檔案信息管理安全問題研究

（新鄉(xiāng)縣勞動(dòng)就業(yè)局，河南 新鄉(xiāng) 453731）

檔案信息管理安全是指引入計(jì)算機(jī)系統(tǒng)中的檔案數(shù)據(jù)以及信息網(wǎng)絡(luò)的硬軟件得到保護(hù)，不被意外或人為隨意地篡改、泄露、破壞，而且保障系統(tǒng)可以正常地運(yùn)行，提供不中斷的信息服務(wù)。進(jìn)入21 世紀(jì)，隨著計(jì)算機(jī)網(wǎng)絡(luò)的迅速發(fā)展，人們的工作和學(xué)習(xí)越來越依賴于計(jì)算機(jī)網(wǎng)絡(luò)，人們對信息財(cái)產(chǎn)的使用更多的是通過計(jì)算機(jī)網(wǎng)絡(luò)來實(shí)現(xiàn)的，因此檔案信息管理安全問題也逐漸被人們所重視關(guān)注。

一、檔案信息管理現(xiàn)狀及存在問題

（一）檔案管理人員缺乏安全意識

檔案的信息化建設(shè)在我國仍然處于初級階段，一些中小檔案管理部門的信息化建設(shè)也都還在起步，各方面的配套管理制度還不是很完善，尤其是檔案管理人員的檔案信息管理安全意識不夠，對檔案管理部門的信息管理安全沒有形成明確完整的認(rèn)識。首先，檔案管理部門管理人員缺乏全面的信息化建設(shè)的知識，意識不到檔案管理部門的信息管理安全問題不僅僅是計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)方面的問題，更是一項(xiàng)綜合性的系統(tǒng)工作。另外，檔案管理部門管理者對于信息管理安全的管理一般采用后期控制的方式，等信息管理安全出現(xiàn)問題了才去想辦法解決，沒有合理的前饋控制的方法。部分管理者一直覺得自己的公司不會受到信息管理安全的威脅，對檔案信息管理安全不能進(jìn)行深刻地認(rèn)識，他們不能從檔案管理部門發(fā)展戰(zhàn)略的角度認(rèn)識到信息管理安全問題將最終影響檔案管理部門管理水平的提升、促進(jìn)檔案管理部門運(yùn)行效率的提高，從而導(dǎo)致信息管理安全問題得不到足夠的重視，最終使得檔案管理部門發(fā)展滯后，影響檔案管理部門的長期發(fā)展。

其次，檔案管理部門的員工也存在不同程度的認(rèn)識不足問題。絕大多數(shù)的員工在檔案管理部門中充當(dāng)?shù)氖且幻蚬ふ叩慕巧?，他們對于信息管理安全對檔案管理部門的重要性沒有清楚的認(rèn)識，并且檔案管理部門員工是信息系統(tǒng)及信息的使用者和提供者，他們經(jīng)常能輕而易舉地接觸到一些數(shù)據(jù)，如若檔案管理部門內(nèi)部的信息技術(shù)人員技術(shù)不夠嫻熟，甚至在操作過程中發(fā)生失誤改變了機(jī)房的安全環(huán)境甚至還有可能破壞到線路從而終止供電，就會導(dǎo)致系統(tǒng)嚴(yán)重受損造成信息無可挽回地丟失或者泄露。此外也不能排除內(nèi)部員工出于對公司不滿的目的進(jìn)行惡意報(bào)復(fù)。利用檔案管理部門系統(tǒng)的漏洞，一些破解口令，或是進(jìn)行IP 欺騙修改腳本程序的手段竊取內(nèi)部資料破壞內(nèi)部系統(tǒng)安全。如果內(nèi)部人員有意或無意地這么泄漏信息，將會給檔案管理部門的信息管理安全帶來不可挽回的損失。因而檔案管理部門員工對信息管理安全的認(rèn)識程度對檔案管理部門有著重要的影響。

