電子文件和電子檔案管理中的信息安全問題

夏冰

1引言

2019年12月以來，武漢等地發生了新型冠狀病毒感染肺炎疫情，并蔓延到其他省市。由于疫情來勢迅猛，為減少疫情影響和擴散，落實國務院聯控機制疫情防控工作通知精神的要求，減少員工聚集和集體活動，盡快恢復正常工作秩序，各地紛紛出臺措施鼓勵通過網絡等遠程方式辦公，減少病毒傳播風險。各單位紛紛通過辦公平臺、網站、微信公眾號、工作群、以及騰訊會議等媒介開展工作。網絡辦公具有高效靈活性，且基于全社會對疫情防控重要性的共識得到大規模推行，然而網絡辦公方便了工作的同時，電子文件和電子檔案的安全不容忽視，在管理中還有一些問題需要解決。

2主要問題

2.1業務系統設計實施不符合信息安全要求，留下安全隱患

業務系統設計沒有充分調研和分析，設計人員缺少檔案信息化意識，對檔案管理涉及的標準規范不了解，不知道如何才能實現電子文件和電子檔案管理的專業要求。同時因為開發運維任務繁重，首先要保證以最少的時間實現最多的功能。為此，短期時間內系統功能越少經濟效益越高，開發周期越快，最后實現的功能只是最簡單地實現審批流程。

其實是在設計之后沒有進行充分的需求調研，確認業務功能的細節以及能夠達到的效果，最后信息系統的驗收沒有嚴格按照設計要求對照把控。

2.2非授權訪問

非授權訪問是指未經合規授權使用軟件和網絡資源。目前是一些單位采購的計算機已經使用多年，操作系統早已經不再支持更新，如早期的Windows XP、Vista或Windows7系統，早就停止了安全更新，而因為資金等原因，一些單位或個人缺少更新動力，仍然繼續使用過時軟件，或者私自使用未授權軟件，都有可能被放置木馬程序，留下安全隱患。

2.3源文件易被更改難以確認合法性

很多時候，線上流程的電子文件卻需要線下辦理，無法全過程線上電子化。這種情況下，如何保證文件不被更改不出偏差，就需要全面考慮。

辦公自動化系統應用一般由業務、檔案和信息技術部門多頭負責，文件、檔案分段管理，在步調不一致時，易出現電子文件處置較隨意、信息流失、損毀及泄密等安全風險。電子文件較難完整、準確、系統和高質量歸檔，不能長期有效保存，導致電子文件和電子檔案管理工作存在隱患。究其原因是沒有引入電子簽名或電子認證體系追蹤識別及確認唯一性。

2.4業務數據等電子文件未歸檔

業務數據在業務系統中存在，包括門衛收發、辦公、財務、人力資源、采編、網站、電子郵件、資產、項目及檔案管理系統等，還有一些存儲介質是老式的磁帶、磁盤、錄像帶及硬盤等。由于更新換代或部門人員更替，原有的設備系統被處置，但其中的文件、數據等電子文檔沒有被提取出來移交檔案部門，這就是收集移交不規范。

3建議對策

3.1吸收檔案專業人員參加信息系統設計規劃

信息系統設計規劃是基礎，《電子文件歸檔與電子檔案管理規范》總則提出，電子文件歸檔與電子檔案管理應納入單位信息化建設規劃，并對基本功能提出要求；《機關檔案管理規定》也強調檔案信息化應納入機關電子政務和信息化總體規劃，軟件系統應嵌入電子文件分類方案、歸檔范圍與保管期限表和整理要求，開展鑒定、整理，實施預歸檔，規劃設計還應參照《數字檔案室建設指南》《電子文件管理系統通用功能要求》等。

可見規劃時征求檔案專業人員意見，配合確定相關事項非常必要，否則將會給檔案管理帶來很多麻煩。要順利實現系統方案總體設計和處理過程的詳細設計不是IT人員能獨自解決的。

3.2根據崗位職責做好授權

在具備安全控制條件后，信息化應用系統要根據職責及時做好各個崗位的授權。系統應具備用戶信息管理的功能，根據管理、保密和審計原則分開設置安全控制要求，支持用戶分組、分類和授權，從而為數字檔案資源的安全存儲、管理提供保障。根據《電子檔案管理系統基本功能規定》，系統還應具備日志及分類管理功能，記錄用戶訪問、存取和使用情況，能對關鍵業務過程、操作行為和訪問等審計、跟蹤、記錄，這樣授權訪問就能夠形成閉環。

3.3引入電子簽名和電子認證機制，避免隨意更改

根據《電子文件歸檔與電子檔案管理規范》，禁止修改電子檔案背景、結構和管理過程元數據，對題名、責任者、編號、日期和人物等元數據的修改應合規，修改操作應記錄于日志中。電子簽名技術可以用技術手段保障數據安全及不被篡改，而電子認證則是引進第三方機制確認電子簽名人的身份。

引入電子簽名和電子認證機制，能夠對需要歸檔的每一份文件都進行簽名，這樣使用時通過認證，就能發現此類文件是誰產生，經過了什么流轉過程，從而能避免隨意更改而又無法發現的情況。

3.4加強制度規范

在電子文件和電子檔案管理中，要建立健全人防、物防和技防三位一體的信息安全防范體系，彌補不足，充分利用電子檔案的長處，提高辦事效率，促進工作開展。

要做好信息安全，最有效的是要有制度規范，必須靠制度約束。首先要明確檔案工作責任制，完善管理制度，查遺補缺，規范檔案信息化建設和信息安全保障、設施、設備配置和人員管理；其次將電子文件歸檔和信息安全工作納入制度的同時，也要做為日常工作布置、考核，并不定期監督和檢查。

4結束語

目前雖然已經初步建立電子文件歸檔和電子檔案管理體系，但是大量電子文件和電子檔案仍然沒有得到妥善保管，存在漏存、錯存等安全隱患。本文分析了電子文件和電子檔案管理中存在的信息安全問題并提出解決措施。