檔案信息化管理中面臨的信息安全威脅與對策

高子君

摘 要：信息化提高了檔案管理效率、提高檔案安全管理水平、豐富檔案服務模式，給檔案管理工作的創新和改革帶來了新的思路。但與此同時，服務性和開放性的不斷增強也給檔案信息化管理帶來系統、技術和管理等多方面的信息安全問題。對此，本課題從提高信息安全意識、加強技術更新、優化管理流程的角度提出了提高檔案信息安全防護能力的措施，以共同仁參考。

關鍵詞：檔案;信息化;信息安全

如今，信息化已成為檔案管理工作發展的必然趨勢。在信息技術發展和檔案管理理念革新的雙重推動下，檔案信息化管理已逐漸取代傳統檔案管理模式，計算機設備、網絡通信設施、檔案信息管理軟件大大提升了檔案的管理效率和范圍。但同時，信息化的環境也帶來了更為嚴峻的信息安全態勢，近年來我國政府、高校等企事業單位屢發信息安全事故，給國家和公民帶來了巨大損失。對此，有必要對檔案信息化管理中面臨的信息安全威脅進行系統梳理并提出對策，以構筑牢靠的檔案信息安全防護體系。

一、信息化環境下檔案管理的優勢

1.有助于提高檔案管理效率

信息化環境下檔案管理具有信息化和智能化的提升，這也大大的提高了檔案管理的效率，給檔案管理工作的創新和改革提供新的思路。檔案信息化管理的智能化特征就是通過完善的軟硬件系統和技術支撐，讓信息設備在日常的檔案管理工作中發揮簡單決策、邏輯推動等基礎性作用，如檔案自動收集、智能檢索、自動分類等等。在管理工作中，信息化帶來的云計算、大數據等新技術能夠根據年份、類別、價值等標準對檔案進行自動分類，以更為直觀的給管理者呈現出檔案資料的整體情況，進而給管理者決策提供一定的參考依據。進一步說，檔案信息化管理能夠對檔案資料進行更為深度的分析，甚至可以依據這些分析結果為管理者推薦管理方案或是依據對在管檔案的數據分析對檔案進行科學的分類、排布與儲存，對不同單位、不同高校的檔案進行高效的一體化管理與共享。

2.有助于提升檔案安全管理水平

檔案具有多重價值同時也有保密性的特點，如何提升檔案的安全管理水平，是檔案管理的一個重要課題。在紙質檔案的管理過程中不可避免的需要涉及借閱、查閱、移交、歸還、維護等環節，這些環節既不利于檔案的妥善保存，又容易在操作過程中造成檔案的損毀或遺失，對于一些珍貴的檔案資料安全管理風險極高。將檔案資料數字化、信息化之后，可以大大減少對實體檔案的擾動、減少實體檔案的流轉頻率，有利于重要檔案的安全管理和珍貴資料的留存。

二、檔案信息化管理面臨的信息安全威脅

1.系統風險

隨著我國檔案事業的不斷發展，信息化已成為各企事業單位檔案管理的必然趨勢，信息化在提升了檔案管理效率、豐富檔案管理方式的同時也帶來了新的信息安全問題，首先就是計算機病毒威脅。在過去，很多檔案管理部門的信息化程度較低，計算機設備通常只作為檔案的存儲設備，盡在局域網內運行，但隨著線下管理轉為線上管理和移動終端的廣泛普及，檔案管理也實現了從局域網到互聯網的轉變，這大大的突破了傳統管理模式下的時空界限，同時也使得檔案網絡更易遭受到計算機病毒的威脅。如“蠕蟲病毒”、“熊貓燒香”等計算機病毒曾給我國互聯網帶來了難以估量的破壞和損失。計算機病毒一方面通過不斷的復制和傳播造成了通信網絡的癱瘓，影響檔案管理的效率，更為嚴重的是通過對服務器文件的鎖定和破壞，造成大量檔案資料的丟失和損壞，對檔案管理造成的危害是災難性的。今年3月11日起，國家網絡與信息安全信息通報中心監測發現，境外某黑客組織對我國有關政府部門開展勒索病毒郵件攻擊。通過瀏覽器登錄攻擊者的數字貨幣支付窗口，要求受害用戶繳納贖金。今后，隨著檔案管理工作的開放化和社會化，這種風險會逐漸提高，考驗著檔案管理部門的信息安全防護能力。

2.技術風險

檔案信息化管理是在計算機網絡環境下進行的，涉及了檔案管理的各個環節，如收集、分類、整理、歸檔、檢索等等，這一切都依托于網絡傳輸?？梢哉f，通信技術、計算機技術的進步帶來的計算機硬件、軟件和網絡通信基礎設施是檔案信息化管理的生存基礎。因此，這些技術本身所具備的風險也是檔案信息化管理所必須面臨的信息安全問題，如上文中提到的“蠕蟲病毒”、“勒索病毒”。此外，技術風險還包括計算機硬件風險和信息流通方面的風險。硬件風險主要來源于兩方面，一是檔案信息化建設中的計算機設備和網絡設備等，可能由于欠缺維護和使用年限長的原因導致損壞，造成檔案資料的丟失;二是基礎網絡設施的風險，如寬帶運營商、云服務提供商等第三方平臺提供的網絡服務，這一部分的風險是不可控的。另一方面，信息化環境下的檔案管理也面臨著更多的信息流通風險。在過去檔案工作封閉性較高，信息流通閉塞，而隨著信息化建設的不斷完善，檔案服務多元化、社會化，信息流通頻率和范圍增多，也增加了檔案流失的風險。

