信息安全管理论文精选(九篇)

第1篇：信息安全管理论文范文

1、企业信息安全管理要素构成对于企业信息安全管理要素的构成，国际上普遍遵循的是ISO17799:2005标准的分类方法。ISO17799将企业信息安全管理实施分为11个方面，分别是物理和环境安全、信息安全事件管理、人力资源安全、安全政策、组织信息安全、资产管理、通信与操作管理、访问控制、业务连续性管理、信息系统获取开发和维护、符合性。这其中，除了与技术关系较为紧密的访问控制、信息系统获取开发和维护、通信与操作管理这3个方面外，其他信息安全管理要素更侧重于组织整体的运营管理，在实施企业信息安全管理过程中有较高的参考意义。为了实证分析中数据测量方便，本文参考该标准，从企业的角度，按照各要素属性及控制措施的相似性，将ISO17799标准中的11个要素整合为6个要素，分别为组织环境（符合性、安全政策、组织信息安全）、人力资源安全、资产设备安全（资产管理、物理和环境安全）、操作管理（通信与操作管理、访问控制）、应急响应机制（信息安全事件管理、业务连续性管理）和信息系统开发与维护。

2、研究假设

（1）组织环境。

本文中的组织环境侧重于企业中的政策制度、人文环境等软环境，主要指所有潜在影响信息安全管理活动的因素或力量，在企业的信息安全管理中起导向性的作用，具体包括企业的安全政策方针、安全文化氛围和业务符合性等。企业信息安全管理成功的实现离不开组织环境的支持，良好的组织环境对企业的信息安全管理有重要的推动作用，它有助于企业各项安全政策、安全策略的实施。组织的安全政策是组织实施信息安全活动的战略导向。完备的安全政策、方针可以为企业的每一个员工提供基本的行为准则、指南，使得企业信息安全管理的各项活动都有章可循，促进信息安全管理进程的实施。齐晓云（2011）通过实证验证了企业信息系统的失败与缺乏相应的制度与机制保障之间存在强相关关系，制度与机制保障对信息系统成功有正向的影响作用。企业的安全文化氛围等人文环境是组织环境的一个重要组成部分，它是企业的一种无形的管理思想。相关研究表明，环境对人的安全行为习惯养成有着较大的影响。其中，人文环境的影响尤为明显。VanNiekerk（2010）指出，导致信息安全事故的主要因素是企业信息安全文化氛围的减少。良好的安全文化氛围可以提高员工的安全意识，不单能避免由员工的不安全行为所产生的风险，更能促进全体员工参与到保障组织信息安全的行动中来，最大程度消除事故隐患，有效预防和减少各类事故的发生。Herath（2009）通过问卷调研的实证研究验证了惩罚力度是企业员工的安全行为重要影响因素之一，说明企业的政策制度对人力资源安全有着正向的影响。

（2）人力资源安全。

人在企业信息安全管理活动中不仅是主体，也是客体。主体是指许多信息安全控制措施实施的实现是由“人”来完成的；客体是指“人”也是信息安全管理中所要管理的对象。据有关统计表明，在所有的信息安全事故中，约有52%是人为因素造成的，因此，人力资源安全管理显得十分重要。在企业中，高层领导轻视信息安全是导致企业信息安全文化欠缺和员工信息安全意识薄弱的主要因素。中层管理者是衔接企业高层与基层的桥梁，企业信息安全管理实施的效果直接取决于中层管理者对上级决策的执行力度。Ashenden（2008）通过实证研究发现中层管理者的执行力度不足会造成高层管理者和员工之间对信息安全管理存在理解上的差异，这种差异会对企业的信息安全管理产生不利影响。普通员工对信息安全管理的参与配合不够会导致各项安全政策、方针不能准确落实，继而影响到信息安全管理的其他方面。

二、研究过程

1、研究设计与样本

（1）研究设计。

本文在借鉴国内外现有成果的基础上，结合企业信息安全管理的实施程序，设计预测试问卷。问卷采用Likert5点量表对各个项目加以度量，1表示“非常不符合”，5表示“非常符合”，根据答题者对每一项目的打分来判断企业对某一现象表述的态度或看法，若分数越高，认同度越高。

（2）调查样本。

本文采取简单随机抽样的方式形成样本，面向长三角发放调查问卷200份（其中150份通过电子邮件发放，50份通过实地走访企业完成），最终收回155份，有效问卷率为69.5%。调查企业均为中小型企业。

2、测量工具及其信度和效度检验

（1）信度检验。

本研究首先对量表进行信度检验。信度检验采用了学术界普遍使用的Cronbach''''sα系数来衡量数据的内在一致性信度。一般情况下，若Cronbach''''sα系数小于0.35为低信度，在0.35到0.5之间勉强可信，0.5到0.7之间信度较好，大于0.7则属于高信度。本文通过对6个维度进行信度检验，发现6个维度的Cronbach''''sα系数最小值是0.669，其余都大于0.7，量表总体的Cronbach''''sα系数未0.897，表明此量表的可靠性较高，量表选项设计是合理有效的。

（2）效度检验。

首先采用了KMO度量和Bartlett球形度检验对量表的内容效度进行检验。各维度的KMO度量介于0.638到0.907之间，总体样本KMO度量达到0.833，所有的显著性系数均趋近于0，低于设定的显著性水平（p<0.01），表明量表的内容效度较高。从探索性因子分析结果看，信息安全管理量表的每一项目的因子载荷均大于0.55，大于前人所建议的社会科学量表因子载荷0.55的临界值。从验证性因子分析的结果看，除GFI和NFI没有通过检验外，其他统计检验量全部通过检验，整体通过率为77.7%，见表4，因此可以判定量表与数据之间具有不错的拟合性，量表整体结构效度较好。

3、结构方程模型构建

在理论模型的基础上，运用结构方程软件AMOS7.0构建了初始结构方程模型，并进行拟合优度检验。根据运行结果，GFI值（0.884）、NFI值（0.736）、CFI值（0.899）小于0.9的参考值，PNFI值（0.448）小于0.5的参考值，未能通过检验，说明结构模型与数据的拟合程度处于不可接受的状态，因此需要对初始模型进行一定的修正。另外，运行结果表明，组织环境对资产设备安全和应急响应机制的影响路径系数未达显著性水平，因此在修正时将这两条路径删除。修正后的指数均达到模型可以接受的标准，即修正后的结构模型与实际数据可以适配。

4、研究结果

将AMOS输出的路径系数进行整理，其中，直接效应是指潜在自变量到结果变量的直接影响，用潜在自变量到结果变量的路径系数来衡量直接效应的大小。间接效应是指潜在自变量通过影响一个或多个中介变量，而对结果变量的间接影响。在本研究中，组织环境是潜在自变量，它对其余五个结果变量有直接或间接影响。同时，组织环境通过影响人力资源安全，从而对其余四个结果变量产生间接影响，因此人力资源安全是模型的中介变量。上述实证结果表明，组织环境主要通过人力资源安全间接影响资产设备安全和应急响应机制。间接效应系数均为正，分别为0.121和0.27，研究结果对假设H4、假设H5呈现弱支持。总的来说，组织环境对信息安全管理的各个要素有着不同程度的直接或间接的影响，这也验证了组织环境在企业信息安全管理中的中心地位，对企业的信息安全管理有着决定性的影响，企业应该首要考虑如何完善这一要素。人力资源安全对其余四个要素的作用均为正，且四条路径系数都达到了显著性水平，假设H6-H9得到了支持。在这四条路径中，人力资源安全是组织环境和其余四个要素的中介变量，通过该中介变量的间接效应，组织环境对四个潜在变量的总效应系数明显增大。可见，人力资源安全在信息安全管理中发挥中介作用，组织环境通过人力资源安全部分中介作用于信息安全管理其他要素，对其他因素产生关联性影响。因此，企业在信息安全管理活动应充分发挥人力资源安全的中介作用，使各项安全政策、规章制度的实施达到事半功倍的效果。

