电子文件安全保障现状调查与评估:以武汉市为例
肖秋会 许晓彤 石晓雨
摘 要:对武汉市34家综合档案馆、高校档案馆、大型企事业单位档案馆(室)的电子文件安全保障情况进行了实地调研与评估,从实体安全、信息安全和管理安全三个方面分析了武汉市电子文件安全保障的现状、成绩与问题。指出武汉市电子文件保障工作需要提升电子文件风险防御的意识与能力、提高电子文件备份的质量与等级、强化对电子文件安全保障工作重要性的认识。
关键词:电子文件;安全保障;调查;评估;武汉市
Abstract:To examine the status, achievements and problems of electronic records security assurance in Wuhan, members of our project group interviewed 34 institutions including several general archives, university archives and some archives of enterprise and public institutions. Solutions were focused on following aspects: 1) to enhance the awareness and ability of risk defense; 2) to improve the quality and level of backup; 3) and to strengthen the understanding of the importance of electronic records security assurance.
Keywords: Electronic records; Security assurance; Investigation; Evaluation;Wuhan
隨着各类电子业务的发展和应用,各级各类组织机构的电子文件数量和规模激增,电子文件的安全保障问题成为我国档案安全保障体系中的一项重要内容。截至2016年底,全国各级档案馆数字化档案资源达2243万GB[1],“存量数字化,增量电子化”成为档案工作的主要着力点,保障电子文件的安全,使其真实、完整、可靠、可用尤为必要。本项目组以武汉市为例,对该市综合档案馆、高校档案馆和大型企事业单位档案馆(室)的电子文件安全保障情况进行了调查和评估,可为我国电子文件安全保障评估及电子文件安全保障政策的制定提供参考。
1.调查对象与调查方法
本项目组自2017年10月起,先后调查了武汉市14个综合档案馆、12个高校档案馆和8个大型企事业单位档案馆(室),实地发放并回收有效问卷34份。我们以实体安全、信息安全和管理安全三个一级指标为基础,对库房环境、存储设备、网络安全、系统安全、数据安全、制度建设、组织管理等多个二级指标领域进行调查。为保证调查结果的准确可信,我们对32家单位进行了实地调查,对距离较远或不便接待的2家单位进行电子邮件调查与电话访谈。并在初步梳理调查数据后对数据存疑的部分单位进行了电话回访。
2.武汉市电子文件安全保障现状总体评估
项目组成员运用层次分析法(AHP),参考电子文件安全保障相关的法律法规、政策标准及多名专家学者的专著与论述,制定了包含3个一级指标、7个二级指标、35个三级指标的电子文件安全保障评估指标体系[2]。采用德尔菲法对9位专家进行调查与咨询,确定各项指标的权重。另外,根据指标体系设计调查问卷,对武汉市34家档案馆(室)的电子文件安全保障现状进行调查,按比例为各项调查结果赋分并依照权重计算与评估(满分为100)。结果分布如图1。
