鄭云鵬

【摘要】對(duì)于大多數(shù)檔案管理機(jī)構(gòu)和檔案資源所有組織而言，檔案信息中包含大量機(jī)密性和安全性信息，因此保障檔案信息安全是所有檔案管理機(jī)構(gòu)的基本工作內(nèi)容。但在信息化時(shí)代，檔案數(shù)字化和檔案管理的信息化改革逐步加深，這對(duì)檔案信息安全保障形成了新的挑戰(zhàn)。本文主要結(jié)合當(dāng)前信息化時(shí)代發(fā)展的基本現(xiàn)實(shí)，探討檔案信息安全保障的需求，并提出具體的保障體系構(gòu)建策略，希望能夠?yàn)楦黝悪n案管理機(jī)構(gòu)提供有效參考。

【關(guān)鍵詞】檔案管理;檔案信息安全;保障體系

一、檔案信息面臨的主要安全風(fēng)險(xiǎn)

（一）傳統(tǒng)風(fēng)險(xiǎn)。檔案信息的傳統(tǒng)風(fēng)險(xiǎn)主要是指?jìng)鹘y(tǒng)形式檔案所面臨的各類信息安全風(fēng)險(xiǎn)。目前幾乎所有的檔案管理機(jī)構(gòu)都保存有傳統(tǒng)形式的檔案，即以紙張、光盤為基礎(chǔ)媒介的傳統(tǒng)實(shí)體檔案。此類檔案通常面臨兩類基本的安全風(fēng)險(xiǎn)，即檔案本身滅失和檔案記錄內(nèi)容損壞的風(fēng)險(xiǎn)，在現(xiàn)代管理?xiàng)l件下這兩類風(fēng)險(xiǎn)大多是由不可抗拒的自然因素和管理者的疏忽大意所導(dǎo)致，這類風(fēng)險(xiǎn)也可以通過(guò)加強(qiáng)保障技術(shù)和管理力度來(lái)有效規(guī)避，并不屬于現(xiàn)代檔案信息安全的主要風(fēng)險(xiǎn)。而且現(xiàn)階段檔案管理研究已經(jīng)對(duì)傳統(tǒng)形式檔案的各類信息滅失風(fēng)險(xiǎn)建立了較為完善的防范策略體系，因此本文僅對(duì)此類風(fēng)險(xiǎn)進(jìn)行簡(jiǎn)要介紹，不再對(duì)此類風(fēng)險(xiǎn)的防范措施進(jìn)行深入探討。

（二）信息化時(shí)代的新型風(fēng)險(xiǎn)。信息化時(shí)代檔案信息的安全風(fēng)險(xiǎn)則更為多樣化，也表現(xiàn)得更為特殊?？梢詫⑿畔⒒瘯r(shí)代檔案信息安全風(fēng)險(xiǎn)歸結(jié)為如下幾類：1.因信息化檔案的硬件載體損壞而出現(xiàn)的信息滅失風(fēng)險(xiǎn)。信息化檔案一般可以通過(guò)光盤、軟盤、硬盤、U盤等存儲(chǔ)介質(zhì)進(jìn)行長(zhǎng)期的固定保存，此類檔案存儲(chǔ)介質(zhì)雖然相對(duì)于傳統(tǒng)的紙質(zhì)媒介而言具有較高的穩(wěn)定性和抗外力侵害性，但其本身仍是相對(duì)脆弱的，可以輕易被人為破壞，也有可能在信息化設(shè)備中使用的過(guò)程中因電氣故障等因素出現(xiàn)損壞。在這類保存介質(zhì)中，只有少部分介質(zhì)在損壞后仍能恢復(fù)部分信息（如硬盤），但也不能保證恢復(fù)信息的完整性。2.因人為不當(dāng)操作而導(dǎo)致的信息損毀或滅失風(fēng)險(xiǎn)。信息化檔案的操作過(guò)程更為簡(jiǎn)單，這雖然為檔案管理工作帶來(lái)了較大便利，但同時(shí)也使得檔案管理工作存在更大的人為操作風(fēng)險(xiǎn)。例如傳統(tǒng)檔案在不當(dāng)操作后，可能僅出現(xiàn)極少部分檔案信息的消失或不清晰，而信息化檔案可能只需要一個(gè)簡(jiǎn)單的刪除鍵即可完全被滅失，從而導(dǎo)致檔案信息的完全破壞。3.因病毒和木馬傳播而導(dǎo)致的信息損壞風(fēng)險(xiǎn)。信息化檔案的管理過(guò)程大部分依托于計(jì)算機(jī)軟件平臺(tái)，而計(jì)算機(jī)病毒和木馬可能導(dǎo)致計(jì)算機(jī)內(nèi)部存儲(chǔ)和操作的各類信息被篡改或破壞，其中部分篡改和破壞是不可逆的，這可能導(dǎo)致單一備份的信息化檔案在破壞后無(wú)法有效恢復(fù)。4.受人為攻擊而導(dǎo)致的多種信息安全風(fēng)險(xiǎn)。信息化檔案存儲(chǔ)在計(jì)算機(jī)硬件介質(zhì)當(dāng)中，可以通過(guò)計(jì)算機(jī)軟件系統(tǒng)和網(wǎng)絡(luò)體系進(jìn)行訪問(wèn)，在不法分子通過(guò)非法手段獲取系統(tǒng)或網(wǎng)絡(luò)的訪問(wèn)權(quán)限后，可能會(huì)對(duì)檔案信息進(jìn)行竊取、篡改和破壞，這會(huì)對(duì)檔案信息造成多種形式的安全威脅。5.因軟件不兼容而導(dǎo)致的檔案損壞風(fēng)險(xiǎn)。信息化檔案在不同軟件平臺(tái)間所采用的存儲(chǔ)形式和格式不一定完全相同，在未對(duì)檔案文件的可寫屬性進(jìn)行限定的情況下，通過(guò)錯(cuò)誤的軟件平臺(tái)對(duì)檔案進(jìn)行讀寫操作可能會(huì)破壞檔案文件，導(dǎo)致檔案信息丟失或亂碼化。