（二）檔案管理部門缺乏相應(yīng)的管理制度

信息化建設(shè)在國內(nèi)仍處于起步階段，信息管理更是作為一門新興的學(xué)科闖入人們的視野中，在檔案的信息化建設(shè)中屬于比較新的領(lǐng)域。2015 年5 月，網(wǎng)易旗下網(wǎng)易云音樂、易信、有道云筆記等在內(nèi)的數(shù)款產(chǎn)品以及全線游戲出現(xiàn)了無法連接服務(wù)器的情況。網(wǎng)易官方發(fā)布公告稱“因骨干網(wǎng)絡(luò)出現(xiàn)異常，導(dǎo)致網(wǎng)易旗下部分游戲及網(wǎng)站論壇暫時(shí)無法登陸?！睆倪@一事件中可以看出檔案管理部門在信息管理安全方面的規(guī)章制度還是很不完善的，一旦出現(xiàn)問題就會給檔案管理部門帶來必不可少的麻煩。

政府方面關(guān)于信息管理安全方面的法律法規(guī)還很需要完善，一些現(xiàn)有的規(guī)則還很不成熟，缺乏標(biāo)準(zhǔn)的規(guī)范，無法為檔案管理部門提供權(quán)威的信息管理安全管理法規(guī)，無法使檔案管理部門的信息管理安全工作得到落實(shí)。同時(shí)檔案管理部門方面,關(guān)于信息管理安全方面的配套管理制度還不夠完善，沒有指定相關(guān)的信息管理安全管理規(guī)章制度，特別是缺乏健全的檔案信息管理安全管理體制。檔案管理部門管理者以及軟件開發(fā)者通常不能準(zhǔn)確把握網(wǎng)絡(luò)運(yùn)行過程中會出的各種隱患，對網(wǎng)絡(luò)安全問題考慮不恰當(dāng)，只是單單重視獲取網(wǎng)絡(luò)資源的高效率。技術(shù)部門對于信息管理安全建設(shè)沒有形成一套完整的保護(hù)體系，僅僅是在實(shí)施過程中制定了一些零碎的操作流程和規(guī)則。因而管理制度真正落實(shí)到實(shí)處的很少，往往都出現(xiàn)了制度不規(guī)范、安全責(zé)任無法落實(shí)、人員信息管理安全意識不強(qiáng)、安全知識不到位等問題。檔案管理部門內(nèi)部沒有形成一套完整的信息管理安全體系。數(shù)據(jù)備份技術(shù)仍然不成熟，備份數(shù)據(jù)的完整性、可靠性、及時(shí)性都不能完全滿足系統(tǒng)恢復(fù)時(shí)的要求。由于我國信息系統(tǒng)網(wǎng)絡(luò)化建設(shè)還處在發(fā)展階段，還正在制定和完善有關(guān)信息系統(tǒng)安全的法律法規(guī)，還沒有形成我國信息管理安全的法規(guī)體系，網(wǎng)絡(luò)立法情況不容樂觀,立法體系不完整。這些問題都嚴(yán)重影響到了檔案管理部門的信息管理安全。

（三）檔案信息管理安全技術(shù)不完善

隨著信息化建設(shè)的推進(jìn)，檔案管理部門的發(fā)展越來越依賴于信息技術(shù)和信息系統(tǒng)，檔案管理部門的商業(yè)秘密乃至個(gè)人信息都存儲在計(jì)算機(jī)中，檔案管理部門的信息管理安全技術(shù)面臨著很大的挑戰(zhàn)。2014 年12 月12306 官網(wǎng)受到撞庫攻擊，不法分子通過收集互聯(lián)網(wǎng)某游戲網(wǎng)站以及其他多個(gè)網(wǎng)站泄露的用戶名加密碼信息，嘗試登陸其他網(wǎng)站進(jìn)行“撞庫”，非法獲取用戶信息，并謀求非法信息，造成12306 十多萬用戶數(shù)據(jù)遭泄露。

