探析檔案數(shù)字信息安全的有效管理

邱影

隨著信息技術(shù)的快速發(fā)展，檔案管理也應(yīng)當(dāng)向信息數(shù)字化發(fā)展。檔案信息安全是檔案信息化建設(shè)中的一項(xiàng)重要保障工作。電子文件風(fēng)險(xiǎn)管理就是采用逆向思維的方式指導(dǎo)電子文件的管理，即對(duì)電子文件管理所面臨的風(fēng)險(xiǎn)進(jìn)行識(shí)別、評(píng)估、分析，并在此基礎(chǔ)上有效地處置風(fēng)險(xiǎn)，以最低成本實(shí)現(xiàn)最大安全保障的科學(xué)管理方法。

檔案信息化是當(dāng)今世界檔案管理的大趨勢(shì),是檔案能較大發(fā)揮信息功能以推動(dòng)社會(huì)發(fā)展和變革的必然之事.檔案信息安全問(wèn)題是檔案信息化建設(shè)中面臨的最重要的問(wèn)題.確保檔案信息化建設(shè)中檔案信息安全是擺在全體檔案工作者面前的嶄新課題。隨著中圍特色社會(huì)主義建設(shè)日新月異的發(fā)展,我聞檔案事業(yè)得到了前所末有的迅速發(fā)展，然而,在我國(guó)檔案管理體系中,由于檔案資源數(shù)量龐大、管理層次復(fù)雜、發(fā)展不盡平衡等原因,一些地方檔案事業(yè)管理還存在諸多問(wèn)題,檔案安全問(wèn)題就足其中之一。

一、檔案信息安全應(yīng)注意的問(wèn)題

檔案信息化建設(shè)是以轉(zhuǎn)變觀念為前提的創(chuàng)新性檔案工作，當(dāng)前絕大多數(shù)單位的檔案管理人員習(xí)慣于傳統(tǒng)式的手工管理，檔案管理人員中缺乏信息技術(shù)專(zhuān)業(yè)知識(shí)，對(duì)信息化條件下檔案安全管理缺乏有效的智力支持，其安全理念仍停留在防盜、防火、防潮等傳統(tǒng)紙質(zhì)檔案的安全管理層面，信息安全觀念淡薄，孰知隨著信息技術(shù)在檔案工作中的應(yīng)用，檔案數(shù)字化和網(wǎng)絡(luò)化工作的不斷推進(jìn)，檔案安全管理面臨新的挑戰(zhàn)。

1、病毒威脅。在檔案信息化工作的信息安全問(wèn)題中，計(jì)算機(jī)病毒發(fā)生的頻率高，影響的面寬，并且造成的破壞和損失也列在所有安全威脅之首。病毒感染造成網(wǎng)絡(luò)通信阻塞，系統(tǒng)數(shù)據(jù)和文件系統(tǒng)破壞，系統(tǒng)無(wú)法提供服務(wù)甚至破壞后無(wú)法恢復(fù)，特別是系統(tǒng)中多年積累的重要檔案數(shù)據(jù)的丟失，損失是災(zāi)難性的。

2、網(wǎng)絡(luò)威脅。隨著信息技術(shù)在檔案管理工作的應(yīng)用不斷推進(jìn)，檔案管理逐步向信息化和網(wǎng)絡(luò)化發(fā)展，網(wǎng)絡(luò)的應(yīng)用規(guī)模和覆蓋范圍不斷擴(kuò)大，如何保證網(wǎng)絡(luò)安全已成為檔案信息化工作中重點(diǎn)之一。

