試論電子檔案信息安全評(píng)價(jià)指標(biāo)體系

李惠

（大連市現(xiàn)代農(nóng)業(yè)生產(chǎn)發(fā)展服務(wù)中心，遼寧 大連 116021）

0 引言

從實(shí)踐發(fā)展角度來看，電子檔案信息的安全管理是一個(gè)操作過程，因此最為關(guān)鍵的就是要明確如何準(zhǔn)確識(shí)別運(yùn)行期間面臨的各類風(fēng)險(xiǎn)，以及風(fēng)險(xiǎn)可能帶來的危害和影響范圍，而后根據(jù)實(shí)踐管理經(jīng)驗(yàn)進(jìn)行深入研究和評(píng)估。根據(jù)當(dāng)前電子檔案信息管理情況分析，管理人員只有具備科學(xué)適宜的分析模型和解決對(duì)策，才能在全面掌握安全風(fēng)險(xiǎn)的同時(shí)進(jìn)行準(zhǔn)確評(píng)估，并由此控制各類風(fēng)險(xiǎn)引發(fā)的危險(xiǎn)，提升檔案信息安全管理水平。

1 電子檔案信息安全評(píng)價(jià)指標(biāo)體系的構(gòu)成分析

1.1 物理安全

簡單來講，物理安全是指儲(chǔ)存檔案信息的系統(tǒng)庫、網(wǎng)絡(luò)設(shè)備和工作場(chǎng)所內(nèi)外的環(huán)境條件，必須要符合電子檔案信息安全管理需求，且不會(huì)影響網(wǎng)絡(luò)設(shè)備和管理人員的操作。在遇到安全故障或各類災(zāi)害時(shí)，要提出適宜的預(yù)防管理對(duì)策，這樣能避免在分析探索期間出現(xiàn)更多的經(jīng)濟(jì)資源損耗。一般情況下，針對(duì)物理安全的評(píng)價(jià)指標(biāo)主要涉及以下幾點(diǎn)內(nèi)容：第一，環(huán)境。例如，管理人員要準(zhǔn)確判斷和觀察計(jì)算機(jī)機(jī)房所處環(huán)境和信息檔案，庫房建設(shè)是否符合管理需求，是否能直接抵抗自然災(zāi)害；庫房建設(shè)是否具備充足的電力和水資源，整體環(huán)境是否清潔，是否處在交通便利且通信良好的區(qū)域；是否在內(nèi)部環(huán)境中合理引用防水防火設(shè)備技術(shù)，是否安裝了監(jiān)控系統(tǒng)，是否提出了有效的防雷對(duì)策。第二，設(shè)備。這項(xiàng)工作主要是針對(duì)電子檔案信息系統(tǒng)的應(yīng)用設(shè)備而言，其中涉及設(shè)備的防毀、防電磁信息輻射、防盜等內(nèi)容；第三，載體。在保障應(yīng)用設(shè)備安全性能的同時(shí)，還要提升載體安全性能，并針對(duì)其從物理安全防護(hù)角度入手提出適宜的防盜防毀等對(duì)策。如下表1所示，其為管理人員針對(duì)物理安全提出的故障排查工作內(nèi)容[1]。

表1 基于電子檔案信息物理安全的故障排查工作內(nèi)容

1.2 管理安全

安全管理作為電子檔案，信息系統(tǒng)穩(wěn)定運(yùn)行的基礎(chǔ)，保障，提出科學(xué)的安全觀的理念和完善的管理制度，才能確保實(shí)踐檔案信息管理有序進(jìn)行。針對(duì)當(dāng)前電子檔案信息提出的管理安全指標(biāo)主要涉及以下內(nèi)容：首先，需要安排組建專業(yè)的安全管理人員和機(jī)構(gòu)，并且具備相關(guān)單位的正式任命文件；其次，要針對(duì)整體信息安全管理提出完善的規(guī)章制度，針對(duì)不同的管理要求提出適宜的管理制度，有助于保障各項(xiàng)工作嚴(yán)格按照規(guī)定要求實(shí)施；最后，針對(duì)緊急事故提出科學(xué)處理預(yù)案[2]。

