檔案管理信息化的優勢及安全風險評估研究

文/菏澤市城市綜合開發辦公室 潘曉露

隨著社會的快速發展，國家越來越重視檔案信息化的管理工作。檔案信息化是指運用先進的科學信息技術，充分的應用檔案網絡建設平臺，通過科學有效的方法對檔案信息進行合理的管理與應用，這樣在一定程度上可以實現檔案信息資源的充分利用。近年來，隨著科學技術的快速發展，為我國的檔案管理事業信息化帶來了很好的發展機會，檔案管理信息化可以依托先進的科學技術，使管理的方法和手段得到更新和改革，但是在檔案管理信息化的過程中也會出現一些信息安全問題，所以有效的使用信息安全風險評估理論，加強檔案信息安全管理具有十分重要的意義。

一、檔案管理信息化的優勢

（一）有助于檔案資料的長期存檔以及儲備。傳統的檔案管理方式主要是以紙質為核心，這種管理方式存在著很多的弊端，因為隨著時代的發展，檔案資料日益增加，紙質資料由于物理因素，長期的存儲會導致其發生潮濕或者變質等，由此可以看出，傳統的檔案信息管理方式不利于檔案資料的長期有效的存儲。如今使用的檔案管理信息化可以有效的解決這些問題，通過使用先進的科學技術，將逐漸增加的原始的檔案資料儲存到一個很小的硬盤中，而且還能夠實現長期的儲存。由此可以看出，檔案管理信息化在檔案資料的長期儲存方面有著很大的優勢。

（二）有助于檔案信息的檢索。傳統的檔案信息管理中需要安排專門的管理人員，從很多的檔案管理資料的目錄中查找所需要的檔案信息，而且這個過程主要是通過肉眼來查找，然后根據查找到的記錄標號信息，再到原始的檔案存儲庫房中去查找，這個查找的過程需要消耗大量的時間和人力，大大降低了查找的效率。這種查找方式更多的依賴人力。所以，有的時候由于工作人員的馬虎，會導致查找結果失敗，嚴重影響查找結果的準確性。隨著時代的快速發展，檔案管理信息化的使用，工作人員只需要通過對計算機中特定的檔案信息系統的管理軟件的使用，再結合查找所需要的具體條件，就可以快速、準確地從眾多的信息資源中找到符合條件的檔案信息。這樣既能夠節省查找所需要的時間，又能夠保證檢索的準確性，從而在一定程度上提高了檢索的效率。

（三）有助于檔案信息的共享。隨著科學技術的發展，計算機的廣泛使用，各個單位之間可以通過網絡實現彼此之間的信息聯系，如果每個單位都實現檔案管理信息化，那么通過網絡平臺，所有的單位之間可以有效的實現資源共享的目的，從而實現檔案資源的有效利用，總而言之，檔案資源管理信息化的建設有利于檔案資源信息的共享。

（四）有助于遠程服務功能的實現。傳統的檔案資源的管理使用的是實體信息的物理管理手段，這種方式嚴重的阻礙著遠程服務功能的實現，因為缺少科學技術含量，無法實現檔案信息資源在空間的轉移，從而在一定程度上影響遠程服務功能的使用。而檔案管理的信息化的使用，可以有效的使用先進的網絡技術以及通信技術，通過遠程檢索可以實現檔案資源的檢索，而且還能夠很好的實現檔案信息資源在空間上的轉移，如果在不同的地方可以檢索同樣一份檔案資料，還可以將檢索出來的檔案資料在檢索的地方進行打印，完全擺脫了地點的局限性。所以，采用的檔案管理的信息化方式，能夠有效的實現遠程服務功能。

（五）有助于資源的節省。在過去，使用傳統的檔案管理方式，主要利用人工對一些資料進行收集、整理、保管以及檢索。這樣的管理方式存在很多的弊端，主要表現在需要投入大量的人力，而且還會花費大量的檢索時間。傳統的管理模式的屬性是以手工勞動為主。所以，檢索的結果的準確性在一定程度上受到人為因素的影響。隨著信息技術的快速發展，科學技術在檔案檔案管理方面的使用，實現了檔案資料管理的信息化，使其工作的過程中增加了技術含量，從根本上改變了傳統檔案管理方式，在一定程度上提高了資料管理的效率，增加了檔案的存儲量，從而降低的資源的使用。

