王煒煒

摘 要：檔案管理是企業(yè)和單位管理工作的重要組成部分，隨著信息技術(shù)的普及應(yīng)用，實(shí)現(xiàn)檔案管理的數(shù)字化，能提高管理效率和質(zhì)量，但同時(shí)也帶來(lái)了信息安全風(fēng)險(xiǎn)。本文首先分析了檔案管理數(shù)字化的應(yīng)用優(yōu)勢(shì)，然后指出信息安全風(fēng)險(xiǎn)類(lèi)型，最后闡述了相關(guān)控制措施，以供參考。

關(guān)鍵詞：檔案管理；數(shù)字化；信息安全風(fēng)險(xiǎn)；控制措施

檔案管理的數(shù)字化，就是將紙質(zhì)檔案升級(jí)為電子檔案的過(guò)程，主要采用掃描、錄入等方法，將檔案信息存儲(chǔ)到計(jì)算機(jī)數(shù)據(jù)庫(kù)中，實(shí)現(xiàn)快捷檢索、同步備份的目標(biāo)。新的經(jīng)濟(jì)社會(huì)形勢(shì)下，傳統(tǒng)的檔案管理模式不滿足實(shí)際工作需求，數(shù)字化管理應(yīng)運(yùn)而生。提高管理水平，保證檔案信息的安全性，成為從業(yè)人員的關(guān)注要點(diǎn)，以下對(duì)此進(jìn)行探討。

1.檔案管理數(shù)字化的應(yīng)用優(yōu)勢(shì)

以計(jì)算機(jī)、互聯(lián)網(wǎng)為代表的信息技術(shù)，目前已經(jīng)走進(jìn)人們的生產(chǎn)生活中，對(duì)于同樣一項(xiàng)工作任務(wù)，原本需要大量人力和時(shí)間，基于信息技術(shù)下只需要很少的人力和時(shí)間。如此一來(lái)，不僅提高了工作效率，也減輕了人們的勞動(dòng)強(qiáng)度，工作更加輕松舒適。新的經(jīng)濟(jì)社會(huì)背景下，檔案管理工作也要向著高效性、便捷化發(fā)展，于是數(shù)字化管理出現(xiàn)，提供了多樣化的服務(wù)手段。例如：管理人員在檔案的整理上，不再采用手抄、謄寫(xiě)等形式，而是檢索、編目，實(shí)現(xiàn)了檔案—計(jì)算機(jī)—電訊的三位一體，其一方便使用者及時(shí)準(zhǔn)確地找到需要的檔案資料，提高資源使用效率；其二檔案管理的硬件、軟件升級(jí)，為管理創(chuàng)造了良好的氛圍[1]。

2.檔案管理數(shù)字化中的信息安全風(fēng)險(xiǎn)類(lèi)型

檔案管理的數(shù)字化，是充分利用互聯(lián)網(wǎng)技術(shù)，將檔案資料置于全球網(wǎng)絡(luò)中，實(shí)現(xiàn)IP地址之間的互相訪問(wèn)。如此開(kāi)展檔案管理工作，能提高查詢(xún)效率、管理質(zhì)量，大大減輕工作量；同時(shí)也為管理本身帶來(lái)了安全風(fēng)險(xiǎn)，具體如下：

2.1 技術(shù)安全風(fēng)險(xiǎn)

技術(shù)安全風(fēng)險(xiǎn)的形成，原因包括兩個(gè)方面：第一，網(wǎng)絡(luò)安全防護(hù)能力低，例如網(wǎng)絡(luò)安全體系自身不完善；或者企事業(yè)單位不重視，在基礎(chǔ)設(shè)施上的投入不足，后期維護(hù)保養(yǎng)工作不到位等，導(dǎo)致安全體系的設(shè)計(jì)和建設(shè)步伐不一致。此外，我國(guó)使用的計(jì)算機(jī)大多是國(guó)外品牌，由于技術(shù)上受限制，可能會(huì)事先植入后門(mén)。第二，存在泄密隱患。隨著企事業(yè)單位的經(jīng)營(yíng)發(fā)展，會(huì)產(chǎn)生大量的數(shù)據(jù)信息，一旦檔案資料數(shù)據(jù)丟失，就會(huì)造成巨大損失，因此機(jī)密性受到威脅。經(jīng)濟(jì)全球化背景下，反竊密斗爭(zhēng)愈演愈烈，保密工作面臨更加復(fù)雜的環(huán)境。以手機(jī)泄密、移動(dòng)存儲(chǔ)泄密、互聯(lián)網(wǎng)泄密為例，為信息安全管理帶來(lái)新的挑戰(zhàn)[2]。

