档案信息安全治理对策分析
2021-11-23塔里木大学档案馆王璐
文/塔里木大学档案馆 王璐
“互联网+”模式已经成为各行各业发展的新趋势,这既带来了发展机遇,也使档案管理面临着前所未有的挑战。其中关于档案安全的问题尤为突出。面对错综复杂及快速更新迭代的局面,档案信息的安全管理手段也要随之多样化,将技术手段、制度标准与实际工作结合起来,协同管理,最终才能取得良好的效果。
一、档案信息安全技术的应用
目前随着计算机技术的发展和普及,信息化手段和数字化技术已在档案管理中普遍应用。信息技术无论在档案收集、基本信息处理、内容传输、档案信息存储还是后期查阅环节,都能大大提升工作精度和准确度。然而,在这些环节中,由于恶意盗窃、程序病毒和错误操作而导致信息丢失的风险是不可避免的。档案信息安全保护措施就是在这些问题出现后应运而生。到目前为止,在档案信息安全管理的过程中,最常用的技术手段有:
(一)数字签名。数字签名是将科学技术手段应用于签字技术中,确保文档来自本人,并且内容没有被第三人所修改。常用的相关技术主要是证书式数字签名和手写数字签名。证书式数字签名是在不使用文档签名者个人公钥的情况下,对发送的文档进行加密,以便将内容转换为字母数字字符串,同时发送公钥以使文档生效,文件接收方利用公开秘钥,通过特定的计算方式进行解码,检验数字签名的真伪;而手写式数字签名本质上是利用文字处理软件中存在的专用功能,使得文件发出者的个人签名出现在接收方的屏幕上,也可以用压敏笔签在手写输入板上,这种通过硬件支持的方式采集的签名与生活中在纸上的签名是完全相同的。
(二)加密手段。加密手段可将文件的安全性大幅度提升。工作中的加密手段基于使用不同的要求采用不同的方式,在传输和接收的过程中,常规方式是采用“双密钥码”来实现加密。其工作的方式是在公共网络中的个体之间设置“私钥”和“公钥”两个密钥,一个是用于公开的解密密钥,另一个是保密的加密密钥。发送方发送带有公钥的电子版材料,接收方使用已掌握的对应解密密钥对材料进行解密操作后才可查看其具体的内容。在此种模式和方式下,任何一方都可以使用自己的公钥进行发送文件的操作,但只有收件人才能解开并查看文件的实际内容,而非收件人只能查看到乱码。
(三)身份认证。身份认证的技术主要是在系统内拒绝向提供无隶属关系的对象提供服务。例如在金融行业的安全系统中,用户和密码之间的设置就是身份验证技术的常见应用。在最初登录管理系统时,首先必须由具有特定的用户密码或管理员的密码进行授权操作。最基本的方法是依据不同角色的用户,提供其一个由字母和数字组合而成的基础密码。用户使用基础密码登录,系统首次仅识别密码。登录后,还需要检查如指纹、人脸识别等一些生物特征的具体资料,完全正确才能进入系统;如果检查时出现问题,将发出警告或直接关闭登录页。
(四)防火墙。防火墙是一种用于控制访问的技术。确切地说,就是要在内部与外界之间,安装一套检测与拦截通信状态的专用设备。其本质是对来自外网的各种尝试性非法操作进行监测及拦截,同时还要对内部传输的各种信息进行身份辨别。降低核心机密在传输过程中被意外获取及披露的可能性。
二、档案信息安全管理体系的设计
档案安全管理体系在基础搭建的过程中,需要档案管理机构和各类档案用户之间互相配合,共同设计和规划。在某种程度上,包含了大量的基础档案信息的数据结构。另外,还要考虑档案用户的各个层次的直观需求,因此在架构的选型上,综合考量,优先选择B/S架构(即浏览器和服务器的架构模式),能更加良好地支持系统的远程管理,而且可以满足多数用户同时上线的要求。档案信息安全管理体系应包含五个基本内容:第一类是基础信息管理,包括数据库和用户提示信息。在用户信息中,主要内容依据用户角色的权限属性和用户对应的类别来区分;第二类是系统各项备忘记录,包括相关的联系人和操作记录;第三类是核心级别数据库;第四类是管理工具,包括记事本等;第五类是制度管理,包括用户设置、系统注销和重新登录。此外,档案机构还可以根据自身工作需要购买相应的管理平台,直接投入使用。
