基于業務規則的檔案信息化建設的風險防控

曹莉蘋

摘 ? 要：在信息化大潮下，檔案信息化標準化、規范化建設的要求也在逐漸提高，依托業務規則庫的檔案信息化平臺，是以結構化的業務規則數據來表示和維護業務行為，近年來逐漸被廣泛運用，但由于業務規則的可維護性，使檔案業務規則信息化建設的穩定性和安全性面對諸多的挑戰，因此基于業務規則的檔案信息化建設的風險防控變得更加重要。

關鍵詞：業務規則 ?檔案信息化 ?風險防控

中圖分類號：G271 ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?文獻標識碼：A ? ? ? ? ? ? ? ? ? ? ? ?文章編號：1674-098X（2019）06（b）-0004-02

隨著計算機技術、網絡技術的持續創新與進步，檔案信息化建設進程也在日趨加快。在信息化大潮下，檔案信息化標準化、規范化建設的要求也在逐漸提高。但大部分檔案信息化平臺在開發和實施過程中，由于沿用傳統歸檔管理模式，致使檔案信息化建設效率不高，信息化管理平臺維護成本高、運作效率低，無法滿足信息時代人們對于檔案信息管理智能分析的要求，嚴重制約了當代檔案管理工作效能升級[1]。而基于信息資源規劃，依托業務規則庫的檔案信息化平臺，是以結構化的業務規則數據來表示和維護業務行為，為檔案信息化建設提供了一種新的思路和途徑，近年來逐漸被推廣使用[2]。但是，隨著海量檔案信息資源呈指數增長，業務規則庫中的規則也在不斷變化[3]。在為訪問者提供便利快捷服務的同時，檔案業務規則信息化建設的穩定性和安全性也在不斷接受新的挑戰。檔案業務規則信息化在構建、管理和日常維護過程中，必須注意安全隱患和風險[4]。

1 ?基于業務規則的檔案信息化建設風險識別

風險防控的前提應該是對基于業務規則的檔案信息化建設進行風險識別[5]。基于業務規則的檔案信息化建設主要有以下風險因素。

1.1 規則庫中的風險

隨著檔案信息資源數量的不斷增加，與之進行匹配的規則庫中的一系列規則也要隨之變化，規則變化包括規則的更新、增加、刪除和修改。但規則的更新、增加、刪除和修改過程中的風險性還未被重視起來。第一，規則變化隨意性的風險。規則的隨意改變會影響檔案收集、分類整理、鑒定、著錄、保管、利用和編研等諸多環節工作的正常開展[3]。第二，規則庫權限管理的風險。在基于業務規則的檔案信息化平臺中，為保證共享數據的安全，會采用不同的權限分配策略，不同的管理人員擁有不同的管理方式，同一個管理人員由于職能差異也會擁有不同的管理方式，這就存在不同程度的安全強度，就可能會造成信息安全管理的漏洞。入侵者極有可能對相對不安全的權限管理系統進行攻擊，從而導致規則庫中的規則被更改、檔案信息化平臺中的信息資源被泄露。第三，規則庫訪問控制的風險。訪問控制是檔案信息化建設安全管理的核心，決定了用戶權限的賦予和撤銷，不同的訪問控制要維護自己的授權方式和用戶信息，如果應用系統較多、用戶數量巨大，權限的分布程度和遠程使用性能都會受到挑戰。

1.2 異地歸檔過程中的風險

由于網絡技術的發展，檔案業務規則信息化平臺除了實現已處理完畢的文件信息的歸檔外，隨著信息技術的不斷進步，可通過設置校驗機制，利用信息共享技術，對異地檔案實現收集、分類整理、鑒定、著錄、保管、利用等工作。如果未對這一系列過程實施跟蹤和審核，那就難以保證歸檔過程的安全性、檔案信息內容的原始真實性、完整性和保密性。

1.3 檔案數據和系統的安全風險

在利用檔案業務規則信息化平臺進行歸檔工作之后，保存下來的檔案信息數據的安全性就成為需長期重視的問題[3]。建立檔案信息數據副本是一種有效的保護手段，但在大數據時代背景下，檔案信息數據及副本產生的巨量的數字檔案信息資源具有更高的數據風險和信息資源安全問題。在網絡環境下，檔案業務規則信息化平臺極有可能遭受外來攻擊和計算機病毒的威脅，網絡安全風險和人為管理風險將長期存在[6]。

2 ?基于業務規則的檔案信息化建設風險應對

根據風險的影響范圍、重要程度來確定處理不同風險的先后順序，并采取相應措施對風險加以防控[5]。

2.1 管理風險應對

為了防控基于業務規則的檔案信息化建設風險，應在檔案信息化過程中，建立信息安全管理體系。實現信息安全主要是要健全平臺內部的信息安全管理制度，以防止產生由于誤操作、信息安全知識不足引起的嚴重后果。在系統、全面、科學的安全風險評估前提下，建立一種系統化、文件化、程序化、科學化的管理體系，對檔案信息化平臺的安全屬性、功能和效率進行安全保障[3]。

2.2 技術風險應對

以預防控制為主，對檔案信息化全過程進行控制，對檔案信息化平臺進行動態控制，確保信息的保密性、完整性、可用性，確保規則庫的相對穩定性。按照信息安全國家標準，提高用戶自主保護、系統審計保護、安全標記保護、結構化保護和訪問驗證保護級別安全要求，制定檔案信息和檔案信息網絡共享安全策略，并采用訪問控制、用戶請求安全過濾、資源共享平臺安全設計等多種計算機信息技術，以保證檔案數據和系統的安全[3，6]。

2.3 風險等級管理

風險識別后，對風險進行定性和定量評估，確定劃分不同的風險等級，再進一步確定檔案信息化風險防控的優先級別，對不同的風險要素提出不同的風險防控要求[5]。在風險等級臨界點設置觸發響應程序，如果在檔案信息化過程中，一旦出現超出臨界點的風險時，則及時對管理人員進行提醒，管理人員作出相應措施化解風險后，再消除提醒，可以促進管理員積極進行風險應對。

3 ?結語

信息化是一項高風險的系統工程，基于業務規則的檔案信息化建設，由于引進了業務規則庫，其風險性相應增加。為確保基于業務規則的檔案信息化建設取得成效，需要進一步強化風險防控。

參考文獻

[1] 王新才，李雯，丁時征.業務規則管理在檔案信息資源管理系統中的應用[J].檔案學通訊，2010（4）：79-84.

[2] 江善東.業務規則技術在檔案管理中的應用研究[J].中國檔案，2010（6）：34-35.

[3] 王新才.基于業務規則的檔案信息資源管理[M]. 武漢：武漢大學出版社，2013.

[4] 丁石征.業務規則技術在檔案管理系統中的應用[J].蘭臺世界，2010（10）：8-9.

[5] 陳國云.檔案信息化建設的風險管理[J].檔案管理，2008（1）：42-43.

[6] 黨躍武.基于信息組織技術的檔案資源開發[M].成都：四川大學出版社，2016.