刘晓君
摘 要:主要探讨了数字档案信息安全保障体系的构建,详细论述了数字档案开放利用中存在的信息安全保障问题,并提出了一系列解决措施,以期为有关单位提供参考和借鉴。
关键词:数字档案;信息安全保障体系;网络安全;网络技术
中图分类号:G270.7 文献标识码:A DOI:10.15913/j.cnki.kjycx.2015.22.014
随着档案数字化进程的不断加快,档案数字化信息的安全管理也逐渐面临着越来越大的挑战。档案信息化是一项十分复杂的系统工程,这就决定了档案数字化信息的安全保障也是一项复杂的工作。因此,如何构建数字档案信息安全保障体系已成为相关工作人员需要解决的问题。因此,本文就如何构建数字档案信息安全保障体系进行了探讨。
1 数字档案利用中的信息安全保障问题
数字化档案管理要求相关管理人员不仅要具备专业的档案管理知识,还需要掌握电子和网络技术以及防护数字档案信息安全知识。但目前大多档案管理人员仅具备档案管理知识,电子、网络技术方面的知识知之甚少,难以处理数字档案信息安全方面的问题,进而导致一些数字档案信息被损坏或泄露。
1.1 数字档案信息安全管理体系不完善
数字档案信息安全管理中普遍存在安全定位不准、安全责任不清、安全权限不明和安全管理不到位等问题。有资料表明,80%的网络安全事件和涉密信息事件与内网人员有关。为了有效控制数字档案开放利用过程中破坏档案信息的行为,需要有完善的法律法规作后盾。但我国现阶段的数字档案管理仍处于建设初期,还未具备专门的法律规章制度。目前,我国的法律体制建设并不完善,一旦数字档案出现问题,既无章可循,又无法可依,更不能依法追究相关人员的责任。当发生恶意破坏数字档案的事件时,由于数字信息取证十分困难,所以,很难将违法者绳之以法,进而导致国家或企业遭受巨大的经济损失。
1.2 数字档案信息安全技术应用不全面
数字档案的建设和维护离不开电子设备和网络技术的支持。但大多数企、事业单位的电子设备都比较陈旧,数字档案的整理、利用和传输方面的电子技术设备不完善,管理数字档案信息的相关措施比较简单,不同程度的安全漏洞普遍存在。比如,在传输信息的过程中未采取加密措施、未对数据进行备份处理等,导致数字档案信息在使用过程中被破坏或泄露;相关网络技术十分落后,比如光盘老化、外部设备霉变或腐蚀等,进而可能导致数字档案的内容丢失或混乱;未及时修复被损坏的数字档案信息、未备份的数字档案消失等给企、事业单位造成了巨大的损失。
目前,我国已开始关注数字档案开放利用中的信息安全保障问题,颁布了《全国档案信息化实施纲要》,有关省市也印发了有关规定。但档案信息的安全标准并未针对不同地区或类型的档案进行规范性指导。随着档案数字化进程的加快,数字档案管理中的漏洞越来越明显,难以统一的规范和标准导致相关法规失去了可操作性和指导性作用。
1.3 数字档案信息安全保障人才缺失
对于数字档案信息的安全保障工作,人是第一要素。数字档案信息安全管理体系的建立需要既掌握计算机知识,又了解档案业务的复合型人才,但目前档案部门很难找到这样的人才。此外,还存在档案专业人才外流的现象,且现有档案队伍的整体素质较低,大多数档案管理部门在挖掘本部门数字档案信息安全保障人才方面的工作不到位,未进行有效、专业、有针对性的指导,未能给予相关工作足够的重视和投入,数字档案信息安全保障的相应的课程体系不完善,这些问题都制约着数字信息安全保障体系的发展。
2 解决措施
一个完善的数字档案信息安全保障体系既需要良好的环境,又需要科学的标准制度和技术手段。因此,良好的电子硬件和软件是建设完善的数字档案信息安全保障体系的前提,优良的数字档案存放环境是保证档案寿命的必备条件。因此,关于数字档案信息安全问题的法律法规应更加细化,比如信息产权法、商业机构信息开放利用安全法、信息保密法等;根据不同档案工作的特点,制订针对性较强的数字档案信息安全保障法律法规,以保证数字档案信息的真实性和完整性。
2.1 健全数字档案信息安全保障的法律法规
健全的数字档案信息安全保障法律法规需要由基本的原则、制度、规范性行为和违反规定行为的处罚条例等组成。这样一个完善的保障环境才有可能保证数字档案信息的安全和完整。因此,在目前有关法律法规的基础上,应对数据档案的使用、存储作更明确、具体的规定,追究数字档案信息的非法使用者的责任。管理制度是保障数字档案信息安全的重要措施,因此,需建立计算机和信息系统管理制度,包括操作安全管理、操作权限管理、操作规范管理、操作恢复管理、计算机和信息系统备份管理、信息系统维修和报废制度等。
2.2 完善数字档案信息安全保障技术
