數(shù)字檔案的安全保密與開放利用

電子檔案開放利用的安全保障體系研究

劉俊玲

((長江航道管理局檔案管理中心)

)

摘

要：本文論述了網(wǎng)絡環(huán)境下電子檔案信息安全面臨的威脅，提出網(wǎng)絡環(huán)境下，電子檔案開放利用中信息安全保障體系構想。關鍵詞：網(wǎng)絡環(huán)境

電子檔案

開放利用

信息安全

0概述1電子檔案信息安全面臨的主要威脅2電子檔案信息安全存在的主要問題3電子檔案安全保障體系構建4總結檔案利用是檔案作用和價值的最終體現(xiàn)。隨著網(wǎng)絡信息化技術的飛速發(fā)展，檔案的信息化、數(shù)據(jù)庫化和檔案利用的網(wǎng)絡化已成為檔案事業(yè)發(fā)展的必然趨勢[1]。但網(wǎng)絡又是一把“雙刃劍”，由于其本身的開放性和共享性，給電子檔案的信息安全帶來了嚴重的威脅。隨著檔案信息化進程的不斷推進，網(wǎng)絡環(huán)境下電子檔案的信息安全保障是一個即將面臨而又無法逃避的問題，開展此課題的研究將具有重要的理論意義和實際應用價值。電子檔案的信息安全保障貫穿于電子檔案的形成、處理、傳輸、存儲、維護和利用各個階段，很多學者針對各個階段中涉及的管理、技術、法規(guī)、人才、資金等方面做了大量的探討工作[2]

[3]，以期構建合理有效的安全保障體系。筆者僅就網(wǎng)絡環(huán)境下，電子檔案開放利用過程中的信息安全面臨的主要問題展開研究，并提出相應的解決方案，為電子檔案信息安全保障體系的構建添磚加瓦。1.1電子檔案信息安全面臨多個網(wǎng)絡層次威脅電子檔案信息安全主要包括三個方面：一是檔案信息內容的原始真實性；二是檔案信息內容不被篡改和泄露，即完整性和保密性；三是檔案信息的長期有效性。由于數(shù)字檔案信息自身的特點以及它對技術的依賴性，使其安全極容易受到來自外界的威脅。所以自從數(shù)字檔案信息出現(xiàn)以后，其安全問題一直是這一領域的焦點問題[4]。在網(wǎng)絡（internet\局域網(wǎng)\無線網(wǎng)絡）環(huán)境下，由于網(wǎng)絡結構的不安全性、網(wǎng)絡協(xié)議的脆弱性、網(wǎng)絡傳輸?shù)囊讛r截性和人為的疏忽，在網(wǎng)絡結構的各個層次都存在安全隱患。其主要內容如圖1所示：圖1網(wǎng)絡各層次安全內容及面臨的主要威脅物理層的檔案信息安全面臨的威脅是最底層的威脅，主要是對環(huán)境、硬件設備和線路的安全威脅，環(huán)境的安全威脅主要來自電源是否穩(wěn)定不間斷、有無抗靜電、抗輻射、防塵、防水、防漏電等安全措施。硬件和線路的安全威脅只要包括自然災害和人為災害。自然災害使得計算機硬件和設施損壞，無法實現(xiàn)正常的聯(lián)網(wǎng)；人為災害主要有無意失誤和人為干擾兩種：用戶使用不當，安全配置設置不合理造成安全漏洞，給網(wǎng)絡安全帶來威脅；而人為干擾是有意的破壞網(wǎng)絡底層設施，通過非法終端介入，線路干擾等各種手段，威脅計算機硬件設備的正常運轉，致使系統(tǒng)癱瘓。鏈路層的檔案信息安全面臨的威脅主要是數(shù)據(jù)的安全威脅。主要是指鏈路數(shù)據(jù)的泄露、丟失甚至被篡改或刪除，從而破壞檔案信息的完整性和可讀性。另外，惡意的隱藏攻擊可以采用不斷的發(fā)送級別高的請求來占用節(jié)點資源，或發(fā)送大量的請求使檔案數(shù)據(jù)庫服務系統(tǒng)響應速度減慢甚至停滯，影響正常用戶的使用，甚至使正常用戶被排斥不能進入網(wǎng)絡系統(tǒng)或不能得到相應的服務，這種威脅隱蔽性很強，一般會把它看成通訊環(huán)境差，所以很難發(fā)現(xiàn)。網(wǎng)絡層的威脅是檔案信息安全威脅的主要來源層，是惡意攻擊的重要方向，因為網(wǎng)絡層主要負責數(shù)據(jù)路由的確定，面臨的威脅主要有通過偽造路由信息來破壞路由協(xié)議，從而使數(shù)據(jù)丟失或失去原始真實性，另外最常有的攻擊方式是針對軟件和網(wǎng)絡漏洞的黑客攻擊和病毒攻擊，黑客攻擊主要是通過非法（非授權）訪問，進入服務系統(tǒng)，竊取信息，造成文檔的泄密。甚至進行違法操作，刪除、修改、惡意添加，使正常使用者獲得錯誤信息或者無法獲得服務，干擾系統(tǒng)的正常運轉。而病毒攻擊主要是利用系統(tǒng)漏洞和人為的疏忽，潛入計算機系統(tǒng)，竊取文檔、破壞系統(tǒng)、甚至打開系統(tǒng)“后門”，直接威脅檔案的信息安全。而傳輸層的安全主要是傳輸協(xié)議和密鑰的安全，一旦傳輸協(xié)議和密鑰被識別破譯，數(shù)據(jù)的傳輸將完全暴露在網(wǎng)絡中，失去安全保障。帶來的威脅主要是攻擊者可以復制，編造信息，從而向網(wǎng)絡節(jié)點發(fā)送欺騙信息，是檔案信息失去真實性和可讀性，而且一旦欺騙信息時間標記準確，甚至可以破壞服務終端的交換數(shù)據(jù)的能力。1.2電子檔案信息安全保障存在多方面問題早在1996年國家檔案局就成立了電子文件歸檔與電子檔案管理研究領導小組，開展電子文檔管理方法、技術、標注和構建管理體系等方面的研究，經(jīng)過十幾年的發(fā)展，在電子文檔歸檔和電子檔案管理辦法等方面已經(jīng)取得了一定的進展[6]

