檔案事業發展中安全保密相關問題的思考

王震亞，楊忠清

（1.中國電子科技集團公司第二十八研究所，南京 210007；2.南京航空航天大學，南京 210016）

1 引言

全國檔案安全工作必須根據形勢任務的發展變化不斷加強和改進。如今正是信息高速發展的時代，大量的紙質文件逐漸被電子文件取代，為檔案工作者帶來了全新的挑戰，同時，檔案的安全和保密問題也浮出水面，論文對檔案發展過程中可能遇見的安全保密問題和解決對策展開論述。

2 檔案發展中面臨的問題

2.1 日常工作中檔案資料的損害

在日常的檔案管理工作中，受到主客觀因素的影響，檔案資料存在著被丟失、損壞、污染、篡改和泄密的可能，特別是經常借閱的文件資料，更容易遭到如上述所說的損害，具體情況表現為：操作失誤，錄入中出現錯誤，導致數據信息的真實性被破壞；借閱者因保管不當，致使檔案資料丟失，造成無法彌補的損失；檔案員或借閱者沒有好好保護檔案原件，檔案被撕毀，弄臟，甚至有意去涂改原有的數據；授權人擅自將檔案資料給未經授權人查看，資料內容被泄露；由于不可抗的原因，如火災、地震，使檔案資料損失嚴重。隨著檔案信息化建設的推進，電子檔案資料被損害的可能性就更大，表現為：授權用戶濫用權限，隨意給他人開放，使數據違規修改、刪除；黑客、病毒的攻擊，使信息系統癱瘓，檔案數據丟失、損壞，以及不法分子對涉密檔案資料的竊取。

2.2 檔案信息化建設中埋藏的隱患

現在大部分企業單位處于檔案信息化建設的初期，還忙于檔案管理系統、檔案數字化系統等平臺的搭建，沒有將檔案的安全保密問題放在首位考慮。例如，用于檔案信息化的電腦、服務器設備存放環境是否存在電磁泄露的可能；是否對電子檔案管理系統、檔案數字化軟件本身存在的安全漏洞進行排查，并采取隔離、防范措施；電腦中的安全策略、防火墻是否啟動，殺毒軟件是否安裝等。同時，為了加快信息化進程，在不注意的情況下還可能違反保密相關規定，混用涉密和非涉密存儲介質、計算機設備，涉密計算機未與網絡系統隔離等。

2.3 安全保密技術和裝備的短板

企業不分規模大小，檔案管理工作都屬于其中很小的一部分，因為不直接為企業賺取利潤，企業高層一般會忽視檔案事業發展中經費的投入，導致檔案無論是管理水平還是設備設施，都處于落后的狀態，安全保密技術和裝備自然就相對落后。如今信息化高速發展，新的病毒層出不窮，脆弱的防護設施如同虛設，尤其是涉密檔案資料無異于是暴露在光天化日之下，很容易被竊取或丟失，直接影響到一個企業的利益甚至前程發展。

2.4 安全保密責任意識不強

在傳統檔案管理模式的影響下，大部分檔案員的思想還停留在檔案保管者的狀態下，只知道要將紙質檔案保護好在檔案庫房中。然而由于檔案被賦予新的載體，傳輸的介質也更為多樣，檔案員此時缺乏相應的計算機網絡安全保密知識的學習，直接導致了相關安全保密責任意識的缺失，管理力度不夠，監督弱化，檔案員沒有意識到新的檔案模式下安全保密責任的重大。

2.5 檔案安全制度的缺漏

一般企業檔案安全制度主要包括庫房安全制度、人員登記制度、安全備份制度等。目前，國家檔案局還未出臺相關的制度文件為企業做參考，各企業在檔案信息化建設推進過程中很可能遺漏相關安全制度的制定，沒有了制度的約束，信息化建設中就會隱藏著很多的安全隱患。例如，檔案的數字化外包，應該制定外包人員的操作規范，人員管理規定等，如果沒有這些規定，外包人員隨意操作，這樣對檔案的安全保密相當不利。

