电子档案安全风险管理探讨

电子档案安全风险管理探讨_档案管理理论与实践:浙江省基层档案工作者论文集.2016

章　萍

(浙江金融职业学院)

摘　要:电子档案是随着计算机、网络等技术发展、普及后出现的新型档案载体。本文对电子档案相对于传统档案系统的特点进行了比较和分析，给出了一个针对电子档案新特点的闭环安全风险管理框架，实现对电子档案安全风险的全生命周期管理。提出了电子档案风险评估的模型，对电子档案管理中已出现或潜在的风险进行基本评价。最后，本文提出了对以上安全风险进行有效防范的具体对策和措施。

关键词:电子档案　风险评估　安全管理

电子档案是传统档案的升级版，是通过计算机等电子设备形成、管理、使用的新型载体档案，并通过计算机、网络等手段，实现电子档案的高效管理、快速查询、信息整合和共享利用。但与传统载体档案相比，电子档案存在的安全风险更多，一旦发生风险，出现的问题将更严重，这就需要我们高度重视电子档案的风险管理，认真做好电子档案的风险识别、评估、防范和应急处置等工作。

一、电子档案的特点

相比于传统纸质档案，电子档案具有系统依赖性、档案信息易复制、信息与特定载体可分离、信息存储的高密度性等特点。

(一)计算机系统依赖性

电子档案信息不能脱离计算机的软、硬件条件独立存在，人工手段不能将数字档案信息存储到存储介质上，也不可能识别存储在存储介质上的数字档案信息。因此，电子档案具有信息的非人工识读性，其形成、管理和利用必须依赖计算机系统实现。这个特点也对电子档案的保存、管理提出了更高的要求，我们必须根据软硬件环境变化和技术发展，做好电子档案的形成环境记录、迁移等工作。

(二)易复制性和可分离性

电子档案可以通过拷贝，快速、大量地进行复制，从而摆脱了特定载体对传统档案的束缚，缓解了传统档案“孤本”的特性，提高了利用效率，降低了档案复制、信息传播及使用者获取的成本。但同时，快速复制的特性不但可能增加使用者筛选有效信息的时间和成本，也对档案信息的安全保存提出了更高要求。

(三)信息存储集成性和高密度性

电子档案可以将不同地点的档案信息依据内容整理，集中形成专题档案，实现海量档案信息的集成化管理。同时，与传统载体档案相比，电子档案信息的存储密度更高，可以用较小的空间实现海量档案信息的存储，但这也对电子档案的安全保障工作提出了更高要求，一旦信息管理不当，造成的损失将更严重。

二、全生命周期的电子档案风险管控框架

针对电子档案区别于传统档案系统的新特点，本文提出了一种闭环的电子档案风险管控框架，以实现对电子档案系统风险的全生命周期管理。其架构如下:

图1　闭环的电子档案风险管控框架

从图1中可以看出，整个框架可以分为三个环节:

风险识别:风险识别主要是指对电子档案系统中已经出现或者潜在的风险进行发现和识别的过程，通过该过程，风险从体系外部进入管控系统中。在实际的管理过程中，风险或潜在的风险是永远存在的，该过程就是要发现和识别这些游离的、不受管控的风险，从而通过后续的一系列过程及时地对其进行预防、终止或降低其可能产生的不良影响。

风险评价:针对识别和发现的风险，对其从不同方面进行评价，实现多维度的风险评估，从而对风险在不同方面的严重程度给出一个清晰的描述，为后续的应对措施以及最后的改进工作提供坚实的基础。

风险应对:根据风险的发展情况，风险应对可以分为如下两个层次:一是针对潜在的风险，可以根据风险的严重程度对现有的薄弱环节进行改进，从而彻底消除该风险隐患，对于不能消除的，则将之纳入严格的监控之中;二是对于已经出现的风险，则应及时根据其严重程度，及时采取适配的措施终止风险，降低损失。

三、电子档案的风险识别

电子档案的管理需要注意以下几个方面的安全风险:硬件安全风险、软件安全风险、网络安全风险和管理安全风险。

(一)硬件安全风险

计算机硬件是由大量的电子元器件组成的，如果计算机硬件出现故障，会影响到数字档案的存储、查询和应用，严重的硬件故障，如硬盘损坏可能会造成数据的破坏或丢失。虽然各种可靠性保护机制已被现代计算机的各个组成部分所采用，但仍不能完全避免硬件故障。