如图1,在参与评估的34家单位中,评级为“优秀”、得分在[90,100]区间的单位共3家,占比8.8%,含综合档案馆2家,高校档案馆1家;评级为“良好”、得分在[80,90]区间的单位共11家,占比32.35%,含综合档案馆6家,高校档案馆2家,企事业单位档案馆(室)3家;评级为“一般”、得分在[60,80]区间的单位共11家,占比32.35%,含综合档案馆4家,高校档案馆4家,企事业单位档案馆(室)3家;评级为“较落后”、得分在[40,60]区间的单位共7家,占比20.6%,含综合档案馆2家,高校档案馆4家,企事业单位档案馆(室)1家;评级为“亟待整改”、得分在[0,40]区间的单位共2家,占比5.9%,含高校档案馆1家,企事业单位档案馆(室)1家。
总体而言,参与此次评估各单位的电子文件安全保障水平差异显著,最高分达94.602,最低分为32.746,其中,评级为“良好”和“一般”的单位居多。从达标率来看,以60分为基准,本次评估的整体达标率为73.5%,大部分组织机构在电子文件安全保障工作方面取得一定成效。从档案馆类型看,综合档案馆整体情况普遍优于其他两类档案馆,平均得分为76,这受其工作职责及在档案工作中的主导地位所影响;大型企事业单位和高校档案馆平均得分为68.2和65.2,但个体间得分差异尤为显著,这与各单位对电子文件管理重视程度和管理规模不同有关。
3.武汉市电子文件安全保障现状调查结果分析
3.1电子文件实体安全保障现状。
3.1.1电子文件库房的独立性和专业化有待提升。电子文件与传统档案存储的载体与形式不同,对保存环境的要求各异,为电子文件提供专业可靠的外部保管环境至关重要。调查显示,34家档案馆(室)中仅17家(50%)设立了专门的电子文件库房,不同类型的档案馆(室)设立专门电子文件库房的比例均为50%左右,可见,目前组织机构尚未普遍树立电子文件单独保管的意识。在具体保管设施方面,上述电子文件库房全部配备温湿度控制设施,88.24%的库房配备了防水、防火、防尘及防止人员入侵设施,七成左右库房配备了防紫外线和防电磁辐射设施,五成库房配备了防有害气体及防震设施。
3.1.2电子文件保存载体种类多样、合规性良好。电子文件由信息及其附着的载体组成,多样化的合规存储介质有助于提升电子文件管理的安全系数。此次接受调查的34家单位中有29家(85.3%)均选取了两种及以上载体来储存电子文件,其中5家(14.7%)使用了硬盘、软盘、光盘和磁带4种存储介质进行文件保存,其余5家(14.7%)只选取了硬盘作为唯一存储方式。在所有存储介质中,硬盘以快捷便利的特点使用最为广泛,采用率达97.06%;目前最为经济、安全的电子文件存储介质光盘也被82.35%的机构选用,综合档案馆多选用寿命大于20年的档案级光盘;还有26.47%和11.76%的单位选择磁带和软盘作为存储介质。在管理与保存上述存储载体时,88.24%的机构使用磁带盒、光盘盒等专业装具。
对存储载体定期检查是保证电子文件完整、可用的重要环节。调查显示,70.59%的单位会定期对载体进行可读性检查,47.06%的单位会对载体外观进行检查,50%和35.29%的单位会检查数据的完整性和防毒情况,另外,有20.59%的单位未进行定期检查。
3.2电子文件信息安全保障现状。
3.2.1网络环境设施基本完备。网络软硬件设施及网络配置构成了电子文件生成、流转与保存的直接环境。调查显示,在基础网络设施方面,79.41%的单位计算机网络部件配备齐全、划分了内外网络段并实行访问控制,58.82%单位的重要通讯线路和通讯控制装置均有备份。在防攻击方面,所有单位都安装了防病毒软件,58.82%的单位使用360杀毒,其他单位使用了腾讯电脑管家、金山毒霸、瑞星、趋势科技、卡巴斯基、诺顿等品牌的杀毒软件;94.12%的单位建立了防火墙系统维护网络安全,64.71%的单位采用入侵检测技术动态识别恶意使用行为;同时,55.88%的单位采用自动化漏洞扫描程序查找网络安全漏洞,32.35%的单位定期进行人工漏洞查找与修复。可见,大部分单位搭建了较完善的网络硬件环境,配备了防火墙系统和杀毒软件,但持续动态的防入侵技术方面还有待提升。
