电子文件和电子档案的安全管理论析
付文丽
摘要:近年来,随着社会进步和信息化如火如荼地发展,以及计算机技术和日益成熟的互联网技术在各个行业及办公自动化中的广泛应用,产生了由大量电子文件转化来的新型载体的档案。因此,在档案管理工作中,档案的安全管理意义重大,特别是电子文件和电子档案的管理,因其所显示的特点,致使其安全风险极高。关于电子文件和电子档案的安全管理,本文将从以下几方面展开讨论。
关键词:档案管理 安全管理 安全隐患 电子文件 电子档案
中图分类号:G271 文献标识码:A
1 什么是档案及电子档案?
档案是指机关、组织和个人在社会活动中直接形成的保存备查的文字、图表、声像及其他各种方式和载体的历史记录。
近年来,随着社会进步和信息化如火如荼地发展,以及计算机技术和日益成熟和先进的、繁荣的互联网技术在各个行业及办公自动化的广泛应用,产生了由大量电子文件转化来的新型载体的档案,即电子档案。
2电子文件和电子档案的特点
一是电子文件便于修改,省时、省力。电子文件在行文、编辑时,完全可以按照人们的想象任意、反复进行修改、润色,在作图方面更是随心所欲,想画想改动变得异常简单。不仅节省人力和经费,还提高了工作效率。二是电子文件信息存储密度大,看似小小的载体,容量都很大,因此可减少存放数量节省空间。三是文件的电子化,不但可以方便检索、摘录、转录,还能够减少纸质档案的制作、复制和传递份数,简化工作流程,提高工作效率。四是互联网彻底改变了文件的传递速度。现在的OA无纸化办公系统。既节省了纸张的使用,同时也提高了文件的传递速度,提高了办公效率。互联网拉近了人与人的距离。五是互联网的日益成熟,更加有利于发挥电子档案的信息共享,提高了档案的利用价值。六是电子档案的利用不受时间和地点的限制。在任何时间、地点,打开计算机,动动手指,就可以实现档案利用。七是电子档案大幅提升了管理效率。電子档案使得档案信息资源快速处理,使得档案资源得以高效利用。八是电子文件和电子档案的不足。电子文件和电子档案容易修改且不留任何痕迹,由于各种因素容易造成信息丢失;电子档案载体的寿命相对比较短,到期前必须转录,很容易造成文件质量下降,或者文件信息丢失,使电子文件的安全受到威胁。
3 威胁电子文件与电子档案的安全隐患
与纸质文件相比,电子文件的信息安全尤为突出,易于编辑的二进制代码、高度共享的信息、开放的计算机系统、四通八达的网络、不断升级的软件、无孔不入的黑客、肆意横行的病毒、污染多变的环境等等因素,对电子文件和电子档案的信息构成了严重的安全隐患。
保密性。非授权用户访问、阅读相关电子文件信息资源;合法用户越权下载相关电子文件信息资源;在使用和处理电子文件信息资源过程中的电磁泄漏;传输电子文件时被非法截获;电子信息资源脱机介质被盗等等。
真实性。电子文件的真实性是指电子文件的内容(包括背景信息)经过传输、压缩、格式转换等处理后依然保持其与形成时的原始状况一致。造成电子文件失真的主要原因有人为因素和非人为因素。被修改。黑客的恶意攻击、授权用户的非法修改、无操作、不真确的信息处理与传输方式、不科学的转换与软件升级、病毒的破坏、系统故障等等均有可能造成文件内容和原数据被修改;被删除。恶意的或误操作,有可能造成电子文件部分或全部内容和元数据被删除;错漏。文件操作过程中的大意、疏忽等原因造成的文字错漏等问题;丢失。文件保存不当或其他原因造成的文件丢失。载体变质也会造成电子文件和元数据丢失。
完整、齐全性。是否收集全了作为有机联系的一件事情的完整过程的所有文件。
不可读性。可读性是指电子文件无论经过多长时间、经过何种方式处理,都能以人类可以识读的、真实的方式输出信息。造成电子文件不可读的原因包括:系统不兼容;软硬件系统没有及时升级与更新换代;加密密匙丢失、专用软件没有留存;病毒感染;载体过时、损坏或记录衰减等。
