档案管理数字化中的信息安全风险及其控制

一、档案管理数字化

档案是指对国家和社会具有保存价值的各种文字、图表、声像等不同形式的资料, 档案管理数字化就是把纸质的档案通过扫描、录入等方式将其中的信息储存到计算机数据库中, 实现了同步备份、快速检索、维护方便、储存空间小等功效。档案管理数字化是当今信息化时代的必然要求和最终发展趋势。

档案管理数字化是信息时代档案管理的必然选择。当今时代是信息化高速发展的时代, 档案管理者利用网络计算机将档案从实体档案转化成数字化档案, 储存于计算机网络的数据库之中, 其中, 网络是档案的传输通道, 计算机是档案交互查询的现实终端。档案管理的数字化使得检索快捷方便, 人们可以通过互联网和档案管理机构的服务器进行查询, 弥补了手工查询的巨大不足, 实现了计算机——网络——数据库的快捷链接。传统的档案管理方式, 不仅需要多个管理员同时管理, 而且管理效率低下, 也容易出错, 由此导致管理人员负担重, 如今档案管理数字化的实现, 使得档案的查询和储存方便快捷, 工作效率也大大提高了, 降低了出错率, 可以说, 档案管理数字化构建了信息搜索的“高速公路”。

二、档案管理数字化所面临的信息安全风险

要想实现档案管理的数字化, 就必须使用计算机网络, 而网络是存在风险的, 也就是说, 计算机中的各项档案也是存在风险的, 因为全球互联网就像是一个巨大的局域网, 每一个IP地址都可以对另外的任何一个IP地址进行访问, 这样给信息查询者带来方便的同时, 也带来了负面影响, 比如一些黑客可以利用自己高超的网络技术入侵档案部门的计算机, 将档案信息弄到手, 甚至让计算机瘫痪, 无法工作, 由此很有可能导致档案的泄密;还有一些黑客会篡改档案信息。黑客的这些行为都是通过网络和计算机实现的, 档案管理数字化所面临的信息安全风险是我们必须面对和解决的。而这些漏洞主要是由安全技术和管理两方面的原因造成的。

(一) 安全技术落后。网络技术的发展步伐很快, 新的技术不断在推动计算机和网络的发展, 网络安全问题又在推动安全技术的发展, 可以说, 安全技术是一种在对抗中发展的技术, 因此, 安全技术落后是档案管理数字化面临的信息安全风险的因素之一。

(二) 管理滞后。计算机网络的不断发展, 让社会逐渐成为一种动态的、交互式的社会, 一方面, 安全技术的发展为计算机网络的应用设置了各种限制, 在此过程中, 档案管理就会难以取得高效率。传统的档案管理指的是法规管理和制度管理, 这两种管理在现如今复杂的信息环境中已经不那么适用了, 若过分注重这两种管理, 而不引进新型的管理方法, 势必会给档案管理数字化中的信息带来风险。

黑客入侵计算机的手段涉及了所有的操作系统, 他们可以利用进程窃取计算机中的文件及传输中的数据, 获得用户权限, 进而对计算机系统进行非法访问, 紧接着修改网络、泄露信息等一系列非法行为就易被实施。黑客的入侵可以通过偷取特权、截取口令、寻找系统漏洞、强力闯入、清理磁盘等途径进行, 因此, 要想有效控制档案管理数字化中的信息安全风险就必须弥补这些漏洞。

三、有效控制档案管理数字化中信息安全风险的策略

(一) 建立信息安全保障体系。信息安全保障体系是控制档案管理数字化中信息安全风险的坚实后盾, 信息安全保障体系应包括保护、检测、响应、恢复四个层面。

1.保护。保护层面不仅包括对传统安全概念的继承, 还包括访问控制技术、加解密技术、数字签名技术以及可验证的信息交换过程等方面, 对数据及其网上操作加以保护。信息及其系统的保护是安全保障体系的核心。

2.检测。监测环节包括对系统网络弱点及漏洞的检测、对违规与攻击的检测、对信息平台访问过程的甄别检测以及对信息传输内容的可控性检测。检测过程中还要进行及时有效的安全响应, 重点建立入侵监测和漏洞监测系统。防止黑客通过寻找系统漏洞入侵计算机。

