【摘要】对于大多数档案管理机构和档案资源所有组织而言,档案信息中包含大量机密性和安全性信息,因此保障档案信息安全是所有档案管理机构的基本工作内容。但在信息化时代,档案数字化和档案管理的信息化改革逐步加深,这对档案信息安全保障形成了新的挑战。本文主要结合当前信息化时展的基本现实,探讨档案信息安全保障的需求,并提出具体的保障体系构建策略,希望能够为各类档案管理机构提供有效参考。
【关键词】档案管理;档案信息安全;保障体系
一、档案信息面临的主要安全风险
(一)传统风险。档案信息的传统风险主要是指传统形式档案所面临的各类信息安全风险。目前几乎所有的档案管理机构都保存有传统形式的档案,即以纸张、光盘为基础媒介的传统实体档案。此类档案通常面临两类基本的安全风险,即档案本身灭失和档案记录内容损坏的风险,在现代管理条件下这两类风险大多是由不可抗拒的自然因素和管理者的疏忽大意所导致,这类风险也可以通过加强保障技术和管理力度来有效规避,并不属于现代档案信息安全的主要风险。而且现阶段档案管理研究已经对传统形式档案的各类信息灭失风险建立了较为完善的防范策略体系,因此本文仅对此类风险进行简要介绍,不再对此类风险的防范措施进行深入探讨。
(二)信息化时代的新型风险。信息化时代档案信息的安全风险则更为多样化,也表现得更为特殊。可以将信息化时代档案信息安全风险归结为如下几类:1.因信息化档案的硬件载体损坏而出现的信息灭失风险。信息化档案一般可以通过光盘、软盘、硬盘、U盘等存储介质进行长期的固定保存,此类档案存储介质虽然相对于传统的纸质媒介而言具有较高的稳定性和抗外力侵害性,但其本身仍是相对脆弱的,可以轻易被人为破坏,也有可能在信息化设备中使用的过程中因电气故障等因素出现损坏。在这类保存介质中,只有少部分介质在损坏后仍能恢复部分信息(如硬盘),但也不能保证恢复信息的完整性。2.因人为不当操作而导致的信息损毁或灭失风险。信息化档案的操作过程更为简单,这虽然为档案管理工作带来了较大便利,但同时也使得档案管理工作存在更大的人为操作风险。例如传统档案在不当操作后,可能仅出现极少部分档案信息的消失或不清晰,而信息化档案可能只需要一个简单的删除键即可完全被灭失,从而导致档案信息的完全破坏。3.因病毒和木马传播而导致的信息损坏风险。信息化档案的管理过程大部分依托于计算机软件平台,而计算机病毒和木马可能导致计算机内部存储和操作的各类信息被篡改或破坏,其中部分篡改和破坏是不可逆的,这可能导致单一备份的信息化档案在破坏后无法有效恢复。4.受人为攻击而导致的多种信息安全风险。信息化档案存储在计算机硬件介质当中,可以通过计算机软件系统和网络体系进行访问,在不法分子通过非法手段获取系统或网络的访问权限后,可能会对档案信息进行窃取、篡改和破坏,这会对档案信息造成多种形式的安全威胁。5.因软件不兼容而导致的档案损坏风险。信息化档案在不同软件平台间所采用的存储形式和格式不一定完全相同,在未对档案文件的可写属性进行限定的情况下,通过错误的软件平台对档案进行读写操作可能会破坏档案文件,导致档案信息丢失或乱码化。
二、档案信息安全风险和保障的现状及问题
(一)安全风险发展趋势与现状。结合上文所总结的五类信息化档案信息安全风险来看,目前在档案管理领域出现率相对较高的安全风险主要集中在第2-3类:信息化档案硬件载体损坏的情况在现代社会并不常见,这主要与计算机硬件存储设备集成化、移动化存储设备的抗破坏性提升有较大关系;人为不当操作、病毒和木马传播、人为攻击是目前档案信息安全最突出的风险,其中前两类问题的出现率相对较高,但通常所造成的信息安全破坏问题较小,在安全保障手段逐步完善的情况下,其所造成的信息安全问题大多数也能够得到完全解决,但其中人为攻击所导致的档案信息安全问题普遍较为严重,而且很难消除其所造成的影响;因为软件不兼容而导致的档案损坏风险在近年来逐渐降低,这主要与档案管理领域的格式标准化、档案管理软件技术的完善化有较大关系,大多数档案都具备了读写权限控制条件,能够在很大程度上预防软件不兼容导致的档案损坏风险。
