論電子檔案的信息安全管理

民航機場規劃設計研究總院有限公司 董秀麗/文

檔案利用是檔案作用和價值的最終體現。隨著網絡信息技術的飛速發展，檔案信息化、數據化和檔案利用的網絡化已經成為檔案事業發展的必然趨勢。但網絡是把“雙刃劍”，由于其自身的開放性和共享性，給電子檔案的信息安全帶來了嚴重的威脅。隨著檔案信息化建設進程的不斷加快，網絡環境下，電子檔案利用的信息安全保障是一個無法回避的現實問題，因此，認真研究電子檔案開放利用過程中信息安全保障問題具有重要的理論價值和迫切的現實意義。

電子檔案信息安全面臨的主要威脅和存在的問題

（一）電子檔案信息安全面臨多個網絡層次威脅

電子檔案信息安全主要包括三個方面：一是檔案信息內容的原始真實性；二是檔案信息內容不被篡改和泄露，即完整性和保密性；三是檔案信息的長期有效性。由于數字檔案信息自身的特點以及它對技術的依賴性，使其安全極容易受到來自外界的威脅。所以，自從數字檔案信息出現以后，其安全問題一直是這一領域的焦點問題；在網絡（internet局域網無線網絡）環境下，由于網絡結構的不安全性、網絡協議的脆弱性、網絡傳輸的易攔截性和人為的疏忽，在網絡結構的各個層次都存在安全隱患。

（二）電子檔案信息安全保障存在多方面問題

早在1996年國家檔案局就成立了電子文件歸檔與電子檔案管理研究領導小組，開展電子文檔管理方法、技術、標注和構建管理體系等方面的研究，經過二十幾年的發展，在電子文檔歸檔和電子檔案管理辦法等方面已經取得了一定的進展，但在網絡化建設、法制建設、安全管理等方面仍存在嚴重的滯后性，特別是在電子檔案信息安全保障體系構建方面，還存在著明顯的不足。

電子檔案信息安全保障需要多策并舉

（一）應在基礎環境建設上著力，奠定電子檔案信息安全保障基石。

基礎環境建設包括基礎設施建設、硬件環境和人為環境建設?；A設施和硬件環境建設主要是為了保護檔案信息的實體安全，包括網絡基礎設施、計算機、存儲設備以及其他媒體免遭地震、水災、火災和其他環境事故的破壞，檔案數據的異地備份是有效的措施之一。而人為環境建設主要是加強檔案管理人員的安全意識、保密意識和責任意識，落實制度、積極防御，從思想上充分認識到電子檔案信息安全保障的極端重要性。同時，人為環境建設還包括社會公眾檔案意識的培養，以及檔案利用者信息化素養的提高，杜絕因為人為的疏忽、大意造成檔案信息的泄露、丟失或損壞，從而奠定電子檔案信息安全保障基石。

（二）在網絡系統建設上加力，鑄造電子檔案信息安全保障。

網絡系統建設主要包括：（1）通過各種網絡安全技術預防檔案信息安全危害；（2）通過軟件安全評估審計與網絡監測預警機制應對檔案信息安全威脅；（3）通過信息備份與恢復，補救已成事實的災難。

網絡安全技術涉及的內容非常廣泛，從廣義上講主要包括：主機數據庫安全技術、路由安全技術、身份認證技術、訪問控制技術、密碼技術、防火墻技術、安全管理技術、系統漏洞檢測技術、病毒查殺技術、黑客入侵檢測技術等。通過多種網絡安全技術手段的綜合應用，開發具有自主知識產權的系統軟件和網絡關鍵設備，就可以大大降低網絡對電子檔案信息安全帶來的危害。

信息備份與恢復，主要是對已丟失或失真的電子檔案信息進行補救。因為，網絡條件下的檔案信息安全工作存在滯后性，任何一個網絡都不能確保萬無一失，由于人為的疏忽和網絡攻擊致使檔案信息丟失和失真的現象隨時可能發生，因此，需要建立信息備份與恢復系統，這樣才能保證一旦信息丟失或失真，系統也能夠做到有備無患，從而保證檔案信息的完整性。

（三）應在信息標準建設上增力，鍛造電子檔案信息安全保障準繩。

檔案信息標準化建設，主要包括檔案信息法制標準、管理標準、技術標準三個方面。

檔案信息法制標準，主要體現在檔案立法的專門性和內部安全制度的針對性上。國家和地方機構的立法應覆蓋檔案信息行為的各個環節，針對網絡環境下大多信息安全面臨的威脅，制定具體、詳細的建設標準，從法律上約束檔案信息行為，而內部安全制度的制定，應針對不同的工作模式和場景，制定不同的制度標準，細化到一人、一崗、一機的規范上，從而提高檔案信息安全的規范性、可操作性以及檔案信息安全標準的通用性。

