淺析電子時代的檔案信息安全

許敏

一、電子時代的檔案信息安全的含義

一般來說，信息是指客觀存在的一切事物通過物質載體發出的信號、消息、情報、數據、圖形、指令中所包含的一切有價值的內容。信息不是事物本身，而是表征事物消息和信號等的內容。檔案信息是檔案這個特定的物質所呈現出一切有價值的內容。電子時代網絡信息安全是指信息不受威脅或危險，它的定義是“為數據系統建立和采取的技術和管理的安全保護，保護計算機硬件、軟件和數據不因偶然和惡意的原因而遭到破壞、更改和顯露”。電子時代檔案信息安全與網絡信息安全的內容基本一致。

二、電子時代的檔案信息安全管理現狀

1. 宏觀上我國檔案信息安全管理情況

1.1 法律法規問題。自上世紀90年代中期開始，我國在信息立法和檔案法規建設的基礎上，順應檔案信息化的要求，陸續制定和發布了針對檔案信息化建設的法規、規章與標準。如國家標準《CAD電子文件光盤存儲、歸檔與檔案管理要求》，1999年6月國家檔案局頒布了第一部檔案信息化規章《電子文件歸檔與電子檔案管理辦法》，之后又進行了幾次修訂。2001年6月頒布了《檔案管理軟件功能要求暫行規定》，對國內檔案管理軟件的開發研制和安裝使用進行了規范。2005年國家檔案局頒發了檔案行業標準《紙質檔案數字化技術規范》，這些標準的制定和實施，一定程度上保障了檔案信息的安全。

1.2 檔案信息安全管理問題。網絡給我們的工作和生活帶來很大便利的同時也具有極大的安全隱患，檔案工作也是如此。如果檔案部門忽視了網絡安全，許多有價值的檔案信息就有可能被人有目的的竊取。電子時代檔案信息數據保存方式是檔案信息安全的一個重要方面。當有重大災難發生時，檔案信息是否可以承受災難后果。利用計算機開展對檔案工作已經成為一種常態，防止利用計算機病毒竊取檔案信息也是安全管理的重要問題。現在大部分單位檔案工作的收集、整理、利用、統計都依賴于檔案管理系統進行，系統安全防范能力決定了檔案信息的安全。

1.3 國家信息基礎設施建設問題。國家信息基礎設施主要是保障電力、電信、金融、國家機關等國家重要領域基礎設施正常運作的信息網絡。國家信息基礎設施被視為國家的重要戰略資源，以立法形式保護信息基礎設施和安全，已成為當今世界網絡空間安全制度建設的核心內容和基本實踐。中國高度重視信息化發展戰略規劃，近年來頒布了《國家信息化領導小組關于信息安全保障工作的意見》（2003年27號文件）《2006-2020年國家信息化發展戰略》和《國防白皮書》等政策和規劃。在《2006-2020年國家信息化發展戰略》中指出幾個值得重視的問題之一就是信息安全，在全球范圍內計算機病毒、垃圾郵件、網絡攻擊、網絡竊密、系統漏洞、虛假有害信息和網絡違法犯罪等日以突出，如果應對不當就會給中國經濟發展和國家安全帶來很大的影響。

2.微觀上我國檔案信息安全管理存在的主要問題

2.1 缺乏信息安全意識與明確的信息安全管理標準。長期以來大部分的檔案工作人員還沒有把工作重心從繁瑣的檔案紙質整理中解放出來，導致了檔案人員對檔案信息安全認識不足。在電子文件收錄過程中出現信息不完整、不可讀或丟失的現象，以及紙質檔案數字化過程中檔案信息安全出現問題，這就表示檔案信息從源頭上就缺少安全管理。檔案人員對信息安全認識不足，會導致檔案工作人員對檔案信息面臨的風險沒有合理的預判，更沒有良好的安全預案，面對突發緊急情況應對能力較差，就會導致檔案信息資源的損失。另外，檔案信息的安全管理沒有一套公認的，通用的，可操作性強的標準體系為支撐，尤其是針對元數據、信息安全、存儲格式和數據交換等方面的標準作為電子檔案標準體系。

2.2 重視安全技術、輕視安全管理。隨著信息技術的發展，信息安全也得到了廣泛重視。檔案信息安全技術一般有：檔案信息加密技術，它是保障檔案信息安全的最基本的技術措施。檔案信息確認技術，它是通過嚴格限定信息的共享范圍來達到防止檔案信息被非法偽造、篡改。網絡控制技術，包括防火墻技術、審計技術、訪問控制技術、檔案信息安全協議。檔案工作部門往往把檔案信息安全的重點放在安全技術方面，而對檔案信息安全管理體制沒有更好更深入的重視。

