孔旸

摘 要：隨著大數(shù)據(jù)、信息化時(shí)代的到來(lái)，各行各業(yè)都面臨著深刻的變革，對(duì)檔案工作來(lái)說(shuō)，隨著檔案信息化進(jìn)程的加快，電子檔案因其利用的便捷性得到了迅速的推廣和發(fā)展，但由于電子檔案所依賴(lài)網(wǎng)絡(luò)環(huán)境的開(kāi)放性及不穩(wěn)定性等特點(diǎn)，導(dǎo)致電子檔案管理在安全保密方面面臨著諸多考驗(yàn)?；诖?，筆者深入剖析了當(dāng)前電子檔案安全管理方面存在的問(wèn)題，然后針對(duì)這些問(wèn)題，提出了自己的一些看法與建議。

關(guān)鍵詞：電子檔案、安全管理、信息安全

隨著社會(huì)的發(fā)展、科技的進(jìn)步，大數(shù)據(jù)、信息化時(shí)代已全面來(lái)臨，國(guó)家檔案局在《全國(guó)檔案事業(yè)發(fā)展“十三五”規(guī)劃綱要》中明確提出要加快推進(jìn)檔案管理信息化、檔案安全高效化，可見(jiàn)檔案管理信息化、電子化已成為發(fā)展趨勢(shì)，但是由于網(wǎng)絡(luò)的開(kāi)放性和共享性等特點(diǎn)，使得電子檔案數(shù)據(jù)的安全性、保密性存在一定的隱患。

鑒于檔案保密工作是一項(xiàng)政治性、全局性和戰(zhàn)略性的工作，尤其自2010年10月1日《中華人民共和國(guó)保守國(guó)家秘密法》（以下簡(jiǎn)稱(chēng)：《保密法》）頒布實(shí)施以來(lái)，國(guó)家對(duì)保密的范圍和密級(jí)、保密制度和相關(guān)法律責(zé)任進(jìn)行了明確，檔案部門(mén)與檔案工作者需依照新修訂的《保密法》規(guī)定重新審視檔案工作中的保密工作。因此，在新形勢(shì)下，如何在保守國(guó)家秘密與電子檔案信息資源的合理利用中尋找契合點(diǎn)，同時(shí)認(rèn)真剖析電子檔案安全管理存在的問(wèn)題并探尋切實(shí)可行的預(yù)防措施，對(duì)檔案工作具有重要的現(xiàn)實(shí)意義。

一、電子檔案管理面臨的安全問(wèn)題

隨著大數(shù)據(jù)、信息化的加速發(fā)展，從各業(yè)務(wù)領(lǐng)域直接產(chǎn)生的電子檔案數(shù)量急劇增長(zhǎng)，同時(shí)為減少對(duì)紙質(zhì)檔案的損耗，提高檔案利用工作效率，由紙質(zhì)檔案數(shù)字化形成的電子檔案數(shù)量也在不斷增加，當(dāng)前電子檔案的安全管理問(wèn)題已成為擺在檔案人員面前的一個(gè)普遍性問(wèn)題。

根據(jù)北京市檔案局、北京市密碼管理局《北京市電子文件歸檔與電子檔案管理辦法》規(guī)定，“電子文件，是指機(jī)關(guān)、團(tuán)體、企事業(yè)單位和其他組織在處理公務(wù)過(guò)程中，通過(guò)計(jì)算機(jī)等電子設(shè)備形成、辦理、傳輸和存儲(chǔ)的文字、圖表、圖像、音頻、視頻等不同形式的信息記錄。電子文件歸檔后稱(chēng)電子檔案。”從文件可以看出，由于電子檔案依賴(lài)于網(wǎng)絡(luò)技術(shù)環(huán)境、計(jì)算機(jī)等電子設(shè)備，而由于網(wǎng)絡(luò)結(jié)構(gòu)存在不安全性、網(wǎng)絡(luò)傳輸?shù)囊讛r截性等因素，使得網(wǎng)絡(luò)環(huán)境下電子檔案安全管理存在諸多威脅，具體體現(xiàn)在四大安全領(lǐng)域和八大管理模塊方面（如圖所示）;另一方面，檔案利用者在查閱電子檔案的過(guò)程中，由于自身安全意識(shí)缺失或其他利用目的，電子檔案在利用過(guò)程中面臨著被下載、拍照、復(fù)印、打印的風(fēng)險(xiǎn)，進(jìn)而導(dǎo)致檔案信息存在流失、泄露的安全隱患。

