新形勢下水利工程檔案信息化存在的風險與安全管理分析

摘 要：水利工程檔案信息安全與高效利用關系密切。本文分析了檔案信息安全風險的主要表現和特點，認為需要在策略、技術和物質等方面給予加強，提升檔案信息化安全防護能力，提高檔案管理質量和水平。

關鍵詞：水利工程；檔案信息化；安全管理

檔案是水利工程建設的全方位記錄，管好用好珍貴的檔案資源，能夠總結經驗、優化技術，有利于后期工程的修繕和改造。水利檔案涵蓋了水文、地質、機電、施工等多個領域，內容繁雜，在工程建設檔案中具有代表性。本文以水利工程檔案為研究對象，深入分析其在信息化建設中風險點，提煉總結安全管理經驗，推動檔案管理工作提質增效。

1 水利工程檔案信息化安全風險的主要表現

1.1 信息失真

信息失真指在傳輸信息過程中因外界因素而出現的原有信息不可識別或發生改變造成的內容偏差，是信息受到破壞的表現。具體表現為：一是電子檔案的易更改性。電子檔案與存儲媒介具有可分離性，在信息流轉過程中極易發生刪除、更改等情形，且可不留痕跡，檔案原貌恢復和責任追究較為困難。二是電子檔案的多重利用性。電子檔案可重復利用在不同節點都可發生信息更改，如果錯誤信息被采用就無法發揮檔案作用。若未及時備份，原始檔案信息就會被修改信息所覆蓋，檔案原貌無法恢復。三是存儲介質的依賴性。電子檔案存儲依賴于信息化軟硬件設備，不同的數據加工設備、信息管理系統、操作系統安全防護能力不一，安全性能差的檔案管理設備易出現信息無法辨別、信息多重管理等問題，影響了檔案管理質量。云平臺技術為電子檔案提供了新的存儲媒介，但因水利工程檔案管理節點多，難以實現統一的云服務商，檔案資源被存儲在不同的服務云上，使檔案信息整合過程中出現前后不一致等問題。

1.2 信息泄露

隨著存儲設備更新換代和數據化管理系統的廣泛應用，信息存儲能力大幅提升，但是也面臨著網絡層面安全防護不到位、病毒或黑客入侵，造成信息泄密或者非法竄改等問題。云服務平臺管理員可以從服務端的平臺中直接查看和刪除用戶上傳的文件，用戶的隱私容易發生泄漏；中心化云服務器集中在一處或幾處，一旦發生停電等故障，往往會導致大量相關業務癱瘓[1]。水利檔案數據泄密后果更為嚴重，水利工程大多涉及核心技術，且包含水文、地質、環保等國家機密，數據泄露直接關系國家安全和公共利益，是事關國家安全與經濟社會發展的重大問題。

1.3 信息缺失

信息化建設過程中信息缺失主要原因有兩方面：一是檔案收集的不足。水利檔案形成周期長、參與部門多，有的工程歷時10余年，檔案管理需要貫穿工程建設的全過程，時間跨度大，管理人員更迭頻繁，難以保障檔案收集的連貫性和一致性。水利工程各環節既有聯系也有獨立性，特別是環境評估、人口搬遷、地質測量等屬于階段性工作，不同單位收集的標準和質量參差不齊，造成后期檔案整合缺乏標準化和科學性。二是數字化質量不達標。檔案數字化加工過程中缺項、漏項問題嚴重，執行《水利工程建筑項目檔案管理規定》不嚴格，5大類160項檔案數字化加工缺乏標準規范，有些重要的內容未納入數字化范疇，破壞檔案的系統性和整體性。

2 水利工程檔案信息化安全風險的特點

當前，水利檔案安全管理系統數量多、威脅攻擊多、漏洞多、精力及成本投入不足的問題，需要分析安全風險特點，以便精準施策。

2.1 隱匿性強

檔案信息的風險漏洞多數難以被發現，黑客或病毒會選擇防護能力低、意識薄弱的管理系統，有的風險隱患依靠殺毒軟件難以發現。水利檔案管理系統多數屬于半開放類型，人員利用率高，若信息流轉的某個環節被植入木馬病毒就難以被發現，對整個系統產生難以估量的損失。

2.2 影響面廣

隨著互聯網+技術的應用，水利檔案利用更加便捷，但是往往其風險波及面更廣，擴散速度更快，溢出效應更強。檔案管理機構缺乏風險意識、合規意識和技術支持，有的信息化管理系統未設置基本的安全防護網。水利系統出現的信息泄露問題對行業的聲譽和社會形象造成很大的負面影響，也引起社會各界的高度關注，規范信息化安全建設已經成為業界的廣泛共識。

