孔旸

摘 要：隨著大數(shù)據(jù)、信息化時代的到來，各行各業(yè)都面臨著深刻的變革，對檔案工作來說，隨著檔案信息化進(jìn)程的加快，電子檔案因其利用的便捷性得到了迅速的推廣和發(fā)展，但由于電子檔案所依賴網(wǎng)絡(luò)環(huán)境的開放性及不穩(wěn)定性等特點，導(dǎo)致電子檔案管理在安全保密方面面臨著諸多考驗?；诖?，筆者深入剖析了當(dāng)前電子檔案安全管理方面存在的問題，然后針對這些問題，提出了自己的一些看法與建議。

關(guān)鍵詞：電子檔案、安全管理、信息安全

隨著社會的發(fā)展、科技的進(jìn)步，大數(shù)據(jù)、信息化時代已全面來臨，國家檔案局在《全國檔案事業(yè)發(fā)展“十三五”規(guī)劃綱要》中明確提出要加快推進(jìn)檔案管理信息化、檔案安全高效化，可見檔案管理信息化、電子化已成為發(fā)展趨勢，但是由于網(wǎng)絡(luò)的開放性和共享性等特點，使得電子檔案數(shù)據(jù)的安全性、保密性存在一定的隱患。

鑒于檔案保密工作是一項政治性、全局性和戰(zhàn)略性的工作，尤其自2010年10月1日《中華人民共和國保守國家秘密法》（以下簡稱：《保密法》）頒布實施以來，國家對保密的范圍和密級、保密制度和相關(guān)法律責(zé)任進(jìn)行了明確，檔案部門與檔案工作者需依照新修訂的《保密法》規(guī)定重新審視檔案工作中的保密工作。因此，在新形勢下，如何在保守國家秘密與電子檔案信息資源的合理利用中尋找契合點，同時認(rèn)真剖析電子檔案安全管理存在的問題并探尋切實可行的預(yù)防措施，對檔案工作具有重要的現(xiàn)實意義。

一、電子檔案管理面臨的安全問題

隨著大數(shù)據(jù)、信息化的加速發(fā)展，從各業(yè)務(wù)領(lǐng)域直接產(chǎn)生的電子檔案數(shù)量急劇增長，同時為減少對紙質(zhì)檔案的損耗，提高檔案利用工作效率，由紙質(zhì)檔案數(shù)字化形成的電子檔案數(shù)量也在不斷增加，當(dāng)前電子檔案的安全管理問題已成為擺在檔案人員面前的一個普遍性問題。

根據(jù)北京市檔案局、北京市密碼管理局《北京市電子文件歸檔與電子檔案管理辦法》規(guī)定，“電子文件，是指機(jī)關(guān)、團(tuán)體、企事業(yè)單位和其他組織在處理公務(wù)過程中，通過計算機(jī)等電子設(shè)備形成、辦理、傳輸和存儲的文字、圖表、圖像、音頻、視頻等不同形式的信息記錄。電子文件歸檔后稱電子檔案?！睆奈募梢钥闯?，由于電子檔案依賴于網(wǎng)絡(luò)技術(shù)環(huán)境、計算機(jī)等電子設(shè)備，而由于網(wǎng)絡(luò)結(jié)構(gòu)存在不安全性、網(wǎng)絡(luò)傳輸?shù)囊讛r截性等因素，使得網(wǎng)絡(luò)環(huán)境下電子檔案安全管理存在諸多威脅，具體體現(xiàn)在四大安全領(lǐng)域和八大管理模塊方面（如圖所示）;另一方面，檔案利用者在查閱電子檔案的過程中，由于自身安全意識缺失或其他利用目的，電子檔案在利用過程中面臨著被下載、拍照、復(fù)印、打印的風(fēng)險，進(jìn)而導(dǎo)致檔案信息存在流失、泄露的安全隱患。

如圖所示，檔案信息在從形成到銷毀的全生命周期過程中，在數(shù)據(jù)流轉(zhuǎn)的各個環(huán)節(jié)均存在被篡改和泄露的可能性。另外，各類病毒對計算機(jī)安全也造成了潛在威脅，進(jìn)而影響到儲存在計算機(jī)數(shù)據(jù)庫中的信息安全。在管理層面，電子檔案管理的制度建設(shè)、信息化技術(shù)水平、檔案人員安全意識等方面仍然存在一些問題，主要表現(xiàn)在：

