APP下载

论高校档案安全保障体系建设

2012-01-15

关键词:保障体系档案管理

林 生

(福州大学党委办公室,校长办公室,福建福州 350108)

论高校档案安全保障体系建设

林 生

(福州大学党委办公室,校长办公室,福建福州 350108)

高校档案是高校办学过程中形成的历史记录,是重要的不可再生资源;档案安全是高校档案工作的生命线。通过建立高校档案安全模型的理论框架,分析高校档案安全的影响因素,从思想保障、管理保障、法制保障、设施保障、技术保障和人员保障六个方面,构建多层次、全方位的高校档案安全保障体系。

高校;档案;安全保障;理论模型

高校档案是高校师生在社会实践活动中自然形成的真实的历史记录,是高校办学历史和办学特色的积累和沉淀,也是无法弥补的不可再生资源,对于高校各项管理工作而言,具有十分重要的参考和凭证作用。因此,如何有效保障高校档案实体和信息安全,保证高校档案的真实性、完整性和长期可用性,是高校档案工作的首要任务和其他工作的重要基础。

一、基于PDRR的高校档案安全理论模型

档案安全是档案工作的生命线。2010年5月12日,国家档案局局长杨冬权在全国档案安全体系建设工作会议上,提出“要建立确保档案安全保密的档案安全体系,把档案安全工作放在档案工作的首位,全面提升档案部门的安全保障能力,确保档案实体安全和信息安全”。[1]这一论述充分体现了档案安全在档案工作中的重要地位,也可见国家档案局把档案安全的重要性提升到了一个新的高度。高校档案安全保障,是确保高校档案在形成、采集、整理、存贮、传输和利用整个过程中,保持其真实性、完整性、可靠性和长期可用性,以及确保档案信息记录方式和记录载体不受到任何损坏的策略和过程,高校档案安全保障在高校档案管理和档案保护中占有非常重要的一席之地。

高校档案管理中,档案安全威胁影响因素,可能渗透到档案形成阶段、处理阶段、存储阶段和传输利用阶段等,必须进行全面的、系统的、客观的安全风险评估,形成档案安全功能需求集合,构建“威胁分析-风险评估-功能需求”三位一体的链式档案安全保障体系,才能有效保护高校档案安全。高校档案安全保障体系的构建,不仅能解决高校档案安全的技术问题,而且有利于档案安全保护各个环节都能有效地组织、协同、监控和管理,最终形成目标明确、重点突出、技术有效和管理有力的档案安全链式体系,真正发挥保障体系各个组成要素的整体效用和协同功能。

图1 基于PDRR的高校档案安全理论模型

基于PDRR的高校档案安全理论模型(图1),在传统PDRR信息安全模型的基础上,融合了高校档案管理的各个流程元素,反映了高校档案安全的基本特征和一般规律。模型包含三个基本单元,即:档案安全风险发生的流程环节、档案安全策略的结构框架以及档案安全管理的逻辑过程。从高校档案安全的三个逻辑层面入手,进行档案安全需求功能的分析,更容易得到一个层次清晰、定位准确和全面详实的高校档案安全需求集合。因此,在这种理论模型的指导下,高校档案安全保障不再局限于把高校档案的保管环境与保护措施作为其工作重点,而是把高校档案安全作为一个多层面、多因素、综合的、动态的过程,贯穿在高校档案管理的整个生命周期。PDRR安全理论模型的核心要素,体现在预防(Prevention)-检测(Detect)-响应(React)-恢复(Restore)四个部分。预防(Prevention),是指对可以预见的档案安全风险和威胁,事先安排和布置相应的预防措施和手段,确保高校档案安全的保密性、完整性和不可否认性,做到“防患于未然”;检测(Detect),是指利用现代技术工具,定期或不定期地检查和跟踪可能存在的档案安全风险,如:高校档案网络安全、系统安全和数据安全以及档案系统本身的脆弱性;响应(React),是指对危及档案安全的事件、行为和过程,及时地做出响应和应急处理,以杜绝危害态势的进一步蔓延、扩大,力求最大限度地控制档案安全的危害程度;恢复(Restore),是指当档案实体或信息安全遭到破坏后,要尽快采取技术措施,恢复档案的历史状态和真实功能,尽早为用户提供正常的服务。