1.3 網(wǎng)絡(luò)安全

大部分電子檔案在網(wǎng)絡(luò)平臺(tái)中傳輸都會(huì)出現(xiàn)較多安全問題，原因在于網(wǎng)絡(luò)屬于開放性的技術(shù)信息流通渠道，所表現(xiàn)出的抵抗能力和防衛(wèi)能力都非常低，因此很容易受到黑客和病毒的威脅。針對(duì)網(wǎng)絡(luò)安全提出的評(píng)價(jià)指標(biāo)主要包含：第一，網(wǎng)絡(luò)設(shè)備是否具備病毒防范對(duì)策；第二。是否會(huì)安裝防火墻和入侵檢測(cè)設(shè)備等來預(yù)防黑客入侵；第三，是否針對(duì)用戶訪問需求提出有效的控制對(duì)策；第四，是否針對(duì)網(wǎng)絡(luò)的常規(guī)操作行為提出了審計(jì)和監(jiān)控對(duì)策。上述要求都可以在減少攻擊行為的同時(shí)，保障網(wǎng)絡(luò)安全運(yùn)行水平。

1.4 信息安全

針對(duì)近年來網(wǎng)絡(luò)安全解決經(jīng)驗(yàn)分析，電子檔案信息安全管理要做好以下工作：第一，加密技術(shù)。檔案本身屬于原始記錄性信息，而網(wǎng)絡(luò)環(huán)境的不明確性和不穩(wěn)定性很難保障電子檔案有效儲(chǔ)存和記錄原始信息，且受檔案權(quán)限控制無法在網(wǎng)絡(luò)環(huán)境中公開傳遞，這就需要利用加密技術(shù)對(duì)檔案信息進(jìn)行加密處理，以此確保其在傳輸期間具有安全性和可靠性。第二，建立技術(shù)。網(wǎng)絡(luò)傳輸檔案數(shù)據(jù)也會(huì)影響信息的完善性，尤其是黑客攻擊會(huì)直接篡改或刪除部分?jǐn)?shù)據(jù)，此時(shí)就需要利用有效的鑒別技術(shù)進(jìn)行全面管控。第三，防泄露技術(shù)。信息泄露的預(yù)防工作主要涉及兩方面內(nèi)容，一方面是指信息審計(jì)系統(tǒng)，另一方面是指密級(jí)權(quán)限控制。前者可以實(shí)時(shí)審查進(jìn)出內(nèi)部網(wǎng)絡(luò)的各項(xiàng)信息，避免其在傳輸期間存在泄密行為，而后者會(huì)根據(jù)信息保密級(jí)別的高低程度來進(jìn)行范圍劃分，并由此控制各類用戶訪問電子檔案信息系統(tǒng)的權(quán)限，然后對(duì)他們進(jìn)行分組管理。第四，數(shù)據(jù)庫安全。電子檔案信息組織最重要的信息大都儲(chǔ)存在數(shù)據(jù)庫中，因此在實(shí)踐運(yùn)行管理期間必須要加強(qiáng)對(duì)這一內(nèi)容的監(jiān)管力度。第五，防抵賴技術(shù)。這一內(nèi)容主要用來確保用戶不會(huì)否定自身行為，并利用公證的方式來解決可能引發(fā)的爭議，其中涉及對(duì)數(shù)據(jù)源和目的地的雙方驗(yàn)證信息。

1.5 系統(tǒng)安全

基于系統(tǒng)安全提出的評(píng)價(jià)指標(biāo)主要涉及以下內(nèi)容：第一，操作日志。這項(xiàng)內(nèi)容準(zhǔn)確直觀記錄了所有系統(tǒng)操作步驟，有助于方便管理人員后續(xù)分析和研究系統(tǒng)受損的原因，且可以為接下來的管理工作提供基礎(chǔ)保障。第二，安全檢測(cè)。合理利用系統(tǒng)安全檢測(cè)工具處理網(wǎng)絡(luò)安全，可以在發(fā)現(xiàn)問題的基礎(chǔ)上提出有效的補(bǔ)救對(duì)策，以此提升整體系統(tǒng)網(wǎng)絡(luò)安全性能。第三，防破壞操作。操作系統(tǒng)中包含了網(wǎng)絡(luò)系統(tǒng)的各項(xiàng)資源，屬于計(jì)算機(jī)系統(tǒng)穩(wěn)定運(yùn)行的中樞區(qū)域，其所表現(xiàn)出的工作性能直接決定了其他環(huán)節(jié)運(yùn)行效果，因此要針對(duì)操作系統(tǒng)提出明確的鑒別標(biāo)準(zhǔn)，以此避免出現(xiàn)有害功能。第四，災(zāi)難恢復(fù)系統(tǒng)。在人為或自然因素的影響下?lián)p害系統(tǒng)安全時(shí)，需要保障其可以盡快恢復(fù)正常工作，且要將實(shí)際損耗降到最低，這就需要運(yùn)用災(zāi)難恢復(fù)系統(tǒng)。