三、结语

第2篇：信息安全管理论文范文

（一）档案开放的必要性。

进入现代社会，互联网科技十分发达，人们了解获得信息的渠道，方式多种多样。无论国家政府的档案，还是企业公司的档案，都可以通过合法或者非法的方式进入互联网，为公众所知。对于各种档案，进行严密的保管是很难做到的，在当下我们这个信息开放的社会，将档案开放，方便社会群众进行了解，使用，对于维护社会稳定，提升档案的利用价值，提高档案的可靠真实度都有重要的意义。当然，笔者本文所言的具有开放必要性的档案是具有公共利益性质的档案，是能够为人民提供一定服务的档案。对于国家档案，很多在一定时期属于国家机密，是无法对外开放的，但是这并不代表这种档案没有开放的必要性，开放的必要性依旧存在，国家的人民有权利了解国家的相关事务，随着时期的过渡，这些档案会慢慢解密为社会公众所了解；对于企业档案，开放的必要性是针对企业工作的工作人员。企业的领导层以及员工阶层能够方便调取个人以及企业的相关档案对于提高企业工作效率，团结企业有着重要的意义。

（二）档案开放的风险性。

当然，档案的开放具有很大的危险性，存在很大的安全风险。对于国家政府相关的档案，即使在开放之前，考虑再三，十分谨慎，度过了某一敏感的时期，但是，一些档案公之于众之后还是会引起一些波澜。甚至，政府类的档案还容易被心怀叵测的社会主义敌对分子利用，借之进行歪解胡说，蛊惑一批无知又容易冲动的民众，对我们的社会稳定产生很多不利的因素。此外，对于企业或者机关单位的很多档案，为了方便业内人士提取，使用，进行开放后，往往容易造成个人隐私泄密，单位机密泄密，为不法分子提供可乘之机。总之，开放档案，既有方便，积极的一面，同时也面临着很大的风险，存在很大的安全隐患问题。即使开放档案存在这样或者那样，可预知以及不可预知的风险，笔者还是认为，我们不能因噎废食，还是应该将应该开放的档案，大胆进行开放。

（三）档案开放的程序。

所谓的档案开放程序，就是指档案开放所需要进行的必要操作，所必须经历的方法，步骤。只有确立严格的档案开放程序，并且严格按照程序办事，开放符合要求的相关档案，才能降低开放档案带来的风险，同时满足档案开放的必要性，发挥开放性档案的积极作用。不同性质的档案，开放程序不同，有严密繁琐的程序步骤，也有简单章程性的程序，这主要根据档案的重要性来决定。确立明确，严明的档案开放程序，对于档案的有序、科学使用，档案信息的保密都有着重要的意义。

二、信息安全管理的方法策略

（一）管理工作人员的培养。

做好信息安全管理的工作我们首先需要一批具备安全管理信息才能的人才。互联网时代的飞速发展，为我们的社会培养了很多具有互联网知识，IT行业技术的高端人才。我们只要对这些人才进行短期的信息安全管理的培训工作，就完全能够使这些人才胜任信息安全管理的工作。做好信息安全管理工作的首要一步是引进综合素质过硬的人才，并对这些人才进行必要的职前培训，只有这样，企业单位的信息部门才能做到信息的科学，安全管理。既为企业单位提供开放信息带来的便利，同时还要保证信息的安全。

（二）严格管理制度的确立。

确立严格，完善的安全管理信息的相关规章制度，并严格遵守，一切按照规章制度办事，任何人在一般情况下都不能破坏规章制度，调取信息。企业和单位为了做好信息安全管理的工作，就要自上而下严格遵守企业制定的信息安全管理的规章制度。现代企业和事业单位的管理，都要以严格的，先进科学的管理制度进行管理，在信息管理部门同样是如此，好的制度为信息安全管理提供有效的保障。

（三）安全可靠的设备。

档案的管理人员在对档案进行收集与整理的过程中就应该对文件做一个明确的分类，并进行准确的编号。同时要队文件的资料做一个科学合理的分类与陈列，或者是可以依照不同的部门而对其进行分类。提高报关信息设备的安全可靠性。企业和事业单位的信息部一定要完善处理，保管信息的设备，提高信息管理工作需要的硬件以及软件设备的水平。高水平的硬件，软件设备不仅能够提高信息利用的效率，同时还能够提高对信息的保护层级，防治外来黑客对信息进行窃取。

（四）监督审查措施的常态开展。

为了保证信息的安全，要确立严格的监督制度，对单位的信息进行严格的监督，并且做到自下至上的，分工明确，责任明确。成立专门的信息监督小组，通过互联网以及其他相关的技术设备对信息进行监督，管理。对单位的信息要做到定期系统管理，每隔一段时间，对单位所有的信息进行分门别类，系统的管理，淘汰无用的信息，保证信息的时效性。同时，要确立严格的审查，追责制度。首先，定期对信息进行审查，保证信息管理工作的安全可靠，其次，对于信息被滥用，泄露等恶劣事件，要做到严格追责，严厉惩罚。

三、结束语

第3篇：信息安全管理论文范文

关键词：蓝牙密钥DES算法安全机制

蓝牙作为一种新兴的短距离无线通信技术已经在各个领域得到广泛应用，它提供低成本、低功耗、近距离的无线通信，构成固定与移动设备通信环境中的个人网络，使得近距离内各种信息设备能够实现无缝资源共享。

由于蓝牙通信标准是以无线电波作为媒介，第三方可能轻易截获信息，所以蓝牙技术必须采取一定的安全保护机制，尤其在电子交易应用时。为了提供使用的安全性和信息的可信度，系统必须在应用层和链路层提供安全措施。

本文重点讨论了蓝牙信息安全机制的构成原理及相关算法，并指出其在安全性方面存在的不足与问题。因为对于大多数需要将保密放在首位来考虑的应用来说，蓝牙现行标准所提供的数据安全性是不够的。蓝牙现行规范采用的128位密钥长度的序列的加密在某些情况下可以被破解。本文同时提出了一种蓝牙安全机制的改进方案，即采用DES加密体制构建强健的加钥算法，能够在计算上证明此加密算法是安全可靠的。

1蓝牙的安全机制

蓝牙采取的安全机制适用于对等通信情况，即双方以相同方式实现认证与加密规程。链路层使用4个实体提供安全性：一个公开的蓝牙设备地址，长度为48bit；认证密钥，长度为128bit；加密密钥，长度为8～128bit；随机数，长度为128bit。以下重点讨论蓝牙安全机制的组成及相关算法。

1．1随机数发生器

随机数发生器在蓝牙标准中有重要应用，例如在生成认证密钥和加密密钥中以及查询-应答方案中等。产生随机数的理想方法是使用具有随机物理特性的真实随机数·发生器，例如某些电子器件的热噪声等，但是在实际应用中通常利用基于软件实现的伪随机数发生器。蓝牙系统对于随机数的要求是“随机生成”和“非重复性”。“随机生成”是指不可能以明显大于零的概率(对于长度为L位的蓝牙加密密钥，概率大于1／2L)估计出随机数值。

目前在众多类型的伪随机数发生器中，线性同余发生器(LinearCongruentialGenerator)被最广泛地研究与使用。其表达式为：

Xn+1=αXn+c(modm)n≥0。

式中α和c为常量，m为模数，均为正整数。αXn+c对m作模运算后得到Xn+1。开始时以某种方式给出一个种子数X0；然后使用前一个随机整数Xn生成下一个随机整数Xn+1，由此产生整数随机数列{Xn}。

