簡述檔案管理數字化中的信息安全風險及其控制

王煒煒

摘 要：檔案管理是企業和單位管理工作的重要組成部分，隨著信息技術的普及應用，實現檔案管理的數字化，能提高管理效率和質量，但同時也帶來了信息安全風險。本文首先分析了檔案管理數字化的應用優勢，然后指出信息安全風險類型，最后闡述了相關控制措施，以供參考。

關鍵詞：檔案管理；數字化；信息安全風險；控制措施

檔案管理的數字化，就是將紙質檔案升級為電子檔案的過程，主要采用掃描、錄入等方法，將檔案信息存儲到計算機數據庫中，實現快捷檢索、同步備份的目標。新的經濟社會形勢下，傳統的檔案管理模式不滿足實際工作需求，數字化管理應運而生。提高管理水平，保證檔案信息的安全性，成為從業人員的關注要點，以下對此進行探討。

1.檔案管理數字化的應用優勢

以計算機、互聯網為代表的信息技術，目前已經走進人們的生產生活中，對于同樣一項工作任務，原本需要大量人力和時間，基于信息技術下只需要很少的人力和時間。如此一來，不僅提高了工作效率，也減輕了人們的勞動強度，工作更加輕松舒適。新的經濟社會背景下，檔案管理工作也要向著高效性、便捷化發展，于是數字化管理出現，提供了多樣化的服務手段。例如：管理人員在檔案的整理上，不再采用手抄、謄寫等形式，而是檢索、編目，實現了檔案—計算機—電訊的三位一體，其一方便使用者及時準確地找到需要的檔案資料，提高資源使用效率；其二檔案管理的硬件、軟件升級，為管理創造了良好的氛圍[1]。

2.檔案管理數字化中的信息安全風險類型

檔案管理的數字化，是充分利用互聯網技術，將檔案資料置于全球網絡中，實現IP地址之間的互相訪問。如此開展檔案管理工作，能提高查詢效率、管理質量，大大減輕工作量；同時也為管理本身帶來了安全風險，具體如下：

2.1 技術安全風險

技術安全風險的形成，原因包括兩個方面：第一，網絡安全防護能力低，例如網絡安全體系自身不完善；或者企事業單位不重視，在基礎設施上的投入不足，后期維護保養工作不到位等，導致安全體系的設計和建設步伐不一致。此外，我國使用的計算機大多是國外品牌，由于技術上受限制，可能會事先植入后門。第二，存在泄密隱患。隨著企事業單位的經營發展，會產生大量的數據信息，一旦檔案資料數據丟失，就會造成巨大損失，因此機密性受到威脅。經濟全球化背景下，反竊密斗爭愈演愈烈，保密工作面臨更加復雜的環境。以手機泄密、移動存儲泄密、互聯網泄密為例，為信息安全管理帶來新的挑戰[2]。

2.2 人為惡意攻擊

相比于自然災害和硬件系統，人為攻擊由于是精心設計的，因此威脅性更大，而且難以使用現有的法律法規進行防護。在數字化檔案管理中，人為攻擊可以分為兩種形式：一是主動攻擊，即擅自篡改信息內容，破壞檔案信息的完整性、有效性；二是被動攻擊，即不影響網絡的正常使用，對檔案信息進行截獲竊取。常用的攻擊手段，是木馬病毒、黑客入侵、垃圾郵件等。

2.3 安全管理薄弱

信息安全具有突發性、擴散性，從安全風險的來源入手，采用技術、法律、管理等手段，建成完善的安全管理系統，成為管理人員的共識。但是，我國信息安全管理工作的起步晚，在風險評估、標準制定、安全管理細則上相對缺乏，因此存在諸多漏洞。結合檔案管理的特點，威脅包括以下幾種[3]：①拒絕服務；②非法使用；③授權侵犯；④業務流分析；⑤旁路控制；⑥抵賴。