如圖所示，檔案信息在從形成到銷(xiāo)毀的全生命周期過(guò)程中，在數(shù)據(jù)流轉(zhuǎn)的各個(gè)環(huán)節(jié)均存在被篡改和泄露的可能性。另外，各類(lèi)病毒對(duì)計(jì)算機(jī)安全也造成了潛在威脅，進(jìn)而影響到儲(chǔ)存在計(jì)算機(jī)數(shù)據(jù)庫(kù)中的信息安全。在管理層面，電子檔案管理的制度建設(shè)、信息化技術(shù)水平、檔案人員安全意識(shí)等方面仍然存在一些問(wèn)題，主要表現(xiàn)在：

1.電子檔案制度體系建設(shè)滯后。自上世紀(jì)90年代中期開(kāi)始，我國(guó)在信息立法和檔案法規(guī)建設(shè)的基礎(chǔ)上，順應(yīng)檔案信息化的發(fā)展要求，陸續(xù)制定和發(fā)布了針對(duì)檔案信息化建設(shè)的法規(guī)、規(guī)章與標(biāo)準(zhǔn)，如出臺(tái)了國(guó)家標(biāo)準(zhǔn)《CAD電子文件光盤(pán)存儲(chǔ)、歸檔與檔案管理要求》。1999年6月國(guó)家檔案局頒布了第一部檔案信息化規(guī)章《電子文件歸檔與電子檔案管理辦法》，之后又進(jìn)行了幾次修訂。2001年6月頒布了《檔案管理軟件功能要求暫行規(guī)定》，對(duì)國(guó)內(nèi)檔案管理軟件的開(kāi)發(fā)研制和安裝使用進(jìn)行了規(guī)范。2005年國(guó)家檔案局頒布檔案行業(yè)標(biāo)準(zhǔn)《紙質(zhì)檔案數(shù)字化技術(shù)規(guī)范》。2013年，為做好檔案信息系統(tǒng)安全等級(jí)保護(hù)工作，國(guó)家檔案局編制了《檔案信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)工作指南》。2016年，國(guó)家檔案局聯(lián)合國(guó)家發(fā)改委印發(fā)了《建設(shè)項(xiàng)目電子文件歸檔和電子檔案管理暫行辦法》，這些標(biāo)準(zhǔn)和文件的制定和實(shí)施，從制度層面保障了檔案信息的安全。但是，隨著檔案信息化的快速發(fā)展，在電子檔案實(shí)際管理工作中，會(huì)出現(xiàn)各種各樣的安全問(wèn)題，而已有的法規(guī)、標(biāo)準(zhǔn)是指導(dǎo)性的，并不能覆蓋所有的問(wèn)題及對(duì)策。例如：電子檔案在形成、流轉(zhuǎn)過(guò)程中如何進(jìn)行跟蹤、檢查和評(píng)估等問(wèn)題目前只能在實(shí)踐中不斷摸索，缺少相應(yīng)明確、具體的制度條文規(guī)定和法律約束。

