數字檔案信息安全的問題與對策分析

朱玲飛

(浙江浙能蘭溪發電有限責任公司)

數字檔案信息安全的問題與對策分析

朱玲飛

(浙江浙能蘭溪發電有限責任公司)

隨著計算機等現代化設備的廣泛應用和檔案信息化進程的不斷加快,檔案工作進入了一個全新的網絡化時代,數字檔案信息已經成為今后檔案管理部門的主要資源。科技的發展給企業檔案管理帶來了變革,電子文件的大量產生改變了傳統的管理模式,如何保障這些數字檔案信息的安全已迫在眉睫。本文根據筆者多年來的工作經歷,對數字檔案管理中普遍存在的信息安全問題等進行了分析歸納,并根據工作實際,從安全管理、技術手段、人才培養等方面提出了相應對策和措施。

數字檔案 信息安全 對策

檔案信息安全涉及方方面面,其中,數字檔案信息安全是檔案信息安全諸多環節中的重要一環。數字檔案通常包括電子業務數據、電子公文、檔案數字化成果等三項。電子業務數據指各專業主管部門及下屬單位通過專門業務信息管理系統形成的現行電子業務數據(庫);電子公文是指各單位在處理公務的過程中,通過計算機等電子設備形成的公務電子文件(一般為版式公文或文檔、圖表等形式,包括相關元數據和機讀目錄);檔案數字化成果指各單位傳統載體檔案經數字化轉換后的數據成果,包括全文和目錄等。筆者根據多年來的工作實踐,就數字檔案的信息安全工作談談粗淺的看法。

一、數字檔案信息安全管理概述

隨著現代科技的高速發展及計算機技術和網絡技術在檔案管理中的逐步應用,數字檔案應運而生。它不僅使檔案信息資源共享、遠程查詢利用服務成為現實,同時也給檔案管理工作提出了新的要求。由于數字檔案是通過計算機進行操作、傳輸、存儲等處理方式而形成的,與傳統紙質檔案相比,有著許多不同的特性,如非人工識讀性、系統的依賴性、信息的不穩定性、信息的可共享性等。正是由于這些特性,導致了其區別于傳統載體檔案的不少脆弱性、安全性問題,如數字檔案在輸入、輸出、存儲、傳輸等過程中可能會導致的誤操作、丟失、被偷竊、自然災害、病毒及黑客侵犯等危害。要解決這些新情況、新問題,我們必須抓住安全問題的本質和關鍵,采取一些切實可行的安全措施,在重視突發事故安全處置的同時,加強日常安全風險防范,做到防患于未然,以確保數字檔案的安全性、完整性和準確性。

二、數字檔案信息安全管理問題分析

(一)檔案安全意識普遍薄弱,管理制度不健全

一些單位和部門雖然明確了分管檔案的領導,但他們對數字檔案信息安全工作認識不夠,認為檔案工作無關緊要、無須親為,存在不同程度的敷衍應付思想,對所形成的各類文件材料數字信息化建設不夠重視,加上管理制度缺失,沒有制定嚴格的檔案安全管理相關制度和行之有效的安全檢查制度、安全保障制度等,檔案安全管理沒有提到議事日程,未能做到有章可循。有的單位即使制定了相應的檔案管理制度,也存在不少漏洞,缺乏有效的制度執行保障,沒有進行經常性的安全檢查,未能及時發現事故苗頭,事故危害不斷蔓延擴大,以致造成不可挽回的損失。也有的單位未將檔案數字化的要求落到實處,造成大量資料散存在個人手中或流向不明,由于網絡安全防護技術較低和安全意識不強,造成了對檔案信息的無意侵權或檔案丟失,直接威脅著檔案信息的安全,對檔案的安全缺乏準確的認識。

(二)計算機系統的不安全性和存儲載體安全問題

1.計算機系統的不安全性影響數字檔案信息安全。數字檔案的管理離不開計算機軟硬件系統的支持,雖然現在計算機技術越來越先進,功能越來越強大,但不穩定性和不安全性還很突出。而數字化檔案管理所涉及的通信、計算機和信息處理等處理的各個部分都存在著薄弱環節,自身安全保護能力不強,極易受到病毒的攻擊和破壞,容易造成檔案管理系統的癱瘓,信息的泄露以及非法增加、刪減、篡改等問題。來自內部和外部的非法訪問,可能導致網絡遭受非法修改和惡意攻擊,威脅網絡安全,比如局域網上往來的公文共享屬性設置不當,網絡管理員分配用戶權限不合理,用戶密碼選擇不慎都是網絡安全的隱患。黑客熟練掌握計算機知識和技能,一旦網絡中的個別口令為其所破譯,他就取得了對網絡的訪問權,就能以合法用戶的身份使用該系統,甚至可以以網絡管理員的身份翻閱、涂改網絡中使用的全部數據或修改指令來改變路徑,對網絡信息進行破壞,致使網絡部分或全部癱瘓。