檔案信息管理標準，主要包括機構建設和管理機制建設。建立權威的檔案信息安全管理機構能夠從戰略層面統管本機構檔案信息安全工作。

檔案信息技術標準，主要包括電子檔案采集和鑒定標準、數據格式標準、計算機硬件標準、開發軟件標準、網絡信息發布、傳輸標準、電子數據長期保存標準、網絡工程及網絡行為的標準化等。

（四）在人才、資金等多方支持下，打造電子檔案信息安全保障品牌。

網絡環境下電子檔案的信息安全保障需要大量的人力、物力和財力的投入。電子檔案信息安全的人才隊伍應由計算機信息技術、自動化技術、網絡技術、管理技術等方面的人才構成。所以，人才培養的目標，是培養既通曉相關的信息安全法規制度，又有豐富實踐經驗的信息安全管理人才；培養既能熟練使用各種網絡安全設備和設施，又能解決網絡安全具體問題的技術人才。

在人才引進、培養、提高和檔案信息安全保障體系的建設中，需要大量的資金投入，以保證各項工作的順利開展。同時，在電子檔案信息的開發、存儲、傳輸、利用各個環節中都需要社會相關單位和個人的配合與幫助，通過檔案工作者、利用者、組織者等各方努力，查找各種管理和技術漏洞、防止各種疏忽和病毒攻擊、加大人才培養和資金投入力度、完善法律法規和基礎設施建設，從根本上保證電子檔案事業又好又快地發展。

（五）完善檔案信息安全法規建設，強化法制保障。

檔案信息安全保障是檔案信息安全保障體系建設的重要方面。我國《檔案法》及其實施辦法的實行，有力推動了檔案信息安全保障工作。

檔案信息安全法制基本原則是適用于我國社會主義市場經濟條件下，按照社會主義市場經濟規律調整檔案社會關系，檔案信息安全立法、檔案信息安全執法等活動中的基本準則。在檔案信息安全法制建設中，要遵循民主參與原則、公正平等原則、獎勵懲罰原則、安全保護原則、全面協調原則和創新發展原則。

檔案信息安全保障法規對于規范檔案信息主體的活動、協調和解決各種矛盾、保障檔案信息資源的安全等有重要作用，具有保護檔案信息客體、具有知識性和財產性，體現高新技術和法規規范淵源的廣泛性的特征。我國檔案信息安全立法層次為國家法律、行政法規、地方性法規、規章和規范性文件五個層次。按照不同的標準，檔案信息安全保障法規體系框架由不同的部分構成。在法規制度中，注意規范和可操作性、系統性和兼容性、管理與發展并重、重點突出穩步推進等方面，要注意吸收和借鑒國內外信息安全法規建設經驗，及時清理和修訂現有法規規章，適時制定檔案信息安全保障法等新法規。

以往檔案違法行為直觀，容易察覺，手段和方法比較簡單。但在信息時代，檔案信息違法、犯罪行為不僅具有常規的違法行為的特點，還呈現出人員的智能性、方法的隱蔽性、手段的多樣性、后果的嚴重性和行為的復雜性等許多新的特點。為此，檔案部門應根據新時期的檔案違法行為的新特點，不斷進行新的研究和探索，在建立全面有效的、結構嚴謹的檔案信息安全法規體系的基礎上，還要加大檔案行政執法力度。

首先，進一步加強檔案行政執法主體建設，切實貫徹落實國務院《關于全面推進依法行政的決定》、《全面推進依法行政實施綱要》和《關于推進行政執法責任制的若干意見》等行政執法的法規政策，逐步建立健全檔案行政執法目標責任制，規范行政執法行為，通知執法標準，深入基層，加大檔案違法案件的發現和查處力度，不斷提高檔案行政執法水平。

其次，加大檔案信息安全普法宣傳力度，從公民普法教育入手，宣傳相關檔案信息安全法律、法規，強化社會各級領導、檔案人員以及相關人員的檔案信息安全保障意識。

第三，重視檔案信息安全的法律專家、檔案執法人才隊伍建設，特別是提高檔案執法人員的信息素質和法律素質，為做好檔案信息安全保障工作，培養高素質的復合型人才。

第四，由于保障檔案信息安全是一項國際性和社會性的復雜而艱巨的工程，為此，檔案行政管理部門要密切與國內外檔案部門和法制部門以及其他相關部門的溝通合作，共同抵制和嚴懲檔案違法犯罪活動，使檔案信息安全保障工作有一個良好的社會環境。