科技計劃項目檔案信息化建設中的信息安全及防護措施

摘要：本文對進行科技計劃項目檔案信息化建設過程中遇到的信息安全問題進行分析，從系統、制度、技術和人員等四個方面提出有效防護保障措施。

關鍵詞：科技計劃項目檔案信息安全防護措施

科技計劃項目是以科學技術發展規劃綱要為指導，以提高科技創新能力、解決經濟與社會發展中的關鍵性科技問題為重點，由國家科技計劃安排，在一定期限內進行的科學技術研究開發項目。科技計劃項目申請立項、審核、立項研究、研究過程以及驗收活動等一系列過程中形成的必須歸檔的文件材料就是科技計劃項目檔案。隨著我國科學技術的發展進步，國家對科技計劃項目管理也日趨完善，據統計，2013年度福建省省級以上科技計劃項目共計2922項，安排年度經費17億多元。如何將科技計劃項目研究成果轉化為現實生產力，并為社會所用，進行科技計劃項目檔案信息化建設是必然選擇。

一、科技計劃項目檔案信息化建設中的檔案信息安全問題

根據國家對信息安全的定義：信息安全是指信息網絡的硬件、軟件及其系統中的數據受到保護，不受偶然的或者惡意的原因而遭受破壞、更改、泄露，系統連續正常地運行。在科技計劃項目檔案信息化實施的過程中，同樣會遇到信息安全問題，應引起重視并認真研究解決。

（一）檔案管理軟件系統存在信息安全問題

目前，福建省科技檔案館使用的檔案管理軟件是科易檔案管理軟件，該系統是一套綜合檔案管理系統，遵循國家檔案局制定的規范標準，并結合科技檔案館實際需求定制的。它可以實現全部檔案目錄數據的規范化管理和查詢利用，其中文書檔案實現了全文掃描件和OA系統對接的電子檔案全文管理。同時也應看到，科易檔案管理軟件系統采用VB技術，容易遭受非法入侵者的攻擊，很有可能導致檔案信息資料被泄露和被篡改，這對檔案信息管理的安全性造成了威脅。此外，使用該系統時，還常常會遇到突然死機、突然自動跳出系統的情況。因此，全面實現科技計劃項目檔案信息化仍需進行一系列升級改造，并強化檔案信息安全功能。

（二）安全管理制度不完善帶來信息安全問題

目前我國對文書檔案進行管理的法規、標準、規范較為完備，而關于科技計劃項目檔案的法規、標準、規范則較少。例如，1980年，由國家經委、建委、科委、檔案局四家聯合制定、頒發的《科學技術檔案工作條例》，至今未修訂過；1992年國家檔案局頒布的《科學技術研究課題檔案管理規范》，也多年未修改過。

（三）開放的網絡環境存在信息安全問題

科技計劃項目檔案信息化最后要通過檔案系統與科技計劃項目管理系統的無縫對接、電子文檔的遷移、接收來實現的。福建省科技計劃項目管理系統面向全省所轄范圍內的政府、企事業單位的管理人員、科研人員，需要依靠互聯網（外網）來進行彼此的建構。在互聯網環境下，信息安全具有諸多不確定性，黑客的攻擊和病毒的入侵都會使檔案信息安全受到影響。

（四）不了解網絡技術而人為忽視信息安全問題

電子檔案與傳統檔案相比具有較大差異，檔案信息化要求檔案管理人員不僅要具備管理知識，還要掌握網絡、電子信息技術及信息安全防護知識。目前，很多檔案人員雖然懂得檔案管理，但是對用計算機技術去處理信息安全問題知之甚少，甚至對在網絡環境中檔案信息存在哪些安全問題也不清楚，哪些環節會產生檔案信息安全問題也不清楚，更不清楚如何解決安全問題。此外，部分檔案人員安全意識淡薄，在相關安全問題上采取放任態度，也會使檔案信息安全出現問題。

二、科技計劃項目檔案信息化建設中檔案信息安全的有效防護措施

（一）系統方面：對檔案管理軟件系統進行升級改造

首先，針對科易檔案管理軟件系統在系統結構、數據存儲、提供利用等方面的問題逐項進行研究，進行檔案管理軟件系統升級，升級后的系統設計應基于J2EE平臺開發的B/S結構，力求系統功能齊全，可共享數據，有較高的數據獨立性和易拓展性，操作方便，保證數據輸入與處理的準確性和安全性。這樣既符合科技計劃項目管理的規律，又滿足檔案管理的要求。其次，對于福建省科技計劃項目管理系統，除了要融合J2EE技術與數據庫技術，實現科技項目網上申報、推薦、受理、評審，任務書簽訂，執行情況跟蹤和驗收等功能，特別是在局域網實現立項、經費計劃、經費結轉等功能以外，還應符合電子文件收集、遷移、歸檔的技術要求。如通過Web Service技術，在科技計劃項目系統和檔案管理系統中建立對接通道，實現數據的交互對接；科技計劃項目管理系統中電子文件進入中間庫（預歸檔庫）之前要先進行統一的格式轉換；對同一項目的科技計劃項目應歸檔電子文件自動封裝成XML封裝包，將Web Service接收到的已通過檢驗的XML封裝包自動解包遷入至檔案管理系統中。除了管理系統軟件的升級改造以外，檔案信息安全也離不開系統硬件設備的安全。例如網絡設備的安全，包括存儲設備的安全、服務器的安全、操作設備的安全等。