3 安全保密防范的幾點建議

3.1 建立健全并落實規章制度

安全、規范的檔案管理少不了健全完善的規章制度的支持。應抓好制度的廢、改、立，將單位內已有的檔案相關制度進行梳理，廢止過時不用的制度，及時添加新內容，有新要求的要抓緊研究制定。尤其是一些新項目、新系統的建立和使用，要及時思考分析其可能存在的安全保密問題，調整不合適的制度條款，在實踐中改進安全措施，補全相應的制度，才能使檔案安全得以有效保障。要注意統籌規劃，確保制度之間相互銜接配套，既要避免制度空白，也要避免交叉重復，應結合檔案工作實際制定詳細全面的規章制度。

3.2 加強人員教育管理

人是檔案安全管理的第一要素，應建設檔案安全的人才隊伍。現在檔案信息化正快速發展，不僅會引進新型的設備，也會采購很多檔案信息化要用的系統和軟件，這時就要針對這些新事物對檔案員進行教育，定期為檔案員進行計算機技術、數字化信息技術、網絡技術的培訓學習，增強其維護檔案安全保密的本領，關注設備軟件使用中可能存在的安全保密問題，及時發現并解決[1]。

加強檔案員的管理，完善檔案安全主體責任制，建立一把手為首的安全保密領導小組，制定檔案安全應急預案，預估檔案管理中可能存在的安全保密問題。檔案部門領導帶領大家學習有關檔案安全的規章制度，簽訂《崗位保密責任書》，劃分職責。檔案部門內部建立有效的獎懲機制，對優秀人才給予鼓勵，對不能盡責的人員扣除績效獎金。

3.3 對檔案工作進行監督檢查

檔案部門日常監督和定期檢查使檔案的安全保密有了更好的保障。檔案部門領導可安排年度檔案的盤點、季度和月度的檔案工作檢查，以及日常的自查來保證檔案工作流程的規范，并且以集中檢查、隨機抽查和專項巡查的方式，趁早發現問題，提早預防，及時跟進整改，將問題歸零。發生事故后要敢于通報，給對檔案安全保密不以為然者敲響警鐘，使督查工作起到應有的警示、震懾作用。

3.4 采取檔案信息安全保密防范措施

加強信息數據庫的維護并備份數據。信息化后的檔案有遭病毒黑客攻擊、電磁輻射、系統崩潰、硬盤損壞等比實體檔案更多的潛在風險，需做好數據庫的維護工作，消除信息被刪除、損壞、更改的可能。雖然信息化后的檔案已有實體和電子兩份，但基于數字檔案信息安全的不確定性，應將重要的檔案再次備份，可以建立云存儲備份中心，這樣既能降低檔案損失的風險，也可以將檔案集中起來供開發利用。

在檔案數字化處理場所設立安全保密設施。因工作量大、耗時較多的檔案數字化處理往往需要企業外包給外單位，但涉及的大都是重要且涉密的檔案資料需要數字化，所以要在數字化處理場所中無死角地安裝攝像監控，配備視頻、防盜報警系統，安裝門禁，限制人員的進出，不允許將任何與工作無關的東西帶入數字化場所，防止事故的發生[2]。

采取技術手段構建安全防護體系。首先，架設防火墻，若有不安全因素可以自動過濾并提醒用戶，提高內網的安全系數。其次，利用防水墻技術，其主要針對內網安全系統，防止重要的檔案數據被竊取。最后，由于網絡中存在各種隱患，傳輸數據的不安全性較大，還需采取網絡隔離技術使內外網之間通過一個中間設備實現數據交換，以安全為基礎互聯互通，它可以有效解決操作系統、網絡應用以及安全策略等漏洞問題。另外，可以采用數字簽名、賬戶加密保護、漏洞掃描工具、非法入侵檢測系統等手段提高檔案資料的安全性和保密性。

4 結語

檔案管理正在迅速發展中，檔案逐漸信息化、數據化后再進行開發利用，檔案的保管和使用方式變得更加多元，加上檔案的信息化建設才剛剛起步，信息安全保護較為薄弱，安全保密威脅不僅是來自網絡，還潛伏在信息管理各個環節中。安全保密問題不容忽視，檔案管理部門應加強安全防護建設，保證檔案安全、有效。