孔旸

摘 要：隨著大數(shù)據(jù)、信息化時代的到來，各行各業(yè)都面臨著深刻的變革，對檔案工作來說，隨著檔案信息化進程的加快，電子檔案因其利用的便捷性得到了迅速的推廣和發(fā)展，但由于電子檔案所依賴網(wǎng)絡環(huán)境的開放性及不穩(wěn)定性等特點，導致電子檔案管理在安全保密方面面臨著諸多考驗?；诖耍P者深入剖析了當前電子檔案安全管理方面存在的問題，然后針對這些問題，提出了自己的一些看法與建議。

關鍵詞：電子檔案、安全管理、信息安全

隨著社會的發(fā)展、科技的進步，大數(shù)據(jù)、信息化時代已全面來臨，國家檔案局在《全國檔案事業(yè)發(fā)展“十三五”規(guī)劃綱要》中明確提出要加快推進檔案管理信息化、檔案安全高效化，可見檔案管理信息化、電子化已成為發(fā)展趨勢，但是由于網(wǎng)絡的開放性和共享性等特點，使得電子檔案數(shù)據(jù)的安全性、保密性存在一定的隱患。

鑒于檔案保密工作是一項政治性、全局性和戰(zhàn)略性的工作，尤其自2010年10月1日《中華人民共和國保守國家秘密法》（以下簡稱：《保密法》）頒布實施以來，國家對保密的范圍和密級、保密制度和相關法律責任進行了明確，檔案部門與檔案工作者需依照新修訂的《保密法》規(guī)定重新審視檔案工作中的保密工作。因此，在新形勢下，如何在保守國家秘密與電子檔案信息資源的合理利用中尋找契合點，同時認真剖析電子檔案安全管理存在的問題并探尋切實可行的預防措施，對檔案工作具有重要的現(xiàn)實意義。

一、電子檔案管理面臨的安全問題

隨著大數(shù)據(jù)、信息化的加速發(fā)展，從各業(yè)務領域直接產(chǎn)生的電子檔案數(shù)量急劇增長，同時為減少對紙質(zhì)檔案的損耗，提高檔案利用工作效率，由紙質(zhì)檔案數(shù)字化形成的電子檔案數(shù)量也在不斷增加，當前電子檔案的安全管理問題已成為擺在檔案人員面前的一個普遍性問題。

根據(jù)北京市檔案局、北京市密碼管理局《北京市電子文件歸檔與電子檔案管理辦法》規(guī)定，“電子文件，是指機關、團體、企事業(yè)單位和其他組織在處理公務過程中，通過計算機等電子設備形成、辦理、傳輸和存儲的文字、圖表、圖像、音頻、視頻等不同形式的信息記錄。電子文件歸檔后稱電子檔案。”從文件可以看出，由于電子檔案依賴于網(wǎng)絡技術環(huán)境、計算機等電子設備，而由于網(wǎng)絡結構存在不安全性、網(wǎng)絡傳輸?shù)囊讛r截性等因素，使得網(wǎng)絡環(huán)境下電子檔案安全管理存在諸多威脅，具體體現(xiàn)在四大安全領域和八大管理模塊方面（如圖所示）;另一方面，檔案利用者在查閱電子檔案的過程中，由于自身安全意識缺失或其他利用目的，電子檔案在利用過程中面臨著被下載、拍照、復印、打印的風險，進而導致檔案信息存在流失、泄露的安全隱患。

如圖所示，檔案信息在從形成到銷毀的全生命周期過程中，在數(shù)據(jù)流轉的各個環(huán)節(jié)均存在被篡改和泄露的可能性。另外，各類病毒對計算機安全也造成了潛在威脅，進而影響到儲存在計算機數(shù)據(jù)庫中的信息安全。在管理層面，電子檔案管理的制度建設、信息化技術水平、檔案人員安全意識等方面仍然存在一些問題，主要表現(xiàn)在：

