企業(yè)電子檔案信息安全保障體系建設(shè)

存在的問(wèn)題及對(duì)策建議思考

保檔案信息安全是檔案工作永恒的主題，也是國(guó)家信息安全工作的一項(xiàng)重要內(nèi)容。本文就現(xiàn)階段企業(yè)檔案信息安全的現(xiàn)狀、建設(shè)檔案信息安全保障體系的必要性和重要性，以及建設(shè)電子檔案信息安全保障體系的措施建議進(jìn)行闡釋。

黨中央提出“以信息化帶動(dòng)工業(yè)化”戰(zhàn)略決策后，全國(guó)檔案信息化被列入國(guó)家檔案事業(yè)規(guī)劃之中，并取得了實(shí)質(zhì)性的進(jìn)展。伴隨著檔案信息時(shí)代的到來(lái)，電子檔案信息安全管理需要引起我們足夠的重視。建設(shè)電子檔案信息安全保障體系是一項(xiàng)復(fù)雜的系統(tǒng)工程，企業(yè)不僅要采用先進(jìn)的技術(shù)保護(hù)手段，還需建立并執(zhí)行一整套科學(xué)合理規(guī)范的管理制度。

一、企業(yè)電子檔案信息安全保障體系建設(shè)的必要性

建立檔案信息安全體系是落實(shí)中央領(lǐng)導(dǎo)同志檔案安全保護(hù)工作一系列重要指示的需要，是防止國(guó)內(nèi)外敵對(duì)勢(shì)力竊取我國(guó)核心檔案信息的需要，是預(yù)防和減輕自然災(zāi)害、人為災(zāi)害對(duì)檔案造成損失的需要，是解決公共檔案信息服務(wù)與檔案信息安全之間矛盾的需要，是適應(yīng)對(duì)新技術(shù)條件下檔案信息安全挑戰(zhàn)的需要，是消除檔案部門(mén)各種安全隱患的需要。特別是對(duì)本企業(yè)來(lái)講，檔案的信息安全更為重要。

二、企業(yè)檔案信息安全現(xiàn)狀的分析

綜合筆者近些年對(duì)本企業(yè)的了解與分析，企業(yè)電子檔案信息安全現(xiàn)狀主要有以下幾種。

（一）認(rèn)識(shí)不到位

由于企業(yè)檔案信息化建設(shè)還處于初級(jí)階段，導(dǎo)致各級(jí)領(lǐng)導(dǎo)對(duì)檔案館電子檔案信息安全體系建設(shè)的認(rèn)識(shí)不足，重視不夠。

（二）籌資較因難

檔案信息安全建設(shè)體系需要大量計(jì)算機(jī)、路由器、服務(wù)器、磁盤(pán)陣列柜等硬件設(shè)備，還需要安全的網(wǎng)絡(luò)環(huán)境等等，均離不開(kāi)龐大的資金投入。而在現(xiàn)實(shí)中，雖然企業(yè)對(duì)信息化建設(shè)給予了很大的支持，但是目前造船企業(yè)都處于經(jīng)濟(jì)蕭條時(shí)期，企業(yè)資金有限，對(duì)于檔案信息化、檔案信息安全的投入與國(guó)家制定的發(fā)展規(guī)劃要求還有一定的差距，難以適應(yīng)新形勢(shì)下檔案信息化安全建設(shè)的發(fā)展需要。

（三）技術(shù)滯后

技術(shù)對(duì)檔案信息安全起著關(guān)鍵作用，在檔案信息運(yùn)行中，技術(shù)對(duì)信息的安全起著支撐的作用，同時(shí)也保證檔案信息在長(zhǎng)期保存過(guò)程中的完整性和合法性。目前，由于企業(yè)在檔案信息安全方面的軟件投入有限，隨著信息技術(shù)的發(fā)展，病毒和黑客技術(shù)也日益嫻熟，相比之下，現(xiàn)在的安全技術(shù)還存在一定的滯后，而這種滯后也給電子檔案信息的安全帶來(lái)一定的威脅。

