档案事业发展中安全保密相关问题的思考
2019-01-27王震亚杨忠清
王震亚,杨忠清
(1.中国电子科技集团公司第二十八研究所,南京 210007;2.南京航空航天大学,南京 210016)
1 引言
全国档案安全工作必须根据形势任务的发展变化不断加强和改进。如今正是信息高速发展的时代,大量的纸质文件逐渐被电子文件取代,为档案工作者带来了全新的挑战,同时,档案的安全和保密问题也浮出水面,论文对档案发展过程中可能遇见的安全保密问题和解决对策展开论述。
2 档案发展中面临的问题
2.1 日常工作中档案资料的损害
在日常的档案管理工作中,受到主客观因素的影响,档案资料存在着被丢失、损坏、污染、篡改和泄密的可能,特别是经常借阅的文件资料,更容易遭到如上述所说的损害,具体情况表现为:操作失误,录入中出现错误,导致数据信息的真实性被破坏;借阅者因保管不当,致使档案资料丢失,造成无法弥补的损失;档案员或借阅者没有好好保护档案原件,档案被撕毁,弄脏,甚至有意去涂改原有的数据;授权人擅自将档案资料给未经授权人查看,资料内容被泄露;由于不可抗的原因,如火灾、地震,使档案资料损失严重。随着档案信息化建设的推进,电子档案资料被损害的可能性就更大,表现为:授权用户滥用权限,随意给他人开放,使数据违规修改、删除;黑客、病毒的攻击,使信息系统瘫痪,档案数据丢失、损坏,以及不法分子对涉密档案资料的窃取。
2.2 档案信息化建设中埋藏的隐患
现在大部分企业单位处于档案信息化建设的初期,还忙于档案管理系统、档案数字化系统等平台的搭建,没有将档案的安全保密问题放在首位考虑。例如,用于档案信息化的电脑、服务器设备存放环境是否存在电磁泄露的可能;是否对电子档案管理系统、档案数字化软件本身存在的安全漏洞进行排查,并采取隔离、防范措施;电脑中的安全策略、防火墙是否启动,杀毒软件是否安装等。同时,为了加快信息化进程,在不注意的情况下还可能违反保密相关规定,混用涉密和非涉密存储介质、计算机设备,涉密计算机未与网络系统隔离等。
2.3 安全保密技术和装备的短板
企业不分规模大小,档案管理工作都属于其中很小的一部分,因为不直接为企业赚取利润,企业高层一般会忽视档案事业发展中经费的投入,导致档案无论是管理水平还是设备设施,都处于落后的状态,安全保密技术和装备自然就相对落后。如今信息化高速发展,新的病毒层出不穷,脆弱的防护设施如同虚设,尤其是涉密档案资料无异于是暴露在光天化日之下,很容易被窃取或丢失,直接影响到一个企业的利益甚至前程发展。
2.4 安全保密责任意识不强
在传统档案管理模式的影响下,大部分档案员的思想还停留在档案保管者的状态下,只知道要将纸质档案保护好在档案库房中。然而由于档案被赋予新的载体,传输的介质也更为多样,档案员此时缺乏相应的计算机网络安全保密知识的学习,直接导致了相关安全保密责任意识的缺失,管理力度不够,监督弱化,档案员没有意识到新的档案模式下安全保密责任的重大。
2.5 档案安全制度的缺漏
一般企业档案安全制度主要包括库房安全制度、人员登记制度、安全备份制度等。目前,国家档案局还未出台相关的制度文件为企业做参考,各企业在档案信息化建设推进过程中很可能遗漏相关安全制度的制定,没有了制度的约束,信息化建设中就会隐藏着很多的安全隐患。例如,档案的数字化外包,应该制定外包人员的操作规范,人员管理规定等,如果没有这些规定,外包人员随意操作,这样对档案的安全保密相当不利。
3 安全保密防范的几点建议
3.1 建立健全并落实规章制度
