檔案信息管理安全問題研究

（新鄉縣勞動就業局，河南 新鄉 453731）

檔案信息管理安全是指引入計算機系統中的檔案數據以及信息網絡的硬軟件得到保護，不被意外或人為隨意地篡改、泄露、破壞，而且保障系統可以正常地運行，提供不中斷的信息服務。進入21 世紀，隨著計算機網絡的迅速發展，人們的工作和學習越來越依賴于計算機網絡，人們對信息財產的使用更多的是通過計算機網絡來實現的，因此檔案信息管理安全問題也逐漸被人們所重視關注。

一、檔案信息管理現狀及存在問題

（一）檔案管理人員缺乏安全意識

檔案的信息化建設在我國仍然處于初級階段，一些中小檔案管理部門的信息化建設也都還在起步，各方面的配套管理制度還不是很完善，尤其是檔案管理人員的檔案信息管理安全意識不夠，對檔案管理部門的信息管理安全沒有形成明確完整的認識。首先，檔案管理部門管理人員缺乏全面的信息化建設的知識，意識不到檔案管理部門的信息管理安全問題不僅僅是計算機網絡技術方面的問題，更是一項綜合性的系統工作。另外，檔案管理部門管理者對于信息管理安全的管理一般采用后期控制的方式，等信息管理安全出現問題了才去想辦法解決，沒有合理的前饋控制的方法。部分管理者一直覺得自己的公司不會受到信息管理安全的威脅，對檔案信息管理安全不能進行深刻地認識，他們不能從檔案管理部門發展戰略的角度認識到信息管理安全問題將最終影響檔案管理部門管理水平的提升、促進檔案管理部門運行效率的提高，從而導致信息管理安全問題得不到足夠的重視，最終使得檔案管理部門發展滯后，影響檔案管理部門的長期發展。

其次，檔案管理部門的員工也存在不同程度的認識不足問題。絕大多數的員工在檔案管理部門中充當的是一名打工者的角色，他們對于信息管理安全對檔案管理部門的重要性沒有清楚的認識，并且檔案管理部門員工是信息系統及信息的使用者和提供者，他們經常能輕而易舉地接觸到一些數據，如若檔案管理部門內部的信息技術人員技術不夠嫻熟，甚至在操作過程中發生失誤改變了機房的安全環境甚至還有可能破壞到線路從而終止供電，就會導致系統嚴重受損造成信息無可挽回地丟失或者泄露。此外也不能排除內部員工出于對公司不滿的目的進行惡意報復。利用檔案管理部門系統的漏洞，一些破解口令，或是進行IP 欺騙修改腳本程序的手段竊取內部資料破壞內部系統安全。如果內部人員有意或無意地這么泄漏信息，將會給檔案管理部門的信息管理安全帶來不可挽回的損失。因而檔案管理部門員工對信息管理安全的認識程度對檔案管理部門有著重要的影響。

（二）檔案管理部門缺乏相應的管理制度

信息化建設在國內仍處于起步階段，信息管理更是作為一門新興的學科闖入人們的視野中，在檔案的信息化建設中屬于比較新的領域。2015 年5 月，網易旗下網易云音樂、易信、有道云筆記等在內的數款產品以及全線游戲出現了無法連接服務器的情況。網易官方發布公告稱“因骨干網絡出現異常，導致網易旗下部分游戲及網站論壇暫時無法登陸。”從這一事件中可以看出檔案管理部門在信息管理安全方面的規章制度還是很不完善的，一旦出現問題就會給檔案管理部門帶來必不可少的麻煩。