（四）人才很緊缺

由于企業(yè)檔案信息技術(shù)是近年來(lái)才廣泛應(yīng)用的，對(duì)于企業(yè)檔案館來(lái)說(shuō)，人員的信息安全意識(shí)和技術(shù)水平有限，各個(gè)檔案分室的人員年紀(jì)偏大，接受能力和操作方面都有一定的難度，這也是企業(yè)目前急需要解決的問(wèn)題。人才是檔案信息安全中的重要因素一方面，從檔案管理人員角度考慮，管理人員信息安全意識(shí)的強(qiáng)弱，操作現(xiàn)代化設(shè)備水平的高低，以及責(zé)任感的強(qiáng)弱等都會(huì)對(duì)檔案信息安全產(chǎn)生影響。可以想象，一個(gè)專(zhuān)業(yè)技能乏力、責(zé)任感缺失、安全意識(shí)談薄的檔案管理人員，無(wú)疑會(huì)使檔案信息安全如同置于一個(gè)無(wú)人防守的陣地，而被“敵人”不攻自破。

（五）法制不健全

對(duì)于企業(yè)來(lái)說(shuō)，檔案信息安全才剛剛起步，企業(yè)對(duì)于檔案信息安全方面的管理制度相對(duì)于比較少，還需要在工作中不斷的加強(qiáng)管理，制定各種管理制度，這樣才能有利于檔案信息安全的管理實(shí)施。

三、企業(yè)檔案信息安全保障體系建設(shè)的措施

檔案信息安全簡(jiǎn)單地說(shuō)就是檔案信息內(nèi)容完整、可控，未被破壞和未被非法使用者知曉使用。檔案信息安全包括檔案實(shí)物信息安全和檔案計(jì)算機(jī)信息系統(tǒng)安全兩個(gè)方面。

（一）要保證檔案信息的物理安全

物理安全策略的目的是保護(hù)電子檔案存放介質(zhì)、計(jì)算機(jī)系統(tǒng)、網(wǎng)絡(luò)服務(wù)器、打印機(jī)等硬件實(shí)體和通信鏈路免受自然災(zāi)害、人為破壞和搭線(xiàn)攻擊。通常情況下，電子檔案存儲(chǔ)在磁、光介質(zhì)上，這樣就必須創(chuàng)造一個(gè)適合于磁、光介質(zhì)保存的溫濕度環(huán)境。其次，確保電子檔案內(nèi)容具有嚴(yán)謹(jǐn)?shù)倪壿嬓?。采用最新技術(shù)與方法，盡量保持電子檔案內(nèi)容、格式、編排上的一致。并采用選進(jìn)技術(shù)加以轉(zhuǎn)換，要保證電子檔案的原始性。再次，要保證電子檔案的計(jì)算機(jī)系統(tǒng)有一個(gè)良好的電磁兼容環(huán)境；建立完備的安全管理制度防止非法進(jìn)入計(jì)算機(jī)控制室和各種偷竊、破壞活動(dòng)的發(fā)生等。物理安全策略是電子檔案信息安全的前提，如果得不到有效保證，那整個(gè)檔案的信息安全也就無(wú)法實(shí)現(xiàn)了。

