王炜炜
摘 要:档案管理是企业和单位管理工作的重要组成部分,随着信息技术的普及应用,实现档案管理的数字化,能提高管理效率和质量,但同时也带来了信息安全风险。本文首先分析了档案管理数字化的应用优势,然后指出信息安全风险类型,最后阐述了相关控制措施,以供参考。
关键词:档案管理;数字化;信息安全风险;控制措施
档案管理的数字化,就是将纸质档案升级为电子档案的过程,主要采用扫描、录入等方法,将档案信息存储到计算机数据库中,实现快捷检索、同步备份的目标。新的经济社会形势下,传统的档案管理模式不满足实际工作需求,数字化管理应运而生。提高管理水平,保证档案信息的安全性,成为从业人员的关注要点,以下对此进行探讨。
1.档案管理数字化的应用优势
以计算机、互联网为代表的信息技术,目前已经走进人们的生产生活中,对于同样一项工作任务,原本需要大量人力和时间,基于信息技术下只需要很少的人力和时间。如此一来,不仅提高了工作效率,也减轻了人们的劳动强度,工作更加轻松舒适。新的经济社会背景下,档案管理工作也要向着高效性、便捷化发展,于是数字化管理出现,提供了多样化的服务手段。例如:管理人员在档案的整理上,不再采用手抄、誊写等形式,而是检索、编目,实现了档案—计算机—电讯的三位一体,其一方便使用者及时准确地找到需要的档案资料,提高资源使用效率;其二档案管理的硬件、软件升级,为管理创造了良好的氛围[1]。
2.档案管理数字化中的信息安全风险类型
档案管理的数字化,是充分利用互联网技术,将档案资料置于全球网络中,实现IP地址之间的互相访问。如此开展档案管理工作,能提高查询效率、管理质量,大大减轻工作量;同时也为管理本身带来了安全风险,具体如下:
2.1 技术安全风险
技术安全风险的形成,原因包括两个方面:第一,网络安全防护能力低,例如网络安全体系自身不完善;或者企事业单位不重视,在基础设施上的投入不足,后期维护保养工作不到位等,导致安全体系的设计和建设步伐不一致。此外,我国使用的计算机大多是国外品牌,由于技术上受限制,可能会事先植入后门。第二,存在泄密隐患。随着企事业单位的经营发展,会产生大量的数据信息,一旦档案资料数据丢失,就会造成巨大损失,因此机密性受到威胁。经济全球化背景下,反窃密斗争愈演愈烈,保密工作面临更加复杂的环境。以手机泄密、移动存储泄密、互联网泄密为例,为信息安全管理带来新的挑战[2]。
2.2 人为恶意攻击
相比于自然灾害和硬件系统,人为攻击由于是精心设计的,因此威胁性更大,而且难以使用现有的法律法规进行防护。在数字化档案管理中,人为攻击可以分为两种形式:一是主动攻击,即擅自篡改信息内容,破坏档案信息的完整性、有效性;二是被动攻击,即不影响网络的正常使用,对档案信息进行截获窃取。常用的攻击手段,是木马病毒、黑客入侵、垃圾邮件等。
2.3 安全管理薄弱
信息安全具有突发性、扩散性,从安全风险的来源入手,采用技术、法律、管理等手段,建成完善的安全管理系统,成为管理人员的共识。但是,我国信息安全管理工作的起步晚,在风险评估、标准制定、安全管理细则上相对缺乏,因此存在诸多漏洞。结合档案管理的特点,威胁包括以下几种[3]:①拒絕服务;②非法使用;③授权侵犯;④业务流分析;⑤旁路控制;⑥抵赖。
3.针对信息安全风险的控制措施
3.1 规范信息传播行为
