新時期高校檔案管理信息安全風險分析

程安琪

[摘 要]隨著信息時代的到來，高校檔案工作逐步實現了信息化管理，較傳統高校檔案管理方式而言，信息化管理具有十分顯著的優勢，但也引發了一系列信息安全風險問題。為了進一步加強高校檔案管理工作，必須針對新時期高校檔案管理工作中所面臨的信息安全風險問題進行分析，采取有效的風險防范措施，以保障高校檔案工作的持續健康發展。

[關鍵詞]高校檔案管理；信息安全風險；安全管理

新時期，網絡信息技術逐步成熟，各大高校檔案管理工作也逐步朝著現代化與信息化方向發展，高校檔案管理已經由傳統的手工化逐步過渡到數字化。在各種現代化信息技術的支撐下，高校檔案資源得到了最大限度地開發與利用，但同時，檔案管理工作中存在的信息安全風險與問題也越來越突出，若高校檔案信息安全無法得到保證，則可能引發巨大的損失。因此，必須加強高校檔案管理信息安全風險防范工作，確保檔案信息的安全性與可靠性。

1.高校檔案管理信息安全風險分析

1.1制度風險

當前，在我國高校檔案管理工作信息化建設過程中，還沒有一套完整的法律法規，用以確保數字化的高校檔案信息資源的安全性，只能利用計算機相關法律法規，對檔案信息資源的安全性進行維護。這就為許多不法分子帶來了可乘之機，為了達到目的，對高校檔案信息進行惡意竊取、攻擊和破壞，嚴重危害了高校檔案信息資源的安全性、完整性與可靠性。

1.2外來風險

高校檔案管理信息化、數字化與網絡化之后，黑客攻擊已經成為計算機網絡管理的重大難題之一。1）計算機病毒。病毒被視為網絡最大危害之一，網絡所有終端與通道都可能遭到病毒的嚴重攻擊，如今，計算機病毒種類越來越多，雖然，配套殺毒軟件也相應問世，但由于殺毒軟件相對滯后，因而網絡病毒依然肆虐，難以徹底清除，這樣極易導致高校檔案信息丟失；2）非法訪問。無論對于內部非法訪問，還是外部非法訪問，均有可能使網絡遭受非法篡改與攻擊，對檔案資源的安全造成威脅。

1.3物理安全風險

物理安全是指系統相關設備受到物理保護，因而免于丟失，不受破壞。具體而言，指的是防止計算機設施以及媒體等免受諸如地震、火災、水災等災害及人為操作失誤所造成的破壞。物理安全風險是指計算機設備及設施由于人為操作不當，導致設備損毀，受到地震、火災、水災、輻射、盜取、線路截獲等的破壞。

1.4管理風險

對于檔案管理人員而言，若保密意識不夠，責任感不強，也會對檔案管理的安全性帶來直接影響。長期以來，不少高校并未對檔案管理工作給予足夠的重視，對于檔案資料的保密性認識也十分薄弱，隨著檔案管理信息化建設步伐的逐步加快，管理人員還未跟上步伐，不少管理人員無意識中將檔案信息內部網絡結構或用戶賬號、口令等泄漏出去，再加上對于檔案機房管理不嚴格，導致不法分子有機可乘。

1.5信息安全評估風險

由于高校檔案管理信息安全評估起步較晚，因而仍存在不少風險和問題，具體而言，主要體現在如下方面：

（1）管理層對于檔案信息安全評估的重要性缺乏足夠的認識，安全評估技術人員嚴重缺乏，與此同時，高校檔案管理人員普遍缺乏安全風險意識，安全評估水平普遍不高；

（2）安全風險評估流程及技術標準亟待完善。高校檔案管理安全風險評估工作不僅是一個管理過程，還是一個技術過程，需要以具體環境及情況為依據，對工作流程及相關技術標準進行科學地制訂，尤其是實際評估中的定性、定量方法及相互之間的關系與作用，都需要通過實踐摸索進行進一步完善；

（3）安全風險評估工具發展相對滯后。隨著檔案信息化管理漏洞地逐步增多，檔案信息安全所面臨的威脅也越來越多，因此，必須加強安全風險評估工具的研發力度。但當前多數高校檔案管理人員，由于自身缺乏足夠的安全風險評估意識及技能，因而導致安全風險評估工具難以得到快速發展與有效利用。