2.3 動態性強

信息技術的不斷進步，使得計算機病毒更新速度超過了技術更新的腳步，病毒庫和技術防護的滯后性，嚴重威脅了信息運行的網絡環境，造成不可估量的經濟損失。2017年流行的NotPetya勒索式病毒，以迅雷不及掩耳之勢襲擊了80多家網絡公司，攻擊范圍波及俄羅斯和烏克蘭境內，涉及能源、交通、銀行等關乎國計民生的機構，感染病毒的電腦用戶，必須支付300美元才能解鎖，最后總計損失在100億美元。

2.4 持續性長

網絡安全管理的本質是持續性的風險管控。目前，水利管理系統缺乏高水平的合規自查、攻防滲透、持續監測、主動響應和應急響應能力，很難獨立應對復雜的網絡攻擊。有的水利部門在進行等級保護以及安全防御體系建設的過程中，會針對性地采購相關安全類設備，但這些安全設備并沒有發揮最大的功效，未能有效地運轉起來，致使安全建設陷入“重建設、輕運營”的局面。

3 水利工程檔案信息化安全風險防范路徑

根據安全風險的表現和特點，需要從規劃、技術和支持體系建設方面加以改進提升。

3.1 策略層面：構建信息安全建設制度體系

3.1.1建立完善信息化安全制度。要根據《中華人民共和國檔案法》《電子公文歸檔管理暫行辦法》《水利工程建設項目檔案管理規定》等有關文件，結合水利檔案整體性強、內容廣泛、形成部門和利用群體廣泛的特點，針對信息化安全規范缺失、管理制度不健全、安全建設較為落后的弊端，制定檔案數據化建設制度，如《水利檔案信息安全規范》《水利檔案數據化安全防范標準》等，以規范化建設引領檔案數據安全保管。要加強數據傳輸過程的安全性建設，對網絡環境、身份認證、傳輸介質做出明確要求。要加強信息的產權保護，善于利用國家法律法規，保護好國家財富不受非法侵害。

3.1.2完善信息化標準體系。要加強信息化設備管理，將所有的數字化設備和軟件進行安全保密檢測，有安全隱患的一律不得使用[2]。強化檔案服務外包管理中的技術防范措施，加強檢查指導，嚴守檔案安全底線，杜絕檔案安全隱患[3]。扎實做好涉密檔案數字化管理，對水利檔案進行分級管理，明確使用權限和拷貝復制標準、流程，嚴防發生泄密事件。加強對網絡設備的安全管理，不得擅自安裝、拆卸、改變網絡設備的用途，嚴格按照三網隔離進行檔案傳輸與利用。

3.2 技術層面：構建數據安全保護治理網絡

3.2.1入侵檢測技術。入侵檢測技術（IDS）是新型的網絡安全保護技術，通過對計算機網絡中關鍵節點的信息分析研判，發現安全風險點和網絡遭受攻擊的跡象，并自動作出響應。該項技術屬于事前防范，在系統遭受破壞或數據被篡改以前進行防護，拓展了管理員的安全防護能力。該技術檢測的對象是信息數據庫和應用網絡，主要分析數據操作系統和應用程序日志、系統外接端口和審計記錄、網絡包數據分析。目前，入侵技術主要停留在定期檢測和誤用檢測上，技術界已逐步引入免疫學原理，如采取自動的防護檢測等，提升入侵檢測的效果。水利檔案管理采用該技術將提升自動預警能力，對未知病毒入侵起到良好抵御效果。

3.2.2區塊鏈防篡改技術。防篡改技術是一種保護電子檔案安全的技術，其目的是防止非法修改或破壞檔案管理系統的數據和程序。區塊鏈技術在電子檔案系統防護中的應用，為防篡改技術提供了更加可靠和高效的支持。區塊鏈技術的分布式賬本特性確保系統的數據存儲和處理具有高度一致性和安全性；智能合約可以實現自動化執行檔案信息流轉，減少人為干預和操作失誤的風險；去中心化的特性使數據和操作具有不可篡改性，有效防止了外部攻擊和內部風險的威脅。在水利檔案安全管理中，區塊鏈技術主要有以下優勢：一是安全可信。防篡改技術可以有效防止非法修改或破壞交易系統的數據和程序，上鏈數據操作和修改全程都有記錄且無法刪除，確保系統的安全性和可信度。二是透明公開。區塊鏈技術的公開透明性使得系統的數據和操作可以被所有節點監督和驗證，有效防止不當行為的發生。三是易于監管。區塊鏈技術使得數據使用和操作具有可追溯性，豐富了數據監管的手段。

3.2.3安全審計技術。該技術主要針對數據庫進行安全檢查，可以監控和審計用戶對數據庫中的數據庫表、視圖、序列、包、存儲過程、函數、庫、索引、同義詞、快照、觸發器等的訪問、創建、修改和刪除等，分析的內容可以精確到SQL操作語句級別。它還可以根據設置的規則，智能判斷出違規操作數據庫的行為，并對違規行為進行記錄、報警[4]。安全審計技術能夠對水利檔案數據庫進行跟蹤記錄、定位，實現數據庫的在線監控，及時發現違規操作并進行警示提醒，尤其是在安全防護條件較為薄弱的情況下，為檔案數據信息提供了追溯和審計有了抓手。

