(新乡县劳动就业局,河南 新乡 453731)
档案信息管理安全是指引入计算机系统中的档案数据以及信息网络的硬软件得到保护,不被意外或人为随意地篡改、泄露、破坏,而且保障系统可以正常地运行,提供不中断的信息服务。进入21 世纪,随着计算机网络的迅速发展,人们的工作和学习越来越依赖于计算机网络,人们对信息财产的使用更多的是通过计算机网络来实现的,因此档案信息管理安全问题也逐渐被人们所重视关注。
档案的信息化建设在我国仍然处于初级阶段,一些中小档案管理部门的信息化建设也都还在起步,各方面的配套管理制度还不是很完善,尤其是档案管理人员的档案信息管理安全意识不够,对档案管理部门的信息管理安全没有形成明确完整的认识。首先,档案管理部门管理人员缺乏全面的信息化建设的知识,意识不到档案管理部门的信息管理安全问题不仅仅是计算机网络技术方面的问题,更是一项综合性的系统工作。另外,档案管理部门管理者对于信息管理安全的管理一般采用后期控制的方式,等信息管理安全出现问题了才去想办法解决,没有合理的前馈控制的方法。部分管理者一直觉得自己的公司不会受到信息管理安全的威胁,对档案信息管理安全不能进行深刻地认识,他们不能从档案管理部门发展战略的角度认识到信息管理安全问题将最终影响档案管理部门管理水平的提升、促进档案管理部门运行效率的提高,从而导致信息管理安全问题得不到足够的重视,最终使得档案管理部门发展滞后,影响档案管理部门的长期发展。
其次,档案管理部门的员工也存在不同程度的认识不足问题。绝大多数的员工在档案管理部门中充当的是一名打工者的角色,他们对于信息管理安全对档案管理部门的重要性没有清楚的认识,并且档案管理部门员工是信息系统及信息的使用者和提供者,他们经常能轻而易举地接触到一些数据,如若档案管理部门内部的信息技术人员技术不够娴熟,甚至在操作过程中发生失误改变了机房的安全环境甚至还有可能破坏到线路从而终止供电,就会导致系统严重受损造成信息无可挽回地丢失或者泄露。此外也不能排除内部员工出于对公司不满的目的进行恶意报复。利用档案管理部门系统的漏洞,一些破解口令,或是进行IP 欺骗修改脚本程序的手段窃取内部资料破坏内部系统安全。如果内部人员有意或无意地这么泄漏信息,将会给档案管理部门的信息管理安全带来不可挽回的损失。因而档案管理部门员工对信息管理安全的认识程度对档案管理部门有着重要的影响。
信息化建设在国内仍处于起步阶段,信息管理更是作为一门新兴的学科闯入人们的视野中,在档案的信息化建设中属于比较新的领域。2015 年5 月,网易旗下网易云音乐、易信、有道云笔记等在内的数款产品以及全线游戏出现了无法连接服务器的情况。网易官方发布公告称“因骨干网络出现异常,导致网易旗下部分游戏及网站论坛暂时无法登陆。”从这一事件中可以看出档案管理部门在信息管理安全方面的规章制度还是很不完善的,一旦出现问题就会给档案管理部门带来必不可少的麻烦。
政府方面关于信息管理安全方面的法律法规还很需要完善,一些现有的规则还很不成熟,缺乏标准的规范,无法为档案管理部门提供权威的信息管理安全管理法规,无法使档案管理部门的信息管理安全工作得到落实。同时档案管理部门方面,关于信息管理安全方面的配套管理制度还不够完善,没有指定相关的信息管理安全管理规章制度,特别是缺乏健全的档案信息管理安全管理体制。档案管理部门管理者以及软件开发者通常不能准确把握网络运行过程中会出的各种隐患,对网络安全问题考虑不恰当,只是单单重视获取网络资源的高效率。技术部门对于信息管理安全建设没有形成一套完整的保护体系,仅仅是在实施过程中制定了一些零碎的操作流程和规则。因而管理制度真正落实到实处的很少,往往都出现了制度不规范、安全责任无法落实、人员信息管理安全意识不强、安全知识不到位等问题。档案管理部门内部没有形成一套完整的信息管理安全体系。数据备份技术仍然不成熟,备份数据的完整性、可靠性、及时性都不能完全满足系统恢复时的要求。由于我国信息系统网络化建设还处在发展阶段,还正在制定和完善有关信息系统安全的法律法规,还没有形成我国信息管理安全的法规体系,网络立法情况不容乐观,立法体系不完整。这些问题都严重影响到了档案管理部门的信息管理安全。
随着信息化建设的推进,档案管理部门的发展越来越依赖于信息技术和信息系统,档案管理部门的商业秘密乃至个人信息都存储在计算机中,档案管理部门的信息管理安全技术面临着很大的挑战。2014 年12 月12306 官网受到撞库攻击,不法分子通过收集互联网某游戏网站以及其他多个网站泄露的用户名加密码信息,尝试登陆其他网站进行“撞库”,非法获取用户信息,并谋求非法信息,造成12306 十多万用户数据遭泄露。