2.檔案信息化建設(shè)水平滯后。當(dāng)前，我國(guó)各級(jí)檔案部門(mén)信息化進(jìn)程不統(tǒng)一，大部分檔案系統(tǒng)為單機(jī)版，缺乏統(tǒng)一標(biāo)準(zhǔn)，沒(méi)有實(shí)現(xiàn)檔案信息資源共享和整合，低水平重復(fù)建設(shè)的情況十分嚴(yán)重，沒(méi)有真正實(shí)現(xiàn)有效利用信息技術(shù)提高檔案管理效率，而且檔案數(shù)據(jù)信息控制不規(guī)范，導(dǎo)致檔案數(shù)據(jù)信息安全存在嚴(yán)重隱患，由于檔案信息安全技術(shù)一般是在出現(xiàn)安全問(wèn)題后才不斷改進(jìn)和發(fā)展的，可見(jiàn)信息技術(shù)的發(fā)展存在滯后性。

3.檔案信息安全管理滯后。此問(wèn)題具體體現(xiàn)在以下方面：

（1）缺乏信息安全意識(shí)

目前，很多單位對(duì)檔案工作人員開(kāi)展專(zhuān)業(yè)的網(wǎng)絡(luò)信息安全培訓(xùn)不到位，網(wǎng)絡(luò)管理員、檔案工作人員缺乏安全管理意識(shí)，致使檔案信息安全管理不到位，不規(guī)范。另外，檔案利用者也普遍缺乏檔案信息安全保密意識(shí)，由于利用者的廣泛性和不確定性，很難開(kāi)展統(tǒng)一的培訓(xùn)和教育，一般只能通過(guò)加強(qiáng)管理進(jìn)行約束和防范。

（2）信息安全管理標(biāo)準(zhǔn)欠缺

由于檔案管理系統(tǒng)建設(shè)的多樣性，在檔案信息安全管理方面缺乏一套公認(rèn)的、通用的、可操作性強(qiáng)的標(biāo)準(zhǔn)體系，尤其是針對(duì)檔案元數(shù)據(jù)、信息安全、存儲(chǔ)格式和數(shù)據(jù)交換等方面的電子檔案標(biāo)準(zhǔn)規(guī)范。

（3）缺乏系統(tǒng)管理思想

很多單位在開(kāi)展檔案信息化建設(shè)時(shí)，沒(méi)有采取系統(tǒng)化的安全管理思想對(duì)電子檔案進(jìn)行管理。系統(tǒng)化的安全管理思想包括安全管理方法、安全管理制度、安全技術(shù)體系、檔案信息系統(tǒng)安全維護(hù)體系等。

（4）檔案管理工作人員意識(shí)不強(qiáng)且專(zhuān)業(yè)度有限

檔案管理人員如果無(wú)法認(rèn)識(shí)到檔案保密管理的重要性，勢(shì)必會(huì)導(dǎo)致檔案管理行為失范。僅就檔案保密管理所需的技能而言，在信息化技術(shù)的影響下檔案管理人員需要具備必要的檔案保密管理知識(shí)、計(jì)算機(jī)操作技能、檔案保密專(zhuān)業(yè)管理技能、法律法規(guī)知識(shí)等，然而現(xiàn)階段，由于檔案人員的綜合素質(zhì)參差不齊，部分人員檔案信息安全意識(shí)淡薄，或者雖然有安全保護(hù)意識(shí)，但心有余而力不足，沒(méi)有采取科學(xué)的安全防護(hù)技術(shù)，加之信息化時(shí)代的沖擊，對(duì)保密管理、檔案保密管理法律法規(guī)認(rèn)知的不足，在企業(yè)或者部門(mén)節(jié)約保密管理經(jīng)費(fèi)的影響下，很容易出現(xiàn)檔案保密管理存在各類(lèi)安全隱患的問(wèn)題。

二、電子檔案安全管理措施建議

為有效加強(qiáng)電子檔案安全管理，建議從技術(shù)和管理兩方面采取措施：

1.技術(shù)層面嚴(yán)防死守。電子檔案的安全管控主要應(yīng)從檔案庫(kù)房基礎(chǔ)設(shè)施建設(shè)和檔案信息化安全管控兩個(gè)方面著手：