三、仍待完备的档案信息安全业务规范
按照《档案法》和档案机构相关管理制度的规定,制定详细的网络电缆线路、通信设备等基础网络设施施工管理流程,以及各种服务器、交换机等核心设备的使用及运维的规范管理,以保证档案管理机构在主机房和网络之间运行的内部文件信息系统能够流畅操作,同时建立档案管理机构内部用户查阅档案的相应备案及操作规程,最终形成一套完整并且详细的安全管理办法。而对来自外部的公共信息,就要根据文件的属性和机密级别对系统客户端和服务器之间传输的各种信息进行加密操作。同时要对用户的权限进行合理分配和调整,在方便的基础上,赋予其相关的操作权限。
四、应设计全面系统的相关法律体系
在数字档案信息工作的安全管理中,首先要找到依托于法律的支持和规定。在实现各部门和各单位之间的密切合作关系中,各主体之间的地位应符合法律法规的权力规定。这有利于整合法律意识,确保档案信息的安全治理工作快速有效地进行。在现有的档案信息安全治理的法律体系内,其基本上包含有三个层次:即宪法—专门法—部门法。三个层次涉及宪法、信息安全专门法、档案管理部门法。其中宪法给出了在档案管理中的顶层设计的依据,主要包含有涉及维护国家安全和网络安全以及包含国家机密和保密要求等方面的规定。而专门法是用于规范在互联网上的各种信息行为。信息安全专门法包括《国际联网管理办法》《互联网信息服务管理办法》《保密法》《电子签名法》《计算机病毒防治管理办法》《信息安全保护等级管理办法》。具体的应用细节由部门法规划,档案管理部门法主要包括《档案法》《纸质档案数字化规范》《档案数字化外包安全管理规范》等。
五、利害岗位的分离机制
未来档案存在的主要形式是数字档案,组织信息和个人信息由电子载体携带。所以作为档案管理机构,要适应内部控制部门的发展,使各个单位、部门岗位都能各司其职,各负其责,保证在岗位分离的基础上,即使工作职责有所区别,仍能使责任落实到位。这将促使后期形成一种在相互制约的基础上,直接或间接的网状利害关系,从而避免传统岗位在兼职条件下,出现如信息泄露等相关的意外情况。例如,纸质档案和数字档案应该分开;内部审计师不能是财务人员。同时应避免出现身兼多职的情况出现,要采用多种方式的差异化管理,能在一定程度上避免同一对象持有多个位置或多项操作,从而防止各种恶意操作、篡改等事故发生。针对各种大型档案管理系统,原则上更应该严格要求对相关高级权限的岗位进行调整,实行权限交叉分配和深度分离。
六、业务流程程序的控制
内部控制是所有组织必须做的基础工作。它将有效利用所有部门和人员以及相应的资源,促使各个主体之间互相监督。控制工作涉及收集以及库房存储情况,也包括查询借阅工作。在各种应该注意的多项控制环节,采用多种方式和方法,可以保证档案信息在相对安全的环境中工作,避免出现费时费力、利用效率不高的问题。在档案信息收集的前期,应密切注意信息的制作环节,在收集和下一步的管理以及最后的使用过程中,应注重把握对信息的来源渠道以及信息的标准等建立考核和评价机制,切实保证所有控制都在制度规范内,这是档案信息安全管理工作的关键。
七、结语
我国社会经济水平在不断提升,这就要求档案事业要适应新发展形势,抓住新发展机遇。同时,放眼全世界,在信息化背景下,信息技术的应用使档案的载体形式发生了巨大的变化。档案信息化建设需要进一步提高,这不但有益于公开档案信息和共享档案资源,还对档案信息安全的要求更加严格。档案信息安全作为档案工作之底线,无疑是档案工作之根基,决不容忽视档案信息安全工作,红线意识必须强化,确保档案信息资源的管理和使用有序、完备。