檔案信息化建設(shè)網(wǎng)絡(luò)安全

檔案是機關(guān)、組織和個人在社會活動中直接形成的具有保存價值的文字、圖表及其他各種形式和載體的歷史記錄。它是一種信息資源，是信息和載體的統(tǒng)一體。然而，隨著檔案存放數(shù)量冗多、保管條件差、查找利用率低、管理人員知識單一的問題。要解決這些問題最好的辦法就是實現(xiàn)檔案管理信息化。如何才能實現(xiàn)檔案管理信息化呢？筆者認為，必須從配備統(tǒng)一的管理設(shè)備、創(chuàng)建規(guī)范的管理機制和建設(shè)復合型的管理隊伍這三個方面著手。一、配備統(tǒng)一的管理設(shè)備實現(xiàn)計算機在檔案部門的全覆蓋。要為機關(guān)檔案發(fā)展提供快、準、全的檔案信息，計算機給我們提供了一個強有力的工具。利用計算機檔案管理系統(tǒng)可實現(xiàn)：檔案自動編目和檢索、檔案自動全文存儲與檢索、檔案業(yè)務(wù)工作管理、計算機輔助立卷、檔案自動標引，以及文檔一體化管理等。因此，只有實現(xiàn)統(tǒng)一型號、統(tǒng)一規(guī)格的計算機全面覆蓋，才能為機關(guān)檔案管理實現(xiàn)信息化提供硬件保障。采用高容量的存儲載體。隨著機關(guān)檔案數(shù)量的增加，檔案部門面臨著沉重的庫房壓力，以及檔案自然老化和人為損害的難題，這就需要使用大容量的檔案存儲載體。利用計算機的磁盤存儲系統(tǒng)和光盤存儲系統(tǒng)，特別是光盤存儲系統(tǒng)，可以解決檔案信息存儲難的問題。采用高容量的存儲載體不但可減輕管理人員的工作量，而且能提高檔案工作效率。二、建立規(guī)范的管理機制在檔案信息化建設(shè)過程中，為明晰相關(guān)責任，保障網(wǎng)絡(luò)及數(shù)據(jù)的安全運行，還需要從實際出發(fā)建立規(guī)范的管理機制。創(chuàng)新檔案管理制度。有關(guān)檔案管理部門應該根據(jù)《電子文件歸檔與電子檔案管理辦法》的要求，制定適應信息化建設(shè)的檔案管理制度。一是健全和完善檔案管理業(yè)務(wù)流程和技術(shù)規(guī)范，細化電子檔案工作環(huán)節(jié)和步驟;二是制定必要的安全措施，特別對電子文件和電子檔案，確保電子檔案的安全性與完整性。統(tǒng)一檔案管理標準。標準規(guī)范化是檔案信息化建設(shè)的重要基礎(chǔ)之一。檔案管理標準化包括：檔案整理標準、統(tǒng)計標準、服務(wù)標準、各項技術(shù)標準等，它是衡量工作效率高低的尺度。如果沒有這些標準，檔案數(shù)據(jù)庫中的信息資源就無法建立;如果相關(guān)檔案部門不按統(tǒng)一的標準去做，各搞一套，自成體系，那么檔案信息網(wǎng)絡(luò)就無法暢通，資源共享也就難以實現(xiàn)。三、建設(shè)復合型的管理隊伍提高檔案管理人員的信息化意識。信息時代文件的自動登記、輔助立卷、歸檔、著錄、檢索、信息網(wǎng)絡(luò)傳遞和安全利用都是在計算機上實現(xiàn)的。這就要求檔案管理人員不僅要熟悉電子文件的特征和電子檔案的全程規(guī)范管理，而且要掌握計算機系統(tǒng)和網(wǎng)絡(luò)安全防護知識，以確保檔案信息的完整性與信息的安全性。檔案管理人員還應立足本職工作，強化自我學習意識，積極參與信息化教育培訓，不斷更新專業(yè)知識，提高自身的業(yè)務(wù)素質(zhì)和工作水平。提高檔案管理人員信息化工作技能。為盡快實現(xiàn)傳統(tǒng)檔案管理模式向現(xiàn)代管理模式的轉(zhuǎn)變，政府部門應有計劃地對本系統(tǒng)的檔案管理人員進行信息化技能培訓，培訓內(nèi)容涵蓋計算機、網(wǎng)絡(luò)、信息工程等方面的知識。相關(guān)檔案管理部門還應創(chuàng)造必要的條件，讓檔案管理人員及時了解檔案發(fā)展趨勢和現(xiàn)代科技在檔案工作中的應用，不斷提高他們的工作技能。