3.2.4生物識別技術。生物識別技術主要通過指紋、人像、聲音等生物特征進行身份認證的一種技術，逐步取代了傳統密碼管理方式。生物識別技術具有隨身性、唯一性、穩定性、可采集性、可接受性等特點[5]，正在檔案安全管理領域迅速普及。隨著數字圖像處理、模式識別、人工智能等技術的應用規模不斷擴大，生物識別技術也逐步發展升級。針對水利檔案周期長、管理隊伍多、分類復雜和分級利用的特點，生物識別技術的優勢主要有：一是提升檔案分級管理。生物特征本身具有唯一性和不可偽造性，錯誤率低，實現檔案分級管理的準確性，避免了管理賬號多人共用的弊端，提高了安全防護的精準度。二是提升檔案管理效率。生物識別技術不需要復雜的密碼，只需要采集相應的生物數據就能實現身份驗證，提高了檔案管理效率。三是提升檔案服務能力。水利檔案體系繁雜、檔案利用率高，生物識別技術能隨時隨地進行身份認證，簡化繁瑣的利用程序，使檔案更好服務水利建設。

3.3 物質層面：構建安全防控的常態化管理體系

3.3.1優化資金扶持政策。圍繞推動安全體系建設，要優化財政支出結構，加大財政資金的直接投入。將安全建設扶持專項資金列入水利部門財政預算，并通過規范財政資金對信息化建設的投入方式，確保財政資金的精準有效。要多方籌措資金，水利部門要積極參與國家檔案信息化建設重點項目，爭取上級資金扶持力度。積極爭試點、爭項目，鼓勵社會資金投入，特別是安全體系建設、軟件開發、新技術應用等方面，加強與第三方合作開發，突破資金短缺困境。

3.3.2優化人力資源保障。水利檔案管理的優與劣根本在于有沒有高素質的人才隊伍。要持續提升人員安全保管意識，扎實開展好安全教育與培訓，讓安全管理理念貫穿檔案工作始終。要扎實做好安全技能培訓，水利部門可定期邀請檔案專家、高校學者、企業人員講授安全建設前沿問題和技術規范，夯實檔案管理的技術基礎。要優化人才結構，有計劃地引入計算機人才，彌補安全建設的人才缺口。

3.3.3優化安全設施建設。安全保障體系離不開必要的基礎設施建設。一是加強信息存儲設備配置。要結合水利工程實際，逐步從傳統的光盤、磁盤、縮微膠卷向安全性高、保管條件較好的網絡存儲設備轉變。目前，以網絡協議或光纖技術相連的網絡存儲構架受到業內人士青睞，如在數字檔案館存儲構架設計中普遍采用的網絡附加存儲（NAS）和存儲區域網絡（SAN），以及虛擬磁帶庫、云存儲等存儲虛擬化技術。存儲虛擬化技術大大提高了存儲設備的整體安全利用率，同時降低了管理成本，較好解決了海量檔案數據的存儲和共享問題。二是加強信息備份工作。水利部門要明確責任單位，建立覆蓋全流程、全類別的檔案數據備份工作，通過異地備份、異質異地、跨行業備份等方式，提升保護層級。要加強實時備份，對傳統的存儲載體定期檢查，確保水利檔案信息的絕對安全。

結語

做好水利檔案信息安全建設是應對信息化大潮、推動水利工程建設的必然要求。要以對歷史負責、對事業負責的態度保護好檔案信息資源，對水利檔案管理面臨的信息安全威脅要有清醒認識，準確識別安全風險和隱患，推動新安全防護技術應用的廣度和力度，完善支撐體系建設，以安全建設提升水利檔案治理能力，更好地服務于國家水利事業發展大局。

參考文獻

[1]李瑩，于亞新，張宏宇，李振國.基于TBchain區塊鏈的高可信云存儲模型[J].計算機科學，2020（07）：15-16.

[2]米彪.檔案信息數字化安全問題探討[J].中國管理信息化，2013（11）：13-15.

[3]吳登才.鹽城鹽都區檔案局加強檔案數字化和檔案信息化服務外包管理[J].蘭臺世界，2012（08）：06-07.

[4]王波波.基于數據庫安全審計現狀的研究[J].數碼世界，2015（08）：01-02.

[5]胡致銓.基于掌紋識別技術的智能手槍設計研究[J].科技展望，2016（08）：18-20.

作者簡介：李巧玲（1989— ），大學學歷，海南省水利電力集團有限公司館員，研究方向：水利方向工程檔案管理。