数字档案信息安全的问题与对策分析

朱玲飞

(浙江浙能兰溪发电有限责任公司)

摘　要:随着计算机等现代化设备的广泛应用和档案信息化进程的不断加快，档案工作进入了一个全新的网络化时代，数字档案信息已经成为今后档案管理部门的主要资源。科技的发展给企业档案管理带来了变革，电子文件的大量产生改变了传统的管理模式，如何保障这些数字档案信息的安全已迫在眉睫。本文根据笔者多年来的工作经历，对数字档案管理中普遍存在的信息安全问题等进行了分析归纳，并根据工作实际，从安全管理、技术手段、人才培养等方面提出了相应对策和措施。

关键词:数字档案　信息安全　对策

档案信息安全涉及方方面面，其中，数字档案信息安全是档案信息安全诸多环节中的重要一环。数字档案通常包括电子业务数据、电子公文、档案数字化成果等三项。电子业务数据指各专业主管部门及下属单位通过专门业务信息管理系统形成的现行电子业务数据(库);电子公文是指各单位在处理公务的过程中，通过计算机等电子设备形成的公务电子文件(一般为版式公文或文档、图表等形式，包括相关元数据和机读目录);档案数字化成果指各单位传统载体档案经数字化转换后的数据成果，包括全文和目录等。笔者根据多年来的工作实践，就数字档案的信息安全工作谈谈粗浅的看法。

一、数字档案信息安全管理概述

随着现代科技的高速发展及计算机技术和网络技术在档案管理中的逐步应用，数字档案应运而生。它不仅使档案信息资源共享、远程查询利用服务成为现实，同时也给档案管理工作提出了新的要求。由于数字档案是通过计算机进行操作、传输、存储等处理方式而形成的，与传统纸质档案相比，有着许多不同的特性，如非人工识读性、系统的依赖性、信息的不稳定性、信息的可共享性等。正是由于这些特性，导致了其区别于传统载体档案的不少脆弱性、安全性问题，如数字档案在输入、输出、存储、传输等过程中可能会导致的误操作、丢失、被偷窃、自然灾害、病毒及黑客侵犯等危害。要解决这些新情况、新问题，我们必须抓住安全问题的本质和关键，采取一些切实可行的安全措施，在重视突发事故安全处置的同时，加强日常安全风险防范，做到防患于未然，以确保数字档案的安全性、完整性和准确性。

二、数字档案信息安全管理问题分析

(一)档案安全意识普遍薄弱，管理制度不健全

一些单位和部门虽然明确了分管档案的领导，但他们对数字档案信息安全工作认识不够，认为档案工作无关紧要、无须亲为，存在不同程度的敷衍应付思想，对所形成的各类文件材料数字信息化建设不够重视，加上管理制度缺失，没有制定严格的档案安全管理相关制度和行之有效的安全检查制度、安全保障制度等，档案安全管理没有提到议事日程，未能做到有章可循。有的单位即使制定了相应的档案管理制度，也存在不少漏洞，缺乏有效的制度执行保障，没有进行经常性的安全检查，未能及时发现事故苗头，事故危害不断蔓延扩大，以致造成不可挽回的损失。也有的单位未将档案数字化的要求落到实处，造成大量资料散存在个人手中或流向不明，由于网络安全防护技术较低和安全意识不强，造成了对档案信息的无意侵权或档案丢失，直接威胁着档案信息的安全，对档案的安全缺乏准确的认识。

(二)计算机系统的不安全性和存储载体安全问题

1.计算机系统的不安全性影响数字档案信息安全。数字档案的管理离不开计算机软硬件系统的支持，虽然现在计算机技术越来越先进，功能越来越强大，但不稳定性和不安全性还很突出。而数字化档案管理所涉及的通信、计算机和信息处理等处理的各个部分都存在着薄弱环节，自身安全保护能力不强，极易受到病毒的攻击和破坏，容易造成档案管理系统的瘫痪，信息的泄露以及非法增加、删减、篡改等问题。来自内部和外部的非法访问，可能导致网络遭受非法修改和恶意攻击，威胁网络安全，比如局域网上往来的公文共享属性设置不当，网络管理员分配用户权限不合理，用户密码选择不慎都是网络安全的隐患。黑客熟练掌握计算机知识和技能，一旦网络中的个别口令为其所破译，他就取得了对网络的访问权，就能以合法用户的身份使用该系统，甚至可以以网络管理员的身份翻阅、涂改网络中使用的全部数据或修改指令来改变路径，对网络信息进行破坏，致使网络部分或全部瘫痪。