2.檔案存儲載體的不安全性影響數字檔案信息安全。當前,數字檔案信息的主要載體是磁盤、磁帶等,對讀取設備有絕對的依賴性,同時,對保存環境的要求也很高。電子檔案在存儲介質、利用方式和保存形式等方面與傳統的紙質檔案也存在著本質的差異。一方面,目前適用的磁帶、磁盤、光盤等介質的壽命都比較短,與能保存千年以上的紙質載體相比其壽命相差甚遠,而且它還受到溫濕度、磁場、記錄存儲格式、硬件配置等多方面的影響。另一方面,電子檔案信息的格式與計算機系統相關聯,而計算機的操作系統、文字處理格式、數據庫系統等在不斷地升級換代,這就存在著老的檔案信息格式與新的計算機系統的銜接問題。

(三)日常安全管理和應急管理不到位,未建立有效的檔案安全防范和應急備份體系

1.日常安全管理和應急管理責任落實不到位。一些單位領導和檔案管理人員對檔案日常安全管理和應急管理認識不到位,主體責任未落實,監管責任不到位,檔案信息安全事故時有發生。尤其是在信息化環境下,檔案信息損毀、泄密風險日益突出,檔案安全處在事故易發期、多發期,檔案安全依然嚴峻。

2.檔案安全防范和應急備份體系不健全。檔案是一種不可再生資源,一旦遭到破壞,將會造成不可挽回的損失,檔案安全防范是檔案工作的重中之重。好多單位都制定了檔案管理的一般制度,如檔案的接收、分類、借閱、保密、鑒定、銷毀等制度,但是,部分單位認為檔案管理一般不會發生安全問題,未將檔案安全管理提到議事日程,未能做到有章可循,也沒有建立有效的檔案安全防范和應急備份體系,因而面對突發事件時,束手無策,不知所措。

(四)缺乏高素質檔案復合型管理人才

數字檔案信息的安全問題是檔案工作者必須面對的現實問題,構建數字檔案信息安全體系,要求提高數字檔案信息管理人員的整體素質,確保數字檔案信息的物理環境和硬件環境安全。當前,檔案管理已經不能囿于傳統管理模式和方式,大膽變革、創新發展已經刻不容緩。人才隊伍建設是事業發展的根本保障,數字檔案室建設的任務重、時間緊,培養高素質的復合型檔案管理人才是當務之急。在實踐中,檔案管理人員多為兼職,繁重的工作任務使他們沒有精力去學習檔案業務知識和網絡技術知識,提升檔案業務能力,致使數字檔案信息安全難以保障。

三、加強數字檔案信息安全管理的對策和建議

(一)提高檔案安全意識,建立健全相關管理制度

俗話說,三分技術,七分管理,管理是保障數字檔案信息安全的重要手段,僅僅依靠技術不能保證整體的安全,只有加上有效的管理來支持和補充,才能確保技術發揮其應有的作用,真正實現整體的安全,而責任不明、管理混亂、制度不健全及缺乏可操作性等都可能引起數字檔案信息安全的風險。因此,數字檔案信息安全管理要實行單位領導負責制,各單位應將數字檔案信息安全管理工作列為單位安全保密工作的重要內容,明確檔案信息安全管理工作的主管領導。指定系統安全管理人員負責本單位檔案信息化系統各項安全措施的落實和日常管理工作,依照有關安全保密和檔案工作的要求和標準,對數字檔案信息安全管理工作情況進行定期檢查,確保檔案信息安全。建立健全本單位的數字檔案管理制度,具體包括電子文件歸檔與管理辦法、檔案數字化技術標準、檔案安全保密制度、檔案數據網上查詢利用制度、檔案數據管理維護制度、電子檔案鑒定銷毀制度等,明確各部門應履行的職責和應承擔的責任,同時加強監管,定期考核。

(二)加強對入網用戶的管理和存儲安全管理

1.加強檔案信息系統安全管理。對存儲與管理檔案信息的應用系統,應采用數據庫加密、身份鑒別、訪問控制、日志審計跟蹤、備份恢復等安全技術措施,對系統各功能模塊的訪問應當采用權限管理機制,不能越權操作。存儲與管理檔案信息的網絡系統,應采取網絡間安全防護措施,不得直接連接到政務外網的公眾服務專網、國際互聯網等信息網絡上進行。進入局域網需要通過IP地址申請,在檔案管理系統中嚴格按規定分配不同用戶的使用權限,保障每個用戶只能訪問到其授權范圍內的信息,嚴禁用戶非法越級使用檔案信息,用戶進入檔案信息管理系統之前要進行身份鑒別,確認授權用戶的名稱和口令密碼。信息化系統驗收后,各單位應立即督促檢查承建單位清除為調試系統向他們提供的各種檔案數據,以防數據泄露。網絡構架與服務器的調整,數據庫軟件、應用系統等的更新、升級后,應對單位整個信息化系統運行狀況進行安全檢測,及時消除安全隱患,確保信息安全和系統正常運行;同時由專人負責檔案信息數據庫的管理工作,建立數據庫日常維護管理與安全檢查備份制度,嚴禁非數據庫管理員繞過應用系統直接進入數據庫操作。未采取必要的安全保密技術防范措施的檔案信息基礎數據庫不得聯入局域網、政務網及互聯網等網絡。