1.電子檔案制度體系建設(shè)滯后。自上世紀(jì)90年代中期開始，我國在信息立法和檔案法規(guī)建設(shè)的基礎(chǔ)上，順應(yīng)檔案信息化的發(fā)展要求，陸續(xù)制定和發(fā)布了針對檔案信息化建設(shè)的法規(guī)、規(guī)章與標(biāo)準(zhǔn)，如出臺了國家標(biāo)準(zhǔn)《CAD電子文件光盤存儲、歸檔與檔案管理要求》。1999年6月國家檔案局頒布了第一部檔案信息化規(guī)章《電子文件歸檔與電子檔案管理辦法》，之后又進(jìn)行了幾次修訂。2001年6月頒布了《檔案管理軟件功能要求暫行規(guī)定》，對國內(nèi)檔案管理軟件的開發(fā)研制和安裝使用進(jìn)行了規(guī)范。2005年國家檔案局頒布檔案行業(yè)標(biāo)準(zhǔn)《紙質(zhì)檔案數(shù)字化技術(shù)規(guī)范》。2013年，為做好檔案信息系統(tǒng)安全等級保護(hù)工作，國家檔案局編制了《檔案信息系統(tǒng)安全等級保護(hù)定級工作指南》。2016年，國家檔案局聯(lián)合國家發(fā)改委印發(fā)了《建設(shè)項目電子文件歸檔和電子檔案管理暫行辦法》，這些標(biāo)準(zhǔn)和文件的制定和實施，從制度層面保障了檔案信息的安全。但是，隨著檔案信息化的快速發(fā)展，在電子檔案實際管理工作中，會出現(xiàn)各種各樣的安全問題，而已有的法規(guī)、標(biāo)準(zhǔn)是指導(dǎo)性的，并不能覆蓋所有的問題及對策。例如：電子檔案在形成、流轉(zhuǎn)過程中如何進(jìn)行跟蹤、檢查和評估等問題目前只能在實踐中不斷摸索，缺少相應(yīng)明確、具體的制度條文規(guī)定和法律約束。

2.檔案信息化建設(shè)水平滯后。當(dāng)前，我國各級檔案部門信息化進(jìn)程不統(tǒng)一，大部分檔案系統(tǒng)為單機(jī)版，缺乏統(tǒng)一標(biāo)準(zhǔn)，沒有實現(xiàn)檔案信息資源共享和整合，低水平重復(fù)建設(shè)的情況十分嚴(yán)重，沒有真正實現(xiàn)有效利用信息技術(shù)提高檔案管理效率，而且檔案數(shù)據(jù)信息控制不規(guī)范，導(dǎo)致檔案數(shù)據(jù)信息安全存在嚴(yán)重隱患，由于檔案信息安全技術(shù)一般是在出現(xiàn)安全問題后才不斷改進(jìn)和發(fā)展的，可見信息技術(shù)的發(fā)展存在滯后性。

3.檔案信息安全管理滯后。此問題具體體現(xiàn)在以下方面：

（1）缺乏信息安全意識

目前，很多單位對檔案工作人員開展專業(yè)的網(wǎng)絡(luò)信息安全培訓(xùn)不到位，網(wǎng)絡(luò)管理員、檔案工作人員缺乏安全管理意識，致使檔案信息安全管理不到位，不規(guī)范。另外，檔案利用者也普遍缺乏檔案信息安全保密意識，由于利用者的廣泛性和不確定性，很難開展統(tǒng)一的培訓(xùn)和教育，一般只能通過加強(qiáng)管理進(jìn)行約束和防范。

（2）信息安全管理標(biāo)準(zhǔn)欠缺

由于檔案管理系統(tǒng)建設(shè)的多樣性，在檔案信息安全管理方面缺乏一套公認(rèn)的、通用的、可操作性強(qiáng)的標(biāo)準(zhǔn)體系，尤其是針對檔案元數(shù)據(jù)、信息安全、存儲格式和數(shù)據(jù)交換等方面的電子檔案標(biāo)準(zhǔn)規(guī)范。

