王士嬌

隨著國(guó)家信息化建設(shè)和電子政務(wù)建設(shè)的迅速推進(jìn)，檔案信息化建設(shè)進(jìn)程也隨之加快。信息技術(shù)在檔案部門的廣泛應(yīng)用，一方面為檔案管理和利用提供了高效便捷的手段和方法，另一方面也給檔案信息安全帶來(lái)了新的隱患，檔案信息安全問題日益突出。

一、檔案信息安全內(nèi)容

從廣義來(lái)講，檔案信息安全保障的內(nèi)容主要包括檔案信息內(nèi)容安全、實(shí)體安全、系統(tǒng)安全、網(wǎng)絡(luò)安全、應(yīng)用安全和管理安全等。

檔案信息內(nèi)容安全是指防止檔案信息資源被故意地或偶然地非授權(quán)泄漏、更改或破壞，也防止造成檔案信息不可用的系統(tǒng)辨認(rèn)、鑒別和控制。這也是常說(shuō)的確保檔案信息內(nèi)容的完整性、保密性、可用性和可控性。檔案信息實(shí)體安全主要指檔案信息載體、檔案計(jì)算機(jī)設(shè)備設(shè)施物理線路、檔案裝具、檔案館建筑符合檔案管理的要求，防止受到任何損壞和破壞，如保護(hù)計(jì)算機(jī)主機(jī)硬件和物理線路以及其他媒體免遭地震、水災(zāi)、火災(zāi)、有害氣體、輻射、硬件故障、搭線接聽、盜用、偷竊、超負(fù)荷等的破壞；檔案庫(kù)房環(huán)境要符合溫度、濕度、氣壓等相關(guān)標(biāo)準(zhǔn)。檔案信息系統(tǒng)安全是指檔案計(jì)算機(jī)管理系統(tǒng)的主要功能模塊和數(shù)據(jù)信息不受任何破壞，如計(jì)算機(jī)主機(jī)操作系統(tǒng)的安全、數(shù)據(jù)庫(kù)系統(tǒng)的安全。檔案信息網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)保護(hù)，不受偶然的或者惡意的原因而遭到破壞、更改、泄漏，確保系統(tǒng)能連續(xù)、可靠、正常地運(yùn)行。檔案信息應(yīng)用安全是指Web站點(diǎn)安全，電子檔案信息傳輸安全，以及在檔案信息應(yīng)用過(guò)程之中防止被破壞和被損壞。檔案信息管理安全包括技術(shù)管理、人員管理以及法規(guī)標(biāo)準(zhǔn)方面的安全。

二、影響檔案信息安全的因素

（一）自然因素 檔案信息資源存在和運(yùn)用于自然界之中，自然界的雷電、火災(zāi)、水災(zāi)、風(fēng)災(zāi)、地震、強(qiáng)磁場(chǎng)、強(qiáng)電子脈沖等自然災(zāi)害時(shí)常發(fā)生，直接危害著檔案信息資源的安全。

（二）環(huán)境因素 環(huán)境條件不符合有關(guān)標(biāo)準(zhǔn)會(huì)對(duì)檔案信息造成危害，如檔案信息網(wǎng)絡(luò)控制中心機(jī)房場(chǎng)地和工作站的環(huán)境不合要求：電源質(zhì)量差，溫濕度不適應(yīng)，無(wú)抗靜電、抗磁場(chǎng)干擾和無(wú)防塵、防火、防水、防雷電、防漏電、防盜竊的設(shè)施和措施，以及光、空氣污染物及害蟲、霉菌等有害生物都會(huì)給檔案信息帶來(lái)不利的影響。

（三）技術(shù)因素 對(duì)于紙質(zhì)檔案來(lái)講，決定紙張本身耐久性的因素是造紙植物纖維的質(zhì)量和植物纖維的化學(xué)性質(zhì)及造紙過(guò)程。對(duì)于新型載體檔案來(lái)講，載體的質(zhì)量、計(jì)算機(jī)技術(shù)等決定了檔案信息的安全。如網(wǎng)絡(luò)安全漏洞、計(jì)算機(jī)網(wǎng)絡(luò)故障、硬件故障、軟件系統(tǒng)缺陷或錯(cuò)誤、電磁泄漏、信息安全產(chǎn)品過(guò)于依賴國(guó)外等都會(huì)對(duì)信息的安全產(chǎn)生影響。

