深圳市交通公用设施建设中心广东深圳518000
摘要:当前,电子档案的数量呈现逐年递增的趋势,对于电子档案的安全管理成为档案工作中面对的一个重要课题。文章根据电子档案安全管理实际,针对电子档案管理中存在的问题,提出安全管理策略,希望对于今后的电子档案发展具有一定帮助。
关键词:新形势;电子档案;安全管理
网络技术和信息技术的发展,极大的改变了社会的生产生活方式,档案的管理也逐步向电子档案发展。但因为档案的特殊性和内容的保密性,对于电子档案来说,在得利于网络带来的方便快捷的同时,也面临着一些安全问题需要解决。对此,为了能够从整体上提高电子档案的安全性,充分发挥电子档案的作用,挖掘电子档案的价值,对于影响电子档案安全的问题要及时采取有效的应对策略进行解决。
1.国内外电子档案安全管理现状
欧美发达国家对电子档案安全性的研究开展得比较早,他们在电子文件及数字化档案安全技术的研究方面、在电子档案安全的策略研究方面、在电子档案安全的标准体系研究方面都走在前列。
1987年9月5日,我国在第六届全国人民代表大会常务委员会第二十二次会议通过了《中华人民共和国档案法》,从此档案管理工作走上了正轨。尤其进入电子信息大发展、大应用的时代,档案管理发展到以电子档案为中心的工作模式。上至国家、省、市,下至具体负责档案管理的相关单位均制定了一系列电子文件及数字档案管理制度和管理规范,例如国家质量技术监督局于1999年10月1日颁布实施的《CAD电子文件光盘存储、归档与档案管理要求》,对利用CAD生成的电子文件在进行收集、积累、整理、鉴定、归档与档案管理的过程进行了标准化的规范。2002年,国家档案局制定并实施了《电子文件归档与管理规范》等一系列标准和制度,全国各省市也相继加强了电子文件归档管理的规范化建设。2005年4发布的《纸制档案数字化技术规范》对电子档案的安全性提出了明确的、具体的要求。我国的档案学术界也随即开展了相关的研究并取得了阶段性成果:一是将国外的电子档案安全技术引入中国,并进行了本土化研究;二是基于传统的档案管理理论,提出一些切合实际的安全管理策略。
目前各级行政机关均设立综合档案馆,除此之外各类专业档案馆、各类机关档案馆、高校、科研院所、企事业单位也设立档案馆(室)。其中,重点档案馆(室)引进档案管理软件,形成档案管理网络,并通过各种档案管理软件,部分实现了全文挂接。一些大专院校及金融机构、科研院所也引进了适应本单位档案特点的档案管理软件,开展了电子档案管理工作,基本上实现了电子化管理。有的单位还不惜重金雇用专业的扫描公司进行库存纸质档案的扫描,实现了全文数字化。有的不仅录入目录还进行电子扫描全文挂接,可实行电子全文收集、检索。一些市级以上档案馆建立互为备份基地,实现数据的安全交接,保证电子档案数据的安全性。
但是,一些档案工作者对电子文件安全性认识不深,加之对现代化管理手段运用需要熟练适应过程,导致各级各类机构档案管理水平参差不齐:有的还没进行计算机管理,停留在原有的手工操作水平;有的虽然引进了档案管理信息系统,也只是目录级的录入及检索。信息时代给传统产业和传统办公模式带来了冲击,一些计算机基础能力弱的从业者很容易被时代淘汰,较弱的执行能力也为档案管理工作的高效发展带来阻力。
2.电子档案管理中存在的问题
我国对电子档案安全策略的研究还不够深入。由于传统的纸质档案管理模式已经根深蒂固,在面对新形势下的电子档案时仍然摆脱不了原始的归档保存模式,采用的管理理念多以传统档案学的安全理论为前提。另外,研究的主要内容有时迫于形势,仅仅局限在计算机网络环境下如何保护电子档案的特性,没用从宏观角度看问题,仅是在处理电子档案过程中的局部环节提出了若干安全要求,而对当前信息时代下的云计算、海量存储、物联网等先进技术结合电子档案的安全管理模式缺少更深入的理论研究。
(1)缺少电子档案宏观的发展战略,缺乏统筹规划。每个单位各自为战,缺少统一的规范指导,对先进技术的成效不敏感,电子档案归档工作流程不够明确等。