（1）基礎(chǔ)設(shè)施建設(shè)方面

隨著數(shù)字檔案室建設(shè)進(jìn)程的加快，檔案信息管理系統(tǒng)往往和智能庫(kù)房建設(shè)結(jié)合起來(lái)進(jìn)行，因此加強(qiáng)對(duì)傳統(tǒng)檔案庫(kù)房的安全管理也是電子檔案安全管理的一個(gè)重要方面。檔案庫(kù)房是檔案保管的重地，根據(jù)《檔案館建設(shè)標(biāo)準(zhǔn)》、《檔案館建筑設(shè)計(jì)規(guī)范》規(guī)范檔案庫(kù)房建設(shè)，按標(biāo)準(zhǔn)配齊安全監(jiān)控設(shè)備、門(mén)禁系統(tǒng)和自動(dòng)報(bào)警系統(tǒng)等，使檔案人員隨時(shí)監(jiān)測(cè)庫(kù)房安全，確保技防措施到位。

除了硬件設(shè)施方面，建立完善科學(xué)規(guī)范的檔案管理系統(tǒng)也是同樣要抓的重要工作。首先，要保障對(duì)檔案信息化建設(shè)的資金投入，在系統(tǒng)建設(shè)時(shí)落實(shí)檔案管理要求和利用者需求，在進(jìn)行系統(tǒng)規(guī)劃建設(shè)時(shí)，落實(shí)相關(guān)的制度流程，在確保數(shù)據(jù)安全的前提下，盡可能簡(jiǎn)化審批操作流程，提高檔案工作效率。在系統(tǒng)規(guī)劃和技術(shù)應(yīng)用時(shí)，充分考慮安全保密問(wèn)題，在操作權(quán)限設(shè)置、工作流程配置各方面綜合考慮設(shè)計(jì)，避免后續(xù)使用中出現(xiàn)各種安全性問(wèn)題。

（2）檔案信息化安全管控方面

一是應(yīng)加強(qiáng)對(duì)檔案信息系統(tǒng)操作權(quán)限和工作流程的設(shè)置。針對(duì)不同管理層級(jí)的用戶(hù)分門(mén)別類(lèi)設(shè)置不同的操作權(quán)限，并通過(guò)檔案借閱流程、檔案移交流程等流程設(shè)置實(shí)現(xiàn)對(duì)電子檔案管理流程和權(quán)限的劃分。例如，根據(jù)管理權(quán)限的不同，分別針對(duì)專(zhuān)職檔案人員、各部門(mén)兼職檔案人員、普通用戶(hù)設(shè)置不同的操作權(quán)限。專(zhuān)職檔案人員享有最高權(quán)限，可對(duì)所管理的全部檔案進(jìn)行查看、錄入、統(tǒng)計(jì)、移交等操作;各部門(mén)兼職檔案人員可對(duì)本部門(mén)產(chǎn)生的檔案進(jìn)行查看、錄入等操作;普通用戶(hù)通過(guò)履行借閱審批流程實(shí)現(xiàn)對(duì)檔案的利用。二是可通過(guò)采取一些檔案信息安全技術(shù)確保檔案信息安全，包括：物理信息安全技術(shù)、系統(tǒng)安全技術(shù)、網(wǎng)絡(luò)安全技術(shù)、用戶(hù)安全技術(shù)等，同時(shí)隨著信息技術(shù)的發(fā)展，應(yīng)不斷對(duì)安全技術(shù)進(jìn)行更新、升級(jí)，以適應(yīng)日新月異的檔案信息化發(fā)展要求。例如，對(duì)涉密檔案采取必要的加密措施，對(duì)源文件進(jìn)行加密處理，使檔案原文成為不可直接讀取的代碼。當(dāng)利用者訪問(wèn)這些經(jīng)過(guò)加密處理的文件時(shí)，必須輸入正確的密鑰，確保數(shù)字化檔案信息資源的安全。

