論企業檔案安全風險與對策

邢維萍

企業檔案是企業的重要信息資源,在企業各項工作中發揮著重要作用。信息技術在檔案管理中的運用，給檔案工作帶來了前所未有的發展機遇,但也使檔案安全風險囊括了計算機網絡信息系統的安全風險。為充分發揮信息技術在檔案管理中的作用，適應信息技術條件下檔案安全所面臨的挑戰，我們要積極研究各種可能存在的風險,建立安全可行的對策,消除各種安全隱患,使檔案具備抗風險能力, 從而更好地為企業發展服務。

一.檔案安全的風險

檔案安全包含實體檔案安全和電子檔案安全。實體檔案主要指紙質檔案，電子檔案指離線電子檔案(如磁帶、磁盤、光盤)和檔案管理信息系統上的檔案信息。檔案安全風險存在于多個方面，主要存在于環境、技術、人為三個方面。

1.環境風險

(1)自然因素：火災、水災、地震、雷電、有害生物（霉菌、蟲、鼠）、灰塵、有毒有害氣體、高溫高濕、紫外線等會直接損毀或損害檔案。

(2)非自然因素：突然斷電、電壓不穩定、電磁場、靜電會損壞信息系統計算機硬盤及COMS等靜電敏感電路，產生干擾信號，破壞檔案信息系統數據和影響信息系統正常運行。此外，磁場也會影響離線電子檔案數據的穩定。

2.技術風險

(1)計算機病毒感染：破壞計算機功能和數據,給信息系統帶來致命打擊。

(2)技術故障：硬件缺陷和軟件錯誤或漏洞引起的故障,網絡安全策略選擇和配置不當也會形成信息系統的安全隱患。

(3)儲存介質：檔案可使用壽命與儲存介質和保存條件有關。電子檔案都有數據消失危險，磁盤會因磁性漸漸衰退而失去保存數據功能,光盤則因記錄層的信息慢慢退化而無法讀取數據。

3.人為風險

(1)人為竊取：直接偷盜實體檔案和離線電子檔案。通過竊聽獲取重要涉密信息,冒充合法用戶直接訪問檔案信息系統下載涉密信息,造成企業甚至國家的涉密信息泄露，使企業經營、知識產權甚至國家的經濟、核心技術等受到重大損失。

(2)人為攻擊：在竊聽獲取信息的基礎上，對數據進行篡改、刪除，從而造成更嚴重的后果。

(3)檔案利用：企業檔案管理人員疏忽涉密檔案的保密性,隨意擴大涉密檔案的利用范圍，擴大涉密信息的知曉范圍。實體檔案被直接利用時容易損壞,電子檔案則易被更改。

(4)麻痹大意：企業網絡管理人員沒有保護好用戶賬號和密碼,檔案管理人員將自己的賬號轉借他人或與別人共享,都會構成檔案信息系統的信息安全隱患。

(5)管理方式改變：管理人員對電子文檔打印成紙質文件歸檔的認同度低，認為電子文件隨時都可方便地利用，沒有必要打印成紙質檔案。另外，企業各類信息系統中的許多數據要通過集成、優化整合后才能成為檔案信息。

（6）數字檔案:檔案數字化、聲像檔案工作，編輯沒按標準要求進行，影響了文件的保真度，或編制的文件太大而浪費磁盤空間，甚至影響系統穩定。

二. 檔案安全風險的預防與控制

從上述分析可以看出，檔案安全風險主要來自于自然災害、外部攻擊、企業內部、客觀環境、儲存介質。其中自然災害、外部攻擊是沒法控制和阻止發生的事，但可通過完善基礎設施，加強網絡安全把不可控災害轉變為可預防的風險；由企業內部產生的風險則可通過加強內部管理來防止；由客觀環境、儲存介質而產生的風險則可采取一定手段和措施加以避免。

因此，預防和控制檔案風險要通過加強企業內部管理，提高檔案安全認識；通過完善基礎設施和防護措施，實現檔案實體的安全；通過提高信息系統的網絡安全，實現檔案信息的安全。

