肖秋會 段斌斌 詹欣然 李一弘 李珍

[摘要]論文對武漢市各類檔案館的安全保障工作進行了調(diào)研與評估，從安全戰(zhàn)略、基礎設施、組織管理、檔案安全技術、檔案安全制度五個維度分析了檔案館安全保障工作的現(xiàn)狀，提出了如下建議：完善應用系統(tǒng)與數(shù)據(jù)庫安全功能、加強安全技術手段應用、加強檔案信息風險評估與制度建設。

[關鍵詞]安全保障檔案館現(xiàn)狀調(diào)查評估武漢市

[分類號]G271

Investigation and Assessment of the Security Status of Archives——Taking 35 Different Types of Archives in Wuhan as Examples

Xiao Qiuhui， Duan Binbin， Zhan Xinran， Li Yihong， Li Zhen（The School of Information Management of Wuhan University， Laboratory Center for Library and Information Science of Wuhan University， Wuhan， Hubei， 430072）

Abstract： This paper investigates and evaluates the security work of various types of archives in Wuhan， and analyzes the current situation of the security work of archives from five dimensions， which includes security strategy， infrastructure construction， organizational management， archival security technology and security institution. Based on the situation analysis， this paper puts forward the following suggestions： perfect the security functions of application system and database， strengthen the application of security technology and reinforce the risk assessment and institution construction of archival information.

Keywords： Security Assurance； Archives； Status Survey； Assessment； Wuhan

檔案館安全保障工作是其各項工作的基礎。《全國檔案事業(yè)發(fā)展“十三五”規(guī)劃綱要》指出，要強化檔案安全保障，健全人防、物防、技防“三位一體”的安全防范體系，全面提升檔案網(wǎng)絡和信息系統(tǒng)風險管理能力，確保檔案實體與信息安全?！拔覈鴻n案安全保障體系構建的理論與實踐研究”項目組對武漢市35個不同類型檔案館進行了實地調(diào)研，全面了解其安全保障的現(xiàn)狀，發(fā)現(xiàn)了一些問題和不足，并在此基礎上提出了相關建議。

1調(diào)查對象與調(diào)查方法

項目組基于層次分析法構建了包含5個一級指標，16個二級指標，56個三級指標的檔案館安全保障評估指標體系，并通過德爾斐法（專家調(diào)查法），確定了每項指標的賦分權重。此外，項目組通過問卷調(diào)查方式收集了武漢市35個不同類型檔案館的相關數(shù)據(jù)，包括省、市、區(qū)級綜合檔案館15個，高校檔案館12個，大型企事業(yè)單位檔案館（室）8個。問卷共涵蓋五個維度：（1）安全戰(zhàn)略維度，即宏觀策略與規(guī)劃；（2）組織管理維度，即機構設置、人員安排、管理流程等方面內(nèi)容；（3）基礎設施維度，即館庫建設、計算機軟硬件建設、數(shù)據(jù)庫建設等方面；（4）檔案安全技術維度，即實體安全技術和信息安全技術；（5）檔案安全制度維度，即業(yè)務安全工作制度、信息安全保障制度等內(nèi)容。為保證調(diào)查結果可信，項目組對32家檔案館進行了實地調(diào)研與訪談（91%），對距離較遠的3家檔案館進行了電子郵件調(diào)查和電話訪談（9%）。

2武漢市檔案館安全保障現(xiàn)狀整體評估

武漢市35家檔案館安全保障情況評估結果如表1所示。在百分制的基準上，根據(jù)得分的整體分布，將檔案館安全保障現(xiàn)狀分為五個等級：得分在[90，100]區(qū)間為優(yōu)秀，得分在[80，90）區(qū)間為良好，得分在[60，80）區(qū)間為一般，得分在[40，60）區(qū)間為較為落后，得分在[0，40）區(qū)間為嚴重落后。

由表1可知，評估結果為“優(yōu)秀”的檔案館有3家，包括2家綜合檔案館、1家高校檔案館，無企、事業(yè)單位檔案館（室），占比8.57%；評估結果為“良好”的檔案館有7家，包括3家綜合檔案館、2家高校檔案館，2家企、事業(yè)單位檔案館（室），占比20%；評估結果為“一般”的檔案館有16家，包括7家綜合檔案館、5家高校檔案館，4家企、事業(yè)單位檔案館（室），占比45.71%；評估結果為“較為落后”的檔案館有6家，包括3家綜合檔案館、3家高校檔案館，無企、事業(yè)單位檔案館（室），占比17.14%；評估結果為“嚴重落后”的檔案館有3家，包括1家高校檔案館，2家企、事業(yè)單位檔案館（室），無綜合檔案館，占比8.57%。

