王士娇
随着国家信息化建设和电子政务建设的迅速推进,档案信息化建设进程也随之加快。信息技术在档案部门的广泛应用,一方面为档案管理和利用提供了高效便捷的手段和方法,另一方面也给档案信息安全带来了新的隐患,档案信息安全问题日益突出。
一、档案信息安全内容
从广义来讲,档案信息安全保障的内容主要包括档案信息内容安全、实体安全、系统安全、网络安全、应用安全和管理安全等。
档案信息内容安全是指防止档案信息资源被故意地或偶然地非授权泄漏、更改或破坏,也防止造成档案信息不可用的系统辨认、鉴别和控制。这也是常说的确保档案信息内容的完整性、保密性、可用性和可控性。档案信息实体安全主要指档案信息载体、档案计算机设备设施物理线路、档案装具、档案馆建筑符合档案管理的要求,防止受到任何损坏和破坏,如保护计算机主机硬件和物理线路以及其他媒体免遭地震、水灾、火灾、有害气体、辐射、硬件故障、搭线接听、盗用、偷窃、超负荷等的破坏;档案库房环境要符合温度、湿度、气压等相关标准。档案信息系统安全是指档案计算机管理系统的主要功能模块和数据信息不受任何破坏,如计算机主机操作系统的安全、数据库系统的安全。档案信息网络安全是指网络系统的硬件、软件及其系统中的数据保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄漏,确保系统能连续、可靠、正常地运行。档案信息应用安全是指Web站点安全,电子档案信息传输安全,以及在档案信息应用过程之中防止被破坏和被损坏。档案信息管理安全包括技术管理、人员管理以及法规标准方面的安全。
二、影响档案信息安全的因素
(一)自然因素 档案信息资源存在和运用于自然界之中,自然界的雷电、火灾、水灾、风灾、地震、强磁场、强电子脉冲等自然灾害时常发生,直接危害着档案信息资源的安全。
(二)环境因素 环境条件不符合有关标准会对档案信息造成危害,如档案信息网络控制中心机房场地和工作站的环境不合要求:电源质量差,温湿度不适应,无抗静电、抗磁场干扰和无防尘、防火、防水、防雷电、防漏电、防盗窃的设施和措施,以及光、空气污染物及害虫、霉菌等有害生物都会给档案信息带来不利的影响。
(三)技术因素 对于纸质档案来讲,决定纸张本身耐久性的因素是造纸植物纤维的质量和植物纤维的化学性质及造纸过程。对于新型载体档案来讲,载体的质量、计算机技术等决定了档案信息的安全。如网络安全漏洞、计算机网络故障、硬件故障、软件系统缺陷或错误、电磁泄漏、信息安全产品过于依赖国外等都会对信息的安全产生影响。
(四)社会因素 首先,资金的短缺是制约档案信息安全的一个重要因素。资金投入的不彻底难以保证确保档案信息安全软、硬件条件的投入使用。其次,人类社会的暴力、战争、恐怖事件、网络犯罪、网络黑客、盗窃、破坏等也都可能危及档案信息安全。随着互联网在我国的迅速普及,各种敌对势力会利用互联网作为工具进行反动活动。
(五)管理因素 管理因素包括档案信息安全法律法规、标准制度和人员的素质、心理、责任心。档案信息组织管理和决策的核心是人,人是网络的建设者和使用者,网上内容的提供者。
三、档案信息安全保障体系建设
档案信息安全保障体系建设的主要任务是保障数字档案信息的使用安全和信息载体的运行安全,同时健全数字档案信息安全保障体系的法制保障、资金保障、规范标准保障、完善管理保障、革新技术保障和培育人才保障。
(一)档案信息安全法制保障
档案信息安全法制保障是档案信息安全保障体系建设的重要方面。要建立健全档案信息安全法规体系。档案信息安全保障法规对于规范档案信息主体的活动、协调和解决各种矛盾、保障档案信息资源的安全等有重要作用,具有保护档案信息客体具有知识性和财产性、体现高新技术和法规规范渊源的广泛性的特征。我国档案信息安全立法层次为国家法律、行政法规、地方性法规、规章和规范性文件五个层次。按照不同的标准,档案信息安全保障法规体系框架由不同的部分构成。在法规制定中,注意规范性和可操作性、系统性和兼容性、管理与发展并重、重点突出稳步推进等方面,要注意吸收和借鉴国内外信息安全法规建设经验,及时清理和修订现有法规规章,适时制定档案信息安全保障法等新法规。
(二)档案信息安全的资金保障
在我国,各级综合档案馆既是档案信息的蓄水池,也是档案信息的主要发布者。然而资金匮乏则是制约蓄水池和发布者作用发挥的主要因素。在许多地方,尤其是北方的城市,最差的房子是档案馆,办公经费多年不长甚至下降的也是档案馆。资金的匮乏,难以保证档案信息安全软件及硬件的实施,造成各级档案馆设施设备老化,人才流失。同时,对馆藏纸质档案的数字化也要依赖于馆外加工机构来进行,极易造成档案信息流失。因此,在加强信息安全保障体系建设中,各级政府重视档案馆的资金投入是重要的一个环节,要力争做到档案馆经费的增长要随着经济的增长达到一定比例的增长。