2015 年2 月海康威視被植入危險(xiǎn)代碼，因設(shè)備弱口令問題被攻擊，導(dǎo)致其被遠(yuǎn)程監(jiān)控。使其股價(jià)遭遇大鐵，并一度跌停，單日市值蒸發(fā)90 億元。2015 年5 月，漏洞被曝出，以亞馬遜為首的云服務(wù)供應(yīng)商紛紛中招，諸多廠商為了修復(fù)漏洞重啟服務(wù)器，造成云用戶業(yè)務(wù)會中斷，損失嚴(yán)重。僅15 年下半年，就發(fā)現(xiàn)了18 個(gè)存在于云計(jì)算系統(tǒng)中的通用性虛擬化安全漏洞，這些漏洞一旦被利用，輕則造成云計(jì)算系統(tǒng)崩潰，重則直接控制云系統(tǒng)，嚴(yán)重影響云計(jì)算系統(tǒng)穩(wěn)定運(yùn)行。這些信息管理安全現(xiàn)狀的存在充分說明了檔案信息管理安全存在的網(wǎng)絡(luò)技術(shù)方面的問題。

通常網(wǎng)絡(luò)安全威脅的形式有：網(wǎng)絡(luò)通信協(xié)議不健全，TCP/IP 協(xié)議的設(shè)計(jì)本身就存在一定的缺陷，因?yàn)樗鼈兠嫦虻膬H僅是封閉的專用的網(wǎng)絡(luò)環(huán)境，沒有必要的安全特性來保障其安全性，這些不足之處就給信息管理安全帶來了不可避免的威脅；操作系統(tǒng)的漏洞，幾乎所有的操作系統(tǒng)的代碼規(guī)模都是很強(qiáng)大的，這就決定了基本上所有的操作系統(tǒng)一定存在現(xiàn)實(shí)的缺陷和漏洞。應(yīng)用系統(tǒng)設(shè)計(jì)的漏洞；網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)的缺陷；有組織、有特定目的的惡意攻擊。

計(jì)算機(jī)病毒說到底就是個(gè)程序，是一段可執(zhí)行的代碼。計(jì)算機(jī)病毒如同生物病毒一樣，有著自己獨(dú)有的強(qiáng)大復(fù)制能力，它可以迅速地蔓延把自身附著在各類型的文件上，當(dāng)我們利用U 盤或其他的一些存儲工具把有病毒的文件從一個(gè)終端存儲到另一個(gè)終端的時(shí)候，它就伴隨著文件肆意蔓延開來，導(dǎo)致無法根除使得終端設(shè)備癱瘓。近來計(jì)算機(jī)網(wǎng)絡(luò)得以不斷地發(fā)展，計(jì)算機(jī)病毒以其更加先進(jìn)的技術(shù)迅速蔓延至計(jì)算機(jī)網(wǎng)絡(luò)的各個(gè)角落。一般計(jì)算機(jī)病毒具備潛伏性、傳染性、隱蔽性、破壞性等一些特性，這些特性使得計(jì)算機(jī)病毒具有很強(qiáng)的寄生能力和破壞能力，從而使計(jì)算機(jī)處在危險(xiǎn)的狀態(tài)。

“黑客”的攻擊對檔案信息管理安全來說也是一個(gè)無法忽視的重要環(huán)節(jié)。攻擊者可以利用自己高超的網(wǎng)絡(luò)技術(shù)，通過破解信息系統(tǒng)設(shè)置的各種安全屏障非法侵入到他人的計(jì)算機(jī)系統(tǒng)，對他人的信息系統(tǒng)造成嚴(yán)重的破壞，致使計(jì)算機(jī)系統(tǒng)不能正常運(yùn)轉(zhuǎn)。更有甚者，通過直接破壞或篡改計(jì)算機(jī)系統(tǒng)正在處理的信息數(shù)據(jù)來阻礙計(jì)算機(jī)的正常運(yùn)行，從而實(shí)現(xiàn)非法取得和占有他人財(cái)產(chǎn)，秘密竊取計(jì)算機(jī)信息系統(tǒng)內(nèi)部代表秘密的數(shù)據(jù)的行為。

