許敏

一、電子時(shí)代的檔案信息安全的含義

一般來說，信息是指客觀存在的一切事物通過物質(zhì)載體發(fā)出的信號(hào)、消息、情報(bào)、數(shù)據(jù)、圖形、指令中所包含的一切有價(jià)值的內(nèi)容。信息不是事物本身，而是表征事物消息和信號(hào)等的內(nèi)容。檔案信息是檔案這個(gè)特定的物質(zhì)所呈現(xiàn)出一切有價(jià)值的內(nèi)容。電子時(shí)代網(wǎng)絡(luò)信息安全是指信息不受威脅或危險(xiǎn)，它的定義是“為數(shù)據(jù)系統(tǒng)建立和采取的技術(shù)和管理的安全保護(hù)，保護(hù)計(jì)算機(jī)硬件、軟件和數(shù)據(jù)不因偶然和惡意的原因而遭到破壞、更改和顯露”。電子時(shí)代檔案信息安全與網(wǎng)絡(luò)信息安全的內(nèi)容基本一致。

二、電子時(shí)代的檔案信息安全管理現(xiàn)狀

1. 宏觀上我國檔案信息安全管理情況

1.1 法律法規(guī)問題。自上世紀(jì)90年代中期開始，我國在信息立法和檔案法規(guī)建設(shè)的基礎(chǔ)上，順應(yīng)檔案信息化的要求，陸續(xù)制定和發(fā)布了針對(duì)檔案信息化建設(shè)的法規(guī)、規(guī)章與標(biāo)準(zhǔn)。如國家標(biāo)準(zhǔn)《CAD電子文件光盤存儲(chǔ)、歸檔與檔案管理要求》，1999年6月國家檔案局頒布了第一部檔案信息化規(guī)章《電子文件歸檔與電子檔案管理辦法》，之后又進(jìn)行了幾次修訂。2001年6月頒布了《檔案管理軟件功能要求暫行規(guī)定》，對(duì)國內(nèi)檔案管理軟件的開發(fā)研制和安裝使用進(jìn)行了規(guī)范。2005年國家檔案局頒發(fā)了檔案行業(yè)標(biāo)準(zhǔn)《紙質(zhì)檔案數(shù)字化技術(shù)規(guī)范》，這些標(biāo)準(zhǔn)的制定和實(shí)施，一定程度上保障了檔案信息的安全。

1.2 檔案信息安全管理問題。網(wǎng)絡(luò)給我們的工作和生活帶來很大便利的同時(shí)也具有極大的安全隱患，檔案工作也是如此。如果檔案部門忽視了網(wǎng)絡(luò)安全，許多有價(jià)值的檔案信息就有可能被人有目的的竊取。電子時(shí)代檔案信息數(shù)據(jù)保存方式是檔案信息安全的一個(gè)重要方面。當(dāng)有重大災(zāi)難發(fā)生時(shí)，檔案信息是否可以承受災(zāi)難后果。利用計(jì)算機(jī)開展對(duì)檔案工作已經(jīng)成為一種常態(tài)，防止利用計(jì)算機(jī)病毒竊取檔案信息也是安全管理的重要問題?，F(xiàn)在大部分單位檔案工作的收集、整理、利用、統(tǒng)計(jì)都依賴于檔案管理系統(tǒng)進(jìn)行，系統(tǒng)安全防范能力決定了檔案信息的安全。

1.3 國家信息基礎(chǔ)設(shè)施建設(shè)問題。國家信息基礎(chǔ)設(shè)施主要是保障電力、電信、金融、國家機(jī)關(guān)等國家重要領(lǐng)域基礎(chǔ)設(shè)施正常運(yùn)作的信息網(wǎng)絡(luò)。國家信息基礎(chǔ)設(shè)施被視為國家的重要戰(zhàn)略資源，以立法形式保護(hù)信息基礎(chǔ)設(shè)施和安全，已成為當(dāng)今世界網(wǎng)絡(luò)空間安全制度建設(shè)的核心內(nèi)容和基本實(shí)踐。中國高度重視信息化發(fā)展戰(zhàn)略規(guī)劃，近年來頒布了《國家信息化領(lǐng)導(dǎo)小組關(guān)于信息安全保障工作的意見》（2003年27號(hào)文件）《2006-2020年國家信息化發(fā)展戰(zhàn)略》和《國防白皮書》等政策和規(guī)劃。在《2006-2020年國家信息化發(fā)展戰(zhàn)略》中指出幾個(gè)值得重視的問題之一就是信息安全，在全球范圍內(nèi)計(jì)算機(jī)病毒、垃圾郵件、網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)竊密、系統(tǒng)漏洞、虛假有害信息和網(wǎng)絡(luò)違法犯罪等日以突出，如果應(yīng)對(duì)不當(dāng)就會(huì)給中國經(jīng)濟(jì)發(fā)展和國家安全帶來很大的影響。