[7]

[8]，但在網(wǎng)絡化建設、法制建設、安全管理方面存在滯后性，在電子檔案信息安全保障體系構建方面還存在應用系統(tǒng)安全、信息標準安全等方面的不足。1.2.1

電子檔案信息安全保障工作進展存在滯后性首先是檔案館信息化網(wǎng)絡建設滯性，主要體現(xiàn)在全國各個檔案部門雖然已經(jīng)建設了規(guī)模大小不等的數(shù)據(jù)庫，但都自建自用，缺乏統(tǒng)一性和整體性，而且標準化程度低，處于低水平重復建設，檔案數(shù)據(jù)無規(guī)范化控制，存在安全隱患。同時網(wǎng)絡安全本身也存在滯后性，因為安全技術是在對抗中不斷發(fā)展的技術，不斷出現(xiàn)的應用安全問題推動著安全技術的發(fā)展，因此，它總是滯后的，正是這種滯后性存在巨大的安全隱患[5]。其次是法規(guī)制度的滯后性，主要體現(xiàn)在信息立法和檔案法律法規(guī)沒有有機的融合，而且總是在實施中不斷根據(jù)出現(xiàn)的新情況進行修正，所以存在滯后性。如在上世紀90年代中期，隨著大量CAD文件的面世，國家質量技術監(jiān)督局推出了《CAD電子文件光盤存儲、歸檔與檔案管理要求》，在1999年，為規(guī)范電子文檔的歸檔與管理中的問題，國家檔案局頒布了《電同時，要建立科學合理的標準評價指標。根據(jù)網(wǎng)絡環(huán)境下電子檔案信息安全的真實性、完整性、可用性和可控性要求，建立檔案信息安全的物理安全、管理安全、網(wǎng)絡安全、信息安全、系統(tǒng)安全的評價指標[9]。2.4人才、資金等多方支持，打造電子檔案信息安全保障品牌網(wǎng)絡環(huán)境下電子檔案的信息安全保障需要大量的人力、物力和財力的投入。電子檔案信息安全的保護的人才隊伍應由計算機信息技術、自動化技術、網(wǎng)絡技術、管理技術等方面的人才構成。所以人才培養(yǎng)的目標是培養(yǎng)既通曉相關的信息安全法規(guī)制度，又有豐富實踐經(jīng)驗的信息安全管理人才；培養(yǎng)能熟練使用各種網(wǎng)絡安全設備和設施，又能解決網(wǎng)絡安全具體問題的技術人才。在檔案教育中應加強以上相關知識的教育和培訓，開設專門的電子檔案信息安全學課程，在實際部門中加大對人才的引進和培養(yǎng)。在人才引進、培養(yǎng)和保障體系的建設中需要大量的資金投入，保證各項工作的順利開展。同時在電子檔案信息的開發(fā)、存儲、傳輸、利用各個環(huán)節(jié)中都需要相關社會單位和個人的配合和幫助，通過檔案工作者、利用者、組織者等各方努力，查找各種管理和技術漏洞、防止各種疏忽和病毒攻擊、加大人才培養(yǎng)和資金投入力度、完善法律法規(guī)和基礎實施建設、促進電子檔案事業(yè)又好又快發(fā)展。3電子檔案信息安全保障體系構想隨著網(wǎng)絡時代的到來，檔案的信息、檔案利用的網(wǎng)絡化已成為檔案事業(yè)發(fā)展的重要方向。而網(wǎng)絡環(huán)境下檔案信息安全保障也是檔案工作的重要組成部分。其主要內容應以信息技術為支持，對機構內產(chǎn)生的電子文件、檔案部門保存的電子檔案進行安全嚴謹完善的組織和管理，防止電子文檔在網(wǎng)絡傳輸、介質存儲和提供利用等過程中被故意或偶然的非法授權泄露、更改、破壞或使信息被非法系統(tǒng)識別、控制，確保電子文件的保密性、完整性、行政有效性和法律證據(jù)性。電子檔案信息安全保障必須融合管理與技術的要求，實現(xiàn)電子文檔前端控制和全程管理。筆者從網(wǎng)絡的不同層次存在的安全隱患和對策構建電子檔案信息安全保障體系。電子檔案信息安全保障體系，主要由安全組織體系統(tǒng)領支撐體系、管理、標準體系、網(wǎng)絡安全運行體系各個子系統(tǒng)，其中支撐體系包括安全防護技術支撐、法律法規(guī)支撐、環(huán)境、設備安全支撐，以及人才資金支撐四個內容。其內容構架如圖2所示：