1．完善基礎設施和防護措施 實現檔案實體的安全

(1)檔案實體的保存

檔案庫房是保存檔案的場所。庫房要有利于檔案的長久保存，抵御自然災害。為此，新建、改建、擴建庫房設計要按《檔案館建筑設計規范》要求，并結合企業自身的條件進行。庫房建筑的抗震強度應不低于7度，防雷保護措施不低于三級，遠離易燃易爆場所，保持空氣流通及排水通暢。如檔案的裝具是密集架，則庫房樓面活荷載應不小于12KN/M2，此外還須裝有必要的防盜、防火、溫濕度控制設施，使庫房溫度保持在14—24攝氏度，濕度在40%—60%之間，達到防火、防盜、防潮、防塵、防有害氣體、防有害生物（霉、蟲、鼠）和防高溫的9防要求。同時要考慮未來檔案的增長量,留有充分的存放空間。電子檔案存放應符合電磁安全屏蔽要求，在無分庫保存的條件下可將磁性載體、光盤等電子檔案分別置防磁柜內。因光盤較薄，物理強度較低，不宜水平疊放以免形變而影響數據讀取，而應置光盤盒內垂直存放在防磁柜內。

(2)檔案的數據遷移和異質備份

利用紙質檔案和電子檔案的優點，實行數據遷移、異質備份，能彌補他們各自的不足，達到方便利用檔案，信息長久保真可讀之目的。由于電子檔案會產生數據失真和消失的情況，因此要采取措施，防止這種情況的產生。通過定期檢測離線電子檔案，將有安全隱患的離線電子檔案的數據及時遷移到光盤上，可防止數據失真、丟失。對光盤可通過應用光盤檢測儀，確切把握光盤數據狀況，按國家標準達到3級預警線時，適時將數據遷移到光盤或新的儲存介質上。但是電子信息的讀取要保持與錄制時硬件設備和軟件兼容的條件下才可進行，而電子信息技術發展是如此之快，這無疑給電子檔案的利用、復制帶來了難題。如90年代的磁盤，用現在電腦根本無法讀取數據，為此每到軟件或硬件不能兼容前就要升級轉換、遷移到新的格式上。數據不斷地轉移，可靠性難以保證。因此，為了確保電子檔案數據長久保真可讀，還必須將重要的電子檔案打印成紙質檔案。紙質檔案雖有直觀，保存時間長久之優點，但利用不方便，且利用時易被損壞。利用電子檔案易復制和利用方便的優點，將紙質檔案進行數字化，就可達到方便紙質檔案的利用和保護紙質檔案原件的目的。

2．建立信息系統安全體系 確保檔案信息安全

信息系統安全體系是集人、技、物于一體的復雜的系統性工程。通過建立以防止信息系統的實體安全風險為基礎，以防止信息系統的信息安全風險為核心安全體系，實現信息系統的檔案信息的保真、保密、保存、保讀。

（1）防止系統硬件和運行環境的安全風險

主機安全關系到整個信息系統的安全。為了主機運行安全，機房要能抗震防雷、抗靜電、防電磁輻射、電壓穩定、防火、防有害氣體、保溫保濕。為此機房建設應按《電子信息系統機房設計規范》執行。位置要遠離易燃、易爆、有害氣體、粉塵與油煙、強電磁場等場所，機房內所有設備的金屬外殼、各類金屬管道與線槽、建筑物金屬結構等必須進行等電位連接并接地，采用不間斷電源系統專用供電,根據不同的情況和要求采取相應的電磁屏蔽措施，安裝必要的空氣調節、環境與設備的監控、安全防范和消防系統。要根據需求和條件，選用有利于長期安全運行和數據長久穩定，儲存量滿足需求的主機及匹配的輔助設備和網絡設備。