2.2 人為惡意攻擊

相比于自然災(zāi)害和硬件系統(tǒng)，人為攻擊由于是精心設(shè)計(jì)的，因此威脅性更大，而且難以使用現(xiàn)有的法律法規(guī)進(jìn)行防護(hù)。在數(shù)字化檔案管理中，人為攻擊可以分為兩種形式：一是主動(dòng)攻擊，即擅自篡改信息內(nèi)容，破壞檔案信息的完整性、有效性；二是被動(dòng)攻擊，即不影響網(wǎng)絡(luò)的正常使用，對(duì)檔案信息進(jìn)行截獲竊取。常用的攻擊手段，是木馬病毒、黑客入侵、垃圾郵件等。

2.3 安全管理薄弱

信息安全具有突發(fā)性、擴(kuò)散性，從安全風(fēng)險(xiǎn)的來(lái)源入手，采用技術(shù)、法律、管理等手段，建成完善的安全管理系統(tǒng)，成為管理人員的共識(shí)。但是，我國(guó)信息安全管理工作的起步晚，在風(fēng)險(xiǎn)評(píng)估、標(biāo)準(zhǔn)制定、安全管理細(xì)則上相對(duì)缺乏，因此存在諸多漏洞。結(jié)合檔案管理的特點(diǎn)，威脅包括以下幾種[3]：①拒絕服務(wù)；②非法使用；③授權(quán)侵犯；④業(yè)務(wù)流分析；⑤旁路控制；⑥抵賴(lài)。

3.針對(duì)信息安全風(fēng)險(xiǎn)的控制措施

3.1 規(guī)范信息傳播行為

在檔案信息的傳播過(guò)程中，發(fā)布者、傳遞者、接收者均可能造成安全風(fēng)險(xiǎn)，因此要規(guī)范信息傳播行為。第一，規(guī)范信息發(fā)布者的行為。檔案信息的發(fā)布者，即企事業(yè)單位，經(jīng)單位授意后由檔案館落實(shí)。對(duì)于企事業(yè)單位而言，應(yīng)該在檔案管理上制定完善的制度規(guī)范，讓管理人員準(zhǔn)確判斷檔案信息是否能在網(wǎng)上發(fā)布，要遵守的原則和注意事項(xiàng)，以及檔案保密和開(kāi)放界限[4]。具體工作中，要協(xié)調(diào)保密和開(kāi)放的關(guān)系，對(duì)于不需保密的檔案及時(shí)公布社會(huì)；對(duì)于涉及個(gè)人隱私、知識(shí)產(chǎn)權(quán)的檔案，則要加強(qiáng)保密措施。第二，規(guī)范信息傳遞者的行為。檔案信息的傳遞者，即單位信息中心的工作人員，要對(duì)人員的選拔任用嚴(yán)格把關(guān)，既精通信息技術(shù)，又具備高度責(zé)任心，構(gòu)建一支高素質(zhì)、復(fù)合型的人才隊(duì)伍。第三，規(guī)范信息接收者的行為。檔案信息的接收者，即使用檔案的個(gè)人、家庭、組織，要制定規(guī)范引導(dǎo)接收者科學(xué)使用檔案，不能對(duì)信息內(nèi)容修改、增減，遵守各項(xiàng)管理規(guī)定。

3.2 采用安全技術(shù)措施

針對(duì)檔案信息的安全風(fēng)險(xiǎn)，技術(shù)措施就是采用保密技術(shù)，避免信息泄露、修改、破壞。傳統(tǒng)的加密法，就是基于密鑰Ke下，采用加密算法將明文數(shù)據(jù)M加密成C，此時(shí)C=E（M，Ke），其他人就不會(huì)理解C的含義。新型加密法包括以下幾種：一是數(shù)字簽名法，計(jì)算機(jī)網(wǎng)絡(luò)在使用時(shí)，利用數(shù)字簽名，確保當(dāng)事人身份、數(shù)據(jù)的真實(shí)性。二是認(rèn)證技術(shù)法，需要驗(yàn)證認(rèn)證對(duì)象是否實(shí)名、是否有效，以保證數(shù)據(jù)的真實(shí)性，避免他人假冒或篡改。三是智能卡技術(shù)，將數(shù)據(jù)的存儲(chǔ)、處理、安全保密等功能，集成在電路芯片中，然后嵌入存款基片上，使其成為智能卡。四是防火墻技術(shù)，設(shè)立網(wǎng)絡(luò)防火墻，將內(nèi)部網(wǎng)絡(luò)、外部網(wǎng)絡(luò)分隔開(kāi)，避免內(nèi)部網(wǎng)絡(luò)受到外部攻擊，防止內(nèi)部用戶(hù)向外部泄密。