高校档案安全理论模型,将档案安全事件发生的过程抽象化、程序化,以档案安全预防作为基础,将整个档案安全保护行为当作一个过程,用检测手段来发现可能的安全漏洞并及时更正,通过启动应急响应方案和措施,使受危害的档案管理系统恢复到正常状态。因此,预防、检测、响应和恢复构成了一个完整的、动态的安全策略循环,在安全理论框架的指导下,致力于消除危害高校档案安全的内在和外在的各种因素,迅速查找和发现档案安全隐患和漏洞,采取必要的手段加以解决,最终确保高校档案安全得到全方位的保障。

二、高校档案安全威胁影响因素

随着高校档案事业的发展,档案管理和维护水平需要不断提高,档案安全贯穿于高校档案的收集、整理、鉴定、保管、编研和利用的全过程。然而,新技术的应用、自然灾害、管理低效和人为破坏等因素,都使高校档案面临着严峻的安全威胁。主要表现在以下方面:

(1)环境因素 高校档案物理硬件设施,是高校档案安全的物质基础。档案馆建筑和物理环境的损坏,是高校档案安全事件和档案安全威胁的重要影响因素。高校档案环境安全威胁主要包括:

一是自然灾害。自然灾害的发生会对房屋建筑、库房设施造成巨大的破坏,雷电、水灾、火灾、地震、台风、泥石流等自然灾害的发生,会造成档案保管库房的坍塌或摧毁,直接出现档案实体的破坏,甚至是彻底毁灭。如:南方沿海地区高校所处位置经常多雨、多洪水灾害,一旦出现大规模的洪灾,将给档案安全带来巨大的灾难。据统计,1998年洪水灾害期间,湖南全省有8个档案馆、136个档案室被淹,虽然被淹案卷只有1313万个,但是受潮案卷和磨损案卷分别是5619万个和1516万个。

二是恶劣环境。不良的环境条件,会对实体档案造成较大的影响。光线过于强烈、档案保管环境潮湿、磁场辐射过强、霉菌腐蚀、气压增减、微生物侵害、有害气体以及化学反应等等,这些容易使档案纸质载体变脆、弯曲,使光盘、磁性载体变形、变质、磁化或者发霉,从而导致数据丢失或者数据无法读取,对高校档案实体和信息安全造成破坏。如湛江市档案馆曾在1997年、2003年、2004年三次遭受虫害,造成47个全宗被害虫蛀蚀或污染,受虫害档案达5436卷。

三是历史老化。随着时间的推移,由于传统纸张和字迹材料的使用寿命有限,高校原始档案材料会出现不同程度的老化。一是档案字迹退化模糊[2]。由于历史条件的限制和档案意识的缺乏,早期一些文件档案中字迹有铅笔、复写字迹和蓝色、红色字迹等,如高校部分招生录取名册,档案形成时是用油墨蓝色字迹打印,这些字迹只要时间稍长,很容易出现扩散,并且渐渐变成模糊不清,难以辨认。二是纸张材料自然老化。由于纸质档案经常翻阅和长期使用,纸张容易发生霉变、发黄、变脆、撕裂和破损,由于档案信息和档案载体所特有的相互共存关系,纸张的损坏和老化,直接影响档案的质量和使用寿命,甚至导致原始档案不复存在。