不可控制性。电子文件的失控,会对电子文件信息安全带来致命的打击。主要表现在以下几方面:软件升级、替换时,能否保证文件不被损坏;能否根据需要调整用户权限和文件开放方式;能否控制(监控)电子文件的下载、拷贝、传输和转换;能否控制电磁环境,实施干扰和反干扰;能否控制电子文件的各种标准和状态,实现信息优化配置和高度共享;能否删除失去保存价值的电子文件;能否实现原数据的更新和验证;能否控制系统工作环境和电子文件脱机介质的保存环境;能否抗否认、追踪、审计、恢复;能否升级安全技术和病毒特征代码;误操作。误操作虽然属于低级错误,但却时有发生。如此等等,都显示了电子文件和电子档案的不可控性。
4 如何消除安全隐患,维护电子文件和电子档案信息安全
4.1坚持维护电子文件信息安全的原则
超前控制原则。信息安全关系到国家的安危、组织的存亡及个人隐私与财产的安全。因此,电子文件管理系统在建设之初,就必须实施并坚持超前控制原则。制定维护电子文件信息安全的制度、标准、策略等,并将其贯彻到软件开发、运用的每一个环节。
风险评估原则。对于电子文件信息安全的方针、策略及标准规范等也要进行评审、评估,根据情况进行改进、完善、调整。对于机构内危及电子文件和电子档案信息安全的风险因素有必要进行评估,划分危害等级,以便在维护安全工作中区别对待、尽可能降低风险。同时,对于风险控制目标和控制方案也要进行评估,预测风险发生几率和成因,对症下药,制定应急方案、尽可能将风险降到最低水平。
预防控制与恢复并举的原则。在电子文件信息安全管理工作中,应坚持预防为主的原则,居安思危,防患于未然。现实生活中,即使保障工作做得再好,也不能保证零风险。风险仍然有可能存在,并危及软件系统和数据恢复,危及电子文件和电子档案的信息安全。因此,有必要对系统和数据进行恢复控制,从而保证电子文件和电子档案的信息安全。
动态控制原则。随着时间的推移、环境的变化、时代的进步和科技的发展等,危及电子文件信息安全的风险因素也会发生变化,原有的安全保障的制度、措施等已经不能满足当前工作的需要,随着各种情况的变化,必须随时调整符合当时工作要求的制度、方针、策略等,以确保电子文件信息长期持续地安全无忧。
4.2保障电子文件和电子档案信息安全的技术对策
物理安全策略。所谓物理安全策略是指保护网络服务器、计算机系统、通信链、系统终端等硬件免受自然災害、人为破坏、搭线攻击和电磁侦测,确保计算机系统有一个相对安全的电磁兼容环境。硬件备份;使用低辐射计算机设备;电磁屏蔽;电磁干扰。
网络系统安全策略。A安全检测和监控检测。所谓安全检测和监控检测是采用预先主动的方式,对客户端和网络系统进行全方位的自动安全监测,发现并避免系统遭受攻击。
B系统备份与恢复。使用备份服务器和相关软件,对系统及电子文件进行备份保存,以备不时之需。如系统遭到破坏或系统瘫痪时,备份系统可以迅速启动,恢复并保证系统正常运行。
C防火墙技术。防火墙是在机构网络和其他系统网络之间设置障碍,以阻止其他系统的用户对该系统的非法访问,也可以阻止该机构的机要信息从机构网络上非法输出。
D访问控制技术。访问控制技术是网络安全防范和保护的主要策略,它可以限制对关键资源的访问利用,防止非法用户进入系统及合法用户对系统信息资源的非法利用。
信息安全策略。A加密技术。B数字签名技术。C数字水印技术。数字水印技术最大的特点是具有很好的隐蔽性。利用隐蔽性来达到保护电子文件信息安全的目的。
D文件备份与灾难恢复技术。做任何事情都不可能百分百达到预期效果。这在维护电子文件和电子档案信息安全的问题上同样适用。在保护电子文件盒电子档案信息安全上虽然做了大量工作,但是,文件的备份依然是最基本和最必要的安全保障工作,这是保护电子文件信息安全的首要工作,不能因为任何理由而有任何怠慢和敷衍。灾难恢复可谓是亡羊补牢,是灾难发生后的不得已的手段,是必要的补救措施。
