论电子档案的信息安全管理

民航机场规划设计研究总院有限公司 董秀丽/文

档案利用是档案作用和价值的最终体现。随着网络信息技术的飞速发展，档案信息化、数据化和档案利用的网络化已经成为档案事业发展的必然趋势。但网络是把“双刃剑”，由于其自身的开放性和共享性，给电子档案的信息安全带来了严重的威胁。随着档案信息化建设进程的不断加快，网络环境下，电子档案利用的信息安全保障是一个无法回避的现实问题，因此，认真研究电子档案开放利用过程中信息安全保障问题具有重要的理论价值和迫切的现实意义。

电子档案信息安全面临的主要威胁和存在的问题

（一）电子档案信息安全面临多个网络层次威胁

电子档案信息安全主要包括三个方面：一是档案信息内容的原始真实性；二是档案信息内容不被篡改和泄露，即完整性和保密性；三是档案信息的长期有效性。由于数字档案信息自身的特点以及它对技术的依赖性，使其安全极容易受到来自外界的威胁。所以，自从数字档案信息出现以后，其安全问题一直是这一领域的焦点问题；在网络（internet局域网无线网络）环境下，由于网络结构的不安全性、网络协议的脆弱性、网络传输的易拦截性和人为的疏忽，在网络结构的各个层次都存在安全隐患。

（二）电子档案信息安全保障存在多方面问题

早在1996年国家档案局就成立了电子文件归档与电子档案管理研究领导小组，开展电子文档管理方法、技术、标注和构建管理体系等方面的研究，经过二十几年的发展，在电子文档归档和电子档案管理办法等方面已经取得了一定的进展，但在网络化建设、法制建设、安全管理等方面仍存在严重的滞后性，特别是在电子档案信息安全保障体系构建方面，还存在着明显的不足。

电子档案信息安全保障需要多策并举

（一）应在基础环境建设上着力，奠定电子档案信息安全保障基石。

基础环境建设包括基础设施建设、硬件环境和人为环境建设。基础设施和硬件环境建设主要是为了保护档案信息的实体安全，包括网络基础设施、计算机、存储设备以及其他媒体免遭地震、水灾、火灾和其他环境事故的破坏，档案数据的异地备份是有效的措施之一。而人为环境建设主要是加强档案管理人员的安全意识、保密意识和责任意识，落实制度、积极防御，从思想上充分认识到电子档案信息安全保障的极端重要性。同时，人为环境建设还包括社会公众档案意识的培养，以及档案利用者信息化素养的提高，杜绝因为人为的疏忽、大意造成档案信息的泄露、丢失或损坏，从而奠定电子档案信息安全保障基石。

（二）在网络系统建设上加力，铸造电子档案信息安全保障。

网络系统建设主要包括：（1）通过各种网络安全技术预防档案信息安全危害；（2）通过软件安全评估审计与网络监测预警机制应对档案信息安全威胁；（3）通过信息备份与恢复，补救已成事实的灾难。

网络安全技术涉及的内容非常广泛，从广义上讲主要包括：主机数据库安全技术、路由安全技术、身份认证技术、访问控制技术、密码技术、防火墙技术、安全管理技术、系统漏洞检测技术、病毒查杀技术、黑客入侵检测技术等。通过多种网络安全技术手段的综合应用，开发具有自主知识产权的系统软件和网络关键设备，就可以大大降低网络对电子档案信息安全带来的危害。

信息备份与恢复，主要是对已丢失或失真的电子档案信息进行补救。因为，网络条件下的档案信息安全工作存在滞后性，任何一个网络都不能确保万无一失，由于人为的疏忽和网络攻击致使档案信息丢失和失真的现象随时可能发生，因此，需要建立信息备份与恢复系统，这样才能保证一旦信息丢失或失真，系统也能够做到有备无患，从而保证档案信息的完整性。

（三）应在信息标准建设上增力，锻造电子档案信息安全保障准绳。

档案信息标准化建设，主要包括档案信息法制标准、管理标准、技术标准三个方面。

档案信息法制标准，主要体现在档案立法的专门性和内部安全制度的针对性上。国家和地方机构的立法应覆盖档案信息行为的各个环节，针对网络环境下大多信息安全面临的威胁，制定具体、详细的建设标准，从法律上约束档案信息行为，而内部安全制度的制定，应针对不同的工作模式和场景，制定不同的制度标准，细化到一人、一岗、一机的规范上，从而提高档案信息安全的规范性、可操作性以及档案信息安全标准的通用性。