政府方面關于信息管理安全方面的法律法規還很需要完善，一些現有的規則還很不成熟，缺乏標準的規范，無法為檔案管理部門提供權威的信息管理安全管理法規，無法使檔案管理部門的信息管理安全工作得到落實。同時檔案管理部門方面,關于信息管理安全方面的配套管理制度還不夠完善，沒有指定相關的信息管理安全管理規章制度，特別是缺乏健全的檔案信息管理安全管理體制。檔案管理部門管理者以及軟件開發者通常不能準確把握網絡運行過程中會出的各種隱患，對網絡安全問題考慮不恰當，只是單單重視獲取網絡資源的高效率。技術部門對于信息管理安全建設沒有形成一套完整的保護體系，僅僅是在實施過程中制定了一些零碎的操作流程和規則。因而管理制度真正落實到實處的很少，往往都出現了制度不規范、安全責任無法落實、人員信息管理安全意識不強、安全知識不到位等問題。檔案管理部門內部沒有形成一套完整的信息管理安全體系。數據備份技術仍然不成熟，備份數據的完整性、可靠性、及時性都不能完全滿足系統恢復時的要求。由于我國信息系統網絡化建設還處在發展階段，還正在制定和完善有關信息系統安全的法律法規，還沒有形成我國信息管理安全的法規體系，網絡立法情況不容樂觀,立法體系不完整。這些問題都嚴重影響到了檔案管理部門的信息管理安全。

（三）檔案信息管理安全技術不完善

隨著信息化建設的推進，檔案管理部門的發展越來越依賴于信息技術和信息系統，檔案管理部門的商業秘密乃至個人信息都存儲在計算機中，檔案管理部門的信息管理安全技術面臨著很大的挑戰。2014 年12 月12306 官網受到撞庫攻擊，不法分子通過收集互聯網某游戲網站以及其他多個網站泄露的用戶名加密碼信息，嘗試登陸其他網站進行“撞庫”，非法獲取用戶信息，并謀求非法信息，造成12306 十多萬用戶數據遭泄露。

2015 年2 月海康威視被植入危險代碼，因設備弱口令問題被攻擊，導致其被遠程監控。使其股價遭遇大鐵，并一度跌停，單日市值蒸發90 億元。2015 年5 月，漏洞被曝出，以亞馬遜為首的云服務供應商紛紛中招，諸多廠商為了修復漏洞重啟服務器，造成云用戶業務會中斷，損失嚴重。僅15 年下半年，就發現了18 個存在于云計算系統中的通用性虛擬化安全漏洞，這些漏洞一旦被利用，輕則造成云計算系統崩潰，重則直接控制云系統，嚴重影響云計算系統穩定運行。這些信息管理安全現狀的存在充分說明了檔案信息管理安全存在的網絡技術方面的問題。

通常網絡安全威脅的形式有：網絡通信協議不健全，TCP/IP 協議的設計本身就存在一定的缺陷，因為它們面向的僅僅是封閉的專用的網絡環境，沒有必要的安全特性來保障其安全性，這些不足之處就給信息管理安全帶來了不可避免的威脅；操作系統的漏洞，幾乎所有的操作系統的代碼規模都是很強大的，這就決定了基本上所有的操作系統一定存在現實的缺陷和漏洞。應用系統設計的漏洞；網絡系統設計的缺陷；有組織、有特定目的的惡意攻擊。

計算機病毒說到底就是個程序，是一段可執行的代碼。計算機病毒如同生物病毒一樣，有著自己獨有的強大復制能力，它可以迅速地蔓延把自身附著在各類型的文件上，當我們利用U 盤或其他的一些存儲工具把有病毒的文件從一個終端存儲到另一個終端的時候，它就伴隨著文件肆意蔓延開來，導致無法根除使得終端設備癱瘓。近來計算機網絡得以不斷地發展，計算機病毒以其更加先進的技術迅速蔓延至計算機網絡的各個角落。一般計算機病毒具備潛伏性、傳染性、隱蔽性、破壞性等一些特性，這些特性使得計算機病毒具有很強的寄生能力和破壞能力，從而使計算機處在危險的狀態。

“黑客”的攻擊對檔案信息管理安全來說也是一個無法忽視的重要環節。攻擊者可以利用自己高超的網絡技術，通過破解信息系統設置的各種安全屏障非法侵入到他人的計算機系統，對他人的信息系統造成嚴重的破壞，致使計算機系統不能正常運轉。更有甚者，通過直接破壞或篡改計算機系統正在處理的信息數據來阻礙計算機的正常運行，從而實現非法取得和占有他人財產，秘密竊取計算機信息系統內部代表秘密的數據的行為。

