互联网档案管理信息安全保障体系建设

互联网时代档案管理已逐渐完成信息化，档案管理工作在得到了巨大便利的同时也带来许多信息安全隐患，档案丢失、管理系统被攻击的情况屡见不鲜。从目前我国的档案管理工作来看，还存在着信息技术不均衡、管理规范制度缺乏和专业信息安全人才缺乏的情况。要从制度上对档案信息安全工作进行规范，然后构建完善的信息安全技术和人才培养体系，才能够建设完善的档案管理信息安全保障体系。随着互联网技术的不断发展，档案信息化建设逐渐完善起来。目前，我国各行业、各级部门已基本实现了档案管理的信息化，传统的纸质档案管理逐渐转为信息化管理，然而由于我国的档案管理信息化建设过于依赖信息技术，还缺乏健全的安全管理保障体系以及信息安全监督体系。因此，在档案信息安全方面存在着较大的风险。只有结合先进的信息技术、科学有效的管理以及完善的信息安全保障制度，才能建设有效的档案信息安全体系。

一、国内档案管理信息安全建设的必要性

1.符合档案管理的实际工作需求。档案管理已逐渐由传统的纸质档案管理转为信息化档案管理，而相对于传统档案管理，信息化档案管理给信息安全工作提出了更高的要求。首先，档案工作具有高度的保密性，并且需要长期乃至永久进行保存，因此其中的信息泄露、损坏的风险很大。在纸质档案管理年代，档案信息安全的建设工作也较为单一，档案损坏、丢失的渠道也较为单一，因此，只要管理流程规范且执行力高，那么就能够在很大程度上避免档案信息安全威胁。而互联网时代下，档案管理工作逐渐完成信息化，人们在获得便捷的同时也增加了信息安全威胁风险，信息流失的渠道、方式不断增多，如信息安全保障工作跟不上，则会使档案信息面临巨大威胁。2.响应我国信息安全保障政策。近年来，我国对信息安全保障工作愈加重视，高度逐渐提升到战略层面。鉴于其他主要发达国家均早已成立专门的国家网络信息安全机构，我国也在2013年11月12日正式成立国家安全委员会，并随后在2014年2月27日成立中共中央网络安全和信息化领导小组办公室，将信息安全提升到国家战略高度。2014年8月28日，工信部《工业和信息化部关于加强电信和互联网行业网络安全工作指导意见》，提出以完善网络安全保障体系为目标，着力提高网络基础设施和业务系统安全防护水平，增强网络安全技术能力，强化网络数据和用户信息保护，推进安全可控关键软硬件应用，为维护国家安全、促进经济发展、保护人民群众利益和建设网络强国发挥积极作用。档案管理信息安全保障体系的建设，充分响应了国家号召，是档案信息安全发展的必然趋势。3.有助于提升国民信息安全意识。档案管理的工作涉及每个公民的方方面面，在公民进行求学、求职、升迁等各种事务时，都牵扯到档案管理工作。因此，档案信息安全保障体系的建立，关乎每个公民的切身利益，公民在进行相关事务的操作时，也会充分地感受到档案信息安全保障体系的用户。同时，这些会潜移默化地加深国民对档案信息安全的认识和重视程度。长此以往，就会逐渐提升国民信息安全意识。这对我国的信息安全保障事业也起着巨大的推进作用。

二、互联网时代档案管理存在的信息安全问题

1.信息技术不均衡不完善。一般的档案管理信息系统的功能都较为简便，在信息安全方面采用的技术也较为基础，主要有：数字认证、证书签名认真、密钥认证、防火墙、加密技术以及访问权限管理，在这些技术防火墙和加密技术又是最常被使用的。加密技术是指档案管理部门通过特定的加密指令，对受保护资料进行隐藏，同时禁止未授权的访问者下载和阅读资料，从而起到了保护信息安全的作用，而防火墙技术则可以自由灵活地管理端口，禁止身份不明的IP地址访问，阻止非法入侵，从而保障档案信息安全。在一定时期内，上述技术对档案信息安全十分重要，但随着互联网技术的发展，传统的信息安全技术已相对滞后，档案泄露、丢失等信息安全事故屡见不鲜，特别是当面临破坏性强、规模大、传染性强的恶意攻击时传统技术就更显无力，2017年5月比特币病毒爆发，学校成为“受灾重地”，大量档案被恶意加密导致无法正常使用。此类蠕虫病毒以及跨站脚本病毒对档案管理工作造成了重大威胁，这就给档案管理部门的信息安全保障工作提出了更高的要求。2.缺乏信息安全意识及规范的信息安全制度。我国关于保障档案信息安全的制度还不完善，在过去主要依靠《计算机信息系统保密管理暂行条例》和《计算机信息系统安全保护条例》来规范档案信息安全，但是针对互联网网络管理的法律还不够完善，缺乏相应的规范。因此各档案管理部门在进行档案管理时缺乏顶层设计的引导，同时又由于互联网的飞速发展使得档案信息安全的环境异常复杂，因此档案管理部门在制定信息安全相关制度时就缺乏技术以及法律上的支持，导致了相关制度一方面无法对信息安全工作起到行之有效的规范，另一方面也无法适应日益复杂的档案管理需求。此外，我国对于信息安全意识的普及力度还不够，部分档案管理人员缺乏信息安全意识，这主要体现在：（1）不注重个人信息的保护。档案管理人员个人信息的泄露容易导致档案访问权限的改变，进而可能引起档案信息的丢失和损坏。（2）档案信息管理规定执行不严谨。档案管理人员对管理条例不够重视，执行不严谨，如下班时不按规定关机、离开工作岗位时不锁屏加密等等，这些行为都会给档案信息安全埋下隐患。3.缺乏专业的档案信息安全人才。传统的档案管理方式相对简单，档案信息安全风险也较为单一，不需要档案管理人员具备互联网素养及互联网信息安全知识。但如今的档案管理已逐渐完成信息化建设，传统的档案方式已不适合信息化环境，而又由于我国档案管理信息化建设的速度较快，这就使得档案管理要求与档案管理人员的能力产生了落差，部分档案管理人员缺乏互联网素养及信息技术能力，使档案信息安全存在风险。而未来随着档案管理系统逐渐的更新和发展，缺乏健全的培训系统则会使得这种落差越来越大。另外，部分单位的档案管理人员较少，通常身兼数职，无法全身心地投入到档案管理工作；对人才培养不够重视，也造成了其档案管理能力的缺失。

