鄭云鵬

【摘要】對于大多數(shù)檔案管理機構和檔案資源所有組織而言，檔案信息中包含大量機密性和安全性信息，因此保障檔案信息安全是所有檔案管理機構的基本工作內(nèi)容。但在信息化時代，檔案數(shù)字化和檔案管理的信息化改革逐步加深，這對檔案信息安全保障形成了新的挑戰(zhàn)。本文主要結合當前信息化時代發(fā)展的基本現(xiàn)實，探討檔案信息安全保障的需求，并提出具體的保障體系構建策略，希望能夠為各類檔案管理機構提供有效參考。

【關鍵詞】檔案管理;檔案信息安全;保障體系

一、檔案信息面臨的主要安全風險

（一）傳統(tǒng)風險。檔案信息的傳統(tǒng)風險主要是指傳統(tǒng)形式檔案所面臨的各類信息安全風險。目前幾乎所有的檔案管理機構都保存有傳統(tǒng)形式的檔案，即以紙張、光盤為基礎媒介的傳統(tǒng)實體檔案。此類檔案通常面臨兩類基本的安全風險，即檔案本身滅失和檔案記錄內(nèi)容損壞的風險，在現(xiàn)代管理條件下這兩類風險大多是由不可抗拒的自然因素和管理者的疏忽大意所導致，這類風險也可以通過加強保障技術和管理力度來有效規(guī)避，并不屬于現(xiàn)代檔案信息安全的主要風險。而且現(xiàn)階段檔案管理研究已經(jīng)對傳統(tǒng)形式檔案的各類信息滅失風險建立了較為完善的防范策略體系，因此本文僅對此類風險進行簡要介紹，不再對此類風險的防范措施進行深入探討。

（二）信息化時代的新型風險。信息化時代檔案信息的安全風險則更為多樣化，也表現(xiàn)得更為特殊。可以將信息化時代檔案信息安全風險歸結為如下幾類：1.因信息化檔案的硬件載體損壞而出現(xiàn)的信息滅失風險。信息化檔案一般可以通過光盤、軟盤、硬盤、U盤等存儲介質(zhì)進行長期的固定保存，此類檔案存儲介質(zhì)雖然相對于傳統(tǒng)的紙質(zhì)媒介而言具有較高的穩(wěn)定性和抗外力侵害性，但其本身仍是相對脆弱的，可以輕易被人為破壞，也有可能在信息化設備中使用的過程中因電氣故障等因素出現(xiàn)損壞。在這類保存介質(zhì)中，只有少部分介質(zhì)在損壞后仍能恢復部分信息（如硬盤），但也不能保證恢復信息的完整性。2.因人為不當操作而導致的信息損毀或滅失風險。信息化檔案的操作過程更為簡單，這雖然為檔案管理工作帶來了較大便利，但同時也使得檔案管理工作存在更大的人為操作風險。例如傳統(tǒng)檔案在不當操作后，可能僅出現(xiàn)極少部分檔案信息的消失或不清晰，而信息化檔案可能只需要一個簡單的刪除鍵即可完全被滅失，從而導致檔案信息的完全破壞。3.因病毒和木馬傳播而導致的信息損壞風險。信息化檔案的管理過程大部分依托于計算機軟件平臺，而計算機病毒和木馬可能導致計算機內(nèi)部存儲和操作的各類信息被篡改或破壞，其中部分篡改和破壞是不可逆的，這可能導致單一備份的信息化檔案在破壞后無法有效恢復。4.受人為攻擊而導致的多種信息安全風險。信息化檔案存儲在計算機硬件介質(zhì)當中，可以通過計算機軟件系統(tǒng)和網(wǎng)絡體系進行訪問，在不法分子通過非法手段獲取系統(tǒng)或網(wǎng)絡的訪問權限后，可能會對檔案信息進行竊取、篡改和破壞，這會對檔案信息造成多種形式的安全威脅。5.因軟件不兼容而導致的檔案損壞風險。信息化檔案在不同軟件平臺間所采用的存儲形式和格式不一定完全相同，在未對檔案文件的可寫屬性進行限定的情況下，通過錯誤的軟件平臺對檔案進行讀寫操作可能會破壞檔案文件，導致檔案信息丟失或亂碼化。

二、檔案信息安全風險和保障的現(xiàn)狀及問題

（一）安全風險發(fā)展趨勢與現(xiàn)狀。結合上文所總結的五類信息化檔案信息安全風險來看，目前在檔案管理領域出現(xiàn)率相對較高的安全風險主要集中在第2-3類：信息化檔案硬件載體損壞的情況在現(xiàn)代社會并不常見，這主要與計算機硬件存儲設備集成化、移動化存儲設備的抗破壞性提升有較大關系;人為不當操作、病毒和木馬傳播、人為攻擊是目前檔案信息安全最突出的風險，其中前兩類問題的出現(xiàn)率相對較高，但通常所造成的信息安全破壞問題較小，在安全保障手段逐步完善的情況下，其所造成的信息安全問題大多數(shù)也能夠得到完全解決，但其中人為攻擊所導致的檔案信息安全問題普遍較為嚴重，而且很難消除其所造成的影響;因為軟件不兼容而導致的檔案損壞風險在近年來逐漸降低，這主要與檔案管理領域的格式標準化、檔案管理軟件技術的完善化有較大關系，大多數(shù)檔案都具備了讀寫權限控制條件，能夠在很大程度上預防軟件不兼容導致的檔案損壞風險。

