大数据、信息化时代电子档案管理的安全问题研究

孔旸

摘 要：随着大数据、信息化时代的到来，各行各业都面临着深刻的变革，对档案工作来说，随着档案信息化进程的加快，电子档案因其利用的便捷性得到了迅速的推广和发展，但由于電子档案所依赖网络环境的开放性及不稳定性等特点，导致电子档案管理在安全保密方面面临着诸多考验。基于此，笔者深入剖析了当前电子档案安全管理方面存在的问题，然后针对这些问题，提出了自己的一些看法与建议。

关键词：电子档案、安全管理、信息安全

随着社会的发展、科技的进步，大数据、信息化时代已全面来临，国家档案局在《全国档案事业发展“十三五”规划纲要》中明确提出要加快推进档案管理信息化、档案安全高效化，可见档案管理信息化、电子化已成为发展趋势，但是由于网络的开放性和共享性等特点，使得电子档案数据的安全性、保密性存在一定的隐患。

鉴于档案保密工作是一项政治性、全局性和战略性的工作，尤其自2010年10月1日《中华人民共和国保守国家秘密法》（以下简称：《保密法》）颁布实施以来，国家对保密的范围和密级、保密制度和相关法律责任进行了明确，档案部门与档案工作者需依照新修订的《保密法》规定重新审视档案工作中的保密工作。因此，在新形势下，如何在保守国家秘密与电子档案信息资源的合理利用中寻找契合点，同时认真剖析电子档案安全管理存在的问题并探寻切实可行的预防措施，对档案工作具有重要的现实意义。

一、电子档案管理面临的安全问题

随着大数据、信息化的加速发展，从各业务领域直接产生的电子档案数量急剧增长，同时为减少对纸质档案的损耗，提高档案利用工作效率，由纸质档案数字化形成的电子档案数量也在不断增加，当前电子档案的安全管理问题已成为摆在档案人员面前的一个普遍性问题。

根据北京市档案局、北京市密码管理局《北京市电子文件归档与电子档案管理办法》规定，“电子文件，是指机关、团体、企事业单位和其他组织在处理公务过程中，通过计算机等电子设备形成、办理、传输和存储的文字、图表、图像、音频、视频等不同形式的信息记录。电子文件归档后称电子档案。”从文件可以看出，由于电子档案依赖于网络技术环境、计算机等电子设备，而由于网络结构存在不安全性、网络传输的易拦截性等因素，使得网络环境下电子档案安全管理存在诸多威胁，具体体现在四大安全领域和八大管理模块方面（如图所示）;另一方面，档案利用者在查阅电子档案的过程中，由于自身安全意识缺失或其他利用目的，电子档案在利用过程中面临着被下载、拍照、复印、打印的风险，进而导致档案信息存在流失、泄露的安全隐患。

如图所示，档案信息在从形成到销毁的全生命周期过程中，在数据流转的各个环节均存在被篡改和泄露的可能性。另外，各类病毒对计算机安全也造成了潜在威胁，进而影响到储存在计算机数据库中的信息安全。在管理层面，电子档案管理的制度建设、信息化技术水平、档案人员安全意识等方面仍然存在一些问题，主要表现在：

1.电子档案制度体系建设滞后。自上世纪90年代中期开始，我国在信息立法和档案法规建设的基础上，顺应档案信息化的发展要求，陆续制定和发布了针对档案信息化建设的法规、规章与标准，如出台了国家标准《CAD电子文件光盘存储、归档与档案管理要求》。1999年6月国家档案局颁布了第一部档案信息化规章《电子文件归档与电子档案管理办法》，之后又进行了几次修订。2001年6月颁布了《档案管理软件功能要求暂行规定》，对国内档案管理软件的开发研制和安装使用进行了规范。2005年国家档案局颁布档案行业标准《纸质档案数字化技术规范》。2013年，为做好档案信息系统安全等级保护工作，国家档案局编制了《档案信息系统安全等级保护定级工作指南》。2016年，国家档案局联合国家发改委印发了《建设项目电子文件归档和电子档案管理暂行办法》，这些标准和文件的制定和实施，从制度层面保障了档案信息的安全。但是，随着档案信息化的快速发展，在电子档案实际管理工作中，会出现各种各样的安全问题，而已有的法规、标准是指导性的，并不能覆盖所有的问题及对策。例如：电子档案在形成、流转过程中如何进行跟踪、检查和评估等问题目前只能在实践中不断摸索，缺少相应明确、具体的制度条文规定和法律约束。

