淺談電子檔案數(shù)據(jù)的安全風(fēng)險(xiǎn)與防范策略

樊龍軍 李艷

（成都地鐵運(yùn)營(yíng)有限公司，四川 成都 610058）

隨著我國(guó)計(jì)算機(jī)技術(shù)的快速發(fā)展和應(yīng)用普及，各行業(yè)的檔案管理業(yè)務(wù)都在大力推行信息化，通過(guò)構(gòu)建檔案管理信息系統(tǒng)，利用網(wǎng)絡(luò)和計(jì)算機(jī)技術(shù)實(shí)現(xiàn)檔案信息的電子化存儲(chǔ)和在線管理與利用，極大提升了檔案業(yè)務(wù)工作效率，但與此同時(shí)，電子檔案數(shù)據(jù)在存儲(chǔ)和安全管理等方面也存在一些需要引起重視的問(wèn)題，針對(duì)這些問(wèn)題應(yīng)有正確的認(rèn)識(shí)并采取合理應(yīng)對(duì)措施。

一、電子檔案數(shù)據(jù)面臨的主要安全風(fēng)險(xiǎn)

電子檔案數(shù)據(jù)管理面臨的安全風(fēng)險(xiǎn)涉及人員意識(shí)、管理制度、物理環(huán)境、數(shù)據(jù)安全、網(wǎng)絡(luò)安全、應(yīng)用安全等多個(gè)方面。人員意識(shí)層面的風(fēng)險(xiǎn)，主要是企業(yè)檔案管理相關(guān)人員法律意識(shí)淡薄、疏忽大意、權(quán)責(zé)不清，對(duì)檔案信息安全重視不夠。管理制度方面的風(fēng)險(xiǎn)，主要是指企業(yè)檔案安全管理制度不健全、制度不科學(xué)、制度無(wú)法落實(shí)或落實(shí)不到位。物理環(huán)境的風(fēng)險(xiǎn)，主要是指意外事故、機(jī)房環(huán)境或載體保管環(huán)境不合格、設(shè)備故障等因素帶來(lái)的數(shù)據(jù)丟失風(fēng)險(xiǎn)。數(shù)據(jù)安全風(fēng)險(xiǎn)，主要是由于檔案電子數(shù)據(jù)易復(fù)制、易篡改、易傳播、易共享等特性決定了檔案信息的真實(shí)性存在安全和易泄密的風(fēng)險(xiǎn)。網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，主要是指發(fā)生網(wǎng)絡(luò)非法入侵或網(wǎng)絡(luò)傳輸過(guò)程泄密造成的檔案數(shù)據(jù)安全風(fēng)險(xiǎn)。應(yīng)用安全風(fēng)險(xiǎn)，主要是指由于檔案管理信息系統(tǒng)發(fā)生非授權(quán)訪問(wèn)、對(duì)行為的抵賴、誤操作或系統(tǒng)漏洞造成的檔案數(shù)據(jù)安全風(fēng)險(xiǎn)。

二、電子檔案數(shù)據(jù)安全原因分析

導(dǎo)致電子檔案數(shù)據(jù)安全風(fēng)險(xiǎn)的主要原因可歸納為以下三個(gè)方面：

一是檔案管理相關(guān)人員法治思維和檔案信息安全意識(shí)不強(qiáng)，這直接導(dǎo)致檔案信息安全容易被擱置在法律的框架之外，對(duì)檔案信息安全認(rèn)識(shí)不清、重視不夠，檔案信息安全管理機(jī)構(gòu)不健全，缺乏對(duì)檔案信息安全工作的統(tǒng)籌規(guī)劃，檔案信息安全責(zé)任主體不清。

二是電子檔案數(shù)據(jù)與傳統(tǒng)檔案實(shí)體不同，電子檔案信息主要都是數(shù)字形式的，這些數(shù)字信息易復(fù)制、易篡改、易傳播、易共享的特性決定了檔案信息的真實(shí)性存在風(fēng)險(xiǎn)和易泄密的風(fēng)險(xiǎn)。

三是由于檔案數(shù)據(jù)對(duì)信息技術(shù)的依賴性，決定了檔案數(shù)據(jù)的長(zhǎng)期保存存在風(fēng)險(xiǎn)。在長(zhǎng)期保存電子檔案數(shù)據(jù)的過(guò)程中，我們不僅要確保溫度、濕度等物理環(huán)境符合一定的要求，我們還要關(guān)心技術(shù)的進(jìn)步、設(shè)備的更新、載體的壽命、系統(tǒng)的升級(jí)、格式的轉(zhuǎn)換等，因?yàn)檫@些因素的變化都非常有可能引起檔案數(shù)據(jù)的不可讀、不可用，從而造成這些原本珍貴的信息資源變成了電子垃圾，甚至完全消失。

三、電子檔案數(shù)據(jù)安全防范策略

（一）健全檔案安全管理機(jī)構(gòu)，加強(qiáng)培訓(xùn)教育

為做好檔案信息安全管理，企業(yè)應(yīng)建立健全專門的檔案管理機(jī)構(gòu)，統(tǒng)籌規(guī)劃，明確權(quán)責(zé)，加強(qiáng)檔案安全相關(guān)的法制教育，培養(yǎng)法制意識(shí)和思維，開(kāi)展檔案信息安全教育培訓(xùn)，提高全員檔案安全責(zé)任意識(shí)。