（二）安全保障手段的發(fā)展趨勢與現(xiàn)狀。就國內(nèi)外檔案管理機構信息化改革與發(fā)展的現(xiàn)狀來看，目前在檔案管理領域較為流行的信息安全風險保障措施主要有以下幾個方面：

1.基于計算機系統(tǒng)軟件和硬件的保護措施。在硬件方面主要保護檔案存儲介質(zhì)、網(wǎng)絡訪問設備，避免硬件載體損壞，以及源于網(wǎng)絡的非主動性病毒及木馬傳播。在軟件方面，主要防護電腦系統(tǒng)間傳遞的病毒和木馬，其本身主要針對計算機常見病毒和木馬進行防護，較少考量專門針對特定檔案文件格式的病毒和木馬。2.基于檔案管理工作制度的保護措施。要求檔案管理工作人員按照既定的標準和流程進行操作，強調(diào)操作的規(guī)范性和安全性，避免人為不當操作、人為使用未經(jīng)認證和檢查的移動存儲設備、人為訪問外部網(wǎng)絡等所造成的病毒和木馬入侵風險。

3.基于外部攻擊行為的主動防護措施。這種防護措施主要出現(xiàn)在一些對檔案信息機密性關注較高的組織中，例如大型企業(yè)的檔案管理功能會更重視對主動攻擊導致的檔案信息安全風險的防范，這也是保護企業(yè)經(jīng)濟利益的必要手段。具體保護主要通過計算機軟硬件協(xié)同的防護措施來保護特定檔案。

三、檔案信息安全保障體系的構建策略

（一）一般檔案信息安全保障體系的問題。從當前檔案機構對于檔案信息安全保障的基本做法來看，其中存在兩個方面的典型問題：第一，過度關注計算機硬件和系統(tǒng)層面上的安全，忽略了系統(tǒng)和制度層面上的安全，大多數(shù)小型機構普遍采用計算機軟硬件技術來保障系統(tǒng)安全而很少對人員操作進行標準化的管理，只有一些大型企業(yè)會在檔案管理方面對人員進行嚴格管理。第二，多數(shù)機構未充分考慮到云存儲技術廣泛應用后的新型安全風險問題，云存儲技術能夠在很大程度上規(guī)避數(shù)字檔案安全風險，但同時也會造成新的風險，這是許多檔案管理機構尚未觸及的領域，因此并未得到全面重視。

（二）檔案信息安全保障體系完整構建的基本策略。結合全文分析來看，信息化檔案管理體系下的檔案信息安全較為多樣，單一的檔案安全保護措施并不能完全規(guī)避檔案安全風險。而且檔案安全風險存在較高的偶發(fā)性，所以檔案信息安全保障體系必須保證其全面性，對此本文建議各檔案管理機構在檔案信息安全保障體系的建設方面不能忽視任何層面上的保障需求。具體到實踐中來看：首先，國家需要建立一套高度完善的數(shù)字檔案信息安全保障法律（法規(guī)），在法律工具上為管理機構的檔案安全管理提供基本的保障條件。其次，檔案機構要從工作制度和人員管理層面上進一步確保檔案信息安全，區(qū)分各級管理人員的檔案訪問和使用權限，規(guī)范檔案管理流程。再者，基于檔案管理工作的基本流程，分析各類可能有人員主觀因素或非主觀因素導致的檔案信息安全問題，制定預防性措施和安全冗余制度。最后，部署全面覆蓋網(wǎng)絡體系、服務器設備、終端訪問設備、系統(tǒng)和軟件平臺的安全防護條件，并根據(jù)制度層面上的安全冗余要求，設計相應的檔案備份與分布式存儲方案，確保檔案被破壞后仍具備回溯的基本條件。

（三）針對未來檔案云存儲應用下的信息安全保障建議。云存儲技術以其 “對單一存儲硬件依賴度低”“天然的信息備份條件”等優(yōu)勢成為存儲技術發(fā)展的主流，大幅降低了檔案信息存儲的成本，大大降低了數(shù)據(jù)丟失的概率，保證了存儲數(shù)據(jù)的安全性，因此云存儲也成為檔案信息存儲的新方向。但云存儲技術也并非完全無風險，在平臺數(shù)據(jù)泄露以及服務中斷等情況下，云存儲依然無法完全避免數(shù)據(jù)安全問題。因此，本文建議檔案管理機構在應用云存儲技術時就要考慮到此類風險，通過加強合同約束來確保云存儲服務機構對平臺數(shù)據(jù)保密責任的履行意識，通過部署新的技術來規(guī)避服務器中斷風險，由此進一步保障檔案信息云存儲應用下的安全性。

【參考文獻】

[1]侯嬌嬌.如何做好事業(yè)單位檔案信息安全管理工作[J].辦公室業(yè)務，2019，311（06）：117.

[2]周麗，楊劍云.基于云計算的檔案信息安全體系應用探討[J].城建檔案，2019，233（02）：36-37.