档案信息管理标准，主要包括机构建设和管理机制建设。建立权威的档案信息安全管理机构能够从战略层面统管本机构档案信息安全工作。

档案信息技术标准，主要包括电子档案采集和鉴定标准、数据格式标准、计算机硬件标准、开发软件标准、网络信息发布、传输标准、电子数据长期保存标准、网络工程及网络行为的标准化等。

（四）在人才、资金等多方支持下，打造电子档案信息安全保障品牌。

网络环境下电子档案的信息安全保障需要大量的人力、物力和财力的投入。电子档案信息安全的人才队伍应由计算机信息技术、自动化技术、网络技术、管理技术等方面的人才构成。所以，人才培养的目标，是培养既通晓相关的信息安全法规制度，又有丰富实践经验的信息安全管理人才；培养既能熟练使用各种网络安全设备和设施，又能解决网络安全具体问题的技术人才。

在人才引进、培养、提高和档案信息安全保障体系的建设中，需要大量的资金投入，以保证各项工作的顺利开展。同时，在电子档案信息的开发、存储、传输、利用各个环节中都需要社会相关单位和个人的配合与帮助，通过档案工作者、利用者、组织者等各方努力，查找各种管理和技术漏洞、防止各种疏忽和病毒攻击、加大人才培养和资金投入力度、完善法律法规和基础设施建设，从根本上保证电子档案事业又好又快地发展。

（五）完善档案信息安全法规建设，强化法制保障。

档案信息安全保障是档案信息安全保障体系建设的重要方面。我国《档案法》及其实施办法的实行，有力推动了档案信息安全保障工作。

档案信息安全法制基本原则是适用于我国社会主义市场经济条件下，按照社会主义市场经济规律调整档案社会关系，档案信息安全立法、档案信息安全执法等活动中的基本准则。在档案信息安全法制建设中，要遵循民主参与原则、公正平等原则、奖励惩罚原则、安全保护原则、全面协调原则和创新发展原则。

档案信息安全保障法规对于规范档案信息主体的活动、协调和解决各种矛盾、保障档案信息资源的安全等有重要作用，具有保护档案信息客体、具有知识性和财产性，体现高新技术和法规规范渊源的广泛性的特征。我国档案信息安全立法层次为国家法律、行政法规、地方性法规、规章和规范性文件五个层次。按照不同的标准，档案信息安全保障法规体系框架由不同的部分构成。在法规制度中，注意规范和可操作性、系统性和兼容性、管理与发展并重、重点突出稳步推进等方面，要注意吸收和借鉴国内外信息安全法规建设经验，及时清理和修订现有法规规章，适时制定档案信息安全保障法等新法规。

以往档案违法行为直观，容易察觉，手段和方法比较简单。但在信息时代，档案信息违法、犯罪行为不仅具有常规的违法行为的特点，还呈现出人员的智能性、方法的隐蔽性、手段的多样性、后果的严重性和行为的复杂性等许多新的特点。为此，档案部门应根据新时期的档案违法行为的新特点，不断进行新的研究和探索，在建立全面有效的、结构严谨的档案信息安全法规体系的基础上，还要加大档案行政执法力度。

首先，进一步加强档案行政执法主体建设，切实贯彻落实国务院《关于全面推进依法行政的决定》、《全面推进依法行政实施纲要》和《关于推进行政执法责任制的若干意见》等行政执法的法规政策，逐步建立健全档案行政执法目标责任制，规范行政执法行为，通知执法标准，深入基层，加大档案违法案件的发现和查处力度，不断提高档案行政执法水平。

其次，加大档案信息安全普法宣传力度，从公民普法教育入手，宣传相关档案信息安全法律、法规，强化社会各级领导、档案人员以及相关人员的档案信息安全保障意识。

第三，重视档案信息安全的法律专家、档案执法人才队伍建设，特别是提高档案执法人员的信息素质和法律素质，为做好档案信息安全保障工作，培养高素质的复合型人才。

第四，由于保障档案信息安全是一项国际性和社会性的复杂而艰巨的工程，为此，档案行政管理部门要密切与国内外档案部门和法制部门以及其他相关部门的沟通合作，共同抵制和严惩档案违法犯罪活动，使档案信息安全保障工作有一个良好的社会环境。