2.高校檔案管理信息安全風險的防范措施分析

2.1構建完善的檔案信息安全規章制度

為了有效確保高校檔案信息的安全性，高校檔案部門應以國家檔案局所發布的信息化建設綱要為指導，以自身具體情況為依據，結合我國計算機相關法律法規的要求，制定同高校檔案管理工作相適應的規章制度，用以確保高校檔案管理工作運行過程的安全性與可靠性。同時，我國應針對高校檔案管理信息安全，盡快出臺相關法律法規，以確保高校檔案管理工作有法可依。

2.2搞好基礎性工作，保障檔案信息的物理安全

針對高校檔案管理工作的現狀，應扎實搞好基礎性工作，將檔案信息可能受到的泄密風險降至最低。一方面，對于系統安全性而言，在設備采購過程中應盡可能選則不同廠家型號不同的設備，以實現優勢互補；另一方面，為避免某網段的安全風險蔓延整個網絡，應進行子網設置，采用分級及分段物理隔離方式，形成相應的日志，并定期對網絡設備進行掃描；此外，還應注重對網絡信息范圍進行控制，結合高校檔案信息安全的相關要求，對捐獻或寄存形式進館的檔案資料及集體、個人檔案是否允許上網等保密問題進行充分考慮，應將上網的檔案進行安全級別的劃分，并予以加密，只有達到一定安全級別的用戶，方可利用此檔案；同時，還應注重加快制定檔案信息安全響應機制、檔案數據庫安全響應機制、災備數據恢復機制等。

2.3加強檔案管理隊伍的建設

為了切實搞好高校檔案信息安全管理工作，關鍵仍在于人。必須加強檔案管理隊伍的建設。一方面，應加強管理人員思想素質及業務水平建設，要求各個管理人員都必須樹立強烈的責任感及良好的工作作風；應針對檔案管理人員的具體工作，制定相應的工作職責制度，將各項工作落實到個人，要求大家各司其職，不能逾越自身管理范圍，更不能借助職能之便輕易泄漏檔案機密；另一方面，高校應定期組織管理人員進行業務培訓，為他們提供足夠的學習機會，如進修、輪崗等學習，以逐步提高管理人員的信息化技能，保障檔案信息資源的安全性；此外，高校還應從政策及待遇方面出發，制定完善的激勵制度，充分調動檔案管理人員的工作積極性，為高校檔案安全管理提供全面的服務。

2.4搞好檔案安全風險評估工作

首先，應加強高校檔案信息調研，盡快熟悉高校檔案管理組織的結構及具體情況，針對組織戰略，業務類型、目標、流程，所依賴系統的基礎性建設及檔案安全需求等問題，進行全面調研與診斷；其次，應注重搞好檔案信息資產識別工作，參照相關標準的要求，結合高校檔案管理組織的實際業務流程，對檔案管理系統IT資產予以識別，如軟硬件、信息收集、分類、篩選、統計等，列出清單，對資產的重要性及業務信息流進行全面分析，根據價值對檔案資產進行分級標識；再次，搞好檔案信息安全風險分析工作，結合所列出的重要資產清單，對其所面臨的安全風險進行全面分析，并對風險的嚴重程度進行分類標識與處理；此外，應加強檔案信息安全的脆弱性識別，針對重要資產所面臨的風險來源進行分析，找出系統安全的薄弱環節；最后，加強高校檔案信息安全風險評估工作，并制定相應風險控制及防范計劃。

3.結束語

信息網絡技術的逐步發展和應用，為高校檔案管理工作帶來了發展契機，因此，必須加快轉變傳統管理模式，加強檔案管理信息安全風險防范工作，進一步推動高校檔案管理工作的信息化建設，以保障高校檔案管理工作的持續發展與完善。

參考文獻：

[1]吳紹忠.數字化檔案館信息安全風險評估[J].中國檔案，2011（06）：157-158.

[2]王朝陽.檔案信息化管理的優勢及安全問題[J].華北水利水電學院學報，2012（01）：44-46.

[3]劉凝芳.淺談高校檔案信息安全的有效管理機制[J].科技創業月刊，2011（03）：139-142.