王士嬌

隨著國家信息化建設(shè)和電子政務(wù)建設(shè)的迅速推進，檔案信息化建設(shè)進程也隨之加快。信息技術(shù)在檔案部門的廣泛應(yīng)用，一方面為檔案管理和利用提供了高效便捷的手段和方法，另一方面也給檔案信息安全帶來了新的隱患，檔案信息安全問題日益突出。

一、檔案信息安全內(nèi)容

從廣義來講，檔案信息安全保障的內(nèi)容主要包括檔案信息內(nèi)容安全、實體安全、系統(tǒng)安全、網(wǎng)絡(luò)安全、應(yīng)用安全和管理安全等。

檔案信息內(nèi)容安全是指防止檔案信息資源被故意地或偶然地非授權(quán)泄漏、更改或破壞，也防止造成檔案信息不可用的系統(tǒng)辨認(rèn)、鑒別和控制。這也是常說的確保檔案信息內(nèi)容的完整性、保密性、可用性和可控性。檔案信息實體安全主要指檔案信息載體、檔案計算機設(shè)備設(shè)施物理線路、檔案裝具、檔案館建筑符合檔案管理的要求，防止受到任何損壞和破壞，如保護計算機主機硬件和物理線路以及其他媒體免遭地震、水災(zāi)、火災(zāi)、有害氣體、輻射、硬件故障、搭線接聽、盜用、偷竊、超負(fù)荷等的破壞；檔案庫房環(huán)境要符合溫度、濕度、氣壓等相關(guān)標(biāo)準(zhǔn)。檔案信息系統(tǒng)安全是指檔案計算機管理系統(tǒng)的主要功能模塊和數(shù)據(jù)信息不受任何破壞，如計算機主機操作系統(tǒng)的安全、數(shù)據(jù)庫系統(tǒng)的安全。檔案信息網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)保護，不受偶然的或者惡意的原因而遭到破壞、更改、泄漏，確保系統(tǒng)能連續(xù)、可靠、正常地運行。檔案信息應(yīng)用安全是指Web站點安全，電子檔案信息傳輸安全，以及在檔案信息應(yīng)用過程之中防止被破壞和被損壞。檔案信息管理安全包括技術(shù)管理、人員管理以及法規(guī)標(biāo)準(zhǔn)方面的安全。

二、影響檔案信息安全的因素

（一）自然因素 檔案信息資源存在和運用于自然界之中，自然界的雷電、火災(zāi)、水災(zāi)、風(fēng)災(zāi)、地震、強磁場、強電子脈沖等自然災(zāi)害時常發(fā)生，直接危害著檔案信息資源的安全。

（二）環(huán)境因素 環(huán)境條件不符合有關(guān)標(biāo)準(zhǔn)會對檔案信息造成危害，如檔案信息網(wǎng)絡(luò)控制中心機房場地和工作站的環(huán)境不合要求：電源質(zhì)量差，溫濕度不適應(yīng)，無抗靜電、抗磁場干擾和無防塵、防火、防水、防雷電、防漏電、防盜竊的設(shè)施和措施，以及光、空氣污染物及害蟲、霉菌等有害生物都會給檔案信息帶來不利的影響。

（三）技術(shù)因素 對于紙質(zhì)檔案來講，決定紙張本身耐久性的因素是造紙植物纖維的質(zhì)量和植物纖維的化學(xué)性質(zhì)及造紙過程。對于新型載體檔案來講，載體的質(zhì)量、計算機技術(shù)等決定了檔案信息的安全。如網(wǎng)絡(luò)安全漏洞、計算機網(wǎng)絡(luò)故障、硬件故障、軟件系統(tǒng)缺陷或錯誤、電磁泄漏、信息安全產(chǎn)品過于依賴國外等都會對信息的安全產(chǎn)生影響。

（四）社會因素 首先，資金的短缺是制約檔案信息安全的一個重要因素。資金投入的不徹底難以保證確保檔案信息安全軟、硬件條件的投入使用。其次，人類社會的暴力、戰(zhàn)爭、恐怖事件、網(wǎng)絡(luò)犯罪、網(wǎng)絡(luò)黑客、盜竊、破壞等也都可能危及檔案信息安全。隨著互聯(lián)網(wǎng)在我國的迅速普及，各種敵對勢力會利用互聯(lián)網(wǎng)作為工具進行反動活動。

（五）管理因素 管理因素包括檔案信息安全法律法規(guī)、標(biāo)準(zhǔn)制度和人員的素質(zhì)、心理、責(zé)任心。檔案信息組織管理和決策的核心是人，人是網(wǎng)絡(luò)的建設(shè)者和使用者，網(wǎng)上內(nèi)容的提供者。

