论档案信息化工作中的信息安全问题
2017-12-12郭欣
郭欣
摘 要:近年来随着我国档案信息化工作的不断深化,档案信息安全问题也越来越突出。筑牢档案信息安全防线,已然成为目前档案管理工作必须攻克的重难点问题。为此,各级档案局(馆)领导和工作人员应提高防范信息风险的意识,认真学习相关法律法规,加强档案信息安全宣传;要构筑立体化的档案信息安全保障体系;技术与管理并重,两手都要硬,从人员管理、制度规范等各个方面进行综合保障。
关键词:档案信息化 信息安全 对策
中图分类号:G271 文献标识码:A 文章编号:1672-3791(2017)10(b)-0004-02
Abstract:In recent years, with the deepening of the archives informatization in our country, the security of archival information has become more and more prominent. Build the archives information security defense, has become the important and difficult problems of archives management work must overcome the present. Therefore, archives (Museum) at all levels of leadership and staff should improve the information risk prevention consciousness, to seriously study the relevant laws and regulations, strengthen the security of the archives information publicity; archives information security system to build three-dimensional; both technology and management, with both hands, comprehensive protection from the personnel management, system specification etc. hand.
Key Words:Archives informatization; Information security; Countermeasures
档案信息化是指通过运用现代信息技术实现档案信息资源的规范管理和有效共享、开发与利用。在档案信息化工作中,档案信息资源建设是核心,档案网络建设是重点,深化档案信息资源的开发和利用,更好地为我国各项建设事业服务是目的。近年来随着我国档案信息化工作的不断深化,电子档案数量日益增多,计算机技术和网络技术被越来越广泛地应用于档案工作。与此同时,档案信息安全问题也越来越突出。筑牢档案信息安全防线,已然成为目前档案管理工作必须攻克的重难点问题。本文对档案信息化工作中面临的信息安全问题进行了一些探讨并提出三点具体的对策。
1 档案信息化工作中面临的信息安全问题
档案信息安全所涉及的范围很广,概况说来主要包括档案信息的保密性、真实性、完整性、未授权拷贝和所寄生系统的安全性等5个方面。由于网络环境下的档案信息安全体系建设是保证档案信息安全的关键,加之限于篇幅,本文主要讨论网络环境下档案信息化工作中的信息安全问题。
在中国,互联网早已走入千家万户,2008年,中国网民数量超过美国,跃居世界第一,但网络安全形势不容乐观。今年上半年,从国内的暗云II病毒到席卷全球的Wanna Cry敲诈勒索病毒,再到Petya恶性破坏性病毒,互联网恶意程序数量不仅呈现攀升之势,而且其对于信息安全的危害也不断加大。
《全国档案事业发展“十三五”规划纲要》指出,我国已经“初步建成以局域网、政务网、因特网为平台,以档案信息管理系统为支撑,以档案目录中心、基础数据库、档案利用平台、档案网站信息发布为基础的档案信息化体系。”对于规模日益庞大的档案信息网络而言,黑客入侵、信息失密、病毒泛滥、系统瘫痪等是常见的信息安全风险。加之我国生产和使用的硬件、软件等产品大多建立在国外核心技术之上,信息安全形势十分严峻。
此外,在档案信息网络系统中,由于信息传输过程存在电子信号流动和电磁辐射,窃听成为对档案信息安全保密的重大威胁。目前,在我国各级档案局(馆)局域网和信息门户站点接入的互联网上,信息传输采取广播型方式,从技术角度来讲,被传送的信息从信息源到信息宿要经过大量中间设备的转发,因此,存在信息被窃听和篡改的风险。黑客还可能利用系统和应用软件漏洞,或者通过设置圈套、暴力破解等手段获取口令后侵入档案信息系统,窃取机密信息,篡改档案内容,释放计算机病毒,破坏网站运行。
2 加强档案信息安全的三点对策
首先,各级档案局(馆)领导和工作人员应提高防范信息风险的意识,认真学习《中华人民共和国保密法》《中华人民共和国档案法》《档案信息系统安全等级保护定级工作指南》等相关法律法规,认真分析本单位的实际情况,进一步完善档案信息安全管理制度、标准规范和操作规程,学习运用底线思维,充分考虑档案信息安全可能遭受的极端风险,主动强化档案信息安全工作,而不是等出现了无法挽回的损失再行补救。须知,亡羊补牢不如防范于未然。
此外,各级档案局(馆)管理者一定要把档案信息安全宣传作为一项长期性和基础性的工作来抓,要切实扩大档案信息安全规范宣傳的广度、深度和频度,不断创新档案信息安全宣传的形式,增强档案信息安全宣传的效果,使得每一位工作人员都关注信息安全,自觉维护档案信息安全。endprint
其次,要构筑立体化的档案信息安全保障体系。档案信息系统的复杂性、开放性及其面临威胁的多面性,决定了其安全防护是一项整体性、综合性的系统工程,必须尽量使用各种安全保护措施。应该用系统论的眼光来看待计算机系统的安全问题,从计算机系统的每个元素出发,全面、认真、细致地考察安全问题,提出系统化的解决方法。根据管理学的木桶原理,档案信息的安全水平将由档案信息安全所有环节中最薄弱的环节决定。在安全体系中,任何一个环节出现漏洞,都可能导致整个安全体系的崩溃,带来灾难性的后果,绝不能掉以轻心。为此,要根据“全面防范、主动防御”原则建立起信息安全预警、保护检测、反应恢复的闭环反馈,主动发现并及时消除档案信息安全隐患,把各种安全危险“拒之门外”。众所周知,信息技术的发展速度十分惊人,这就要求人们在构筑档案信息安全保障体系时,一定要采用最先进的防护技术,及时升级信息安全系统,注意采用架构成熟、技术先进、高扩展性、集成度高和运行稳定的软硬件系统。
最后,技术与管理并重。技术与管理是档案信息安全综合防护的基本手段。目前,一些单位领导错误地将档案信息安全看作单纯的技术问题,归于技术部门单独处理。但实际上,档案信息安全保障体系是由档案信息安全法规标准、安全管理体系和安全技术三部分组成的。安全技术及安全产品的应用只是档案信息安全的手段之一,而认真评估信息安全风险、制定信息安全制度、提升信息安全技术、落实信息安全措施等管理性内容,也是档案信息安全保障体系构建的重要内容。因此,要严格按照《全国档案事业发展“十三五”规划纲要》的要求,认真完善落实档案库房的安全管理制度,严格执行国家保密制度,完善档案信息公开的发布保密審查程序;加强对涉密信息系统、涉密计算机和涉密载体管理,建立健全人防、物防、技防“三位一体”的档案安全防范体系。制定数字档案馆应急处理预案,加强演练,提高应对突发事件的应急指挥和处置能力。
参考文献
[1] 宗文萍.档案信息安全保障体系研究[M].北京:中国档案出版社,2010.
[2] 上海市档案局.档案信息化建设[M].上海:上海教育出版社,2016.
[3] 上海市档案局.档案保护与安全[M].上海:上海教育出版社,2016.
[4] 许德斌,裴友泉.针对“互联网+档案”理论与实践的三点思考[J].档案学研究,2017(2):40-44.endprint