檔案信息安全面臨問題和對策

前言：尋找寫作靈感？中文期刊網用心挑選的檔案信息安全面臨問題和對策，希望能為您的閱讀和創作帶來靈感，歡迎大家閱讀并分享。

摘要：信息化時代，檔案信息資源高度依賴軟硬件系統，同時還具有存儲密度高、載體內容可分離的特點，這給我國檔案事業的創新和發展帶來了新的機遇，同時也帶來了新的信息安全問題。對此，本文從意識、保障技術、信息安全風險評估和管理的角度提出了加強檔案信息安全管理的對策，以供同仁參考。

關鍵詞：信息化;檔案;信息安全

一、信息化背景下檔案信息資源的特點

（一）對軟硬件系統的依賴

傳統檔案信息的記錄都直接依賴于紙張等實物載體，這些記錄符號一般都直接可以通過人工進行識別，而在信息化環境下檔案信息的錄入和管理都是以數字編碼的形式記錄在電子化的載體上，如磁盤、硬盤等。信息化背景下檔案信息安全的重點已從人工識別轉移到機器識別，這也使得檔案信息安全很大程度上依賴軟硬件設備。另一方面，技術上的更新也會導致信息識別和存儲方法的改變，給檔案信息管理帶來了很大困難。

（二）存儲密度高

在電子檔案存儲剛興起時，磁盤和光盤是最主要的保存方式，以光盤為例，一張光盤所能存儲的文字數大約為35萬張紙質檔案的數量，而如今隨著信息技術的不斷發展，一個小小的移動硬盤就可以存儲多達幾T的內容。這種高密度性的存儲大大節省了檔案存儲的空間，但同時也給信息安全提出了更高的要求，因為存儲設備的一點點損壞就可能導致大批量檔案資料無法讀取而造成的損壞與丟失，信息化背景下檔案存儲密度高的特點也要求檔案管理部門做好存儲設備的維護工作。

（三）載體之間可分離

在信息化背景下，檔案信息能夠脫離實體檔案的束縛，更加自由的進行加工和管理，這種可分離性的特點使得檔案能夠很輕易的被修改并且不留下任何的痕跡。同時，還能夠進行直接的復制，并且與原始電子檔案資料毫無區別。這種可分離性也使得檔案的傳輸更加便利，在網絡化的環境下檔案信息資料能夠快速的流通和傳輸，檔案需求的發起者能夠通過PC端或者移動端突破空間的界限在線調閱檔案資料。載體的可分離性也使得檔案信息安全面臨著極大的挑戰，檔案管理部門在保障電子存儲設備安全的同時還要保證網絡環境的安全。在互聯網環境下，檔案信息流通的任何一個環節都可能被截取、偽造和篡改，這也要求檔案管理部門必須綜合采用各種技術手段來保障檔案流通和傳輸的安全。

（四）信息構成復雜

傳統檔案的信息構成較為單一，一種載體通常只能存儲一種格式的文件，如紙質載體就僅能存儲文字或者圖像類的文件，磁帶就只能處理聲音類的檔案資料。在信息化背景下，檔案信息的構成就更加多元化，多種格式的檔案信息能夠同時集成在一個文件資料上，能夠以更為直觀和生動的方式展現檔案記錄的真實情況。這種多媒體的繼承性就使得電子檔案信息的構成十分復雜。檔案的可分離性也使得檔案信息的構成較為復雜，傳統檔案由于具備原始性，因此，在其管理中能夠始終保持檔案的真實和完整，易于管理者的確認。而信息化背景下如果要對檔案的真實性和原始性進行確認，就必須綜合收集檔案在各個時期和階段所呈現出的內容，包括背景信息、元數據、軟硬件特點等，這也就造成了檔案信息構成的復雜性，因此，在檔案信息安全保護中，還要充分的考慮到軟硬件的兼容性和檔案各個時期的特點。

二、檔案信息資源信息安全防護存在的問題

（一）信息安全防護過度影響檔案利用

檔案信息安全保護的原則之一即為適度保護。與其他信息資源有所不同的是，檔案具有原始性、真實性的特點，具備參考、憑證等多元價值，因此，檔案管理工作的重點不僅是管理，還在于對其的利用。同樣的，檔案價值越高，面臨的信息安全風險就會越高，其信息安全管理工作就更加重要。我國檔案信息安全管理普遍缺乏信息安全評估體系，這也導致了檔案保護的不足或過度。一方面，由于上級檔案管理部門沒有對信息安全等級進行劃分或指導，一線管理單位也缺乏檔案價值標準體系，這就使得在日常的檔案信息安全管理中主觀性和隨意性較強，通常由人工對檔案價值進行初步的判斷直接定級，對此采取相應的信息安全管理措施。同時，由于責任不夠明確，也使得工作人員為了規避信息安全風險對檔案進行更為封閉的保護和管理，限制了檔案的利用。另一方面，對于普通或者不重要的檔案完全放任自流，但在互聯網環境檔案大規模傳播進一步增加了檔案丟失的危害，因此，更需要一套完善的標準來保障檔案的適度保護。

（二）信息安全防護策略偏重安全技術

信息化背景下檔案信息安全保障體系應包括多個方面，包括最基礎的安全管理制度、安全管理的執行層和安全技術的支撐層等。但長期以來，我國檔案管理部門普遍存在著過度依賴信息安全技術的情況。從信息化建設初期的加密技術、數據備份手段到互聯網環境下的防火墻技術、認證技術和入侵檢測等方式。但由于互聯網環境的復雜性和信息技術發展的快速性，單純依靠信息安全技術和相關產品來進行信息安全防護工作的效果啟示并不理想，由于信息安全威脅事件的突發性和不確定性，大多數的信息安全隱患是無法消除的。而從我國頻發的信息安全事件上來看，由于信息安全意識缺乏和信息安全制度不完善所導致的問題屢見不鮮，如近年來高校對學生個人信息的泄露、醫院患者個人信息的流失等大規模信息安全事件，都是人為導致而不是技術問題。據統計約有70%的安全事件是由于安全管理的疏忽導致的，這也提醒我們檔案信息安全應不斷構建完善的安全管理體系。