三、檔案信息安全保障體系建設(shè)

檔案信息安全保障體系建設(shè)的主要任務(wù)是保障數(shù)字檔案信息的使用安全和信息載體的運行安全，同時健全數(shù)字檔案信息安全保障體系的法制保障、資金保障、規(guī)范標(biāo)準(zhǔn)保障、完善管理保障、革新技術(shù)保障和培育人才保障。

（一）檔案信息安全法制保障

檔案信息安全法制保障是檔案信息安全保障體系建設(shè)的重要方面。要建立健全檔案信息安全法規(guī)體系。檔案信息安全保障法規(guī)對于規(guī)范檔案信息主體的活動、協(xié)調(diào)和解決各種矛盾、保障檔案信息資源的安全等有重要作用，具有保護檔案信息客體具有知識性和財產(chǎn)性、體現(xiàn)高新技術(shù)和法規(guī)規(guī)范淵源的廣泛性的特征。我國檔案信息安全立法層次為國家法律、行政法規(guī)、地方性法規(guī)、規(guī)章和規(guī)范性文件五個層次。按照不同的標(biāo)準(zhǔn)，檔案信息安全保障法規(guī)體系框架由不同的部分構(gòu)成。在法規(guī)制定中，注意規(guī)范性和可操作性、系統(tǒng)性和兼容性、管理與發(fā)展并重、重點突出穩(wěn)步推進等方面，要注意吸收和借鑒國內(nèi)外信息安全法規(guī)建設(shè)經(jīng)驗，及時清理和修訂現(xiàn)有法規(guī)規(guī)章，適時制定檔案信息安全保障法等新法規(guī)。

（二）檔案信息安全的資金保障

在我國，各級綜合檔案館既是檔案信息的蓄水池，也是檔案信息的主要發(fā)布者。然而資金匱乏則是制約蓄水池和發(fā)布者作用發(fā)揮的主要因素。在許多地方，尤其是北方的城市，最差的房子是檔案館，辦公經(jīng)費多年不長甚至下降的也是檔案館。資金的匱乏，難以保證檔案信息安全軟件及硬件的實施，造成各級檔案館設(shè)施設(shè)備老化，人才流失。同時，對館藏紙質(zhì)檔案的數(shù)字化也要依賴于館外加工機構(gòu)來進行，極易造成檔案信息流失。因此，在加強信息安全保障體系建設(shè)中，各級政府重視檔案館的資金投入是重要的一個環(huán)節(jié)，要力爭做到檔案館經(jīng)費的增長要隨著經(jīng)濟的增長達到一定比例的增長。

（三）檔案信息安全標(biāo)準(zhǔn)保障

檔案信息安全標(biāo)準(zhǔn)是檔案信息安全保障的重要組成部分，是實現(xiàn)檔案安全管理的重要依據(jù)。我國檔案部門應(yīng)吸收和借鑒國外信息安全標(biāo)準(zhǔn)以及國外檔案工作方面的標(biāo)準(zhǔn)，研究制定適合新形勢下我國檔案信息安全現(xiàn)狀的標(biāo)準(zhǔn)化體系。研究制定檔案信息安全標(biāo)準(zhǔn)體系應(yīng)遵循科學(xué)性原則、協(xié)調(diào)性原則、全面性原則、接軌性原則和前瞻性原則，力求層次清晰、結(jié)構(gòu)合理、體系明確、標(biāo)準(zhǔn)齊全。

（四）檔案信息安全技術(shù)保障

檔案信息安全技術(shù)不僅涉及到傳統(tǒng)的“防”和“治”的技術(shù)，而且已經(jīng)擴展到涉及密碼技術(shù)、訪問控制技術(shù)、標(biāo)識和鑒別技術(shù)、審計與監(jiān)控技術(shù)、網(wǎng)絡(luò)安全技術(shù)、系統(tǒng)安全技術(shù)、應(yīng)用安全技術(shù)等多種現(xiàn)代信息新技術(shù)。傳統(tǒng)技術(shù)與現(xiàn)代新技術(shù)相互補充、相互結(jié)合，從不同的角度、不同層次來解決檔案信息安全問題，共同構(gòu)筑檔案信息的安全屏障，做好檔案信息安全技術(shù)的發(fā)展與更新，加快檔案信息安全技術(shù)成果的應(yīng)用、推廣和轉(zhuǎn)化，在引進、消化和吸收相關(guān)領(lǐng)域科學(xué)技術(shù)成果的同時，堅持自主創(chuàng)新，走國產(chǎn)化道路，開發(fā)擁有獨立自主知識產(chǎn)權(quán)的、保障檔案信息安全的核心技術(shù)和關(guān)鍵設(shè)備。endprint