(二)软件安全风险

电子档案的存储、搜索以及数据处理需要计算机操作系统和各种软件的支持才能完成。因此，计算机软件是否可靠直接关系到数字档案的安全和完整。在数字档案的收集、整理、应用和管理过程中，在进行数据备份、数据格式转换、电子文件保存等操作时，应采取有效措施防止存储介质失效而导致数据丢失。与此同时，计算机的软件运行往往需要有力的硬件支持，在某些特殊情况下，系统资源不足也有可能引起系统的异常或者停机，尤其是随着企业的规模扩大，在软件的升级过程中更应做好应急预案，考虑到可能出现的数据风险。

(三)网络安全风险

电子档案的大规模使用还必须依赖于网络，当电子档案在网络中传输时，如果网络设备出现故障或网络服务器遭受到病毒、黑客的袭击等，都会使电子档案信息被人篡改或破坏，使网络中存储或传递的档案数据丢失。因此，电子档案安全管理必须保证其传输的媒介网络的安全。

(四)管理安全风险

最后，在数字档案的应用过程中，还必须注意提高管理水平，建立完善的数字档案安全管理制度和标准，普及社会工程学教育，加强宣传，提高相关从业人员的安全风险防范意识，制定安全风险防范预案，定期进行演练。

四、电子档案风险的评估

电子档案管理是一个复杂的系统工程，在评估电子档案风险时，要分析硬件、软件因素，综合考虑内部、外部影响因素。具体而言，主要包括物理安全、网络安全、信息安全、管理安全等方面的评价。

(一)物理安全评价

物理安全评价是指存储档案信息的库房、计算机等媒体设备及管理人员工作的场所环境条件满足安全要求。对可能发生的灾害和故障进行预防，并能在灾害或故障发生时及时采取应急措施，降低损失。

(二)网络安全评价

网络安全评价是对传输电子档案的媒介网络的安全进行评价，网络安全防护应包括计算机病毒防范措施、防黑客入侵设施、访问控制措施、审计与监控措施等。具体而言，应备有预防及消除病毒的软硬件产品，并能定期的升级;设置防火墙和入侵检测等设施，监测并过滤所有内部网与外部网之间的信息交换;控制访问网络信息系统的用户，进行身份确认，防止非法连接;记录用户使用计算机网络系统进行的活动，对进出各级局域网的常见操作进行实时检查、监控、报警和阻断，防止针对网络的攻击与犯罪行为。

(三)信息安全评价

信息安全评价是指电子档案在传输、存储的过程中是否安全，不被截取、篡改或盗用，包括信息传输安全和信息存储安全两方面。信息传输安全需要在数据传输中进行加密和数据完整性鉴别，信息存储安全即数据库安全，对数据和资源提供安全保护，防止信息泄密。

(四)管理安全评价

管理安全评价主要包括组织架构、规章制度、紧急事故处理预案等电子档案管理制度，即具有专门的档案信息安全组织机构、专职的档案信息安全管理人员、完整的电子档案管理规章制度、紧急事故处理预案，在电子档案信息安全保障中起规范和制约的作用。

五、电子档案风险应对措施与管理建议

(一)加强软硬件管理

软硬件设备是电子档案系统运行的基石，在对其进行管理的过程中，必须要有宏观视野和科学规划，才能保证电子档案系统安全、平稳的运行。首先，由于电子档案系统中数据的特殊性，管理人员应该根据实际情况对存储的档案内容进行登记划分，并据此制定不同强度的保护措施;其次，对于安全级别较高的电子档案，应该提高重视，划定特别的高级别管理区域;最后，对各个设备和系统应该落实责任到人，保证每个设备和系统都有专人负责。

(二)加强网络安全管理

网络设备是提高电子档案系统运用效率的重要保证，往往也是不法分子希望窃取相关信息时的首要目标，应从以下三方面强化对其的管理。

1.加强网络硬件环境的管理。网络硬件是数据传输的媒介，在硬件环境的建设中，需要注意自然风险和人为风险两个方面。在自然风险方面，应注意防范火灾、雷电、断电等造成的故障，配备灭火设施、防雷装置以及紧急供电设备;在人为风险方面，应注意设备的硬件配置情况，定期检查是否有陌生硬件设备连接、不明的无线接入等情况出现。