另外，從物理方面來講，檔案管理部門的計(jì)算機(jī)設(shè)備還會一定程度地受到損壞，例如供電的異常、不舒適的設(shè)備環(huán)境、沒有訪問權(quán)限等問題就可能會影響組織的商業(yè)活動(dòng)，釀成檔案管理部門資產(chǎn)的損壞，機(jī)密信息泄露等不可挽回的錯(cuò)誤。計(jì)算機(jī)系統(tǒng)或設(shè)備被盜所造成的損失可能遠(yuǎn)遠(yuǎn)超過計(jì)算機(jī)設(shè)備本身的價(jià)值。眾所周知電子設(shè)備在工作的時(shí)候都會產(chǎn)生大大小小的輻射，計(jì)算機(jī)當(dāng)然也不例外，這些電磁輻射也會在一定程度上造成信息的泄露。電源是整個(gè)計(jì)算機(jī)軟硬件正常運(yùn)行的基礎(chǔ)，對于整個(gè)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)而言電源系統(tǒng)的穩(wěn)定性成了其穩(wěn)定運(yùn)行的先決條件。過壓或是欠壓都會對計(jì)算機(jī)系統(tǒng)元器件造成壓力，使其加速老化，同時(shí)電壓的不正常波動(dòng)可使磁盤驅(qū)動(dòng)器因工作不穩(wěn)定而造成讀、寫錯(cuò)誤；電壓瞬間變動(dòng)會造成元器件的突然損壞。除此之外，機(jī)房環(huán)境的不安全，也很容易導(dǎo)致私密信息的泄露以及重要部件以及系統(tǒng)的損壞。

二、提升檔案信息管理安全的策略

（一）提高檔案管理人員的重視程度

對于檔案管理部門來說，提高檔案管理部門員工的主觀能動(dòng)性對檔案管理部門的信息管理安全來說至關(guān)重要。首先檔案管理部門的高層管理者要緊跟信息化建設(shè)的步伐，加快轉(zhuǎn)變思想觀念，深刻認(rèn)識到檔案管理部門的信息管理安全對檔案管理部門制定長遠(yuǎn)發(fā)展戰(zhàn)略的重要性。檔案管理部門高層要定期組織安全學(xué)習(xí)活動(dòng)，加強(qiáng)對員工的信息管理安全教育，對檔案管理部門內(nèi)部信息管理安全管理人員進(jìn)行定期的培訓(xùn)、考核和檢查并且對信息管理安全管理人員進(jìn)行全面的監(jiān)督，有效的反饋，幫助員工自覺樹立信息管理安全意識，深刻認(rèn)識到信息管理安全檔案管理部門以及自身工作的重要程度。責(zé)令各部門的直接領(lǐng)導(dǎo)者密切關(guān)注，不斷強(qiáng)化信息管理安全技術(shù)和保密工作，對違反安全規(guī)則的人員進(jìn)行懲罰。同時(shí)高層人員要考慮加大檔案信息化建設(shè)中信息管理安全管理各項(xiàng)資金、技術(shù)、人力投入，并建立起科學(xué)、合理、有效的檔案信息管理安全防護(hù)策略，保障檔案信息系統(tǒng)安全穩(wěn)定。