2.档案信息化建设水平滞后。当前，我国各级档案部门信息化进程不统一，大部分档案系统为单机版，缺乏统一标准，没有实现档案信息资源共享和整合，低水平重复建设的情况十分严重，没有真正实现有效利用信息技术提高档案管理效率，而且档案数据信息控制不规范，导致档案数据信息安全存在严重隐患，由于档案信息安全技术一般是在出现安全问题后才不断改进和发展的，可见信息技术的发展存在滞后性。

3.档案信息安全管理滞后。此问题具体体现在以下方面：

（1）缺乏信息安全意识

目前，很多单位对档案工作人员开展专业的网络信息安全培训不到位，网络管理员、档案工作人员缺乏安全管理意识，致使档案信息安全管理不到位，不规范。另外，档案利用者也普遍缺乏档案信息安全保密意识，由于利用者的广泛性和不确定性，很难开展统一的培训和教育，一般只能通过加强管理进行约束和防范。

（2）信息安全管理标准欠缺

由于档案管理系统建设的多样性，在档案信息安全管理方面缺乏一套公认的、通用的、可操作性强的标准体系，尤其是针对档案元数据、信息安全、存储格式和数据交换等方面的电子档案标准规范。

（3）缺乏系统管理思想

很多单位在开展档案信息化建设时，没有采取系统化的安全管理思想对电子档案进行管理。系统化的安全管理思想包括安全管理方法、安全管理制度、安全技术体系、档案信息系统安全维护体系等。

（4）档案管理工作人员意识不强且专业度有限

档案管理人员如果无法认识到档案保密管理的重要性，势必会导致档案管理行为失范。仅就档案保密管理所需的技能而言，在信息化技术的影响下档案管理人员需要具备必要的档案保密管理知识、计算机操作技能、档案保密专业管理技能、法律法规知识等，然而现阶段，由于档案人员的综合素质参差不齐，部分人员档案信息安全意识淡薄，或者虽然有安全保护意识，但心有余而力不足，没有采取科学的安全防护技术，加之信息化时代的冲击，对保密管理、档案保密管理法律法规认知的不足，在企业或者部门节约保密管理经费的影响下，很容易出现档案保密管理存在各类安全隐患的问题。

二、电子档案安全管理措施建议

为有效加强电子档案安全管理，建议从技术和管理两方面采取措施：

1.技术层面严防死守。电子档案的安全管控主要应从档案库房基础设施建设和档案信息化安全管控两个方面着手：

（1）基础设施建设方面

随着数字档案室建设进程的加快，档案信息管理系统往往和智能库房建设结合起来进行，因此加强对传统档案库房的安全管理也是电子档案安全管理的一个重要方面。档案库房是档案保管的重地，根据《档案馆建设标准》、《档案馆建筑设计规范》规范档案库房建设，按标准配齐安全监控设备、门禁系统和自动报警系统等，使档案人员随时监测库房安全，确保技防措施到位。

除了硬件设施方面，建立完善科学规范的档案管理系统也是同样要抓的重要工作。首先，要保障对档案信息化建设的资金投入，在系统建设时落实档案管理要求和利用者需求，在进行系统规划建设时，落实相关的制度流程，在确保数据安全的前提下，尽可能简化审批操作流程，提高档案工作效率。在系统规划和技术应用时，充分考虑安全保密问题，在操作权限设置、工作流程配置各方面综合考虑设计，避免后续使用中出现各种安全性问题。

（2）档案信息化安全管控方面

一是应加强对档案信息系统操作权限和工作流程的设置。针对不同管理层级的用户分门别类设置不同的操作权限，并通过档案借阅流程、档案移交流程等流程设置实现对电子档案管理流程和权限的划分。例如，根據管理权限的不同，分别针对专职档案人员、各部门兼职档案人员、普通用户设置不同的操作权限。专职档案人员享有最高权限，可对所管理的全部档案进行查看、录入、统计、移交等操作;各部门兼职档案人员可对本部门产生的档案进行查看、录入等操作;普通用户通过履行借阅审批流程实现对档案的利用。二是可通过采取一些档案信息安全技术确保档案信息安全，包括：物理信息安全技术、系统安全技术、网络安全技术、用户安全技术等，同时随着信息技术的发展，应不断对安全技术进行更新、升级，以适应日新月异的档案信息化发展要求。例如，对涉密档案采取必要的加密措施，对源文件进行加密处理，使档案原文成为不可直接读取的代码。当利用者访问这些经过加密处理的文件时，必须输入正确的密钥，确保数字化档案信息资源的安全。