35家檔案館的評估結果呈現(xiàn)以下特征：一是差異顯著，分級明顯。參與評估的單位中，最高分為91.24分，最低分為32.85分，分差顯著。評分結果分級明顯，集中形成五個水平等級；二是結果等級呈“梭形”分布。近五成檔案館評級為“一般”，“良好”和“較為落后”各占兩成，“優(yōu)秀”和“嚴重落后”各占一成，中間多而兩端少，呈“梭形”分布。三是綜合檔案館整體優(yōu)于高校檔案館，高校檔案館整體優(yōu)于企、事業(yè)單位檔案館（室）。15家綜合檔案館的平均得分為70.03，12家高校檔案館平均得分為64.07，8家企、事業(yè)單位檔案館（室）平均得分為61.22，不同類型檔案館之間的差異較為明顯。四是達標率較為可觀。以60分為及格線，達標率為74.29%，表明大多數(shù)檔案館注重安全保障建設，并取得了一定成效。

3武漢市檔案館安全保障現(xiàn)狀具體分析

3.1安全戰(zhàn)略維度

（1）檔案館安全戰(zhàn)略規(guī)劃良好

在宏觀層面，各檔案館都轉發(fā)下達了國家檔案局印發(fā)的《全國檔案事業(yè)發(fā)展“十三五”規(guī)劃綱要》（以下簡稱“十三五”規(guī)劃綱要），并深入學習研究了“十三五”規(guī)劃綱要精神，其中26家檔案館（74.29%）根據(jù)“十三五”規(guī)劃綱要，制定了適合本館的較為長遠的檔案安全保障計劃或保障策略，如檔案館安全保障工作的目標、任務、要求等。可見，武漢市各級各類檔案館普遍重視檔案安全保障的戰(zhàn)略規(guī)劃，制定了檔案安全保障計劃或策略。

3.2組織管理維度

（1）安全管理部門和人員設置合理

設置檔案安全管理部門或安全管理人員可以有效保障檔案館安全工作的開展。雖然目前尚未有檔案館設立專門的檔案安全管理部門，但91%的檔案館都安排了安全管理員或者分管安全工作的領導和人員，具體責任到人，并有相關的人事調(diào)動記錄，如東西湖區(qū)檔案館將庫房的安全管理工作分派給保管處，工作人員每天檢查其所負責的庫房安全，進行日常維護和安全情況登記，定期總結匯報。此外，17%的檔案館還會定期組織跨部門交流協(xié)調(diào)會議，聽取各部門的安全情況匯報，討論下一步工作，組織協(xié)調(diào)全館的檔案安全工作。

（2）檔案安全人員培訓基本到位

業(yè)務培訓和安全培訓是檔案館安全管理工作必不可少的一個環(huán)節(jié)。各檔案館都會組織本館人員參與業(yè)務培訓和相關的安全技能培訓，增強工作人員尤其是兼負檔案安全管理的人員的安全意識，提升其應急處理能力。67%的檔案館的分管安全領導和專職檔案人員還需通過市級以上的安全技能培訓，并通過嚴格的培訓考核標準。48%的檔案館將員工的安全規(guī)范操作納入績效考核且與年終獎懲掛鉤，以加強工作人員對檔案安全工作的重視。

（3）檔案安全資金支持相對充足

充足的資金是檔案館安全保障工作強有力的后盾支持。25家檔案館（71%）已將檔案安全保障工作開支納入財務總預算，有相對充足的資金支持。如武漢市檔案館近三年（2015—2017年）的檔案保護經(jīng)費分別為234萬元、276萬元、294萬元，此項經(jīng)費根據(jù)《檔案法》和國家綜合檔案館評估要求規(guī)定，館藏檔案每卷3元列入地方財政預算；近三年檔案搶救項目經(jīng)費分別為24萬元、50.94萬元、50.94萬元，?？顚Ｓ茫瑩尵葹l危檔案；近三年檔案數(shù)字化項目經(jīng)費分別為259萬元、340萬元、340萬元，用于館藏歷史檔案的系統(tǒng)整理、修裱、全文數(shù)字化加工、目錄建庫工作以及數(shù)字檔案館檔案資源集成管理與應用平臺建設。雖然29%的檔案館沒有將檔案安全工作的保障資金納入財務預算，但在一般性支出預算中包含部分安全保障資金，在實地調(diào)研的訪談過程中，一線檔案工作人員大多都提到近幾年檔案安全保障工作越來越得到重視，資金支持也較為充足。