2.3 安全管理缺乏系統管理的思想。檔案信息安全管理缺少系統化的管理模式，給信息數據架起一道道安全堡壘，才能避免信息盜用。系統化的安全管理模式可以包括安全管理方法、安全管理制度、安全技術體系和平臺維護安全體系。安全管理方法包括系統加密、軟件加密、數據加密等；安全管理制度包括人員安全管理、檢索安全管理、體系安全管理、開發安全管理等管理制度；安全技術體系包括檔案數據的存儲環境、使用環境、分析環境等使檔案信息數據一直處于安全的運行環境中。不但要有安全技術，還要有系統的安全管理，大部分的檔案管理人員缺乏對檔案信息系統安全管理的思想。

三、確保電子時代檔案信息安全的措施

1.增強檔案信息安全意識

檔案管理人員對檔案信息要有高度的安全責任感和風險防范意識。一是提高認識，把檔案信息安全上升到戰略高度來認識，從思想上為檔案安全構筑起堅固的防線。二是高度重視，切實加強對檔案工作的領導，成立檔案工作領導小組，實行一把手負責制，做到一級抓一級，層層抓落實。三是規范工作程序，要根據職責的分工，各負其責，保證檔案實體和檔案信息的安全有序。四是加強管理，以實現檔案的安全保管和有效利用。

2.制定完備的檔案信息安全法規及體系

建立全面的、有效的、結構嚴謹的法律體系來規范檔案信息網絡環境是必要的。一是國家層面的，《中華人民共和國檔案法》是我國關于檔案管理的最具權威的文件，為檔案的管理提出了具體的要求和標準。但關于檔案信息安全方面的條款很少，很難滿足實際的需要，應進行完善和補充。二是地方和單位的有關檔案信息安全的法規和制度需要完善。首先，制定出一整套檔案安全管理制度。其次，強化檔案安全制度落實力度，要責任到人，落實到崗。最后，加強檔案信息安全保密制度建設、保管制度、崗位責任制等，嚴格執行，確保檔案信息安全。

3.采取有效的檔案信息安全保障措施

3.1加強檔案安全基礎設施建設。檔案庫房是檔案保存的重地，是實現檔案安全保管的最基本的條件。根據《檔案館建設標準》和《檔案館建筑設計規范》規范建設檔案庫房；配全配齊安全防護設備，檔案庫房、閱檔室、整理室的監控系統、檔案管理人員進出檔案庫房的門禁系統和入侵報警系統、檔案庫房的溫濕度控制等。有了各種安全保護設備，根據實際情況合理布局，做到對檔案保管的實時監測，對外部安全條件進行全方位監控，確保檔案信息安全。

3.2 完善檔案信息安全技術建設。檔案信息安全技術建設可以包括以下幾方面。物理信息安全技術：防水、防火、防震及防電磁輻射等技術。系統安全技術：保證操作系統安全無漏洞和定期進行檢查審計。數據安全技術：數據加密、數據備份、數據防災、應急處理等。網絡安全技術：防火墻、病毒掃描、病毒隔離等。用戶安全技術：用戶訪問權限控制、身份認證技術等。信息技術是不斷發展的，為了保障檔案信息安全，必須不斷對安全技術進行更新、改進，對檔案管理系統的各個環節予以技術上的保障。

3.3 加強檔案安全管理全方位過程控制。主要包括以下幾個方面：一是加強前端控制。在檔案材料的收集、整理過程中要做到齊全、完整，整理要規范，不丟失、不損壞。涉及到保密的，要進行加密處理，嚴格做到不泄密。二是嚴格過程控制。嚴格檔案進出庫房登記、檔案的接收審查。涉及檔案管理系統借閱、郵件、QQ軟件等電子檔案的下載、傳輸，要建立應用日志等。三是異地備份、異質備份。為規避重大災害給館藏重要檔案帶來損壞和滅失風險，對重要的檔案異質備份后進行異地保存，預先做好防范工作。四是搶救與恢復。對于損壞的檔案，在進行搶救的過程時，首先做好必要的防護措施，填寫修復記錄，避免二次損壞。

（作者單位：江蘇工程職業技術學院 ）