王錄芳

【摘要】近年來，伴隨檔案管理事業(yè)的飛速發(fā)展，對數(shù)字檔案館系統(tǒng)提出了較高要求。在實際管理工作中，信息安全策略的應用備受人們廣泛關注，其不僅能確保檔案信息的有效性和真實性，還能保證數(shù)據(jù)的完整性。本文將主要圍繞信息安全策略的定義和特點展開分析，并提供具體應用方法以供參考，旨在提高管理水平。

【關鍵詞】信息安全策略;數(shù)字檔案館;系統(tǒng)

伴隨檔案信息載體越來越豐富，電子檔案與文件數(shù)量的不斷增加，尤其是數(shù)字檔案館實踐和理論的深入發(fā)展，應運而生的檔案信息安全問題日漸嚴重。信息安全是保證檔案內(nèi)容在形成、儲存、整理、傳遞與應用過程中，維持有效性、完整性、穩(wěn)定性與真實性和保證其記載方式與記錄載體不被破壞的過程和對策。

一、信息安全策略的定義和特點

（一）基本定義。所謂信息安全策略，還叫做信息安全方針，是針對信息與信息處置設備實施保護、分配與監(jiān)管的一種原則。其為保護信息安全建設了一個框架，明確了監(jiān)管網(wǎng)絡安全性的手段，為相關部門分別劃定了所要遵循的規(guī)定和所要履行的職責。

（二）主要特點。此策略不包含實際操作細節(jié)，只提供需要達成的任務和目標，未表明實際該怎樣做，在信息安全策略中不會提供落實某一對策需應用哪項技術，也不會提供相關技術參數(shù)。其僅僅是組織敘述保護信息安全渠道的一種指導性文件，從大局出發(fā)引導組織此方面工作，沒有強制性。一般情況下，信息安全策略應用的都是普通術語，并非專業(yè)術語來敘述安全，其敘述語言屬于非技術范圍，和用戶界面口令有關的保密策略可敘述成：口令界面應準許用戶在不體現(xiàn)任何口令的特點下錄入口令，口令要采用不可讀的模式在互聯(lián)網(wǎng)傳遞，此條目沒有涵蓋加密算法。

另外，這一策略要具有一定的可行性，設置的目標要有可實現(xiàn)性，而且要易于檢測與審核。策略若是缺少可行性，不但會浪費時間，而且會導致難執(zhí)行。當然，信息安全策略要緊隨時代發(fā)展，做到與時俱進，以順應不斷改變的信息安全環(huán)境與新興的各種技術，要兼具動態(tài)性，標記出修訂歷史與有效時間。并且，此策略要與我國下發(fā)的相關法律規(guī)程相統(tǒng)一，與組織現(xiàn)行的方針相匹配。此特點還表現(xiàn)在安全策略本身風格的一致性上，要真實反饋企業(yè)對信息安全有哪些想法與觀點，避免用戶將策略視為不科學的、只是針對某一人的。

二、數(shù)字檔案館系統(tǒng)中運用信息安全策略的方法

把信息安全策略引入數(shù)字檔案館管理工作之中，展現(xiàn)出相應的多樣性，可從控制訪問檔案對象信息、控制訪問用戶的角色、儲存檔案對象信息等方面入手，全方位保護檔案信息安全，提升信息管理效率和質(zhì)量。

（一）控制訪問檔案對象信息。在實行安全管理策略的過程中，可以訪問檔案對象為突破口，保證信息在安全的環(huán)境中被管理。實施控制訪問檔案對象信息策略，有利于信息數(shù)據(jù)具有有效性、保密性以及真實性。在管理檔案信息時，檔案信息具有突出的級別特點，而密級性，具體是指按照使用者用戶的保密級別，開展管理工作，劃分出不同的監(jiān)管層級。據(jù)我國下發(fā)的檔案法可知，信息被分成5個保密級別，分別為絕密、機密、秘密、內(nèi)部與公開。所以，在維護數(shù)字檔案館信息安全過程中，管理人員要結(jié)合檔案管理的有關規(guī)定和法律，科學制定安全保護體系。就在公開保密級別的檔案信息而言，在數(shù)字化系統(tǒng)中可更改成開放于所有用戶。就帶有密級的有關檔案信息來講，則要設置成被授權才可訪問，并非對每一名訪問人員都開放此端口。若是歸屬于數(shù)字檔案館內(nèi)的真實信息，在數(shù)字化系統(tǒng)中則要把外部端口關閉起來，僅準許館內(nèi)互聯(lián)網(wǎng)授權用戶訪問。對于絕密或是秘密一類的檔案信息而言，更要強化管理，要求用戶只能在數(shù)字檔案館專網(wǎng)上進行訪問，不可用其他渠道。在信息安全管理工作中，若是非公開信息，一定要通過授權處理，認真查看用戶權限，等到管理者檢測完畢并認可后，才能利用專網(wǎng)或是內(nèi)網(wǎng)完成訪問。

