企業檔案網絡信息安全管理初探

王淑改

摘要：本文通過對企業檔案網絡信息安全管理系統中機制體制、技術因素、系統因素、設備因素存在的問題進行分析，提出建立健全企業檔案網絡系統安全管理體制、建立有效的跟蹤機制和采取安全訪問技術等相應對策，從而達到維護企業檔案網絡信息安全的目的。

關鍵詞：企業檔案網絡建設信息安全

科技的進步，使企業檔案管理工作實現了前所未有的變化：從單一的手工管理和計算機輔助管理，發展到信息化、網絡化管理。隨著信息化進程的加速，企業接收電子文件數量的增加，加之電子文件具有的特性，使得企業檔案網絡信息安全管理變得尤為重要。

一、企業檔案網絡信息安全管理存在的問題

（一）機制體制：存在信息安全問題

1.安全管理機制尚待完善。筆者所在企業檔案館和權屬單位檔案室（三十余個基層檔案室）采用的是內網和檔案管理專網相結合的方式，在網絡安全機制上主要有幾個方面的漏洞：（1）系統數據的備份機制不完善。部分權屬單位能夠采用系統每日備份和每月光盤備份相結合的方式，但由于部分單位檔案信息量小，對檔案的備份工作不夠重視，不能及時備份檔案數據；（2）定期掃描機制不健全。企業檔案網絡信息系統應定期進行網絡系統的安全掃描工作，檢測出系統的潛在威脅，并采取相應措施。部分單位并未建立檔案網絡系統定期掃描機制，使檔案網絡系統存在潛在的風險；（3）跟蹤機制不健全。部分單位沒有建立有效的企業檔案內部數據和信息來源的跟蹤機制，使不法黑客有機可乘。

2.安全管理體制尚待完善。人為失誤，在所有威脅檔案數據安全的因素中頻率較高。一是檔案系統不設防。部分單位檔案系統圖標放在計算機桌面上，沒有設置登錄密碼，點擊即可進入系統；二是密碼設置過于簡單。例如，部分單位雖然設置了密碼，但為了省事，把密碼設為“123456、888888、666666”等；三是檔案病毒防火墻處于關閉狀態。病毒防火墻有時會攔截一些非病毒的程序，因此部分單位索性將把其整體關閉了。究其原因在于企業檔案網絡信息安全制度執行不夠嚴格、安全規定不夠全面等造成的。

（二）技術因素：存在信息安全問題

1.安全訪問技術不完善。部分單位檔案網絡信息系統安全防范技術過于單一，安全訪問技術不完善，不能在保證合法用戶獲取所需資源的同時，有效拒絕非法用戶的入侵。如筆者所在企業的檔案信息管理系統，就曾遭到計算機病毒侵襲，檔案信息系統一度出現亂碼和部分數據丟失的現象，后經計算機專業人員采用殺毒軟件等技術手段，才將問題解決。

2.檔案信息傳輸系統沒有完善加密技術。筆者所在企業雖然只在內網和檔案管理專網上進行檔案傳輸，但隨著信息時代的發展，非法入侵等事件隨時都有可能發生。此外，部分單位對非法入侵還缺乏必要的檢測技術和手段等等。

（三）系統因素：軟件管理存在信息安全問題

軟件是企業檔案網絡信息系統的靈魂，系統運行的每個層面都需要相應軟件系統的配合與支持。2005年，筆者所在企業采用科怡檔案管理系統進行檔案的數字化工作，2006年，實現了從檔案組卷、編目、整理、打印、查詢到利用的全過程計算機管理，文書檔案也實現了全文數字化。經過十年的應用，筆者發現該軟件在開發語言、使用權限及檔案數據安全防護等方面存在著一定的缺陷。一是檔案系統開發語言VB和其數據庫與Windows操作系統不匹配，在檔案系統運行過程中經常出現死機的現象；二是未建立系統的回收功能。在軟件的使用過程中，人為失誤造成檔案數據丟失時有發生，系統不能及時進行回收和恢復；三是訪問日志管理不到位。用戶何時訪問、訪問了哪些內容，沒有相應的日志系統進行記錄；四是訪問權限過于單一，只有檔案管理員和終端用戶兩個權限級別等等。

（四）設備因素：硬件管理存在信息安全問題

避免硬件設備的損壞，維護硬件設施的正常運行，是企業檔案網絡信息系統安全運行的基礎。目前，硬件故障是設備故障中出現的最主要問題。比如，進行檔案數字化的過程中，計算機突然出現關機的情況，檔案數據尚未備份，導致大量數據的丟失。究其原因在于計算機機箱內風扇損壞導致溫度升高而出現的系統問題；再如，硬盤磁道出現損壞導致的數據丟失。筆者所在企業進行檔案數字化時，使用磁盤陣列（8塊硬盤）進行存儲，其中一塊磁盤出現磁道損壞、顯示燈不亮的問題，造成數據無法正常讀取。出現這種情況有兩方面的原因，一是硬盤供電不正常，造成讀盤時定位不準，表面出現大面積的磁道損壞；二是硬盤質量不過關，造成大面積壞道現象的出現。