1．2密钥管理

蓝牙单元密钥长度不能由单元制造者预置，不能由用户设置。蓝牙基带标准规定不接收由高层软件给出的加密密钥以防止使用者完全控制密钥长度。

1．2．1密钥类型

链路密钥是一个128位随机数，为通信双方或多方共享的临时性或半永久性密钥。半永久性链路密钥可以用于共享链路单元之间的几个相继认证过程中。临时密钥的典型应用是：在点对多点通信情况下，同一信息需要安全地发往多个接收端，这时采用主单元密钥取代当前链路密钥。蓝牙标准定义了四种链路密钥：①联合密钥KAB；②单元密钥KA；③临时密钥Kmoster；④初始化密钥Kinit。此外还定义了加密密钥Kc，由当前链路密钥生成。对蓝牙单元来说，单元密钥KA在单元A中生成，依赖于该单元，很少改变。联合密钥KAB。由单元A、B方共同生成。临时密钥Kmoster仅在当前会话中使用，也称主单元密钥。初始化密钥Kinit是蓝牙初始化过程中使用的链路密钥。该密钥由一个随机数、一个通常为十进制的PIN码以及发起单元的蓝牙设备地址BD_ADDR生成。PIN码可由用户选择也可以是随蓝牙一起提供的固定数。目前大多数应用中PIN码为4位的10进制数，无法提供较高的安全性。蓝牙基带标准要求PIN码长度为1～16位，因此建议尽量使用较长的PIN码以增强安全性。

1．2．2密钥生成与初始化

每一对要实现认证与加密的蓝牙单元都要执行初始化过程，其过程由以下几部分组成：

(1)生成初始化密钥Kinit:为初始化过程中临时使用的链路密钥。该密钥由E22算法及相关参数生成，其生成原理图见图1。E22输出的128位初始化密钥Kinit用于链路密钥的交换分配过程。如果申请者与证实者没有交换过链路密钥，则Kinit用于认证过程，否则不再使用。该过程必须保证能够抵御一定的攻击，例如攻击者使用大量的假蓝牙地址BD_ADDR来测试大量PIN等，如果设备地址固定则每次测试PIN码等待间隔应按指数增加。

(2)认证：如果两个单元没有发生过通信联系，则使用初始化密钥作为链路密钥。每次执行认证规程，均新随机参数AU_RANDA。在相互认证中，首先在一个方向执行认证规程，成功后再反向执行认证。认证成功将得到一个辅助参数ACO，即认证加密偏移量。它将用于生成加密密钥。

(3)生成单元密钥：单元密钥在蓝牙单元首次运行时生成，根据E21算法生成并几乎不改变。初始化时，通信双方通常选用一个内存容量较少的单元中的密钥作为链路密钥。

图3

(4)生成联合密钥：联合密钥是分别在A单元与B单元中生成的两个数字的组合。生成过程是：每个单元生成随机数LK_RANDA与Lk_RANDB，采用E21算法与各自的随机数、蓝牙地址分别生成另一个随机数LK_KA与LK_KB，并通过其他操作后两个单元得出联合密钥。然后开始互相认证过程以确认交互过程成功。联合密钥交换分配成功后将放弃使用原链路密钥。

(5)生成加密密钥：加密密钥Kc根据E3算法，由当前链路密钥、96bit“加密偏移数”COF和一个128bit随机数导出。

(6)点对多点配置情况：实际上，主单元通知几个从单元使用一个公共链路密钥广播加密消息，在多数应用中这个公共链路密钥是临时密钥，记为Kmoster。Kmoster被从单元接收后便可用它替代原链路密钥Kmoster的产生过程为：首先由2个128bit的随机数RAND1与RAND2生成新链路密钥Kmoster：Kmoster=E22(RAND1，RAND2，16)。然后将第3个随机数RANO发往从单元，主、从单元根据E22、当前链路密钥及RAND计算出128bit扰乱码overlay，主单元将overlay与新链路密钥按位“异或”结果发送给从单元，再计算出Kmoster。在后面的认证过程中计算出一个新ACO值。

1．3加密规程

对有效载荷加密通过流密码算法实现，流密码与有效载荷同步，加密原理图如图2所示。流密码系统由三部分组成：执行初始化、生成密钥流比特、执行加密或解密。有效载荷密钥生成器将输入比特流以恰当顺序进行组合并移人密钥流生成器使用的4个线性反馈移位寄存器LFSR。第二部分是主要部分，密钥流比特根据Massey与Rueppel提出的方法生成，该方法经过一定的分析与研究，证明具有较高的加密性能，但此法可能受到相关攻击，其改进方法在本文后面详细描述。

1．3．1商定加密密钥长度与加密模式

实现基带标准的蓝牙设备需要定义最大允许密钥字节长度Lmax，1≤Lmax≤16。在生成加密密钥前，有关单元必须商定密钥实际长度。主单元将建议值L(M)sug发送给从单元。如果L(S)min≤L(M)min并且从单元支持建议值，从单元对此给予确认，L(M)min成为本链路加密密钥长度值。如果不满足上述条件，从单元将向主单元发送新的建议值L(S)min〈L(M)sug，主单元对此建议评估。重复此规程直至达成协议或一方放弃商谈。

1．3.2加密算法

加密规程使用流密码加密。加密系统使用线性反馈移位寄存器(LFSRs)，寄存器系统输出由具有16状态的有限状态机进行组合，状态机输出或是密钥流序列，或是初始化阶段的随机初始值。加密算法需要提供加密密钥、48bit蓝牙地址、主单元时钟比特与128bit随机数RAND，加密算法原理如图3所示。

其中，有4个LFSR(LFSR1，…，LFSR4)，比特长度分别为L1=25，L2=31，L3=33，L4=39，反馈多项式(抽头多项式，特征多项式)。4个寄存器长度之和是128bit。

这些多项式都是本原多项式，汉明重量都为5，可以兼顾生成序列具有良好的统计特性与减少硬件实现所需要的异或门数两方面的要求。

令xit表示LFSRit时刻输出状态比特，由四元组(x1t，…，x4t)得Yt为：

，式中Yt为整数，取值为0，1，2，3或4。加法生成器输出由下述方程给出：

式中，T1［.］与T2［.］是GF(4)上两个不同的线性双射。

密钥流生成器工作前需要为4个LFSR(总共128bit)装载初始值并且确定C0与C-14bit值，这些132bit初始值使用密钥流生成器由规定的输入量导出，输入量分别为密钥Kc、48bit蓝牙地址和26bit主单元时钟CLK26-1。加密算法初始化过程：(1)由128bit加密密钥Kc生成有效加密密钥，记为K＇c，令L(1≤L≤16)为用8bit组数目表示的有效密钥长度，则K＇c(x)=g2(L)(x)(Kc(x)modg1(L)(x))。(2)将K＇c、蓝牙地址、时钟以及6bit常数111001移入LFSR。加密算法初始化完成后，从加法组合器输出密钥流用于加密／解密。

1．3．2认证

蓝牙技术认证实体使用所谓查验-应答方案。通过“两步”协议，申请者是否知道秘密密钥使用对称密钥进行证实。这意味着，一个正确的申请者／证实者对，在查验-应答方案中将共享相同密钥Kc，证实者对于申请者是否能够认证算法K1认证随机数AU_RANDA，并返回认证结果SERS，进行查验。其认证及加密密钥生成函数可以参考相关资料，此处略。

2蓝牙安全机制的方案改进

现有蓝牙安全机制主要存在两个主要问题。一个是单元密钥的使用问题：在鉴权和加密过程中，由于单元密钥没有改变，第三方利用此密钥来窃取信息。128位密钥长度的E0序列加密在某些情况下可通过不是很复杂的方法破解。另一个是蓝牙单元提供的个人识别码(PIN码)的不安全问题：由于大多数应用中PIN码是由4位十进制数组成，所以采用穷举法很容易攻击成功。

克服这些安全性问题的解决方法除了增加PIN码长度外，关键是要采取更为强健的加密算法，如用数字加密标准DES代替序列加密算法。DES是一种块加密方法，加密过程是针对一个个数据块进行的。在DES算法中，原始信息被分为64位的固定长度数据块，然后利用56位的加密密钥通过置换和组合方法生成64位的加密信息。与蓝牙序列的加密算法不同，数学上可以证明块加密算法是完全安全的。DES块密码是高度随机和非线性的，其产生的密文和明文与密钥的每一位都相关。DES的可用加密密钥数量非常庞大，应用于每一位明文信息的密钥都是从这个庞大数量的密钥中随机产生的。DES算法已经被广泛采用并认为非常可靠。采用DES加密算法的蓝牙技术可以将蓝牙应用到安全性较高的应用中去，例如电子金融交易、ATM等。