(2)技术因素 高校档案部门对档案信息安全的重要性和紧迫性认识不足,还存在一些认识上的误区。例如,往往重视计算机的性能,而忽略了计算机系统的安全配置;重视档案网站的建设,而忽视了网站的安全维护;重视档案资源数字化进程,而忽视了档案安全软件的配置;重视电子档案的收集数量,而忽视了数字化信息数据的定期备份和维护。然而,随着档案信息化程度的不断提高,数字档案的信息安全问题日益突出:一是黑客攻击。黑客采取的攻击手段和方法多种多样,通常使用暴力破解口令、缓冲区溢出、安放特洛伊木马、垃圾邮件、拒绝服务攻击(DOS攻击)等,黑客的“非法访问”将直接导致高校档案信息泄露,甚至出现系统崩溃等严重后果,对档案信息系统的安全造成了严重的危害。如:2010年1月教育部学位与研究生教育发展中心网站被侵入,“黑客”大肆篡改了考试成绩数据,并借此伪造了大量2009年度工程硕士学位、学士学位等学历证书,通过变卖流入社会,造成极大危害。二是病毒入侵[3]。病毒程序往往通过网上下载、电子邮件、使用盗版光盘或软盘、人为投放等传播途径,强行把网络蠕虫恶意代码植入用户系统,造成病毒泛滥、信息丢失、数据损坏、网络被攻击、系统瘫痪等严重后果,这些都直接威胁档案数据信息的安全。如2006年底,我国互联网上大规模爆发“熊猫烧香”病毒及其变种,该病毒通过多种方式进行传播,病毒传播速度快,危害范围广,导致上百万个人用户、网吧及企业局域网用户遭受感染和破坏,引起社会各界高度关注。

(3)人为因素 人为因素是由于人的行为而破坏档案信息的真实与完整,从而威胁档案信息的安全。人为因素可分为两大类:一是蓄意破坏。蓄意破坏是指为获得某种利益及达到某种目的,而故意破坏档案的内容及其所依赖的载体以及电子档案管理的系统和网络环境等。主要有篡改和伪造等方式。篡改,即通过在系统中植入木马程序,盗取、破坏数字档案信息,对电子档案信息进行非法篡改,以达到自己的非法目的。如2012年来自辽宁、福建的两名大学生黑客入侵沈阳某高校的教学管理系统,将16名大学生的成绩从不及格改为及格,因此获利13.8万元,法院一审以破坏计算机信息系统罪,对两被告人判处缓刑,并没收非法所得。伪造,将获取的档案信息根据自己的需要进行伪造,然后再发送给其他用户,形成虚假信息等。如擅自伪造学生学习成绩档案、个人出生年月等自然情况档案、伪造学校毕业证书、学位证书等。二是不当操作。高校档案管理人员和部门兼职档案人员在档案数据采集、录入或者编目的过程中,由于自身的不正确操作或者误操作,使计算机系统崩溃,导致档案信息数据丢失、缺失,或者是由于档案归类检索错误,在工作过程中误修改、删除、破坏档案信息,使得本来存在的档案无法被查找和利用,可能使得很多档案信息变成空白或者是成为“死档”,给档案的完整安全带来危害。

(4)管理因素 管理问题是影响高校档案安全最直接、最常见的因素,问题的出现主要源自于认识不到位、思想不重视,从而导致各种疏于防范的行为发生。主要表现为“四不”:一是库房管理不善。由于管理人员安全意识淡薄,随意允许非库房管理人员进出档案库房,造成档案泄密或失窃。例如,2004年11月,中原地区某大学第一附属医院40年的30多万份病历档案和10年的会计档案,共计11.19吨,被不法分子撬开档案库房的门锁,在一个月之内将这些档案全部盗走。二是利用管理不严。高校档案借阅利用中,有些档案长期被管理者借出库房,没有及时归还,放在自己的办公室,脱离管理和监督,容易导致档案丢失和泄密。三是规章制度不全。有些高校没有建立专门的档案安全规章制度,使得档案收集、保管、存储和利用等环节,档案安全处于无章可循、混乱管理的状态。如缺少档案保密制度、电子档案管理办法、机房使用管理制度等。四是安全责任不明。由于有些高校档案安全责任没有具体明确,导致档案工作人员疏忽马虎、不以为然、互相推诿,从而档案安全意识不强,容易出现各种安全漏洞,不利于高校档案安全管理。