3.2.2电子文件管理系统初步普及,但关键技术的采用度偏低。88.24%的被调查对象配备了电子文件管理系统,其中,100%的综合档案馆均配备了上述系统。73.3%的系统经过了具有资质的安全保密测试单位的检测,20%的系统通过了自行系统安全检测。86.67%的系统能进行较为及时、方便的升级和维护。采用电子文件管理系统的单位中,63.33%的系统为单位直接采购,主要品牌有:世纪科怡、东方飞扬、南大之星、紫光启明、量子伟业PDE等;33.34%的单位委托研制或合作开发电子文件管理系统;仅有一家单位的电子文件管理系统为自主研发。在电子文件管理系统的功能方面,本次调查涉及的系统均提供檢索利用功能,76.67%的系统可进行电子文件分类、70%具有捕获或归档功能、63.33%具有长久保存功能、33.33%有鉴定功能、20%具有审计与分析功能,但如捕获归档、在线移交等功能的使用率很低。其中,仅有53.33%的单位表示现有的电子文件管理系统可以满足工作需要。部分档案工作者反映电子文件管理系统功能是否齐全只是初级要求,关键在于功能是否符合工作实际、便于操作。通过调查可知,多数单位在电子文件管理系统开发中地位较被动,开发商根据实际的工作需求进行功能更新的周期较长,这为电子文件日常管理工作造成了一定困难。
数据安全关键技术的实施能有效保障电子文件在生成、流转、归档与利用等各环节的安全。调查显示,35.29%的单位在电子文件流转过程中采用了非对称加密技术,8.82%的单位实施了对称加密,另外,55.88%的单位未进行加密处理。在信息认证方面,58.8%的单位采用了数字签名、身份识别或信息完整性校验技术,29.4%的单位采用了上述两种及以上的信息认证技术。在数字水印技术方面,54%的单位未使用数字水印,23.53%的单位使用图像水印,其他单位使用文本水印、视频水印、明文水印等。项目组在走访中得知,武汉市各级综合档案馆并未完全实现在线移交归档,这也是导致各单位对数据安全关键技术的采用度不高的原因之一。
3.2.3 电子文件保存格式具有多样性。本项目组统计了34家单位电子文件的保存格式及其被采用的比例(见表1),发现大多数单位采用两种及以上的保存格式。其中:39.3%采用两种以上格式保存文本类电子文件,该比例在图像类、录音类和录像类电子文件中分别为55.2%、50%及45.5%。值得注意的是,仍有部分单位将doc作为唯一的文本类电子文件保存格式,这为电子文件安全长久保存带来了隐患。
3.2.4 电子文件备份基本普及但等级有待提升。与纸质文件相比,电子文件更加易流失,备份工作为电子文件安全管理提供了双重保障。调查显示,除1家电子文件工作较落后的单位未进行备份外,其余33家单位中,有26家的备份级别为“数据级(仅备份数据)”,3家的备份级别为“应用级(备份应用系统)”,1家实行了备份全部应用环境与基础设施的“业务级备份”。各单位的备份存储方式及采用比例详见图2,其中,87.9%的单位采用两种及以上的备份存储方式,72.8%的单位采用4种以上的备份存储方式。可见各单位均按照要求开展了电子文件备份工作,但备份级别有待提升。
3.3电子文件管理安全保障现状。
3.3.1标准遵从与制度建设状况基本良好。各项国家标准、行业标准、制度规范是组织机构电子文件安全管理工作的依据。调查显示,在标准遵从方面,76.47%的单位表示采用了《电子文件归档与电子档案管理规范》《文书类电子文件元数据方案》的规定,综合档案馆采用最为积极。在制度建设方面,88.24%的单位制定了电子文件归档制度与电子文件安全保密制度,其中,47.06%和38.24%的单位认为上述制度实施情况良好及一般,14.71%的单位认为其实施效果并不理想。面对形势日益严峻的电子文件管理工作,82.3%的单位制定了短期、中期或长期工作计划,其中2家单位同时制定了中期与长期工作计划,6家单位表示尚未制定工作计划。