3.响应。信息是复杂的, 要想让信息平台高效运行, 安全保障体系中就要有一个有力的响应机制, 比如在遇到紧急事件时所采取的措施、关闭受到攻击的服务器等等。

4.恢复。恢复指的是在计算机系统受到攻击时, 评估系统受到危害, 按紧急响应预案进行数据和系统恢复, 启动备份系统恢复工作。除此之外还包括灾难生存, 也就是指信息系统在面临灾难的时候, 仍然能够有效发挥效能。

(二) 规范档案信息的发布者、传递者和接收者。信息发布者、传递者和接受者都接触到档案信息, 因此, 规范这三类人员是控制档案管理数字化中信息安全风险的重要一步。首先就是规范档案信息发布者的行为, 档案信息的发布基本上都是由档案管理机构自主发起的, 因此, 单位内部必须规范档案发布工作, 所要发布的档案必须符合一系列的要求。而且, 档案管理工作要一改以往重藏轻用的理念, 替之以开放的理念。涉及个人信息或者单位的档案的发布必须要征得个人或者该单位的同意, 确保隐私权。其次, 要规范档案信息传递者的行为。档案信息传递者要有很强的纪律性、组织性和原则性, 并且要有高度的责任感, 这些都是保障此环节中档案可靠性的关键之处, 档案传递机构一定要选择诚实可靠、了解计算机基本操作的人员担任传递员。最后就是规范档案信息接收者的行为, 档案接收者主要是指那些在网上已经发布的档案信息下载或者利用的个人或组织, 对接受者行为的规范主要体现在尊重知识版权、不非法修改、在法律规范下使用档案内容等上。

(三) 引进先进的防范技术。在档案数字化管理中, 引进先进的防范技术, 采取技术制约, 是进行信息安全风险防控的又一重要影响因素。规范是用来规范那些知法守法懂法的文明用户的, 但是实际上, 社会中总有一些人别有用心, 因此, 引进先进的防范技术, 确保档案信息安全是十分必要的。比如, 可以给档案加密, 加密可以使用以下几种方法:一是加防火墙, 用以抵御外部网络的非法攻击;二是数字签名, 也就是身份确认, 用以排除入侵者的可能性;三是加密钥, 也就是说将档案信息设置成一部分是明文, 另一部分需要密码才能继续阅读。而且这种密钥只能利用特殊的设备在特定的环境下使用, 一般用户即使得到密钥也无法打开档案。

(四) 政策控制和授权控制。要想控制好档案管理数字化中的信息安全风险, 只有单位和档案管理员的参与是远远不够的, 还需要利用国家手段加以制约和控制, 比如政策控制和授权控制。政策控制指的是国家为了防止网上泄密行为的出现, 利用相关政策法规加强计算机网络系统安全的保密管理工作;授权制约指的是国家为了保障信息安全而对网上信息用户权进行限制, 根据用户的需求对各类信息的访问权限进行分层管理。当前, 国家已经出台了许多关于网络信息安全传递的法律法规, 各单位可以根据这些法律法规制定本单位的信息保密制度;授权控制主要把网络用户分成领导层、中层干部层和广大用户层三层用户, 各单位可以根据这种层级划分, 划分出每一层级在一定时期内的绝密信息, 这些信息只有本单位本地区的高层领导才能掌握, 一些网址、密码只限于单位中层以上干部使用, 一些重大成果、通讯、简报等可以在网上公开, 对于一些关键的岗位, 可以实行双人负责制度, 重要业务分配两人或多人共同处理, 以最大限度降低风险。

四、结束语

档案是我国重要的资源, 档案信息化建设是我国档案系统工作中具有战略性的一步, 做好档案数字化管理, 防控信息安全风险, 通过认识、分析风险, 进而去创新方法, 制定对应的解决策略和控制手段, 完善档案的数字化管理, 保证档案信息的安全。

摘要：档案管理的数字化给人类的检索带来了诸多不便, 与此同时由于网络的开放性和复杂性, 也给档案管理工作带来了一定的风险。档案数字化管理, 将档案的实体信息转化成数字化形式的档案信息, 实现了档案的全数字化、信息化操作。本文主要探讨档案管理数字化中的信息安全风险及风险控制策略。

关键词：档案管理,数字化,风险,控制策略

参考文献

[1] 赵淑梅.试析中国电子文件安全管理指导思想的演变[J].档案学通讯, 2015 (02) .

[2] 程安琪.新时期高校档案管理信息安全风险分析[J].黑龙江史志, 2014 (15) .

[3] 冯惠玲, 赵国俊, 刘越男, 安小米, 候卫真, 钱毅, 张宁.电子文件管理国家战略刍议[J].档案学通讯, 2006 (03) .