三、高校档案安全保障体系建设

构建高校档案安全保障体系,就必须结合高校档案安全保障的理论模型,分析高校档案管理实践中可能出现的各种安全威胁因素,形成一个高起点、多层次和可操作性强的档案安全保障体系。高校档案安全保障体系大致体现以下三层含义[4]:第一,改善环境,降低风险。通过改善档案馆库房环境、信息存储环境、安全设施环境和利用保密环境等,降低高校档案环境因素对档案安全的影响,最大限度地降低安全风险。第二,完善技术,加强管理。采取先进技术,健全网络、系统和数据的安全保障平台,努力做好各项安全预防措施,杜绝可能出现的人为管理漏洞,使高校档案尽可能保持稳定状态。第三,应急处理,灾难恢复。档案安全灾难或安全事件发生后,对已经处于不安全环境中的档案,采取各种应急补救措施,尽快恢复档案管理功能,使高校档案达到新的稳定状态,并有效保护高校档案的可读性、可用性和可存性。高校档案安全保障体系,是一个整体的、动态的和协同的系统工程,主要由六个基础层面的内容构成,即思想保障、管理保障、法制保障、设施保障、技术保障和人才保障。高校档案安全保障体系框架模型如下:

图2 高校档案安全保障体系框架模型

(1)档案安全思想保障 树立和坚持全面的、科学的、发展的档案安全观,把对档案信息记录内容、记录方式和记录载体三者的保护有机融合起来,建立三位一体的全方位、多角度的安全观念[5],是保障高校档案安全的思想基础。高校档案安全管理工作应遵循“预防为主、防治结合、严格管理、安全至上”的原则,把思想隐患作为档案安全工作的最大隐患。第一,通过主动参加学校安全工作会议,向学校领导强调档案安全的重要性,消除学校各部门在档案安全认识上的误区,在学校日常管理中档案安全警钟长鸣,把档案安全纳入学校安全的整体部署,及时研究和解决存在的问题,营造领导统一认识、部门齐抓共管的局面,尤其是寒暑假等重大假日期间,档案库房各项安全重点防范任务落实到位,努力防范自然灾害、杜绝人为灾害的发生。第二,通过多渠道、多途径、多形式宣传教育方式,切实提高高校师生员工自觉维护档案安全的意识。如开展档案安全知识问答、举办档案安全宣传展览、组织参加保密警示教育等,扎扎实实把安全思想教育抓到位,使师生牢固树立“安全第一、预防为主”的档案安全观。第三,档案管理部门必须树立“档案安全问题无所不在”和“档案安全问题人人有责”的思想,为档案安全构筑起坚不可摧的思想防线,不断强化防控意识,主动增强应对灾害发生的知识储备,切实提高高校档案安全保障能力,促进高校档案事业健康、持续、快速发展。

(2)档案安全管理保障 档案安全管理策略是档案安全保障体系的重要任务,是高校档案安全保障的整体规划和具体措施,应着重加强规划管理、危机管理、制度管理和责任管理。规划管理是针对高校档案安全可能出现的新情况、新变化和新特点,及时制定高校档案安全的规划重点,每学年定期开展档案安全情况检查,有计划地排查档案安全隐患,如电源线路老化、灭火器使用年限过期、库房墙体脱落等,及时动态调整高校档案安全的突出区域和重点环节,有步骤、有针对性地开展档案安全防范和整改工作;危机管理是建立档案安全危机应急机构网络,制定高校突发性灾害、事故处理应急预案,健全安全决策和危机预测反应机制,做好防灾应急演练、培训等工作,如灭火器使用技能培训、档案应急转移演练等;制度管理是修订完善高校档案安全管理的各项规章制度,如高校档案安全管理规定、档案安全责任制、档案保密制度以及档案库房管理制度,做到有法可依、有章可循,在高校档案管理各个环节中,确实杜绝可能出现的安全隐患;责任管理是有效落实档案安全责任机制,将档案安全任务分解到人,安全责任落实到人,层层落实、层层负责,不定期开展档案安全抽查,对重点区域进行自查和互查,对发现的问题,及时督促相关责任人或有关单位限时整改。