二、檔案信息安全風(fēng)險(xiǎn)和保障的現(xiàn)狀及問(wèn)題

（一）安全風(fēng)險(xiǎn)發(fā)展趨勢(shì)與現(xiàn)狀。結(jié)合上文所總結(jié)的五類信息化檔案信息安全風(fēng)險(xiǎn)來(lái)看，目前在檔案管理領(lǐng)域出現(xiàn)率相對(duì)較高的安全風(fēng)險(xiǎn)主要集中在第2-3類：信息化檔案硬件載體損壞的情況在現(xiàn)代社會(huì)并不常見(jiàn)，這主要與計(jì)算機(jī)硬件存儲(chǔ)設(shè)備集成化、移動(dòng)化存儲(chǔ)設(shè)備的抗破壞性提升有較大關(guān)系;人為不當(dāng)操作、病毒和木馬傳播、人為攻擊是目前檔案信息安全最突出的風(fēng)險(xiǎn)，其中前兩類問(wèn)題的出現(xiàn)率相對(duì)較高，但通常所造成的信息安全破壞問(wèn)題較小，在安全保障手段逐步完善的情況下，其所造成的信息安全問(wèn)題大多數(shù)也能夠得到完全解決，但其中人為攻擊所導(dǎo)致的檔案信息安全問(wèn)題普遍較為嚴(yán)重，而且很難消除其所造成的影響;因?yàn)檐浖患嫒荻鴮?dǎo)致的檔案損壞風(fēng)險(xiǎn)在近年來(lái)逐漸降低，這主要與檔案管理領(lǐng)域的格式標(biāo)準(zhǔn)化、檔案管理軟件技術(shù)的完善化有較大關(guān)系，大多數(shù)檔案都具備了讀寫權(quán)限控制條件，能夠在很大程度上預(yù)防軟件不兼容導(dǎo)致的檔案損壞風(fēng)險(xiǎn)。

（二）安全保障手段的發(fā)展趨勢(shì)與現(xiàn)狀。就國(guó)內(nèi)外檔案管理機(jī)構(gòu)信息化改革與發(fā)展的現(xiàn)狀來(lái)看，目前在檔案管理領(lǐng)域較為流行的信息安全風(fēng)險(xiǎn)保障措施主要有以下幾個(gè)方面：

1.基于計(jì)算機(jī)系統(tǒng)軟件和硬件的保護(hù)措施。在硬件方面主要保護(hù)檔案存儲(chǔ)介質(zhì)、網(wǎng)絡(luò)訪問(wèn)設(shè)備，避免硬件載體損壞，以及源于網(wǎng)絡(luò)的非主動(dòng)性病毒及木馬傳播。在軟件方面，主要防護(hù)電腦系統(tǒng)間傳遞的病毒和木馬，其本身主要針對(duì)計(jì)算機(jī)常見(jiàn)病毒和木馬進(jìn)行防護(hù)，較少考量專門針對(duì)特定檔案文件格式的病毒和木馬。2.基于檔案管理工作制度的保護(hù)措施。要求檔案管理工作人員按照既定的標(biāo)準(zhǔn)和流程進(jìn)行操作，強(qiáng)調(diào)操作的規(guī)范性和安全性，避免人為不當(dāng)操作、人為使用未經(jīng)認(rèn)證和檢查的移動(dòng)存儲(chǔ)設(shè)備、人為訪問(wèn)外部網(wǎng)絡(luò)等所造成的病毒和木馬入侵風(fēng)險(xiǎn)。

3.基于外部攻擊行為的主動(dòng)防護(hù)措施。這種防護(hù)措施主要出現(xiàn)在一些對(duì)檔案信息機(jī)密性關(guān)注較高的組織中，例如大型企業(yè)的檔案管理功能會(huì)更重視對(duì)主動(dòng)攻擊導(dǎo)致的檔案信息安全風(fēng)險(xiǎn)的防范，這也是保護(hù)企業(yè)經(jīng)濟(jì)利益的必要手段。具體保護(hù)主要通過(guò)計(jì)算機(jī)軟硬件協(xié)同的防護(hù)措施來(lái)保護(hù)特定檔案。