二、檔案管理信息化過程中存在的不足之處

信息技術以及信息產業的飛速發展，給檔案管理信息化建設帶來了機會，同時也給其帶來了巨大的沖擊和新的挑戰。信息系統自身所處的網絡環境的特點以及信息系統自身的局限性會導致信息系統的發展過程中會受到一些因素的影響。而且，在使用的過程中也會遇到一些認為破壞或者是木馬等方面的破壞。所以，檔案管理信息化的過程中會遇到一些信息安全隱患，這嚴重影響信息的安全可靠性。但是，隨著時代的快速發展，人們在不斷的探索和研究防止信息系統遭受到破壞的措施，而且在殺毒軟件和入侵檢測技術方面獲得了很大的成就。雖然這些檢測手段的使用在一定程度上可以防止惡意程序對信息系統的破壞，但是并沒有從根本上解決檔案信息系統的安全問題。因為隨著信息技術的發展，信息系統受到的威脅也在逐漸向著多樣化的趨勢發展變化，而且更加的隱蔽化，對于信息系統的破壞性越來越大。隨著信息技術的廣泛使用，信息安全的內涵也在不斷的豐富，已經不再是最開始的單單對信息保密，而是向著保證信息的完整性、準確性方向發展，使檔案信息變得更加的實用而且具有不可否認性。進而實現多方面的防控實施技術。

三、檔案管理信息化中安全風險評估的作用

人們在進行檔案信息管理的過程中受到認識能力以及實踐能力的限制，不能夠保證信息管理的完全安全性，所以檔案信息管理系統在一定程度上存在著脆弱性，這種情況導致在使用檔案信息的過程中面臨著一些人為或者是自然條件的破壞，所以檔案信息管理存在安全風險具有必然性。因此，對檔案信息管理進行安全風險評估具有重要的意義，信息安全建設的前提是，基于對綜合成本以及效益的考慮，采取有效的安全方法對風險進行控制，保證殘余風險降低在最小的程度。因為，人們追求實際的信息系統的安全，是指對信息系統實施了風險控制之后，接受殘余風險的存在，但是殘余風險應該控制在最小的程度。所以，要保證檔案信息系統的安全可靠性，就應該實施全面、系統的安全風險評估，將安全風險評估的思想以及觀念貫穿到整個信息管理的過程中。

通常情況下，信息安全風險主要指的是在整個信息管理的過程中，信息的安全屬性所面臨的危害發生的可能性。產生這種可能性的原因是系統脆弱性、人為因素或者是其他的因素造成的威脅。用來衡量安全事件發生的概率以及造成的影響的指標主要有兩種。然而，危害的程度并不只取決于安全事件發展的概率，還與其造成的后果的嚴重性的大小有著直接的關系。安全風險評估具有很多的特點。首先，它具有決策支持性，這個特點在整個安全風險評估周期中都存在，只是內容不相同，因為安全評估的真正目的是供給安全管理支持以及服務的。在系統生命周期中都存在著安全隱患，所以整個生命周期中都離不開安全風險評估。其次，比較分析性，這個特點主要體現在對安全管理和運營的不同的方案能夠進行有效的比較以及分析；能夠對不同背景情況下使用的科學技術以及資金投入進行比較分析；還能夠對產生的結果進行有效的比較分析。最后，前提假設性，對檔案信息進行管理的過程中所使用的風險評估會涉及到各種評估數據，這些數據能夠被分為兩種。其中一種數據的功能是對檔案信息實際情況的描述，通過這些數據就可以了解整個檔案管理信息中的情況；另一種數據是指預測數據，主要是根據系統各種假設前提條件確定的，因為在信息管理的整個過程中，都要對一些未知的情況進行事先的預測，然后做出必要的假設，得出相關的預測數據，再根據這些預測數據對系統進行風險評估。

四、檔案管理不同階段進行不同的風險評估

信息系統的開發涉及到很多的模型，而且隨著科學技術的快速發展，各種模型都在不斷的升級。從最早期的線性模型到螺旋式模型再到后來的并發式的模型，這些系統模型的開發都是為了滿足不同的系統需求。然而，風險評估卻存在于整個信息系統的生命周期中，但是由于信息系統的生命周期中有很多的階段，而且每一個階段活動的內容都有所差別，因此信息管理的安全目標以及對安全風險評估的要求也是不同的。