2．1DES算法

1977年美国国家标准局公布了联邦数据加密标准DES。由于DES算法保密性强，迄今尚无切实可行的破译方法，所以DES得到了广泛地应用。DES是一种分组密码体制，它将明文按64位一组分成若干组，密钥长为56位。其基本思想是采用变换的组合与迭代，将明文中的各组变为密文组。

在DES系统中，乘积变换是加密过程的核心，连续进行16次操作，每次更新一组密钥。移位变换B是移位变换A的逆变换。图4为DES体制加密流程，图的右侧表示DES系统的密钥生成过程。初始密钥是一串64bit的随机序列。经过反复移位变换，产生16组子密钥(K1～K16)，每组子密钥用于一次乘积变换。所谓初始重排(IP)就是打乱输入分组内比特原有排列次序，重新排列，排列方式是固定的。

DES的一次乘积变换运算步骤为：(1)把64bit输入码分成左右两组，每组32位比特，分别用Li-1和Ri-1代表。其中i代表第i次乘积变换，i=1～16。(2)把该次乘积变换输入分组的右组32位比特变为输出分组的左组32位比特，即Li=Ri-1。(3)输入分组右组32位比特经过扩展操作变为48位比特码组。(4)扩展变换输出的48位比特与子密钥Ki的48位比特按模2相加，输出的48位比特分为8组，每组6位。(5)把每组6位比特进行密表(S-盒)替代，产生4位比特。输入的6位比特的第1、6两位决定密表内所要选择的行数，其余4位决定密表内的列数。(6)把8组密表输出合并为32位比特，然后与本次乘积变换输入左组Ci-1按位模2相加，即可得到第i次乘积变换的右32位输出Ri。

2．2DES算法的特点

DES算法具有以下特点：

(1)DES的保密性仅仅取决于对密钥的保密，算法公开。

(2)在目前水平下，不知道密钥而在一定的时间内要破译(即解析出密钥K或明文)是不可能的，至少要建立256或264个项的表，这是现有资源无法实现的。

(3)由于“雪崩效应”，无法分而破之，一位的变化将引起若干位同时变化。

综上所述，由DES算法构建的蓝牙安全机制是可靠的，采用穷举方式攻击是不现实的。假设有一台每秒完成一次DES加密的机器要用将近1000年的时间才能破译这个密码。

第4篇：信息安全管理论文范文

现代计算机网络技术的发展，为我国档案信息管理提供了现代化的管理手段和方式。档案信息是社会生产活动的真实记录，是一种不可否认的社会史实；另外站在更高的角度来讲，档案又是一种重要的信息资源，与社会生活和经济活动密不可分。从目前来看，可利用的社会资源越来越少，社会上的虚假信息越来越多，人们为了自身的发展，不惜一切代价获取真实的信息资源。重要的档案信息资源对个人来说，可能为个人的成功提供了机会；对一个企业来说，可能是帮助企业渡过难关，获得最大效益的法宝；对一个国家来说，信息资源甚至决定国家的兴衰。由此可见，档案信息资源在国家社会生活的方方面面发挥着深远的影响，具有重要的价值。因此，做好档案信息的安全管理工作是当前档案工作的重中之重。

二、档案信息安全管理的现状分析

近年来随着计算机网络技术的发展，我国的档案管理模式基本上分为两种：实体档案信息管理和电子档案信息管理。下面针对不同的档案信息管理模式，对其现状和存在的问题进行分析。

1.实体档案信息管理

实体档案信息管理是长期以来一直沿用的管理方法。实体档案信息管理需要大量的档案馆库做支撑，但是我国目前的档案馆库多是20世纪80年代的建筑，特别是在经济发展相对缓慢、生活贫困的地区，其中不少档案馆库及设施在漫长的岁月演变中变得破败不堪，档案库房的功能大大减弱，这对档案信息的存放和保管构成了严重的威胁。不仅档案馆库等建筑设施的状况影响档案信息的安全，在档案信息管理中同样存在严重的安全漏洞。主要表现在以下几方面：首先，字迹不清晰。受到历史条件的制约，以前很多纸质档案书写所用的材料不符合规范，形成大量的铅笔、圆珠笔字迹，再加上时间久远，档案保护不当，造成档案字迹模糊不清晰。其次，档案信息保护环境不良。在档案存放和保管过程中，由于存放环境的恶劣导致档案的破坏屡见不鲜。最后，档案的自然损坏严重。档案信息的自然损坏主要是历史原因所致，由于存放时间比较久远，记录档案信息的载体经过漫长的时期发生了不同程度的损坏，导致所记录的档案信息随之发生损坏。

2.电子档案信息管理

随着经济发展水平的不断提高，特别是计算机、互联网和信息技术的出现和应用，为档案信息管理提供了新的管理手段和方法。电子档案信息管理不仅保证了档案管理的高效性，还节省了档案信息管理的经济成本。但是由于受到技术发展水平的限制，电子档案信息管理受到网络黑客的攻击和威胁，电子档案信息管理工作同样面临严峻的安全问题，主要存在以下两方面问题。

(1)档案信息在查询利用过程中面临安全威胁

由于目前经济发展水平的限制，电子档案信息管理并没有形成统一的机制。因此导致电子档案信息系统平台不一致，在管理上无法达到统一规范，造成电子档案信息管理网络环境不稳定，极易遭受网络攻击。目前并没有专门为电子档案信息管理建立的安全可靠的局域网，也没有针对档案信息安全管理的完善的法律法规，这种管理上的不到位致使电子档案信息在利用的过程中受到网络环境的影响和损害。

(2)电子档案信息管理系统功能不够强大

电子档案信息是一种重要的信息资源，一个单位档案信息的失窃可能会给一个企业带来巨大的经济损失，一个国家的档案信息泄漏，严重的会引发国与国之间的矛盾或战争。尽管国家对电子档案信息管理十分重视，并且出台了涉及国家秘密的信息系统审批管理相关法律法规，但是由于受到各种条件的限制，不少地区的电子档案信息管理系统功能并不能达到国家相关规定的要求，从而使档案信息安全面临极大风险。具体到系统的登录权限、身份识别、数字认证、指纹识别等功能都有待进一步的完善和提高。

三、档案信息安全管理措施探析

1.增强档案实体管理

档案实体管理是一种重要的管理形式，针对档案实体管理中出现的问题，应着力发挥国家的财政支撑作用，对不符合标准的馆库及时进行修整，对库房的防护功能定期进行检查和确认，确保档案信息管理硬件环境的安全。

2.营造电子档案网络安全环境

众所周知，档案信息具有严格的保密性，是十分重要的信息资源。这就要求我们一定要营造一个安全的电子档案网络环境。首先对于网络应用的硬件和软件系统要进行有效的保护，防止网络黑客及病毒的袭击是不容忽视的，要不断研究和升级防范网络黑客攻击的技术，将档案信息的安全隐患降到最低。其次还要对电子档案的网络系统功能进行完善和升级，对网络系统的登入采用先进的指纹识别技术，进行严格的身份验证，从而建立强大的网络系统。

3.加强行政保护

档案信息来源于社会生活和社会生产，为国家经济建设和经济活动的开展提供必要的信息支持。随着国家经济建设的不断发展，档案信息的发展与传播步伐也越来越快，并逐渐对社会生活的各个领域产生不可估量的影响和作用。首先国家要重视并宣传档案信息的重要性，使人们普遍树立档案信息的保密意识，其次还要采取一定的行政手段，制定相关的法律法规，约束和规范档案信息安全管理，特别要对电子档案网络安全管理系统制定严格的规范，从而在制度保障的前提下建立强大的档案信息安全系统。

