企業電子檔案信息安全保障體系建設
存在的問題及對策建議思考
保檔案信息安全是檔案工作永恒的主題,也是國家信息安全工作的一項重要內容。本文就現階段企業檔案信息安全的現狀、建設檔案信息安全保障體系的必要性和重要性,以及建設電子檔案信息安全保障體系的措施建議進行闡釋。
黨中央提出“以信息化帶動工業化”戰略決策后,全國檔案信息化被列入國家檔案事業規劃之中,并取得了實質性的進展。伴隨著檔案信息時代的到來,電子檔案信息安全管理需要引起我們足夠的重視。建設電子檔案信息安全保障體系是一項復雜的系統工程,企業不僅要采用先進的技術保護手段,還需建立并執行一整套科學合理規范的管理制度。
一、企業電子檔案信息安全保障體系建設的必要性
建立檔案信息安全體系是落實中央領導同志檔案安全保護工作一系列重要指示的需要,是防止國內外敵對勢力竊取我國核心檔案信息的需要,是預防和減輕自然災害、人為災害對檔案造成損失的需要,是解決公共檔案信息服務與檔案信息安全之間矛盾的需要,是適應對新技術條件下檔案信息安全挑戰的需要,是消除檔案部門各種安全隱患的需要。特別是對本企業來講,檔案的信息安全更為重要。
二、企業檔案信息安全現狀的分析
綜合筆者近些年對本企業的了解與分析,企業電子檔案信息安全現狀主要有以下幾種。
(一)認識不到位
由于企業檔案信息化建設還處于初級階段,導致各級領導對檔案館電子檔案信息安全體系建設的認識不足,重視不夠。
(二)籌資較因難
檔案信息安全建設體系需要大量計算機、路由器、服務器、磁盤陣列柜等硬件設備,還需要安全的網絡環境等等,均離不開龐大的資金投入。而在現實中,雖然企業對信息化建設給予了很大的支持,但是目前造船企業都處于經濟蕭條時期,企業資金有限,對于檔案信息化、檔案信息安全的投入與國家制定的發展規劃要求還有一定的差距,難以適應新形勢下檔案信息化安全建設的發展需要。
(三)技術滯后
技術對檔案信息安全起著關鍵作用,在檔案信息運行中,技術對信息的安全起著支撐的作用,同時也保證檔案信息在長期保存過程中的完整性和合法性。目前,由于企業在檔案信息安全方面的軟件投入有限,隨著信息技術的發展,病毒和黑客技術也日益嫻熟,相比之下,現在的安全技術還存在一定的滯后,而這種滯后也給電子檔案信息的安全帶來一定的威脅。
(四)人才很緊缺
由于企業檔案信息技術是近年來才廣泛應用的,對于企業檔案館來說,人員的信息安全意識和技術水平有限,各個檔案分室的人員年紀偏大,接受能力和操作方面都有一定的難度,這也是企業目前急需要解決的問題。人才是檔案信息安全中的重要因素一方面,從檔案管理人員角度考慮,管理人員信息安全意識的強弱,操作現代化設備水平的高低,以及責任感的強弱等都會對檔案信息安全產生影響。可以想象,一個專業技能乏力、責任感缺失、安全意識談薄的檔案管理人員,無疑會使檔案信息安全如同置于一個無人防守的陣地,而被“敵人”不攻自破。
(五)法制不健全
對于企業來說,檔案信息安全才剛剛起步,企業對于檔案信息安全方面的管理制度相對于比較少,還需要在工作中不斷的加強管理,制定各種管理制度,這樣才能有利于檔案信息安全的管理實施。
三、企業檔案信息安全保障體系建設的措施
檔案信息安全簡單地說就是檔案信息內容完整、可控,未被破壞和未被非法使用者知曉使用。檔案信息安全包括檔案實物信息安全和檔案計算機信息系統安全兩個方面。
(一)要保證檔案信息的物理安全
物理安全策略的目的是保護電子檔案存放介質、計算機系統、網絡服務器、打印機等硬件實體和通信鏈路免受自然災害、人為破壞和搭線攻擊。通常情況下,電子檔案存儲在磁、光介質上,這樣就必須創造一個適合于磁、光介質保存的溫濕度環境。其次,確保電子檔案內容具有嚴謹的邏輯性。采用最新技術與方法,盡量保持電子檔案內容、格式、編排上的一致。并采用選進技術加以轉換,要保證電子檔案的原始性。再次,要保證電子檔案的計算機系統有一個良好的電磁兼容環境;建立完備的安全管理制度防止非法進入計算機控制室和各種偷竊、破壞活動的發生等。物理安全策略是電子檔案信息安全的前提,如果得不到有效保證,那整個檔案的信息安全也就無法實現了。
(二)要密切關注計算機技術的發展方向,確保檔案計算機信息系統安全