（二）要密切關(guān)注計(jì)算機(jī)技術(shù)的發(fā)展方向，確保檔案計(jì)算機(jī)信息系統(tǒng)安全

1.檔案信息計(jì)算機(jī)管理系統(tǒng)軟件要安全可靠。系統(tǒng)軟件要能過(guò)測(cè)評(píng)與審批方可投入使用。運(yùn)用先進(jìn)的信息安全技術(shù)，檔案信息安全技術(shù)不僅涉及到傳統(tǒng)的“防”和“治”的技術(shù)，而且已經(jīng)擴(kuò)展到網(wǎng)絡(luò)安全技術(shù)和數(shù)據(jù)安全技術(shù)等多種現(xiàn)代信息新技術(shù)。要學(xué)會(huì)運(yùn)用網(wǎng)絡(luò)安全技術(shù)，如訪問(wèn)控制技術(shù)、防治病毒技術(shù)和安全檢測(cè)技術(shù)等。一是在防控技術(shù)方面可以設(shè)置入網(wǎng)訪問(wèn)控制和網(wǎng)絡(luò)的權(quán)限控制，使內(nèi)部網(wǎng)與互聯(lián)網(wǎng)之間物理隔網(wǎng)，可以對(duì)防問(wèn)者進(jìn)行身份鑒別，主要是用戶(hù)名的識(shí)別與驗(yàn)證、用戶(hù)口令的識(shí)別與驗(yàn)證、用戶(hù)賬號(hào)的缺省限制檢查。同時(shí)也可以很好地控制網(wǎng)絡(luò)非法操作。二是運(yùn)用防治病毒技術(shù)，及時(shí)在電腦上安裝殺毒軟件，定期升級(jí)殺毒軟件，定期查殺病毒，不使用來(lái)歷不明的U盤(pán)、光盤(pán)、以及安裝不明軟件，以控制病毒的入侵。三是運(yùn)用安全檢測(cè)技術(shù)，對(duì)計(jì)算機(jī)網(wǎng)絡(luò)所接入服務(wù)器進(jìn)行監(jiān)視，同時(shí)在計(jì)算機(jī)中安裝入侵檢測(cè)系統(tǒng)，對(duì)電子檔案信息起到監(jiān)控和保護(hù)的作用。

2.運(yùn)用數(shù)據(jù)安全技術(shù)。檔案信息的安全最重要的是數(shù)據(jù)安全，這樣才能保證檔案信息的完整，有效避免被修改、泄漏等。企業(yè)應(yīng)建立數(shù)據(jù)信息網(wǎng)絡(luò)存儲(chǔ)中心，采取數(shù)據(jù)集中或雙機(jī)備份等方式規(guī)避風(fēng)險(xiǎn)，來(lái)提高數(shù)據(jù)存儲(chǔ)安全性。一是采用數(shù)據(jù)備份管理制度，確保數(shù)據(jù)的安全?？赏ㄟ^(guò)在線(xiàn)備份管理的方式，并根據(jù)實(shí)際情況采取近線(xiàn)存儲(chǔ)與離線(xiàn)存儲(chǔ)結(jié)合的方式進(jìn)行數(shù)據(jù)備份。為計(jì)算機(jī)系統(tǒng)配置多個(gè)磁盤(pán)、硬盤(pán)、硬盤(pán)陣列等，組成海量存儲(chǔ)器，用以解決容量不足的問(wèn)題。服務(wù)器端應(yīng)及時(shí)安裝操作系統(tǒng)及數(shù)據(jù)庫(kù)系統(tǒng)補(bǔ)丁程序，修補(bǔ)系統(tǒng)安全漏洞，提高系統(tǒng)安全性。二是采用密碼技術(shù)，對(duì)所有的電子文件進(jìn)行歸檔管理時(shí)都應(yīng)設(shè)置相應(yīng)的密碼，對(duì)于有密級(jí)限制的電子檔案，主要防止泄密，應(yīng)該使用加密技術(shù)，防止被他人截獲或篡改。