E防病毒技术。病毒感染对文件的保存会带来致命打击,因此,防病毒技术一定不能落后。F防拷贝技术。如某些关键部门的重要文件,必须设置阻止拷贝,以防泄密,给国家或个人带来不可弥补的损失。
G载体保护技术。H保障长期可读性技术。要保障长期可读,必须要做到技术的更新和无缝衔接。I数据库安全技术。O元数据验证技术。
4.3保障电子文件和电子档案信息安全的管理对策
第一,建立健全信息安全的相关法律法规。用法律的武器切实保护信息安全。第二,制定切实可行的保护电子信息安全的规章制度和措施。用制度约束和规范人们的行为,用制度时时提醒人们,哪些是该做的,哪些是不该做的,哪些是能做到,哪些是不能做到,哪些是必须做的,哪些是绝对不能做的,依靠制度的约束力,保护电子文件信息安全。第三,制定维护电子文件信息安全标准。
5 结束语
电子档案来源于电子文件,因此,电子文件的信息安全与电子档案的信息安全息息相关。为切实有效地确保电子文件的信息安全及其电子档案的安全管理,应遵循管理学理论中的一般循环原则,即实施Plan(策划)—Do(执行)—Check(检查)—Action(措施)的持续改进的模式,即所谓的PDCA模式。在这个模式中,各个模块之间可以实现通过持续的信息反馈来不断修正、改进,从而促进电子文件信息安全方案的不断完善。
当然,电子文件和电子档案的信息安全并不只是系统安全人员和档案管理部门的事,它与所有员工都密切相关。安全问题事关重大,机构内每一个人都应无条件地参与电子文件和电子档案的安全管理,各负其责,各司其职。只有这样,才能尽可能做好电子文件及电子档案的安全保障。
参考文献:
[1] 铁丽杰.如何推进档案工作规范化标准化[N].四平日报,2009- 11- 06(002).
摘要:近年来,随着社会进步和信息化如火如荼地发展,以及计算机技术和日益成熟的互联网技术在各个行业及办公自动化中的广泛应用,产生了由大量电子文件转化来的新型载体的档案。因此,在档案管理工作中,档案的安全管理意义重大,特别是电子文件和电子档案的管理,因其所显示的特点,致使其安全风险极高。关于电子文件和电子档案的安全管理,本文将从以下几方面展开讨论。
关键词:档案管理 安全管理 安全隐患 电子文件 电子档案
中图分类号:G271 文献标识码:A
1 什么是档案及电子档案?
档案是指机关、组织和个人在社会活动中直接形成的保存备查的文字、图表、声像及其他各种方式和载体的历史记录。
近年来,随着社会进步和信息化如火如荼地发展,以及计算机技术和日益成熟和先进的、繁荣的互联网技术在各个行业及办公自动化的广泛应用,产生了由大量电子文件转化来的新型载体的档案,即电子档案。
2电子文件和电子档案的特点
一是电子文件便于修改,省时、省力。电子文件在行文、编辑时,完全可以按照人们的想象任意、反复进行修改、润色,在作图方面更是随心所欲,想画想改动变得异常简单。不仅节省人力和经费,还提高了工作效率。二是电子文件信息存储密度大,看似小小的载体,容量都很大,因此可减少存放数量节省空间。三是文件的电子化,不但可以方便检索、摘录、转录,还能够减少纸质档案的制作、复制和传递份数,简化工作流程,提高工作效率。四是互联网彻底改变了文件的传递速度。现在的OA无纸化办公系统。既节省了纸张的使用,同时也提高了文件的传递速度,提高了办公效率。互联网拉近了人与人的距离。五是互联网的日益成熟,更加有利于发挥电子档案的信息共享,提高了档案的利用价值。六是电子档案的利用不受时间和地点的限制。在任何时间、地点,打开计算机,动动手指,就可以实现档案利用。七是电子档案大幅提升了管理效率。電子档案使得档案信息资源快速处理,使得档案资源得以高效利用。八是电子文件和电子档案的不足。电子文件和电子档案容易修改且不留任何痕迹,由于各种因素容易造成信息丢失;电子档案载体的寿命相对比较短,到期前必须转录,很容易造成文件质量下降,或者文件信息丢失,使电子文件的安全受到威胁。