2.微觀上我國檔案信息安全管理存在的主要問題

2.1 缺乏信息安全意識(shí)與明確的信息安全管理標(biāo)準(zhǔn)。長(zhǎng)期以來大部分的檔案工作人員還沒有把工作重心從繁瑣的檔案紙質(zhì)整理中解放出來，導(dǎo)致了檔案人員對(duì)檔案信息安全認(rèn)識(shí)不足。在電子文件收錄過程中出現(xiàn)信息不完整、不可讀或丟失的現(xiàn)象，以及紙質(zhì)檔案數(shù)字化過程中檔案信息安全出現(xiàn)問題，這就表示檔案信息從源頭上就缺少安全管理。檔案人員對(duì)信息安全認(rèn)識(shí)不足，會(huì)導(dǎo)致檔案工作人員對(duì)檔案信息面臨的風(fēng)險(xiǎn)沒有合理的預(yù)判，更沒有良好的安全預(yù)案，面對(duì)突發(fā)緊急情況應(yīng)對(duì)能力較差，就會(huì)導(dǎo)致檔案信息資源的損失。另外，檔案信息的安全管理沒有一套公認(rèn)的，通用的，可操作性強(qiáng)的標(biāo)準(zhǔn)體系為支撐，尤其是針對(duì)元數(shù)據(jù)、信息安全、存儲(chǔ)格式和數(shù)據(jù)交換等方面的標(biāo)準(zhǔn)作為電子檔案標(biāo)準(zhǔn)體系。

2.2 重視安全技術(shù)、輕視安全管理。隨著信息技術(shù)的發(fā)展，信息安全也得到了廣泛重視。檔案信息安全技術(shù)一般有：檔案信息加密技術(shù)，它是保障檔案信息安全的最基本的技術(shù)措施。檔案信息確認(rèn)技術(shù)，它是通過嚴(yán)格限定信息的共享范圍來達(dá)到防止檔案信息被非法偽造、篡改。網(wǎng)絡(luò)控制技術(shù)，包括防火墻技術(shù)、審計(jì)技術(shù)、訪問控制技術(shù)、檔案信息安全協(xié)議。檔案工作部門往往把檔案信息安全的重點(diǎn)放在安全技術(shù)方面，而對(duì)檔案信息安全管理體制沒有更好更深入的重視。

2.3 安全管理缺乏系統(tǒng)管理的思想。檔案信息安全管理缺少系統(tǒng)化的管理模式，給信息數(shù)據(jù)架起一道道安全堡壘，才能避免信息盜用。系統(tǒng)化的安全管理模式可以包括安全管理方法、安全管理制度、安全技術(shù)體系和平臺(tái)維護(hù)安全體系。安全管理方法包括系統(tǒng)加密、軟件加密、數(shù)據(jù)加密等；安全管理制度包括人員安全管理、檢索安全管理、體系安全管理、開發(fā)安全管理等管理制度；安全技術(shù)體系包括檔案數(shù)據(jù)的存儲(chǔ)環(huán)境、使用環(huán)境、分析環(huán)境等使檔案信息數(shù)據(jù)一直處于安全的運(yùn)行環(huán)境中。不但要有安全技術(shù)，還要有系統(tǒng)的安全管理，大部分的檔案管理人員缺乏對(duì)檔案信息系統(tǒng)安全管理的思想。

三、確保電子時(shí)代檔案信息安全的措施

1.增強(qiáng)檔案信息安全意識(shí)

檔案管理人員對(duì)檔案信息要有高度的安全責(zé)任感和風(fēng)險(xiǎn)防范意識(shí)。一是提高認(rèn)識(shí)，把檔案信息安全上升到戰(zhàn)略高度來認(rèn)識(shí)，從思想上為檔案安全構(gòu)筑起堅(jiān)固的防線。二是高度重視，切實(shí)加強(qiáng)對(duì)檔案工作的領(lǐng)導(dǎo)，成立檔案工作領(lǐng)導(dǎo)小組，實(shí)行一把手負(fù)責(zé)制，做到一級(jí)抓一級(jí)，層層抓落實(shí)。三是規(guī)范工作程序，要根據(jù)職責(zé)的分工，各負(fù)其責(zé)，保證檔案實(shí)體和檔案信息的安全有序。四是加強(qiáng)管理，以實(shí)現(xiàn)檔案的安全保管和有效利用。