在档案信息的传播过程中,发布者、传递者、接收者均可能造成安全风险,因此要规范信息传播行为。第一,规范信息发布者的行为。档案信息的发布者,即企事业单位,经单位授意后由档案馆落实。对于企事业单位而言,应该在档案管理上制定完善的制度规范,让管理人员准确判断档案信息是否能在网上发布,要遵守的原则和注意事项,以及档案保密和开放界限[4]。具体工作中,要协调保密和开放的关系,对于不需保密的档案及时公布社会;对于涉及个人隐私、知识产权的档案,则要加强保密措施。第二,规范信息传递者的行为。档案信息的传递者,即单位信息中心的工作人员,要对人员的选拔任用严格把关,既精通信息技术,又具备高度责任心,构建一支高素质、复合型的人才队伍。第三,规范信息接收者的行为。档案信息的接收者,即使用档案的个人、家庭、组织,要制定规范引导接收者科学使用档案,不能对信息内容修改、增减,遵守各项管理规定。
3.2 采用安全技术措施
针对档案信息的安全风险,技术措施就是采用保密技术,避免信息泄露、修改、破坏。传统的加密法,就是基于密钥Ke下,采用加密算法将明文数据M加密成C,此时C=E(M,Ke),其他人就不会理解C的含义。新型加密法包括以下几种:一是数字签名法,计算机网络在使用时,利用数字签名,确保当事人身份、数据的真实性。二是认证技术法,需要验证认证对象是否实名、是否有效,以保证数据的真实性,避免他人假冒或篡改。三是智能卡技术,将数据的存储、处理、安全保密等功能,集成在电路芯片中,然后嵌入存款基片上,使其成为智能卡。四是防火墙技术,设立网络防火墙,将内部网络、外部网络分隔开,避免内部网络受到外部攻击,防止内部用户向外部泄密。
3.3 实施授权控制
在档案信息安全风险的控制上,除了管理人员、企事业单位以外,国家也要采取手段,例如完善政策法律,为安全管理提供保障。此外,授权控制就是为不同用户设置访问权限,针对网上信息进行分层管理,一般分为三个层级,即领导层、管理层、用户层[5]。如果档案关系到干部任免、财务预算决算,属于绝密信息,禁止网址公开,由高层领导掌握信息。如果是会议通知、工作计划、报告、请求等,在特定时间内需要保密,不能在网上公开,由管理人员掌握信息。如果是通信简报、惠民举措,则可以向社会公开,为公众提供服务。
3.4 安全风险评估
对档案信息安全风险进行评估,主要采用以下方法:一是信息模型分析法,采集档案安全信息,识别风险要素并制定应对策略,比较安全管理情况和标准模型,从中明确不足之处,最终选择最佳安全管理方案。二是经验分析法,企事业单位从以往档案管理的经验入手,看安全现状和目标之间的差距,优势是能减少人力和资源的使用,提高管理效率。三是定性分析法,通过管理人员讨论、调查问卷、同类型企事业单位安全事件统计等形式,确定档案信息风险的权重,对不同风险按照严重程度进行排序,为风险控制工作的开展提供依据。
4 结语
综上所述,档案管理的数字化,提高了管理工作的效率和质量。分析可知,信息安全风险的类型,主要包括技术安全风险、人为恶意攻击、安全管理薄弱三个方面。对此,应该规范信息传播行为、采用安全技术措施、实施授权控制,并对安全风险进行评估,从而促进管理工作有序开展。
参考文献
[1] 刘影.试析档案信息化建设中的信息安全风险评估问题[J].黑龙江档案,2012,(4):71-71.
[2] 张娟,李仪.个人档案信息共享的规制措施研究——以应对档案管理数字化建设下的信息安全风险为视角[J].档案与建设,2015,(3):33-36,42.
[3] 段英华.浅谈档案管理数字化中的信息安全风险及其控制[J].黑龙江史志,2015,(7):104-104.
[4] 李仪,张娟.个人档案信息共享的规制措施研究——以应对档案管理数字化建设下的信息安全风险为视角[J].档案管理,2015,(3):11-14.
[5] 张印,李学广.数字档案信息安全管理的思考[J].兰台世界,2011,(30):24-25.