3.針對信息安全風險的控制措施

3.1 規范信息傳播行為

在檔案信息的傳播過程中，發布者、傳遞者、接收者均可能造成安全風險，因此要規范信息傳播行為。第一，規范信息發布者的行為。檔案信息的發布者，即企事業單位，經單位授意后由檔案館落實。對于企事業單位而言，應該在檔案管理上制定完善的制度規范，讓管理人員準確判斷檔案信息是否能在網上發布，要遵守的原則和注意事項，以及檔案保密和開放界限[4]。具體工作中，要協調保密和開放的關系，對于不需保密的檔案及時公布社會；對于涉及個人隱私、知識產權的檔案，則要加強保密措施。第二，規范信息傳遞者的行為。檔案信息的傳遞者，即單位信息中心的工作人員，要對人員的選拔任用嚴格把關，既精通信息技術，又具備高度責任心，構建一支高素質、復合型的人才隊伍。第三，規范信息接收者的行為。檔案信息的接收者，即使用檔案的個人、家庭、組織，要制定規范引導接收者科學使用檔案，不能對信息內容修改、增減，遵守各項管理規定。

3.2 采用安全技術措施

針對檔案信息的安全風險，技術措施就是采用保密技術，避免信息泄露、修改、破壞。傳統的加密法，就是基于密鑰Ke下，采用加密算法將明文數據M加密成C，此時C=E（M，Ke），其他人就不會理解C的含義。新型加密法包括以下幾種：一是數字簽名法，計算機網絡在使用時，利用數字簽名，確保當事人身份、數據的真實性。二是認證技術法，需要驗證認證對象是否實名、是否有效，以保證數據的真實性，避免他人假冒或篡改。三是智能卡技術，將數據的存儲、處理、安全保密等功能，集成在電路芯片中，然后嵌入存款基片上，使其成為智能卡。四是防火墻技術，設立網絡防火墻，將內部網絡、外部網絡分隔開，避免內部網絡受到外部攻擊，防止內部用戶向外部泄密。

3.3 實施授權控制

在檔案信息安全風險的控制上，除了管理人員、企事業單位以外，國家也要采取手段，例如完善政策法律，為安全管理提供保障。此外，授權控制就是為不同用戶設置訪問權限，針對網上信息進行分層管理，一般分為三個層級，即領導層、管理層、用戶層[5]。如果檔案關系到干部任免、財務預算決算，屬于絕密信息，禁止網址公開，由高層領導掌握信息。如果是會議通知、工作計劃、報告、請求等，在特定時間內需要保密，不能在網上公開，由管理人員掌握信息。如果是通信簡報、惠民舉措，則可以向社會公開，為公眾提供服務。

3.4 安全風險評估

對檔案信息安全風險進行評估，主要采用以下方法：一是信息模型分析法，采集檔案安全信息，識別風險要素并制定應對策略，比較安全管理情況和標準模型，從中明確不足之處，最終選擇最佳安全管理方案。二是經驗分析法，企事業單位從以往檔案管理的經驗入手，看安全現狀和目標之間的差距，優勢是能減少人力和資源的使用，提高管理效率。三是定性分析法，通過管理人員討論、調查問卷、同類型企事業單位安全事件統計等形式，確定檔案信息風險的權重，對不同風險按照嚴重程度進行排序，為風險控制工作的開展提供依據。

4 結語

綜上所述，檔案管理的數字化，提高了管理工作的效率和質量。分析可知，信息安全風險的類型，主要包括技術安全風險、人為惡意攻擊、安全管理薄弱三個方面。對此，應該規范信息傳播行為、采用安全技術措施、實施授權控制，并對安全風險進行評估，從而促進管理工作有序開展。

參考文獻

[1] 劉影.試析檔案信息化建設中的信息安全風險評估問題[J].黑龍江檔案，2012，（4）：71-71.

[2] 張娟，李儀.個人檔案信息共享的規制措施研究——以應對檔案管理數字化建設下的信息安全風險為視角[J].檔案與建設，2015，（3）：33-36，42.

[3] 段英華.淺談檔案管理數字化中的信息安全風險及其控制[J].黑龍江史志，2015，（7）：104-104.

[4] 李儀，張娟.個人檔案信息共享的規制措施研究——以應對檔案管理數字化建設下的信息安全風險為視角[J].檔案管理，2015，（3）：11-14.

[5] 張印，李學廣.數字檔案信息安全管理的思考[J].蘭臺世界，2011，（30）：24-25.