淺談電子檔案安全管理與防范措施

崔俊杰 吳志英

摘要： 隨著Internet的飛速發展，電子檔案也隨之悄然發展；電子檔案的安全管理在檔案室管理中就顯得十分重要，如何保障電子檔案不被病毒侵入或黑客攻擊等已經成為一個十分重要的問題。本文結合工作實踐，分析了電子檔案管理系統使用和維護過程中產生的安全問題，并提出相應的改進措施。

關鍵字：電子檔案 網絡安全 防火墻

當今對于普通的紙質檔案，已經有了非常成熟的管理制度和技術，一般能夠配備專門的檔案室以及專門的管理人員，對于文件特別是保密文件的調閱也有著嚴格的審批制度，在選址、防火、防盜方面也有相應的措施來保障文件檔案的安全。但對于電子檔案，卻還沒有詳細的操作性強的安全管理制度，電子檔案管理人員往往在不經意間造成了電子檔案的管理漏洞，形成安全隱患。另外，計算機技術迅速發展，各種攻擊以及破壞手段層出不窮，在電子檔案管理的很多環節都有可能出現問題。

電子檔案安全可靠的運行，不僅僅關系到數據本身的正常運行，更重要的是關系到所有與電子檔案管理業務和服務有關的正常業務開展，因此電子檔案管理的網絡、主機服務器、存儲設備、系統軟件等都應具有很高的安全保證、安全管理及安全防范措施。

一、防火墻訪問防范措施

防火墻是內部網絡與外部公共網絡之間的第一道屏障,是最受人們重視的網絡安全產品。從理論上看,防火墻位于網絡安全的最底層,負責網絡間的安全認證與傳輸,防火墻不僅要完成傳統的過濾任務,還要為各種網絡應用提供相應的安全服務。當今的防火墻產品正朝著數據安全與用戶認證、防止病毒與黑客侵入等方向發展。在電子檔案管理系統和外部網絡的連接處安裝防火墻設備，能夠根據會話信息、應用協議、訪問用戶、被訪問者資源等進行訪問控制規則設置，保證通過網絡邊界的會話層得到一定的控制，同時，為了保證整體安全性，防火墻設備自身具備高度的安全性。

另外，在電子檔案管理系統和各個地區服務點（Pointof Service,POS）之間，以及存在不同安全等級的系統之間的互聯邊界處也應采用防火墻和虛擬局域網（Virtual Local Arca Network,VLAN）劃分等安全訪問控制措施。

二、網絡入侵檢測防御

網絡入侵防御設備（Intrusion Prevention System,IPS）在網絡入侵行為進入被保護網絡之前通過報警、阻斷等措施為電子檔案管理系統提供保護，目的是對網絡侵入行為進行阻截，同時，在電子檔案管理中的某些網段也需要采用網絡侵入檢測系統（Intrusion Detetection System,IDS），即針對網絡侵入進行監測，它可以自動識別種種侵入模式，在對網絡數據信息進行分析時與這種模式進行匹配，一旦發現黑客有侵入的企圖，就會自動報警，目的是通過對網絡侵入者的檢測，彌補防火墻等邊界安全軟件的不足，及時發現網絡中違反使命策略的行為和受到黑客攻擊的跡象。網絡侵入防御設備也對蠕蟲木馬病毒攻擊進行識別，并進行有效的攔截，在電子檔案管理系統和Internet、POS（Pointof Service,POS）的邊界布置網絡侵入防御設備,也能夠對進入電子檔案管理系統的網絡請求進行預警防御，避免病毒或黑客入侵內部網絡系統。

在電子檔案管理系統數據中心前布置網絡侵入防御設備，保證了不論攻擊來源于哪里，包括內部網絡和外部網絡，都能夠對信息數據資源進行有效的防御。在電子檔案管理系統數據資料中心區域，為了確保對關鍵業務的訪問不造成影響，網絡侵入防御設備應使用專業硬件芯片架構，確保具有高度處理能力。此外，網絡侵入防范設備還需要對進出被保護區域的大量數據信息進行檢測，做到雙向防御的目的。