（二）建立和完善檔案安全相關(guān)制度

為規(guī)范檔案信息安全管理，確保檔案安全工作有制度依據(jù)，企業(yè)還應(yīng)該結(jié)合自身檔案安全現(xiàn)狀，抓緊制定檔案安全相關(guān)制度，并在實(shí)際運(yùn)行過(guò)程中及時(shí)對(duì)制度進(jìn)行修訂完善，增強(qiáng)制度的可操作性，通過(guò)制度體系保障檔案信息安全各項(xiàng)工作落實(shí)到位。

（三）合理構(gòu)建存儲(chǔ)體系，加強(qiáng)環(huán)境監(jiān)測(cè)

電子檔案數(shù)據(jù)主要包括存儲(chǔ)在關(guān)系型數(shù)據(jù)庫(kù)中的檔案結(jié)構(gòu)化數(shù)據(jù)，以及直接存儲(chǔ)在磁盤上的檔案電子文件，任何一部分?jǐn)?shù)據(jù)出現(xiàn)異常，都會(huì)影響檔案數(shù)據(jù)的完整性和可用性。為保證數(shù)據(jù)安全，數(shù)據(jù)庫(kù)管理系統(tǒng)應(yīng)選擇支持?jǐn)?shù)據(jù)備份和恢復(fù)、支持?jǐn)?shù)據(jù)庫(kù)集群，并且支持高性能響應(yīng)的大型企業(yè)級(jí)DB SERVER，文件存儲(chǔ)系統(tǒng)建議采用獨(dú)立冗余磁盤陣列結(jié)合分布式文件系統(tǒng)的方式進(jìn)行，磁盤RAID模式建議采用兼具可靠性和性能效率的RAID5。同時(shí)，還應(yīng)加強(qiáng)環(huán)境監(jiān)測(cè)報(bào)警，定期開(kāi)展設(shè)備巡檢，關(guān)鍵易損設(shè)備應(yīng)配置備品備件。

（四）加強(qiáng)數(shù)據(jù)安全管理

利用制度和數(shù)字安全技術(shù)，加強(qiáng)檔案數(shù)據(jù)的前端控制，確保歸檔真實(shí)；加強(qiáng)檔案管理全程控制，確保電子檔案數(shù)據(jù)不被篡改；對(duì)長(zhǎng)期保存的電子檔案數(shù)據(jù)應(yīng)盡量選用通用、穩(wěn)定的文件格式，對(duì)特殊電子文件在歸檔或長(zhǎng)期保存時(shí)進(jìn)行格式轉(zhuǎn)換，或環(huán)境再造，備份、遷移，確保電子檔案數(shù)據(jù)的可用性；要切實(shí)提升人員安全保密意識(shí)，建立檔案管理利用安全制度，對(duì)電子檔案信息按照是否涉密、是否開(kāi)放進(jìn)行分級(jí)管理和利用，嚴(yán)防檔案數(shù)據(jù)泄密。

（五）構(gòu)建合理的網(wǎng)絡(luò)安全防護(hù)體系

用于電子檔案數(shù)據(jù)存儲(chǔ)和訪問(wèn)的計(jì)算機(jī)設(shè)備，應(yīng)置于健全合理的網(wǎng)絡(luò)安全防護(hù)體系之下，應(yīng)配置網(wǎng)關(guān)、防火墻、漏洞掃描、入侵防御、流量控制等安全設(shè)備，并對(duì)傳輸鏈路進(jìn)行加密，防止由于網(wǎng)絡(luò)非法入侵或網(wǎng)絡(luò)傳輸過(guò)程泄密造成的檔案數(shù)據(jù)安全風(fēng)險(xiǎn)。

（六）完善檔案管理信息系統(tǒng)的安全防護(hù)機(jī)制

檔案管理信息系統(tǒng)應(yīng)啟用必要的安全防護(hù)機(jī)制，以防范檔案應(yīng)用安全風(fēng)險(xiǎn)。檔案管理信息系統(tǒng)需具備用戶身份認(rèn)證，訪問(wèn)控制，安全審計(jì)等功能，防止非授權(quán)訪問(wèn)；檔案管理信息系統(tǒng)應(yīng)啟用數(shù)字簽名，防范操作行為的抵賴；檔案管理系統(tǒng)需具備數(shù)據(jù)操作可恢復(fù)功能，防止誤操作；此外，還應(yīng)該對(duì)檔案管理系統(tǒng)進(jìn)行定期巡檢，及時(shí)更新升級(jí)操作系統(tǒng)、應(yīng)用系統(tǒng)安全補(bǔ)丁，修補(bǔ)漏洞，定期進(jìn)行病毒查殺。

結(jié)語(yǔ)

總而言之，信息技術(shù)在為檔案管理和利用帶來(lái)便捷的同時(shí)，也給檔案信息安全帶來(lái)了前所未有的挑戰(zhàn)，檔案人員面臨這樣的挑戰(zhàn)，必須依靠強(qiáng)有力的政策、法規(guī)支持，建立完善的信息安全管理體系，提高信息安全保障技術(shù)和檔案人員的業(yè)務(wù)素養(yǎng)，防范各種風(fēng)險(xiǎn)，保障電子檔案的信息安全[1]。