3.管理風險

在檔案信息化管理工作中，管理的系統化和規范化是做好保障信息安全的重要基礎。但目前，在我國檔案信息化管理中還存在以下問題：一是管理缺乏宏觀決策。檔案管理工作是一項系統性工作，其各個工作環節都是相互銜接、相互影響的，而隨著信息化建設的不斷推進。檔案的工作環節從隱性的管理程序逐漸轉變顯性的管理流程，這就給管理的系統化提出了更高的要求。但在檔案的實際工作中往往會出現流通環節銜接不暢的問題，嚴重影響了人事檔案的完整性，使得信息安全工作無法全面性的展開;二是檔案重疊管理和管理空白共存。檔案流動性、變化性較強且內容涵蓋的范圍非常廣泛，檔案管理的相關部門對管理范圍和管理界限的劃分不夠明確，出現了重復管理和管理空白的現象，這也帶來了信息安全的風險;三是管理缺乏規范化。目前檔案數字資源的管理標準大多沿用傳統的電子文件管理標準，沒有根據地方檔案管理的特點和具體情況以及信息化管理的環境制定有針對性的資源管理標準，這更加大了信息安全防護的難度，也會相應的提高信息安全技術層面的建設成本。

三、檔案信息安全保障體系建設途徑

1.提高信息安全意識，防范系統風險

對于系統風險中計算機病毒來說，其防范的方法主要來源于兩個方式：一是提高信息安全意識，進而減少病毒侵襲的機會。在檔案信息安全保障中，公共信息安全意識是重要環節，這不僅是因為公眾是檔案來源的重要組成部分，也是因為公眾是檔案信息安全受損的受害者。因此，政府和檔案管理部門應加強對公眾的信息安全文化知識普及，提高基層人民的信息安全防護意識。從政府的角度來說，應大力完善檔案基礎設施建設、豐富個人信息保護知識宣傳活動，在社區、街道開展個人信息防護知識的主題活動。從檔案管理主體的角度來看，要強化檔案管理人員的規范意識、信息安全意識和責任意識，通過管理流程的規范化、檔案資源標準化強化檔案工作人員的信息安全意識;二是加強系統的日常維護，定期對系統進行風險監測和病毒清理，同時購買正版殺毒軟件或引入第三方公司加強系統的病毒查殺于防護能力;第三，做好備份工作，對重要檔案資料進行備份，并采用不聯網的設備進行儲存。

2.加強技術更新換代，防范技術風險

在信息化環境下，技術是檔案信息安全最為核心的問題，完善的技術保障是檔案信息安全保障的基礎支撐。如今，隨著我國互聯網技術的發展和法律體系的完善，我國網絡信息安全上的制度和技術都已較為成熟。但由于通信技術本身的特點，其更新換代時間很快，同時我國檔案管理工作也在不斷開放，其面臨的信息風險勢必增加。對此，應加強技術研發和引進以確保檔案管理環境的安全。首先，采用多元化身份鑒別機制。多元化身份鑒別機制是為了減少用戶端帶來的信息安全風險，對于管理規模較小的單位，可運用更復雜的加密口令和登錄失敗次數限制等成本較低的方式，同時采用圖形驗證碼代替文字驗證碼，防止非法用戶的入侵。對于管理規模較大且資金充裕的單位，可采用人臉識別、指紋等先進技術，同時運用隱性reCAPTCHA技術，通過對用戶后臺瀏覽習慣的分析自行進行身份鑒別，以加強身份鑒別的精確性。第三，運用內容識別技術。檔案資源多種多樣，如人事檔案、財務檔案等，不僅包括個人信息，還有一些規章制度和機密文件，但并不是所有內容都需要進行安全加密。因此應運用內容識別技術對檔案進行深度內容識別，對涉及到敏感信息要進行阻斷，同時進行脫敏處理，讓檔案在一定限度內同樣具備可訪問性，既保證了檔案的安全性，又促進了其更充分的利用。

3.優化檔案管理流程，防范管理風險

檔案管理流程是技術更新換代和信息安全提高地執行層，其流程的合理性和管理能力的高低直接關乎著信息安全防護體系的穩定性，科學的管理流程和策略不僅能夠更好的發揮技術、制度和意識的作用，還有助于促進檔案信息安全防護科學有序的發展。對此應對信息安全管理流程進行重構，從計劃、執行、檢查、處理的角度開展循環管理。在計劃階段，主要進行問題梳理和目標制定工作，通過對本單位信息安全的風險進行全面的梳理，結合內外部的問卷調查、員工訪談等方式對信息安全的幾個風險進行破壞力、可行性等因素的量化，進而制定出有針對性的管理目標。在執行階段，通過技術、制度、信息安全意識等多方策略的實施實現制定的管理目標。在檢查階段，主要是對管理策略的有效性以及管理目標的實現程度進行考察，進而對整個管理流程的有效性進行重新的紳士，同時還要從功能性檢查和階段性檢查兩個方面進行，既要考察整個管理流程各個階段的執行力和完成度，也要對其效果進行考察。改進則是對檢查的結果進行總結分析，不斷調整安全管理目標和策略，同時進入新一輪的安全管理流程，以便持續改進檔案管理流程。

參考文獻：

[1]周 濤.檔案信息化與檔案信息安全保障體系建設[J]. 科學技術創新，2015（21）：160-160.

[2]劉凝芳.淺談高校檔案信息安全的有效管理機制[J].科技創業月刊，2011（3）：99-100.

[3]趙 紅.檔案信息化建設中檔案信息安全保障方法研究[J].蘭臺世界，2010（S2）：132-133.