三、檔案信息安全保障體系的構(gòu)建策略

（一）一般檔案信息安全保障體系的問(wèn)題。從當(dāng)前檔案機(jī)構(gòu)對(duì)于檔案信息安全保障的基本做法來(lái)看，其中存在兩個(gè)方面的典型問(wèn)題：第一，過(guò)度關(guān)注計(jì)算機(jī)硬件和系統(tǒng)層面上的安全，忽略了系統(tǒng)和制度層面上的安全，大多數(shù)小型機(jī)構(gòu)普遍采用計(jì)算機(jī)軟硬件技術(shù)來(lái)保障系統(tǒng)安全而很少對(duì)人員操作進(jìn)行標(biāo)準(zhǔn)化的管理，只有一些大型企業(yè)會(huì)在檔案管理方面對(duì)人員進(jìn)行嚴(yán)格管理。第二，多數(shù)機(jī)構(gòu)未充分考慮到云存儲(chǔ)技術(shù)廣泛應(yīng)用后的新型安全風(fēng)險(xiǎn)問(wèn)題，云存儲(chǔ)技術(shù)能夠在很大程度上規(guī)避數(shù)字檔案安全風(fēng)險(xiǎn)，但同時(shí)也會(huì)造成新的風(fēng)險(xiǎn)，這是許多檔案管理機(jī)構(gòu)尚未觸及的領(lǐng)域，因此并未得到全面重視。

（二）檔案信息安全保障體系完整構(gòu)建的基本策略。結(jié)合全文分析來(lái)看，信息化檔案管理體系下的檔案信息安全較為多樣，單一的檔案安全保護(hù)措施并不能完全規(guī)避檔案安全風(fēng)險(xiǎn)。而且檔案安全風(fēng)險(xiǎn)存在較高的偶發(fā)性，所以檔案信息安全保障體系必須保證其全面性，對(duì)此本文建議各檔案管理機(jī)構(gòu)在檔案信息安全保障體系的建設(shè)方面不能忽視任何層面上的保障需求。具體到實(shí)踐中來(lái)看：首先，國(guó)家需要建立一套高度完善的數(shù)字檔案信息安全保障法律（法規(guī)），在法律工具上為管理機(jī)構(gòu)的檔案安全管理提供基本的保障條件。其次，檔案機(jī)構(gòu)要從工作制度和人員管理層面上進(jìn)一步確保檔案信息安全，區(qū)分各級(jí)管理人員的檔案訪問(wèn)和使用權(quán)限，規(guī)范檔案管理流程。再者，基于檔案管理工作的基本流程，分析各類可能有人員主觀因素或非主觀因素導(dǎo)致的檔案信息安全問(wèn)題，制定預(yù)防性措施和安全冗余制度。最后，部署全面覆蓋網(wǎng)絡(luò)體系、服務(wù)器設(shè)備、終端訪問(wèn)設(shè)備、系統(tǒng)和軟件平臺(tái)的安全防護(hù)條件，并根據(jù)制度層面上的安全冗余要求，設(shè)計(jì)相應(yīng)的檔案?jìng)浞菖c分布式存儲(chǔ)方案，確保檔案被破壞后仍具備回溯的基本條件。

（三）針對(duì)未來(lái)檔案云存儲(chǔ)應(yīng)用下的信息安全保障建議。云存儲(chǔ)技術(shù)以其 “對(duì)單一存儲(chǔ)硬件依賴度低”“天然的信息備份條件”等優(yōu)勢(shì)成為存儲(chǔ)技術(shù)發(fā)展的主流，大幅降低了檔案信息存儲(chǔ)的成本，大大降低了數(shù)據(jù)丟失的概率，保證了存儲(chǔ)數(shù)據(jù)的安全性，因此云存儲(chǔ)也成為檔案信息存儲(chǔ)的新方向。但云存儲(chǔ)技術(shù)也并非完全無(wú)風(fēng)險(xiǎn)，在平臺(tái)數(shù)據(jù)泄露以及服務(wù)中斷等情況下，云存儲(chǔ)依然無(wú)法完全避免數(shù)據(jù)安全問(wèn)題。因此，本文建議檔案管理機(jī)構(gòu)在應(yīng)用云存儲(chǔ)技術(shù)時(shí)就要考慮到此類風(fēng)險(xiǎn)，通過(guò)加強(qiáng)合同約束來(lái)確保云存儲(chǔ)服務(wù)機(jī)構(gòu)對(duì)平臺(tái)數(shù)據(jù)保密責(zé)任的履行意識(shí)，通過(guò)部署新的技術(shù)來(lái)規(guī)避服務(wù)器中斷風(fēng)險(xiǎn)，由此進(jìn)一步保障檔案信息云存儲(chǔ)應(yīng)用下的安全性。

【參考文獻(xiàn)】

[1]侯嬌嬌.如何做好事業(yè)單位檔案信息安全管理工作[J].辦公室業(yè)務(wù)，2019，311（06）：117.

[2]周麗，楊劍云.基于云計(jì)算的檔案信息安全體系應(yīng)用探討[J].城建檔案，2019，233（02）：36-37.