档案信息化建设的安全问题及对策分析

档案信息化建设的安全问题及对策分析摘要：档案信息化建设已为大势所趋，安全问题的解决刻不容缓。文章主要沿着数字化档案从生成到提供利用全过程的主线展开阐述，从数字化档案的载体到网上传播利用，从思想认识问题到技术问题，全方位揭示了档案信息的安全隐患，并且针对性地给出了相关解决措施，希望能为档案信息化建设的安全问题提供一些解决途径。关键字：档案信息化建设安全档案数字化随着现代信息技术飞速发展，各行各业都积极推进信息化建设，档案信息化建设也自然成为了大势所趋。实践证明档案信息化建设有着巨大的发展潜力，与传统的档案利用与工作方式相比，档案信息化有利于实现档案信息资源跨越时间与空间的限制，通过网络传输与共享机制，更快更广泛地为公众所用，最大限度地实现自身价值，转变档案人员的角色扮演，档案人员不再是单纯的保管者，档案工作由边缘走向中心。近些年来，档案信息化建设在我国取得了一些显著成果。一些省市和高校都建立了数字档案馆，一些企业和政府的档案部门也积极建造自己的网站，通过网站发布一些档案信息，有效地发展了档案部门的工作。于此同时，档案信息化建设中也存在一些问题，影响了档案信息化建设的质量与进程，其中安全问题不容忽视，电子文件本身的特殊性以及信息技术与网络发展的弊端，加之各种人为因素，极大地阻碍与影响信息档案的保管与利用。正确认识档案信息化安全问题，并采取积极措施消除安全隐患是档案信息化得以顺利进行的保证。一、档案信息化的安全问题（一）数字化档案信息的真实性、可靠性、可用性受到威胁。电子文件的真实性与可靠性受到威胁。电子文件信息主要以光盘、磁盘为载体，导致电子文件容易被更改且更改以后不留痕迹，电子文件容易被复制，且复制以后分不清楚原件与复制件。因此电子文件的法律效力也受到了质疑，并且目前国家对电子文件是否可以作为法律证据、什么情况下可以作为法律证据没有明确的法律规定，一旦需要档案的凭证作用，又不得不依赖纸质档案，无形中使得数字化档案的价值“缩水”。数字化档案信息在保存与传输过程中可用性受到威胁。首先传统档案主要以纸张为载体，保存时间远远比光盘、磁盘长，因此，光盘、磁盘每隔几年就要更换新的载体，否则信息将不可读；其次光盘、磁盘容易受到各种外界磁干扰，不注意保管就会消磁，使其记载的信息消失；最后网络是一个开放式的系统,计算机系统和网络技术的缺陷和漏洞很多,正是由于这些漏洞的存在,黑客就很轻易地通过网络非法入侵档案机构的网站和信息系统,造成系统和数据的破坏和泄露。据统计,在档案信息传输过程中,现在的安全问题多数是PC机结构和操作系统不安全引起的,在windows平台上利用windows系统的漏洞的攻击占70%。目前,由于信息安全技术的发展落后于信息应用技术的发展,操作系统、计算机网络系统和数据库管理系统的建设和安全标准不统一,存在很多漏洞,维护安全和提高效率这两方面存在矛盾。而且,我国的信息化设备及相关技术严重依赖进口,信息安全技术相对发展落后,使档案信息系统存在严重的安全隐患。[1]（二）病毒、黑客对档案信息安全造成威胁。档案信息化建设的主要途径之一是兴建档案网站，企业以及政府部门通过档案网站发布档案信息，开展档案信息建设工作，但是网络的开放性也对档案信息的安全性构成严重威胁。木马程序是主要的威胁之一，不法分子通过木马程序非法侵入档案网站进行篡改档案信息、获取档案信息，严重的可能会销毁数据资料，对档案网站造成毁灭性的打击；另一方面，黑客还会利用漏洞侵入网站，获取管理权限，这种攻击主要分为两种，一种是主动攻击，他会通过各种手段对传送的信息进行篡改、删除，破坏档案信息的完整性与可用性；另一种是被动攻击，就是在不影响系统正常运行的情况下，对传送的信息进行监听、窃取。这些都会对档案信息安全造成严重威胁，影响档案信息系统的正常运行，对人民和国家的利益造成危害。（三）档案工作人员自身的问题影响档案信息的安全。档案人员的安全意识薄弱影响档案信息的安全。