檔案法中關(guān)于檔案信息化建設(shè)的規(guī)定是什么

檔案法中關(guān)于檔案信息化建設(shè)的規(guī)定是根據(jù)過去和現(xiàn)在的機關(guān)、團體、企業(yè)事業(yè)單位和其他組織以及個人從事經(jīng)濟、政治、文化、社會、生態(tài)文明、軍事、外事、科技等方面活動直接形成的對國家和社會具有保存價值的各種文字、圖表、聲像等不同形式的歷史記錄。
新檔案法的頒布施行對不斷加強檔案治理體系和治理能力現(xiàn)代化具有重大的歷史意義，為新時代檔案事業(yè)高質(zhì)量發(fā)展提供堅強法治保障。
電子檔案應當來源可靠、程序規(guī)范、要素合規(guī)，電子檔案與傳統(tǒng)載體檔案具有同等效力，可以以電子形式作為憑證使用，電子檔案管理辦法由國家檔案主管部門會同有關(guān)部門制定。
【法律依據(jù)】
《中華人民共和國檔案法》
第三十五條 各級人民政府應當將檔案信息化納入信息化發(fā)展規(guī)劃，保障電子檔案、傳統(tǒng)載體檔案數(shù)字化成果等檔案數(shù)字資源的安全保存和有效利用。
檔案館和機關(guān)、團體、企業(yè)事業(yè)單位以及其他組織應當加強檔案信息化建設(shè)，并采取措施保障檔案信息安全。第四十二條 檔案主管部門依照法律、行政法規(guī)有關(guān)檔案管理的規(guī)定，可以對檔案館和機關(guān)、團體、企業(yè)事業(yè)單位以及其他組織的下列情況進行檢查：
（一）檔案工作責任制和管理制度落實情況；
（二）檔案庫房、設(shè)施、設(shè)備配置使用情況；
（三）檔案工作人員管理情況；
（四）檔案收集、整理、保管、提供利用等情況；
（五）檔案信息化建設(shè)和信息安全保障情況；
（六）對所屬單位等的檔案工作監(jiān)督和指導情況。第三十九條 電子檔案應當通過符合安全管理要求的網(wǎng)絡(luò)或者存儲介質(zhì)向檔案館移交。
檔案館應當對接收的電子檔案進行檢測，確保電子檔案的真實性、完整性、可用性和安全性。
檔案館可以對重要電子檔案進行異地備份保管。

數(shù)字檔案信息安全保障問題研究

胡仲奎 辛繼升 白燕

（甘肅省國土資源信息中心，蘭州730000）

摘要 檔案是社會記憶的重要載體，保障檔案信息安全是檔案工作的生命線。本文論述了數(shù)字信息固有的軟硬件依賴性、信息環(huán)境的波動性、數(shù)字載體的不穩(wěn)定性以及電子數(shù)據(jù)的脆弱性。分析了影響數(shù)字檔案信息安全的主要問題，提出了保障數(shù)字檔案信息安全的對策。

關(guān)鍵詞 數(shù)字；檔案信息；安全保障

1 緒言

數(shù)字檔案文件是在信息化發(fā)展過程中出現(xiàn)的與檔案管理相關(guān)的數(shù)字化文件，其主要特點在于數(shù)字化的特征和計算機軟硬件的依賴性。人們一直將檔案視作社會記憶的重要載體，長期安全保存檔案信息是檔案工作的應有之義，如何在一個“唯一不變的特點就是變化”的信息環(huán)境中實現(xiàn)具有依賴性的數(shù)字檔案信息的長期安全保存，是檔案工作的生命線。研究數(shù)字檔案信息安全保障機制問題，有利于拓寬檔案保護學的研究領(lǐng)域，發(fā)展檔案保護學理論，繁榮檔案學理論體系，指導檔案信息化建設(shè)和檔案事業(yè)健康、快速與可持續(xù)發(fā)展。