2.加强防火墙等集中式安全防范设备的管理。防火墙在网络结构中犹如一面盾牌，可以首先抵御掉大量的外界攻击和探测，通过设置相应的规则，可以防止一些没有被授权的用户通过网络连接电子档案系统。此外，通过防火墙可以对网络上传输的数据包进行审查和过滤，还可以对网络上发生的与数字档案系统相关的行为进行监控和记录，保护数字档案系统的安全。

3.加强对设备终端的管理。在使用电子档案的过程中，最终都是需要落实到具体的某一台终端上的，因此，在注意网络线路和网络设备安全管理的同时，还必须注意每一台与电子档案系统服务器相连接的终端的安全管理。例如可以在终端上安装防病毒软件等安全防护软件，并及时更新病毒库，定期对终端设备进行全盘扫描，清除设备中的病毒和恶意程序。

(三)加强日常管理

1.建立完善的管理制度。建立流程化、标准化的管理过程并通过制定规章保证严格地按照管理流程来执行，是保证电子档案系统安全运行的基础。必须对电子档案系统中的不同层级人员制定相应的制度和规范，并且在工作中严格落实，定期检查，才能实现电子档案系统的安全运行。

2.设置权限层级和身份认证。根据不同人员的工作内容，建立不同的用户角色，分配不同的权限级别。例如，经理级别的用户负责整个系统运营，权限设定为各种报表数据的浏览;对于一般业务员用户，则为其配置录入，修改，有限的检索功能;而普通检索用户，则仅需要为其配置浏览权限。另外，还需要建立完善的识别机制来保证把用户正确地分配到相应的权限级别中，还可以通过生物认证、双因素认证等新技术来提高认证安全性。

3.加强对电子档案管理人员的安全培训。电子档案管理相较于传统的纸质档案管理模式，其对数据的管理系统要求更高，同时也带来了更大的安全风险。传统纸质档案管理过程中，即使出现了安全风险，泄露的也往往是一份或几份档案，但是在电子档案的背景下，一旦某个环节出现安全问题，则有可能导致整个档案系统中的全部数据都泄露出去。因此，必须促使相关从业人员转变观念，提高重视程度，并进行相应的培训，使这些管理者和使用者尽快地掌握相关技能和知识，从而提高电子档案系统的安全性，为企业数字档案的安全应用和管理奠定基础。

(四)加强应急管理

1.建立电子档案安全应急机制。成立信息安全领导小组，在明确档案信息安全管理人员、健全工作制度的基础上，制订安全防护计划及安全事故处理程序和应急计划，进一步明确专职人员职责。定期对拟定的应急机制相关条文进行完善和调整，保证信息安全计划的可行性。同时，平时加强信息安全教育，使档案管理人员及相关部门成员了解安全意外的通报程序和应急处置方法，使得电子档案的安全操作有具体的依据和规范。

2.建立电子档案备份机制。在电子文档的形成、积累、归档、保管过程中，要及时对数据和设备环境备份，避免因文件被毁造成重大损失。首先，严格按照电子文档管理制度要求进行定期备份，并将备份盘保存在异地安全的地方，对网络上的电子文档，要定期信息联机传送，存储到可长期保存的载体上，脱机保存。其次，定期检查，确保备份的正确性，按照数据增加和更新的速度选择恰当的备份数据。此外，不仅要备份系统中的数据，还要备份系统中安装的应用程序、数据库系统、用户设置、系统参数等信息，对上网的电子档案信息系统，还需要对服务器，甚至整个网络进行数据备份，预防灾难发生。

参考文献:

[1]冯惠玲.电子文件风险管理[M].北京:中国人民大学出版社，2008.

[2]李扬新.“数字化档案信息利用效益”的研究——数字化档案信息特点及其利用效益特征[J].兰台世界，2007(20).

[3]田淑华.电子档案信息安全管理研究[D].中北大学，2009.

[4]郭璇.企业数字化档案安全应用管理的探讨[J].数字技术与应用，2014(2).

[5]高红.数字化档案的信息安全问题与管理策略[J].黑龙江科技信息，2015(26).