2.制定完備的檔案信息安全法規(guī)及體系

建立全面的、有效的、結(jié)構(gòu)嚴(yán)謹(jǐn)?shù)姆审w系來規(guī)范檔案信息網(wǎng)絡(luò)環(huán)境是必要的。一是國家層面的，《中華人民共和國檔案法》是我國關(guān)于檔案管理的最具權(quán)威的文件，為檔案的管理提出了具體的要求和標(biāo)準(zhǔn)。但關(guān)于檔案信息安全方面的條款很少，很難滿足實(shí)際的需要，應(yīng)進(jìn)行完善和補(bǔ)充。二是地方和單位的有關(guān)檔案信息安全的法規(guī)和制度需要完善。首先，制定出一整套檔案安全管理制度。其次，強(qiáng)化檔案安全制度落實(shí)力度，要責(zé)任到人，落實(shí)到崗。最后，加強(qiáng)檔案信息安全保密制度建設(shè)、保管制度、崗位責(zé)任制等，嚴(yán)格執(zhí)行，確保檔案信息安全。

3.采取有效的檔案信息安全保障措施

3.1加強(qiáng)檔案安全基礎(chǔ)設(shè)施建設(shè)。檔案庫房是檔案保存的重地，是實(shí)現(xiàn)檔案安全保管的最基本的條件。根據(jù)《檔案館建設(shè)標(biāo)準(zhǔn)》和《檔案館建筑設(shè)計(jì)規(guī)范》規(guī)范建設(shè)檔案庫房；配全配齊安全防護(hù)設(shè)備，檔案庫房、閱檔室、整理室的監(jiān)控系統(tǒng)、檔案管理人員進(jìn)出檔案庫房的門禁系統(tǒng)和入侵報(bào)警系統(tǒng)、檔案庫房的溫濕度控制等。有了各種安全保護(hù)設(shè)備，根據(jù)實(shí)際情況合理布局，做到對(duì)檔案保管的實(shí)時(shí)監(jiān)測(cè)，對(duì)外部安全條件進(jìn)行全方位監(jiān)控，確保檔案信息安全。

3.2 完善檔案信息安全技術(shù)建設(shè)。檔案信息安全技術(shù)建設(shè)可以包括以下幾方面。物理信息安全技術(shù)：防水、防火、防震及防電磁輻射等技術(shù)。系統(tǒng)安全技術(shù)：保證操作系統(tǒng)安全無漏洞和定期進(jìn)行檢查審計(jì)。數(shù)據(jù)安全技術(shù)：數(shù)據(jù)加密、數(shù)據(jù)備份、數(shù)據(jù)防災(zāi)、應(yīng)急處理等。網(wǎng)絡(luò)安全技術(shù)：防火墻、病毒掃描、病毒隔離等。用戶安全技術(shù)：用戶訪問權(quán)限控制、身份認(rèn)證技術(shù)等。信息技術(shù)是不斷發(fā)展的，為了保障檔案信息安全，必須不斷對(duì)安全技術(shù)進(jìn)行更新、改進(jìn)，對(duì)檔案管理系統(tǒng)的各個(gè)環(huán)節(jié)予以技術(shù)上的保障。

3.3 加強(qiáng)檔案安全管理全方位過程控制。主要包括以下幾個(gè)方面：一是加強(qiáng)前端控制。在檔案材料的收集、整理過程中要做到齊全、完整，整理要規(guī)范，不丟失、不損壞。涉及到保密的，要進(jìn)行加密處理，嚴(yán)格做到不泄密。二是嚴(yán)格過程控制。嚴(yán)格檔案進(jìn)出庫房登記、檔案的接收審查。涉及檔案管理系統(tǒng)借閱、郵件、QQ軟件等電子檔案的下載、傳輸，要建立應(yīng)用日志等。三是異地備份、異質(zhì)備份。為規(guī)避重大災(zāi)害給館藏重要檔案帶來損壞和滅失風(fēng)險(xiǎn)，對(duì)重要的檔案異質(zhì)備份后進(jìn)行異地保存，預(yù)先做好防范工作。四是搶救與恢復(fù)。對(duì)于損壞的檔案，在進(jìn)行搶救的過程時(shí)，首先做好必要的防護(hù)措施，填寫修復(fù)記錄，避免二次損壞。

（作者單位：江蘇工程職業(yè)技術(shù)學(xué)院 ）