另外，從物理方面來講，檔案管理部門的計算機設備還會一定程度地受到損壞，例如供電的異常、不舒適的設備環境、沒有訪問權限等問題就可能會影響組織的商業活動，釀成檔案管理部門資產的損壞，機密信息泄露等不可挽回的錯誤。計算機系統或設備被盜所造成的損失可能遠遠超過計算機設備本身的價值。眾所周知電子設備在工作的時候都會產生大大小小的輻射，計算機當然也不例外，這些電磁輻射也會在一定程度上造成信息的泄露。電源是整個計算機軟硬件正常運行的基礎，對于整個計算機網絡系統而言電源系統的穩定性成了其穩定運行的先決條件。過壓或是欠壓都會對計算機系統元器件造成壓力，使其加速老化，同時電壓的不正常波動可使磁盤驅動器因工作不穩定而造成讀、寫錯誤；電壓瞬間變動會造成元器件的突然損壞。除此之外，機房環境的不安全，也很容易導致私密信息的泄露以及重要部件以及系統的損壞。

二、提升檔案信息管理安全的策略

（一）提高檔案管理人員的重視程度

對于檔案管理部門來說，提高檔案管理部門員工的主觀能動性對檔案管理部門的信息管理安全來說至關重要。首先檔案管理部門的高層管理者要緊跟信息化建設的步伐，加快轉變思想觀念，深刻認識到檔案管理部門的信息管理安全對檔案管理部門制定長遠發展戰略的重要性。檔案管理部門高層要定期組織安全學習活動，加強對員工的信息管理安全教育，對檔案管理部門內部信息管理安全管理人員進行定期的培訓、考核和檢查并且對信息管理安全管理人員進行全面的監督，有效的反饋，幫助員工自覺樹立信息管理安全意識，深刻認識到信息管理安全檔案管理部門以及自身工作的重要程度。責令各部門的直接領導者密切關注，不斷強化信息管理安全技術和保密工作，對違反安全規則的人員進行懲罰。同時高層人員要考慮加大檔案信息化建設中信息管理安全管理各項資金、技術、人力投入，并建立起科學、合理、有效的檔案信息管理安全防護策略，保障檔案信息系統安全穩定。

其次，檔案管理部門員工在檔案管理部門中占有重要的地位，是數據和信息的直接接觸者，提高檔案管理部門員工的信息管理安全意識也是不可忽略的環節。檔案管理部門的員工應積極地參與有關信息管理安全的培訓和各種學習活動，自覺遵守檔案管理部門的規章制度，自覺維護檔案管理部門的信息管理安全，提高自身對信息保護的意識，積極參與到維護檔案信息管理安全的隊伍中去，為檔案管理部門的信息管理安全貢獻自己的力量。例如，檔案管理部門員工要積極學習有關信息管理安全技術方面的知識，能夠自主分辨和識別出威脅信息和數據的電子信息，并能針對其采取及時有效的防范措施。要定期地對自己的計算機軟硬件進行安全排查，發現漏洞及時與專業人員進行溝通，防范可能出現的損失。檔案管理部門員工還要以職業道德為約束，這樣檔案管理部門的機密信息才不會被非法竊取和泄露。

（二）建立完善的信息管理安全管理體制

檔案信息管理安全問題中最為核心的就是管理問題了。然而檔案管理部門的信息管理安全管理制度的建立不是一蹴而就的，是需要多方面配合的一項十分繁瑣的工作。因此，檔案管理部門應結合自身信息化建設的真實情況，建立健全針對檔案管理部門本身的信息管理安全管理體系。因此，檔案管理部門要制定出一套科學合理的信息管理安全管理體制。檔案管理部門的管理者要開設專門的崗位，選拔專業人才，建立安全管理監督小組，要求相關技術人員、管理人員參與監督網絡安全項目的建設和管理，嚴格貫徹執行國家頒布實施的各項法律法規，把網絡安全措施真正落實到實處；敦促有關部門執行有于網絡安全的工作及時準確地對網民進行指導和教育；密切監督網絡安全管理制度的執行情況，對違反制度的違法、違規行為進行嚴厲的查處并協助公安機關對網絡犯罪行為的查處工作。同時還要建立起安全保障體系。一個合理的保障體系包含多方面的內容，定期對系統進行評估、技術更新升級、可靠的應急響應措施、管理員工的安全培訓，這些都有力地保障了系統的安全性，使其穩定地保持在安全的狀態，當系統受到攻擊時也可以不過分地擔憂會受到多大的損失。