在传统档案馆服务模式的影响下，档案工作人员面对信息时代的档案工作呈现出了滞后的状态。首先是知识结构的滞后，传统档案馆、室工作的档案人员将自己的角色定为单纯的保管者，档案载体多为纸张，是实实在在的保存在档案馆中的，因此保障档案的安全仅仅要求保护好这些档案馆中的东西。然而档案信息化建设中，档案信息的安全大为扩展，保障档案信息的安全，不仅仅要求保护好档案实体。反之，档案信息被赋予了新的载体，要求档案人员要熟悉新载体的物理性能；档案信息的传输介质更加开放，要求档案人员掌握基本的网络安全策略。安全知识的欠缺，导致在档案工作中经常出现档案信息无法读出、网站遭到病毒、木马程序的破坏等等情况。内部管理制度影响档案信息的安全。管理是档案信息化安全工作中最重要的部分。责权不明，安全管理制度不健全及缺乏可操作性等都可能引起管理安全的风险。当网络出现攻击行为或网络受到其他一些安全威胁时，无法进行实时的检测、监控、报告与预警。同时，当事故发生后，也无法提供黑客攻击行为的追踪线索及破案依据，即缺乏对网络的可控性与可审查性。[2]网络的开放性使得档案系统受到攻击的时间与位置成了未知数，没有一个完善的应急预案，发生危机事件以后会陷入被动局面，束手无策，损失亦不可估量。档案工作人员责任心不强影响档案信息的安全。档案工作由于其本身的性质，虽然关乎社会生活的方方面面，但是在大多数人员看来枯燥无味，面对档案工作没有激情，得过且过，不能尽心尽力地做好自己的本职工作。在实际工作中表现为：管理制度不落实，有些虽然设置了完善的管理制度，但是由于档案人员的忽视，导致形同虚设。在日常工作中常常是检查不到位,人员不落实，处理不及时，会上强调多，会后督促少，普遍号召多，具体研究少，结果是解决不了问题，档案安全管理也就没有制度约束；[3]本职工作不尽心，许多档案馆室的工作人员为了省心、省力，许多档案信息的数字化工作都不是自己亲自完成，而是请外部人员代劳，而外部聘请的人员又素质参差不齐，有些甚至仅仅懂得打字录入而已，对档案工作的重要性一无所知，自然档案信息的数字化工作质量得不到保证，许多低级错误在所难免，甚至信息遭到故意泄露篡改，直接影响了档案信息的安全以及提供利用。（四）技术问题也同样影响档案信息的安全。档案信息系统遭到人为破坏，主要是不法分子利用系统漏洞，传播木马程序，非法获取管理权限，破坏档案信息。一方面，国家立法部门关于此类犯罪事件的法律不完善，许多数据规范、标准化问题尚未解决，各个部门各行其是，采用的软硬件设施不一，发现安全问题也无法共享。各个部门采用的安全策略也不统一，有些部门采用了防火墙，安装了反病毒软件，利用数据加密、身份认证等多重措施保证档案信息安全，而有些部门出于技术与资金的限制，仅仅采用了单一的安全策略。另一方面由于国内相关技术发展落后，因此，国内信息化技术严重依赖国外，从硬件到软件都不同程度地受制于人。国外厂商的操作系统、数据库、中间件、办公文字处理软件、浏览器等基础性软件都大量地部署在档案信息系统中，但是这些软件或多或少存在一些安全漏洞，使得恶意攻击者有机可乘。当前档案系统正在使用的计算机操作系统和档案软件也不可能是百分之百的无缺陷和无漏洞，然而这些漏洞的缺陷恰恰是黑客进行攻击的首选目标，另外，软件的“后门”都是软件公司设计编程人员为了自己方便而设置的，一般不为外人所知，但一旦“后门”洞开，其后果将不堪设想。[4]二、档案信息化的安全策略（一）制定完善的保管与使用制度，保证数字化档案信息的真实性、可靠性、可用性。对于使用新型载体的档案，应该保存在适当的条件中，每隔固定的时间必须按时更换载体，保证使用载体与硬件设施的兼容性；将保存副本常规化，形成一项制度，将副本保存在脱机载体上或者实现异地保管，以备在档案受到损坏或者真实性受到质疑时，副本可以进行佐证；安装最新版本的杀毒软件，及时更新病毒库，扫描系统漏洞，发现漏洞应该及时修复，避免不法分子有机可乘；采用多层防护体系，保证掌握档案信息系统的管理权限，以防未授权用户非法获取篡改档案信息。