試論電子檔案信息安全評價指標體系

李惠

（大連市現代農業生產發展服務中心，遼寧 大連 116021）

0 引言

從實踐發展角度來看，電子檔案信息的安全管理是一個操作過程，因此最為關鍵的就是要明確如何準確識別運行期間面臨的各類風險，以及風險可能帶來的危害和影響范圍，而后根據實踐管理經驗進行深入研究和評估。根據當前電子檔案信息管理情況分析，管理人員只有具備科學適宜的分析模型和解決對策，才能在全面掌握安全風險的同時進行準確評估，并由此控制各類風險引發的危險，提升檔案信息安全管理水平。

1 電子檔案信息安全評價指標體系的構成分析

1.1 物理安全

簡單來講，物理安全是指儲存檔案信息的系統庫、網絡設備和工作場所內外的環境條件，必須要符合電子檔案信息安全管理需求，且不會影響網絡設備和管理人員的操作。在遇到安全故障或各類災害時，要提出適宜的預防管理對策，這樣能避免在分析探索期間出現更多的經濟資源損耗。一般情況下，針對物理安全的評價指標主要涉及以下幾點內容：第一，環境。例如，管理人員要準確判斷和觀察計算機機房所處環境和信息檔案，庫房建設是否符合管理需求，是否能直接抵抗自然災害；庫房建設是否具備充足的電力和水資源，整體環境是否清潔，是否處在交通便利且通信良好的區域；是否在內部環境中合理引用防水防火設備技術，是否安裝了監控系統，是否提出了有效的防雷對策。第二，設備。這項工作主要是針對電子檔案信息系統的應用設備而言，其中涉及設備的防毀、防電磁信息輻射、防盜等內容；第三，載體。在保障應用設備安全性能的同時，還要提升載體安全性能，并針對其從物理安全防護角度入手提出適宜的防盜防毀等對策。如下表1所示，其為管理人員針對物理安全提出的故障排查工作內容[1]。

表1 基于電子檔案信息物理安全的故障排查工作內容

1.2 管理安全

安全管理作為電子檔案，信息系統穩定運行的基礎，保障，提出科學的安全觀的理念和完善的管理制度，才能確保實踐檔案信息管理有序進行。針對當前電子檔案信息提出的管理安全指標主要涉及以下內容：首先，需要安排組建專業的安全管理人員和機構，并且具備相關單位的正式任命文件；其次，要針對整體信息安全管理提出完善的規章制度，針對不同的管理要求提出適宜的管理制度，有助于保障各項工作嚴格按照規定要求實施；最后，針對緊急事故提出科學處理預案[2]。

1.3 網絡安全

大部分電子檔案在網絡平臺中傳輸都會出現較多安全問題，原因在于網絡屬于開放性的技術信息流通渠道，所表現出的抵抗能力和防衛能力都非常低，因此很容易受到黑客和病毒的威脅。針對網絡安全提出的評價指標主要包含：第一，網絡設備是否具備病毒防范對策；第二。是否會安裝防火墻和入侵檢測設備等來預防黑客入侵；第三，是否針對用戶訪問需求提出有效的控制對策；第四，是否針對網絡的常規操作行為提出了審計和監控對策。上述要求都可以在減少攻擊行為的同時，保障網絡安全運行水平。

1.4 信息安全

針對近年來網絡安全解決經驗分析，電子檔案信息安全管理要做好以下工作：第一，加密技術。檔案本身屬于原始記錄性信息，而網絡環境的不明確性和不穩定性很難保障電子檔案有效儲存和記錄原始信息，且受檔案權限控制無法在網絡環境中公開傳遞，這就需要利用加密技術對檔案信息進行加密處理，以此確保其在傳輸期間具有安全性和可靠性。第二，建立技術。網絡傳輸檔案數據也會影響信息的完善性，尤其是黑客攻擊會直接篡改或刪除部分數據，此時就需要利用有效的鑒別技術進行全面管控。第三，防泄露技術。信息泄露的預防工作主要涉及兩方面內容，一方面是指信息審計系統，另一方面是指密級權限控制。前者可以實時審查進出內部網絡的各項信息，避免其在傳輸期間存在泄密行為，而后者會根據信息保密級別的高低程度來進行范圍劃分，并由此控制各類用戶訪問電子檔案信息系統的權限，然后對他們進行分組管理。第四，數據庫安全。電子檔案信息組織最重要的信息大都儲存在數據庫中，因此在實踐運行管理期間必須要加強對這一內容的監管力度。第五，防抵賴技術。這一內容主要用來確保用戶不會否定自身行為，并利用公證的方式來解決可能引發的爭議，其中涉及對數據源和目的地的雙方驗證信息。