數(shù)字檔案信息的長久安全保存已經(jīng)成為信息社會面臨的共同問題。由于數(shù)字信息固有的軟硬件依賴性、信息環(huán)境的波動性、數(shù)字載體的不穩(wěn)定性，加上數(shù)據(jù)管理活動中的各種特殊要求，都給數(shù)字檔案信息長久安全保存帶來困難。同時，我們還應當清醒地認識到數(shù)字檔案信息的長久安全保存是一個復雜的系統(tǒng)，需要綜合技術(shù)的、管理的、法律的各種影響因素進行總體規(guī)劃。

數(shù)字檔案信息安全是確保檔案信息內(nèi)容在生成、存貯、處理、傳輸和利用整個過程中，保持其真實性、完整性、可靠性和長期可讀性（可用性），以及確保數(shù)字檔案信息記錄方式和記錄載體不受任何損壞的策略和過程。數(shù)字檔案信息安全保障包含了理論和實踐問題，是一個多層次、多因素、多目標的完整的系統(tǒng)概念。數(shù)字檔案信息安全具有綜合性、相關(guān)性、動態(tài)性、相對性、脆弱性、智能性和可認證性等屬性。

2 影響數(shù)字檔案信息安全的因素和問題

影響數(shù)字檔案信息安全保障的因素既有內(nèi)部因素，也有外部因素；既有主觀原因，又有客觀原因。檔案制成材料的損壞是內(nèi)外因素、主客觀因素綜合影響的結(jié)果。具體地講，影響數(shù)字檔案信息安全的因素主要有自然因素、環(huán)境因素、技術(shù)因素、社會因素、管理因素和資金因素等。目前，在數(shù)字檔案信息安全運行和管理方面，由于這些因素的影響，尚存在以下主要問題。

2.1 管理意識淡薄

隨著檔案信息化進程的推進，檔案工作對網(wǎng)絡(luò)資源依賴程度也不斷增強，涉及檔案信息安全甚至國家安全的所有重大問題都會在網(wǎng)絡(luò)上逐漸顯現(xiàn)出來，檔案信息系統(tǒng)面臨的來自方方面面的安全威脅日益劇增，呈現(xiàn)出更加頻繁、更富挑戰(zhàn)性和高科技的勢頭。然而，令人擔憂的是有一些檔案管理部門對檔案信息安全的重要性、緊迫性認識不足，只注重檔案信息系統(tǒng)基礎(chǔ)設(shè)施建設(shè)和應用開發(fā)，而對數(shù)字化檔案信息安全則是淡然處之。由于缺乏必要的安全教育與培訓，導致系統(tǒng)操作人員缺乏安全意識，網(wǎng)絡(luò)信息違規(guī)操作的現(xiàn)象時有發(fā)生。

2.2 管理機制不健全

目前，國家信息安全管理處于條塊分割，相互隔離，各行其職的狀況，缺乏必要的綜合協(xié)調(diào)和整體規(guī)劃，一些地方普遍缺乏統(tǒng)一的信息資源管理機構(gòu)和人員，由于信息資源的開發(fā)、利用和管理被分割為各自孤立的領(lǐng)域，不同行業(yè)的規(guī)范難免沖突甚至矛盾，不同主體推進檔案安全的進程差別較大，容易出現(xiàn)行業(yè)之間、部門之間職責不清，或者出現(xiàn)相互推卸責任的現(xiàn)象，其結(jié)果是既難以充分利用信息化所提供的巨大機會挖掘潛能，也難以有效地維護各級檔案信息安全。

