構(gòu)建數(shù)字檔案信息安全保障體系的研究

劉曉君

摘 要：主要探討了數(shù)字檔案信息安全保障體系的構(gòu)建，詳細(xì)論述了數(shù)字檔案開放利用中存在的信息安全保障問題，并提出了一系列解決措施，以期為有關(guān)單位提供參考和借鑒。

關(guān)鍵詞：數(shù)字檔案；信息安全保障體系；網(wǎng)絡(luò)安全；網(wǎng)絡(luò)技術(shù)

中圖分類號：G270.7 文獻(xiàn)標(biāo)識碼：A DOI：10.15913/j.cnki.kjycx.2015.22.014

隨著檔案數(shù)字化進(jìn)程的不斷加快，檔案數(shù)字化信息的安全管理也逐漸面臨著越來越大的挑戰(zhàn)。檔案信息化是一項(xiàng)十分復(fù)雜的系統(tǒng)工程，這就決定了檔案數(shù)字化信息的安全保障也是一項(xiàng)復(fù)雜的工作。因此，如何構(gòu)建數(shù)字檔案信息安全保障體系已成為相關(guān)工作人員需要解決的問題。因此，本文就如何構(gòu)建數(shù)字檔案信息安全保障體系進(jìn)行了探討。

1 數(shù)字檔案利用中的信息安全保障問題

數(shù)字化檔案管理要求相關(guān)管理人員不僅要具備專業(yè)的檔案管理知識，還需要掌握電子和網(wǎng)絡(luò)技術(shù)以及防護(hù)數(shù)字檔案信息安全知識。但目前大多檔案管理人員僅具備檔案管理知識，電子、網(wǎng)絡(luò)技術(shù)方面的知識知之甚少，難以處理數(shù)字檔案信息安全方面的問題，進(jìn)而導(dǎo)致一些數(shù)字檔案信息被損壞或泄露。

1.1 數(shù)字檔案信息安全管理體系不完善

數(shù)字檔案信息安全管理中普遍存在安全定位不準(zhǔn)、安全責(zé)任不清、安全權(quán)限不明和安全管理不到位等問題。有資料表明，80%的網(wǎng)絡(luò)安全事件和涉密信息事件與內(nèi)網(wǎng)人員有關(guān)。為了有效控制數(shù)字檔案開放利用過程中破壞檔案信息的行為，需要有完善的法律法規(guī)作后盾。但我國現(xiàn)階段的數(shù)字檔案管理仍處于建設(shè)初期，還未具備專門的法律規(guī)章制度。目前，我國的法律體制建設(shè)并不完善，一旦數(shù)字檔案出現(xiàn)問題，既無章可循，又無法可依，更不能依法追究相關(guān)人員的責(zé)任。當(dāng)發(fā)生惡意破壞數(shù)字檔案的事件時(shí)，由于數(shù)字信息取證十分困難，所以，很難將違法者繩之以法，進(jìn)而導(dǎo)致國家或企業(yè)遭受巨大的經(jīng)濟(jì)損失。

1.2 數(shù)字檔案信息安全技術(shù)應(yīng)用不全面

數(shù)字檔案的建設(shè)和維護(hù)離不開電子設(shè)備和網(wǎng)絡(luò)技術(shù)的支持。但大多數(shù)企、事業(yè)單位的電子設(shè)備都比較陳舊，數(shù)字檔案的整理、利用和傳輸方面的電子技術(shù)設(shè)備不完善，管理數(shù)字檔案信息的相關(guān)措施比較簡單，不同程度的安全漏洞普遍存在。比如，在傳輸信息的過程中未采取加密措施、未對數(shù)據(jù)進(jìn)行備份處理等，導(dǎo)致數(shù)字檔案信息在使用過程中被破壞或泄露；相關(guān)網(wǎng)絡(luò)技術(shù)十分落后，比如光盤老化、外部設(shè)備霉變或腐蝕等，進(jìn)而可能導(dǎo)致數(shù)字檔案的內(nèi)容丟失或混亂；未及時(shí)修復(fù)被損壞的數(shù)字檔案信息、未備份的數(shù)字檔案消失等給企、事業(yè)單位造成了巨大的損失。