四、结语

第5篇：信息安全管理论文范文

1.1信息化、信息化安全的含义信息化是指培养、发展以计算机为主的智能化工具为代表的新生产力，并使之造福于社会的历史过程。它不是一件孤立分散的东西，而是一个具有庞大规模、自上而下、有组织的信息网络体系。而信息化安全，顾名思义是指网络里的信息安全，具体来说是指网络系统的硬件、软件及其系统中的数据受到保护，防止恶意攻击，使系统能够连续、正常地工作。由此可见，信息化安全具有保密性、完整性、可用性、可控性和不可否认性五大特征。

1.2信息化安全在计算机管理中的重要性对高校而言，校园内的信息化管理主要就是校园网的问题，这其中包括教学局域网、图书馆局域网、办公自动化局域网等。高校外网则主要是指学校提供对外服务的服务器群、与因特网的接入和远程移动办公用户的接入等。由此可见，信息化安全在高校教学、科研和管理中的影响越来越广泛。

2计算机管理中常出现的问题

2.1计算机信息化缺乏专业的管理在计算机信息化管理中，信息化安全并不被重视，尤其是在高校里，虽然安排了相关工作人员对其进行监管，但管理人员多数是缺少专业技术的非专业人员，以至于在电脑系统突发故障时管理人员因为技术限制，不能在第一时间排查和维修，很容易导致整个校园网络陷入瘫痪的状态。相反，如果有专业人员对校园网络系统进行维护或管理，就可以避免问题的发生，即使发生了故障，专业人员也可以自己排查问题并进行修理，省时又便捷。

2.2运行过程中存在安全漏洞在计算机运行过程中，经常会由于忽略其保护性能而使得软件或硬件设备出现故障，例如病毒侵入、垃圾信息袭击、浏览页面无法正常打开等，这些问题都是由于电脑系统遭受病毒侵害引起的。电脑系统一旦被病毒入侵，电脑用户的个人信息或资料很容易被泄露，因此，在维护电脑系统安全方面一定要加强防范和管理。比如在电脑上网时，可以打开已安装的杀毒软件来进行安全控制，一旦发现电脑有被病毒入侵的可疑迹象，一定要开启杀毒程序，否则整个系统都将受到威胁和破坏，有些商用电脑遭到威胁损失会更加惨重。同样，高校的电脑系统出现问题也很容易使学生的档案数据、个人私密信息等核心信息被泄露。

2.3计算机安全信息化相对利用率较低20世纪初，远在大洋彼岸的美国已经开始研究互联网技术的运用，一个世纪过去了，现如今的美国，其网络技术的应用可以说早已从范围较小的研究领域扩散到了普通老百姓的日常生活中。相比较而言，在我国，因为各地的文化差异较大，所以，中国对电脑的利用率或使用率并没有想象中那么高，电脑更多时候也仅仅是科研院所或高新技术企业、文化单位在广泛使用。但是，我们不得不提，上述企、事业单位的电脑安全信息化专业性偏高，如果要普及，将会对我国计算机的发展水平提出更多更高的要求。

3信息化安全的对策和建议

就上文中提出的关于高校计算机信息化管理中存在的一些问题，笔者提出了以下几点建议。

3.1增强信息化安全管理的专业化

3.1.1加强网络自身建设网络自身建设主要是指软、硬件的安全。硬件的安全问题可以说是网络信息化中最重要、最核心，也是最基础的一部分。我们来举例说明，校园网的正常运行，首先要保证其硬件能正常运行，换句话说，也就是保证其核心零部件的正常使用。软件方面的安全问题则应考虑下面几点：①有必要对用户和账户进行一定的权限管理和安全设置，从打开电脑的那一刻起就要加强安全管控。②专业的信息化管理部门应保证有相对专业的人员对相关设备进行维护和管理。对工作能力强、认真又负责的维管人员进行专业化训练也是必不可少的。

3.1.2保证信息化过程的安全信息化是计算机管理中相对关键的一个环节，为此，在每一个重要节点都应做到无缝隙、无遗漏、无死角的把关和管理。除了技术人员的专业水平保障外，双方应签订相对保密的协议，为此，对维护管理人员进行统筹管理就显得尤为重要。同时，要逐级建立安全机制，这也是保证信息化安全的重要方法。

3.2及时查补信息化安全管理中的漏洞查缺补漏，及时更新，可以有效降低信息化过程中受到攻击的频率。为此，需要做好以下几方面的工作。

3.2.1建立系统的病毒防护措施电脑在使用过程中，各种各样的电脑病毒会随时对电脑造成威胁，因此，必须要建立一套科学、有效、系统的防护措施，这是最直接，也是最有效的防护手段之一。

3.2.2防火墙可有效抵御“非法入侵”防火墙可以有效抵御网络内部存在的不良入侵，它是保护网络内部安全的必备软件，可以在防火墙内设置各种技术参数防止非法访问，以此确保系统的安全。一般情况下，网络中的部分漏洞往往是利用个别软件的弱点展开袭击的，所以，只要时刻警惕不安全因素的存在，提高自己的防御能力，就能很好地避免来自网络的各种攻击。

3.2.3及时更换过期老化零部件电脑在使用过程中，如果发现某个部件出现老化现象或使用不灵活时，应该咨询业内人士或专业人士，询问是否是上述问题引发的，如果需要更换，就必须及时更新，这样可以大大提高信息化安全系数。

3.3提高计算机安全信息化的利用率相对专业的信息化安全团队对于提高计算机安全信息化管理起着积极的作用，然而，这就对专业人才队伍提出了更高的要求。那么，专业队伍如何培养呢？具体从以下几方面入手：①专业的人才队伍建设离不开个人自身学习和业务水平的提高；②吸收有能力的专业人才是十分必要的，专业人才队伍的存在不仅能提高信息化的有效利用率，还可以最大限度地掌握高质量的信息化资源；③对信息安全管理人员来说，开设相关的信息安全课程和辅导也是很重要的，因为只有提高其网络修养，培养其网络安全管理技术水平，才能保障计算机信息安全化，这是信息化过程的第一道安全阀门。

4结束语

第6篇：信息安全管理论文范文

交通信息的采集：交通信息主要包括车辆占有率、道路交通量、车头时距、车长、车速、交通密度等。通过对这些交通信息的采集，能够为道路使用情况分析提供有力的依据，这些信息在很大程度上决定了道路交通运行的情况。同时，利用这些交通数据信息，能够为交通管理系统、事件预测等提供有用的信息。交通信息往往是动态的信息，有的直接能够通过测量得到，有的必须通过几个测量参数的结合计算才能分析出来。现阶段，交通信息采集技术主要包括磁力计测量技术、感应线圈检测技术、红外线、超声波检测技术、视频图像处理技术等。紧急信息的采集：道路交通运行过程中，有时会遇见紧急情况，主要包括交通事故、自然灾害等等。这些紧急事故发生后，肯定造成交通堵塞、拥挤，影响道路交通正常运行，对此类紧急信息的采集，还需要包括对交通违章监测，为交通执法以及预防事故发生提供有力的依据。目前对紧急信息的采集技术主要包括自动检测技术与非自动检测技术两种，非自动检测技术容易受到天气、自然环境等因素的影响，并且运行成本较高，因此一般采用自动事件检测技术。通过在道路沿线安装摄像头等设备，实现对道路运行的设施监控，并根据具体的情况，做好事件预测和预防工作，提高道路安全管理的质量。