從檔案部門來看，我國還缺少一個國家級的與國家信息化進程相匹配的檔案信息安全工程規(guī)劃，地方檔案信息組織管理機制也不健全，管理檔案信息的機構(gòu)、人員受編制影響，未能落實到位，乃至出現(xiàn)政出多門的局面。另外，各級檔案部門信息安全制度建設(shè)雖然有了一定基礎(chǔ)，但仍很不完善，在安全管理、責任追究等方面都還存在不少漏洞；網(wǎng)絡(luò)安全和信息安全的密級管理缺乏科學手段，一些地方仍把信息安全的主要精力放在傳統(tǒng)的“看家護院”的工作模式上，其主要原因就是檔案信息安全管理機制不健全，檔案信息服務(wù)方式和手段比較落后，必須要建立與之相適應的機制與制度，否則，數(shù)字檔案信息的安全就不能得到有效保障。

2.3 系統(tǒng)自身安全隱憂

數(shù)字檔案信息是基于互聯(lián)網(wǎng)、專用網(wǎng)和局域網(wǎng)環(huán)境下進行的，在數(shù)字檔案信息的產(chǎn)生、管理和服務(wù)利用等過程中，都面臨著運行系統(tǒng)自身信息安全問題。

（1）網(wǎng)絡(luò)層安全。網(wǎng)絡(luò)層安全是支撐系統(tǒng)運行的物理設(shè)備的安全問題，包括網(wǎng)絡(luò)基礎(chǔ)建設(shè)如網(wǎng)絡(luò)布線、網(wǎng)絡(luò)鏈接、局域網(wǎng)和廣域網(wǎng)環(huán)境的構(gòu)建、設(shè)備選型及其各個環(huán)節(jié)安全策略的考慮，網(wǎng)絡(luò)設(shè)備安全還涉及系統(tǒng)所使用的大量網(wǎng)絡(luò)設(shè)備，如交換機和路由器等，這些設(shè)備的自身安全將直接影響到網(wǎng)絡(luò)系統(tǒng)及其應用的正常運轉(zhuǎn)。網(wǎng)絡(luò)安全包括網(wǎng)絡(luò)周邊環(huán)境和物理特性引起的網(wǎng)絡(luò)設(shè)備和通信線路的故障而造成網(wǎng)絡(luò)系統(tǒng)故障，包括地震、雷擊、火災、水災等環(huán)境事故，電源故障、人為操作錯誤或失誤、電磁干擾等，都可能對檔案信息網(wǎng)絡(luò)構(gòu)成一定程度的危害。

（2）數(shù)據(jù)層安全。數(shù)字檔案信息安全系統(tǒng)是以數(shù)據(jù)存儲與查詢?yōu)樘卣鞯臄?shù)據(jù)庫應用系統(tǒng)，主要是涉及系統(tǒng)存儲的檔案數(shù)據(jù)的安全問題，包括操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)、檔案數(shù)據(jù)存儲、數(shù)據(jù)備份、數(shù)據(jù)格式的轉(zhuǎn)換以及各類電子文件的保管和異地存儲等，由于數(shù)據(jù)版本更新、數(shù)據(jù)格式轉(zhuǎn)換、硬件設(shè)備意外損壞、存儲介質(zhì)老化、失效、自然災害等造成的數(shù)據(jù)丟失、數(shù)據(jù)損壞甚至是計算機系統(tǒng)的破壞和癱瘓，都對檔案信息安全構(gòu)成一定危害。

（3）應用層安全。應用層安全是檔案管理信息系統(tǒng)在實際應用操作過程中應當考慮的基本問題。一般情況下，檔案管理信息系統(tǒng)的用戶模型分多個層次、多個角色、多種功能或多種形式混合使用，來分別定義用戶權(quán)限。由于計算機在實際運行時，電子數(shù)據(jù)是相當脆弱的，時刻處于各種有意或無意破壞的威脅之下，諸如操作者疏忽造成的錄入刪改和數(shù)據(jù)文件覆蓋，把過期數(shù)據(jù)當做當前數(shù)據(jù)引入，權(quán)限設(shè)計不合理致使一般訪問者獲得不同級別的特權(quán)進行越權(quán)刪改，惡意破譯者破解系統(tǒng)安全防御后入侵、竄改和刪除數(shù)據(jù)，用戶或工作人員為發(fā)泄不滿對數(shù)據(jù)存儲介質(zhì)或計算機進行暴力破壞，以及計算機出現(xiàn)死機、斷電等，都會對信息安全構(gòu)成嚴重危害。