(2)大多科研院所只停留在目录级录入检索。全文扫描挂接还等上级主管机关统一命令,大多都没实现全文挂接。
(3)电子档案管理还存在安全问题认识淡漠,对电子档案存在的安全隐患认识不足的现象。一些单位领导重视不够,档案管理人员电子档案知识欠缺,对安全隐患没引起足够重视,防护措施不力的情况也十分严重。
(4)管理人才不足。各级档案馆(室)缺少既懂计算机网络安全知识又懂档案管理的专业技术人才。很多单位虽设立了档案馆,但管理人员经常是从其他部门调整过来的,这些管理人员往往是年龄大,专业不精。
(5)电子档案数据存在安全问题。系统管理员做不到及时更新系统补丁、有的系统没有病毒防御系统、账号密码管理不严谨、端口开放过多、开启远程登录等。
(6)对存放电子档案的存储介质保护不当。服务器存储存放环境不合规、受网络入侵攻击、病毒、窃听工具等威胁,废旧存储介质处理不当。也可能被不法分子利用获取电子档案信息。
(7)对电子档案的保密性认识不足,档案的信息化管理就要求通过网络实现电子档案信息共享,然而电子档案资源共享与电子档案资源的保密却是一对突出的矛盾。
(8)对电子档案管理中涉及的知识产权保护意识淡薄。电子档案信息不仅涉及保密的问题,还涉及知识产权保护的问题,管理不好会造成纠纷。
(9)经费支持力度不足。在人才及软硬件后期运营和维护中缺少长期投入,直接导致了人员技术力量薄弱、软硬件老化。
(10)在进行信息化建设时,往往只重视规范化流程产生的业务数据,而忽视了档案这一极其重要的原始数据。在做数据备份和数据保护时对档案的安全问题缺少倾向性。
3.电子档案发展与安全管理的建议
树立科学的管理意识,建立健全有效的管理制度,严格按章办事,这是确保电子档案安全管理的前提。设备再先进、人员再高级,没有健全的规章制度,没法可依,管理混乱,就难以保证电子档案的安全性。
建立电子档案归档管理制度。电子档案文件存档时必须进行安全检查,只有经过安全检查的文件才能够归档。并且,根据需要,从现在起很长一段时期内,要同时实行电子档案和纸质档案的并行归档,两套档案内容一致但形式不同,同样需要妥善保管。
效仿纸质档案,建立相应的电子档案提取使用制度。防止电子档案在使用过程中受到计算机病毒和网络攻击影响,导致信息泄密或信息损坏。在非必要情况下不允许向公网传发电子档案,在向公网传送电子档案信息的时候,一定要提高安全防犯意识,防止电子档案在传输过程中失密或被篡改。严格遵守各级相关部门制定的安全保密制度,具备一定保密级别的档案信息一律不得联网。
建立电子档案定期检查制度。定期对电子档案进行安全性、有效性和完整性检查,在硬件、软件层面发现存储介质或信息损坏时,要及时采取修复措施,及时备份,防止造成进一步的损失。
建立电子档案的访问限制制度。对已归档的电子档案文件要进行访问控制,实现严格的、逐级的权限控制,采取防止越权操作的技术措施。对重要的电子档案通常要设为只读状态,使用户只能读取信息以保证电子档案信息的原始性。
建立电子档案信息安全保障标准体系。安全保障标准体系由若干电子档案信息安全基础标准、管理标准和技术标准构成的相互联系相互制约的动态性、指导性的体系。包括法制标准保障建设、基础设施保障建设、组织管理保障建设、安全技术保障建设等。
培养专业性强的档案管理人才队伍。在开展档案信息安全人才的培养和教育工作时,各单位要牢固树立现代的人才观念,使从事档案管理岗位的人员在政治素质、业务技能、工作作风、敬业精神方面具有高水平、高素质,能够满足现代档案管理的要求。
对关键应用服务器进行全面的安全防护。将新兴科学技术及研究成果引入到电子档案管理中,例如对档案管理服务器采用严格的访问控制、病毒防治、虚拟化、异地灾备和安全检测技术等。
4.电子档案的外部安全管理手段
4.1安全加固
