淺談電子檔案數據的安全風險與防范策略

樊龍軍 李艷

（成都地鐵運營有限公司，四川 成都 610058）

隨著我國計算機技術的快速發展和應用普及，各行業的檔案管理業務都在大力推行信息化，通過構建檔案管理信息系統，利用網絡和計算機技術實現檔案信息的電子化存儲和在線管理與利用，極大提升了檔案業務工作效率，但與此同時，電子檔案數據在存儲和安全管理等方面也存在一些需要引起重視的問題，針對這些問題應有正確的認識并采取合理應對措施。

一、電子檔案數據面臨的主要安全風險

電子檔案數據管理面臨的安全風險涉及人員意識、管理制度、物理環境、數據安全、網絡安全、應用安全等多個方面。人員意識層面的風險，主要是企業檔案管理相關人員法律意識淡薄、疏忽大意、權責不清，對檔案信息安全重視不夠。管理制度方面的風險，主要是指企業檔案安全管理制度不健全、制度不科學、制度無法落實或落實不到位。物理環境的風險，主要是指意外事故、機房環境或載體保管環境不合格、設備故障等因素帶來的數據丟失風險。數據安全風險，主要是由于檔案電子數據易復制、易篡改、易傳播、易共享等特性決定了檔案信息的真實性存在安全和易泄密的風險。網絡安全風險，主要是指發生網絡非法入侵或網絡傳輸過程泄密造成的檔案數據安全風險。應用安全風險，主要是指由于檔案管理信息系統發生非授權訪問、對行為的抵賴、誤操作或系統漏洞造成的檔案數據安全風險。

二、電子檔案數據安全原因分析

導致電子檔案數據安全風險的主要原因可歸納為以下三個方面：

一是檔案管理相關人員法治思維和檔案信息安全意識不強，這直接導致檔案信息安全容易被擱置在法律的框架之外，對檔案信息安全認識不清、重視不夠，檔案信息安全管理機構不健全，缺乏對檔案信息安全工作的統籌規劃，檔案信息安全責任主體不清。

二是電子檔案數據與傳統檔案實體不同，電子檔案信息主要都是數字形式的，這些數字信息易復制、易篡改、易傳播、易共享的特性決定了檔案信息的真實性存在風險和易泄密的風險。

三是由于檔案數據對信息技術的依賴性，決定了檔案數據的長期保存存在風險。在長期保存電子檔案數據的過程中，我們不僅要確保溫度、濕度等物理環境符合一定的要求，我們還要關心技術的進步、設備的更新、載體的壽命、系統的升級、格式的轉換等，因為這些因素的變化都非常有可能引起檔案數據的不可讀、不可用，從而造成這些原本珍貴的信息資源變成了電子垃圾，甚至完全消失。

三、電子檔案數據安全防范策略

（一）健全檔案安全管理機構，加強培訓教育

為做好檔案信息安全管理，企業應建立健全專門的檔案管理機構，統籌規劃，明確權責，加強檔案安全相關的法制教育，培養法制意識和思維，開展檔案信息安全教育培訓，提高全員檔案安全責任意識。

（二）建立和完善檔案安全相關制度

為規范檔案信息安全管理，確保檔案安全工作有制度依據，企業還應該結合自身檔案安全現狀，抓緊制定檔案安全相關制度，并在實際運行過程中及時對制度進行修訂完善，增強制度的可操作性，通過制度體系保障檔案信息安全各項工作落實到位。

（三）合理構建存儲體系，加強環境監測

電子檔案數據主要包括存儲在關系型數據庫中的檔案結構化數據，以及直接存儲在磁盤上的檔案電子文件，任何一部分數據出現異常，都會影響檔案數據的完整性和可用性。為保證數據安全，數據庫管理系統應選擇支持數據備份和恢復、支持數據庫集群，并且支持高性能響應的大型企業級DB SERVER，文件存儲系統建議采用獨立冗余磁盤陣列結合分布式文件系統的方式進行，磁盤RAID模式建議采用兼具可靠性和性能效率的RAID5。同時，還應加強環境監測報警，定期開展設備巡檢，關鍵易損設備應配置備品備件。

（四）加強數據安全管理

利用制度和數字安全技術，加強檔案數據的前端控制，確保歸檔真實；加強檔案管理全程控制，確保電子檔案數據不被篡改；對長期保存的電子檔案數據應盡量選用通用、穩定的文件格式，對特殊電子文件在歸檔或長期保存時進行格式轉換，或環境再造，備份、遷移，確保電子檔案數據的可用性；要切實提升人員安全保密意識，建立檔案管理利用安全制度，對電子檔案信息按照是否涉密、是否開放進行分級管理和利用，嚴防檔案數據泄密。

（五）構建合理的網絡安全防護體系

用于電子檔案數據存儲和訪問的計算機設備，應置于健全合理的網絡安全防護體系之下，應配置網關、防火墻、漏洞掃描、入侵防御、流量控制等安全設備，并對傳輸鏈路進行加密，防止由于網絡非法入侵或網絡傳輸過程泄密造成的檔案數據安全風險。

（六）完善檔案管理信息系統的安全防護機制

檔案管理信息系統應啟用必要的安全防護機制，以防范檔案應用安全風險。檔案管理信息系統需具備用戶身份認證，訪問控制，安全審計等功能，防止非授權訪問；檔案管理信息系統應啟用數字簽名，防范操作行為的抵賴；檔案管理系統需具備數據操作可恢復功能，防止誤操作；此外，還應該對檔案管理系統進行定期巡檢，及時更新升級操作系統、應用系統安全補丁，修補漏洞，定期進行病毒查殺。

結語

總而言之，信息技術在為檔案管理和利用帶來便捷的同時，也給檔案信息安全帶來了前所未有的挑戰，檔案人員面臨這樣的挑戰，必須依靠強有力的政策、法規支持，建立完善的信息安全管理體系，提高信息安全保障技術和檔案人員的業務素養，防范各種風險，保障電子檔案的信息安全[1]。