2.档案存储载体的不安全性影响数字档案信息安全。当前，数字档案信息的主要载体是磁盘、磁带等，对读取设备有绝对的依赖性，同时，对保存环境的要求也很高。电子档案在存储介质、利用方式和保存形式等方面与传统的纸质档案也存在着本质的差异。一方面，目前适用的磁带、磁盘、光盘等介质的寿命都比较短，与能保存千年以上的纸质载体相比其寿命相差甚远，而且它还受到温湿度、磁场、记录存储格式、硬件配置等多方面的影响。另一方面，电子档案信息的格式与计算机系统相关联，而计算机的操作系统、文字处理格式、数据库系统等在不断地升级换代，这就存在着老的档案信息格式与新的计算机系统的衔接问题。

(三)日常安全管理和应急管理不到位，未建立有效的档案安全防范和应急备份体系

1.日常安全管理和应急管理责任落实不到位。一些单位领导和档案管理人员对档案日常安全管理和应急管理认识不到位，主体责任未落实，监管责任不到位，档案信息安全事故时有发生。尤其是在信息化环境下，档案信息损毁、泄密风险日益突出，档案安全处在事故易发期、多发期，档案安全依然严峻。

2.档案安全防范和应急备份体系不健全。档案是一种不可再生资源，一旦遭到破坏，将会造成不可挽回的损失，档案安全防范是档案工作的重中之重。好多单位都制定了档案管理的一般制度，如档案的接收、分类、借阅、保密、鉴定、销毁等制度，但是，部分单位认为档案管理一般不会发生安全问题，未将档案安全管理提到议事日程，未能做到有章可循，也没有建立有效的档案安全防范和应急备份体系，因而面对突发事件时，束手无策，不知所措。

(四)缺乏高素质档案复合型管理人才

数字档案信息的安全问题是档案工作者必须面对的现实问题，构建数字档案信息安全体系，要求提高数字档案信息管理人员的整体素质，确保数字档案信息的物理环境和硬件环境安全。当前，档案管理已经不能囿于传统管理模式和方式，大胆变革、创新发展已经刻不容缓。人才队伍建设是事业发展的根本保障，数字档案室建设的任务重、时间紧，培养高素质的复合型档案管理人才是当务之急。在实践中，档案管理人员多为兼职，繁重的工作任务使他们没有精力去学习档案业务知识和网络技术知识，提升档案业务能力，致使数字档案信息安全难以保障。

三、加强数字档案信息安全管理的对策和建议

(一)提高档案安全意识，建立健全相关管理制度

俗话说，三分技术，七分管理，管理是保障数字档案信息安全的重要手段，仅仅依靠技术不能保证整体的安全，只有加上有效的管理来支持和补充，才能确保技术发挥其应有的作用，真正实现整体的安全，而责任不明、管理混乱、制度不健全及缺乏可操作性等都可能引起数字档案信息安全的风险。因此，数字档案信息安全管理要实行单位领导负责制，各单位应将数字档案信息安全管理工作列为单位安全保密工作的重要内容，明确档案信息安全管理工作的主管领导。指定系统安全管理人员负责本单位档案信息化系统各项安全措施的落实和日常管理工作，依照有关安全保密和档案工作的要求和标准，对数字档案信息安全管理工作情况进行定期检查，确保档案信息安全。建立健全本单位的数字档案管理制度，具体包括电子文件归档与管理办法、档案数字化技术标准、档案安全保密制度、档案数据网上查询利用制度、档案数据管理维护制度、电子档案鉴定销毁制度等，明确各部门应履行的职责和应承担的责任，同时加强监管，定期考核。

(二)加强对入网用户的管理和存储安全管理

1.加强档案信息系统安全管理。对存储与管理档案信息的应用系统，应采用数据库加密、身份鉴别、访问控制、日志审计跟踪、备份恢复等安全技术措施，对系统各功能模块的访问应当采用权限管理机制，不能越权操作。存储与管理档案信息的网络系统，应采取网络间安全防护措施，不得直接连接到政务外网的公众服务专网、国际互联网等信息网络上进行。进入局域网需要通过IP地址申请，在档案管理系统中严格按规定分配不同用户的使用权限，保障每个用户只能访问到其授权范围内的信息，严禁用户非法越级使用档案信息，用户进入档案信息管理系统之前要进行身份鉴别，确认授权用户的名称和口令密码。信息化系统验收后，各单位应立即督促检查承建单位清除为调试系统向他们提供的各种档案数据，以防数据泄露。网络构架与服务器的调整，数据库软件、应用系统等的更新、升级后，应对单位整个信息化系统运行状况进行安全检测，及时消除安全隐患，确保信息安全和系统正常运行;同时由专人负责档案信息数据库的管理工作，建立数据库日常维护管理与安全检查备份制度，严禁非数据库管理员绕过应用系统直接进入数据库操作。未采取必要的安全保密技术防范措施的档案信息基础数据库不得联入局域网、政务网及互联网等网络。

