對電子檔案系統信息安全等級體系建設的研究

鄔斌亮 熊 琭

（上海市計算機軟件評測重點實驗室 上海 200000）

0 引言

電子檔案的建立將使政府社會服務職能得到最大程度的發揮,但也使政府敏感信息暴露在無孔不入的網絡威脅面前。由于電子檔案信息網絡上有相當多的政府公文在流轉,其中不乏重要信息,內部網絡上有著大量高度機密的數據和信息,直接涉及政府的核心檔案,它關系到政府部門、各大系統乃至整個國家的利益,有的甚至涉及國家安全。因此,電子檔案信息安全是制約電子檔案建設與發展的首要問題和核心問題,是電子檔案的職能與優勢得以實現的根本前提。如果電子檔案信息安全得不到保障,不僅電子檔案的便利與效率無從保證,更會給國家利益帶來嚴重威脅。

1 建立電子檔案系統信息安全等級體系建設的必要性

建立電子檔案系統安全體系是落實中央領導同志檔案安全保護工作一系列重要指示的需要，是防止國內外敵對勢力竊取我國核心檔案信息的需要，是預防和減輕自然災害、人為災害對檔案造成損失的需要，是解決公共檔案信息服務與檔案信息安全之間矛盾的需要，適應對新技術條件下數字檔案信息安全挑戰的需要，是消除檔案部門各種安全隱患的需要。

信息技術在檔案管理中的廣泛應用，一方面提高了檔案工作的效率，擴大了檔案的社會影響力；另一方面也對檔案工作提出了新的要求，例如存儲介質的不穩定、技術過時、黑客入侵、電腦病毒破壞等都使得電子檔案信息的安全保護面臨著前所未有的挑戰。

2 目前電子檔案信息系統存在的問題

電子檔案相對于傳統的檔案來說，只是一種存在形式的區別，一般是指以字節、比特方式儲存于磁盤、光盤、磁帶等介質中，然后通過閱讀解碼的軟件將數據，圖表，文字等信息在用戶面前顯示出來。當前我國的電子檔案電子化存在以下幾個主要問題：

2.1 電子檔案電子化普及程度不高

電子辦公在很多國內企業中都有普遍的運用，大多企業單位都在使用計算機進行文件處理和部門之間的溝通交流的工具以及日常會議通知等事務性工作。但是電子檔案管理是屬于企業電子化辦公的更深層更系統化的運用，國內企業中能夠真正使用計算機管理檔案的仍然很少。在實行有限的檔案管理電子化的部分公司中，即使是有將計算機運用于管理檔案中，但管理層次也僅僅局限于較簡單和膚淺的目錄管理，而處于不同目錄下的電子文檔等資料則仍然是很分散的，檔案管理電子化有名無實。

2.2 對于檔案電子化管理認識不足

目前，在很多企業中，利用電腦進行文書的書寫，圖表的制作已經是很普遍的了。但是對于已經制作好的文件，在打印使用完之后，電子版的保存工作往往會被人忽視。長此以往，公司電腦中的文檔處于不斷被刪除，修改，或者覆蓋的狀態，對于這種檔案往往就沒有整理管理的價值了。2除了不同企業工作人員對檔案電子化管理沒有概念之外，連有些檔案管理人員都沒有一個正確的認識，他們認為檔案電子化管理就是在管理中應用一定數量的計算機、復機印、掃描機、刻錄盤。

2.3 電子化管理自身的難題

首先，由于電子檔案的儲存方式主要是光盤，磁帶等形式，存在復雜性，不穩定性，和儲存方式的互換性。當儲存介質性質發生變化時，儲存的信息就很容易造成丟失缺損，覆蓋，刪除，不利于完整重現信息。

其次，電子檔案的安全性較低。由于電子檔案存放位置沒有一個統一的標準和規定，具有一定的隨意性，而且電子檔案的開放性相對于傳統的文書檔案更加高，電子檔案的獲取也很容易，導致檔案信息隨時有被修改、竊取、銷毀的危險。

3 電子檔案信息安全管理體系的構建

要有效維護電子檔案信息系統的安全,就需要構建電子檔案安全管理體系,從而使檔案的信息基礎設施、信息應用服務能夠具有保密性、完整性、真實性和可用性。電子檔案安全管理體系包括安全技術體系、安全管理體系和安全服務體系,涉及從管理到組織,從網絡到數據,從法規標準到基礎設施等各個方面。