安全、规范的档案管理少不了健全完善的规章制度的支持。应抓好制度的废、改、立,将单位内已有的档案相关制度进行梳理,废止过时不用的制度,及时添加新内容,有新要求的要抓紧研究制定。尤其是一些新项目、新系统的建立和使用,要及时思考分析其可能存在的安全保密问题,调整不合适的制度条款,在实践中改进安全措施,补全相应的制度,才能使档案安全得以有效保障。要注意统筹规划,确保制度之间相互衔接配套,既要避免制度空白,也要避免交叉重复,应结合档案工作实际制定详细全面的规章制度。
3.2 加强人员教育管理
人是档案安全管理的第一要素,应建设档案安全的人才队伍。现在档案信息化正快速发展,不仅会引进新型的设备,也会采购很多档案信息化要用的系统和软件,这时就要针对这些新事物对档案员进行教育,定期为档案员进行计算机技术、数字化信息技术、网络技术的培训学习,增强其维护档案安全保密的本领,关注设备软件使用中可能存在的安全保密问题,及时发现并解决[1]。
加强档案员的管理,完善档案安全主体责任制,建立一把手为首的安全保密领导小组,制定档案安全应急预案,预估档案管理中可能存在的安全保密问题。档案部门领导带领大家学习有关档案安全的规章制度,签订《岗位保密责任书》,划分职责。档案部门内部建立有效的奖惩机制,对优秀人才给予鼓励,对不能尽责的人员扣除绩效奖金。
3.3 对档案工作进行监督检查
档案部门日常监督和定期检查使档案的安全保密有了更好的保障。档案部门领导可安排年度档案的盘点、季度和月度的档案工作检查,以及日常的自查来保证档案工作流程的规范,并且以集中检查、随机抽查和专项巡查的方式,趁早发现问题,提早预防,及时跟进整改,将问题归零。发生事故后要敢于通报,给对档案安全保密不以为然者敲响警钟,使督查工作起到应有的警示、震慑作用。
3.4 采取档案信息安全保密防范措施
加强信息数据库的维护并备份数据。信息化后的档案有遭病毒黑客攻击、电磁辐射、系统崩溃、硬盘损坏等比实体档案更多的潜在风险,需做好数据库的维护工作,消除信息被删除、损坏、更改的可能。虽然信息化后的档案已有实体和电子两份,但基于数字档案信息安全的不确定性,应将重要的档案再次备份,可以建立云存储备份中心,这样既能降低档案损失的风险,也可以将档案集中起来供开发利用。
在档案数字化处理场所设立安全保密设施。因工作量大、耗时较多的档案数字化处理往往需要企业外包给外单位,但涉及的大都是重要且涉密的档案资料需要数字化,所以要在数字化处理场所中无死角地安装摄像监控,配备视频、防盗报警系统,安装门禁,限制人员的进出,不允许将任何与工作无关的东西带入数字化场所,防止事故的发生[2]。
采取技术手段构建安全防护体系。首先,架设防火墙,若有不安全因素可以自动过滤并提醒用户,提高内网的安全系数。其次,利用防水墙技术,其主要针对内网安全系统,防止重要的档案数据被窃取。最后,由于网络中存在各种隐患,传输数据的不安全性较大,还需采取网络隔离技术使内外网之间通过一个中间设备实现数据交换,以安全为基础互联互通,它可以有效解决操作系统、网络应用以及安全策略等漏洞问题。另外,可以采用数字签名、账户加密保护、漏洞扫描工具、非法入侵检测系统等手段提高档案资料的安全性和保密性。
4 结语
档案管理正在迅速发展中,档案逐渐信息化、数据化后再进行开发利用,档案的保管和使用方式变得更加多元,加上档案的信息化建设才刚刚起步,信息安全保护较为薄弱,安全保密威胁不仅是来自网络,还潜伏在信息管理各个环节中。安全保密问题不容忽视,档案管理部门应加强安全防护建设,保证档案安全、有效。