（四）社會(huì)因素 首先，資金的短缺是制約檔案信息安全的一個(gè)重要因素。資金投入的不徹底難以保證確保檔案信息安全軟、硬件條件的投入使用。其次，人類社會(huì)的暴力、戰(zhàn)爭(zhēng)、恐怖事件、網(wǎng)絡(luò)犯罪、網(wǎng)絡(luò)黑客、盜竊、破壞等也都可能危及檔案信息安全。隨著互聯(lián)網(wǎng)在我國(guó)的迅速普及，各種敵對(duì)勢(shì)力會(huì)利用互聯(lián)網(wǎng)作為工具進(jìn)行反動(dòng)活動(dòng)。

（五）管理因素 管理因素包括檔案信息安全法律法規(guī)、標(biāo)準(zhǔn)制度和人員的素質(zhì)、心理、責(zé)任心。檔案信息組織管理和決策的核心是人，人是網(wǎng)絡(luò)的建設(shè)者和使用者，網(wǎng)上內(nèi)容的提供者。

三、檔案信息安全保障體系建設(shè)

檔案信息安全保障體系建設(shè)的主要任務(wù)是保障數(shù)字檔案信息的使用安全和信息載體的運(yùn)行安全，同時(shí)健全數(shù)字檔案信息安全保障體系的法制保障、資金保障、規(guī)范標(biāo)準(zhǔn)保障、完善管理保障、革新技術(shù)保障和培育人才保障。

（一）檔案信息安全法制保障

檔案信息安全法制保障是檔案信息安全保障體系建設(shè)的重要方面。要建立健全檔案信息安全法規(guī)體系。檔案信息安全保障法規(guī)對(duì)于規(guī)范檔案信息主體的活動(dòng)、協(xié)調(diào)和解決各種矛盾、保障檔案信息資源的安全等有重要作用，具有保護(hù)檔案信息客體具有知識(shí)性和財(cái)產(chǎn)性、體現(xiàn)高新技術(shù)和法規(guī)規(guī)范淵源的廣泛性的特征。我國(guó)檔案信息安全立法層次為國(guó)家法律、行政法規(guī)、地方性法規(guī)、規(guī)章和規(guī)范性文件五個(gè)層次。按照不同的標(biāo)準(zhǔn)，檔案信息安全保障法規(guī)體系框架由不同的部分構(gòu)成。在法規(guī)制定中，注意規(guī)范性和可操作性、系統(tǒng)性和兼容性、管理與發(fā)展并重、重點(diǎn)突出穩(wěn)步推進(jìn)等方面，要注意吸收和借鑒國(guó)內(nèi)外信息安全法規(guī)建設(shè)經(jīng)驗(yàn)，及時(shí)清理和修訂現(xiàn)有法規(guī)規(guī)章，適時(shí)制定檔案信息安全保障法等新法規(guī)。

（二）檔案信息安全的資金保障

在我國(guó)，各級(jí)綜合檔案館既是檔案信息的蓄水池，也是檔案信息的主要發(fā)布者。然而資金匱乏則是制約蓄水池和發(fā)布者作用發(fā)揮的主要因素。在許多地方，尤其是北方的城市，最差的房子是檔案館，辦公經(jīng)費(fèi)多年不長(zhǎng)甚至下降的也是檔案館。資金的匱乏，難以保證檔案信息安全軟件及硬件的實(shí)施，造成各級(jí)檔案館設(shè)施設(shè)備老化，人才流失。同時(shí)，對(duì)館藏紙質(zhì)檔案的數(shù)字化也要依賴于館外加工機(jī)構(gòu)來(lái)進(jìn)行，極易造成檔案信息流失。因此，在加強(qiáng)信息安全保障體系建設(shè)中，各級(jí)政府重視檔案館的資金投入是重要的一個(gè)環(huán)節(jié)，要力爭(zhēng)做到檔案館經(jīng)費(fèi)的增長(zhǎng)要隨著經(jīng)濟(jì)的增長(zhǎng)達(dá)到一定比例的增長(zhǎng)。

