企业电子档案信息安全保障体系建设
存在的问题及对策建议思考
保档案信息安全是档案工作永恒的主题,也是国家信息安全工作的一项重要内容。本文就现阶段企业档案信息安全的现状、建设档案信息安全保障体系的必要性和重要性,以及建设电子档案信息安全保障体系的措施建议进行阐释。
党中央提出“以信息化带动工业化”战略决策后,全国档案信息化被列入国家档案事业规划之中,并取得了实质性的进展。伴随着档案信息时代的到来,电子档案信息安全管理需要引起我们足够的重视。建设电子档案信息安全保障体系是一项复杂的系统工程,企业不仅要采用先进的技术保护手段,还需建立并执行一整套科学合理规范的管理制度。
一、企业电子档案信息安全保障体系建设的必要性
建立档案信息安全体系是落实中央领导同志档案安全保护工作一系列重要指示的需要,是防止国内外敌对势力窃取我国核心档案信息的需要,是预防和减轻自然灾害、人为灾害对档案造成损失的需要,是解决公共档案信息服务与档案信息安全之间矛盾的需要,是适应对新技术条件下档案信息安全挑战的需要,是消除档案部门各种安全隐患的需要。特别是对本企业来讲,档案的信息安全更为重要。
二、企业档案信息安全现状的分析
综合笔者近些年对本企业的了解与分析,企业电子档案信息安全现状主要有以下几种。
(一)认识不到位
由于企业档案信息化建设还处于初级阶段,导致各级领导对档案馆电子档案信息安全体系建设的认识不足,重视不够。
(二)筹资较因难
档案信息安全建设体系需要大量计算机、路由器、服务器、磁盘阵列柜等硬件设备,还需要安全的网络环境等等,均离不开庞大的资金投入。而在现实中,虽然企业对信息化建设给予了很大的支持,但是目前造船企业都处于经济萧条时期,企业资金有限,对于档案信息化、档案信息安全的投入与国家制定的发展规划要求还有一定的差距,难以适应新形势下档案信息化安全建设的发展需要。
(三)技术滞后
技术对档案信息安全起着关键作用,在档案信息运行中,技术对信息的安全起着支撑的作用,同时也保证档案信息在长期保存过程中的完整性和合法性。目前,由于企业在档案信息安全方面的软件投入有限,随着信息技术的发展,病毒和黑客技术也日益娴熟,相比之下,现在的安全技术还存在一定的滞后,而这种滞后也给电子档案信息的安全带来一定的威胁。
(四)人才很紧缺
由于企业档案信息技术是近年来才广泛应用的,对于企业档案馆来说,人员的信息安全意识和技术水平有限,各个档案分室的人员年纪偏大,接受能力和操作方面都有一定的难度,这也是企业目前急需要解决的问题。人才是档案信息安全中的重要因素一方面,从档案管理人员角度考虑,管理人员信息安全意识的强弱,操作现代化设备水平的高低,以及责任感的强弱等都会对档案信息安全产生影响。可以想象,一个专业技能乏力、责任感缺失、安全意识谈薄的档案管理人员,无疑会使档案信息安全如同置于一个无人防守的阵地,而被“敌人”不攻自破。
(五)法制不健全
对于企业来说,档案信息安全才刚刚起步,企业对于档案信息安全方面的管理制度相对于比较少,还需要在工作中不断的加强管理,制定各种管理制度,这样才能有利于档案信息安全的管理实施。
三、企业档案信息安全保障体系建设的措施
档案信息安全简单地说就是档案信息内容完整、可控,未被破坏和未被非法使用者知晓使用。档案信息安全包括档案实物信息安全和档案计算机信息系统安全两个方面。
(一)要保证档案信息的物理安全
物理安全策略的目的是保护电子档案存放介质、计算机系统、网络服务器、打印机等硬件实体和通信链路免受自然灾害、人为破坏和搭线攻击。通常情况下,电子档案存储在磁、光介质上,这样就必须创造一个适合于磁、光介质保存的温湿度环境。其次,确保电子档案内容具有严谨的逻辑性。采用最新技术与方法,尽量保持电子档案内容、格式、编排上的一致。并采用选进技术加以转换,要保证电子档案的原始性。再次,要保证电子档案的计算机系统有一个良好的电磁兼容环境;建立完备的安全管理制度防止非法进入计算机控制室和各种偷窃、破坏活动的发生等。物理安全策略是电子档案信息安全的前提,如果得不到有效保证,那整个档案的信息安全也就无法实现了。
(二)要密切关注计算机技术的发展方向,确保档案计算机信息系统安全