其次，檔案管理部門員工在檔案管理部門中占有重要的地位，是數(shù)據(jù)和信息的直接接觸者，提高檔案管理部門員工的信息管理安全意識也是不可忽略的環(huán)節(jié)。檔案管理部門的員工應(yīng)積極地參與有關(guān)信息管理安全的培訓(xùn)和各種學(xué)習(xí)活動(dòng)，自覺遵守檔案管理部門的規(guī)章制度，自覺維護(hù)檔案管理部門的信息管理安全，提高自身對信息保護(hù)的意識，積極參與到維護(hù)檔案信息管理安全的隊(duì)伍中去，為檔案管理部門的信息管理安全貢獻(xiàn)自己的力量。例如，檔案管理部門員工要積極學(xué)習(xí)有關(guān)信息管理安全技術(shù)方面的知識，能夠自主分辨和識別出威脅信息和數(shù)據(jù)的電子信息，并能針對其采取及時(shí)有效的防范措施。要定期地對自己的計(jì)算機(jī)軟硬件進(jìn)行安全排查，發(fā)現(xiàn)漏洞及時(shí)與專業(yè)人員進(jìn)行溝通，防范可能出現(xiàn)的損失。檔案管理部門員工還要以職業(yè)道德為約束，這樣檔案管理部門的機(jī)密信息才不會被非法竊取和泄露。

（二）建立完善的信息管理安全管理體制

檔案信息管理安全問題中最為核心的就是管理問題了。然而檔案管理部門的信息管理安全管理制度的建立不是一蹴而就的，是需要多方面配合的一項(xiàng)十分繁瑣的工作。因此，檔案管理部門應(yīng)結(jié)合自身信息化建設(shè)的真實(shí)情況，建立健全針對檔案管理部門本身的信息管理安全管理體系。因此，檔案管理部門要制定出一套科學(xué)合理的信息管理安全管理體制。檔案管理部門的管理者要開設(shè)專門的崗位，選拔專業(yè)人才，建立安全管理監(jiān)督小組，要求相關(guān)技術(shù)人員、管理人員參與監(jiān)督網(wǎng)絡(luò)安全項(xiàng)目的建設(shè)和管理，嚴(yán)格貫徹執(zhí)行國家頒布實(shí)施的各項(xiàng)法律法規(guī)，把網(wǎng)絡(luò)安全措施真正落實(shí)到實(shí)處；敦促有關(guān)部門執(zhí)行有于網(wǎng)絡(luò)安全的工作及時(shí)準(zhǔn)確地對網(wǎng)民進(jìn)行指導(dǎo)和教育；密切監(jiān)督網(wǎng)絡(luò)安全管理制度的執(zhí)行情況，對違反制度的違法、違規(guī)行為進(jìn)行嚴(yán)厲的查處并協(xié)助公安機(jī)關(guān)對網(wǎng)絡(luò)犯罪行為的查處工作。同時(shí)還要建立起安全保障體系。一個(gè)合理的保障體系包含多方面的內(nèi)容，定期對系統(tǒng)進(jìn)行評估、技術(shù)更新升級、可靠的應(yīng)急響應(yīng)措施、管理員工的安全培訓(xùn)，這些都有力地保障了系統(tǒng)的安全性，使其穩(wěn)定地保持在安全的狀態(tài)，當(dāng)系統(tǒng)受到攻擊時(shí)也可以不過分地?fù)?dān)憂會受到多大的損失。

（三）建立完善的信息安全管理制度

在檔案的信息化建設(shè)中，有效的安全管理制度是約束檔案管理人員的有力武器，可以保證檔案管理部門的正常運(yùn)作，是實(shí)現(xiàn)信息管理安全的有力保障。檔案管理部門中完善的安全管理制度應(yīng)該對管理員、機(jī)房出入人員以及外來人員這三類人員的行為有嚴(yán)格的制度要求。具體體現(xiàn)在網(wǎng)絡(luò)維護(hù)制度、出入管理制度、訪問制度等。這些安全管理制度的制定可以對用戶和管理人員起到很好的約束督促作用，從而人們的新安全意識就會增強(qiáng)，不至于出現(xiàn)因粗心大意而導(dǎo)致的安全事故的發(fā)生。尤其要利用監(jiān)督制度來嚴(yán)格保證其順利執(zhí)行，否則這些制度的設(shè)立也就完全沒有意義了。此外，還要建立健全檔案管理部門安全風(fēng)險(xiǎn)評估機(jī)制。信息管理安全評估是一個(gè)過程，它可以通過客觀評價(jià)檔案信息系統(tǒng)的安全性，找出危險(xiǎn)因素，明確風(fēng)險(xiǎn)的水平，并及時(shí)采取措施予以修正。建立健全信息管理安全風(fēng)險(xiǎn)評估機(jī)制就可以對不同信息系統(tǒng)的漏洞等安全問題對癥下藥，找出最佳的實(shí)施方案從而降低檔案信息管理安全的風(fēng)險(xiǎn)。為此，檔案管理部門在信息管理安全管理制度方面要加大對風(fēng)險(xiǎn)評估的支持力度，以求把檔案信息管理安全的風(fēng)險(xiǎn)降到最低。