以蘇州市檔案館為例，該檔案館在進行數(shù)字檔案館建設(shè)的時候，將檔案信息安全保障考慮的十分完善，從網(wǎng)絡(luò)拓?fù)鋱D中可以看出蘇州市數(shù)字檔案館運用防火墻及隔離工具確保內(nèi)網(wǎng)與外網(wǎng)的連接安全，另外蘇州市檔案館也運用各種殺毒軟件以及采取各種有效的技術(shù)手段來確保整個數(shù)字檔案館的安全運行，構(gòu)建了完善的檔案信息安全保障體系。

（五）檔案信息安全管理保障

檔案信息安全管理是以數(shù)字檔案信息及其載體為對象的安全管理，它的任務(wù)是保證數(shù)字檔案信息的使用安全和信息載體的運行安全。數(shù)字檔案信息安全保障的管理體系是指以系統(tǒng)全面科學(xué)的安全風(fēng)險評估為基礎(chǔ)的、體現(xiàn)“防患于未然”為核心的、動態(tài)的數(shù)字檔案信息安全管理體系。其目標(biāo)是達到數(shù)字檔案信息所需的安全級別，將風(fēng)險控制在較恰當(dāng)?shù)乃?。?shù)字檔案信息安全管理由其相應(yīng)的原則、程序和方法，來指導(dǎo)和實現(xiàn)一系列的安全管理活動。

在實施檔案信息安全管理保障措施時，需經(jīng)過以下步驟進行：完善組織機構(gòu)→進行風(fēng)險評估→制定安全策略→開展安全管理培訓(xùn)→執(zhí)行管理決策→評價并改善管理體系。其中，筆者認(rèn)為最重要的是進行風(fēng)險評估，根據(jù)有關(guān)部門統(tǒng)計，“在所有的計算機安全事件中，約有52%是人為因素造成的，25%是由火災(zāi)、水災(zāi)等自然災(zāi)害引起的，技術(shù)錯誤占10%，組織內(nèi)部人員作案占10%，僅有3%左右是由外部不法人員的攻擊造成?！辈浑y看出，屬于內(nèi)部人員方面的原因超過70%，而這些安全問題中的95%是可以通過科學(xué)的風(fēng)險評估來避免的。所以風(fēng)險評估的重要性不言而喻，加強風(fēng)險評估的力度是檔案信息安全管理保障的重中之重.

風(fēng)險評估是對信息及信息處理設(shè)施的威脅、影響、脆弱性及三者發(fā)生的可能性的評估。它是確認(rèn)安全風(fēng)險及其大小的過程，即利用定性或定量的方法，借助于風(fēng)險評估工具，確定信息資產(chǎn)的風(fēng)險等級和優(yōu)先風(fēng)險控制。風(fēng)險評估需要先根據(jù)檔案信息系統(tǒng)的實際情況定級，填寫等級保護定級備案表，并去有關(guān)公安機關(guān)備案；然后進行實際的風(fēng)險評估，完成風(fēng)險評估報告；最終根據(jù)報告內(nèi)容，采取風(fēng)險控制的措施，進一步完善檔案信息系統(tǒng)，做好檔案信息安全保障工作。

（六）檔案信息安全人才保障

目前，我國檔案信息安全人才匱乏，缺少既懂安全管理又懂安全技術(shù)的檔案工作人員。為了確保數(shù)字檔案信息的安全，檔案管理部門應(yīng)采取切實可行的措施，比如，開展職業(yè)證書教育培訓(xùn)，檔案部門吸收引進信息安全專門人才。分級分類、按需施教，通過項目帶動等多種途徑和形式，開展檔案信息安全人才的繼續(xù)教育，培養(yǎng)更多的適應(yīng)信息時代背景下檔案工作需要的應(yīng)用型和復(fù)合型相結(jié)合的人才，為構(gòu)建數(shù)字檔案信息安全保障體系提供強有力的智力支持。增強檔案信息安全意識是檔案信息安全事故預(yù)防與控制的一個重要手段。通過學(xué)校的教育、媒體宣傳、政策導(dǎo)向等形式和途徑，在深入持久的宣傳教育、工作環(huán)境、檔案信息安全法規(guī)貫徹中，培養(yǎng)和強化檔案信息安全意識。

檔案信息安全是由標(biāo)準(zhǔn)、資金、技術(shù)等六個方面來共同保障的，任何一方面的保障不到位都可能導(dǎo)致檔案信息泄露或丟失，因此，六個方面要緊密結(jié)合。在實際工作中，也要根據(jù)本單位的具體情況，切實保障檔案信息安全。

（作者單位：遷安市檔案局）endprint