1、網(wǎng)絡(luò)結(jié)構(gòu)的安全分析。網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)設(shè)計(jì)也直接影響到網(wǎng)絡(luò)系統(tǒng)的安全性。假如在外部和內(nèi)部網(wǎng)絡(luò)進(jìn)行通信時(shí)，內(nèi)部網(wǎng)絡(luò)的機(jī)器安全就會(huì)受到威脅，同時(shí)也影響在同一網(wǎng)絡(luò)上的許多其他系統(tǒng)。透過(guò)網(wǎng)絡(luò)傳播，還會(huì)影響到連上Internet/Intrant的其他網(wǎng)絡(luò)。因此，我們?cè)谠O(shè)計(jì)時(shí)有必要將公開(kāi)服務(wù)器（WEB、DNS、EMAIL等）和外網(wǎng)及內(nèi)部其它業(yè)務(wù)網(wǎng)絡(luò)進(jìn)行必要的隔離，避免網(wǎng)絡(luò)結(jié)構(gòu)信息外泄；同時(shí)還要對(duì)外網(wǎng)的服務(wù)請(qǐng)求加以過(guò)濾，只允許正常通信的數(shù)據(jù)包到達(dá)相應(yīng)主機(jī)，其它的請(qǐng)求服務(wù)在到達(dá)主機(jī)之前就應(yīng)該遭到拒絕。

2、系統(tǒng)的安全分析。所謂系統(tǒng)的安全是指整個(gè)網(wǎng)絡(luò)操作系統(tǒng)和網(wǎng)絡(luò)硬件平臺(tái)是否可靠且值得信任。目前恐怕沒(méi)有絕對(duì)安全的操作系統(tǒng)可以選擇，無(wú)論是Microsfot 的Windows NT或者其它任何商用UNIX操作系統(tǒng)，其開(kāi)發(fā)廠商必然有其Back-Door。因此，我們可以得出結(jié)論：沒(méi)有完全安全的操作系統(tǒng)。不同的用戶(hù)應(yīng)從不同的方面對(duì)其網(wǎng)絡(luò)作詳盡的分析，選擇安全性盡可能高的操作系統(tǒng)。因此不但要選用盡可能可靠的操作系統(tǒng)和硬件平臺(tái)，并對(duì)操作系統(tǒng)進(jìn)行安全配置。而且，必須加強(qiáng)登錄過(guò)程的認(rèn)證（特別是在到達(dá)服務(wù)器主機(jī)之前的認(rèn)證），確保用戶(hù)的合法性；其次應(yīng)該嚴(yán)格限制登錄者的操作權(quán)限，將其完成的操作限制在最小的范圍內(nèi)。

3、應(yīng)用系統(tǒng)的安全分析。應(yīng)用系統(tǒng)的安全跟具體的應(yīng)用有關(guān)，它涉及面廣。應(yīng)用系統(tǒng)的安全是動(dòng)態(tài)的、不斷變化的。應(yīng)用的安全性也涉及到信息的安全性，包括很多方面。信息的安全性涉及到機(jī)密信息泄露、未經(jīng)授權(quán)的訪問(wèn)、破壞信息完整性、假冒、破壞系統(tǒng)的可用性等。在有些網(wǎng)絡(luò)系統(tǒng)中，涉及到很多機(jī)密信息，如果一些重要信息遭到竊取或破壞，其經(jīng)濟(jì)、社會(huì)影響和政治影響很?chē)?yán)重。

4、管理的安全風(fēng)險(xiǎn)分析。管理是檔案信息化安全中最重要的部分。責(zé)權(quán)不明，安全管理制度不健全及缺乏可操作性等都可能引起管理安全的風(fēng)險(xiǎn)。當(dāng)網(wǎng)絡(luò)出現(xiàn)攻擊行為或網(wǎng)絡(luò)受到其它一些安全威脅時(shí)（如內(nèi)部人員的違規(guī)操作等），無(wú)法進(jìn)行實(shí)時(shí)的檢測(cè)、監(jiān)控、報(bào)告與預(yù)警。同時(shí)，當(dāng)事故發(fā)生后，也無(wú)法提供黑客攻擊行為的追蹤線索及破案依據(jù)，即缺乏對(duì)網(wǎng)絡(luò)的可控性與可審查性。這就要求我們必須對(duì)站點(diǎn)的訪問(wèn)活動(dòng)進(jìn)行多層次的記錄，及時(shí)發(fā)現(xiàn)非法入侵行為。