（2）防止信息系統信息的安全風險

信息系統的信息安全就是要實現信息的完整性、機密性、可用性。為此，通過身份認證、權限控制、數據加密、防火墻、入侵檢測系統實現控制系統可登入的人員及其登入系統后可訪問和操作的范圍，阻止外部非法用戶的入侵，驅逐各種攻擊，達到防止信息泄密、信息被竊聽與篡改的目的。如需要還可用物理隔離、防水墻實現內網與外網的完全隔離，有效防范企業敏感信息的泄露,有效防止檔案利用時易被修改的隱患。為了防止病毒的攻擊，不得安裝盜版軟件，安裝病毒防護軟件并定期更新安全補丁和病毒庫。同時要制定信息系統管理規定，把信息安全責任落實到每一部門及每一位辦公室員工。提高員工安全意識，保護好自己的賬號和密碼；嚴禁信息內網辦公計算機通過任何方式連接信息外網或互聯網；不經檢查不得接入移動儲存介質和便攜式電腦；禁止下載任何信息至未經授權的移動儲存介質及便攜式電腦。對系統數據進行全備份，以便在發生突發事件使系統崩潰或數據消失時能及時恢復。

3．建立檔案規章制度，實現檔案安全管理

檔案安全管理涉及面廣,要在領導重視、企業檔案部門努力、各部門支持配合下協同完成。要以國家的法律法規為依據，制定檔案管理各項制度、標準。通過制定檔案歸檔制度、檔案歸檔范圍及其保管期限表、檔案保密制度、檔案借閱制度、檔案鑒定與銷毀制度、突發事件檔案應急處理預案、企業信息系統管理規定等一系列規章制度,規范檔案管理，堵塞工作漏洞，實現檔案管理到那里,檔案安全管理就到那里，實現從檔案形成到利用安全風險的全程控制。

（1）建立起以檔案部門為主各部門為分支的檔案管理網絡，使企業歸檔工作落實到每個部門及每個工作人員，實現歸檔工作的層層負責落實。按“誰形成、誰負責”的原則，根據企業檔案歸檔范圍和各部門的業務范圍，明確各部門歸檔內容及責任。檔案人員則要加強文件材料形成和歸檔的前端控制和全程控制，有關領導要加強業務指導和監督，確保文件及時歸檔并符合質量要求。此外，要研究和解決如何將企業各類信息系統內的數據經整合優化連到檔案管理信息系統的難題。

（2）檔案管理人員要不斷學習，與時俱進，掌握現代化檔案管理的技能,掌握現代化辦公設備的操作，電子檔案防護上要按國家檔案行業的標準進行,并注意保持兼容性。

（3）嚴格執行檔案庫房、檔案辦公與閱覽三分開制度，除有特殊原因禁止非檔案部門人員進入庫房。嚴格借閱制度,禁止有損害于檔案安全的任何行為。能不借出檔案盡量不借出,盡可能用電子檔案、副本提供利用,以保護檔案原件。檔案保密管理制度中要包含保密檔案范圍、密級及利用對象范圍，處理好保密檔案利用和保密的關系，嚴格保密檔案利用審批手續。將保密檔案和普通檔案分開組卷和裝訂。

（4）建立檔案容災機制，實行重要檔案集中存放，異質備份、異地備份、重要檔案多套備份，進行檔案突發事件應急演練。

綜上所述，檔案安全風險的形成原因是多種多樣且復雜地交織在一起。防止企業檔案安全的風險, 要以預防為主、防治結合為原則,組成集人、技、物三防一體的綜合安全防范體系,根據檔案實體和檔案信息的特點和形成風險的各種因素，制定相應的對策 ，才能構筑起抵御檔案各種風險的堅固防線。要實行檔案實體和檔案信息并重的安全策略，完善庫房、機房基礎設施和防護措施，實行異質、異地備份，重要檔案多套備份,應用網絡信息技術的安全措施，采用嚴格的管理制度和規范的管理，建立檔案容災機制,達到有效控制和防止檔案安全風險，實現檔案保真、保密、保讀、保存的安全目標。

（作者系上海市電力公司檢修公司）