（三）檔案信息安全標(biāo)準(zhǔn)保障

檔案信息安全標(biāo)準(zhǔn)是檔案信息安全保障的重要組成部分，是實(shí)現(xiàn)檔案安全管理的重要依據(jù)。我國(guó)檔案部門應(yīng)吸收和借鑒國(guó)外信息安全標(biāo)準(zhǔn)以及國(guó)外檔案工作方面的標(biāo)準(zhǔn)，研究制定適合新形勢(shì)下我國(guó)檔案信息安全現(xiàn)狀的標(biāo)準(zhǔn)化體系。研究制定檔案信息安全標(biāo)準(zhǔn)體系應(yīng)遵循科學(xué)性原則、協(xié)調(diào)性原則、全面性原則、接軌性原則和前瞻性原則，力求層次清晰、結(jié)構(gòu)合理、體系明確、標(biāo)準(zhǔn)齊全。

（四）檔案信息安全技術(shù)保障

檔案信息安全技術(shù)不僅涉及到傳統(tǒng)的“防”和“治”的技術(shù)，而且已經(jīng)擴(kuò)展到涉及密碼技術(shù)、訪問控制技術(shù)、標(biāo)識(shí)和鑒別技術(shù)、審計(jì)與監(jiān)控技術(shù)、網(wǎng)絡(luò)安全技術(shù)、系統(tǒng)安全技術(shù)、應(yīng)用安全技術(shù)等多種現(xiàn)代信息新技術(shù)。傳統(tǒng)技術(shù)與現(xiàn)代新技術(shù)相互補(bǔ)充、相互結(jié)合，從不同的角度、不同層次來(lái)解決檔案信息安全問題，共同構(gòu)筑檔案信息的安全屏障，做好檔案信息安全技術(shù)的發(fā)展與更新，加快檔案信息安全技術(shù)成果的應(yīng)用、推廣和轉(zhuǎn)化，在引進(jìn)、消化和吸收相關(guān)領(lǐng)域科學(xué)技術(shù)成果的同時(shí)，堅(jiān)持自主創(chuàng)新，走國(guó)產(chǎn)化道路，開發(fā)擁有獨(dú)立自主知識(shí)產(chǎn)權(quán)的、保障檔案信息安全的核心技術(shù)和關(guān)鍵設(shè)備。endprint

以蘇州市檔案館為例，該檔案館在進(jìn)行數(shù)字檔案館建設(shè)的時(shí)候，將檔案信息安全保障考慮的十分完善，從網(wǎng)絡(luò)拓?fù)鋱D中可以看出蘇州市數(shù)字檔案館運(yùn)用防火墻及隔離工具確保內(nèi)網(wǎng)與外網(wǎng)的連接安全，另外蘇州市檔案館也運(yùn)用各種殺毒軟件以及采取各種有效的技術(shù)手段來(lái)確保整個(gè)數(shù)字檔案館的安全運(yùn)行，構(gòu)建了完善的檔案信息安全保障體系。

（五）檔案信息安全管理保障

檔案信息安全管理是以數(shù)字檔案信息及其載體為對(duì)象的安全管理，它的任務(wù)是保證數(shù)字檔案信息的使用安全和信息載體的運(yùn)行安全。數(shù)字檔案信息安全保障的管理體系是指以系統(tǒng)全面科學(xué)的安全風(fēng)險(xiǎn)評(píng)估為基礎(chǔ)的、體現(xiàn)“防患于未然”為核心的、動(dòng)態(tài)的數(shù)字檔案信息安全管理體系。其目標(biāo)是達(dá)到數(shù)字檔案信息所需的安全級(jí)別，將風(fēng)險(xiǎn)控制在較恰當(dāng)?shù)乃健?shù)字檔案信息安全管理由其相應(yīng)的原則、程序和方法，來(lái)指導(dǎo)和實(shí)現(xiàn)一系列的安全管理活動(dòng)。