（一）對于分析階段的風險評估。其真正的目的是為了實現規劃中的檔案信息系統安全風險的獲得，這樣才能夠根據獲得的信息來滿足安全建設的具體需求。分析階段的風險評估的重點是抓住系統初期的安全風險評估，從而有效的滿足對安全性的需求，然后從宏觀的角度來分析和評估檔案信息管理系統中可能存在的危險因素。

（二）設計階段的安全風險評估。這個階段涉及到的安全目標比較多，所以能夠有效的確定安全目標具有重要的意義。應該采取有效的措施，通過安全風險評估，保證檔案信息管理系統中安全目標的明確。

（三）集成實現階段。這個階段的主要目的是要驗證系統安全要求的實現效果與符合性是否一致，所以，應該通過有效的風險評估對其進行驗證。需要注意的是，在進行資產評估的時候，如果在分析階段以及設計階段已經對資產進行了評估，那么在這個階段就不需要再重新做資產評估的工作，防止重復性工作的發生。所以，可以直接用前兩個階段得出的資產評估的結果，但是如果在分析階段和設計階段都沒有進行資產評估，則需要在此階段先進行這項工作。威脅評估依然著重威脅環境，而且要對真實環境中的具體威脅進行有效的分析。除此之外，還應該對檔案信息管理系統進行實際環境的脆弱性的有效分析，重點放在信息的運行環境以及管理環境中的脆弱性的分析。

（四）運行維護階段。對檔案管理系統不斷的進行有效的風險評估，從而確保系統的安全、可靠性，這樣才能夠保證檔案管理系統在整個生命周期中都處于安全的環境。

五、檔案信息安全風險評估存在的不足

我國在檔案信息安全風險評估方面已經取得了很大的成就，積累了一些寶貴的經驗。但是，由于我國檔案信息安全風險評估工作起步晚，還存在一些不足之處，主要表現在以下幾點。

（一）管理層對于信息安全風險評估缺乏一定的重視，而且缺少一些專業評估技術人員。當前評估技術人員的專業技能不高也是現階段存在的問題。所以，應該對評估人員進行定期的培訓，提高他們的專業技能，保證風險評估工作有效的進行，同時還應該采取有效的措施來提高工作人員對于風險評估的重視，是檔案管理信息化環境處于安全的運行環境中。

（二）風險評估的工作流程還不夠完善，而且一些風險技術標準也需要進一步的更新。檔案信息化管理的風險評估，不僅僅是一個管理的過程，也是一個技術性的過程，所以應該根據實際情況來科學合理地制定工作流程和技術標準。如果所有的環境和情況都套用一種工作流程和一個技術標準，就會導致不匹配現象的出現，不僅影響風險評估的效果，而且在一定程度上還影響信息系統的安全性。

（三）評估工具的發展比較滯后，隨著科學技術的快速發展，信息安全漏洞會逐漸顯露出來，所以對信息系統的威脅逐漸增加。應該采用先進的評估工具對其進行風險評估，從而滿足檔案管理信息化的需求。

六、結語

隨著信息技術的飛速發展，應該擺脫傳統的檔案信息管理方式，采用檔案管理信息化的建設。本文主要探討了檔案管理信息化的優勢，并且介紹了檔案信息安全風險評估的內容，提出了目前檔案信息安全風險評估中的不足之處，希望對我國的檔案信息化的發展提供一定的參考價值。

[1]白志英,劉勇,賀紅軍,薛?？?淺談檔案數字化工作五個到位[A].檔案與文化建設:2012 年全國檔案工作者年會論文集(中)[C],2012.

[2]王一萍.淺談檔案數字化現狀及對策[A].行與知——社會主義文化大發展大繁榮中的檔案工作[C],2012.

[3]李雪,杜琴.新形勢下加強電力企業檔案現代化管理的思考[J].江西電力職業技術學院學報,2012(03).

[4]張英奎,王飛,房彥君.大數據時代的企業檔案信息化建設[J].北京化工大學學報(社會科學版),2014(03).

[5]黃歡.信息安全風險評估系統的研究和實現[D].南京航空航天大學,2008.