程安琪

[摘 要]隨著信息時(shí)代的到來(lái)，高校檔案工作逐步實(shí)現(xiàn)了信息化管理，較傳統(tǒng)高校檔案管理方式而言，信息化管理具有十分顯著的優(yōu)勢(shì)，但也引發(fā)了一系列信息安全風(fēng)險(xiǎn)問(wèn)題。為了進(jìn)一步加強(qiáng)高校檔案管理工作，必須針對(duì)新時(shí)期高校檔案管理工作中所面臨的信息安全風(fēng)險(xiǎn)問(wèn)題進(jìn)行分析，采取有效的風(fēng)險(xiǎn)防范措施，以保障高校檔案工作的持續(xù)健康發(fā)展。

[關(guān)鍵詞]高校檔案管理；信息安全風(fēng)險(xiǎn)；安全管理

新時(shí)期，網(wǎng)絡(luò)信息技術(shù)逐步成熟，各大高校檔案管理工作也逐步朝著現(xiàn)代化與信息化方向發(fā)展，高校檔案管理已經(jīng)由傳統(tǒng)的手工化逐步過(guò)渡到數(shù)字化。在各種現(xiàn)代化信息技術(shù)的支撐下，高校檔案資源得到了最大限度地開(kāi)發(fā)與利用，但同時(shí)，檔案管理工作中存在的信息安全風(fēng)險(xiǎn)與問(wèn)題也越來(lái)越突出，若高校檔案信息安全無(wú)法得到保證，則可能引發(fā)巨大的損失。因此，必須加強(qiáng)高校檔案管理信息安全風(fēng)險(xiǎn)防范工作，確保檔案信息的安全性與可靠性。

1.高校檔案管理信息安全風(fēng)險(xiǎn)分析

1.1制度風(fēng)險(xiǎn)

當(dāng)前，在我國(guó)高校檔案管理工作信息化建設(shè)過(guò)程中，還沒(méi)有一套完整的法律法規(guī)，用以確保數(shù)字化的高校檔案信息資源的安全性，只能利用計(jì)算機(jī)相關(guān)法律法規(guī)，對(duì)檔案信息資源的安全性進(jìn)行維護(hù)。這就為許多不法分子帶來(lái)了可乘之機(jī)，為了達(dá)到目的，對(duì)高校檔案信息進(jìn)行惡意竊取、攻擊和破壞，嚴(yán)重危害了高校檔案信息資源的安全性、完整性與可靠性。

1.2外來(lái)風(fēng)險(xiǎn)

高校檔案管理信息化、數(shù)字化與網(wǎng)絡(luò)化之后，黑客攻擊已經(jīng)成為計(jì)算機(jī)網(wǎng)絡(luò)管理的重大難題之一。1）計(jì)算機(jī)病毒。病毒被視為網(wǎng)絡(luò)最大危害之一，網(wǎng)絡(luò)所有終端與通道都可能遭到病毒的嚴(yán)重攻擊，如今，計(jì)算機(jī)病毒種類(lèi)越來(lái)越多，雖然，配套殺毒軟件也相應(yīng)問(wèn)世，但由于殺毒軟件相對(duì)滯后，因而網(wǎng)絡(luò)病毒依然肆虐，難以徹底清除，這樣極易導(dǎo)致高校檔案信息丟失；2）非法訪問(wèn)。無(wú)論對(duì)于內(nèi)部非法訪問(wèn)，還是外部非法訪問(wèn)，均有可能使網(wǎng)絡(luò)遭受非法篡改與攻擊，對(duì)檔案資源的安全造成威脅。

1.3物理安全風(fēng)險(xiǎn)

物理安全是指系統(tǒng)相關(guān)設(shè)備受到物理保護(hù)，因而免于丟失，不受破壞。具體而言，指的是防止計(jì)算機(jī)設(shè)施以及媒體等免受諸如地震、火災(zāi)、水災(zāi)等災(zāi)害及人為操作失誤所造成的破壞。物理安全風(fēng)險(xiǎn)是指計(jì)算機(jī)設(shè)備及設(shè)施由于人為操作不當(dāng)，導(dǎo)致設(shè)備損毀，受到地震、火災(zāi)、水災(zāi)、輻射、盜取、線路截獲等的破壞。

1.4管理風(fēng)險(xiǎn)

對(duì)于檔案管理人員而言，若保密意識(shí)不夠，責(zé)任感不強(qiáng)，也會(huì)對(duì)檔案管理的安全性帶來(lái)直接影響。長(zhǎng)期以來(lái)，不少高校并未對(duì)檔案管理工作給予足夠的重視，對(duì)于檔案資料的保密性認(rèn)識(shí)也十分薄弱，隨著檔案管理信息化建設(shè)步伐的逐步加快，管理人員還未跟上步伐，不少管理人員無(wú)意識(shí)中將檔案信息內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)或用戶(hù)賬號(hào)、口令等泄漏出去，再加上對(duì)于檔案機(jī)房管理不嚴(yán)格，導(dǎo)致不法分子有機(jī)可乘。