二、企業檔案網絡信息安全的應對措施

（一）機制體制上的信息安全對策

1.機制上的安全對策。一是建立系統備份機制。應根據數據的處理形式和重要程度，制定不同的備份方案，如完全備份與增量備份相結合、系統每日備份和每月光盤備份相結合，確保檔案數據備份的完整性和安全性。二是建立定期掃描工作機制。為了保障企業檔案網絡信息系統的安全，需要配置一款安全有效地防止黑客非法登錄的掃描工具，定期對檔案網絡系統進行掃描，當檢測出系統的結構和網絡結構發生變化或是系統遭到黑客的攻擊時，能夠及時報警，從而通知到相應系統維護人員，使出現的問題能夠得到有效解決。同時，對企業檔案網絡信息進行安全審核，自動生成審核日志，記錄企業檔案網絡系統的運行狀況。三是建立有效的跟蹤機制。企業檔案部門應建立對企業檔案內部數據、信息來源的跟蹤機制。一旦檢測到黑客對其進行攻擊時，能夠自動實施解決措施。比如，自動切斷一切連接線路、關閉有關所有服務、自動保存當前所有數據信息等，從而確保企業檔案網絡系統能夠正常平穩的運行。此外，為了更好地阻止黑客的侵襲和蓄意刪改，可采取動態口令、數字證書、加密技術等方法。

2.管理體制上的安全對策。建立企業檔案網絡系統安全管理體制，完善各種管理制度是保障企業檔案信息安全的重要措施。筆者所在企業建立了檔案網絡信息相關的安全管理制度，包括操作規范管理制度、操作權限管理制度、檔案信息系統備份管理制度、崗位安全考核制度、安全應急制度等等。為確保各項管理制度的落實，有計劃地開展檔案信息安全檢查，包括專項檢查和自查，不斷改進企業檔案網絡信息管理中的薄弱環節，進一步促進企業檔案網絡信息安全體制的建設工作。

（二）技術上的信息安全對策

1.建立安全訪問技術。安全訪問技術包括對平臺訪問者身份的核實和認證的技術、訪問控制技術等。其中身份認證技術可以有效地防止網上的不法分子通過冒充平臺的合法用戶來獲取企業檔案信息的訪問權限。筆者所在企業主要采取了身份認證技術中的ID識別技術，而訪問控制的方式則有自主訪問控制和強制訪問控制兩種方式。自主訪問控制是一種自主的控制方式，即平臺中的用戶可以按照自己的想法對平臺中參數、用戶的權限進行修改，從而限定合法的用戶在登錄企業檔案網絡平臺后對不同類別檔案信息的訪問權限；而強制訪問控制則是企業檔案網絡平臺上的資源和用戶都被強制綁定在一個固定的安全屬性上，并且規定了該屬性下的權限限制。

2.采用傳輸安全技術。筆者所在企業網絡傳輸安全技術方面采取的是防火墻、入侵檢測以及網絡隔離等，有效阻止了黑客入侵，確保企業檔案網絡傳輸的安全性。防火墻技術是為了保護企業檔案內網不受外網的侵襲，使黑客無法獲取內網的IP地址和相關站點。常見的防火墻主要有屏蔽子網防火墻、過濾型防火墻以及雙宿網關型防火墻；入侵測試技術是對防火墻功能的繼續和延伸；網絡隔離則是以物理隔離為基礎，使企業檔案網絡與外界其他公共網絡相隔離，從而更有效地提高企業檔案系統的安全性、穩定性和可靠性。

（三）系統管理上的信息安全對策

一是升級檔案系統模塊。開發語言由VB升級為.NET，數據庫由SQLSERVER2000升級為SQLSERV？ ER2005。與舊軟件相比，檔案系統與Windows系統的銜接更加緊密，加強了檔案信息的安全性；二是新增了系統回收站功能。新軟件增加了系統回收站功能，其主要包括徹底刪除檔案文件和恢復檔案文件兩個模塊，并為系統回收站設置了密碼。用戶需要具備一定權限才能進行相應的操作。三是建立日志管理系統。從用戶登錄至用戶下線，所有功能操作都詳細地記錄在日志記錄中，這個功能在以前的舊軟件中是沒有的；四是完善權限管理系統，進一步細化了網絡分級式管理。從檔案安全的角度出發，新軟件在管理權限方面做了進一步細化，分為檔案管理員、相關領導和終端用戶三個級別，相關領導可以查閱除密級以外的所有檔案目錄和檔案原文，終端用戶只能查閱檔案目錄，在檔案管理員授權后方能查閱相關的檔案原文。

（四）設備上的信息安全對策

注意網絡安全設備的合理搭配和選取。企業檔案部門在選用網絡設備時，不要僅僅局限于某一家公司或是某一種型號的設備，應做到多方入手，從而在硬件上實現優勢互補，減少企業檔案系統存在的漏洞，提升了網絡系統的安全性能。