3 保障數(shù)字檔案信息安全的對策

數(shù)字檔案信息安全保障策略應該由思想保障、技術(shù)和人才保障、法制策略保障、標準保障等要素組成。安全思想保障是數(shù)字檔案信息安全保障的前提，安全技術(shù)和人才保障是檔案信息安全保障的支撐，安全法制策略保障是檔案信息安全保障的手段與核心，安全標準保障是檔案信息安全保障的基礎(chǔ)。

3.1 安全思想保障

樹立和堅持全面的、科學的、發(fā)展的數(shù)字檔案信息安全觀，是保障檔案信息安全的思想基礎(chǔ)。傳統(tǒng)的安全觀、保密安全觀、技術(shù)安全觀、系統(tǒng)安全觀和網(wǎng)絡(luò)安全觀等缺乏動態(tài)的、系統(tǒng)的認識?？茖W的數(shù)字檔案信息安全觀，是對檔案信息安全主體、檔案信息安全內(nèi)容、檔案信息安全方式認識的綜合，是對數(shù)字檔案信息記錄內(nèi)容、記錄方式和記錄載體三位一體的安全觀，為建立現(xiàn)代檔案信息安全體系和構(gòu)建檔案信息安全戰(zhàn)略，提供了明確的理論指導和價值取向。

培養(yǎng)和增強數(shù)字檔案信息安全意識是檔案信息安全事故預防與控制的一個重要手段。加強數(shù)字檔案信息管理，最大限度地減少和降低檔案人員和檔案信息所遭受的損失，完善管理法規(guī)制度，建立管理機構(gòu)網(wǎng)絡(luò)，制定科學、合理的檔案防災應急預案，從檔案信息資產(chǎn)、檔案信息面臨的安全威脅和安全缺陷等方面，全面客觀地評估風險和分析威脅，做好防災應急演練、培訓、檔案異地備份等工作，健全安全決策和危機預測與反應機制。

3.2 安全技術(shù)和人才保障

先進的科學技術(shù)研究和應用，是保障數(shù)字檔案信息安全的技術(shù)支撐。數(shù)字檔案信息安全技術(shù)不僅涉及傳統(tǒng)的“防”和“治”的技術(shù)，而且已經(jīng)擴展到多種現(xiàn)代信息新技術(shù)。傳統(tǒng)技術(shù)與現(xiàn)代新技術(shù)相互補充、相互結(jié)合，從不同角度、不同層次來解決數(shù)字檔案信息安全問題，才能構(gòu)筑檔案信息的安全屏障。

國內(nèi)外學者和檔案人員對檔案信息保護技術(shù)的研究取得了很多可喜的成果。為適應新的形勢發(fā)展，做好檔案信息安全技術(shù)的發(fā)展與更新，加快檔案信息安全技術(shù)成果的應用、推廣和轉(zhuǎn)化，在引進、消化和吸收相關(guān)領(lǐng)域科學技術(shù)成果的同時，堅持自主創(chuàng)新，走國產(chǎn)化道路，開發(fā)擁有獨立自立知識產(chǎn)權(quán)的、保障檔案信息安全的核心技術(shù)和關(guān)鍵設(shè)備。

在數(shù)字檔案信息安全保障中，人才教育和培養(yǎng)是關(guān)鍵要素之一。人是檔案信息安全的最大護衛(wèi)者，也是檔案信息安全問題的制造者，推進數(shù)字檔案信息化，加快檔案事業(yè)的發(fā)展，對檔案人員的要求越來越高，應當有計劃、有重點、分層次、分類型、多形式、多途徑的加強檔案信息安全人才的培養(yǎng)和教育，提高檔案管理人員的綜合素質(zhì)。