3.3基礎設施維度

（1）檔案館館庫建設基本符合標準要求

檔案館建筑選址與質(zhì)量要求不同于一般性建筑要求，須符合相關國家和行業(yè)標準。據(jù)調(diào)查，65%的檔案館選址符合《檔案館建設標準》，在總平面布置、耐火等級、給排水、電器設備等方面符合《檔案館建筑設計規(guī)范》（JGJ25-2010）的規(guī)定，8%的檔案館（3家）新館尚在規(guī)劃建設當中，27%的檔案館由于建館較早，在建筑設計、館庫面積等方面尚未能達標，但基本設施相對完善，能夠滿足檔案收集、保管、利用之需，安全保障也在可控范圍之內(nèi)。在庫房建設上，被調(diào)查的檔案館基本都滿足“八防”要求。根據(jù)電子檔案的保存環(huán)境要求，80%的檔案館設置了防磁設施，如防磁專用庫房、防磁柜等，57%的檔案館有防菌措施，在檔案進館時進行除菌消毒。在檔案裝具上，各檔案館均采用符合行業(yè)標準的柜類、架類裝具，并在2000年先后采用無酸檔案卷皮卷盒，延長保存壽命，增加安全指數(shù)?？傮w而言，檔案館在館庫建設和裝具使用上基本符合標準要求，能夠滿足檔案安全保障的需求。

（2）網(wǎng)絡軟硬件設備基本完備

計算機和網(wǎng)絡設施是檔案信息化工作開展的基礎設施，也是電子文件管理與保存所依賴的數(shù)字化環(huán)境設備。根據(jù)調(diào)查結果，在計算機硬件方面，35家檔案館（100%）的計算機存儲介質(zhì)、輸入輸出設備等硬件設施均具備高度的可靠性、可用性和保密性，29家（82.86%）機房配備了防火、防潮、防雷、防斷電等防控設備，保障計算機系統(tǒng)有效、不間斷運行。由于技術和人員限制，1家檔案館將機房托管到電信分公司，實行更嚴密的監(jiān)護和安全保障。鑒于部分檔案涉密，13家（37.14%）設置了專門的屏蔽機房或者屏蔽倉來專門保管涉密信息。在網(wǎng)絡系統(tǒng)方面，30家（85.71%）檔案館具備齊全的計算機網(wǎng)絡部件，為保障內(nèi)網(wǎng)安全，23家（65.71%）檔案館局域網(wǎng)與外網(wǎng)實現(xiàn)了物理隔離，設立電磁屏蔽等措施，為隔離非法信息和敏感信息，18家（51.43%）檔案館配備了網(wǎng)絡端口安全防范措施?？傮w來看，檔案館網(wǎng)絡軟硬件設備基本完善，但在涉密信息的安全保護方面還需進一步與普通檔案信息區(qū)別并加強防護。

（3）應用系統(tǒng)滿足基本安全需要，功能模塊有待完善

現(xiàn)代化的檔案管理工作離不開功能齊全的應用系統(tǒng)和數(shù)據(jù)庫系統(tǒng)，系統(tǒng)的安全可以保障檔案信息的安全。24家（68.57%）檔案館直接從軟件公司購買檔案管理系統(tǒng)，如世紀科怡綜合檔案管理系統(tǒng)、南大之星檔案管理系統(tǒng)、北京飛揚數(shù)字檔案管理系統(tǒng)、紫光啟明檔案管理系統(tǒng)、Project Wise文檔管理系統(tǒng)等；其余檔案館根據(jù)技術實力自行研發(fā)或合作研發(fā)或委托研發(fā)。無論何種方式獲得的檔案管理系統(tǒng)都具備較好的兼容性和容錯性，且100%具備訪問控制模塊，能夠進行身份驗證。在其他功能模塊中，31.43%具備安全監(jiān)測、漏洞自動修復功能，45.71%具備備份功能模塊，目前尚未有應用系統(tǒng)具備因子認證功能，因此，在豐富應用系統(tǒng)功能、提升安全性方面還有很大提升空間。