3.保證網(wǎng)絡(luò)安全。網(wǎng)絡(luò)安全保護(hù)主要是針對(duì)計(jì)算機(jī)網(wǎng)絡(luò)及其節(jié)點(diǎn)而面臨的威脅和網(wǎng)絡(luò)的脆弱性而采取的防護(hù)措施。網(wǎng)絡(luò)安全保護(hù)是檔案信息安全保護(hù)的重要內(nèi)容。電子檔案信息的優(yōu)越性就表現(xiàn)在它能實(shí)時(shí)通過(guò)網(wǎng)絡(luò)暢通地提供給在線(xiàn)異地用戶(hù)使用。因此，網(wǎng)絡(luò)安全成為保障用戶(hù)真實(shí)有效地利用電子檔案信息的關(guān)鍵所在。確保網(wǎng)絡(luò)安全采取的主要方法是物理隔離、應(yīng)用防火墻以及身份認(rèn)證等安全技術(shù)。防火墻技術(shù)實(shí)現(xiàn)同外網(wǎng)隔離與訪問(wèn)控制的最基本、最流行、最經(jīng)濟(jì)也是最行之有效的措施之一。

4.要對(duì)檔案信息載體實(shí)行異地備份制度。對(duì)重要的檔案信息載體也要實(shí)施檔案?jìng)浞葜贫?，是提高抵御各種突發(fā)事件影響能力的一項(xiàng)重要舉措。俗話(huà)說(shuō)，雞蛋不能只放在一個(gè)籃子里。我國(guó)自古以來(lái)就有對(duì)重要檔案實(shí)行多套異地備份的制度，在危害檔案安全的突發(fā)社會(huì)事件和自然災(zāi)害頻發(fā)的今天我們必須進(jìn)一步強(qiáng)化風(fēng)險(xiǎn)防范意識(shí)，更加重視實(shí)施重要檔案異地備份制度，提高災(zāi)害應(yīng)對(duì)能力和突發(fā)事件應(yīng)對(duì)制度。

5.加強(qiáng)對(duì)電子文件形成、利用活動(dòng)的管理，建立檔案信息安全管理制度。在電子檔案的形成、處理、歸檔、保管、利用等各個(gè)環(huán)節(jié)，信息都有被更改、丟失的可能性。即使擁有完善的信息安全技術(shù)，也要有相應(yīng)的管理制度來(lái)保證其得以實(shí)施，從每一個(gè)環(huán)節(jié)堵塞信息失真、失密和丟失的隱患。首先，要加強(qiáng)對(duì)電子檔案信息制作人員和管理人員的教育，提高其安全防范意識(shí)，確定風(fēng)險(xiǎn)管理思相，及早地對(duì)電子檔案信息安全做出風(fēng)險(xiǎn)識(shí)別和分析，實(shí)施風(fēng)險(xiǎn)管理策略，這樣才能有效地降低威脅電子檔案信息安全的風(fēng)險(xiǎn)。其次，建立完善的檔案信息安全管理制度。一是在電子檔案信息的制作過(guò)程中要分工明確，責(zé)任分明，電子檔案信息制作人員應(yīng)該對(duì)自己制作的文檔負(fù)有全責(zé)，對(duì)合作制作的文檔也應(yīng)劃清責(zé)任范圍，以防在分散狀態(tài)下發(fā)生信息丟失和變動(dòng)，同時(shí)對(duì)電子檔案實(shí)行權(quán)限控制，防止無(wú)關(guān)人員對(duì)電子檔案進(jìn)行破壞。二是建立來(lái)格的電子檔案信息歸檔、鑒定和保管制度，保證電子檔案信息的真實(shí)、完整和有效。

目前，檔案信息安全保障體系建設(shè)存在多方面的不足，因此要深刻認(rèn)識(shí)檔案信息安全的極端重要性，不斷增強(qiáng)使命感、責(zé)任感，時(shí)刻牢記確保檔案信息安全的責(zé)任重于泰山，自覺(jué)從思想上、行動(dòng)上把確保檔案信息安全放在各項(xiàng)工作的首位。檔案信息資源是國(guó)家的寶貴財(cái)富，確保檔案信息安全，即是檔案工作永恒的主題，也是國(guó)家信息安全工作的一項(xiàng)重要內(nèi)容。檔案信息化安全體系建設(shè)是檔案工作的重中之重，必須不斷提高信息化條件下檔案信息安全的保障能力。