另外，數(shù)字檔案信息安全的防范，還要靠有效的行業(yè)自律和職業(yè)道德教育，一方面要制定更具操作性、客觀的行業(yè)自律規(guī)范，制定《檔案工作者職業(yè)道德規(guī)范》，切實加強檔案工作者和信息工作者的職業(yè)道德修養(yǎng)，另一方面檔案管理工作者要加強自身修養(yǎng)，遵守行業(yè)規(guī)范，扎實細致地做好各個層面、各個環(huán)節(jié)的安全防范工作。

3.3 安全法制保障

過去，檔案違法行為比較直觀，容易察覺，手段和方法也比較簡單。但在信息時代，檔案信息違法、犯罪行為不僅具有常規(guī)的違法行為的特點，還呈現(xiàn)出人員的智能性、方法的隱蔽性、手段的多樣性、后果的嚴重性和行為的復雜性等許多新的特點。針對信息時代檔案信息安全的新特點，要盡快建立數(shù)字檔案信息安全法制保障體系。

數(shù)字檔案信息安全法制保障體系，是檔案信息安全保障建設(shè)的重要方面。目前，我國已經(jīng)頒布的《中華人民共和國計算機信息系統(tǒng)安全保護條例》、《中華人民共和國計算機信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)管理暫行規(guī)定》、《計算機信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)保護管理辦法》、《中華人民共和國檔案法》、《中華人民共和國保守國家秘密法》、《中華人民共和國電子簽名法》、《計算機病毒防治管理辦法》及《信息網(wǎng)絡(luò)傳播權(quán)保護條例》等法律法規(guī)。這些法規(guī)是檔案信息安全活動中的基本準則，有力地推動了檔案信息安全保障工作。在實際工作中，目前我國還沒有數(shù)字檔案信息化建設(shè)方面的專門法規(guī)，建議建立比較完備的、具有可操作性的數(shù)字檔案信息安全法規(guī)，以健全檔案安全法規(guī)保障體系。

數(shù)字檔案信息安全保障法規(guī)，對于規(guī)范檔案信息主體的活動、協(xié)調(diào)和解決各種矛盾、保障檔案信息資源的安全等有重要作用，具有保護數(shù)字檔案信息客體具有知識性和財產(chǎn)性、體現(xiàn)高新技術(shù)和法規(guī)規(guī)范淵源的廣泛性的特征。建立健全數(shù)字檔案信息安全法規(guī)體系，要堅持遵循民主參與、公正平等、獎勵懲罰、安全保護、全面協(xié)調(diào)和創(chuàng)新發(fā)展的原則，在法規(guī)制定中，要注意規(guī)范性和可操作性、系統(tǒng)性和兼容性，要注意吸收和借鑒國內(nèi)外信息安全法規(guī)建設(shè)經(jīng)驗，及時清理和修訂現(xiàn)有法規(guī)規(guī)章，使所制定的新法規(guī)能滿足和保障數(shù)字檔案信息安全。

3.4 安全標準保障

數(shù)字檔案信息安全標準，是檔案信息安全保障的重要組成部分，是實現(xiàn)檔案安全管理的重要依據(jù)。檔案信息安全標準化與檔案信息安全保障工作關(guān)系密切，檔案信息安全標準化工作是一項艱巨、長期的基礎(chǔ)性工作。我國檔案信息安全標準化建設(shè)不斷發(fā)展，《檔案法》的頒布實施使我國的檔案工作標準化工作逐步納入了法制化的軌道，但是目前的檔案信息安全標準，還不能適應新形勢的需要。

檔案信息安全標準體系，是由若干檔案信息安全基礎(chǔ)標準、管理標準和技術(shù)標準構(gòu)成的相互聯(lián)系相互制約的一個動態(tài)性、指導性的文件整體。我國檔案部門應吸收和借鑒國外信息安全標準以及國外檔案工作方面的標準，研究制定適合新形勢下我國檔案信息安全現(xiàn)狀的標準化體系。在建立國家檔案信息安全標準體系中，應當遵循科學性原則、協(xié)調(diào)性原則、全面性原則、接軌性原則和前瞻性原則，力求層次清晰、結(jié)構(gòu)合理、體系明確、標準齊全。

檔案信息化建設(shè)的主要內(nèi)容包括哪些方面