（二）管理与技术双管齐下，解决病毒侵扰。对于电脑病毒，一方面从管理上预防病毒，要重视制定措施、法规，加强职业道德教育，不得传播，更不能制造病毒，此外还需要采取一系列专门措施：1、专机专用，只负责保管等功能的计算机，严禁连接外网。2、对于需要共享的档案信息，应该符合相关规定。3、档案系统管理部门严禁无关人员进入。4、定时进行系统扫描，确认安全才可以使用。5、使用网络资源时，应该确保其安全后，方可使用。另一方面，从技术上预防有硬件保护和软件预防两种方法。硬件保护既安全硬盘保护长，它既能监视RAM中的常驻程序，又能组织对外存储器的异常写操作，这样就能达到预防计算机病毒的目的;软件预防方法是使用计算机病毒疫苗。它能够监视系统的运行，当发现某些病毒入侵时可防止病毒入侵，当发现非法操作时及时警告用户或直接拒绝这种操作，使病毒无法传播。一旦感染的病毒，用反病毒软件消除病毒是一种较好的方法，一定要定期进行反病毒软件查杀病毒，并要及时对反病毒软件进行升级，保证软件的良好杀毒性能。[5]（三）提高档案工作人员素质，强化安全管理制度。首先强化档案工作人员的安全意识。保障档案信息的安全,人是第一要素。来自内部的安全威胁并不亚于来自外部的威胁,特别是档案信息建设与管理人员的流动带来的安全隐患。据报道,信息资源的安全威胁80%来自内部。因此在档案信息化建设过程中应经常对内部工作人员进行政治思想教育和保密教育,进行安全业务培训,增强他们的档案信息安全意识和责任心,使其意识到保障档案信息安全人人有责。[6]只有内部工作人员做好安全防范工作，外部才难以找到漏洞，没有可乘之隙。其次制定完善的管理制度。及时积累电子档案文件，当形成电子档案文件后，要及时地予以积累，避免因管理松散而导致的信息被改动。对于在办公过程中形成的具有公文性质的文件，一旦签发就禁止任意加以改动，如果确有必要进行改动的，需要经过严格的审批；在文件收集积累过程中出现的所有改动都要详细记录，并对所收集积累的文件进行备份；[7]对采用新型载体的档案应该严格按照规定保管在合适的产所，并且尽量采用保管时间较久的载体，定时更换载体，保证载体上信息的可读性；实行备份制度，每份文件形成以后，对外公布一份，本机关保存一份，异地保存一份；完善信息档案的整理制度，对需要数字化的档案信息，可以立即录入的应该即刻录入，不要堆积太多，以至于由于赶进度而导致工作质量下降。（四）采取有效的技术手段，构建档案信息的安全防护体系。现在普遍采用的有防火墙技术，即在档案部门的内网与外网之间设置保护屏障，确保内部的信息不会泄露出去，同时外部人员不能够非法获取内部信息，这是最基本最普遍的保护手段；此外还有一些安全保密技术，如加密技术、数字证书、数字签名等。另一方面，各个部门之间应该统一标准，共同构建安全体系，降低安全风险，节约成本。档案信息化建设安全面临着诸多问题，除了以上提到的还有法律法规、公众认识等问题，解决好安全问题，才能保证档案信息化建设高速高效地发展，但是安全问题不仅仅需要档案部门采取措施，同样社会公众也应该加强思想道德修养，更新观念，国家应该加强立法。只有社会各界共同努力，为档案信息化建设保驾护航，才能使信息化建设成果更好地为社会各界服务。参考文献[1]王晓梅.档案信息化安全问题研究[J].新疆地方志,2009(1)[2]谢建云.档案信息化建设中安全工作思考[J].兰台世界,2011(2)[3]刘有平,李钢.档案信息化安全的人为因素及其对策[J].湖北档案,2012(7)[4]何桂英.档案信息化的安全隐患及其对策分析[J].电脑与电信,2010(5)[5]杜波.对档案信息化建设中的安全问题的思考[J].山东商业职业技术学院学报,2011(6)[6]王晓梅.档案信息化安全问题研究[J].新疆地方志,2009(1)[7]张建峰.档案信息化管理安全问题探析[J].黑龙江档案,2011(6)