（4）數(shù)據(jù)庫功能模塊不全

檔案數(shù)據(jù)庫是檔案信息資源管理的核心工具[1]，35個檔案館都采用了穩(wěn)定的數(shù)據(jù)庫版本，如SQL Sever，在安全控制方面，普遍具備訪問控制功能模塊，但在其他安全控制的功能模塊上，還有很大欠缺，僅有28.57%具有自動恢復模塊，14.29%具備安全檢測模塊。所以在檔案信息資源迅速增長的背景下，建設安全功能齊全的數(shù)據(jù)庫是亟待解決的問題。

3.4檔案安全技術維度

（1）檔案實體安全技術掌握和應用程度不高

紙質(zhì)檔案在保管利用過程中，由于自身因素或不恰當?shù)娜藶橐蛩睾铜h(huán)境因素，容易出現(xiàn)污染、發(fā)霉、蟲蛀、字跡褪色、紙張脆化等問題，掌握檔案實體修復和保護技術是必要的。但實際調(diào)研發(fā)現(xiàn)，檔案館對實體安全技術的掌握度并不高。42.86%的檔案館掌握檔案去污、去酸、修裱等檔案修復技術，48.57%檔案館掌握了有害微生物及蟲害防治技術，僅有11.43%的單位掌握檔案縮微及其他攝影技術。10家檔案館（28.57%）明確表示尚未掌握任何專業(yè)的檔案實體修復和保護技術。檔案實體安全技術掌握度與現(xiàn)實需求呈現(xiàn)不相匹配的狀態(tài)。

（2）檔案信息安全技術多樣，高技術手段運用程度低

檔案信息化的發(fā)展帶來日益突出的信息安全問題，掌握并綜合運用信息安全技術也成為檔案館安全保障的重要手段。檔案信息技術種類與應用多樣，如圖1所示。其中，20家檔案館（57.14%）綜合應用5種及其以上的安全技術，綜合應用程度高。9家檔案館（25.71%）應用三種及其以下信息安全技術，技術手段較為落后，2家檔案館（5.71%）只應用了防火墻技術，技術手段嚴重落后。在眾多技術手段當中，VPN技術、漏洞檢測技術、入侵檢測技術、審計與監(jiān)控技術、保密技術等技術難度大，但安全性能高的技術手段應用率不足一半，特別是VPN技術，應用率僅為11.43%。所以攻克技術難關，掌握高層次的信息安全技術是當前安全保障工作更進一步的關鍵。

3.5檔案安全制度維度

（1）檔案業(yè)務工作安全保障制度基本齊全

日常檔案業(yè)務工作離不開安全保障制度的規(guī)范與指導，檔案館業(yè)務工作相關制度的制定情況，如圖2所示。調(diào)查顯示，35家檔案館都制定了5種及其以上的檔案業(yè)務安全保障工作制度，制度保障基本到位。10家檔案館（28.57%）制定了8種及其以上的安全保障制度，制度保障齊全完善。以蔡甸區(qū)檔案館為例，除圖2所示的安全制度外，還制定了庫房平面圖及火災疏散制度、逐級上報制度、隱患跟蹤督辦制度、銷毀制度，開放利用制度、收集制度等安全方面的工作制度，各項制度的執(zhí)行情況良好。從檔案館類型來看，綜合檔案館的制定建設情況普遍良好，安全制度館均7.6項，高校檔案館次之，館均7項；企、事業(yè)單位檔案館稍顯落后，館均6項。由于檔案修復技術的缺失與不足，僅9家單位（25.71%）制定了檔案修復制度。限于工作模式與習慣，僅10家單位（28.57%）制定了檔案抽檢制度，在檔案業(yè)務工作中，還需加強檔案抽查檢測，及時發(fā)現(xiàn)安全隱患。

（2）檔案信息安全保障制度建設有待完善

檔案信息安全保障制度建設整體上不容樂觀。調(diào)查結果顯示，7家檔案館（20%）完整制定了檔案信息安全等級保護制度、檔案信息安全風險評估制度和檔案應急處理與災難恢復制度這三項基本的檔案信息安全制度，11家檔案館（31.43%）制定了其中兩項，12家檔案館（34.29%）只制定了其中一項，剩余4家檔案館（11.43%）未制定任何檔案信息安全制度。在采用率上，檔案應急處理與災難恢復制度為77.14%，檔案信息安全等級保護制度為62.86%，檔案信息安全風險評估制度為20%。由此可見，檔案信息安全保障制度的綜合應用程度不高，檔案信息安全風險評估制度建設較為欠缺。