3.3 實(shí)施授權(quán)控制

在檔案信息安全風(fēng)險(xiǎn)的控制上，除了管理人員、企事業(yè)單位以外，國(guó)家也要采取手段，例如完善政策法律，為安全管理提供保障。此外，授權(quán)控制就是為不同用戶(hù)設(shè)置訪問(wèn)權(quán)限，針對(duì)網(wǎng)上信息進(jìn)行分層管理，一般分為三個(gè)層級(jí)，即領(lǐng)導(dǎo)層、管理層、用戶(hù)層[5]。如果檔案關(guān)系到干部任免、財(cái)務(wù)預(yù)算決算，屬于絕密信息，禁止網(wǎng)址公開(kāi)，由高層領(lǐng)導(dǎo)掌握信息。如果是會(huì)議通知、工作計(jì)劃、報(bào)告、請(qǐng)求等，在特定時(shí)間內(nèi)需要保密，不能在網(wǎng)上公開(kāi)，由管理人員掌握信息。如果是通信簡(jiǎn)報(bào)、惠民舉措，則可以向社會(huì)公開(kāi)，為公眾提供服務(wù)。

3.4 安全風(fēng)險(xiǎn)評(píng)估

對(duì)檔案信息安全風(fēng)險(xiǎn)進(jìn)行評(píng)估，主要采用以下方法：一是信息模型分析法，采集檔案安全信息，識(shí)別風(fēng)險(xiǎn)要素并制定應(yīng)對(duì)策略，比較安全管理情況和標(biāo)準(zhǔn)模型，從中明確不足之處，最終選擇最佳安全管理方案。二是經(jīng)驗(yàn)分析法，企事業(yè)單位從以往檔案管理的經(jīng)驗(yàn)入手，看安全現(xiàn)狀和目標(biāo)之間的差距，優(yōu)勢(shì)是能減少人力和資源的使用，提高管理效率。三是定性分析法，通過(guò)管理人員討論、調(diào)查問(wèn)卷、同類(lèi)型企事業(yè)單位安全事件統(tǒng)計(jì)等形式，確定檔案信息風(fēng)險(xiǎn)的權(quán)重，對(duì)不同風(fēng)險(xiǎn)按照嚴(yán)重程度進(jìn)行排序，為風(fēng)險(xiǎn)控制工作的開(kāi)展提供依據(jù)。

4 結(jié)語(yǔ)

綜上所述，檔案管理的數(shù)字化，提高了管理工作的效率和質(zhì)量。分析可知，信息安全風(fēng)險(xiǎn)的類(lèi)型，主要包括技術(shù)安全風(fēng)險(xiǎn)、人為惡意攻擊、安全管理薄弱三個(gè)方面。對(duì)此，應(yīng)該規(guī)范信息傳播行為、采用安全技術(shù)措施、實(shí)施授權(quán)控制，并對(duì)安全風(fēng)險(xiǎn)進(jìn)行評(píng)估，從而促進(jìn)管理工作有序開(kāi)展。

參考文獻(xiàn)

[1] 劉影.試析檔案信息化建設(shè)中的信息安全風(fēng)險(xiǎn)評(píng)估問(wèn)題[J].黑龍江檔案，2012，（4）：71-71.

[2] 張娟，李儀.個(gè)人檔案信息共享的規(guī)制措施研究——以應(yīng)對(duì)檔案管理數(shù)字化建設(shè)下的信息安全風(fēng)險(xiǎn)為視角[J].檔案與建設(shè)，2015，（3）：33-36，42.

[3] 段英華.淺談檔案管理數(shù)字化中的信息安全風(fēng)險(xiǎn)及其控制[J].黑龍江史志，2015，（7）：104-104.

[4] 李儀，張娟.個(gè)人檔案信息共享的規(guī)制措施研究——以應(yīng)對(duì)檔案管理數(shù)字化建設(shè)下的信息安全風(fēng)險(xiǎn)為視角[J].檔案管理，2015，（3）：11-14.

[5] 張印，李學(xué)廣.數(shù)字檔案信息安全管理的思考[J].蘭臺(tái)世界，2011，（30）：24-25.