2.加強存儲介質安全管理。根據不同的存儲介質,隨時調整存儲地點的溫濕度,采取嚴格的安保措施,確保磁帶、光盤、磁盤等載體的安全保存,并定期對磁盤里的數據進行可讀性檢測。對快到生命期限的載體,采取復制措施,將數據導入到易長久保存的介質上(如移動硬盤等)或檔案專用服務器上,防止數據丟失或因載體更新換代而不可讀,確保檔案數據的安全。

(三)完善應急管理機制,建立風險評估和安全防范體系

1.加強應急管理體制建設。根據實際情況制定和完善應急管理工作責任制度,明確各類事件的防范和處置程序,做好各級各類相關預案的銜接工作。認真研究和把握應急管理工作的內在規律,總結和推廣應急管理工作中的新經驗,堅持“安全第一,預防為主”的檔案安全工作方針,以高度的政治責任感和使命感,不斷提高處置突發事件的能力。

2.開展檔案信息安全風險評估。檔案信息安全風險評估是安全管理的根本依據,應通過定期對信息系統進行風險評估來識別風險大小。通過綜合考慮信息系統所面臨的風險、自身弱點、威脅造成的潛在影響和發生的可能性等因素,合理部署和利用信息安全的信息體系、監控體系,制定可行的應急響應方案,規范信息安全應急響應工作,能有效預防、及時控制和最大限度地消除各類突發事件的危害和影響。

3.構建有效的檔案安全防護體系。檔案安全體系中的任何一個環節出現漏洞,都可能導致整個安全體系的崩潰,帶來災難性的后果。為此,檔案信息的安全工作必須從整體出發,著力于體系建設,通過對所有相關因素的分析梳理,建立起系統、高效的檔案安全防護體系。其一,在防護對象上,不僅要著力保護檔案實體的安全,而且要保證檔案信息的安全和檔案文件保存環境的安全。既要維護傳統載體檔案的安全,也要維護數字檔案信息的安全;既要保證檔案本體的安全,又要維護檔案相關材料及其元數據的安全。其二,在防護環節上,要對檔案文件的生命全程實現不間斷防護。通過各種措施來嚴密監控檔案文件自形成伊始的存儲、處理、傳輸與利用過程,實現自文件至檔案的一體化防護。其三,在防護策略上,要“預防為主,防治結合”。一手抓防范,一手抓治理,在積極實施主動性防御的基礎上,對由于歷史原因或不可抗因素而造成的受損檔案、瀕危檔案開展搶救性的保護與修復,以避免這些檔案的安全狀況進一步惡化。我們應牢固樹立未雨綢繆、預防為主的思想,將損失降低到最低程度。

4.加強容災備份管理。當前,全球自然災害頻發,汶川大地震、印度洋海嘯等重大自然災害給災區檔案數據帶來了巨大破壞,使得異地數據備份顯得越來越重要。現在比較常見的備份方式就是刻錄數據光盤,或者用移動硬盤,近年來也有人喜歡使用網絡硬盤。異地備份的對應城市應選擇與原文檔所在城市地理特征不同、城市間距離較遠的城市進行,這樣,才能確保檔案材料的安全。當然,這需要有關專家依據城市的綜合因素進行必要的評估,做好電子文檔數據備份工作,確保災難發生后能正常恢復。

(四)提高檔案管理人員綜合素質

數字檔案信息安全管理工作是一項專業性較強的工作,保障檔案信息的安全,人是第一要素。通過這幾年的實踐,我的體會是：在技術條件和管理制度到位的基礎上,人的素質是確保數字檔案信息安全的決定因素,作為專(兼)職檔案管理人員,必須要有強烈的責任心和使命感,還要與時俱進,一定要熟悉計算機技術和網絡技術等相關知識,努力學習檔案業務知識、管理理論和方法,不斷優化自身知識結構,提高自身的綜合素質,爭做既熟悉計算機知識又熟悉檔案業務的復合型人才,以適應日益發展的檔案事業的需要。

數字檔案信息安全工作涉及檔案信息化建設的各個環節,包括技術、管理、人才等各個方面,是一個復雜的系統工程。信息網絡結構所特有的開放性與共享性,在為檔案管理提供數字檔案信息服務創造了極為有利條件的同時,也不可避免地使數字檔案信息方面存在著極大的安全隱患。數字檔案信息安全問題不僅是技術問題,更是管理問題,需要多管齊下才能全方位地應對各種風險。另外,一些傳統的安全保護手段比較被動、滯后,無法應對不斷變化的新的數字檔案信息安全威脅和挑戰。只有建立事先的、主動的安全保護機制、容災備份制度,并針對新的風險不斷進行調整優化,才能最大限度地對數字檔案信息安全進行保護。