1.5信息安全評(píng)估風(fēng)險(xiǎn)

由于高校檔案管理信息安全評(píng)估起步較晚，因而仍存在不少風(fēng)險(xiǎn)和問(wèn)題，具體而言，主要體現(xiàn)在如下方面：

（1）管理層對(duì)于檔案信息安全評(píng)估的重要性缺乏足夠的認(rèn)識(shí)，安全評(píng)估技術(shù)人員嚴(yán)重缺乏，與此同時(shí)，高校檔案管理人員普遍缺乏安全風(fēng)險(xiǎn)意識(shí)，安全評(píng)估水平普遍不高；

（2）安全風(fēng)險(xiǎn)評(píng)估流程及技術(shù)標(biāo)準(zhǔn)亟待完善。高校檔案管理安全風(fēng)險(xiǎn)評(píng)估工作不僅是一個(gè)管理過(guò)程，還是一個(gè)技術(shù)過(guò)程，需要以具體環(huán)境及情況為依據(jù)，對(duì)工作流程及相關(guān)技術(shù)標(biāo)準(zhǔn)進(jìn)行科學(xué)地制訂，尤其是實(shí)際評(píng)估中的定性、定量方法及相互之間的關(guān)系與作用，都需要通過(guò)實(shí)踐摸索進(jìn)行進(jìn)一步完善；

（3）安全風(fēng)險(xiǎn)評(píng)估工具發(fā)展相對(duì)滯后。隨著檔案信息化管理漏洞地逐步增多，檔案信息安全所面臨的威脅也越來(lái)越多，因此，必須加強(qiáng)安全風(fēng)險(xiǎn)評(píng)估工具的研發(fā)力度。但當(dāng)前多數(shù)高校檔案管理人員，由于自身缺乏足夠的安全風(fēng)險(xiǎn)評(píng)估意識(shí)及技能，因而導(dǎo)致安全風(fēng)險(xiǎn)評(píng)估工具難以得到快速發(fā)展與有效利用。

2.高校檔案管理信息安全風(fēng)險(xiǎn)的防范措施分析

2.1構(gòu)建完善的檔案信息安全規(guī)章制度

為了有效確保高校檔案信息的安全性，高校檔案部門(mén)應(yīng)以國(guó)家檔案局所發(fā)布的信息化建設(shè)綱要為指導(dǎo)，以自身具體情況為依據(jù)，結(jié)合我國(guó)計(jì)算機(jī)相關(guān)法律法規(guī)的要求，制定同高校檔案管理工作相適應(yīng)的規(guī)章制度，用以確保高校檔案管理工作運(yùn)行過(guò)程的安全性與可靠性。同時(shí)，我國(guó)應(yīng)針對(duì)高校檔案管理信息安全，盡快出臺(tái)相關(guān)法律法規(guī)，以確保高校檔案管理工作有法可依。

2.2搞好基礎(chǔ)性工作，保障檔案信息的物理安全

針對(duì)高校檔案管理工作的現(xiàn)狀，應(yīng)扎實(shí)搞好基礎(chǔ)性工作，將檔案信息可能受到的泄密風(fēng)險(xiǎn)降至最低。一方面，對(duì)于系統(tǒng)安全性而言，在設(shè)備采購(gòu)過(guò)程中應(yīng)盡可能選則不同廠家型號(hào)不同的設(shè)備，以實(shí)現(xiàn)優(yōu)勢(shì)互補(bǔ)；另一方面，為避免某網(wǎng)段的安全風(fēng)險(xiǎn)蔓延整個(gè)網(wǎng)絡(luò)，應(yīng)進(jìn)行子網(wǎng)設(shè)置，采用分級(jí)及分段物理隔離方式，形成相應(yīng)的日志，并定期對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行掃描；此外，還應(yīng)注重對(duì)網(wǎng)絡(luò)信息范圍進(jìn)行控制，結(jié)合高校檔案信息安全的相關(guān)要求，對(duì)捐獻(xiàn)或寄存形式進(jìn)館的檔案資料及集體、個(gè)人檔案是否允許上網(wǎng)等保密問(wèn)題進(jìn)行充分考慮，應(yīng)將上網(wǎng)的檔案進(jìn)行安全級(jí)別的劃分，并予以加密，只有達(dá)到一定安全級(jí)別的用戶(hù)，方可利用此檔案；同時(shí)，還應(yīng)注重加快制定檔案信息安全響應(yīng)機(jī)制、檔案數(shù)據(jù)庫(kù)安全響應(yīng)機(jī)制、災(zāi)備數(shù)據(jù)恢復(fù)機(jī)制等。

