1 檔案資訊化與資訊保安
當前,資訊技術快速發展,社會資訊化程序加速推進,建設檔案資訊化成為資訊化社會對檔案管理工作的必然要求。檔案資訊化是指檔案部門通過對現代化資訊科技的運用,加強檔案資訊資源的收集、整理、開發和利用工作,以實現檔案資訊資源的數字化、標準化、網路化,從而提高資源的利用率、實現資源共享的過程。其主要任務是:實現檔案資訊資源儲存數字化,檔案資訊管理的標準化,檔案資訊傳遞的網路化,檔案資訊利用服務的遠端化[1]。
經過近些年來的大力推進和發展,各級檔案部門資訊化網路基本形成,資訊化程度逐步深入;各級檔案人員對檔案資訊資源重要性的認識越來越深刻,對開發、利用好檔案資訊資源,為推進資訊化建設服好務的意識越來越緊迫;同時,檔案工作的方式由保管型轉變為資訊服務型,檔案管理的重點由紙質檔案為主轉變為數字化檔案為主,檔案的利用服務由面對面服務為主轉變為網路化服務。
資訊化是一把雙刃劍,檔案資訊化也不例外,在其帶來檢索快捷、利用高效等一系列優勢的同時,我們也應當清醒的看到由此而帶來的安全隱患,處理不好就會對檔案資訊化建設產生不利影響。這些隱患既有檔案資訊資源使用過程中的安全問題,如電子檔案資訊被篡改、仿造甚至竊取,造成資訊的丟失和洩密;也有電子檔案儲存過程中受到各種條件的制約和影響,如儲存介質的質量、儲存環境等,一旦出現問題可能導致儲存資訊無法讀取,影響其使用壽命。
因此,在大力推進檔案資訊化建設的同時,如何確保檔案資訊資源的可用性、保密性、完整性和不可否認性,並保證檔案資訊系統的可靠性和可控性,已經成為各級檔案管理部門和人員首要考慮的問題。
2 檔案資訊化程序中的安全隱患
檔案資訊化是一項系統工程,需要綜合考慮各方面的因素,詳細分析各種安全隱患,真正做到未雨綢繆,才能確保檔案資訊的安全,推進檔案資訊化建設的科學發展。其主要安全隱患有:
2.1 物理隱患
在檔案資訊系統中,物理安全是基礎,是前提。物理安全如果得不到保證,其它一切安全措施就無從談起[2],影響系統物理安全的主要因素有:
①系統環境的破壞。計算機機房及機房專用裝置的選擇,應當保證計算機裝置的正常執行,當發生火災、地震等自然災害時,可能會對檔案資訊系統造成毀滅性損失,電源、溫度以及電氣、電磁干擾等因素也可能影響到電子裝置的使用奉命。
②計算機裝置的損毀。主要是指計算機裝置的被毀、被盜,或由於電磁干擾造成系統自身無法正常工作的現象。
③儲存介質的損毀。是指儲存檔案資訊的硬碟、行動硬碟、U盤、光碟等介質被損毀,無法讀取儲存資料的現象。
2.2 傳輸中的隱患
①網路自身隱患。由於網路自身結構缺陷,電子檔案資訊在傳輸過程中,容易受到旁路控制、授權侵犯、植入木馬、利用漏洞等方法的攻擊,造成重要資料資訊被截獲、破譯。
②傳輸通道的隱患。無論是使用無線通道還是有線通道,都有各自的安全隱患,可能被監聽、監視,造成檔案資訊被竊取、被修改。
2.3 網路系統的隱患
①計算機作業系統隱患。作業系統是計算機可靠執行的基礎,但開發商在設計程式的過程中都會留有一些漏洞或後門,這就對使用這些作業系統的計算機留下嚴重隱患。
②計算機病毒威脅。檔案資訊化程序中,計算機病毒不可避免,所造成的損失也是最大,有時可能會造成多年累積的重要檔案資料的丟失,損失是災難性的[3]。
③對系統的非法攻擊。非法進入有關網路獲取相關資料或使之癱瘓,是資訊系統受到的主要威脅之一。檔案資訊系統要能經受一般hacker的網路攻擊,一些重要涉密檔案資訊系統還有可能遭受敵對勢力的蓄意攻擊,對此應尤為關注。
2.4 管理中的隱患
①安全教育不到位,安全意識不強。從事檔案工作的人員接觸大量祕密資訊,安全保密教育應經常化,但往往強調業務工作較多,而忽略了安全工作,從而造成安全意識薄弱,認識不到保密形勢的嚴峻性。
②規章制度不落實,管理不到位。檔案內容不涉密的,可以按一般檔案管理規定進行安全管理。而內容涉密的檔案,必須在執行檔案管理規定的同時,還要遵守保密安全管理規定,確保涉密資訊的安全[4]。