目前，我國已開始關(guān)注數(shù)字檔案開放利用中的信息安全保障問題，頒布了《全國檔案信息化實(shí)施綱要》，有關(guān)省市也印發(fā)了有關(guān)規(guī)定。但檔案信息的安全標(biāo)準(zhǔn)并未針對不同地區(qū)或類型的檔案進(jìn)行規(guī)范性指導(dǎo)。隨著檔案數(shù)字化進(jìn)程的加快，數(shù)字檔案管理中的漏洞越來越明顯，難以統(tǒng)一的規(guī)范和標(biāo)準(zhǔn)導(dǎo)致相關(guān)法規(guī)失去了可操作性和指導(dǎo)性作用。

1.3 數(shù)字檔案信息安全保障人才缺失

對于數(shù)字檔案信息的安全保障工作，人是第一要素。數(shù)字檔案信息安全管理體系的建立需要既掌握計(jì)算機(jī)知識，又了解檔案業(yè)務(wù)的復(fù)合型人才，但目前檔案部門很難找到這樣的人才。此外，還存在檔案專業(yè)人才外流的現(xiàn)象，且現(xiàn)有檔案隊(duì)伍的整體素質(zhì)較低，大多數(shù)檔案管理部門在挖掘本部門數(shù)字檔案信息安全保障人才方面的工作不到位，未進(jìn)行有效、專業(yè)、有針對性的指導(dǎo)，未能給予相關(guān)工作足夠的重視和投入，數(shù)字檔案信息安全保障的相應(yīng)的課程體系不完善，這些問題都制約著數(shù)字信息安全保障體系的發(fā)展。

2 解決措施

一個(gè)完善的數(shù)字檔案信息安全保障體系既需要良好的環(huán)境，又需要科學(xué)的標(biāo)準(zhǔn)制度和技術(shù)手段。因此，良好的電子硬件和軟件是建設(shè)完善的數(shù)字檔案信息安全保障體系的前提，優(yōu)良的數(shù)字檔案存放環(huán)境是保證檔案壽命的必備條件。因此，關(guān)于數(shù)字檔案信息安全問題的法律法規(guī)應(yīng)更加細(xì)化，比如信息產(chǎn)權(quán)法、商業(yè)機(jī)構(gòu)信息開放利用安全法、信息保密法等；根據(jù)不同檔案工作的特點(diǎn)，制訂針對性較強(qiáng)的數(shù)字檔案信息安全保障法律法規(guī)，以保證數(shù)字檔案信息的真實(shí)性和完整性。

2.1 健全數(shù)字檔案信息安全保障的法律法規(guī)

健全的數(shù)字檔案信息安全保障法律法規(guī)需要由基本的原則、制度、規(guī)范性行為和違反規(guī)定行為的處罰條例等組成。這樣一個(gè)完善的保障環(huán)境才有可能保證數(shù)字檔案信息的安全和完整。因此，在目前有關(guān)法律法規(guī)的基礎(chǔ)上，應(yīng)對數(shù)據(jù)檔案的使用、存儲作更明確、具體的規(guī)定，追究數(shù)字檔案信息的非法使用者的責(zé)任。管理制度是保障數(shù)字檔案信息安全的重要措施，因此，需建立計(jì)算機(jī)和信息系統(tǒng)管理制度，包括操作安全管理、操作權(quán)限管理、操作規(guī)范管理、操作恢復(fù)管理、計(jì)算機(jī)和信息系統(tǒng)備份管理、信息系統(tǒng)維修和報(bào)廢制度等。

2.2 完善數(shù)字檔案信息安全保障技術(shù)

應(yīng)加大對數(shù)字檔案信息安全保障技術(shù)的研發(fā)力度，提高保障技術(shù)的科技含量，建立技術(shù)安全體系結(jié)構(gòu)，構(gòu)建分層安全策略，并應(yīng)用各種安全技術(shù)。