(3)档案安全法制保障 档案安全法制保障是高校档案安全保障体系的重要支撑,以《档案法》为核心,以现行档案法规、规章为基础,从法制的角度为高校档案安全提供有力保障。2008年9月,教育部颁布第27号令《高等学校档案管理办法》,教育部27号令中多次强调高校档案安全保障[6],如:“高校档案机构应当对所存档案和资料的保管情况定期检查,消除安全隐患”、“高等学校应当为档案机构提供专用的、符合档案管理要求的档案库房”、“存放涉密档案应当设有专门库房。存放声像、电子等特殊载体档案,应当配置恒温、恒湿、防火、防渍、防有害生物等必要设施。”《办法》的发布实施,是新时期新阶段国家为促进高等教育档案事业发展的一项重要举措,是指导新时期新阶段高校档案工作科学发展的法规性文献,对于规范档案信息主体的活动、协调和解决各种矛盾、保障档案资源安全等有重要作用和指导意义。高校应根据教育部27号令的相关规定,制定相应《高校档案安全管理实施细则》,积极排查学校档案安全存在的漏洞,并及时整改和完善,严厉查处违反档案安全管理的各种行为,把学校档案安全管理真正纳入依法治档的法制轨道上来。

(4)档案安全设施保障 档案基础设施建设是确保档案安全的基石和前提,档案基础设施的好坏直接影响到档案使用寿命的长短。因此,必须加强档案库房建设,配备符合条件的设施设备。一是库房建设符合要求。一些高校新校区建设或者新的档案库房建设,应以档案密集架的承重标准,充分考虑档案库房的楼体承载量,档案库房建设应严格按照国家关于档案库房“八防”要求,即防盗、防火、防水、防潮、防污染、防光、防尘和防有害生物,认真落实档案库房建设标准,严格把好档案库房建设工程质量关。二是采用先进的技术设备。高校可以配备必要的安防监控系统、电子门禁系统和温湿度调节系统,选择合理的防火灭火设备,灭火设备应安装灭火报警装置,区别配置建筑灭火器和档案灭火器,预防和应对危害档案安全的灾害发生。同时,对于特殊新型载体档案,如:光盘、硬盘、磁盘等介质档案,应配备专门的防磁柜,并经常进行保护处理。档案信息网络设备需要有专业的网络机房进行放置,机房要配备有通风系统、消防系统、防雷系统、机房电源UPS供应系统等,重点强化涉密档案的管理,学校各单位对所保存的涉密档案(如军工项目等),要制定严格的审批手续[7],对涉密档案管理的计算机要实行专机隔离断网管理。

(5)档案安全技术保障 一是基于档案实体安全的保护技术。选派与组织高校档案专职人员,参加省档案局档案专业修复技术培训,掌握各类档案载体的管理与保护技术,对于传统学籍档案、科技档案的破损和撕裂,应及时进行专业程序的裱糊修复,对于字迹褪色、照片褪色要用显字液把褪色字迹、照片恢复过来,其中重要档案和使用频率较高的档案,特别是学校珍贵的历史档案,应优先进行数字化扫描处理;对于电子介质载体的档案,如:学生学位论文光盘,磁盘等,在其有效寿命期限内,要定期进行数据迁移,并做好异质备份和异地备份。二是基于档案信息安全的保护技术。为了保证档案信息系统安全稳定的运行,应建立学校网管系统、防火墙系统、网络防毒系统和入侵检测系统,采用防火墙、入侵检测、数据加密等进行安全防护和监控,在高校档案管理系统运行和使用过程中,严格设置不同权限的用户名和密码,通过身份认证防止非法用户的入侵访问;采取防病毒软件和查杀技术,如:瑞星杀毒软件、NOD 32防病毒软件、微点主动防御软件等,防止系统文件遭到破坏;建立容灾中心和采用备份技术,规避设备故障引起的安全风险,部分高校可以利用多校区的优势,实行新老校区以及不同校区之间档案数据的异地备份,通过这些技术的相互补充、相互结合,共同构筑档案信息安全的屏障。