3 威胁电子文件与电子档案的安全隐患
与纸质文件相比,电子文件的信息安全尤为突出,易于编辑的二进制代码、高度共享的信息、开放的计算机系统、四通八达的网络、不断升级的软件、无孔不入的黑客、肆意横行的病毒、污染多变的环境等等因素,对电子文件和电子档案的信息构成了严重的安全隐患。
保密性。非授权用户访问、阅读相关电子文件信息资源;合法用户越权下载相关电子文件信息资源;在使用和处理电子文件信息资源过程中的电磁泄漏;传输电子文件时被非法截获;电子信息资源脱机介质被盗等等。
真实性。电子文件的真实性是指电子文件的内容(包括背景信息)经过传输、压缩、格式转换等处理后依然保持其与形成时的原始状况一致。造成电子文件失真的主要原因有人为因素和非人为因素。被修改。黑客的恶意攻击、授权用户的非法修改、无操作、不真确的信息处理与传输方式、不科学的转换与软件升级、病毒的破坏、系统故障等等均有可能造成文件内容和原数据被修改;被删除。恶意的或误操作,有可能造成电子文件部分或全部内容和元数据被删除;错漏。文件操作过程中的大意、疏忽等原因造成的文字错漏等问题;丢失。文件保存不当或其他原因造成的文件丢失。载体变质也会造成电子文件和元数据丢失。
完整、齐全性。是否收集全了作为有机联系的一件事情的完整过程的所有文件。
不可读性。可读性是指电子文件无论经过多长时间、经过何种方式处理,都能以人类可以识读的、真实的方式输出信息。造成电子文件不可读的原因包括:系统不兼容;软硬件系统没有及时升级与更新换代;加密密匙丢失、专用软件没有留存;病毒感染;载体过时、损坏或记录衰减等。
不可控制性。电子文件的失控,会对电子文件信息安全带来致命的打击。主要表现在以下几方面:软件升级、替换时,能否保证文件不被损坏;能否根据需要调整用户权限和文件开放方式;能否控制(监控)电子文件的下载、拷贝、传输和转换;能否控制电磁环境,实施干扰和反干扰;能否控制电子文件的各种标准和状态,实现信息优化配置和高度共享;能否删除失去保存价值的电子文件;能否实现原数据的更新和验证;能否控制系统工作环境和电子文件脱机介质的保存环境;能否抗否认、追踪、审计、恢复;能否升级安全技术和病毒特征代码;误操作。误操作虽然属于低级错误,但却时有发生。如此等等,都显示了电子文件和电子档案的不可控性。
4 如何消除安全隐患,维护电子文件和电子档案信息安全
4.1坚持维护电子文件信息安全的原则
超前控制原则。信息安全关系到国家的安危、组织的存亡及个人隐私与财产的安全。因此,电子文件管理系统在建设之初,就必须实施并坚持超前控制原则。制定维护电子文件信息安全的制度、标准、策略等,并将其贯彻到软件开发、运用的每一个环节。
风险评估原则。对于电子文件信息安全的方针、策略及标准规范等也要进行评审、评估,根据情况进行改进、完善、调整。对于机构内危及电子文件和电子档案信息安全的风险因素有必要进行评估,划分危害等级,以便在维护安全工作中区别对待、尽可能降低风险。同时,对于风险控制目标和控制方案也要进行评估,预测风险发生几率和成因,对症下药,制定应急方案、尽可能将风险降到最低水平。
预防控制与恢复并举的原则。在电子文件信息安全管理工作中,应坚持预防为主的原则,居安思危,防患于未然。现实生活中,即使保障工作做得再好,也不能保证零风险。风险仍然有可能存在,并危及软件系统和数据恢复,危及电子文件和电子档案的信息安全。因此,有必要对系统和数据进行恢复控制,从而保证电子文件和电子档案的信息安全。
