档案管理系统面临的安全威胁与防御措施探讨

熊 炜

（中共湖南省委党校 湖南 410006）

0 引言

档案管理系统可以实现档案资料采集、档案资料处理和档案资料保存等，有效的改变了传统纸质档案管理模式，实现档案电子化、信息化、共享化和永久化保存，具有重要的作用和意义。但是，档案管理系统在为人们工作、生活和学习带来极大便利的同时，也带来了潜在的威胁，尤其是随着新时期计算机网络中传播的木马、病毒开发技术的更新升级，档案管理系统自身固有的漏洞等，都已经成为档案管理系统推广和运行的最大障碍。面对快速增长的档案管理系统安全需求，单一采用被动的防御技术无法满足档案管理安全需求，并且不能够从根本上解决档案管理安全防御问题，因此档案管理系统的安全防御需要全面的进行升级和改进，以便能够构建纵深、全面的档案安全管理系统。

1 档案管理系统面临的安全威胁

随着档案管理系统的应用和发展，档案管理系统保存的信息越来越多，许多档案内容具有高度机密性，因此档案管理系统已经成为黑客、木马、病毒攻击的重要的目标。档案管理系统面临的安全威胁主要包括以下三个方面，分别是档案管理系统面临的攻击和威胁具有多样化，档案管理系统的固有漏洞不断上升，档案管理系统的攻击手段越来越智能化。

1.1 档案管理系统面临的攻击和威胁具有多样化

目前，由于档案管理系统均已经采用云计算技术、互联网技术，其在为人们带来便利的同时，分布式管理系统面临的攻击和威胁也越来越多。黑客利用入侵分析技术寻找档案管理系统存在的安全漏洞，以便能够获取档案管理系统的使用权限或数据资源。目前，档案管理系统攻击和威胁的手段包括许多种，比如可以采用往来的电子邮件、数据采集等实现网络数据攻击，同时也可以利用木马或者病毒对网络实施攻击，另外还可以在网络上制作、散布敏感信息，比如恶意代码等，以便获取档案管理系统的相关资料，进而获取经济利益。

1.2 档案管理系统的漏洞数量居高不下

目前，档案管理系统面临的最大的威胁就是来自于系统本身固有的各种漏洞。档案管理系统在设计与实现过程中，采用的计算机技术虽然能够保持一段时间的先进性，但是计算机软件设计与实现技术发展迅速，因此档案管理系统在使用过程中，一段时间之后系统自身技术优势将逐渐成为劣势，暴露出许多设计与开发漏洞，并且黑客攻击、入侵分析技术也在迅速上升，导致档案管理系统漏洞被扫描检测到，面临更加严重的安全威胁。

1.3 档案管理系统感染的木马和病毒的传播方式迅速化

随着档案管理系统中传播的木马、病毒等开发、设计技术的强化和智能化，其传播速度越来越快，传播途径也越来越广泛，并且隐藏周期更长，更难以被人发现，尤其是在互联网时代，许多档案管理系统通过互联网连接在一起，以便能够共享数据资源，但是计算机非专业的操作人员很少定期进行查毒和杀毒，导致档案管理系统中弥漫着ARP病毒、FTP病毒、震荡波病毒、邮件病毒和网页病毒等，其会自动的导致数据传输性能逐渐降低，档案管理系统服务效率大幅度下降。

2 档案管理系统安全防御措施

2.1 全面构建档案管理系统风险评估体系

档案管理系统风险评估就是分析对档案管理系统面临的威胁、攻击和危害，评估这些情况发生的可能性等。档案管理系统风险管理是指在可以接受的成本控制范围内识别、控制安全威胁，降低或者消除可能影响档案管理系统的安全风险。因此，作为风险管理的最基本内容，风险评估是一个能够确定档案管理系统是否存在潜在的威胁和攻击事件的重要方法和途径。强化档案管理系统安全防御措施，首先需要构建健全的风险评估体系，识别安全威胁，以便防御时更加具有针对性。

2.2 构建纵深型主动防御体系

在传统安全防御技术基础上，构建纵深型主动防御体系，可以采用预警、响应、检测、保护、恢复和反击等技术，强化档案管理系统主动防御能力。纵深型主动防御体系的核心是主动预警和主动响应。主动预警可以采用遗传算法、支持向量机、BP神经网络等技术进行入侵检测，以便能够有效的确定档案管理系统中是否存在非法数据流等信息，扫描档案管理系统是否存在漏洞，以便能够根据数据库、知识库中保存的经验数据，判断档案管理系统信息流中是否存在非法的内容及相关的特征，及时主动的采取漏洞预警、攻击预警、行为预警、情报采集预警等技术，进行网络主动预警。主动响应技术可以对相关的攻击行为进行防御，以便能够最大化的降低档案管理系统攻击行为带来的影响。目前，主动响应技术可以搜集攻击数据，对其进行实时的分析，判断攻击源所在的位置，以便能够采用防火墙等阻断攻击源，或者可以采用攻击诱骗技术或者僚机技术，将档案管理系统中已经正在发生的攻击行为引诱到一个无关紧要的主机上，降低档案管理系统受到的损害。

3 结束语

档案管理系统的应用和拓展为档案信息的网络化共享和永久化保存提供了契机，但是档案管理系统面临的安全威胁阻止了系统的应用，因此构建纵深型主动防御系统可以提高系统的防御能力，提高系统的普及率和应用效果。

[1]宋如如.浅谈高校计算机信息系统的建设与维护[J].信息安全与技术.2014.

[2]邬斌亮，熊琭.对电子档案系统信息安全等级体系建设的研究[J].网络安全技术与应用.2013.

[3]黄哲，文晓浩.浅论计算机网络安全及防御措施[J].计算机光盘软件与应用.2013.

[4]祝永健.刍议计算机网络防御策略建设方法及模型优化方案[J].网络安全技术与应用.2014.