对电子档案系统信息安全等级体系建设的研究

邬斌亮 熊 琭

（上海市计算机软件评测重点实验室 上海 200000）

0 引言

电子档案的建立将使政府社会服务职能得到最大程度的发挥,但也使政府敏感信息暴露在无孔不入的网络威胁面前。由于电子档案信息网络上有相当多的政府公文在流转,其中不乏重要信息,内部网络上有着大量高度机密的数据和信息,直接涉及政府的核心档案,它关系到政府部门、各大系统乃至整个国家的利益,有的甚至涉及国家安全。因此,电子档案信息安全是制约电子档案建设与发展的首要问题和核心问题,是电子档案的职能与优势得以实现的根本前提。如果电子档案信息安全得不到保障,不仅电子档案的便利与效率无从保证,更会给国家利益带来严重威胁。

1 建立电子档案系统信息安全等级体系建设的必要性

建立电子档案系统安全体系是落实中央领导同志档案安全保护工作一系列重要指示的需要，是防止国内外敌对势力窃取我国核心档案信息的需要，是预防和减轻自然灾害、人为灾害对档案造成损失的需要，是解决公共档案信息服务与档案信息安全之间矛盾的需要，适应对新技术条件下数字档案信息安全挑战的需要，是消除档案部门各种安全隐患的需要。

信息技术在档案管理中的广泛应用，一方面提高了档案工作的效率，扩大了档案的社会影响力；另一方面也对档案工作提出了新的要求，例如存储介质的不稳定、技术过时、黑客入侵、电脑病毒破坏等都使得电子档案信息的安全保护面临着前所未有的挑战。

2 目前电子档案信息系统存在的问题

电子档案相对于传统的档案来说，只是一种存在形式的区别，一般是指以字节、比特方式储存于磁盘、光盘、磁带等介质中，然后通过阅读解码的软件将数据，图表，文字等信息在用户面前显示出来。当前我国的电子档案电子化存在以下几个主要问题：

2.1 电子档案电子化普及程度不高

电子办公在很多国内企业中都有普遍的运用，大多企业单位都在使用计算机进行文件处理和部门之间的沟通交流的工具以及日常会议通知等事务性工作。但是电子档案管理是属于企业电子化办公的更深层更系统化的运用，国内企业中能够真正使用计算机管理档案的仍然很少。在实行有限的档案管理电子化的部分公司中，即使是有将计算机运用于管理档案中，但管理层次也仅仅局限于较简单和肤浅的目录管理，而处于不同目录下的电子文档等资料则仍然是很分散的，档案管理电子化有名无实。

2.2 对于档案电子化管理认识不足

目前，在很多企业中，利用电脑进行文书的书写，图表的制作已经是很普遍的了。但是对于已经制作好的文件，在打印使用完之后，电子版的保存工作往往会被人忽视。长此以往，公司电脑中的文档处于不断被删除，修改，或者覆盖的状态，对于这种档案往往就没有整理管理的价值了。2除了不同企业工作人员对档案电子化管理没有概念之外，连有些档案管理人员都没有一个正确的认识，他们认为档案电子化管理就是在管理中应用一定数量的计算机、复机印、扫描机、刻录盘。

2.3 电子化管理自身的难题

首先，由于电子档案的储存方式主要是光盘，磁带等形式，存在复杂性，不稳定性，和储存方式的互换性。当储存介质性质发生变化时，储存的信息就很容易造成丢失缺损，覆盖，删除，不利于完整重现信息。

其次，电子档案的安全性较低。由于电子档案存放位置没有一个统一的标准和规定，具有一定的随意性，而且电子档案的开放性相对于传统的文书档案更加高，电子档案的获取也很容易，导致档案信息随时有被修改、窃取、销毁的危险。

3 电子档案信息安全管理体系的构建

要有效维护电子档案信息系统的安全,就需要构建电子档案安全管理体系,从而使档案的信息基础设施、信息应用服务能够具有保密性、完整性、真实性和可用性。电子档案安全管理体系包括安全技术体系、安全管理体系和安全服务体系,涉及从管理到组织,从网络到数据,从法规标准到基础设施等各个方面。