2 明確指標(biāo)權(quán)重的方法

基于多個(gè)評(píng)價(jià)指標(biāo)實(shí)施綜合評(píng)估，不管是從評(píng)價(jià)對(duì)象還是評(píng)價(jià)目標(biāo)來看，它們所展現(xiàn)出的作用都是各不相同的。隨著指標(biāo)重要性的提升，相應(yīng)的權(quán)重?cái)?shù)值也會(huì)隨之增加，反之則證明其產(chǎn)生作用越小。在電子檔案信息安全管理期間，科學(xué)設(shè)定指標(biāo)權(quán)重，保障因素之間的輕重濃度，有助于提升整體評(píng)價(jià)的可比性。根據(jù)實(shí)踐安全評(píng)價(jià)工作分析可知，明確權(quán)重的方法有很多，例如環(huán)比法、德爾菲法、層次分析法等。

以層次分析法為例，其在準(zhǔn)確評(píng)估和選擇決策目標(biāo)后，會(huì)對(duì)它們的優(yōu)劣性進(jìn)行排序，而后為決策管理人員提供定性定量的分析結(jié)果。具體步驟如下所示：第一，要對(duì)復(fù)雜問題進(jìn)行概念化處理，并明確研究目標(biāo)所包含的各項(xiàng)因素；第二，要了解各個(gè)因素之間的關(guān)聯(lián)關(guān)系，并提出有序的層次結(jié)構(gòu)分析模型；第三，在處理同一層的影響因素時(shí)，要根據(jù)上一層中提出的某一準(zhǔn)則的相對(duì)重要性進(jìn)行對(duì)比分析，而后構(gòu)建判斷矩陣；第四，結(jié)合判斷矩陣計(jì)算對(duì)比因素在上一層準(zhǔn)則中的相對(duì)權(quán)重，而后實(shí)施一致性檢驗(yàn)；第五，了解各層次與系統(tǒng)總目標(biāo)之間的合成權(quán)重，而后由此得到層次的總體排序。

3 基于模糊綜合評(píng)價(jià)的電子檔案信息安全管理工作

模糊綜合評(píng)價(jià)就是利用模糊數(shù)學(xué)和模糊關(guān)系合成的原理，將部分邊界不明確或不容易定量的因素進(jìn)行定量化處理，而后實(shí)施綜合評(píng)價(jià)的一種方法。將其應(yīng)用到電子檔案信息安全管理工作中，具體步驟分為以下幾點(diǎn)：

第一，明確評(píng)價(jià)集，這項(xiàng)內(nèi)容根據(jù)評(píng)判人員對(duì)評(píng)價(jià)對(duì)象可能作出的各項(xiàng)評(píng)判結(jié)果構(gòu)建集合。一般來講，電子檔案信息安全評(píng)價(jià)主要分為五個(gè)等級(jí)，其中包含很好、好、較好、一般、差。而這些內(nèi)容就是實(shí)際評(píng)價(jià)集合。第二，構(gòu)建因素集合，其實(shí)質(zhì)是影響評(píng)價(jià)對(duì)象的各項(xiàng)因素所構(gòu)成的集合。第三，構(gòu)建權(quán)重集合，這一內(nèi)容需要結(jié)合上文提出的層次分析法來獲取。第四，提出單因素評(píng)價(jià)，并由此構(gòu)建模糊評(píng)價(jià)矩陣，而后明確所有因素指標(biāo)在評(píng)語集合當(dāng)中的隸屬度。第五，針對(duì)模糊矩陣實(shí)施符合運(yùn)算，以此明確各層次各項(xiàng)因素的評(píng)價(jià)結(jié)果和最終綜合評(píng)價(jià)結(jié)果[3]。

4 結(jié)語

綜上所述，針對(duì)新時(shí)代發(fā)展所涌現(xiàn)出的電子檔案信息管理工作而言，必須要加強(qiáng)對(duì)有關(guān)安全評(píng)級(jí)指標(biāo)體系構(gòu)成和應(yīng)用的研究力度，注重結(jié)合層次分析法和模糊綜合評(píng)價(jià)法實(shí)施管理分析，只有這樣才能從基礎(chǔ)上保障電子檔案信息運(yùn)行安全。