nèi)系統(tǒng)功能越少經(jīng)濟(jì)效益越高，開發(fā)周期越快，最后實(shí)現(xiàn)的功能只是最簡單地實(shí)現(xiàn)審批流程。

其實(shí)是在設(shè)計(jì)之后沒有進(jìn)行充分的需求調(diào)研，確認(rèn)業(yè)務(wù)功能的細(xì)節(jié)以及能夠達(dá)到的效果，最后信息系統(tǒng)的驗(yàn)收沒有嚴(yán)格按照設(shè)計(jì)要求對照把控。

2.2非授權(quán)訪問

非授權(quán)訪問是指未經(jīng)合規(guī)授權(quán)使用軟件和網(wǎng)絡(luò)資源。目前是一些單位采購的計(jì)算機(jī)已經(jīng)使用多年，操作系統(tǒng)早已經(jīng)不再支持更新，如早期的Windows XP、Vista或Windows7系統(tǒng)，早就停止了安全更新，而因?yàn)橘Y金等原因，一些單位或個(gè)人缺少更新動力，仍然繼續(xù)使用過時(shí)軟件，或者私自使用未授權(quán)軟件，都有可能被放置木馬程序，留下安全隱患。

2.3源文件易被更改難以確認(rèn)合法性

很多時(shí)候，線上流程的電子文件卻需要線下辦理，無法全過程線上電子化。這種情況下，如何保證文件不被更改不出偏差，就需要全面考慮。

辦公自動化系統(tǒng)應(yīng)用一般由業(yè)務(wù)、檔案和信息技術(shù)部門多頭負(fù)責(zé)，文件、檔案分段管理，在步調(diào)不一致時(shí)，易出現(xiàn)電子文件處置較隨意、信息流失、損毀及泄密等安全風(fēng)險(xiǎn)。電子文件較難完整、準(zhǔn)確、系統(tǒng)和高質(zhì)量歸檔，不能長期有效保存，導(dǎo)致電子文件和電子檔案管理工作存在隱患。究其原因是沒有引入電子簽名或電子認(rèn)證體系追蹤識別及確認(rèn)唯一性。

2.4業(yè)務(wù)數(shù)據(jù)等電子文件未歸檔

業(yè)務(wù)數(shù)據(jù)在業(yè)務(wù)系統(tǒng)中存在，包括門衛(wèi)收發(fā)、辦公、財(cái)務(wù)、人力資源、采編、網(wǎng)站、電子郵件、資產(chǎn)、項(xiàng)目及檔案管理系統(tǒng)等，還有一些存儲介質(zhì)是老式的磁帶、磁盤、錄像帶及硬盤等。由于更新?lián)Q代或部門人員更替，原有的設(shè)備系統(tǒng)被處置，但其中的文件、數(shù)據(jù)等電子文檔沒有被提取出來移交檔案部門，這就是收集移交不規(guī)范。

3建議對策

3.1吸收檔案專業(yè)人員參加信息系統(tǒng)設(shè)計(jì)規(guī)劃

信息系統(tǒng)設(shè)計(jì)規(guī)劃是基礎(chǔ)，《電子文件歸檔與電子檔案管理規(guī)范》總則提出，電子文件歸檔與電子檔案管理應(yīng)納入單位信息化建設(shè)規(guī)劃，并對基本功能提出要求；《機(jī)關(guān)檔案管理規(guī)定》也強(qiáng)調(diào)檔案信息化應(yīng)納入機(jī)關(guān)電子政務(wù)和信息化總體規(guī)劃，軟件系統(tǒng)應(yīng)嵌入電子文件分類方案、歸檔范圍與保管期限表和整理要求，開展鑒定、整理，實(shí)施預(yù)歸檔，規(guī)劃設(shè)計(jì)還應(yīng)參照《數(shù)字檔案室建設(shè)指南》《電子文件管理系統(tǒng)通用功能要求》等。

可見規(guī)劃時(shí)征求檔案專業(yè)人員意見，配合確定相關(guān)事項(xiàng)非常必要，否則將會給檔案管理帶來很多麻煩。要順利實(shí)現(xiàn)系統(tǒng)方案總體設(shè)計(jì)和處理過程的詳細(xì)設(shè)計(jì)不是IT人員能獨(dú)自解決的。

3.2根據(jù)崗位職責(zé)做好授權(quán)

在具備安全控制條件后，信息化應(yīng)用系統(tǒng)要根據(jù)職責(zé)及時(shí)做好各個(gè)崗位的授權(quán)。系統(tǒng)應(yīng)具備用戶信息管理的功能，根據(jù)管理、保密和審計(jì)原則分開設(shè)置安全控制要求，支持用戶分組、分類和授權(quán)，從而為數(shù)字檔案資源的安全存儲、管理提供保障。根據(jù)《電子檔案管理系統(tǒng)基本功能規(guī)定》，系統(tǒng)還應(yīng)具備日志及分類管理功能，記錄用戶訪問、存取和使用情況，能對關(guān)鍵業(yè)務(wù)過程、操作行為和訪問等審計(jì)、跟蹤、記錄，這樣授權(quán)訪問就能夠形成閉環(huán)。

3.3引入電子簽名和電子認(rèn)證機(jī)制，避免隨意更改

根據(jù)《電子文件歸檔與電子檔案管理規(guī)范》，禁止修改電子檔案背景、結(jié)構(gòu)和管理過程元數(shù)據(jù)，對題名、責(zé)任者、編號、日期和人物等元數(shù)據(jù)的修改應(yīng)合規(guī)，修改操作應(yīng)記錄于日志中。電子簽名技術(shù)可以用技術(shù)手段保障數(shù)據(jù)安全及不被篡改，而電子認(rèn)證則是引進(jìn)第三方機(jī)制確認(rèn)電子簽名人的身份。

引入電子簽名和電子認(rèn)證機(jī)制，能夠?qū)π枰獨(dú)w檔的每一份文件都進(jìn)行簽名，這樣使用時(shí)通過認(rèn)證，就能發(fā)現(xiàn)此類文件是誰產(chǎn)生，經(jīng)過了什么流轉(zhuǎn)過程，從而能避免隨意更改而又無法發(fā)現(xiàn)的情況。

3.4加強(qiáng)制度規(guī)范

在電子文件和電子檔案管理中，要建立健全人防、物防和技防三位一體的信息安全防范體系，彌補(bǔ)不足，充分利用電子檔案的長處，提高辦事效率，促進(jìn)工作開展。

要做好信息安全，最有效的是要有制度規(guī)范，必須靠制度約束。首先要明確檔案工作責(zé)任制，完善管理制度，查遺補(bǔ)缺，規(guī)范檔案信息化建設(shè)和信息安全保障、設(shè)施、設(shè)備配置和人員管理；其次將電子文件歸檔和信息安全工作納入制度的同時(shí)，也要做為日常工作布置、考核，并不定期監(jiān)督和檢查。

4結(jié)束語

目前雖然已經(jīng)初步建立電子文件歸檔和電子檔案管理體系，但是大量電子文件和電子檔案仍然沒有得到妥善保管，存在漏存、錯(cuò)存等安全隱患。本文分析了電子文件和電子檔案管理中存在的信息安全問題并提出解決措施。