3.3.2 预算及经费情况比较乐观。相比于传统的纸质档案,电子文件管理对技术与设备更新换代的依赖性更强,经费投入直接决定着机构电子文件管理的层次与规模。调查显示,85.29%的单位均有针对电子文件安全保护的专项预算,52.94%和32.35%的单位表示经费充足或较充足,另有14.71%的单位表示经费不充足。在调查中我们发现,八成以上的被调查对象对经费情况比较乐观,但根据我们的评估体系和评估结果,电子文件安全保障的总体优秀率偏低,这与各单位对电子文件安全保障工作的认识不足有关。
3.3.3人员岗位安排与成长激励机制有待进一步完善。设立专职的电子文件安全保管负责人员能够保证机构电子文件管理工作开展效果与运行效率。在岗位人员安排方面,调查显示,35.29%的单位设立了独立的电子文件安全保护工作岗位,58.82%的单位设立了兼职岗位,5.88%的单位没有人员负责此项工作。在电子文件安全保障工作的职责分工方面,58.82%的机构做到了明文规定其权责。在人员成长与激励方面,64.71%的单位表示已开展了电子文件安全保护的相关培训课程,50%的单位表示针对该项工作制定了相关奖惩制度。可见,电子文件安全保管未能作为一项独立工作得到普遍认可,被调查机构对电子文件安全保护重要性的认识仍不够充分,并缺乏对此项工作的足够重视。
3.3.4 风险与灾备意识严重不足。此次调查显示,为维护电子文件的长期可存取,67.7%的单位定期进行数据迁移或载体转换,但23.5%和8.8%的单位只对数据进行了复制或未采取任何措施。仅50%的单位进行过电子文件安全保护工作评估,并根据评估结果进行了整改。这说明接受调查的各机构对电子文件安全风险的防范准备不足,应有组织有计划地开展风险的识别、评估与应对工作。同时,各单位灾备工作实施情况也不容乐观,仅7%的单位建立了电子文件灾备中心,不到半数单位成立了电子文件安全应急处理和抢险救灾工作队。 67.65%的单位制定了电子文件安全应急处理与灾难恢复的预案,只有20.59%的单位据此开展了定期演练。
4.结论与建议
综上,武汉市的电子文件安全保障工作在基础设施建设、存储载体与格式管理、基础备份、电子文件管理系统普及、标准遵从与制度建设、预算与经费方面取得了一定进展,但仍存在几个亟待重视的问题:
4.1风险防御意识与能力不足。此次调查发现,各档案馆针对传统纸质档案的实体安全防护工作普遍优于电子文件,诚然,这与电子文件工作起步较晚有关,但电子文件易更改、易流失的特性[3]及信息环境中瞬息多变的风险使其安全保障工作应当比传统纸质档案受到更密切、更频繁的关注。调研中反映出的主要问题有:①缺乏持续动态的防入侵技术。虽然各单位普遍安装了杀毒软件与防火墙,但对动态入侵检测和自动化漏洞查找等技术的普及度不高,甚至有单位认为上述安全措施只需要采用其中1~2种即可,这为不法分子恶意攻击提供了可乘之机。②长期保存措施不完备。由调查可知,在电子文件长期保存过程中超过三成机构仅进行了数据复制或尚未采取任何保障策略,数据迁移与载体转换等必要的技术措施未受到应有的重视,严重危害电子文件的长期可用性。③安全风险评估与整改工作不及时。调查显示,仅五成单位能够对电子文件管理过程中的风险进行识别评估并据此整改,这使各机构无法准确掌握电子文件管理的安全现状、风险与问题,不利于工作战略的制定。④部分档案工作人员对信息安全关键技术不了解、敏感度不高。本项目组在调查中发现,对于问卷中提及的信息认证、信息加密相关技术,部分档案工作者表示并不了解。面对此类问题,接受采访的某高校档案馆馆长指出,这与目前档案工作者队伍中缺乏既懂得档案又精通技术的人员有关,这也是档案工作者产生“技术恐惧”的客观原因。除以上因素外,风险意识的欠缺使档案工作者缺乏了解新技术、新手段的动力,亦是导致电子文件管理技术应用滞后的重要原因。