（三）信息安全體系缺乏評估體系

當前我國各單位的檔案信息安全工作還較為孤立，處于各自為政階段，沒有形成一個適應性強、普適性強的檔案信息安全保障體系。沒有綜合運用各種元素對檔案面臨的信息安全風險進行評估，這也就導致了各單位檔案信息安全管理工作的方向和目標不夠明確，造成了本單位的信息安全管理工作的針對性不強。同時，在采取相應的信息安全防護措施之后，無法準確地了解到本單位的信息網絡和軟硬件系統是否符合相關的安全要求，存在哪方面的安全漏洞、可能造成的后果、相應的解決措施，以及對軟硬件系統進行更新后又會面臨到哪些新的信息安全風險等。而完善的信息安全風險評估體系，則可以較好地解決這些問題，對于檔案管理者尤其是面向社會的檔案管理者來說，信息安全評估體系的建設意義重大。

（四）信息安全管理缺乏持續性

目前，我國檔案信息安全管理普遍缺乏持續性，這也導致整個單位的信息安全工作缺乏長效性。由于信息安全問題的突發性和不確定性，對于未發生信息安全事件的單位來說，信息安全保護的成效和價值無法在短期之內顯現出來，這也就導致了多數單位在平時放松了信息安全管理，而在發生了信息安全事件時進行緊急的搶救工作。但在信息化環境下，檔案管理工作面臨的風險更加多元化，同時，由于檔案服務利用的不斷豐富，檔案信息安全事件的破壞性和覆蓋面更大，過去集中式和突發式的檔案信息安全管理措施已經無法滿足當前的網絡環境。檔案管理部門必須提高對信息安全問題的重視，建立長效的檔案信息安全保護機制進而保障檔案安全。

三、加強檔案信息安全的對策

（一）提高檔案安全保護意識

提高信息安全意識是構建和維護良好信息環境的基礎。在現代化的檔案管理模式下，檔案信息安全的保護不僅是檔案日常管理工作有序進行的重要基礎，更是保護公民個人信息安全的必然要求，這也要求了公民、檔案管理人員都要具備良好的信心安全意識。加強檔案保護意識，首先，提高公眾的信息安全意識，公眾是檔案來源的重要組成部分，也是檔案信息安全受損的受害者。對此，相關管理部門和檔案管理部門應注重檔案信息安全知識的宣傳和普及，開展各種路演活動和專題宣傳活動提高公眾的信息安全意識；其次，著重加強檔案管理人員的信息安全意識。檔案管理部門應牽頭組織，聯合開展培訓活動，吸收專業的檔案管理人才參加，不斷推動檔案培訓的系統化、組織化和長期化。由于在信息化背景下檔案管理工作的社會化和服務化特點逐漸突出，還應注重服務管理方面的培訓，同步展開、異地聯動，借助專題講座、定期培訓培養專業人員的信息安全意識。

（二）建立信息安全風險評估體系

建立信息安全風險評估體系，要以2018年底國家檔案局辦公室印發的《檔案館安全風險評估指標體系》（以下簡稱《指標體系》）內容為基礎，結合現單位的工作實際情況來進行制定。其中，檔案信息安全包含系統安全、數據安全、檔案開放和利用安全三項二級指標。其中，系統安全包括機房安全、網絡安全、設備安全、軟件安全和運行安全，機房安全的安全評估主要參考國家檔案局印發的《數據中心設計規范》和《數字檔案館建設指南》等文件。數據安全包括數據管理、數據信息資源保存與備份、檔案數字化加工，這一部分在參考文件的基礎上結合檔案管理部門的數字化檔案建設進程進行建立。檔案開放和利用包括檔案開放、檔案解密、涉密和未開放檔案利用、開放檔案利用、檔案公布和編輯出版。在這一方向上的安全風險評估要注重檔案的保密性和利用性的平衡，根據本單位的檔案服務方式和服務能力進行具體化的制定。

（三）建立長效信息安全保護機制

建立長效信息安全保護機制的重點就在于完善頂層設計，進而推動檔案信息安全管理的常態化和規范化管理。在管理層加強檔案信息安全管理的頂層設計與規范，有助于保障檔案信息安全工作的有序開展，同時也為檔案信息安全保障提供了完善的制度支撐。對此，領導層面應不斷加強信息安全管理流程的合理性和靈活性，以規范化和常態化的信息安全管理提高整個單位檔案信息安全保障體系的穩定性。對信息化背景下檔案信息安全管理流程進行解構，從計劃、執行、檢查、改進的角度開展循環管理。對主要進行問題梳理和目標制定工作，通過對信息化建設中和檔案日常管理中涉及到的本單位、其他單位和公眾的信息安全風險進行全面梳理，進而制定管理目標。同時，發現尚未解決的信息問題或者效果不佳的策略，進入新一輪的循環管理，保證信息安全管理的流程能夠始終面向問題、發現問題、解決問題。

參考文獻  

1.宗文萍.郭莉珠.檔案信息安全保障體系建設研究[J].檔案學通訊，2006.1

2.項文新.檔案信息安全保障狀況需進行風險評估[J].中國檔案，2007.12

3.李爽.影響數字檔案信息安全的因素與對策[C].“決策論壇——經營管理決策的應用與分析學術研討會”，2016

作者:黃富才 單位:海南省人民醫院