（二）制度方面：逐步建立健全信息化檔案信息安全的法律法規體系及管理制度

我國科技計劃項目檔案信息化建設起步較晚，雖然已經制定公布了一批有關計算機網絡安全方面的相關法律，如《計算機安全保護條例》、《計算機信息網絡國際聯網保密管理規定》等，但尚無有關科技計劃項目檔案信息安全方面的專門法規。因此，要逐步建立健全信息化檔案信息安全的法律法規體系。目前，據筆者所知部分省市結合相關研究和初步實踐，開始制定或起草了適應科技計劃項目檔案管理實際需求的檔案信息安全法規標準，例如福建省制定了《福建省科技廳科技計劃項目檔案整理辦法》、《福建省科技廳科技計劃項目電子文件元數據規范》和《福建省科技廳科技計劃項目電子文件歸檔與電子檔案管理辦法》等。同時，還要建立健全計算機和網絡系統的各項規章制度。計算機及網絡硬件設施是保證數字檔案信息安全存儲和傳遞的物質基礎，要制定包括網絡線路、通訊設備、服務器、機房等支持檔案管理機構內部檔案信息管理系統運行的防火防盜制度和定期維護制度，并落實責任人，加強對口令（密碼）、授權（權限）的管理。此外還要建立和完善定期備份和異質備份、異地備份管理制度。

（三）技術方面：運用先進技術，保障數字檔案的信息安全

一是訪問控制技術。訪問控制是為了防止未授權的訪問而對訪問者的身份進行識別，控制網絡以及其他資源，準許授權者瀏覽訪問信息資源而采取的技術。訪問控制技術是局域網的第一道安全防線，就像一堵墻把局域網保護在相對安全的區域內，通過對來訪的請求進行控制，確認誰可以進入和誰可以走出這個受保護的環境。二是防火墻技術。用于增強局域網（內網）和互聯網（外網）之間的訪問控制，保護內部網絡免受非法用戶侵入、過濾不良信息、防止信息資源的未授權訪問。防火墻把安全防范集中在內外網絡連接的阻塞點上，有效管理進出網絡的訪問行為。三是信息加密技術。信息加密技術通過信息的變換或編碼將機密敏感信息變換為難以讀懂的亂碼型信息，以達到保護數據安全的目的。其運作原理是對網絡上傳輸的檔案信息進行加密解密、數字簽名和簽名驗證，確保網上傳遞信息的機密性與完整性。四是數字水印技術。數字水?。―igital Watermarking）技術是將一些標識信息（數字水?。┲苯忧度霐底州d體當中（包括多媒體、文檔、軟件等）或是間接表示（修改特定區域的結構），且不影響原載體的使用價值，也不容易被泄露和再次修改，但可以被生產方識別和辨認。通過這些隱藏在載體中的信息，達到確認內容傳遞隱秘信息或者判斷載體是否被篡改等目的。五是復制、打印控制技術。防止電子文件的復制粘貼、打印下載等電子文件的擴散。未經授權的文件，無論創建者還是使用者都不能打印，只有經過申請，并得到管理員審核批準后，才能打印所指定的文件。

（四）人員方面：促進檔案人員對網絡等相關技術的了解，加強檔案信息安全意識

一方面要充實檔案隊伍的新生力量，將既懂得檔案業務又具有計算機專業知識的人員充實到檔案隊伍中來，適應檔案管理的需要；另一方面對現有檔案人員不僅要求其具有較高的檔案專業知識和能力素質，還應加大培訓學習力度，使其具有較廣博的現代化科學技術知識，特別是要對科技計劃項目檔案管理系統的相關技術知識有較為深入的了解，進而加強信息安全意識，這樣才會能更好地預防檔案信息安全問題的出現。

參考文獻：

[1]洪源清，朱文等.福建省科技計劃項目電子文件歸檔管理研究，課題研究報告[R]. 2013.

[2]王麗麗.國家科技計劃項目檔案管理現狀分析及對策[J].中國市場，2015（3）：74.

[3]周豐榮.科技檔案創新管理工作探索[J].中國管理信息化，2015（4）：209.