（3）缺乏系統(tǒng)管理思想

很多單位在開展檔案信息化建設(shè)時，沒有采取系統(tǒng)化的安全管理思想對電子檔案進(jìn)行管理。系統(tǒng)化的安全管理思想包括安全管理方法、安全管理制度、安全技術(shù)體系、檔案信息系統(tǒng)安全維護(hù)體系等。

（4）檔案管理工作人員意識不強(qiáng)且專業(yè)度有限

檔案管理人員如果無法認(rèn)識到檔案保密管理的重要性，勢必會導(dǎo)致檔案管理行為失范。僅就檔案保密管理所需的技能而言，在信息化技術(shù)的影響下檔案管理人員需要具備必要的檔案保密管理知識、計算機(jī)操作技能、檔案保密專業(yè)管理技能、法律法規(guī)知識等，然而現(xiàn)階段，由于檔案人員的綜合素質(zhì)參差不齊，部分人員檔案信息安全意識淡薄，或者雖然有安全保護(hù)意識，但心有余而力不足，沒有采取科學(xué)的安全防護(hù)技術(shù)，加之信息化時代的沖擊，對保密管理、檔案保密管理法律法規(guī)認(rèn)知的不足，在企業(yè)或者部門節(jié)約保密管理經(jīng)費的影響下，很容易出現(xiàn)檔案保密管理存在各類安全隱患的問題。

二、電子檔案安全管理措施建議

為有效加強(qiáng)電子檔案安全管理，建議從技術(shù)和管理兩方面采取措施：

1.技術(shù)層面嚴(yán)防死守。電子檔案的安全管控主要應(yīng)從檔案庫房基礎(chǔ)設(shè)施建設(shè)和檔案信息化安全管控兩個方面著手：

（1）基礎(chǔ)設(shè)施建設(shè)方面

隨著數(shù)字檔案室建設(shè)進(jìn)程的加快，檔案信息管理系統(tǒng)往往和智能庫房建設(shè)結(jié)合起來進(jìn)行，因此加強(qiáng)對傳統(tǒng)檔案庫房的安全管理也是電子檔案安全管理的一個重要方面。檔案庫房是檔案保管的重地，根據(jù)《檔案館建設(shè)標(biāo)準(zhǔn)》、《檔案館建筑設(shè)計規(guī)范》規(guī)范檔案庫房建設(shè)，按標(biāo)準(zhǔn)配齊安全監(jiān)控設(shè)備、門禁系統(tǒng)和自動報警系統(tǒng)等，使檔案人員隨時監(jiān)測庫房安全，確保技防措施到位。

除了硬件設(shè)施方面，建立完善科學(xué)規(guī)范的檔案管理系統(tǒng)也是同樣要抓的重要工作。首先，要保障對檔案信息化建設(shè)的資金投入，在系統(tǒng)建設(shè)時落實檔案管理要求和利用者需求，在進(jìn)行系統(tǒng)規(guī)劃建設(shè)時，落實相關(guān)的制度流程，在確保數(shù)據(jù)安全的前提下，盡可能簡化審批操作流程，提高檔案工作效率。在系統(tǒng)規(guī)劃和技術(shù)應(yīng)用時，充分考慮安全保密問題，在操作權(quán)限設(shè)置、工作流程配置各方面綜合考慮設(shè)計，避免后續(xù)使用中出現(xiàn)各種安全性問題。