2.2.1 內(nèi)容安全層

內(nèi)容安全層位于核心層。它的存在不僅可防止數(shù)字檔案信息被更改或丟失，還可防止信息內(nèi)容被非法用戶獲取。內(nèi)容安全層的保障建設(shè)主要涉及電子簽名技術(shù)和數(shù)據(jù)加密技術(shù)。電子簽名技術(shù)可保證信息的內(nèi)容完整、不被更改。目前，最成熟的電子簽名技術(shù)為“數(shù)字簽章”，采用該技術(shù)可確保數(shù)字檔案信息的安全性和保密性。加密技術(shù)主要涉及加密、解密算法和密匙等內(nèi)容。

2.2.2 訪問安全層

訪問安全層采用身份認(rèn)證技術(shù)、訪問控制技術(shù)等，可確保訪問的安全。

身份認(rèn)證技術(shù)可防止攻擊者假冒合法用戶獲取訪問權(quán)限。目前，身份認(rèn)證技術(shù)主分為ID 身份識別技術(shù)和生物識別技術(shù)。

訪問控制分為自主訪問控制和強(qiáng)制訪問控制，自主訪問控制為較常用的方法，系統(tǒng)中的用戶可修改系統(tǒng)參數(shù)、用戶權(quán)限，以確定合法用戶在系統(tǒng)中對哪類信息有什么樣的訪問權(quán)限；在強(qiáng)制訪問控制下，用戶和資源均具有一個(gè)安全屬性，強(qiáng)制性地規(guī)定了該屬性下可執(zhí)行的事項(xiàng)。

2.2.3 傳輸安全層

傳輸安全層主要采用防火墻技術(shù)、入侵檢測技術(shù)和網(wǎng)絡(luò)隔離技術(shù)等手段，可防止黑客入侵或病毒感染，從而使傳輸系統(tǒng)暢通無阻。采用防火墻技術(shù)可防止外部網(wǎng)絡(luò)的攻擊，使外部主機(jī)無法獲取網(wǎng)絡(luò)檔案信息站點(diǎn)名和IP 地址，常見的防火墻有過濾防火墻、雙宿網(wǎng)關(guān)防火墻和屏蔽子網(wǎng)防火墻；采用入侵檢測技術(shù)可彌補(bǔ)傳統(tǒng)安全保護(hù)措施中的不足，屬于防火墻功能的延續(xù)，分為異常檢測和誤用入侵檢測。為了保證傳輸層數(shù)據(jù)的安全性、完整性，防止黑客攻擊，涉密計(jì)算機(jī)和信息系統(tǒng)必須與國際互聯(lián)網(wǎng)及其他公共信息網(wǎng)絡(luò)物理隔離。隨著信息化建設(shè)的迅速發(fā)展，隔離網(wǎng)閘技術(shù)已成為物理隔離技術(shù)的發(fā)展趨勢，它從客觀上阻斷了具有潛在攻擊可能的一切連接，使黑客無法攻擊、破壞內(nèi)網(wǎng)。

2.2.4 環(huán)境安全層

環(huán)境安全層位于系統(tǒng)的最外層，可為數(shù)字檔案信息提供物理環(huán)境安全、電磁環(huán)境安全和存儲介質(zhì)安全保障。針對信息設(shè)備具有的信號輻射特性，運(yùn)用電磁輻射防護(hù)技術(shù)，可避免竊取方接收到信息設(shè)備輻射的信號和復(fù)原信息。對于電磁泄露，目前可以采用的措施主要為使用低輻射設(shè)備、利用嘈聲干擾源等。