应加大对数字档案信息安全保障技术的研发力度,提高保障技术的科技含量,建立技术安全体系结构,构建分层安全策略,并应用各种安全技术。
2.2.1 内容安全层
内容安全层位于核心层。它的存在不仅可防止数字档案信息被更改或丢失,还可防止信息内容被非法用户获取。内容安全层的保障建设主要涉及电子签名技术和数据加密技术。电子签名技术可保证信息的内容完整、不被更改。目前,最成熟的电子签名技术为“数字签章”,采用该技术可确保数字档案信息的安全性和保密性。加密技术主要涉及加密、解密算法和密匙等内容。
2.2.2 访问安全层
访问安全层采用身份认证技术、访问控制技术等,可确保访问的安全。
身份认证技术可防止攻击者假冒合法用户获取访问权限。目前,身份认证技术主分为ID 身份识别技术和生物识别技术。
访问控制分为自主访问控制和强制访问控制,自主访问控制为较常用的方法,系统中的用户可修改系统参数、用户权限,以确定合法用户在系统中对哪类信息有什么样的访问权限;在强制访问控制下,用户和资源均具有一个安全属性,强制性地规定了该属性下可执行的事项。
2.2.3 传输安全层
传输安全层主要采用防火墙技术、入侵检测技术和网络隔离技术等手段,可防止黑客入侵或病毒感染,从而使传输系统畅通无阻。采用防火墙技术可防止外部网络的攻击,使外部主机无法获取网络档案信息站点名和IP 地址,常见的防火墙有过滤防火墙、双宿网关防火墙和屏蔽子网防火墙;采用入侵检测技术可弥补传统安全保护措施中的不足,属于防火墙功能的延续,分为异常检测和误用入侵检测。为了保证传输层数据的安全性、完整性,防止黑客攻击,涉密计算机和信息系统必须与国际互联网及其他公共信息网络物理隔离。随着信息化建设的迅速发展,隔离网闸技术已成为物理隔离技术的发展趋势,它从客观上阻断了具有潜在攻击可能的一切连接,使黑客无法攻击、破坏内网。
2.2.4 环境安全层
环境安全层位于系统的最外层,可为数字档案信息提供物理环境安全、电磁环境安全和存储介质安全保障。针对信息设备具有的信号辐射特性,运用电磁辐射防护技术,可避免窃取方接收到信息设备辐射的信号和复原信息。对于电磁泄露,目前可以采用的措施主要为使用低辐射设备、利用嘈声干扰源等。
2.3 加强档案管理部门与科研部门的交流
应加强档案管理部门与档案科研部门间的交流,促进数字档案信息安全保障体系的建设,从实际出发,在力求高指标操作的同时,与实际接轨,务实求真,着眼未来。建设标准化评价体系可降低数字档案开放利用中信息安全保障体系建设的重复性和盲目性。因此,标准的数字档案信息安全保障体系的建设至少应具备权威性、科学性、可操作性、全面性、协调性和前瞻性。在此基础上,根据企、事业单位的特点总体规划,突出数字档案管理的重点,借鉴国外相关标准成果,综合国内的实际情况,制订新的术语标准、权限标准、存储标准、信息利用标准等,避免在使用数字档案信息的过程中发生安全事故,从而实现数字档案开放利用中的信息安全。
2.4 加强对数字档案信息人才的培养
数字档案管理不是相关人员单纯管理实物的工作,需要相关人员掌握更多的电子技术和网络技术。因此,数字档案管理人员既要熟悉档案管理工作,又要了解电子数字信息安全技术。相关单位应积极培养决策层管理人员,提高其理论和技术水平,并从基层挖掘和培养实践操作能力强、思想端正的优秀人才,从而为数字档案开放利用中的信息安全提供人才保障。
2.4.1 树立科学的人才培养观
应树立“人才是第一资源”的意识,建立科学、合理的档案人才培养体系,建立系统的人才资源培养和储备机制,完善人才建设的工作机制,重视对人才理论、人才成长规律和管理规律的研究,营造有利于培养人才、留住人才的工作环境,从而吸引高素质的档案专业管理人才。
2.4.2 加大对人才的培养力度
应依托社会高新技术,进一步拓宽人才培训渠道,有计划、有步骤地组织在职档案人员参与继续教育、研讨、培训、专题讲座等,以学习新知识、新技术,掌握新技能、新方法,探讨新情况、新问题,尽快提高其对信息的驾驭能力,使其逐步成为既熟悉计算机知识、网络知识,又精通档案业务的复合型人才,最终培养出实用型的档案信息化人才。
3 结束语
综上所述,对于查阅者而言,档案信息的质量非常重要,但要保证数字档案信息的真实性和完整性是比较困难的,只能通过一系列防范措施最大限度地降低信息失真和丢失的概率。因此,我们需要认真分析数字化过程中存在的信息安全保障问题,并采取有效的解决措施,为档案数字化的顺利发展铺出一条顺畅的道路。
参考文献
[1]陈旭.数字档案信息安全保障体系探讨[J].办公室业务,2013(05).
[2]张勇.大数据时代数字档案信息资源安全保障体系研究[J].数字与微缩影像,2014(04).
〔编辑:张思楠〕