（2）檔案信息化安全管控方面

一是應(yīng)加強(qiáng)對檔案信息系統(tǒng)操作權(quán)限和工作流程的設(shè)置。針對不同管理層級的用戶分門別類設(shè)置不同的操作權(quán)限，并通過檔案借閱流程、檔案移交流程等流程設(shè)置實現(xiàn)對電子檔案管理流程和權(quán)限的劃分。例如，根據(jù)管理權(quán)限的不同，分別針對專職檔案人員、各部門兼職檔案人員、普通用戶設(shè)置不同的操作權(quán)限。專職檔案人員享有最高權(quán)限，可對所管理的全部檔案進(jìn)行查看、錄入、統(tǒng)計、移交等操作;各部門兼職檔案人員可對本部門產(chǎn)生的檔案進(jìn)行查看、錄入等操作;普通用戶通過履行借閱審批流程實現(xiàn)對檔案的利用。二是可通過采取一些檔案信息安全技術(shù)確保檔案信息安全，包括：物理信息安全技術(shù)、系統(tǒng)安全技術(shù)、網(wǎng)絡(luò)安全技術(shù)、用戶安全技術(shù)等，同時隨著信息技術(shù)的發(fā)展，應(yīng)不斷對安全技術(shù)進(jìn)行更新、升級，以適應(yīng)日新月異的檔案信息化發(fā)展要求。例如，對涉密檔案采取必要的加密措施，對源文件進(jìn)行加密處理，使檔案原文成為不可直接讀取的代碼。當(dāng)利用者訪問這些經(jīng)過加密處理的文件時，必須輸入正確的密鑰，確保數(shù)字化檔案信息資源的安全。

三是為確保電子檔案數(shù)據(jù)丟失后能第一時間恢復(fù)和補(bǔ)救，在進(jìn)行檔案信息化建設(shè)時一定要將數(shù)據(jù)備份進(jìn)行統(tǒng)籌考慮，定期做好數(shù)據(jù)在線與脫機(jī)模式下的雙重檢驗，注意異質(zhì)異地備份，確保檔案信息安全。由于互聯(lián)網(wǎng)環(huán)境下電子檔案信息安全存在較大隱患，任何用戶的疏忽、黑客攻擊或病毒入侵，都會造成信息數(shù)據(jù)的丟失與失真，因此必須構(gòu)建起完善的電子檔案數(shù)據(jù)備份系統(tǒng)以及相應(yīng)的恢復(fù)系統(tǒng)，以確保在出現(xiàn)信息被惡意篡改或錯誤操作導(dǎo)致的數(shù)據(jù)丟失，考慮到電子檔案歸檔的即時性以及存儲介質(zhì)的安全可靠性，建議一方面要對系統(tǒng)數(shù)據(jù)進(jìn)行即時備份，另一方面通過采取磁帶或硬盤備份等方式對數(shù)據(jù)進(jìn)行固定備份，這種雙重備份方式可減少系統(tǒng)自身備份的不穩(wěn)定性，增強(qiáng)數(shù)據(jù)備份的可靠性。

四是確保檔案管理系統(tǒng)能夠長久應(yīng)對海量數(shù)據(jù)的安全遷移、導(dǎo)入。在進(jìn)行檔案信息化建設(shè)時，一個基礎(chǔ)性工作就是將一個組織內(nèi)部不同成員單位之間原有檔案管理系統(tǒng)中的檔案數(shù)據(jù)統(tǒng)一遷移至新系統(tǒng)中，在遷移過程中，技術(shù)人員需要給遷移的數(shù)據(jù)分配一個新的存儲單元路徑，系統(tǒng)自動在定義的遷移路徑下建立指定檔案的副本，為保證遷移數(shù)據(jù)的準(zhǔn)確和完整，復(fù)制完成后，系統(tǒng)自動對遷移數(shù)據(jù)進(jìn)行校驗，確保遷移數(shù)據(jù)與原始數(shù)據(jù)完全一致。

2.制度層面提供保障。建立全面的、有效的法律標(biāo)準(zhǔn)體系規(guī)范電子檔案安全管理是必要的。一是國家層面的，《中華人民共和國檔案法》是我國檔案管理的基本大法，但是關(guān)于檔案信息安全方面的條款卻很少，很難滿足實際工作的需要，建議進(jìn)一步細(xì)化和完善。二是地方性法規(guī)、標(biāo)準(zhǔn)對于檔案信息安全方面的規(guī)定需要進(jìn)一步完善。三是企業(yè)、事業(yè)單位等需要結(jié)合本單位實際建立健全檔案安全管理方面的規(guī)章制度，強(qiáng)化落實力度，要責(zé)任到人，落實到崗，并監(jiān)督執(zhí)行。