③工作疏忽不盡心,思想麻痺大意。對當前形勢認識不足,工作標準不高,得過且過,對可能出現的安全隱患預見不夠,出現安全問題時,發現不及時,證據收集不得力等。
3 防範檔案資訊化程序中安全問題的對策
防範檔案資訊化程序中出現安全問題,確保檔案資訊絕對安全,不僅是檔案管理部門的職責,也是資訊化建設的`重要內容。本文從意識、規範、技術和人才等四個方面來探討,如何確保檔案資訊化程序中的安全問題。
3.1 加強教育,築牢檔案從業人員安全保密意識
一是加強資訊保安保密教育,從知悉祕密資訊的程度來看,各級檔案從業人員均應作為安全保密教育的重點物件;
二是加強檔案資訊處理過程中的安全意識教育,確保形成的電子檔案格式正確、讀取方便、便於儲存。教育內容可圍繞鬥爭形勢、方針原則、法律法規、專業知識、經驗教訓等,通過這些內容新穎、方法靈活並切實有效的經常性宣傳教育,普及資訊保安保密知識,增強對資訊保安保密認識,提高做好檔案資訊化中安全保密工作的技能,消除資訊保安隱患,從而築牢檔案從業人員安全保密意識,營造良好的安全保密環境,推進檔案資訊化建設的科學發展。
3.2 建章立制,完善檔案資訊保安保密管理規範
“沒有規矩,不成方圓”。適應檔案資訊化發展的程序,及時建立並不斷完善各項檔案資訊保安保密管理的法規制度,堅持依法從嚴管理,確保檔案資訊的完整與安全是檔案管理工作的重要內容。
一是按照計算機資訊系統安全保密相關標準,制訂一套適用於檔案資訊系統管理的標準規範。如對計算機系統所在環境安全防護有GB50147-93《電子計算機機房設計規範》及GB2887-2000《電子計算機場地通用規範》等標準,但在檔案資訊系統的建設中,需要將上述標準部分內容進行調整,使之更加適合檔案資訊系統需求。
二是加強檔案資訊化建設與管理的法規標準制訂,建立起完善的法規制度體系,確保檔案資訊從收集、歸檔到利用等各個環節都有相應的安全標準或措施,建立“全壽命、全過程”管理,以確保檔案資訊的不失真、不洩露。
3.3 發展技術,增強檔案資訊系統安全防範能力
採用一定的技術措施支援,應用資訊保安技術與相應裝置,是做好檔案資訊系統安全防護的關鍵。
一是發展密碼技術,尤其是非對稱密碼體制,切實堵塞資訊在傳輸過程中被竊取而造成的洩密的漏洞;
二是防病毒技術,病毒防護是檔案資訊化安全問題的重中之重,要將病毒防護體系建設作為檔案資訊化過程中的重要一環進行部署;
三是防火牆技術,防止未授權使用者進入檔案資訊網路,防止破壞網路結構、竊取內部資訊的發生,確保整個網路的安全。但在發展技術過程中,要注意以下三點:
①引進裝置時必須進行安全檢測,由於技術水平的制約,檔案資訊化程序中,不可避免地需要引進一些國外生產的裝置,為防止技術竊密,必須對引進的裝置進行安全檢測,確保引進裝置的安全可靠,防範洩密案件發生。
②大力發展具有自主智慧財產權的技術,要建立一套安全的網路系統,只能靠自己的技術來保障,要有重點地發展我們自己的資訊保安保密關鍵技術。
③建設檔案資訊系統要選擇實用、適合自身體系需求的技術,不應一味追求高和新,檔案資訊化的最終目的是為了便於檔案資源的利用,因此不要把檔案資訊化當作“面子工程”來建,要實用有效。
3.4 培養人才,打牢檔案資訊系統安全發展基礎
推進檔案資訊化建設,既需要管理型人才,也需要技術型人才,既要有研究型人才,也要有技能型人才,在此過程中要確保檔案資訊系統的安全,關鍵是要建立一支政治強、要求嚴、懂技術、會管理的骨幹隊伍。首先要具有堅定的理想信念和奉獻精神,從事檔案工作的人員要向劉義權同志學習,始終保持正確的政治方向,不計個人得失,甘願為檔案事業犧牲奉獻。其次要多渠道培養人才隊伍,通過建立培訓基地、完善院校教育等方式培養更多既懂檔案專業,又具有資訊保安保密技能的多學科人才。
參考文獻:
[1]丁立新.檔案資訊化的發展趨勢[J].檔案學研究,2009(4).
[2]謝建雲.檔案資訊化建設中安全工作思考[J].蘭臺世界,2010(10).
[3]王燕.檔案工作資訊化管理模式中的資訊保安問題[J].蘭臺世界,2010(4).
[4]安爾華.檔案資訊化保密安全問題應對措施初探[J].中國檔案,2010(6).