2信息技术在道路安全管理中的应用

如果说对气象、交通、紧急事件信息的采集是实施道路安全管理的基础，那么对这些信息的高效及时就是道路安全管理的重中之重。在道路交通运营过程中，交通状况处于不断的变化中，不良的天气气候因素（大风、雨雪、雾霾等）会对道路运行安全造成很大的影响，容易引发车辆抛锚、追尾等突发紧急事故，从而降低道路交通的通行能力。所以，道路运行网络系统，需要将相关的信息及时准确的出来，为驾驶员行车路线的选择提供有力的依据。为了能够保证信息系统能够发挥对道路安全管理的作用，要求道路网络信息系统具备一定的功能，具体的功能要求体现在以下几个方面：（1）能够及时准确的气象信息；（2）能够为用户提供有关道路中路面、隧道、桥涵等状态信息，还包括各种设备的检修情况；（3）具备道路使用信息的功能，能够提供道路运行状态，包括堵塞、关闭、事故、施工或通畅，为驾驶员线路选择提供依据；（4）具备道路限速信息功能；（5）具备警告信息的能力，包括违章警告、拥挤警告、排队警告、施工警告、事故警告、环境警告等；（6）对限速原因、限速值等信息的供功能。信息技术主要包括图形式可变信息板、移动通讯、文字式可变信息板、交通广播、车载系统、路旁无线电等。各种信息方式都具有各自的优缺点，如车载系统具有信息量大、针对性强、信息及时等优点，但同时也具有投资大、技术要求高等缺陷。再如可变限速标志能够加强驾驶员对限速的重视，并了解限速原因，但缺点在于其的信息较为单一。在道路交通安全管理过程中，需要根据不同信息对象，选择不同的信息技术。信息对象主要包括驾驶员、交通救援部门、交通管理部门等。

3道路安全管理总信息技术发展方向

随着科技水平的进步，越来越多先进的信息技术应用到道路安全管理中，同时信息通信技术、传感技术、人工智能技术等也得到了长足的进步。基于此，道路安全管理工作中信息技术发展前景主要表现在以下几个方面：（1）信息技术整体性能提升。特别是传感器技术的发展，强化了检测器各项功能。一方面，根据电磁场变化原理，开发功能更加强大的车辆检测器，改进信号处理装置以及探头，提高检测器的使用寿命；另一方面，基于超声波、微波等电磁感应原理，提高检测器的抗干扰能力，提高检测器的安装、维护简单性。（2）系统化、机电一体化发展前景。以信息技术为基础，充分利用科学计算方法以及人工智能技术，使道路安全管理信息化技术向着更加智能化、系统化的方向发展。如感应线圈智能交通流量检测仪、遥感微波检测器、红外线定位摄像系统等的开发与研究。（3）在现有的信息技术基础上，加强对新技术的开发，包括用新的计算机图像处理技术，代替传统的视频监测技术，实现对更多车辆运行参数的在线监测，提高交通监控图像识别的准确性与实时性。

4结语

第7篇：信息安全管理论文范文

1.1系统管理模块

系统管理模块主要实现本系统各使用单位、部门以及各单位、部门下用户的规范化定义,通过对角色的权限进行定义,对用户赋予不同角色,实现用户不同权限范围的授权访问,确保系统使用安全。

1.2监测数据和工程信息模块

该模块可以对大坝的PBS结构、大坝安全监测规划的监测断面、安全监测所用的仪器类型以及监测仪器的埋设路径等基础信息进行定义,实现基础业务数据的维护功能,为安全监测的综合分析提供基础数据。同时,根据编入的数据分析模型,对大坝各类动态信息(环境量、效应量及工程信息等)进行查询、统计分析、可视化展示及报表编制等。重点实现内容包括:

(1)实现仪器埋设参数的统一维护、管理。

(2)支持各类人工监测数据的批量导入;制作高度复杂和格式多变的报表。

(3)可制作年、季、月、旬、周、日报表,可以输出单点测值、多点测值和相对取值,取值方式丰富。

(4)监测数据分析图形的动态绘制:包括过程线图、分布图、相关图、方块图、浸润线图等,各种图形都可随意定制,设置和生成简便快捷,可供选用的外观风格丰富;图形坐标的范围、比例可根据绘图数据自动确定,还可依需要手动设定和更改。

(5)实现基于三维可视化模型的监测成果交互式查询与分析;支持监测成果的导出,包括图片、CAD或Excel数据表格等。该模块内嵌有多种监测资料定量分析计算方法:如多元线性逐步回归、全回归、偏最小二乘回归等;可建立监测量的物理模型:包括统计模型、人工神经网络模型,可建立变形监测系统的分布模型;可分解监测量物理模型中的各组成成分,分析分量间的对比关系,揭示监测量的变化规律和原因;可根据监测结果的预报模型和预计的环境量数据,预测监测量的估计值;提供监测数据合理性判断与趋势预测功能。

1.3数值计算模块

该模块可对大坝性态进行分析预测,是本系统的关键部分之一。系统平台可对大坝在不同条件下的应力、变形、水压、渗流、裂缝、稳定性和动力响应等计算的输入数据及计算结果进行储存、查询、浏览、二三维可视化展示及报表等,并可操作嵌入计算。提供针对静力计算、渗流计算、稳定计算、裂缝计算、动力计算等任务的管理;可进行各种计算模型的导入和管理;提供计算参数的调整;系统指定计算结果的统一格式,并提供计算结果的导入功能;可进行计算结果与监测数据过程曲线的对比;可进行数值计算结果查询,主要包括:过程线、分布图、相关图、包络图等分析和查询。

1.4反演分析模块

根据所要反演参数的类型及数量,确定所需要的信息;通过有限元计算生成训练样本;训练和优化用于替代有限元计算的神经网络,并进行坝料参数的反演计算。将反演参数、误差以及必要的过程信息存入数据库供其他单元调用。

1.5安全预警与应急预案模块

提出高心墙堆石坝渗透稳定、沉降、坝坡稳定、应力应变、动力反应等方面的控制标准,建立大坝的综合安全指标体系。根据动态监测信息以及计算成果,进行大坝安全分析,建立大坝安全评价模型;结合安全指标体系,针对不同的异常状态及其物理成因,对异常状态进行分级并建立预警机制。该模块可进行分级实时报警,并可给出预警状态信息。根据安全预警与预案判别分析结果,对可能出现的安全问题,建立相应的应急预案与措施,确保工程安全、顺利、高质量实施,并可人工修改应急方案。本模块包括安全预警项目、安全指标体系、应急预案管理和安全预警信息四个部分。安全预警项目包括三类,即整体项目、分项项目和定制项目。整体项目是指从坝前蓄水位、渗透稳定、整体变形、坝坡稳定等宏观方面评价大坝安全的项目。此外,大坝裂缝在已见高土石坝中普遍存在,且是广受关注的可能造成安全隐患的诱因,因而在本系统中也被列为一个整体安全预警项目。分项项目与典型监测点对应,包括水平位移、沉降、渗流量、孔压、土压和裂缝等几个方面。对每个项目的管理均包括项目的添加、对应监测项目和测点的选取、判别基准值和安全指标的设定、应急预案的建议等。通过设定好的设计监控指标,系统自动发出报警信号,报警信号可以采用桌面提醒、邮件提醒和短信提醒。不同级别的预警响应的应急预案不同,通过设定好的应急方案与预警级别之间的关系,系统自动提出应急方案以供运行人员执行。

1.6巡视记录与文档管理模块

对大坝安全巡视过程中产生的视频、图片、文档等资料进行管理,并可进行查询操作。文档管理主要是对大坝建设和运行过程中各环节相关的图片、文档等资料进行管理,并可进行添加和查询操作。

1.7数据库管理模块

主要用于数据的录入、修改及查询等操作,本模块仅限于系统管理员用户。包括系统基本数据和多个模块共用的公用数据。数据分为两类,一次数据(原始数据)为研究对象的基本信息;二次数据是经系统分析等对一次数据处理得到,以便于各模块的调用。

第8篇：信息安全管理论文范文

影响计算机信息网络安全的人为因素主要包括以下几点；是制定的网络系统管理制度欠缺完善。例如，对于故障计算机的维修方面，未能制定出在其被送修之前要进行消磁处理的规定，且未能安排专门的人员进行监修，进而导致了数据的泄露；相关管理工作人员自身的业务素质较低。如不知道如何还原移动存储介质上已备删除的文件；在进行计算机信息日常维护工作或用户权限的设置时，由于自身操作经验的不熟练导致将权限授予给了不合适的客户等。