三是为确保电子档案数据丢失后能第一时间恢复和补救，在进行档案信息化建设时一定要将数据备份进行统筹考虑，定期做好数据在线与脱机模式下的双重检验，注意异质异地备份，确保档案信息安全。由于互联网环境下电子档案信息安全存在较大隐患，任何用户的疏忽、黑客攻击或病毒入侵，都会造成信息数据的丢失与失真，因此必须构建起完善的电子档案数据备份系统以及相应的恢复系统，以确保在出现信息被恶意篡改或错误操作导致的数据丢失，考虑到电子档案归档的即时性以及存储介质的安全可靠性，建议一方面要对系统数据进行即时备份，另一方面通过采取磁带或硬盘备份等方式对数据进行固定备份，这种双重备份方式可减少系统自身备份的不稳定性，增强数据备份的可靠性。

四是确保档案管理系统能够长久应对海量数据的安全迁移、导入。在进行档案信息化建设时，一个基础性工作就是将一个组织内部不同成员单位之间原有档案管理系统中的档案数据统一迁移至新系统中，在迁移过程中，技术人员需要给迁移的数据分配一个新的存储单元路径，系统自动在定义的迁移路径下建立指定档案的副本，为保证迁移数据的准确和完整，复制完成后，系统自动对迁移数据进行校验，确保迁移数据与原始数据完全一致。

2.制度层面提供保障。建立全面的、有效的法律标准体系规范电子档案安全管理是必要的。一是国家层面的，《中华人民共和国档案法》是我国档案管理的基本大法，但是关于档案信息安全方面的条款却很少，很难满足实际工作的需要，建议进一步细化和完善。二是地方性法规、标准对于档案信息安全方面的规定需要进一步完善。三是企业、事业单位等需要结合本单位实际建立健全档案安全管理方面的规章制度，强化落实力度，要责任到人，落实到岗，并监督执行。

考虑到电子档案管理的安全性问题，目前绝大多数档案部门依旧采取纸质档案与电子档案双介质并存方式，以满足档案信息安全保管和及时应用等管理要求，处理好档案利用与保密的关系。双介质管理的基本要求是：提高纸质档案数字化效率，实现纸质档案与电子档案的一体化管理，同时简化两者管理的各项流程，解决检索慢、审批程序复杂等问题。在这个过程中，为加强电子档案安全管理，建议按照《建设项目电子文件归档和电子档案管理暂行办法》规定，在档案信息化建设过程中同步建立完善电子档案管理的相关标准、制度，建立结构合理、数据完整的档案信息资源数据库，保障电子档案管理的规范化、科学化。同时，结合大数据、信息化有关信息公开的发展形势要求，区分涉密档案和非涉密档案保密管理的不同要求，完善相关制度，在确保涉密档案信息安全的前提下，促进电子档案的开放、共享，发挥电子档案利用便捷的优势，更好的服务于社会生产生活需要。

3.重点环节加强管控。对电子档案的安全管理应重点针对容易泄密的重点环节：档案数据导入和利用环节。因此，规范电子档案安全管理的重点：一是加强前端控制，在电子档案的收集、数据导入过程中要做到齐全、完整，不丢失、不损坏。涉及到保密的，要进行加密处理，严防信息泄露。二是加强过程控制，对电子档案的查看、下载设置严格的操作权限，通过生成链接或二维码方式，对下载或打印的电子档案添加利用者信息（包括利用者的所在单位、部门、姓名、手机号及企业LOGO标识），当发生档案信息泄露时，能够快速定位追溯问题源，以避免电子档案信息泄露，在提升档案服务水平的同时，处理好利用与保密的关系。

4.意识层面加强宣贯。档案信息化工作的开展有赖于档案管理部门拥有一批具备相关信息化技术应用能力的人才队伍。具体而言，档案管理人员在具备扎实的档案管理理论知识和业务能力的同时，还必须具备相关的信息化技术操作技能。

总之，在电子档案管理过程中，必然会存在一系列的问题与隐患，不仅影响电子档案信息的真实性与完整性，而且还会造成档案信息的外泄，威胁企业、单位，甚至是国家的信息安全。因此，建议档案行政管理部门及企事业单位增强对电子档案信息安全的重视，制定切实有效的规范、标准、制度，加强对电子档案信息安全保护技术的研究和应用、推广，档案管理人员也要加强自我学习，增强安全意识，结合实践工作经验，勇于探索创新，及时发现并处理好潜在隐患，确保电子档案信息的绝对安全。

参考文献：

[1]张艳辉.浅谈档案的信息化及安全性问题[J].科学技术创新，2016

（作者单位：北京市地铁运营有限公司）