2015 年2 月海康威视被植入危险代码,因设备弱口令问题被攻击,导致其被远程监控。使其股价遭遇大铁,并一度跌停,单日市值蒸发90 亿元。2015 年5 月,漏洞被曝出,以亚马逊为首的云服务供应商纷纷中招,诸多厂商为了修复漏洞重启服务器,造成云用户业务会中断,损失严重。仅15 年下半年,就发现了18 个存在于云计算系统中的通用性虚拟化安全漏洞,这些漏洞一旦被利用,轻则造成云计算系统崩溃,重则直接控制云系统,严重影响云计算系统稳定运行。这些信息管理安全现状的存在充分说明了档案信息管理安全存在的网络技术方面的问题。
通常网络安全威胁的形式有:网络通信协议不健全,TCP/IP 协议的设计本身就存在一定的缺陷,因为它们面向的仅仅是封闭的专用的网络环境,没有必要的安全特性来保障其安全性,这些不足之处就给信息管理安全带来了不可避免的威胁;操作系统的漏洞,几乎所有的操作系统的代码规模都是很强大的,这就决定了基本上所有的操作系统一定存在现实的缺陷和漏洞。应用系统设计的漏洞;网络系统设计的缺陷;有组织、有特定目的的恶意攻击。
计算机病毒说到底就是个程序,是一段可执行的代码。计算机病毒如同生物病毒一样,有着自己独有的强大复制能力,它可以迅速地蔓延把自身附着在各类型的文件上,当我们利用U 盘或其他的一些存储工具把有病毒的文件从一个终端存储到另一个终端的时候,它就伴随着文件肆意蔓延开来,导致无法根除使得终端设备瘫痪。近来计算机网络得以不断地发展,计算机病毒以其更加先进的技术迅速蔓延至计算机网络的各个角落。一般计算机病毒具备潜伏性、传染性、隐蔽性、破坏性等一些特性,这些特性使得计算机病毒具有很强的寄生能力和破坏能力,从而使计算机处在危险的状态。
“黑客”的攻击对档案信息管理安全来说也是一个无法忽视的重要环节。攻击者可以利用自己高超的网络技术,通过破解信息系统设置的各种安全屏障非法侵入到他人的计算机系统,对他人的信息系统造成严重的破坏,致使计算机系统不能正常运转。更有甚者,通过直接破坏或篡改计算机系统正在处理的信息数据来阻碍计算机的正常运行,从而实现非法取得和占有他人财产,秘密窃取计算机信息系统内部代表秘密的数据的行为。
另外,从物理方面来讲,档案管理部门的计算机设备还会一定程度地受到损坏,例如供电的异常、不舒适的设备环境、没有访问权限等问题就可能会影响组织的商业活动,酿成档案管理部门资产的损坏,机密信息泄露等不可挽回的错误。计算机系统或设备被盗所造成的损失可能远远超过计算机设备本身的价值。众所周知电子设备在工作的时候都会产生大大小小的辐射,计算机当然也不例外,这些电磁辐射也会在一定程度上造成信息的泄露。电源是整个计算机软硬件正常运行的基础,对于整个计算机网络系统而言电源系统的稳定性成了其稳定运行的先决条件。过压或是欠压都会对计算机系统元器件造成压力,使其加速老化,同时电压的不正常波动可使磁盘驱动器因工作不稳定而造成读、写错误;电压瞬间变动会造成元器件的突然损坏。除此之外,机房环境的不安全,也很容易导致私密信息的泄露以及重要部件以及系统的损坏。
对于档案管理部门来说,提高档案管理部门员工的主观能动性对档案管理部门的信息管理安全来说至关重要。首先档案管理部门的高层管理者要紧跟信息化建设的步伐,加快转变思想观念,深刻认识到档案管理部门的信息管理安全对档案管理部门制定长远发展战略的重要性。档案管理部门高层要定期组织安全学习活动,加强对员工的信息管理安全教育,对档案管理部门内部信息管理安全管理人员进行定期的培训、考核和检查并且对信息管理安全管理人员进行全面的监督,有效的反馈,帮助员工自觉树立信息管理安全意识,深刻认识到信息管理安全档案管理部门以及自身工作的重要程度。责令各部门的直接领导者密切关注,不断强化信息管理安全技术和保密工作,对违反安全规则的人员进行惩罚。同时高层人员要考虑加大档案信息化建设中信息管理安全管理各项资金、技术、人力投入,并建立起科学、合理、有效的档案信息管理安全防护策略,保障档案信息系统安全稳定。
其次,档案管理部门员工在档案管理部门中占有重要的地位,是数据和信息的直接接触者,提高档案管理部门员工的信息管理安全意识也是不可忽略的环节。档案管理部门的员工应积极地参与有关信息管理安全的培训和各种学习活动,自觉遵守档案管理部门的规章制度,自觉维护档案管理部门的信息管理安全,提高自身对信息保护的意识,积极参与到维护档案信息管理安全的队伍中去,为档案管理部门的信息管理安全贡献自己的力量。例如,档案管理部门员工要积极学习有关信息管理安全技术方面的知识,能够自主分辨和识别出威胁信息和数据的电子信息,并能针对其采取及时有效的防范措施。要定期地对自己的计算机软硬件进行安全排查,发现漏洞及时与专业人员进行沟通,防范可能出现的损失。档案管理部门员工还要以职业道德为约束,这样档案管理部门的机密信息才不会被非法窃取和泄露。