1.档案信息计算机管理系统软件要安全可靠。系统软件要能过测评与审批方可投入使用。运用先进的信息安全技术,档案信息安全技术不仅涉及到传统的“防”和“治”的技术,而且已经扩展到网络安全技术和数据安全技术等多种现代信息新技术。要学会运用网络安全技术,如访问控制技术、防治病毒技术和安全检测技术等。一是在防控技术方面可以设置入网访问控制和网络的权限控制,使内部网与互联网之间物理隔网,可以对防问者进行身份鉴别,主要是用户名的识别与验证、用户口令的识別与验证、用户账号的缺省限制检查。同时也可以很好地控制网络非法操作。二是运用防治病毒技术,及时在电脑上安装杀毒软件,定期升级杀毒软件,定期查杀病毒,不使用来历不明的U盘、光盘、以及安装不明软件,以控制病毒的入侵。三是运用安全检测技术,对计算机网络所接入服务器进行监视,同时在计算机中安装入侵检测系统,对电子档案信息起到监控和保护的作用。
2.运用数据安全技术。档案信息的安全最重要的是数据安全,这样才能保证档案信息的完整,有效避免被修改、泄漏等。企业应建立数据信息网络存储中心,采取数据集中或双机备份等方式规避风险,来提高数据存储安全性。一是采用数据备份管理制度,确保数据的安全。可通过在线备份管理的方式,并根据实际情况采取近线存储与离线存储结合的方式进行数据备份。为计算机系统配置多个磁盘、硬盘、硬盘阵列等,组成海量存储器,用以解决容量不足的问题。服务器端应及时安装操作系统及数据库系统补丁程序,修补系统安全漏洞,提高系统安全性。二是采用密码技术,对所有的电子文件进行归档管理时都应设置相应的密码,对于有密级限制的电子档案,主要防止泄密,应该使用加密技术,防止被他人截获或篡改。
3.保证网络安全。网络安全保护主要是针对计算机网络及其节点而面临的威胁和网络的脆弱性而采取的防护措施。网络安全保护是档案信息安全保护的重要内容。电子档案信息的优越性就表现在它能实时通过网络畅通地提供给在线异地用户使用。因此,网络安全成为保障用户真实有效地利用电子档案信息的关键所在。确保网络安全采取的主要方法是物理隔离、应用防火墙以及身份认证等安全技术。防火墙技术实现同外网隔离与访问控制的最基本、最流行、最经济也是最行之有效的措施之一。
4.要对档案信息载体实行异地备份制度。对重要的档案信息载体也要实施档案备份制度,是提高抵御各种突发事件影响能力的一项重要举措。俗话说,鸡蛋不能只放在一个篮子里。我国自古以来就有对重要档案实行多套异地备份的制度,在危害档案安全的突发社会事件和自然灾害频发的今天我们必须进一步强化风险防范意识,更加重视实施重要档案异地备份制度,提高灾害应对能力和突发事件应对制度。
5.加强对电子文件形成、利用活动的管理,建立档案信息安全管理制度。在电子档案的形成、处理、归档、保管、利用等各个环节,信息都有被更改、丢失的可能性。即使拥有完善的信息安全技术,也要有相应的管理制度来保证其得以实施,从每一个环节堵塞信息失真、失密和丢失的隐患。首先,要加强对电子档案信息制作人员和管理人员的教育,提高其安全防范意识,确定风险管理思相,及早地对电子档案信息安全做出风险识别和分析,实施风险管理策略,这样才能有效地降低威胁电子档案信息安全的风险。其次,建立完善的档案信息安全管理制度。一是在电子档案信息的制作过程中要分工明确,责任分明,电子档案信息制作人员应该对自己制作的文档负有全责,对合作制作的文档也应划清责任范围,以防在分散状态下发生信息丢失和变动,同时对电子档案实行权限控制,防止无关人员对电子档案进行破坏。二是建立来格的电子档案信息归档、鉴定和保管制度,保证电子档案信息的真实、完整和有效。
目前,档案信息安全保障体系建設存在多方面的不足,因此要深刻认识档案信息安全的极端重要性,不断增强使命感、责任感,时刻牢记确保档案信息安全的责任重于泰山,自觉从思想上、行动上把确保档案信息安全放在各项工作的首位。档案信息资源是国家的宝贵财富,确保档案信息安全,即是档案工作永恒的主题,也是国家信息安全工作的一项重要内容。档案信息化安全体系建设是档案工作的重中之重,必须不断提高信息化条件下档案信息安全的保障能力。