（四）提高檔案信息管理安全策略

信息管理安全策略主要指網(wǎng)絡(luò)加密技術(shù)，一個(gè)加密網(wǎng)絡(luò)，對于非授權(quán)用戶來說就是一面不透風(fēng)的墻，可以防止其進(jìn)行搭線竊聽和入網(wǎng)，對于惡意軟件來說更是一個(gè)行之有效的方法。一般來說數(shù)據(jù)加密技術(shù)分為對稱類型的和非對稱類型的。對稱密鑰密碼體系又叫做密鑰密碼體系，要求加密和解密雙方使用相同的密鑰，這種加密方式的安全性主要依賴于以下兩個(gè)因素：第一，加密算法一定要相當(dāng)強(qiáng)大，即單單依靠密文自身去解密在現(xiàn)實(shí)上是不可能實(shí)現(xiàn)的，第二，加密的安全性跟算法的秘密是沒有多大關(guān)系的，它主要的是看密鑰是不是具有秘密性。因此沒有必要確保算法的秘密性，重要的是保證密鑰的秘密性。另外，對于信息管理安全策略來說，數(shù)字簽名技術(shù)和數(shù)字證書同數(shù)字加密技術(shù)是相輔相成的。數(shù)字簽名就是對電子文檔的簽名，同樣也是依靠密碼技術(shù),數(shù)字證書主要用于實(shí)現(xiàn)數(shù)字簽名和信息的保密傳輸。它們共同致力于信息管理安全建設(shè),是信息管理安全策略的核心部分。

（五）提高檔案信息物理安全策略

物理安全對于檔案管理部門的信息管理安全來說也是至關(guān)重要的，主要是指計(jì)算機(jī)所處的環(huán)境、機(jī)械設(shè)備、通訊線路的完整性程度以及對網(wǎng)絡(luò)系統(tǒng)采取相應(yīng)的安全技術(shù)措施，從而實(shí)現(xiàn)保護(hù)信息設(shè)施的目的。其中包括對機(jī)房場地的選擇、機(jī)房屏蔽、防火、防雷、防盜、綜合布線、區(qū)域防護(hù)等環(huán)境安全的布置和對設(shè)備安全的保障，包括設(shè)備是否有明顯的符號標(biāo)記、有沒有防震動(dòng)，防干擾的保護(hù)措施以及電源是否處于被保護(hù)的狀態(tài)。其次，人員安全也是物理安全的重要組成部分。因此，要加強(qiáng)人員審查和人員安全教育。

總之，檔案管理部門的信息管理安全問題隨著越來越激烈的市場競爭而變得越來越突出。信息管理安全的保障和實(shí)施過程是一個(gè)復(fù)雜而漫長的過程，涉及到技術(shù)、管理制度和人員等各個(gè)方面。信息管理安全的實(shí)施三分靠技術(shù)，七分靠制度，它不僅需要各種信息管理安全技術(shù)的支持，技術(shù)的不斷創(chuàng)新和完善，更需要各種管理制度的規(guī)范化，把信息管理安全技術(shù)和制度結(jié)合起來，形成一套完整的安全防護(hù)體系，加強(qiáng)計(jì)算機(jī)的立法和制度標(biāo)準(zhǔn)化進(jìn)程，相信通過這些努力，信息管理安全問題也將日益得到改善。