1.5 系統安全

基于系統安全提出的評價指標主要涉及以下內容：第一，操作日志。這項內容準確直觀記錄了所有系統操作步驟，有助于方便管理人員后續分析和研究系統受損的原因，且可以為接下來的管理工作提供基礎保障。第二，安全檢測。合理利用系統安全檢測工具處理網絡安全，可以在發現問題的基礎上提出有效的補救對策，以此提升整體系統網絡安全性能。第三，防破壞操作。操作系統中包含了網絡系統的各項資源，屬于計算機系統穩定運行的中樞區域，其所表現出的工作性能直接決定了其他環節運行效果，因此要針對操作系統提出明確的鑒別標準，以此避免出現有害功能。第四，災難恢復系統。在人為或自然因素的影響下損害系統安全時，需要保障其可以盡快恢復正常工作，且要將實際損耗降到最低，這就需要運用災難恢復系統。

2 明確指標權重的方法

基于多個評價指標實施綜合評估，不管是從評價對象還是評價目標來看，它們所展現出的作用都是各不相同的。隨著指標重要性的提升，相應的權重數值也會隨之增加，反之則證明其產生作用越小。在電子檔案信息安全管理期間，科學設定指標權重，保障因素之間的輕重濃度，有助于提升整體評價的可比性。根據實踐安全評價工作分析可知，明確權重的方法有很多，例如環比法、德爾菲法、層次分析法等。

以層次分析法為例，其在準確評估和選擇決策目標后，會對它們的優劣性進行排序，而后為決策管理人員提供定性定量的分析結果。具體步驟如下所示：第一，要對復雜問題進行概念化處理，并明確研究目標所包含的各項因素；第二，要了解各個因素之間的關聯關系，并提出有序的層次結構分析模型；第三，在處理同一層的影響因素時，要根據上一層中提出的某一準則的相對重要性進行對比分析，而后構建判斷矩陣；第四，結合判斷矩陣計算對比因素在上一層準則中的相對權重，而后實施一致性檢驗；第五，了解各層次與系統總目標之間的合成權重，而后由此得到層次的總體排序。

3 基于模糊綜合評價的電子檔案信息安全管理工作

模糊綜合評價就是利用模糊數學和模糊關系合成的原理，將部分邊界不明確或不容易定量的因素進行定量化處理，而后實施綜合評價的一種方法。將其應用到電子檔案信息安全管理工作中，具體步驟分為以下幾點：

第一，明確評價集，這項內容根據評判人員對評價對象可能作出的各項評判結果構建集合。一般來講，電子檔案信息安全評價主要分為五個等級，其中包含很好、好、較好、一般、差。而這些內容就是實際評價集合。第二，構建因素集合，其實質是影響評價對象的各項因素所構成的集合。第三，構建權重集合，這一內容需要結合上文提出的層次分析法來獲取。第四，提出單因素評價，并由此構建模糊評價矩陣，而后明確所有因素指標在評語集合當中的隸屬度。第五，針對模糊矩陣實施符合運算，以此明確各層次各項因素的評價結果和最終綜合評價結果[3]。

4 結語

綜上所述，針對新時代發展所涌現出的電子檔案信息管理工作而言，必須要加強對有關安全評級指標體系構成和應用的研究力度，注重結合層次分析法和模糊綜合評價法實施管理分析，只有這樣才能從基礎上保障電子檔案信息運行安全。