三、档案信息安全保障技术体系建设

1.档案信息安全技术体系建设。完善的信息安全技术体系对档案的信息安全保障有着至关重要的作用。档案信息安全技术体系的建立，要以保证档案信息安全为最终目的，从技术的角度上保证档案的保密性、完整性、可追溯性、真实性以及可控性。信息技术是不断发展的，而档案信息安全的目标则是不变的，因此为保障档案信息安全，必须不断对技术进行更新，从深度、广度上对现有的技术进行改进，不能简单地依靠防火墙和数据加密的技术，而要对档案管理系统的各个环节予以技术上的保障，针对可能发生的信息安全风险有针对性地选择技术。物理信息安全技术：防水、防震、防火以及防电磁辐射等技术。系统安全技术：保证操作系统安全无漏洞以及定期进行检查审计。数据安全技术：数据加密、数据备份、数据容灾、应急响应等。网络安全技术：最常使用的是防火墙技术，预防上还有病毒扫描技术，当威胁信息安全时间发生后即采用病毒隔离、物理隔离等技术。用户安全技术：用户安全技术主要用户访问权限的控制，主要有数字签字技术及身份认证技术。档案管理工作相对于其他工作来说更加注重信息的真实性、保密性，需要长时间进行保存，因此在进行技术体系建设时应着重选取偏向真实性、保密性的技术，在上述技术中数据备份、数据容灾以及数据隔离等技术需要重点关注。此外，在进行技术体系构建时不能完全照搬，需要针对各自具体情况进行设计，如南方地区就要在物理技术上注重防潮和防水措施，保密级别不一样的单位也要选择不同等级的信息安全措施。2.档案信息安全保障制度体系建设。健全的档案信息安全法律法规，是保障档案信息安全的基础，也能让档案信息安全保障工作做到真正的有法可依。目前针对档案管理信息安全的法律法规还不够完善，不同行业、不同级别之间的档案管理工作也不尽相同。国家层面没有给出较为完善统一的管理方法供管理单位执行参考，各省市也鲜有专门对档案管理信息安全出台相关规定规范，现有的规定规范也是针对于档案的保密、安全工作，且较为简单。现如今我国在档案风险预测、应急响应，以及事后抢险方面的法律还不健全，应首先从顶层对档案信息安全工作进行设计。作为档案管理部门，在缺乏顶层设计的引导下，要自行对档案管理信息安全工作进行规定规范。在制定规范时，首先要遵循标准化原则，标准化能够减少档案管理信息安全保障工作的重复性，同时也能够提升管理规范的执行力，因此在档案信息安全保障制度体系的建设时，一定要标准化先行。3.档案信息安全保障人才体系建设。优秀的档案信息安全人才是档案信息安全保障的根本，在进行人才培养时要以建设档案信息安全保障体系为目标。从国家层面上来说，已采取了多种措施来培养信息安全人才，如：高校信息安全专业人才培养；研究所信息安全人才培养；商业培训和信息安全教育普及工作等。对于档案管理部门来说，在人才队伍培养上要注重两点，一是现有管理人员的培养和技术人才的引进。对于现有管理人员，要将培养纳入管理考核体系，让管理人员对信息安全知识培养起到足够重视。二是在引进人才方面，一方面可以招聘专业的信息安全人才，另一方面也可以和其他部门建立人才共享联盟，借用人力资源较为丰富的单位帮助自身进行信息安全建设。

作者:吴雅鸣 单位:四川省内江医科学校