2.3加強(qiáng)檔案管理隊(duì)伍的建設(shè)

為了切實(shí)搞好高校檔案信息安全管理工作，關(guān)鍵仍在于人。必須加強(qiáng)檔案管理隊(duì)伍的建設(shè)。一方面，應(yīng)加強(qiáng)管理人員思想素質(zhì)及業(yè)務(wù)水平建設(shè)，要求各個(gè)管理人員都必須樹(shù)立強(qiáng)烈的責(zé)任感及良好的工作作風(fēng)；應(yīng)針對(duì)檔案管理人員的具體工作，制定相應(yīng)的工作職責(zé)制度，將各項(xiàng)工作落實(shí)到個(gè)人，要求大家各司其職，不能逾越自身管理范圍，更不能借助職能之便輕易泄漏檔案機(jī)密；另一方面，高校應(yīng)定期組織管理人員進(jìn)行業(yè)務(wù)培訓(xùn)，為他們提供足夠的學(xué)習(xí)機(jī)會(huì)，如進(jìn)修、輪崗等學(xué)習(xí)，以逐步提高管理人員的信息化技能，保障檔案信息資源的安全性；此外，高校還應(yīng)從政策及待遇方面出發(fā)，制定完善的激勵(lì)制度，充分調(diào)動(dòng)檔案管理人員的工作積極性，為高校檔案安全管理提供全面的服務(wù)。

2.4搞好檔案安全風(fēng)險(xiǎn)評(píng)估工作

首先，應(yīng)加強(qiáng)高校檔案信息調(diào)研，盡快熟悉高校檔案管理組織的結(jié)構(gòu)及具體情況，針對(duì)組織戰(zhàn)略，業(yè)務(wù)類(lèi)型、目標(biāo)、流程，所依賴(lài)系統(tǒng)的基礎(chǔ)性建設(shè)及檔案安全需求等問(wèn)題，進(jìn)行全面調(diào)研與診斷；其次，應(yīng)注重搞好檔案信息資產(chǎn)識(shí)別工作，參照相關(guān)標(biāo)準(zhǔn)的要求，結(jié)合高校檔案管理組織的實(shí)際業(yè)務(wù)流程，對(duì)檔案管理系統(tǒng)IT資產(chǎn)予以識(shí)別，如軟硬件、信息收集、分類(lèi)、篩選、統(tǒng)計(jì)等，列出清單，對(duì)資產(chǎn)的重要性及業(yè)務(wù)信息流進(jìn)行全面分析，根據(jù)價(jià)值對(duì)檔案資產(chǎn)進(jìn)行分級(jí)標(biāo)識(shí)；再次，搞好檔案信息安全風(fēng)險(xiǎn)分析工作，結(jié)合所列出的重要資產(chǎn)清單，對(duì)其所面臨的安全風(fēng)險(xiǎn)進(jìn)行全面分析，并對(duì)風(fēng)險(xiǎn)的嚴(yán)重程度進(jìn)行分類(lèi)標(biāo)識(shí)與處理；此外，應(yīng)加強(qiáng)檔案信息安全的脆弱性識(shí)別，針對(duì)重要資產(chǎn)所面臨的風(fēng)險(xiǎn)來(lái)源進(jìn)行分析，找出系統(tǒng)安全的薄弱環(huán)節(jié)；最后，加強(qiáng)高校檔案信息安全風(fēng)險(xiǎn)評(píng)估工作，并制定相應(yīng)風(fēng)險(xiǎn)控制及防范計(jì)劃。

3.結(jié)束語(yǔ)

信息網(wǎng)絡(luò)技術(shù)的逐步發(fā)展和應(yīng)用，為高校檔案管理工作帶來(lái)了發(fā)展契機(jī)，因此，必須加快轉(zhuǎn)變傳統(tǒng)管理模式，加強(qiáng)檔案管理信息安全風(fēng)險(xiǎn)防范工作，進(jìn)一步推動(dòng)高校檔案管理工作的信息化建設(shè)，以保障高校檔案管理工作的持續(xù)發(fā)展與完善。

參考文獻(xiàn)：

[1]吳紹忠.數(shù)字化檔案館信息安全風(fēng)險(xiǎn)評(píng)估[J].中國(guó)檔案，2011（06）：157-158.

[2]王朝陽(yáng).檔案信息化管理的優(yōu)勢(shì)及安全問(wèn)題[J].華北水利水電學(xué)院學(xué)報(bào)，2012（01）：44-46.

[3]劉凝芳.淺談高校檔案信息安全的有效管理機(jī)制[J].科技創(chuàng)業(yè)月刊，2011（03）：139-142.