圖2電子檔案開放利用信息安全保障體系其中安全組織體系應由決策層、管理層和執(zhí)行層構成完整統(tǒng)一的安全組織架構。在行業(yè)內或區(qū)域內成立電子檔案信息安全領導小組，由國家機關檔案局領導和各業(yè)務部門主管組成，形成最高決策機構；其下由安全責任部門和相關部門設立電子檔案信息安全辦公室，形成有力的管理機構；各個業(yè)務部門內設置電子檔案信息安全小組，負責執(zhí)行各部門的信息安全工作。安全管理和標準建設子系統(tǒng)主要由三個層面構成：a)電子檔案信息安全總綱，規(guī)定安全的內容、方針、要求；b)電子檔案各環(huán)節(jié)的標準指南和管理規(guī)定；c)各種操作手冊、工作流程和實施細則。電子檔案安全支撐體系中技術防護支撐是網(wǎng)絡環(huán)境下電子檔案信息安全保障的重點內容，主要由基礎性的防護技術和網(wǎng)絡安全管理系統(tǒng)構成，其內容構架如圖3所示。圖3網(wǎng)絡環(huán)境下電子檔案信息安全技術防護體系法律法規(guī)、物理環(huán)境、硬件安全、人才引進和資金投入作為支撐體系的組成部分不再進行展開陳述，需要強調一點的是，所有支撐手段的目的都是為了保證a)實體安全性：計算機軟硬件系統(tǒng)以及網(wǎng)絡鏈路免受自然損壞和人為破壞；b)電子檔案信息的原始性、真實性、完整性、可用性、可控性和機密性；c)網(wǎng)絡運行系統(tǒng)的安全性；d）電子檔案利用的合法性和合乎倫理性[10]。4總結隨著電子政務的發(fā)展和檔案信息化、檔案利用網(wǎng)絡化進程的加快，電子檔案的利用頻率和利用范圍將會不斷加大和擴展。而數(shù)字化帶來便利的同時，也使得電子檔案信息安全面臨諸多威脅。因此，加強網(wǎng)絡環(huán)境下電子檔案開放利用過程中，信息安全保障的研究具有重要的理論意義和迫切的現(xiàn)實應用價值。本文分析了網(wǎng)絡環(huán)境給電子檔案信息安全帶來的威脅以及現(xiàn)階段電子檔案信息安全保障體系建設中存在的一些不足，進而給出解決方案，最后提出了電子檔案信息安全保障的體系構想，以期能夠拋磚引玉，促進電子檔案信息安全保障體系建設的步伐。參考文獻[1]馬仁杰，孫明慧．加快檔案信息化—由政府信息公開引發(fā)的思考[J]．機電兵船檔案，2006(4)：