4總結與建議

綜上所述，武漢地區(qū)各級各類檔案館在檔案安全戰(zhàn)略規(guī)劃、部門和人員設置、安全培訓、館庫建設、網(wǎng)絡軟硬件設備建設、業(yè)務工作安全保障制度建設等方面狀況良好，但仍存在一些薄弱環(huán)節(jié)，需要從如下3個方面加以改進和完善：

4.1完善應用系統(tǒng)與數(shù)據(jù)庫安全功能

如上所述，在所有被調(diào)查對象中，近七成的檔案管理系統(tǒng)是直接購買而來，系統(tǒng)功能設計上處于被動，系統(tǒng)安全監(jiān)測、漏洞修復、備份等功能普及度不高，數(shù)據(jù)庫的自動恢復和安全監(jiān)測功能也有所欠缺。此外，工作人員對應用系統(tǒng)了解不足，一些單位甚至將360殺毒等電腦系統(tǒng)的安全監(jiān)護軟件誤認為檔案管理系統(tǒng)的監(jiān)護軟件。因此，開發(fā)人員應從系統(tǒng)安全功能需求出發(fā)，基于充分的需求調(diào)研，提升技術手段，實現(xiàn)系統(tǒng)的身份鑒別、訪問控制、安全審計、入侵防范、漏洞修復、數(shù)據(jù)備份等安全功能需求。在實際操作中，工作人員要熟悉系統(tǒng)功能，開啟所有的安全防范功能，賬戶密碼設置要復雜一點并定期更換，嚴格進行分級管理，加強內(nèi)部安全防范[2]。對于直接購買的管理軟件，要建立安全日志，根據(jù)廠家提供的版本信息及時更新，確保系統(tǒng)處于安全防護中。在數(shù)據(jù)庫功能上，要采取多種手段，確保數(shù)據(jù)庫的備份和恢復功能，為加強風險防范，數(shù)據(jù)庫應設置安全檢測功能，對外部攻擊、內(nèi)部攻擊、誤操作行為進行實時防護，在系統(tǒng)遭受危險之前進行攔截，彌補防火墻防御中的不足[3]。

4.2加強檔案安全技術手段應用

根據(jù)調(diào)查結果可知，檔案安全技術應用是整個安全保障體系中的軟肋。在紙質(zhì)檔案的安全修復方面，五成以上的檔案館未采取任何去污、去酸和加固等修復手段。在檔案信息安全保護方面，入侵檢測、審計監(jiān)控、數(shù)字檔案長期保存等高技術手段運用程度明顯不足，部分檔案館對VPN技術等網(wǎng)絡技術不甚了解，掌握和應用程度很低。為此，檔案館要加強檔案安全技術的宣傳、學習和培訓，必要時需要引進先進的人才、技術和設備，為檔案實體修復和有害微生物防治以及技術攻關提供物質(zhì)保障。特別是在檔案信息安全保障方面，應當綜合應用各項信息技術，加強高技術手段的運用，確保檔案信息在各個流轉環(huán)節(jié)的安全。

4.3加強檔案信息風險評估與制度建設

調(diào)查顯示，八成檔案館從未進行過檔案信息安全風險評估。與檔案業(yè)務工作制度相比，各單位制定的檔案信息安全保障制度偏少且綜合運用程度低，4家檔案館甚至未制定任何信息安全制度，這與檔案管理信息化的趨勢和需求嚴重不符。因此，當前亟需加強檔案信息風險評估與制度建設，需要根據(jù)國家和地方的法律法規(guī)，結合本館實際，制定適合本單位的檔案信息安全風險評估制度。應根據(jù)本單位信息化建設的現(xiàn)狀，對檔案信息安全風險評估工作的流程、內(nèi)容、方法和風險判斷確立統(tǒng)一的標準，制定風險等級計算方法。另外，有必要將檔案信息安全風險評估工作與等級保護工作相結合，完善檔案信息安全等級保護工作。

*本文系教育部人文社會科學重點研究基地重大項目“我國檔案安全保障體系構建的理論與實踐研究”（項目編號：15JJD870002）研究成果之一。

參考文獻

[1]錢毅.檔案數(shù)據(jù)庫建設中存在的問題及解決思路[J].檔案學通訊，2006（4）：45-48.

[2]陳華文.淺談基層單位檔案信息系統(tǒng)安全管理存在的問題及對策[C].浙江：浙江工商大學出版社，2012：271-274.

[3]李廣潤.計算機數(shù)據(jù)庫入侵檢測技術應用初探[J].山西大同大學學報（自然科學版），2013（3）：16-18.