（二）控制訪問用戶的角色。Role base，叫做基于角色的訪問控制，是一種控制系統(tǒng)。站在數(shù)字檔案館信息安全管理工作角度來看，角色處于業(yè)務體系的專業(yè)范圍內(nèi)。即針對信息安全策略提供的所有事實，一定要認真按照業(yè)務體系的職位分配狀況來進行。在管控訪問用戶的角色過程中，檔案管理者一定要認真區(qū)別權限和職責，把特殊的權限逐一搭配到具體使用者身上，確保其角色和權限協(xié)調(diào)統(tǒng)一。比如：以業(yè)務分工為核心，對各個職位和其工種的權限，予以正確的授權，讓用戶訪問具有良好的匹配性，而且為數(shù)字檔案館信息安全維護工作的順利開展奠定良好基礎。在實際維護過程中，由于個體有較大的改變可能性，而且遠大于角色的改變，因此控制訪問用戶的角色這一對策在數(shù)字檔案館中備受青睞和認可。以windows操作系統(tǒng)為例，其以此種控制原理和角色訪問來落實。根據(jù)數(shù)字檔案館的基礎業(yè)務工作，針對有關信息進行正確分級，予以全面的保護，是推動檔案事業(yè)實現(xiàn)可持續(xù)發(fā)展的必經(jīng)之路。

（三）儲存檔案對象信息。在數(shù)字檔案館管理工作中，實施儲存檔案對象信息策略有著舉足輕重的作用。在監(jiān)管過程中，可全方位運用分級儲存對策。對于數(shù)字檔案館系統(tǒng)而言，其廣泛運用了儲存池基本定義，根據(jù)信息安全管理的具體內(nèi)容，搭建并優(yōu)化儲存池管理體系，進而有效提高信息數(shù)據(jù)可靠性和安全性。這主要因為在搭建儲存池體系時，能實現(xiàn)龐大信息數(shù)據(jù)的儲存，為海量儲存大數(shù)據(jù)對象提供有效支持，而且具有不同流媒體與靜態(tài)的有關信息。在儲存池監(jiān)管體系中，涵蓋豐富的管理元數(shù)據(jù)，此種儲存能通過監(jiān)管元（下轉(zhuǎn)第101頁）

（上接第75頁）數(shù)據(jù)反饋出儲存池的基礎儲存構(gòu)造，比如：包儲存設施、集合主機和其地址等性質(zhì)等，有利于進一步完善信息分級儲存管理工作。儲存池監(jiān)管元數(shù)據(jù)的優(yōu)勢主要體現(xiàn)在幾方面：第一，在管理人員操作過程中，其不必再思考電子文件所在位置，可忽略物理儲存位置直接進行管理。第二，其擁有計算機技術中的優(yōu)質(zhì)性能，能實現(xiàn)主動識別、分析和定位。簡單來講，應用人員在訪問有關信息時，元數(shù)據(jù)會立刻有所感應，同時利用儲存管理體系，自主定位并分析電子文件的物理儲存位置。

（四）其他注意事項。第一，設施與環(huán)境安全策略。要保證館內(nèi)所有硬件設施不會被偷盜、火災、水災、電磁泄露等事故所干擾。第二，能支持的應用策略，即AUP。一個良好的總結(jié)方案，必須要涵蓋信息安全策略系統(tǒng)中概括應用者責任的內(nèi)容，相當于一個協(xié)議，需要檔案管理人員時刻遵循其所表示的安全策略。第三，實施信息資產(chǎn)分級對策。對相關檔案信息進行分級分類處理，同時完成重要性和價值的評價工作，以此確定應選用哪種安全策略。第四，信息保密對策。對數(shù)字檔案館中有必要加密保護的數(shù)據(jù)信息進行重新定義，同時確定使用的加密對策。第五，推行安全事故的響應和報告對策，并建設出相應的機制。第六，使用災難恢復和備份對策。確定備份體制和災難出現(xiàn)時的應對手段、人員責任、聯(lián)系方式和程序等等。第七，加強從業(yè)人員培養(yǎng)、任用工作。保證數(shù)字檔案館中所有職工均能通過審核，并且其能深刻意識到安全策略的重要性和帶來的影響，能積極履行有關責任。第八，用戶口令和賬號安全對策。制定檔案館管理人員、系統(tǒng)管理人員、查找用戶等相關口令和賬號的標準，包括使用、優(yōu)化、保護口令的規(guī)定等等。第九，入侵檢測和防火墻對策，明確檔案館內(nèi)互聯(lián)網(wǎng)應對外界不良訪問和非法入侵的管理和技術手段。第十，Email應用對策，設立館內(nèi)職工應用電子郵件時的規(guī)定要求。第十一，網(wǎng)絡訪問對策，對職工在網(wǎng)上的具體行為予以明確規(guī)定。第十二，實行遠程訪問安全對策，進一步明確館內(nèi)資源的應用人員（如web查找用戶、服務供應商的技術工作者）權限和具體行為標準。

三、結(jié)論

綜上所述，在數(shù)字檔案館系統(tǒng)中運用信息安全策略，是時代發(fā)展的必然趨勢。相關人員要根據(jù)館內(nèi)實際情況和人員特點，有針對性地選用措施和手段。但需要注意的是，此種策略并非是無所不能的，要通過不斷優(yōu)化信息安全保障系統(tǒng)來讓其充分發(fā)揮出自身作用，從而推動數(shù)字檔案事業(yè)向著更加健康的方向發(fā)展。

【參考文獻】

[1]周楓，謝文群.云計算環(huán)境下數(shù)字檔案館信息安全分析及管理策略研究[J].北京檔案，2012（08）：55-57.

[2]余慧瓊，易輝敏，龔暢.數(shù)字檔案信息安全風險與防范策略探討[J].管理觀察，2018（07）：55-56.

[3]葉蓉.數(shù)字檔案信息安全的影響因素分析及應對策略探討[J].才智，2017（24）：247.