档案信息管理安全问题中最为核心的就是管理问题了。然而档案管理部门的信息管理安全管理制度的建立不是一蹴而就的,是需要多方面配合的一项十分繁琐的工作。因此,档案管理部门应结合自身信息化建设的真实情况,建立健全针对档案管理部门本身的信息管理安全管理体系。因此,档案管理部门要制定出一套科学合理的信息管理安全管理体制。档案管理部门的管理者要开设专门的岗位,选拔专业人才,建立安全管理监督小组,要求相关技术人员、管理人员参与监督网络安全项目的建设和管理,严格贯彻执行国家颁布实施的各项法律法规,把网络安全措施真正落实到实处;敦促有关部门执行有于网络安全的工作及时准确地对网民进行指导和教育;密切监督网络安全管理制度的执行情况,对违反制度的违法、违规行为进行严厉的查处并协助公安机关对网络犯罪行为的查处工作。同时还要建立起安全保障体系。一个合理的保障体系包含多方面的内容,定期对系统进行评估、技术更新升级、可靠的应急响应措施、管理员工的安全培训,这些都有力地保障了系统的安全性,使其稳定地保持在安全的状态,当系统受到攻击时也可以不过分地担忧会受到多大的损失。
在档案的信息化建设中,有效的安全管理制度是约束档案管理人员的有力武器,可以保证档案管理部门的正常运作,是实现信息管理安全的有力保障。档案管理部门中完善的安全管理制度应该对管理员、机房出入人员以及外来人员这三类人员的行为有严格的制度要求。具体体现在网络维护制度、出入管理制度、访问制度等。这些安全管理制度的制定可以对用户和管理人员起到很好的约束督促作用,从而人们的新安全意识就会增强,不至于出现因粗心大意而导致的安全事故的发生。尤其要利用监督制度来严格保证其顺利执行,否则这些制度的设立也就完全没有意义了。此外,还要建立健全档案管理部门安全风险评估机制。信息管理安全评估是一个过程,它可以通过客观评价档案信息系统的安全性,找出危险因素,明确风险的水平,并及时采取措施予以修正。建立健全信息管理安全风险评估机制就可以对不同信息系统的漏洞等安全问题对症下药,找出最佳的实施方案从而降低档案信息管理安全的风险。为此,档案管理部门在信息管理安全管理制度方面要加大对风险评估的支持力度,以求把档案信息管理安全的风险降到最低。
信息管理安全策略主要指网络加密技术,一个加密网络,对于非授权用户来说就是一面不透风的墙,可以防止其进行搭线窃听和入网,对于恶意软件来说更是一个行之有效的方法。一般来说数据加密技术分为对称类型的和非对称类型的。对称密钥密码体系又叫做密钥密码体系,要求加密和解密双方使用相同的密钥,这种加密方式的安全性主要依赖于以下两个因素:第一,加密算法一定要相当强大,即单单依靠密文自身去解密在现实上是不可能实现的,第二,加密的安全性跟算法的秘密是没有多大关系的,它主要的是看密钥是不是具有秘密性。因此没有必要确保算法的秘密性,重要的是保证密钥的秘密性。另外,对于信息管理安全策略来说,数字签名技术和数字证书同数字加密技术是相辅相成的。数字签名就是对电子文档的签名,同样也是依靠密码技术,数字证书主要用于实现数字签名和信息的保密传输。它们共同致力于信息管理安全建设,是信息管理安全策略的核心部分。
物理安全对于档案管理部门的信息管理安全来说也是至关重要的,主要是指计算机所处的环境、机械设备、通讯线路的完整性程度以及对网络系统采取相应的安全技术措施,从而实现保护信息设施的目的。其中包括对机房场地的选择、机房屏蔽、防火、防雷、防盗、综合布线、区域防护等环境安全的布置和对设备安全的保障,包括设备是否有明显的符号标记、有没有防震动,防干扰的保护措施以及电源是否处于被保护的状态。其次,人员安全也是物理安全的重要组成部分。因此,要加强人员审查和人员安全教育。
总之,档案管理部门的信息管理安全问题随着越来越激烈的市场竞争而变得越来越突出。信息管理安全的保障和实施过程是一个复杂而漫长的过程,涉及到技术、管理制度和人员等各个方面。信息管理安全的实施三分靠技术,七分靠制度,它不仅需要各种信息管理安全技术的支持,技术的不断创新和完善,更需要各种管理制度的规范化,把信息管理安全技术和制度结合起来,形成一套完整的安全防护体系,加强计算机的立法和制度标准化进程,相信通过这些努力,信息管理安全问题也将日益得到改善。