动态控制原则。随着时间的推移、环境的变化、时代的进步和科技的发展等,危及电子文件信息安全的风险因素也会发生变化,原有的安全保障的制度、措施等已经不能满足当前工作的需要,随着各种情况的变化,必须随时调整符合当时工作要求的制度、方针、策略等,以确保电子文件信息长期持续地安全无忧。
4.2保障电子文件和电子档案信息安全的技术对策
物理安全策略。所谓物理安全策略是指保护网络服务器、计算机系统、通信链、系统终端等硬件免受自然災害、人为破坏、搭线攻击和电磁侦测,确保计算机系统有一个相对安全的电磁兼容环境。硬件备份;使用低辐射计算机设备;电磁屏蔽;电磁干扰。
网络系统安全策略。A安全检测和监控检测。所谓安全检测和监控检测是采用预先主动的方式,对客户端和网络系统进行全方位的自动安全监测,发现并避免系统遭受攻击。
B系统备份与恢复。使用备份服务器和相关软件,对系统及电子文件进行备份保存,以备不时之需。如系统遭到破坏或系统瘫痪时,备份系统可以迅速启动,恢复并保证系统正常运行。
C防火墙技术。防火墙是在机构网络和其他系统网络之间设置障碍,以阻止其他系统的用户对该系统的非法访问,也可以阻止该机构的机要信息从机构网络上非法输出。
D访问控制技术。访问控制技术是网络安全防范和保护的主要策略,它可以限制对关键资源的访问利用,防止非法用户进入系统及合法用户对系统信息资源的非法利用。
信息安全策略。A加密技术。B数字签名技术。C数字水印技术。数字水印技术最大的特点是具有很好的隐蔽性。利用隐蔽性来达到保护电子文件信息安全的目的。
D文件备份与灾难恢复技术。做任何事情都不可能百分百达到预期效果。这在维护电子文件和电子档案信息安全的问题上同样适用。在保护电子文件盒电子档案信息安全上虽然做了大量工作,但是,文件的备份依然是最基本和最必要的安全保障工作,这是保护电子文件信息安全的首要工作,不能因为任何理由而有任何怠慢和敷衍。灾难恢复可谓是亡羊补牢,是灾难发生后的不得已的手段,是必要的补救措施。
E防病毒技术。病毒感染对文件的保存会带来致命打击,因此,防病毒技术一定不能落后。F防拷贝技术。如某些关键部门的重要文件,必须设置阻止拷贝,以防泄密,给国家或个人带来不可弥补的损失。
G载体保护技术。H保障长期可读性技术。要保障长期可读,必须要做到技术的更新和无缝衔接。I数据库安全技术。O元数据验证技术。
4.3保障电子文件和电子档案信息安全的管理对策
第一,建立健全信息安全的相关法律法规。用法律的武器切实保护信息安全。第二,制定切实可行的保护电子信息安全的规章制度和措施。用制度约束和规范人们的行为,用制度时时提醒人们,哪些是该做的,哪些是不该做的,哪些是能做到,哪些是不能做到,哪些是必须做的,哪些是绝对不能做的,依靠制度的约束力,保护电子文件信息安全。第三,制定维护电子文件信息安全标准。
5 结束语
电子档案来源于电子文件,因此,电子文件的信息安全与电子档案的信息安全息息相关。为切实有效地确保电子文件的信息安全及其电子档案的安全管理,应遵循管理学理论中的一般循环原则,即实施Plan(策划)—Do(执行)—Check(检查)—Action(措施)的持续改进的模式,即所谓的PDCA模式。在这个模式中,各个模块之间可以实现通过持续的信息反馈来不断修正、改进,从而促进电子文件信息安全方案的不断完善。
当然,电子文件和电子档案的信息安全并不只是系统安全人员和档案管理部门的事,它与所有员工都密切相关。安全问题事关重大,机构内每一个人都应无条件地参与电子文件和电子档案的安全管理,各负其责,各司其职。只有这样,才能尽可能做好电子文件及电子档案的安全保障。
参考文献:
[1] 铁丽杰.如何推进档案工作规范化标准化[N].四平日报,2009- 11- 06(002).