2.3 加強(qiáng)檔案管理部門與科研部門的交流

應(yīng)加強(qiáng)檔案管理部門與檔案科研部門間的交流，促進(jìn)數(shù)字檔案信息安全保障體系的建設(shè)，從實(shí)際出發(fā)，在力求高指標(biāo)操作的同時(shí)，與實(shí)際接軌，務(wù)實(shí)求真，著眼未來。建設(shè)標(biāo)準(zhǔn)化評價(jià)體系可降低數(shù)字檔案開放利用中信息安全保障體系建設(shè)的重復(fù)性和盲目性。因此，標(biāo)準(zhǔn)的數(shù)字檔案信息安全保障體系的建設(shè)至少應(yīng)具備權(quán)威性、科學(xué)性、可操作性、全面性、協(xié)調(diào)性和前瞻性。在此基礎(chǔ)上，根據(jù)企、事業(yè)單位的特點(diǎn)總體規(guī)劃，突出數(shù)字檔案管理的重點(diǎn)，借鑒國外相關(guān)標(biāo)準(zhǔn)成果，綜合國內(nèi)的實(shí)際情況，制訂新的術(shù)語標(biāo)準(zhǔn)、權(quán)限標(biāo)準(zhǔn)、存儲標(biāo)準(zhǔn)、信息利用標(biāo)準(zhǔn)等，避免在使用數(shù)字檔案信息的過程中發(fā)生安全事故，從而實(shí)現(xiàn)數(shù)字檔案開放利用中的信息安全。

2.4 加強(qiáng)對數(shù)字檔案信息人才的培養(yǎng)

數(shù)字檔案管理不是相關(guān)人員單純管理實(shí)物的工作，需要相關(guān)人員掌握更多的電子技術(shù)和網(wǎng)絡(luò)技術(shù)。因此，數(shù)字檔案管理人員既要熟悉檔案管理工作，又要了解電子數(shù)字信息安全技術(shù)。相關(guān)單位應(yīng)積極培養(yǎng)決策層管理人員，提高其理論和技術(shù)水平，并從基層挖掘和培養(yǎng)實(shí)踐操作能力強(qiáng)、思想端正的優(yōu)秀人才，從而為數(shù)字檔案開放利用中的信息安全提供人才保障。

2.4.1 樹立科學(xué)的人才培養(yǎng)觀

應(yīng)樹立“人才是第一資源”的意識，建立科學(xué)、合理的檔案人才培養(yǎng)體系，建立系統(tǒng)的人才資源培養(yǎng)和儲備機(jī)制，完善人才建設(shè)的工作機(jī)制，重視對人才理論、人才成長規(guī)律和管理規(guī)律的研究，營造有利于培養(yǎng)人才、留住人才的工作環(huán)境，從而吸引高素質(zhì)的檔案專業(yè)管理人才。

2.4.2 加大對人才的培養(yǎng)力度

應(yīng)依托社會高新技術(shù)，進(jìn)一步拓寬人才培訓(xùn)渠道，有計(jì)劃、有步驟地組織在職檔案人員參與繼續(xù)教育、研討、培訓(xùn)、專題講座等，以學(xué)習(xí)新知識、新技術(shù)，掌握新技能、新方法，探討新情況、新問題，盡快提高其對信息的駕馭能力，使其逐步成為既熟悉計(jì)算機(jī)知識、網(wǎng)絡(luò)知識，又精通檔案業(yè)務(wù)的復(fù)合型人才，最終培養(yǎng)出實(shí)用型的檔案信息化人才。

3 結(jié)束語

綜上所述，對于查閱者而言，檔案信息的質(zhì)量非常重要，但要保證數(shù)字檔案信息的真實(shí)性和完整性是比較困難的，只能通過一系列防范措施最大限度地降低信息失真和丟失的概率。因此，我們需要認(rèn)真分析數(shù)字化過程中存在的信息安全保障問題，并采取有效的解決措施，為檔案數(shù)字化的順利發(fā)展鋪出一條順暢的道路。

參考文獻(xiàn)

[1]陳旭.數(shù)字檔案信息安全保障體系探討[J].辦公室業(yè)務(wù)，2013（05）.

[2]張勇.大數(shù)據(jù)時(shí)代數(shù)字檔案信息資源安全保障體系研究[J].數(shù)字與微縮影像，2014（04）.

〔編輯：張思楠〕