1.電子檔案制度體系建設滯后。自上世紀90年代中期開始，我國在信息立法和檔案法規(guī)建設的基礎上，順應檔案信息化的發(fā)展要求，陸續(xù)制定和發(fā)布了針對檔案信息化建設的法規(guī)、規(guī)章與標準，如出臺了國家標準《CAD電子文件光盤存儲、歸檔與檔案管理要求》。1999年6月國家檔案局頒布了第一部檔案信息化規(guī)章《電子文件歸檔與電子檔案管理辦法》，之后又進行了幾次修訂。2001年6月頒布了《檔案管理軟件功能要求暫行規(guī)定》，對國內(nèi)檔案管理軟件的開發(fā)研制和安裝使用進行了規(guī)范。2005年國家檔案局頒布檔案行業(yè)標準《紙質(zhì)檔案數(shù)字化技術規(guī)范》。2013年，為做好檔案信息系統(tǒng)安全等級保護工作，國家檔案局編制了《檔案信息系統(tǒng)安全等級保護定級工作指南》。2016年，國家檔案局聯(lián)合國家發(fā)改委印發(fā)了《建設項目電子文件歸檔和電子檔案管理暫行辦法》，這些標準和文件的制定和實施，從制度層面保障了檔案信息的安全。但是，隨著檔案信息化的快速發(fā)展，在電子檔案實際管理工作中，會出現(xiàn)各種各樣的安全問題，而已有的法規(guī)、標準是指導性的，并不能覆蓋所有的問題及對策。例如：電子檔案在形成、流轉過程中如何進行跟蹤、檢查和評估等問題目前只能在實踐中不斷摸索，缺少相應明確、具體的制度條文規(guī)定和法律約束。

2.檔案信息化建設水平滯后。當前，我國各級檔案部門信息化進程不統(tǒng)一，大部分檔案系統(tǒng)為單機版，缺乏統(tǒng)一標準，沒有實現(xiàn)檔案信息資源共享和整合，低水平重復建設的情況十分嚴重，沒有真正實現(xiàn)有效利用信息技術提高檔案管理效率，而且檔案數(shù)據(jù)信息控制不規(guī)范，導致檔案數(shù)據(jù)信息安全存在嚴重隱患，由于檔案信息安全技術一般是在出現(xiàn)安全問題后才不斷改進和發(fā)展的，可見信息技術的發(fā)展存在滯后性。

3.檔案信息安全管理滯后。此問題具體體現(xiàn)在以下方面：

（1）缺乏信息安全意識

目前，很多單位對檔案工作人員開展專業(yè)的網(wǎng)絡信息安全培訓不到位，網(wǎng)絡管理員、檔案工作人員缺乏安全管理意識，致使檔案信息安全管理不到位，不規(guī)范。另外，檔案利用者也普遍缺乏檔案信息安全保密意識，由于利用者的廣泛性和不確定性，很難開展統(tǒng)一的培訓和教育，一般只能通過加強管理進行約束和防范。

（2）信息安全管理標準欠缺

由于檔案管理系統(tǒng)建設的多樣性，在檔案信息安全管理方面缺乏一套公認的、通用的、可操作性強的標準體系，尤其是針對檔案元數(shù)據(jù)、信息安全、存儲格式和數(shù)據(jù)交換等方面的電子檔案標準規(guī)范。

（3）缺乏系統(tǒng)管理思想

很多單位在開展檔案信息化建設時，沒有采取系統(tǒng)化的安全管理思想對電子檔案進行管理。系統(tǒng)化的安全管理思想包括安全管理方法、安全管理制度、安全技術體系、檔案信息系統(tǒng)安全維護體系等。

（4）檔案管理工作人員意識不強且專業(yè)度有限

檔案管理人員如果無法認識到檔案保密管理的重要性，勢必會導致檔案管理行為失范。僅就檔案保密管理所需的技能而言，在信息化技術的影響下檔案管理人員需要具備必要的檔案保密管理知識、計算機操作技能、檔案保密專業(yè)管理技能、法律法規(guī)知識等，然而現(xiàn)階段，由于檔案人員的綜合素質(zhì)參差不齊，部分人員檔案信息安全意識淡薄，或者雖然有安全保護意識，但心有余而力不足，沒有采取科學的安全防護技術，加之信息化時代的沖擊，對保密管理、檔案保密管理法律法規(guī)認知的不足，在企業(yè)或者部門節(jié)約保密管理經(jīng)費的影響下，很容易出現(xiàn)檔案保密管理存在各類安全隱患的問題。