(6)档案安全人才保障 人才是档案安全保障的关键因素,在高校档案安全保障体系中,档案管理人员的安全意识、素质水平和创新能力直接影响到高校档案安全。一方面,对现有档案管理人员进行培训,提高档案安全管理的基本技能。高校档案部门每年要制订档案信息安全管理人员的培训计划,有意识地安排档案信息安全及保护技术策略的培训,通过邀请省档案局安全管理专家来学校开展培训,或者通过开展学会活动、先进经验交流以及课题研究的方式,组织档案管理人员开展档案安全管理模式和对策的研究,从而进一步提高档案管理人员档案安全的专业素质和职业技能;另一方面,加强档案人才队伍建设,有针对性地引进和接收计算机技术或者网络安全技术专业人才。高校应制定档案安全人才引进规划,培养适应信息时代档案安全需要的复合型人才,增强高校数字档案馆安全的保障力量,提高档案安全管理队伍的整体水平,为高校档案的安全提供有力的人才保障。

总之,建立高校档案安全保障体系,是预防和减轻自然灾害、人为灾害对档案造成损失的需要,是应对新技术条件下数字档案信息安全挑战的需要,也是消除高校档案部门各种安全隐患的需要。因此,高校应始终坚持“以防为主、防治结合”的基本原则,把档案信息安全与档案实体安全放在同等重要位置,把安全督查与制度建设相结合,提高规范化管理水平,预防和规避各种档案安全风险威胁,并采取有效的档案安全保障策略和措施,切实维护高校档案实体安全和信息安全,最终促进高校档案事业的健康发展。

[1]杨冬权.我国档案安全体系建设的主要任务——在全国档案安全体系建设工作会上的讲话摘要[N].中国档案报,2010-05-12(1).

[2]许桂清,李映天.档案信息安全保障体系的建设与思考[J].档案学研究,2010,(3):54-58.

[3]国家档案局技术部.档案安全保障体系建设论文集[C].2010,5.

[4]张美芳,王良城.档案安全保障体系建设研究[J].档案学研究,2010,(1):62-65.

[5]宗文萍.档案信息安全保障体系建设研究[J].档案学通讯,2006,(1):51-54.

[6]中华人民共和国教育部.中华人民共和国教育部27号令:高等学校档案管理办法》[EB/OL].(2008-09-09)[2012-04-02].http://www.moe.edu.cn/publicfiles/business/htmlfiles/moe/moe_621/201001/81841.html.

[7]俞志华,吴久华,栗惠芳.信息化背景下高校档案的安全管理[J].合肥工业大学学报(社会科学版),2011(6):72-75.

On the Construction of Security System of University Archives

LIN Sheng
(Party Committee Office and President's Office,Fuzhou University,Fuzhou 350108,China)

University archives are important non-renewable resources which generate an historical record in the process of universities development.Therefore,the archives security plays a key role in the university archives work.The influencing factors of university archives security are analyzed by establishing the theoretical framework of university archives security model.Furthermore,a multilevel and comprehensive university archives security system is constructed in view of the ideological guarantee,management security,legal safeguard system,facilities guarantee,technical and personnel support.

university;archive;security;theoretical model

G271.3

A

1008-3634(2012)04-0145-06

2012-04-13

福建省教育厅A类社会科学课题资助项目(JA10050S)

林 生(1969-)男,福建平潭人,副教授,硕士生导师。

(责任编辑 刘 翠)

猜你喜欢

保障体系档案管理
如何规范档案管理
完善质量保障体系 提升人才培养质量——四川工商学院“二三四”教学质量保障体系的实践
信号系统安全软件质量保障体系研究
ETC关键设备准入标准及运行保障体系构建
关于构建战区联合作战后勤聚合保障体系的思考
档案管理与企业内部控制关系的思考
构建更安全可靠的机房电源保障体系
论科研项目档案管理
健全大数据安全保障体系研究
健康档案管理的“云”前景