1.檔案信息計算機管理系統軟件要安全可靠。系統軟件要能過測評與審批方可投入使用。運用先進的信息安全技術,檔案信息安全技術不僅涉及到傳統的“防”和“治”的技術,而且已經擴展到網絡安全技術和數據安全技術等多種現代信息新技術。要學會運用網絡安全技術,如訪問控制技術、防治病毒技術和安全檢測技術等。一是在防控技術方面可以設置入網訪問控制和網絡的權限控制,使內部網與互聯網之間物理隔網,可以對防問者進行身份鑒別,主要是用戶名的識別與驗證、用戶口令的識別與驗證、用戶賬號的缺省限制檢查。同時也可以很好地控制網絡非法操作。二是運用防治病毒技術,及時在電腦上安裝殺毒軟件,定期升級殺毒軟件,定期查殺病毒,不使用來歷不明的U盤、光盤、以及安裝不明軟件,以控制病毒的入侵。三是運用安全檢測技術,對計算機網絡所接入服務器進行監視,同時在計算機中安裝入侵檢測系統,對電子檔案信息起到監控和保護的作用。
2.運用數據安全技術。檔案信息的安全最重要的是數據安全,這樣才能保證檔案信息的完整,有效避免被修改、泄漏等。企業應建立數據信息網絡存儲中心,采取數據集中或雙機備份等方式規避風險,來提高數據存儲安全性。一是采用數據備份管理制度,確保數據的安全。可通過在線備份管理的方式,并根據實際情況采取近線存儲與離線存儲結合的方式進行數據備份。為計算機系統配置多個磁盤、硬盤、硬盤陣列等,組成海量存儲器,用以解決容量不足的問題。服務器端應及時安裝操作系統及數據庫系統補丁程序,修補系統安全漏洞,提高系統安全性。二是采用密碼技術,對所有的電子文件進行歸檔管理時都應設置相應的密碼,對于有密級限制的電子檔案,主要防止泄密,應該使用加密技術,防止被他人截獲或篡改。
3.保證網絡安全。網絡安全保護主要是針對計算機網絡及其節點而面臨的威脅和網絡的脆弱性而采取的防護措施。網絡安全保護是檔案信息安全保護的重要內容。電子檔案信息的優越性就表現在它能實時通過網絡暢通地提供給在線異地用戶使用。因此,網絡安全成為保障用戶真實有效地利用電子檔案信息的關鍵所在。確保網絡安全采取的主要方法是物理隔離、應用防火墻以及身份認證等安全技術。防火墻技術實現同外網隔離與訪問控制的最基本、最流行、最經濟也是最行之有效的措施之一。
4.要對檔案信息載體實行異地備份制度。對重要的檔案信息載體也要實施檔案備份制度,是提高抵御各種突發事件影響能力的一項重要舉措。俗話說,雞蛋不能只放在一個籃子里。我國自古以來就有對重要檔案實行多套異地備份的制度,在危害檔案安全的突發社會事件和自然災害頻發的今天我們必須進一步強化風險防范意識,更加重視實施重要檔案異地備份制度,提高災害應對能力和突發事件應對制度。
5.加強對電子文件形成、利用活動的管理,建立檔案信息安全管理制度。在電子檔案的形成、處理、歸檔、保管、利用等各個環節,信息都有被更改、丟失的可能性。即使擁有完善的信息安全技術,也要有相應的管理制度來保證其得以實施,從每一個環節堵塞信息失真、失密和丟失的隱患。首先,要加強對電子檔案信息制作人員和管理人員的教育,提高其安全防范意識,確定風險管理思相,及早地對電子檔案信息安全做出風險識別和分析,實施風險管理策略,這樣才能有效地降低威脅電子檔案信息安全的風險。其次,建立完善的檔案信息安全管理制度。一是在電子檔案信息的制作過程中要分工明確,責任分明,電子檔案信息制作人員應該對自己制作的文檔負有全責,對合作制作的文檔也應劃清責任范圍,以防在分散狀態下發生信息丟失和變動,同時對電子檔案實行權限控制,防止無關人員對電子檔案進行破壞。二是建立來格的電子檔案信息歸檔、鑒定和保管制度,保證電子檔案信息的真實、完整和有效。
目前,檔案信息安全保障體系建設存在多方面的不足,因此要深刻認識檔案信息安全的極端重要性,不斷增強使命感、責任感,時刻牢記確保檔案信息安全的責任重于泰山,自覺從思想上、行動上把確保檔案信息安全放在各項工作的首位。檔案信息資源是國家的寶貴財富,確保檔案信息安全,即是檔案工作永恒的主題,也是國家信息安全工作的一項重要內容。檔案信息化安全體系建設是檔案工作的重中之重,必須不斷提高信息化條件下檔案信息安全的保障能力。