对服务器的系统要定期进行安全漏洞扫描,风险评估。及时对漏洞进行修复加固。对系统本身的管理员帐户,必须及时的设置口令,必要时启动USB-KEY。禁用系统默认的帐户名,并定期更换管理员帐户密码。关闭系统的远程访问功能,避免黑客利用系统漏洞进行登录。
4.2病毒防治
加强档案管理人员信息化专业知识,提高对计算机网络病毒认识,及时安装杀毒软件和防火墙,定期进行病毒库更新和杀毒。
4.3访问控制
在服务器上关闭无用的端口,并利用网络设备的访问控制功能对服务器进行保护,严格控制用户或进程对服务器扫描攻击。对于远程访问可以利用园区网的VPN进行访问。用户登录时要进行数字证书或者USBkey的认证。
4.4数据库防护
电子档案数据库中存放大量的机密性的信息,决定了档案数据库的私密性。加强对数据库服务器的安全保护,防止数据库被篡改、损坏以及窃取十分重要。
4.5网络隔离技术
在不同安全级别网络之间进行数据交换时,要使用具有专用安全协议和加密验证机制的交换设备以及应用层数据提取和鉴别认证技术。从而满足公网访问内部网络电子档案资源的需求,并可以保证内网电子档案信息不外泄。
5.电子档案的内部安全防护办法
电子档案都是单位的机密信息,在电子档案的生成和传输过程中要采取反病毒软件、防火墙、入侵检测、文件加密等手段,并防止电子档案信息以电子邮件、文件传输等方式从内网泄漏出去。
5.1电子档案的加密
电子文档的加密是保护电子档案的一种重要的保护方法,它包括:电子档案的建立;利用密钥将电子档案加密,得到加密的电子档案;将对称密钥加密;对电子档案进行运算,生成电子档案信息摘要;用电子档案信息摘要向第三方认证机构获得时间戳。
5.2档案系统的容灾和文件备份
当电子档案的保存环境出现硬件故障、黑客的攻击和病毒的感染、或者自然灾害不可抗力的破坏因素时,如何预先进行异地的容灾备份就成为了一项重要课题。异地容灾作为一种重要安全策略,能够有效防止上述因素导致的电子档案和数据丢失。建议重要档案馆应建立以下三种容灾方案:(1)远程容灾方式。远程容灾系统是对重要信息系统进行容灾时采用的最常用也是最有效的方法。当数据信息发生无法还原的严重破坏性事件时,通过恢复远程备份的数据能够在较短时间内对系统和数据进行及时的还原,从而最大限度地保证数据的完整性和业务的连续性。(2)近程容灾方式。近程容灾系统主要面对一般重要的信息系统。在同一物理环境下,主要是在机房里利用服务器相互之间的资源进行受损系统的恢复。如磁带备、双机热备、磁盘镜像冷备、关键部件冗余以及定期监测和维护等。一旦发现事故,能够及时启动,甚至自动地完成容灾任务。(3)数据备份方式。利用专用软件和硬件设备建立备份容灾体系,有效恢复受损数据。比如,定期对归档数据进行磁带备份;对重要数据实时进行远程数据库备份;对一般数据进行远程镜像磁盘进行冷备;如有必要还可以使用网络云端备份方式等。(4)加密签署技术。对于重要的涉密电子档案建议采用加密或数字签名等技术来避免因电子档案信息多次复制而产生的威胁,同时也可以防止这些重要的涉密的电子档案信息及数据库被非法公开。(5)防火墙内网保护。大型档案馆(室)或藏有绝密电子文件的馆(室)应在internet相连接的网关上部署高性能防火墙,利用防火墙的分组过滤和IP伪装功能,对内网和外网的通信进行监控,能够有效地阻断网络攻击行为,有效保护内部网络,阻止黑客从网上非法窃取绝密的档案信息。
6.结语
总之,为了确保电子档案能够安全可靠地处于可提供利用的状态,针对电子档案在安全管理中会存在的不足之处,档案部门要与时俱进,顺应现代化时代的发展,尽快采取有力的措施从而加强电子档案安全工作的有效落实,从而使其在社会生活中发挥更大的作用,促进社会经济的不断繁荣。
参考文献:
[1]刘斌.信息时代的电子档案安全管理研究[J].河南社会科学,2013,21(6):102-103.
[2]高金宝.浅析信息时代的电子档案安全管理问题[J].办公室业务,2017(18):177-177.