4.2电子文件备份的质量与等级有待提升。目前,各单位电子文件备份工作初具规模,但战略规划与实际操作的层级偏低,不足以应对多变的环境条件与技术发展趋势。首先,在战略层面,依照《国家信息化领导小组关于加强信息安全保障工作的意见》[4]成立电子文件安全应急处理和抢险救灾工作队的单位不足半数,制定电子文件安全应急处理与灾难恢复预案的单位中仅三分之一对该预案进行了演练,缺乏定期执行演练的应急预案无法得到及时的修正、更新,就成为一纸空文,因此,提升队伍建设、加强应急预案的落实与反馈机制迫在眉睫。其次,在实际操作层面,多数单位对备份的认识还停留在数据层面,对电子文件生成、流转与存储的应用环境备份缺乏重视,这不利于特殊格式或载体电子文件的长期存取利用,于是,实施应用级及以上的备份并尽量采取多种备份手段十分必要。如湖北省档案馆电子文件实施应用级备份,并采取了增量备份、完全备份、脱机备份、服务器在线备份、异地备份、重要文件缩微胶片异质备份等措施。
4.3对电子文件安全保障工作的认识脱离时代形势发展。在走访调查的过程中,項目组成员发现相当数量的档案工作人员对电子文件安全保障工作的认识与时代环境和形势发展脱离甚远,这一现象在部分高校档案馆和企事业单位档案馆(室)尤其显著,具体表现为以下几个方面:①对电子文件概念认识不清。电子文件的档案化管理未能得到体现。调研过程中,部分单位的工作人员将电子文件管理与档案工作区别对待,即认为档案是档案,电子文件是电子文件;还有个别单位为应对上级检查,随意拷贝数码设备中的文件或扫描一些纸质文件“充当”电子文件馆藏。上述现象说明,由于部分档案工作者对技术的了解度与信任度偏低、技术本身的局限性等主客观原因,电子文件的凭证价值未受到普遍认可,电子文件保存价值被忽视。同时,我们发现,档案馆安全保障综合水平较高的单位在电子文件安全保障工作中未必有较好的表现,这表明部分档案馆对电子文件安全保障工作的重视程度还有待提高。②电子文件安全保障工作的独立地位不突出。拥有独立电子文件库房、专职电子文件管理人员、电子文件归档制度、电子文件安全保密制度的单位较少,明文规定电子文件管理权责及实施奖惩措施、开展电子文件专业培训的单位也较为缺乏,这说明人们仍然偏向于沿用传统的档案管理方法或习惯来管理电子文件。因此,必须提升对数字环境中电子文件生成、流转、归档、保存和利用特性的认识,调强电子文件安全保障工作的重要性。
*本文系教育部人文社会科学重点研究基地重大项目“我国档案安全保障体系构建的理论与实践研究”(项目编号:15JJD870002)研究成果之一。
参考文献:
[1]人民网. 全国档案局长馆长会议召开[EB/OL]. [2018-1-1]. http://politics.people.com.cn/n1/2017/1228/c1001-29733783.html.
[2]该指标体系的详细构建过程与论证参见本项目组另一篇论文《基于层次分析法的电子文件安全保障评估指标体系构建》,作者:刘盼盼、容依媚、梁珂珂。
[3]冯惠玲.电子文件管理:信息化社会的基石[J].电子政务,2010(06):3-9.
[4]国家信息化领导小组关于加强信息安全保障工作的意见[EB/OL]. [2018-01-12]. http://www.pkulaw.cn/fulltext_form.aspx/pay/fulltext_form.aspx?Db=chl&Gid;=35202072db61e37abdfb.
(作者单位:武汉大学信息管理学院,武汉大学信息资源研究中心,图书情报国家级实验教学示范中心(武汉大学) 来稿日期:2018-01-16)