2计算机信息网络安全问题的应对策略

2.1物理层面的网络安全对策

对网络安全建设的加强，主要可以从硬件及软件这两个方面的安全维护来入手。而在硬件方面，其具体措施如下；相关管理人员务必要对计算机、服务器以及通信链路等硬件设备的安全性进行仔细的检查与维护，并尽量减轻甚至避免由湿度、电磁干扰、温度、灰尘以及自然灾害等影响因素给硬件设备造成的损害，为网络硬件设备的安全提供保障；建立完善的机房安全防护措施，利用物理访问控制设备对访问用户的身份进行验证。

2.2修复计算机网络出现的漏洞

注重用户及账户权限的安全设置工作，对每位用户身份及相关权限进行仔细的验证，并对用户的数量以及用户访问权限的范围进行合理控制；建立起系统的病毒防范体系，以对各种网络病毒进行有效防护，防止信息数据被恶意的窃取及篡改，保障信息的安全；充分利用防护墙技术对访问权限进行科学、合理的设置，并通过对提供商的补丁进行下载，来修复出现的网络漏洞，进而对内部网络的安全进行保护；对不良信息进行相关的防护建设。针对于与Internet连接的网络中掺杂的大量不良信息，应当建立起信息过滤系统，通过字段过滤以及IP过滤的方式，来对不良信息进行屏蔽。

2.3完善网络安全管理制度

第9篇：信息安全管理论文范文

关键词：档案安全体系；档案保护；灾害管理；风险管理；信息安全

Abstract：The construction of archival safety system has become an essential part of the archival cause development strategy. Facing the shortage of systematic induce in archival safety system theory， this paper point out the source of archival security system theory from these aspects： the archival conservation and management theory， risk society theory， risk management theory， disaster management theory， information security theory and safety culture management theory.

Keywords：Archives safety system； Archives conservation； Disaster management； Risk management； Information security

1 引言

2010年以恚从档案安全体系建设的提出到《关于加强和改进新形势下档案工作的意见》《全国档案事业发展“十三五”规划纲要》《关于进一步加强档案安全工作的意见》等文件的出台说明：档案安全体系建设已成为档案事业发展战略中不可或缺的一部分，得到了党和国家的充分肯定，一个全方位、多角度、深层次的档案安全体系建设“顶层设计”已经形成。反思我国档案安全体系建设快速推进的深层次原因，离不开学界多年来对档案安全问题的不断研究。从最初对档案安全保管、档案安全保护的研究到如今从档案安全体系的层面展开对各类档案安全问题的系统研究，档案界人士充分汲取相关学科的思想源流，并将其融入档案安全问题的研究当中，取得了重大进展。时至今日，我国档案安全领域已经积累了大量的研究成果。但值得注意的是，当前研究当中缺乏对档案安全体系理论的系统归纳和科学提炼。因此，厘清档案安全体系研究的理论源泉，对于促进档案安全体系的深入研究，以及具有中国特色的档案安全理论体系的形成意义重大。

2 档案安全体系研究的主要理论阐释

2.1 档案保护与档案管理理论。形成于20世纪60年代的档案保护技术学是研究档案制成材料损坏规律及科学保护档案技术方法的一门学科，它的任务是最大限度地延长档案的寿命。档案安全的理论最初就体现在档案保护之中。几十年的发展历程中，档案保护研究逐渐从各个层面展开，尤其是在信息技术的推动下，学界不仅对档案保护技术学科赖以存在与发展的知识基础和理论框架进行了全面的总结和梳理，还将目光转移到新材料、新技术、新设备的研究当中。我国档案保护技术学所形成的核心思想和理论方法，是以纸质档案为核心构建起来的知识体系，例如档案修复技术方法、档案馆建筑与设备、档案害虫与微生物的防治等，它们在我国传统档案保护工作以及“国家重点档案抢救与保护”工作中扮演着重要的理论角色。然而，随着数字时代的到来，档案保护的范围逐渐拓展到电子文件（档案）的安全保护、备份与长期保存等领域，而这些领域同样也是档案安全体系建设中的核心内容之一。档案安全体系建设下，档案安全保护是档案安全体系建设的重要组成[1]。总之，在档案安全体系理论建构当中，档案保护领域的理论方法不可或缺。

档案管理理论是围绕档案收集、整理等工作流程形成的一整套理论、原则和方法。科学的档案管理对于维护档案的完整与安全意义重大。从这个角度看，档案安全体系理论的构建离不开档案管理理论的指导。首先，要确保电子文件的安全，除了探讨电子文件信息的安全保密技术与方法外，电子文件的归档、电子文件的长期保存同样是档案安全体系建设中需要关注的重大问题。一方面，电子邮件、政府网站、政务新媒体等新型“文件”的出现，如何确定归档范围，如何鉴定其价值、划定保管期限，如何完整捕获文件内容及其结构和元数据信息都是值得研究的问题。另一方面，电子文件的长期保存和维护，尤其是新型电子文件的长期保存策略方法也是需要涉足的重要问题。其次，从文件生命周期的角度来看，文件（电子文件）从形成到销毁或永久保存的整个周期都存在安全问题，因此，对文件整个生命周期进行安全管理，既要防止重要文件由于没有归档或归档信息不完整造成的丢失，也要防止保管当中的篡改、泄密，以及注意防火、防盗等，当然，还有利用过程的原件保护、信息保密、隐私保护甚至销毁阶段的安全等。

2.2 风险社会理论。德国著名的社会学家乌尔里希・贝克在1986年出版的《风险社会》一书中，首次提出了“风险社会”的理论命题。此后，英国学者斯科特・拉什、安东尼・吉登斯、沃特・阿赫特贝格等人对风险的概念、风险社会理论进行了进一步探讨。风险社会理论对风险、风险社会进行了完整描述，对如何规避和应对风险作了阐释，是开展风险管理的理论与思想源泉。风险社会理论提出之后，风险的经济学、心理学、政治学、文化学等多维度视角也为关注风险社会问题提供了多种理论分析路径。此外，风险社会背景下，风险社会理论已经对政府管理、企业管理、社会治理等领域产生显著影响，基于风险社会视角展开的安全问题研究层出不穷。

对于档案界而言，对档案安全问题的认识通常有两种视角：一是从档案的存在形态、固有特性以及档案保管的场所、方式、管理体制、运行机制等方面着手，力图从内部发现档案安全风险因素；二是从档案安全所面临的外在环境，包括各种自然灾害以及政治、经济和社会等方面着手，力图从外部分析档案安全风险因素。风险社会理论为理解和思考档案安全体系建设面临的诸多问题提供了一个重要的理论视角，为档案安全风险的防范、规避与管理提供重要思路。

总之，探索风险社会理论对档案安全问题研究的理论价值和现实意义，对认识现阶段我国面临的档案安全问题提供理论借鉴。从风险社会理论视角切入对档案安全体系建设进行透视和反思，剖析产生安全问题的深层原因，这对于档案界树立风险意识、培育风险文化有导向作用。此外，有利于档案机构明确风险社会中档案安全的责任担当，从宏观和微观的双重视角展开，树立“大安全观”，建立安全防范机制、制定安全应对策略与相应的政策引导和制度保障机制。

2.3 风险管理理论。风险具有不确定性与客观存在性，它由潜在的损失、损失的大小、潜在损失发生的不确定性三种因素构成。为了避免事件发生的不良后果，减少事件造成的各种损失，即降低风险成本，人们引用管理科学的原理和方法来规避风险，于是风险管理（risk management）便应运而生。

风险管理是一种有目的的管理活动，常被视为一种保险，一个缓解不确定性的缓冲区，最终目标是以最小的成本获取最大的安全保障。因此，在进行风险管理的时候，管理主体通常致力于通过风险的识别、评估等一系列流程矸治瞿谕獠看嬖诘姆缦找蛩兀并制定一系列方案、措施来应对风险，以达到风险管理的目标。目前，风险管理理论已经在企业管理、工程项目管理、医疗护理管理等领域得到了极其深入的应用与理论拓展，并逐步运用到政府管理、信息管理、IT项目管理、自然灾害管理等领域中。