為了簡化布置，節約資金，本人建議電子檔案管理采用高端口密度的侵入防范設備，同時實現侵入防范和入侵檢測的功能，即對關鍵鏈路實現了串行接入，也對病毒或黑客的侵入實施防范和阻截，同時采用同一臺設備的別處端口對其他網絡采用端口鏡像方式接入，進行實時入侵檢測。

三、網關病毒防御

傳統的病毒防御措施大多數都靠計算機終端殺毒軟件進行防御，病毒已經感染到終端后才進行查找殺除，是一種亡羊補牢的方法，而且在查找殺除病毒時將會占用大量的系統資源，當今病毒傳播主要依賴于Internet網絡進行廣泛傳播，因此我們需要將病毒防御體前移，建立網關病毒防御體系。對出入網絡的數據信息進行查找殺毒，阻截來自Internet的文件病毒入侵網絡內部，同時阻截來自Internet的黑客對應用服務器群的入侵和破壞；阻截來自Internet的病毒對終端操作系統的侵入；阻截病毒的互相傳播，徹底將病毒阻隔在內部網絡之外。

四、提高電子檔案管理人員的安全意識

在電子檔案的安全管理中，威脅最大的不是計算機軟硬件方面的漏洞，而是計算機使用人員的安全意識。很多病毒的運行或者非法訪問都是人為原因造成的，為此，最好注意以下幾點：

第一，絕對禁止使用電子檔案管理專用電腦訪問外網。網絡上潛在著很多的威脅，每時每刻都有網絡探測工具在掃描，一旦被網絡攻擊者鎖定，就很有可能被非法訪問，輕者數據被非法訪問，嚴重的會造成數據丟失或者修改破壞。

第二，不在電子檔案管理專用電腦上隨意安裝軟件。在電子檔案管理專用電腦上最好安裝正版軟件，正版軟件都是經過廠商檢驗的，不含有任何病毒和木馬軟件，可以防止病毒隨著普通應用軟件一起被安裝，也可以獲得良好的技術服務。另外，不要在電腦上安裝任何與檔案管理工作無關的軟件，以免造成系統緩慢或者沖突，降低系統的可靠性。

第三，輕易不要使用U盤移交電子檔案。U盤是一種USB接口的移動存儲設備，可以被隨機讀寫，是病毒最理想的傳播工具。由于U盤經常在各個電腦之間插拔，傳染病毒的幾率很大，是病毒傳播最大的途徑之一。在電子檔案的移交過程中，應該盡量減少U盤的使用。

第四，對于不清楚的文件，不要輕易打開運行。很多病毒會將自己偽裝成普通文件的樣子，或者具有誘惑性、欺騙性的文件或者文件夾。檔案管理人員應該提高警惕，對于不清楚的文件打開時一定要慎重。

此外，為了保證電子檔案管理系統的安全運行，還必須遵照國際、國內的防范標準和規范，通過系統的技術防御措施和非技術防御措施，建立安全保障體系，為電子檔案管理系統提供一個安全環境。網絡安全是一個系統的、全局的問題，網絡上的任何一個漏洞，都會導致全網的安全問題。我們應該用系統工程的觀點、方法來分析電子檔案管理系統的網絡安全及具體措施。一個較好的安全措施往往是多種方法適當綜合的應用結果。這些環節在網絡中的地位和影響作用，也只有從系統綜合整體的角度去看待分析，才能取得有效可行的措施。即計算機網絡安全應遵循整體安全性原則，根據規定的安全策略制定出合理的網絡安全體系結構，這樣才能做到整個系統的安全。

參考文獻：

1.雷震甲.網絡工程師教程[M].北京：清華大學出版社，2004.

2.王春森.系統設計師[M].北京：清華大學出版社，2001.

3.何海燕，張曉甦.危機管理概論[M].首都經濟貿易大學出版社，2006.

4.翁詩環，龔建平.公共事件管理預警系統的構建[J].求索，2007.

5.郭研實.國家公務員應對突發事件能力[M].中國社會科學出版社，2005：P39-45.

作者單位：河北旅游職業學院

承德熱力集團責任有限公司標準計量檢測中心