二、安全的環(huán)境為檔案信息的快速發(fā)展提供土壤

安全的電子信息技術(shù)的快速發(fā)展。為信息的技術(shù)、為計(jì)算機(jī)的網(wǎng)絡(luò)技術(shù)提供了較多的便捷,極大的方便了檔案信息的管理。現(xiàn)代的檔案管理,隨著電子文件以及檔案信息技術(shù)的提高,對(duì)檔案的管理逐步趨向數(shù)字化與網(wǎng)絡(luò)化,然而數(shù)字檔案的管理仍面臨嚴(yán)重問(wèn)題,例如,面臨計(jì)算機(jī)的蓄意破壞、詐騙以及間諜威脅、遭受黑客的侵害等問(wèn)題,如何在合理利用電子技術(shù)、又不遭受信息的威脅、確保檔案信息的安全等問(wèn)題,成為現(xiàn)代電子信息安全化關(guān)注的重點(diǎn)。數(shù)字檔案信息安全管理所面臨的問(wèn)題數(shù)字檔案的信息,指的是利用現(xiàn)代的信息技術(shù)方法或者手段,對(duì)國(guó)家以及社會(huì)組織中較有價(jià)值的、重要的檔案歸檔并整理之后,用計(jì)算機(jī)對(duì)其數(shù)據(jù)進(jìn)行系統(tǒng)存儲(chǔ)、可通過(guò)網(wǎng)絡(luò)上傳、利用,并以數(shù)字為代碼,進(jìn)行對(duì)文字或者是圖像及聲音的記錄的過(guò)程。

三、檔案信息安全管理制度的建立

建立健全檔案信息安全管理制度，“三分技術(shù)，七分管理”盡管不是十分的準(zhǔn)確，但任何一個(gè)信息系統(tǒng)的安全，在很大程度上依賴(lài)于最初設(shè)計(jì)時(shí)制定的網(wǎng)絡(luò)信息系統(tǒng)安全策略及相關(guān)管理策略。因?yàn)樗邪踩夹g(shù)和手段，都圍繞這一策略來(lái)選擇和使用，如果在安全管理策略上出了問(wèn)題，相當(dāng)于沒(méi)有安全系統(tǒng)。同時(shí)，從大角度來(lái)看，網(wǎng)絡(luò)信息系統(tǒng)安全與嚴(yán)格、完善的管理是密不可分的。在網(wǎng)絡(luò)信息系統(tǒng)安全領(lǐng)域，技術(shù)手段和相關(guān)安全工具只是輔助手段，離開(kāi)完善的管理制度與措施，是沒(méi)法發(fā)揮應(yīng)有的作用并建設(shè)良好的網(wǎng)絡(luò)信息安全空間的。

充分認(rèn)識(shí)檔案信息安全保障能力建設(shè)的重要性和緊迫性，完善各項(xiàng)規(guī)章制度，并認(rèn)真付諸實(shí)施，把安全至上的理念物化到檔案管理各個(gè)環(huán)節(jié)中去。實(shí)施電子文件和數(shù)字檔案登記備份制度，異地備份保管；完善檔案利用安全保密利度，處理好檔案開(kāi)放和公開(kāi)與信息安全的關(guān)系；建立檔案數(shù)據(jù)管理維護(hù)制度等等。

檔案信息安全是檔案信息化工作中一項(xiàng)重要而且長(zhǎng)期的系統(tǒng)工程。要全面提升檔案信息化安全水平涉及的內(nèi)容很多，需要管理部門(mén)投入大量人力物力，為此必須建立一個(gè)檔案信息安全工作的組織體系和常設(shè)機(jī)構(gòu)，建立完整的檔案信息安全防護(hù)體系。根據(jù)檔案信息化工作實(shí)際情況，結(jié)合信息系統(tǒng)建設(shè)和應(yīng)用的步伐，統(tǒng)籌規(guī)劃，分步實(shí)施，加強(qiáng)領(lǐng)導(dǎo)，明確分工，設(shè)立專(zhuān)人負(fù)責(zé)檔案信息安全的管理工作和技術(shù)工作，才能保證檔案信息安全工作長(zhǎng)期的、有效的開(kāi)展，才能取得好的成績(jī)。