3.1 加強安全技術力量是實現電子檔案安全的基本方法

安全技術體系是利用技術手段實現技術層面的安全保護,是對電子檔案安全防護體系的完善,包括網絡安全體系、數據安全傳輸與存儲體系,功能主要是通過各種技術手段實現技術層次的安全保護。

3.2 構建安全管理體系是電子檔案安全實施的重要基礎

安全管理是解決電子檔案的安全問題在技術以外的另一有力保障和途徑。由于安全的防范技術與破壞技術總是“勢均力敵”、“相互促進”的。作為防范者就更應該在安全防范的管理上下更大的工夫。安全管理主要涉及三個方面:法律法規、安全防護體系以及等級保護政策。

4 完善電子檔案系統信息安全等級保護體系的對策分析

4.1 加強安全管理組織是實現等級保護的基礎

由于電子檔案安全管理涉及到眾多的國家安全職能部門，其安全管理職能的協調需要由國家信息化領導機構，如國家信息化領導小組、國家電子檔案協調小組、國家信息安全協調小組等來進行。各地區和部委建立相應的信息安全管理機構，以完成和強化信息安全的管理，形成自頂向下的信息安全管理組織體系，是電子檔案安全實施的必要條件。

4.2 規劃與制度是規范等級保護的根本保證

電子檔案信息系統存在著來自社會環境、技術環境和物理自然環境的安全風險，其安全威脅無時無處不在。對于電子檔案信息系統的安全問題，不能企圖單憑利用一些集成了信息安全技術的安全產品來解決，而必須建立電子檔案系統信息安全保障體系，考慮技術、管理和法律的因素，全方位地、綜合解決系統安全問題。

4.3 產品與技術解決方案是實施等級保護的具體表現

根據各級電子檔案內外網與專網的安全等級保護的不同要求，安全等級保護的產品和技術解決方案部署在網絡基礎設施安全和主機及數據安全兩方面。網絡基礎設施安全措施包括：網絡部署、網絡冗余、網絡設備安全、邊界保護、安全檢測和審計、PKI、遠程訪問措施、網絡安全管理等；主機及數據安全措施包括：服務器主機與平臺加固、桌面端補丁管理與漏洞控制、病毒與惡意代碼防范、身份識別與認證、系統與應用安全審計、數據完整性監控、數據備份與恢復、主機與數據安全管理策略清單等。

5 結束語

總之，在對電子信息檔案的保存與維護過程中，應充分考慮環境、設備、技術、人員及電子信息檔案的特點等綜合條件，來制定有效的安全保密制度，以確保電子信息檔案的安全可靠，能夠永久地處于可準確提供利用的狀態。電子檔案管理是一個新生事物，從事電子檔案管理的人員必須具備檔案管理方面的基礎知識和計算機信息技術等多方面的技術技能。因此，培養和造就一批電子文件、電子檔案管理人員是當務之急。一是要重視吸納專業型的人才充實到管理隊伍中來，如電子計算機軟硬件技術或電子通信技術、接受過大學教育的檔案管理專業人才，對此類人才可以經過短期專業培訓就基本能夠達到電子檔案管理工作的需要。二是加大教育投入，抽調一批學歷達到一定水平且熱愛檔案管理工作的人員，對他們系統的進行檔案管理基礎知識、電子計算機知識、電子通信技術進行強化培訓，使他們迅速掌握電子檔案管理的基本知識技能，解決電子檔案管理人才缺乏的現狀。

[1] 趙暉：電子檔案信息安全管理面臨的問題和挑戰，《城建檔案》2013（1）.

[2] 王玉杰；蘇衛東：檔案信息化與檔案信息安全保障體系建設，《機電兵船檔案》2012（8）.

[3] 劉俊玲：檔案開放利用的信息安全保障研究，安徽大學，2012.

[4] 陳思：電子檔案安全體系構建，吉林大學，2011.

[5]邢燕,才碧瑩.淺析檔案信息安全保障體系建設[J]. 黑龍江檔案. 2009(06).