三是為確保電子檔案數(shù)據(jù)丟失后能第一時(shí)間恢復(fù)和補(bǔ)救，在進(jìn)行檔案信息化建設(shè)時(shí)一定要將數(shù)據(jù)備份進(jìn)行統(tǒng)籌考慮，定期做好數(shù)據(jù)在線(xiàn)與脫機(jī)模式下的雙重檢驗(yàn)，注意異質(zhì)異地備份，確保檔案信息安全。由于互聯(lián)網(wǎng)環(huán)境下電子檔案信息安全存在較大隱患，任何用戶(hù)的疏忽、黑客攻擊或病毒入侵，都會(huì)造成信息數(shù)據(jù)的丟失與失真，因此必須構(gòu)建起完善的電子檔案數(shù)據(jù)備份系統(tǒng)以及相應(yīng)的恢復(fù)系統(tǒng)，以確保在出現(xiàn)信息被惡意篡改或錯(cuò)誤操作導(dǎo)致的數(shù)據(jù)丟失，考慮到電子檔案歸檔的即時(shí)性以及存儲(chǔ)介質(zhì)的安全可靠性，建議一方面要對(duì)系統(tǒng)數(shù)據(jù)進(jìn)行即時(shí)備份，另一方面通過(guò)采取磁帶或硬盤(pán)備份等方式對(duì)數(shù)據(jù)進(jìn)行固定備份，這種雙重備份方式可減少系統(tǒng)自身備份的不穩(wěn)定性，增強(qiáng)數(shù)據(jù)備份的可靠性。

四是確保檔案管理系統(tǒng)能夠長(zhǎng)久應(yīng)對(duì)海量數(shù)據(jù)的安全遷移、導(dǎo)入。在進(jìn)行檔案信息化建設(shè)時(shí)，一個(gè)基礎(chǔ)性工作就是將一個(gè)組織內(nèi)部不同成員單位之間原有檔案管理系統(tǒng)中的檔案數(shù)據(jù)統(tǒng)一遷移至新系統(tǒng)中，在遷移過(guò)程中，技術(shù)人員需要給遷移的數(shù)據(jù)分配一個(gè)新的存儲(chǔ)單元路徑，系統(tǒng)自動(dòng)在定義的遷移路徑下建立指定檔案的副本，為保證遷移數(shù)據(jù)的準(zhǔn)確和完整，復(fù)制完成后，系統(tǒng)自動(dòng)對(duì)遷移數(shù)據(jù)進(jìn)行校驗(yàn)，確保遷移數(shù)據(jù)與原始數(shù)據(jù)完全一致。

2.制度層面提供保障。建立全面的、有效的法律標(biāo)準(zhǔn)體系規(guī)范電子檔案安全管理是必要的。一是國(guó)家層面的，《中華人民共和國(guó)檔案法》是我國(guó)檔案管理的基本大法，但是關(guān)于檔案信息安全方面的條款卻很少，很難滿(mǎn)足實(shí)際工作的需要，建議進(jìn)一步細(xì)化和完善。二是地方性法規(guī)、標(biāo)準(zhǔn)對(duì)于檔案信息安全方面的規(guī)定需要進(jìn)一步完善。三是企業(yè)、事業(yè)單位等需要結(jié)合本單位實(shí)際建立健全檔案安全管理方面的規(guī)章制度，強(qiáng)化落實(shí)力度，要責(zé)任到人，落實(shí)到崗，并監(jiān)督執(zhí)行。

