邢维萍

企业档案是企业的重要信息资源,在企业各项工作中发挥着重要作用。信息技术在档案管理中的运用，给档案工作带来了前所未有的发展机遇,但也使档案安全风险囊括了计算机网络信息系统的安全风险。为充分发挥信息技术在档案管理中的作用，适应信息技术条件下档案安全所面临的挑战，我们要积极研究各种可能存在的风险,建立安全可行的对策,消除各种安全隐患,使档案具备抗风险能力, 从而更好地为企业发展服务。

一.档案安全的风险

档案安全包含实体档案安全和电子档案安全。实体档案主要指纸质档案，电子档案指离线电子档案(如磁带、磁盘、光盘)和档案管理信息系统上的档案信息。档案安全风险存在于多个方面，主要存在于环境、技术、人为三个方面。

1.环境风险

(1)自然因素：火灾、水灾、地震、雷电、有害生物（霉菌、虫、鼠）、灰尘、有毒有害气体、高温高湿、紫外线等会直接损毁或损害档案。

(2)非自然因素：突然断电、电压不稳定、电磁场、静电会损坏信息系统计算机硬盘及COMS等静电敏感电路，产生干扰信号，破坏档案信息系统数据和影响信息系统正常运行。此外，磁场也会影响离线电子档案数据的稳定。

2.技术风险

(1)计算机病毒感染：破坏计算机功能和数据,给信息系统带来致命打击。

(2)技术故障：硬件缺陷和软件错误或漏洞引起的故障,网络安全策略选择和配置不当也会形成信息系统的安全隐患。

(3)储存介质：档案可使用寿命与储存介质和保存条件有关。电子档案都有数据消失危险，磁盘会因磁性渐渐衰退而失去保存数据功能,光盘则因记录层的信息慢慢退化而无法读取数据。

3.人为风险

(1)人为窃取：直接偷盗实体档案和离线电子档案。通过窃听获取重要涉密信息,冒充合法用户直接访问档案信息系统下载涉密信息,造成企业甚至国家的涉密信息泄露，使企业经营、知识产权甚至国家的经济、核心技术等受到重大损失。

(2)人为攻击：在窃听获取信息的基础上，对数据进行篡改、删除，从而造成更严重的后果。

(3)档案利用：企业档案管理人员疏忽涉密档案的保密性,随意扩大涉密档案的利用范围，扩大涉密信息的知晓范围。实体档案被直接利用时容易损坏,电子档案则易被更改。

(4)麻痹大意：企业网络管理人员没有保护好用户账号和密码,档案管理人员将自己的账号转借他人或与别人共享,都会构成档案信息系统的信息安全隐患。

(5)管理方式改变：管理人员对电子文档打印成纸质文件归档的认同度低，认为电子文件随时都可方便地利用，没有必要打印成纸质档案。另外，企业各类信息系统中的许多数据要通过集成、优化整合后才能成为档案信息。

（6）数字档案:档案数字化、声像档案工作，编辑没按标准要求进行，影响了文件的保真度，或编制的文件太大而浪费磁盘空间，甚至影响系统稳定。

二. 档案安全风险的预防与控制

从上述分析可以看出，档案安全风险主要来自于自然灾害、外部攻击、企业内部、客观环境、储存介质。其中自然灾害、外部攻击是没法控制和阻止发生的事，但可通过完善基础设施，加强网络安全把不可控灾害转变为可预防的风险；由企业内部产生的风险则可通过加强内部管理来防止；由客观环境、储存介质而产生的风险则可采取一定手段和措施加以避免。

因此，预防和控制档案风险要通过加强企业内部管理，提高档案安全认识；通过完善基础设施和防护措施，实现档案实体的安全；通过提高信息系统的网络安全，实现档案信息的安全。

1．完善基础设施和防护措施 实现档案实体的安全

(1)档案实体的保存

档案库房是保存档案的场所。库房要有利于档案的长久保存，抵御自然灾害。为此，新建、改建、扩建库房设计要按《档案馆建筑设计规范》要求，并结合企业自身的条件进行。库房建筑的抗震强度应不低于7度，防雷保护措施不低于三级，远离易燃易爆场所，保持空气流通及排水通畅。如档案的装具是密集架，则库房楼面活荷载应不小于12KN/M2，此外还须装有必要的防盗、防火、温湿度控制设施，使库房温度保持在14—24摄氏度，湿度在40%—60%之间，达到防火、防盗、防潮、防尘、防有害气体、防有害生物（霉、虫、鼠）和防高温的9防要求。同时要考虑未来档案的增长量,留有充分的存放空间。电子档案存放应符合电磁安全屏蔽要求，在无分库保存的条件下可将磁性载体、光盘等电子档案分别置防磁柜内。因光盘较薄，物理强度较低，不宜水平叠放以免形变而影响数据读取，而应置光盘盒内垂直存放在防磁柜内。

(2)档案的数据迁移和异质备份

利用纸质档案和电子档案的优点，实行数据迁移、异质备份，能弥补他们各自的不足，达到方便利用档案，信息长久保真可读之目的。由于电子档案会产生数据失真和消失的情况，因此要采取措施，防止这种情况的产生。通过定期检测离线电子档案，将有安全隐患的离线电子档案的数据及时迁移到光盘上，可防止数据失真、丢失。对光盘可通过应用光盘检测仪，确切把握光盘数据状况，按国家标准达到3级预警线时，适时将数据迁移到光盘或新的储存介质上。但是电子信息的读取要保持与录制时硬件设备和软件兼容的条件下才可进行，而电子信息技术发展是如此之快，这无疑给电子档案的利用、复制带来了难题。如90年代的磁盘，用现在电脑根本无法读取数据，为此每到软件或硬件不能兼容前就要升级转换、迁移到新的格式上。数据不断地转移，可靠性难以保证。因此，为了确保电子档案数据长久保真可读，还必须将重要的电子档案打印成纸质档案。纸质档案虽有直观，保存时间长久之优点，但利用不方便，且利用时易被损坏。利用电子档案易复制和利用方便的优点，将纸质档案进行数字化，就可达到方便纸质档案的利用和保护纸质档案原件的目的。