二、電子檔案安全管理措施建議

為有效加強電子檔案安全管理，建議從技術和管理兩方面采取措施：

1.技術層面嚴防死守。電子檔案的安全管控主要應從檔案庫房基礎設施建設和檔案信息化安全管控兩個方面著手：

（1）基礎設施建設方面

隨著數(shù)字檔案室建設進程的加快，檔案信息管理系統(tǒng)往往和智能庫房建設結合起來進行，因此加強對傳統(tǒng)檔案庫房的安全管理也是電子檔案安全管理的一個重要方面。檔案庫房是檔案保管的重地，根據(jù)《檔案館建設標準》、《檔案館建筑設計規(guī)范》規(guī)范檔案庫房建設，按標準配齊安全監(jiān)控設備、門禁系統(tǒng)和自動報警系統(tǒng)等，使檔案人員隨時監(jiān)測庫房安全，確保技防措施到位。

除了硬件設施方面，建立完善科學規(guī)范的檔案管理系統(tǒng)也是同樣要抓的重要工作。首先，要保障對檔案信息化建設的資金投入，在系統(tǒng)建設時落實檔案管理要求和利用者需求，在進行系統(tǒng)規(guī)劃建設時，落實相關的制度流程，在確保數(shù)據(jù)安全的前提下，盡可能簡化審批操作流程，提高檔案工作效率。在系統(tǒng)規(guī)劃和技術應用時，充分考慮安全保密問題，在操作權限設置、工作流程配置各方面綜合考慮設計，避免后續(xù)使用中出現(xiàn)各種安全性問題。

（2）檔案信息化安全管控方面

一是應加強對檔案信息系統(tǒng)操作權限和工作流程的設置。針對不同管理層級的用戶分門別類設置不同的操作權限，并通過檔案借閱流程、檔案移交流程等流程設置實現(xiàn)對電子檔案管理流程和權限的劃分。例如，根據(jù)管理權限的不同，分別針對專職檔案人員、各部門兼職檔案人員、普通用戶設置不同的操作權限。專職檔案人員享有最高權限，可對所管理的全部檔案進行查看、錄入、統(tǒng)計、移交等操作;各部門兼職檔案人員可對本部門產(chǎn)生的檔案進行查看、錄入等操作;普通用戶通過履行借閱審批流程實現(xiàn)對檔案的利用。二是可通過采取一些檔案信息安全技術確保檔案信息安全，包括：物理信息安全技術、系統(tǒng)安全技術、網(wǎng)絡安全技術、用戶安全技術等，同時隨著信息技術的發(fā)展，應不斷對安全技術進行更新、升級，以適應日新月異的檔案信息化發(fā)展要求。例如，對涉密檔案采取必要的加密措施，對源文件進行加密處理，使檔案原文成為不可直接讀取的代碼。當利用者訪問這些經(jīng)過加密處理的文件時，必須輸入正確的密鑰，確保數(shù)字化檔案信息資源的安全。

三是為確保電子檔案數(shù)據(jù)丟失后能第一時間恢復和補救，在進行檔案信息化建設時一定要將數(shù)據(jù)備份進行統(tǒng)籌考慮，定期做好數(shù)據(jù)在線與脫機模式下的雙重檢驗，注意異質(zhì)異地備份，確保檔案信息安全。由于互聯(lián)網(wǎng)環(huán)境下電子檔案信息安全存在較大隱患，任何用戶的疏忽、黑客攻擊或病毒入侵，都會造成信息數(shù)據(jù)的丟失與失真，因此必須構建起完善的電子檔案數(shù)據(jù)備份系統(tǒng)以及相應的恢復系統(tǒng)，以確保在出現(xiàn)信息被惡意篡改或錯誤操作導致的數(shù)據(jù)丟失，考慮到電子檔案歸檔的即時性以及存儲介質(zhì)的安全可靠性，建議一方面要對系統(tǒng)數(shù)據(jù)進行即時備份，另一方面通過采取磁帶或硬盤備份等方式對數(shù)據(jù)進行固定備份，這種雙重備份方式可減少系統(tǒng)自身備份的不穩(wěn)定性，增強數(shù)據(jù)備份的可靠性。

四是確保檔案管理系統(tǒng)能夠長久應對海量數(shù)據(jù)的安全遷移、導入。在進行檔案信息化建設時，一個基礎性工作就是將一個組織內(nèi)部不同成員單位之間原有檔案管理系統(tǒng)中的檔案數(shù)據(jù)統(tǒng)一遷移至新系統(tǒng)中，在遷移過程中，技術人員需要給遷移的數(shù)據(jù)分配一個新的存儲單元路徑，系統(tǒng)自動在定義的遷移路徑下建立指定檔案的副本，為保證遷移數(shù)據(jù)的準確和完整，復制完成后，系統(tǒng)自動對遷移數(shù)據(jù)進行校驗，確保遷移數(shù)據(jù)與原始數(shù)據(jù)完全一致。