(三)档案信息安全标准保障
档案信息安全标准是档案信息安全保障的重要组成部分,是实现档案安全管理的重要依据。我国档案部门应吸收和借鉴国外信息安全标准以及国外档案工作方面的标准,研究制定适合新形势下我国档案信息安全现状的标准化体系。研究制定档案信息安全标准体系应遵循科学性原则、协调性原则、全面性原则、接轨性原则和前瞻性原则,力求层次清晰、结构合理、体系明确、标准齐全。
(四)档案信息安全技术保障
档案信息安全技术不仅涉及到传统的“防”和“治”的技术,而且已经扩展到涉及密码技术、访问控制技术、标识和鉴别技术、审计与监控技术、网络安全技术、系统安全技术、应用安全技术等多种现代信息新技术。传统技术与现代新技术相互补充、相互结合,从不同的角度、不同层次来解决档案信息安全问题,共同构筑档案信息的安全屏障,做好档案信息安全技术的发展与更新,加快档案信息安全技术成果的应用、推广和转化,在引进、消化和吸收相关领域科学技术成果的同时,坚持自主创新,走国产化道路,开发拥有独立自主知识产权的、保障档案信息安全的核心技术和关键设备。endprint
以苏州市档案馆为例,该档案馆在进行数字档案馆建设的时候,将档案信息安全保障考虑的十分完善,从网络拓扑图中可以看出苏州市数字档案馆运用防火墙及隔离工具确保内网与外网的连接安全,另外苏州市档案馆也运用各种杀毒软件以及采取各种有效的技术手段来确保整个数字档案馆的安全运行,构建了完善的档案信息安全保障体系。
(五)档案信息安全管理保障
档案信息安全管理是以数字档案信息及其载体为对象的安全管理,它的任务是保证数字档案信息的使用安全和信息载体的运行安全。数字档案信息安全保障的管理体系是指以系统全面科学的安全风险评估为基础的、体现“防患于未然”为核心的、动态的数字档案信息安全管理体系。其目标是达到数字档案信息所需的安全级别,将风险控制在较恰当的水平。数字档案信息安全管理由其相应的原则、程序和方法,来指导和实现一系列的安全管理活动。
在实施档案信息安全管理保障措施时,需经过以下步骤进行:完善组织机构→进行风险评估→制定安全策略→开展安全管理培训→执行管理决策→评价并改善管理体系。其中,笔者认为最重要的是进行风险评估,根据有关部门统计,“在所有的计算机安全事件中,约有52%是人为因素造成的,25%是由火灾、水灾等自然灾害引起的,技术错误占10%,组织内部人员作案占10%,仅有3%左右是由外部不法人员的攻击造成。”不难看出,属于内部人员方面的原因超过70%,而这些安全问题中的95%是可以通过科学的风险评估来避免的。所以风险评估的重要性不言而喻,加强风险评估的力度是档案信息安全管理保障的重中之重.
风险评估是对信息及信息处理设施的威胁、影响、脆弱性及三者发生的可能性的评估。它是确认安全风险及其大小的过程,即利用定性或定量的方法,借助于风险评估工具,确定信息资产的风险等级和优先风险控制。风险评估需要先根据档案信息系统的实际情况定级,填写等级保护定级备案表,并去有关公安机关备案;然后进行实际的风险评估,完成风险评估报告;最终根据报告内容,采取风险控制的措施,进一步完善档案信息系统,做好档案信息安全保障工作。
(六)档案信息安全人才保障
目前,我国档案信息安全人才匮乏,缺少既懂安全管理又懂安全技术的档案工作人员。为了确保数字档案信息的安全,档案管理部门应采取切实可行的措施,比如,开展职业证书教育培训,档案部门吸收引进信息安全专门人才。分级分类、按需施教,通过项目带动等多种途径和形式,开展档案信息安全人才的继续教育,培养更多的适应信息时代背景下档案工作需要的应用型和复合型相结合的人才,为构建数字档案信息安全保障体系提供强有力的智力支持。增强档案信息安全意识是档案信息安全事故预防与控制的一个重要手段。通过学校的教育、媒体宣传、政策导向等形式和途径,在深入持久的宣传教育、工作环境、档案信息安全法规贯彻中,培养和强化档案信息安全意识。
档案信息安全是由标准、资金、技术等六个方面来共同保障的,任何一方面的保障不到位都可能导致档案信息泄露或丢失,因此,六个方面要紧密结合。在实际工作中,也要根据本单位的具体情况,切实保障档案信息安全。
(作者单位:迁安市档案局)endprint