(二)安全保障手段的发展趋势与现状。就国内外档案管理机构信息化改革与发展的现状来看,目前在档案管理领域较为流行的信息安全风险保障措施主要有以下几个方面:1.基于计算机系统软件和硬件的保护措施。在硬件方面主要保护档案存储介质、网络访问设备,避免硬件载体损坏,以及源于网络的非主动性病毒及木马传播。在软件方面,主要防护电脑系统间传递的病毒和木马,其本身主要针对计算机常见病毒和木马进行防护,较少考量专门针对特定档案文件格式的病毒和木马。2.基于档案管理工作制度的保护措施。要求档案管理工作人员按照既定的标准和流程进行操作,强调操作的规范性和安全性,避免人为不当操作、人为使用未经认证和检查的移动存储设备、人为访问外部网络等所造成的病毒和木马入侵风险。3.基于外部攻击行为的主动防护措施。这种防护措施主要出现在一些对档案信息机密性关注较高的组织中,例如大型企业的档案管理功能会更重视对主动攻击导致的档案信息安全风险的防范,这也是保护企业经济利益的必要手段。具体保护主要通过计算机软硬件协同的防护措施来保护特定档案。
三、档案信息安全保障体系的构建策略
(一)一般档案信息安全保障体系的问题。从当前档案机构对于档案信息安全保障的基本做法来看,其中存在两个方面的典型问题:第一,过度关注计算机硬件和系统层面上的安全,忽略了系统和制度层面上的安全,大多数小型机构普遍采用计算机软硬件技术来保障系统安全而很少对人员操作进行标准化的管理,只有一些大型企业会在档案管理方面对人员进行严格管理。第二,多数机构未充分考虑到云存储技术广泛应用后的新型安全风险问题,云存储技术能够在很大程度上规避数字档案安全风险,但同时也会造成新的风险,这是许多档案管理机构尚未触及的领域,因此并未得到全面重视。
(二)档案信息安全保障体系完整构建的基本策略。结合全文分析来看,信息化档案管理体系下的档案信息安全较为多样,单一的档案安全保护措施并不能完全规避档案安全风险。而且档案安全风险存在较高的偶发性,所以档案信息安全保障体系必须保证其全面性,对此本文建议各档案管理机构在档案信息安全保障体系的建设方面不能忽视任何层面上的保障需求。具体到实践中来看:首先,国家需要建立一套高度完善的数字档案信息安全保障法律(法规),在法律工具上为管理机构的档案安全管理提供基本的保障条件。其次,档案机构要从工作制度和人员管理层面上进一步确保档案信息安全,区分各级管理人员的档案访问和使用权限,规范档案管理流程。再者,基于档案管理工作的基本流程,分析各类可能有人员主观因素或非主观因素导致的档案信息安全问题,制定预防性措施和安全冗余制度。最后,部署全面覆盖网络体系、服务器设备、终端访问设备、系统和软件平台的安全防护条件,并根据制度层面上的安全冗余要求,设计相应的档案备份与分布式存储方案,确保档案被破坏后仍具备回溯的基本条件。
(三)针对未来档案云存储应用下的信息安全保障建议。云存储技术以其“对单一存储硬件依赖度低”“天然的信息备份条件”等优势成为存储技术发展的主流,大幅降低了档案信息存储的成本,大大降低了数据丢失的概率,保证了存储数据的安全性,因此云存储也成为档案信息存储的新方向。但云存储技术也并非完全无风险,在平台数据泄露以及服务中断等情况下,云存储依然无法完全避免数据安全问题。因此,本文建议档案管理机构在应用云存储技术时就要考虑到此类风险,通过加强合同约束来确保云存储服务机构对平台数据保密责任的履行意识,通过部署新的技术来规避服务器中断风险,由此进一步保障档案信息云存储应用下的安全性。
【参考文献】
[1]侯娇娇.如何做好事业单位档案信息安全管理工作[J].办公室业务,2019,311(06):117.
[2]周丽,杨剑云.基于云计算的档案信息安全体系应用探讨[J].城建档案,2019,233(02):36-37.
作者:郑云鹏 单位:栖霞市唐家泊镇人民政府