考慮到電子檔案管理的安全性問題，目前絕大多數(shù)檔案部門依舊采取紙質(zhì)檔案與電子檔案雙介質(zhì)并存方式，以滿足檔案信息安全保管和及時應(yīng)用等管理要求，處理好檔案利用與保密的關(guān)系。雙介質(zhì)管理的基本要求是：提高紙質(zhì)檔案數(shù)字化效率，實現(xiàn)紙質(zhì)檔案與電子檔案的一體化管理，同時簡化兩者管理的各項流程，解決檢索慢、審批程序復(fù)雜等問題。在這個過程中，為加強(qiáng)電子檔案安全管理，建議按照《建設(shè)項目電子文件歸檔和電子檔案管理暫行辦法》規(guī)定，在檔案信息化建設(shè)過程中同步建立完善電子檔案管理的相關(guān)標(biāo)準(zhǔn)、制度，建立結(jié)構(gòu)合理、數(shù)據(jù)完整的檔案信息資源數(shù)據(jù)庫，保障電子檔案管理的規(guī)范化、科學(xué)化。同時，結(jié)合大數(shù)據(jù)、信息化有關(guān)信息公開的發(fā)展形勢要求，區(qū)分涉密檔案和非涉密檔案保密管理的不同要求，完善相關(guān)制度，在確保涉密檔案信息安全的前提下，促進(jìn)電子檔案的開放、共享，發(fā)揮電子檔案利用便捷的優(yōu)勢，更好的服務(wù)于社會生產(chǎn)生活需要。

3.重點環(huán)節(jié)加強(qiáng)管控。對電子檔案的安全管理應(yīng)重點針對容易泄密的重點環(huán)節(jié)：檔案數(shù)據(jù)導(dǎo)入和利用環(huán)節(jié)。因此，規(guī)范電子檔案安全管理的重點：一是加強(qiáng)前端控制，在電子檔案的收集、數(shù)據(jù)導(dǎo)入過程中要做到齊全、完整，不丟失、不損壞。涉及到保密的，要進(jìn)行加密處理，嚴(yán)防信息泄露。二是加強(qiáng)過程控制，對電子檔案的查看、下載設(shè)置嚴(yán)格的操作權(quán)限，通過生成鏈接或二維碼方式，對下載或打印的電子檔案添加利用者信息（包括利用者的所在單位、部門、姓名、手機(jī)號及企業(yè)LOGO標(biāo)識），當(dāng)發(fā)生檔案信息泄露時，能夠快速定位追溯問題源，以避免電子檔案信息泄露，在提升檔案服務(wù)水平的同時，處理好利用與保密的關(guān)系。

4.意識層面加強(qiáng)宣貫。檔案信息化工作的開展有賴于檔案管理部門擁有一批具備相關(guān)信息化技術(shù)應(yīng)用能力的人才隊伍。具體而言，檔案管理人員在具備扎實的檔案管理理論知識和業(yè)務(wù)能力的同時，還必須具備相關(guān)的信息化技術(shù)操作技能。

總之，在電子檔案管理過程中，必然會存在一系列的問題與隱患，不僅影響電子檔案信息的真實性與完整性，而且還會造成檔案信息的外泄，威脅企業(yè)、單位，甚至是國家的信息安全。因此，建議檔案行政管理部門及企事業(yè)單位增強(qiáng)對電子檔案信息安全的重視，制定切實有效的規(guī)范、標(biāo)準(zhǔn)、制度，加強(qiáng)對電子檔案信息安全保護(hù)技術(shù)的研究和應(yīng)用、推廣，檔案管理人員也要加強(qiáng)自我學(xué)習(xí)，增強(qiáng)安全意識，結(jié)合實踐工作經(jīng)驗，勇于探索創(chuàng)新，及時發(fā)現(xiàn)并處理好潛在隱患，確保電子檔案信息的絕對安全。

參考文獻(xiàn)：

[1]張艷輝.淺談檔案的信息化及安全性問題[J].科學(xué)技術(shù)創(chuàng)新，2016

（作者單位：北京市地鐵運營有限公司）