考慮到電子檔案管理的安全性問(wèn)題，目前絕大多數(shù)檔案部門(mén)依舊采取紙質(zhì)檔案與電子檔案雙介質(zhì)并存方式，以滿(mǎn)足檔案信息安全保管和及時(shí)應(yīng)用等管理要求，處理好檔案利用與保密的關(guān)系。雙介質(zhì)管理的基本要求是：提高紙質(zhì)檔案數(shù)字化效率，實(shí)現(xiàn)紙質(zhì)檔案與電子檔案的一體化管理，同時(shí)簡(jiǎn)化兩者管理的各項(xiàng)流程，解決檢索慢、審批程序復(fù)雜等問(wèn)題。在這個(gè)過(guò)程中，為加強(qiáng)電子檔案安全管理，建議按照《建設(shè)項(xiàng)目電子文件歸檔和電子檔案管理暫行辦法》規(guī)定，在檔案信息化建設(shè)過(guò)程中同步建立完善電子檔案管理的相關(guān)標(biāo)準(zhǔn)、制度，建立結(jié)構(gòu)合理、數(shù)據(jù)完整的檔案信息資源數(shù)據(jù)庫(kù)，保障電子檔案管理的規(guī)范化、科學(xué)化。同時(shí)，結(jié)合大數(shù)據(jù)、信息化有關(guān)信息公開(kāi)的發(fā)展形勢(shì)要求，區(qū)分涉密檔案和非涉密檔案保密管理的不同要求，完善相關(guān)制度，在確保涉密檔案信息安全的前提下，促進(jìn)電子檔案的開(kāi)放、共享，發(fā)揮電子檔案利用便捷的優(yōu)勢(shì)，更好的服務(wù)于社會(huì)生產(chǎn)生活需要。

3.重點(diǎn)環(huán)節(jié)加強(qiáng)管控。對(duì)電子檔案的安全管理應(yīng)重點(diǎn)針對(duì)容易泄密的重點(diǎn)環(huán)節(jié)：檔案數(shù)據(jù)導(dǎo)入和利用環(huán)節(jié)。因此，規(guī)范電子檔案安全管理的重點(diǎn)：一是加強(qiáng)前端控制，在電子檔案的收集、數(shù)據(jù)導(dǎo)入過(guò)程中要做到齊全、完整，不丟失、不損壞。涉及到保密的，要進(jìn)行加密處理，嚴(yán)防信息泄露。二是加強(qiáng)過(guò)程控制，對(duì)電子檔案的查看、下載設(shè)置嚴(yán)格的操作權(quán)限，通過(guò)生成鏈接或二維碼方式，對(duì)下載或打印的電子檔案添加利用者信息（包括利用者的所在單位、部門(mén)、姓名、手機(jī)號(hào)及企業(yè)LOGO標(biāo)識(shí)），當(dāng)發(fā)生檔案信息泄露時(shí)，能夠快速定位追溯問(wèn)題源，以避免電子檔案信息泄露，在提升檔案服務(wù)水平的同時(shí)，處理好利用與保密的關(guān)系。

4.意識(shí)層面加強(qiáng)宣貫。檔案信息化工作的開(kāi)展有賴(lài)于檔案管理部門(mén)擁有一批具備相關(guān)信息化技術(shù)應(yīng)用能力的人才隊(duì)伍。具體而言，檔案管理人員在具備扎實(shí)的檔案管理理論知識(shí)和業(yè)務(wù)能力的同時(shí)，還必須具備相關(guān)的信息化技術(shù)操作技能。

總之，在電子檔案管理過(guò)程中，必然會(huì)存在一系列的問(wèn)題與隱患，不僅影響電子檔案信息的真實(shí)性與完整性，而且還會(huì)造成檔案信息的外泄，威脅企業(yè)、單位，甚至是國(guó)家的信息安全。因此，建議檔案行政管理部門(mén)及企事業(yè)單位增強(qiáng)對(duì)電子檔案信息安全的重視，制定切實(shí)有效的規(guī)范、標(biāo)準(zhǔn)、制度，加強(qiáng)對(duì)電子檔案信息安全保護(hù)技術(shù)的研究和應(yīng)用、推廣，檔案管理人員也要加強(qiáng)自我學(xué)習(xí)，增強(qiáng)安全意識(shí)，結(jié)合實(shí)踐工作經(jīng)驗(yàn)，勇于探索創(chuàng)新，及時(shí)發(fā)現(xiàn)并處理好潛在隱患，確保電子檔案信息的絕對(duì)安全。

參考文獻(xiàn)：

[1]張艷輝.淺談檔案的信息化及安全性問(wèn)題[J].科學(xué)技術(shù)創(chuàng)新，2016

（作者單位：北京市地鐵運(yùn)營(yíng)有限公司）