2．建立信息系统安全体系 确保档案信息安全

信息系统安全体系是集人、技、物于一体的复杂的系统性工程。通过建立以防止信息系统的实体安全风险为基础，以防止信息系统的信息安全风险为核心安全体系，实现信息系统的档案信息的保真、保密、保存、保读。

（1）防止系统硬件和运行环境的安全风险

主机安全关系到整个信息系统的安全。为了主机运行安全，机房要能抗震防雷、抗静电、防电磁辐射、电压稳定、防火、防有害气体、保温保湿。为此机房建设应按《电子信息系统机房设计规范》执行。位置要远离易燃、易爆、有害气体、粉尘与油烟、强电磁场等场所，机房内所有设备的金属外壳、各类金属管道与线槽、建筑物金属结构等必须进行等电位连接并接地，采用不间断电源系统专用供电,根据不同的情况和要求采取相应的电磁屏蔽措施，安装必要的空气调节、环境与设备的监控、安全防范和消防系统。要根据需求和条件，选用有利于长期安全运行和数据长久稳定，储存量满足需求的主机及匹配的辅助设备和网络设备。

（2）防止信息系统信息的安全风险

信息系统的信息安全就是要实现信息的完整性、机密性、可用性。为此，通过身份认证、权限控制、数据加密、防火墙、入侵检测系统实现控制系统可登入的人员及其登入系统后可访问和操作的范围，阻止外部非法用户的入侵，驱逐各种攻击，达到防止信息泄密、信息被窃听与篡改的目的。如需要还可用物理隔离、防水墙实现内网与外网的完全隔离，有效防范企业敏感信息的泄露,有效防止档案利用时易被修改的隐患。为了防止病毒的攻击，不得安装盗版软件，安装病毒防护软件并定期更新安全补丁和病毒库。同时要制定信息系统管理规定，把信息安全责任落实到每一部门及每一位办公室员工。提高员工安全意识，保护好自己的账号和密码；严禁信息内网办公计算机通过任何方式连接信息外网或互联网；不经检查不得接入移动储存介质和便携式电脑；禁止下载任何信息至未经授权的移动储存介质及便携式电脑。对系统数据进行全备份，以便在发生突发事件使系统崩溃或数据消失时能及时恢复。

3．建立档案规章制度，实现档案安全管理

档案安全管理涉及面广,要在领导重视、企业档案部门努力、各部门支持配合下协同完成。要以国家的法律法规为依据，制定档案管理各项制度、标准。通过制定档案归档制度、档案归档范围及其保管期限表、档案保密制度、档案借阅制度、档案鉴定与销毁制度、突发事件档案应急处理预案、企业信息系统管理规定等一系列规章制度,规范档案管理，堵塞工作漏洞，实现档案管理到那里,档案安全管理就到那里，实现从档案形成到利用安全风险的全程控制。

（1）建立起以档案部门为主各部门为分支的档案管理网络，使企业归档工作落实到每个部门及每个工作人员，实现归档工作的层层负责落实。按“谁形成、谁负责”的原则，根据企业档案归档范围和各部门的业务范围，明确各部门归档内容及责任。档案人员则要加强文件材料形成和归档的前端控制和全程控制，有关领导要加强业务指导和监督，确保文件及时归档并符合质量要求。此外，要研究和解决如何将企业各类信息系统内的数据经整合优化连到档案管理信息系统的难题。

（2）档案管理人员要不断学习，与时俱进，掌握现代化档案管理的技能,掌握现代化办公设备的操作，电子档案防护上要按国家档案行业的标准进行,并注意保持兼容性。

（3）严格执行档案库房、档案办公与阅览三分开制度，除有特殊原因禁止非档案部门人员进入库房。严格借阅制度,禁止有损害于档案安全的任何行为。能不借出档案尽量不借出,尽可能用电子档案、副本提供利用,以保护档案原件。档案保密管理制度中要包含保密档案范围、密级及利用对象范围，处理好保密档案利用和保密的关系，严格保密档案利用审批手续。将保密档案和普通档案分开组卷和装订。

（4）建立档案容灾机制，实行重要档案集中存放，异质备份、异地备份、重要档案多套备份，进行档案突发事件应急演练。

综上所述，档案安全风险的形成原因是多种多样且复杂地交织在一起。防止企业档案安全的风险, 要以预防为主、防治结合为原则,组成集人、技、物三防一体的综合安全防范体系,根据档案实体和档案信息的特点和形成风险的各种因素，制定相应的对策 ，才能构筑起抵御档案各种风险的坚固防线。要实行档案实体和档案信息并重的安全策略，完善库房、机房基础设施和防护措施，实行异质、异地备份，重要档案多套备份,应用网络信息技术的安全措施，采用严格的管理制度和规范的管理，建立档案容灾机制,达到有效控制和防止档案安全风险，实现档案保真、保密、保读、保存的安全目标。

（作者系上海市电力公司检修公司）