9-12．[2]馬仁杰，張浩．關于電子文件立法若干問題的思考[J]．檔案學通訊，2010(5)：35-38．[3]馬仁杰，王修兵．電子環(huán)境下檔案管理之我見[J]．機電兵船檔案，2006(3)：46-48．[4]謝海洋，顧宏革．數(shù)字檔案館網(wǎng)絡安全技術初探[J]．檔案學研究，2006(3)：51-53．[5]陳志強．基于網(wǎng)絡環(huán)境下的檔案信息安全對策[J]．科技管理研究，2010(16)：203-205．[6]徐海東，陳欣，劉楠．應對挑戰(zhàn)，建立完善的網(wǎng)絡與信息安全保障體系[J]．電信科學，2007(2)

：48-51．[7]李肖軍．檔案信息化安全體系建設研究[D]．河北大學碩士學位論文，2010年5月．[8]高瑛．論網(wǎng)絡環(huán)境下電子檔案資源共享與安全保密[J]．檔案，2008(5)：18-20．[9]田淑華．電子檔案信息安全管理研究[D]，中北大學碩士學位論文，2009年4月．[10]馬仁杰，楊曉晴．社會轉型期電子文件管理利用中的信息倫理問題探析[J]．檔案學通訊，2006(2)：59-61．

作者簡介：劉俊玲，女，1985年生。安徽大學管理學院檔案學2009級研究生。導師：馬仁杰，男，教授，1965年8月生，歷史學博士。國家社科基金及安徽大學首批杰出青年基金項目獲得者。數(shù)字檔案信息安全保障體系研究長江航道管理局檔案中心劉俊玲摘

要：本文論述了數(shù)字檔案信息安全保密面臨的主要問題和突出矛盾，結合實際概述了現(xiàn)階段電子檔案信息安全保障體系建設中存在的不足；從技術上、管理上等應采取的措施著眼,提出數(shù)字檔案信息安全保障體系構想。關鍵詞：數(shù)字檔案

信息安全

保障體系

隨著網(wǎng)絡時代的到來，檔案的信息、檔案利用的網(wǎng)絡化已成為檔案事業(yè)發(fā)展的重要方向。而網(wǎng)絡環(huán)境下檔案信息安全保障也是檔案工作的重要組成部分。其主要內容應以信息技術為支持，對機構內產(chǎn)生的電子文件、檔案部門保存的電子檔案進行安全嚴謹完善的組織和管理，防止電子文檔在網(wǎng)絡傳輸、介質存儲和提供利用等過程中被故意或偶然的非法授權泄露、更改、破壞或使信息被非法系統(tǒng)識別、控制，確保電子文件的保密性、完整性、行政有效性和法律證據(jù)性。電子檔案信息安全保障必須融合管理與技術的要求，實現(xiàn)電子文檔前端控制和全程管理。筆者從網(wǎng)絡的不同層次存在的安全隱患和對策構建電子檔案信息安全保障體系。電子檔案信息安全保障體系，主要由安全組織體系統(tǒng)領支撐體系、管理、標準體系、網(wǎng)絡安全運行體系各個子系統(tǒng)，其中支撐體系包括安全防護技術支撐、法律法規(guī)支撐、環(huán)境、設備安全支撐，以及人才資金支撐四個內容。其內容構架如圖2所示：

圖2電子檔案開放利用信息安全保障體系其中安全組織體系應由決策層、管理層和執(zhí)行層構成完整統(tǒng)一的安全組織架構。在行業(yè)內或區(qū)域內成立電子檔案信息安全領導小組，由國家機關檔案局領導和各業(yè)務部門主管組成，形成最高決策機構；其下由安全責任部門和相關部門設立電子檔案信息安全辦公室，形成有力的管理機構；各個業(yè)務部門內設置電子檔案信息安全小組，負責執(zhí)行各部門的信息安全工作。安全管理和標準建設子系統(tǒng)主要由三個層面構成：a)電子檔案信息安全總綱，規(guī)定安全的內容、方針、要求；b)電子檔案各環(huán)節(jié)的標準指南和管理規(guī)定；c)各種操作手冊、工作流程和實施細則。電子檔案安全支撐體系中技術防護支撐是網(wǎng)絡環(huán)境下電子檔案信息安全保障的重點內容，主要由基礎性的防護技術和網(wǎng)絡安全管理系統(tǒng)構成，其內容構架如圖3所示。圖3網(wǎng)絡環(huán)境下電子檔案信息安全技術防護體系法律法規(guī)、物理環(huán)境、硬件安全、人才引進和資金投入作為支撐體系的組成