（三）建立完善的信息安全管理制度

在檔案的信息化建設中，有效的安全管理制度是約束檔案管理人員的有力武器，可以保證檔案管理部門的正常運作，是實現信息管理安全的有力保障。檔案管理部門中完善的安全管理制度應該對管理員、機房出入人員以及外來人員這三類人員的行為有嚴格的制度要求。具體體現在網絡維護制度、出入管理制度、訪問制度等。這些安全管理制度的制定可以對用戶和管理人員起到很好的約束督促作用，從而人們的新安全意識就會增強，不至于出現因粗心大意而導致的安全事故的發生。尤其要利用監督制度來嚴格保證其順利執行，否則這些制度的設立也就完全沒有意義了。此外，還要建立健全檔案管理部門安全風險評估機制。信息管理安全評估是一個過程，它可以通過客觀評價檔案信息系統的安全性，找出危險因素，明確風險的水平，并及時采取措施予以修正。建立健全信息管理安全風險評估機制就可以對不同信息系統的漏洞等安全問題對癥下藥，找出最佳的實施方案從而降低檔案信息管理安全的風險。為此，檔案管理部門在信息管理安全管理制度方面要加大對風險評估的支持力度，以求把檔案信息管理安全的風險降到最低。

（四）提高檔案信息管理安全策略

信息管理安全策略主要指網絡加密技術，一個加密網絡，對于非授權用戶來說就是一面不透風的墻，可以防止其進行搭線竊聽和入網，對于惡意軟件來說更是一個行之有效的方法。一般來說數據加密技術分為對稱類型的和非對稱類型的。對稱密鑰密碼體系又叫做密鑰密碼體系，要求加密和解密雙方使用相同的密鑰，這種加密方式的安全性主要依賴于以下兩個因素：第一，加密算法一定要相當強大，即單單依靠密文自身去解密在現實上是不可能實現的，第二，加密的安全性跟算法的秘密是沒有多大關系的，它主要的是看密鑰是不是具有秘密性。因此沒有必要確保算法的秘密性，重要的是保證密鑰的秘密性。另外，對于信息管理安全策略來說，數字簽名技術和數字證書同數字加密技術是相輔相成的。數字簽名就是對電子文檔的簽名，同樣也是依靠密碼技術,數字證書主要用于實現數字簽名和信息的保密傳輸。它們共同致力于信息管理安全建設,是信息管理安全策略的核心部分。

（五）提高檔案信息物理安全策略

物理安全對于檔案管理部門的信息管理安全來說也是至關重要的，主要是指計算機所處的環境、機械設備、通訊線路的完整性程度以及對網絡系統采取相應的安全技術措施，從而實現保護信息設施的目的。其中包括對機房場地的選擇、機房屏蔽、防火、防雷、防盜、綜合布線、區域防護等環境安全的布置和對設備安全的保障，包括設備是否有明顯的符號標記、有沒有防震動，防干擾的保護措施以及電源是否處于被保護的狀態。其次，人員安全也是物理安全的重要組成部分。因此，要加強人員審查和人員安全教育。

總之，檔案管理部門的信息管理安全問題隨著越來越激烈的市場競爭而變得越來越突出。信息管理安全的保障和實施過程是一個復雜而漫長的過程，涉及到技術、管理制度和人員等各個方面。信息管理安全的實施三分靠技術，七分靠制度，它不僅需要各種信息管理安全技術的支持，技術的不斷創新和完善，更需要各種管理制度的規范化，把信息管理安全技術和制度結合起來，形成一套完整的安全防護體系，加強計算機的立法和制度標準化進程，相信通過這些努力，信息管理安全問題也將日益得到改善。