在實(shí)施檔案信息安全管理保障措施時(shí)，需經(jīng)過(guò)以下步驟進(jìn)行：完善組織機(jī)構(gòu)→進(jìn)行風(fēng)險(xiǎn)評(píng)估→制定安全策略→開展安全管理培訓(xùn)→執(zhí)行管理決策→評(píng)價(jià)并改善管理體系。其中，筆者認(rèn)為最重要的是進(jìn)行風(fēng)險(xiǎn)評(píng)估，根據(jù)有關(guān)部門統(tǒng)計(jì)，“在所有的計(jì)算機(jī)安全事件中，約有52%是人為因素造成的，25%是由火災(zāi)、水災(zāi)等自然災(zāi)害引起的，技術(shù)錯(cuò)誤占10%，組織內(nèi)部人員作案占10%，僅有3%左右是由外部不法人員的攻擊造成?！辈浑y看出，屬于內(nèi)部人員方面的原因超過(guò)70%，而這些安全問題中的95%是可以通過(guò)科學(xué)的風(fēng)險(xiǎn)評(píng)估來(lái)避免的。所以風(fēng)險(xiǎn)評(píng)估的重要性不言而喻，加強(qiáng)風(fēng)險(xiǎn)評(píng)估的力度是檔案信息安全管理保障的重中之重.

風(fēng)險(xiǎn)評(píng)估是對(duì)信息及信息處理設(shè)施的威脅、影響、脆弱性及三者發(fā)生的可能性的評(píng)估。它是確認(rèn)安全風(fēng)險(xiǎn)及其大小的過(guò)程，即利用定性或定量的方法，借助于風(fēng)險(xiǎn)評(píng)估工具，確定信息資產(chǎn)的風(fēng)險(xiǎn)等級(jí)和優(yōu)先風(fēng)險(xiǎn)控制。風(fēng)險(xiǎn)評(píng)估需要先根據(jù)檔案信息系統(tǒng)的實(shí)際情況定級(jí)，填寫等級(jí)保護(hù)定級(jí)備案表，并去有關(guān)公安機(jī)關(guān)備案；然后進(jìn)行實(shí)際的風(fēng)險(xiǎn)評(píng)估，完成風(fēng)險(xiǎn)評(píng)估報(bào)告；最終根據(jù)報(bào)告內(nèi)容，采取風(fēng)險(xiǎn)控制的措施，進(jìn)一步完善檔案信息系統(tǒng)，做好檔案信息安全保障工作。

（六）檔案信息安全人才保障

目前，我國(guó)檔案信息安全人才匱乏，缺少既懂安全管理又懂安全技術(shù)的檔案工作人員。為了確保數(shù)字檔案信息的安全，檔案管理部門應(yīng)采取切實(shí)可行的措施，比如，開展職業(yè)證書教育培訓(xùn)，檔案部門吸收引進(jìn)信息安全專門人才。分級(jí)分類、按需施教，通過(guò)項(xiàng)目帶動(dòng)等多種途徑和形式，開展檔案信息安全人才的繼續(xù)教育，培養(yǎng)更多的適應(yīng)信息時(shí)代背景下檔案工作需要的應(yīng)用型和復(fù)合型相結(jié)合的人才，為構(gòu)建數(shù)字檔案信息安全保障體系提供強(qiáng)有力的智力支持。增強(qiáng)檔案信息安全意識(shí)是檔案信息安全事故預(yù)防與控制的一個(gè)重要手段。通過(guò)學(xué)校的教育、媒體宣傳、政策導(dǎo)向等形式和途徑，在深入持久的宣傳教育、工作環(huán)境、檔案信息安全法規(guī)貫徹中，培養(yǎng)和強(qiáng)化檔案信息安全意識(shí)。

檔案信息安全是由標(biāo)準(zhǔn)、資金、技術(shù)等六個(gè)方面來(lái)共同保障的，任何一方面的保障不到位都可能導(dǎo)致檔案信息泄露或丟失，因此，六個(gè)方面要緊密結(jié)合。在實(shí)際工作中，也要根據(jù)本單位的具體情況，切實(shí)保障檔案信息安全。

（作者單位：遷安市檔案局）endprint