2000年，王健等人翻译了戴维・比尔曼的著作《电子证据――当代机构文件管理战略》，比尔曼认为，在电子文件管理中应导入风险概念，进行风险管理。之后，电子文件的风险管理开始引起国内学者的关注，其中中国人民大学的“电子政务系统中文件管理风险防范与对策研究”课题组进行了系统研究，探索了电子文件管理风险及其产生原因[2][3]、电子文件风险管理的必要性和可行性[4]、电子文件的风险管理流程与方法等[5][6]，并于2008年出版了专著《电子文件风险管理》。

总的来说，在文件与档案管理当中引入风险管理理论是十分必要且可行的[7]，在数字时代，文件与档案管理活动中面临的风险越来越多，这些风险不仅出现在收集阶段，还出现在整理、利用等各个阶段，尤其是档案信息化（数字化）建设阶段[8]以及档案数字化项目外包当中[9]。在文件与档案管理中引入风险管理理论，已成为我国档案安全管理的重要思想。

2.4 灾害管理理论。灾害是由自然原因、人为原因或两者兼而有之的原因而形成的、发生于自然界的或突发或缓慢发生的能给人类造成各种损害的事件。灾害与防灾、减灾是人类生存与可持续发展所面临的永恒主题。因此，灾害管理（disaster management）逐渐成为应对灾害的重要活动，它通过对灾害的研究、预测、减灾措施实施和灾后恢复等活动，以预防灾害的发生或减少灾害造成的损失。现代灾害管理理论主要有危机管理理论、风险管理理论和GCSP 管理理论。危机管理理论侧重于灾害的防治，风险管理理论更侧重于灾害预防，GCSP管理理论则是综合危机管理和风险管理理论，侧重于灾害的管理方法。

我国自然灾害频繁，档案面临着各种潜在的威胁。国家档案局对自然灾害的防治非常重视，每年都要专门发文强调汛期档案安全，此外还出台了《档案馆防治灾害工作指南》，其目的就在于进一步强化档案工作者的灾难风险意识和防范意识，为各级档案馆和档案工作者在制定灾害管理政策和战略过程中提供必要指导，以便进一步增强档案馆抵御各种灾害的能力，确保档案的安全保管和妥善处置，把各种灾害对档案馆的影响减少到最低程度[10]。针对档案以及档案馆所面临的灾害威胁，灾害管理领域的理论方法（诸如灾害恢复、灾害风险评估、灾害损失预测与评估、灾害分类与等级划分、防灾减灾对策、灾害应急管理、灾害风险管理、灾害危机管理等）对档案安全管理有重要参考借鉴价值。因此，近些年来，有学者对档案灾害预警机制[11]、档案部门灾害事件应急准备能力[12]、档案灾害管理体系[13]、档案防灾减灾体系建设[14]、数字档案灾害[15]等问题进行了探索，还有学者对“档案灾害学”进行了深入研究[16][17]。

2.5 信息安全理论。信息安全是信息时代永恒的需求。可以说信息安全是信息的影子，哪里有信息哪里就存在信息安全问题。当前，信息科学技术空前繁荣，可危害信息安全的事件也不断发生，敌对势力的破坏、恶意软件的入侵、黑客攻击、利用计算机犯罪等，对信息安全构成了极大威胁，信息安全的形势是严峻的。信息安全已成为影响国家安全、社会稳定和经济发展的决定性因素之一。一般而言，信息安全主要包括设备安全、数据安全、内容安全和行为安全4个层面的内容，而信息安全学科就是研究信息获取、信息存储、信息传输和信息处理领域中如何保障这四个层面安全问题的一门新兴学科。在信息安全理论当中，技术被认为是信息安全保障最重要的手段，在发展过程中出现了数字水印技术、网络防火墙技术、入侵检测技术、访问控制技术、信息加密技术、可信计算技术、RFID技术等安全保护技术。

进入21世纪以来，档案信息安全受到了高度重视。学者们纷纷针对档案信息安全的因素以及档案信息安全管理存在的问题，从技术、管理以及保障体系等层面阐述应对策略。研究中不难发现，档案信息安全研究不能脱离信息安全领域的理论与技术方法的指导，信息安全领域的诸如网络安全机制、隐私保护、设备安全、信息系统安全、信息安全风险评估、信息安全技术、PKI安全认证体系、可信计算技术等理念、技术和方法对档案信息安全研究有重要参考价值。

2.6 安全文化与管理理论。安全问题是伴随人类的出现而产生的，防御灾害、事件和保障安全是人类生存和发展的基本需求之一。安全科学的研究对象就是与“天灾”和“人祸”相关的安全问题。“天灾”包括地震、台风、洪水、旱灾等。“人祸”就包括战争、环境破坏、恐怖活动、网络黑客事件、大面积停电、交通事故、公共安全等。安全科学的基本任务是揭示安全现象中的安全规律，安全科学原理就是安全规律的核心内容。这些原理当中：安全文化原理、安全伦理原理、安全教育原理、安全法律法规原理等社会科学方面的原理对于档案安全体系建设以及档案安全观的形成研究颇有参考价值。此外，从安全管理的层面来看，安全生产管理当中的一些经验教训、体制机制以及管理理念、管理策略方法等同样可以作为档案安全管理的参考。

3 结语

2010年，国家档案局提出建设档案安全体系，并迅速付诸实践。实践工作的快速推进，亟须理论的支撑。因此，有必要梳理已有的相关成果，分析相关的理论思想来源，提炼档案安全体系理论，为指导我国档案安全体系建设提供参考。本文系统梳理了档案安全问题研究当中所涉及的档案学、社会学、管理科学、灾害学、信息安全学以及安全科学等6个领域的7大主要理论思想，其中“档案保护理论”“档案管理理论”是档案安全体系研究的理论基础，其余5种理论则为档案安全体系相关问题的研究提供了理论借鉴和思想源流。然，在各学科理论融合发展的大背景下，后面5种学术理论当中，也存在部分交叉的情况。如灾害管理理论、安全管理理论当中同样借鉴了风险管理理论的思想。因此，笔者认为，针对档案安全问题的广泛性与特殊性，在档案安全体系研究当中各种理论思想之间并不是完全割裂开的，是可以相互借鉴吸收的，其共同目标是应对各类档案安全问题，指导档案安全体系建设。

参考文献：

[1]赵鹏.从档案安全体系建设的角度看档案保护[J].中国档案，2010（6）：27.

[2]冯惠玲，王健.电子政务建设中的文件管理风险探析[J].中国行政管理， 2005（4）：62～66.

[3]冯惠玲.论电子文件的风险管理[J].档案学通讯， 2005（3）：8～11.

[4]徐拥军.电子文件风险管理的必要性与可行性[J]. 档案学通讯， 2005（6）：51～55.

[5]张宁.电子文件风险管理：识别与应对[J].电子政务， 2010（6）：24～30.

[6]张宁.思维的“逆行”――电子文件风险管理解析[J].中国档案， 2010（7）：59～61.

[7]向立文，欧阳华.论加强档案风险管理的必要性与可行性[J].档案学通讯， 2015（4）：68～71.

[8]陈国云.档案信息化建设的风险管理[J].北京档案，2008（2）：42～43.

[9]黄丽华.引进风险管理方法构建安全管理策略――档案数字化外包潜在风险分析及安全管理措施研究[N].中国档案报，2015-11-23（03）.

[10]王良城. 自然灾害对档案的侵袭与应对策略[J]. 北京档案，2010（7）：72.

[11]于海燕.档案灾害预警机制研究[J].档案学通讯， 2011（4）：81-84.

[12]吴加琪，周林兴.档案部门灾害事件应急准备能力研究[J].浙江档案， 2012（6）：16～18.

[13]毛惠芳.预警应急抢救――档案灾害管理体系的构建[D].合肥：安徽大学， 2010.

[14]张新.灾害后的行动与反思――从北川档案抢救看档案防灾减灾体系建设[J].四川档案，2010（3）：21～23.

[15]吴晓红，郭莉珠.数字档案灾害初探[J].档案学通讯，2005（3）：80～83.

[16]吴晓红.档案灾害学研究[D].北京：中国人民大学，2007.