3.1 加强安全技术力量是实现电子档案安全的基本方法

安全技术体系是利用技术手段实现技术层面的安全保护,是对电子档案安全防护体系的完善,包括网络安全体系、数据安全传输与存储体系,功能主要是通过各种技术手段实现技术层次的安全保护。

3.2 构建安全管理体系是电子档案安全实施的重要基础

安全管理是解决电子档案的安全问题在技术以外的另一有力保障和途径。由于安全的防范技术与破坏技术总是“势均力敌”、“相互促进”的。作为防范者就更应该在安全防范的管理上下更大的工夫。安全管理主要涉及三个方面:法律法规、安全防护体系以及等级保护政策。

4 完善电子档案系统信息安全等级保护体系的对策分析

4.1 加强安全管理组织是实现等级保护的基础

由于电子档案安全管理涉及到众多的国家安全职能部门，其安全管理职能的协调需要由国家信息化领导机构，如国家信息化领导小组、国家电子档案协调小组、国家信息安全协调小组等来进行。各地区和部委建立相应的信息安全管理机构，以完成和强化信息安全的管理，形成自顶向下的信息安全管理组织体系，是电子档案安全实施的必要条件。

4.2 规划与制度是规范等级保护的根本保证

电子档案信息系统存在着来自社会环境、技术环境和物理自然环境的安全风险，其安全威胁无时无处不在。对于电子档案信息系统的安全问题，不能企图单凭利用一些集成了信息安全技术的安全产品来解决，而必须建立电子档案系统信息安全保障体系，考虑技术、管理和法律的因素，全方位地、综合解决系统安全问题。

4.3 产品与技术解决方案是实施等级保护的具体表现

根据各级电子档案内外网与专网的安全等级保护的不同要求，安全等级保护的产品和技术解决方案部署在网络基础设施安全和主机及数据安全两方面。网络基础设施安全措施包括：网络部署、网络冗余、网络设备安全、边界保护、安全检测和审计、PKI、远程访问措施、网络安全管理等；主机及数据安全措施包括：服务器主机与平台加固、桌面端补丁管理与漏洞控制、病毒与恶意代码防范、身份识别与认证、系统与应用安全审计、数据完整性监控、数据备份与恢复、主机与数据安全管理策略清单等。

5 结束语

总之，在对电子信息档案的保存与维护过程中，应充分考虑环境、设备、技术、人员及电子信息档案的特点等综合条件，来制定有效的安全保密制度，以确保电子信息档案的安全可靠，能够永久地处于可准确提供利用的状态。电子档案管理是一个新生事物，从事电子档案管理的人员必须具备档案管理方面的基础知识和计算机信息技术等多方面的技术技能。因此，培养和造就一批电子文件、电子档案管理人员是当务之急。一是要重视吸纳专业型的人才充实到管理队伍中来，如电子计算机软硬件技术或电子通信技术、接受过大学教育的档案管理专业人才，对此类人才可以经过短期专业培训就基本能够达到电子档案管理工作的需要。二是加大教育投入，抽调一批学历达到一定水平且热爱档案管理工作的人员，对他们系统的进行档案管理基础知识、电子计算机知识、电子通信技术进行强化培训，使他们迅速掌握电子档案管理的基本知识技能，解决电子档案管理人才缺乏的现状。

[1] 赵晖：电子档案信息安全管理面临的问题和挑战，《城建档案》2013（1）.

[2] 王玉杰；苏卫东：档案信息化与档案信息安全保障体系建设，《机电兵船档案》2012（8）.

[3] 刘俊玲：档案开放利用的信息安全保障研究，安徽大学，2012.

[4] 陈思：电子档案安全体系构建，吉林大学，2011.

[5]邢燕,才碧莹.浅析档案信息安全保障体系建设[J]. 黑龙江档案. 2009(06).