2.加强存储介质安全管理。根据不同的存储介质，随时调整存储地点的温湿度，采取严格的安保措施，确保磁带、光盘、磁盘等载体的安全保存，并定期对磁盘里的数据进行可读性检测。对快到生命期限的载体，采取复制措施，将数据导入到易长久保存的介质上(如移动硬盘等)或档案专用服务器上，防止数据丢失或因载体更新换代而不可读，确保档案数据的安全。

(三)完善应急管理机制，建立风险评估和安全防范体系

1.加强应急管理体制建设。根据实际情况制定和完善应急管理工作责任制度，明确各类事件的防范和处置程序，做好各级各类相关预案的衔接工作。认真研究和把握应急管理工作的内在规律，总结和推广应急管理工作中的新经验，坚持“安全第一，预防为主”的档案安全工作方针，以高度的政治责任感和使命感，不断提高处置突发事件的能力。

2.开展档案信息安全风险评估。档案信息安全风险评估是安全管理的根本依据，应通过定期对信息系统进行风险评估来识别风险大小。通过综合考虑信息系统所面临的风险、自身弱点、威胁造成的潜在影响和发生的可能性等因素，合理部署和利用信息安全的信息体系、监控体系，制定可行的应急响应方案，规范信息安全应急响应工作，能有效预防、及时控制和最大限度地消除各类突发事件的危害和影响。

3.构建有效的档案安全防护体系。档案安全体系中的任何一个环节出现漏洞，都可能导致整个安全体系的崩溃，带来灾难性的后果。为此，档案信息的安全工作必须从整体出发，着力于体系建设，通过对所有相关因素的分析梳理，建立起系统、高效的档案安全防护体系。其一，在防护对象上，不仅要着力保护档案实体的安全，而且要保证档案信息的安全和档案文件保存环境的安全。既要维护传统载体档案的安全，也要维护数字档案信息的安全;既要保证档案本体的安全，又要维护档案相关材料及其元数据的安全。其二，在防护环节上，要对档案文件的生命全程实现不间断防护。通过各种措施来严密监控档案文件自形成伊始的存储、处理、传输与利用过程，实现自文件至档案的一体化防护。其三，在防护策略上，要“预防为主，防治结合”。一手抓防范，一手抓治理，在积极实施主动性防御的基础上，对由于历史原因或不可抗因素而造成的受损档案、濒危档案开展抢救性的保护与修复，以避免这些档案的安全状况进一步恶化。我们应牢固树立未雨绸缪、预防为主的思想，将损失降低到最低程度。

4.加强容灾备份管理。当前，全球自然灾害频发，汶川大地震、印度洋海啸等重大自然灾害给灾区档案数据带来了巨大破坏，使得异地数据备份显得越来越重要。现在比较常见的备份方式就是刻录数据光盘，或者用移动硬盘，近年来也有人喜欢使用网络硬盘。异地备份的对应城市应选择与原文档所在城市地理特征不同、城市间距离较远的城市进行，这样，才能确保档案材料的安全。当然，这需要有关专家依据城市的综合因素进行必要的评估，做好电子文档数据备份工作，确保灾难发生后能正常恢复。

(四)提高档案管理人员综合素质

数字档案信息安全管理工作是一项专业性较强的工作，保障档案信息的安全，人是第一要素。通过这几年的实践，我的体会是:在技术条件和管理制度到位的基础上，人的素质是确保数字档案信息安全的决定因素，作为专(兼)职档案管理人员，必须要有强烈的责任心和使命感，还要与时俱进，一定要熟悉计算机技术和网络技术等相关知识，努力学习档案业务知识、管理理论和方法，不断优化自身知识结构，提高自身的综合素质，争做既熟悉计算机知识又熟悉档案业务的复合型人才，以适应日益发展的档案事业的需要。

数字档案信息安全工作涉及档案信息化建设的各个环节，包括技术、管理、人才等各个方面，是一个复杂的系统工程。信息网络结构所特有的开放性与共享性，在为档案管理提供数字档案信息服务创造了极为有利条件的同时，也不可避免地使数字档案信息方面存在着极大的安全隐患。数字档案信息安全问题不仅是技术问题，更是管理问题，需要多管齐下才能全方位地应对各种风险。另外，一些传统的安全保护手段比较被动、滞后，无法应对不断变化的新的数字档案信息安全威胁和挑战。只有建立事先的、主动的安全保护机制、容灾备份制度，并针对新的风险不断进行调整优化，才能最大限度地对数字档案信息安全进行保护。