2.制度層面提供保障。建立全面的、有效的法律標準體系規(guī)范電子檔案安全管理是必要的。一是國家層面的，《中華人民共和國檔案法》是我國檔案管理的基本大法，但是關于檔案信息安全方面的條款卻很少，很難滿足實際工作的需要，建議進一步細化和完善。二是地方性法規(guī)、標準對于檔案信息安全方面的規(guī)定需要進一步完善。三是企業(yè)、事業(yè)單位等需要結合本單位實際建立健全檔案安全管理方面的規(guī)章制度，強化落實力度，要責任到人，落實到崗，并監(jiān)督執(zhí)行。

考慮到電子檔案管理的安全性問題，目前絕大多數(shù)檔案部門依舊采取紙質(zhì)檔案與電子檔案雙介質(zhì)并存方式，以滿足檔案信息安全保管和及時應用等管理要求，處理好檔案利用與保密的關系。雙介質(zhì)管理的基本要求是：提高紙質(zhì)檔案數(shù)字化效率，實現(xiàn)紙質(zhì)檔案與電子檔案的一體化管理，同時簡化兩者管理的各項流程，解決檢索慢、審批程序復雜等問題。在這個過程中，為加強電子檔案安全管理，建議按照《建設項目電子文件歸檔和電子檔案管理暫行辦法》規(guī)定，在檔案信息化建設過程中同步建立完善電子檔案管理的相關標準、制度，建立結構合理、數(shù)據(jù)完整的檔案信息資源數(shù)據(jù)庫，保障電子檔案管理的規(guī)范化、科學化。同時，結合大數(shù)據(jù)、信息化有關信息公開的發(fā)展形勢要求，區(qū)分涉密檔案和非涉密檔案保密管理的不同要求，完善相關制度，在確保涉密檔案信息安全的前提下，促進電子檔案的開放、共享，發(fā)揮電子檔案利用便捷的優(yōu)勢，更好的服務于社會生產(chǎn)生活需要。

3.重點環(huán)節(jié)加強管控。對電子檔案的安全管理應重點針對容易泄密的重點環(huán)節(jié)：檔案數(shù)據(jù)導入和利用環(huán)節(jié)。因此，規(guī)范電子檔案安全管理的重點：一是加強前端控制，在電子檔案的收集、數(shù)據(jù)導入過程中要做到齊全、完整，不丟失、不損壞。涉及到保密的，要進行加密處理，嚴防信息泄露。二是加強過程控制，對電子檔案的查看、下載設置嚴格的操作權限，通過生成鏈接或二維碼方式，對下載或打印的電子檔案添加利用者信息（包括利用者的所在單位、部門、姓名、手機號及企業(yè)LOGO標識），當發(fā)生檔案信息泄露時，能夠快速定位追溯問題源，以避免電子檔案信息泄露，在提升檔案服務水平的同時，處理好利用與保密的關系。

4.意識層面加強宣貫。檔案信息化工作的開展有賴于檔案管理部門擁有一批具備相關信息化技術應用能力的人才隊伍。具體而言，檔案管理人員在具備扎實的檔案管理理論知識和業(yè)務能力的同時，還必須具備相關的信息化技術操作技能。

總之，在電子檔案管理過程中，必然會存在一系列的問題與隱患，不僅影響電子檔案信息的真實性與完整性，而且還會造成檔案信息的外泄，威脅企業(yè)、單位，甚至是國家的信息安全。因此，建議檔案行政管理部門及企事業(yè)單位增強對電子檔案信息安全的重視，制定切實有效的規(guī)范、標準、制度，加強對電子檔案信息安全保護技術的研究和應用、推廣，檔案管理人員也要加強自我學習，增強安全意識，結合實踐工作經(jīng)驗，勇于探索創(chuàng)新，及時發(fā)現(xiàn)并處理好潛在隱患，確保電子檔案信息的絕對安全。

參考文獻：

[1]張艷輝.淺談檔案的信息化及安全性問題[J].科學技術創(chuàng)新，2016

（作者單位：北京市地鐵運營有限公司）