简述档案管理数字化中的信息安全风险及其控制

王炜炜

摘 要：档案管理是企业和单位管理工作的重要组成部分，随着信息技术的普及应用，实现档案管理的数字化，能提高管理效率和质量，但同时也带来了信息安全风险。本文首先分析了档案管理数字化的应用优势，然后指出信息安全风险类型，最后阐述了相关控制措施，以供参考。

关键词：档案管理；数字化；信息安全风险；控制措施

档案管理的数字化，就是将纸质档案升级为电子档案的过程，主要采用扫描、录入等方法，将档案信息存储到计算机数据库中，实现快捷检索、同步备份的目标。新的经济社会形势下，传统的档案管理模式不满足实际工作需求，数字化管理应运而生。提高管理水平，保证档案信息的安全性，成为从业人员的关注要点，以下对此进行探讨。

1.档案管理数字化的应用优势

以计算机、互联网为代表的信息技术，目前已经走进人们的生产生活中，对于同样一项工作任务，原本需要大量人力和时间，基于信息技术下只需要很少的人力和时间。如此一来，不仅提高了工作效率，也减轻了人们的劳动强度，工作更加轻松舒适。新的经济社会背景下，档案管理工作也要向着高效性、便捷化发展，于是数字化管理出现，提供了多样化的服务手段。例如：管理人员在档案的整理上，不再采用手抄、誊写等形式，而是检索、编目，实现了档案—计算机—电讯的三位一体，其一方便使用者及时准确地找到需要的档案资料，提高资源使用效率；其二档案管理的硬件、软件升级，为管理创造了良好的氛围[1]。

2.档案管理数字化中的信息安全风险类型

档案管理的数字化，是充分利用互联网技术，将档案资料置于全球网络中，实现IP地址之间的互相访问。如此开展档案管理工作，能提高查询效率、管理质量，大大减轻工作量；同时也为管理本身带来了安全风险，具体如下：

2.1 技术安全风险

技术安全风险的形成，原因包括两个方面：第一，网络安全防护能力低，例如网络安全体系自身不完善；或者企事业单位不重视，在基础设施上的投入不足，后期维护保养工作不到位等，导致安全体系的设计和建设步伐不一致。此外，我国使用的计算机大多是国外品牌，由于技术上受限制，可能会事先植入后门。第二，存在泄密隐患。随着企事业单位的经营发展，会产生大量的数据信息，一旦档案资料数据丢失，就会造成巨大损失，因此机密性受到威胁。经济全球化背景下，反窃密斗争愈演愈烈，保密工作面临更加复杂的环境。以手机泄密、移动存储泄密、互联网泄密为例，为信息安全管理带来新的挑战[2]。

2.2 人为恶意攻击

相比于自然灾害和硬件系统，人为攻击由于是精心设计的，因此威胁性更大，而且难以使用现有的法律法规进行防护。在数字化档案管理中，人为攻击可以分为两种形式：一是主动攻击，即擅自篡改信息内容，破坏档案信息的完整性、有效性；二是被动攻击，即不影响网络的正常使用，对档案信息进行截获窃取。常用的攻击手段，是木马病毒、黑客入侵、垃圾邮件等。

2.3 安全管理薄弱

信息安全具有突发性、扩散性，从安全风险的来源入手，采用技术、法律、管理等手段，建成完善的安全管理系统，成为管理人员的共识。但是，我国信息安全管理工作的起步晚，在风险评估、标准制定、安全管理细则上相对缺乏，因此存在诸多漏洞。结合档案管理的特点，威胁包括以下几种[3]：①拒絕服务；②非法使用；③授权侵犯；④业务流分析；⑤旁路控制；⑥抵赖。

3.针对信息安全风险的控制措施

3.1 规范信息传播行为

在档案信息的传播过程中，发布者、传递者、接收者均可能造成安全风险，因此要规范信息传播行为。第一，规范信息发布者的行为。档案信息的发布者，即企事业单位，经单位授意后由档案馆落实。对于企事业单位而言，应该在档案管理上制定完善的制度规范，让管理人员准确判断档案信息是否能在网上发布，要遵守的原则和注意事项，以及档案保密和开放界限[4]。具体工作中，要协调保密和开放的关系，对于不需保密的档案及时公布社会；对于涉及个人隐私、知识产权的档案，则要加强保密措施。第二，规范信息传递者的行为。档案信息的传递者，即单位信息中心的工作人员，要对人员的选拔任用严格把关，既精通信息技术，又具备高度责任心，构建一支高素质、复合型的人才队伍。第三，规范信息接收者的行为。档案信息的接收者，即使用档案的个人、家庭、组织，要制定规范引导接收者科学使用档案，不能对信息内容修改、增减，遵守各项管理规定。

3.2 采用安全技术措施

针对档案信息的安全风险，技术措施就是采用保密技术，避免信息泄露、修改、破坏。传统的加密法，就是基于密钥Ke下，采用加密算法将明文数据M加密成C，此时C=E（M，Ke），其他人就不会理解C的含义。新型加密法包括以下几种：一是数字签名法，计算机网络在使用时，利用数字签名，确保当事人身份、数据的真实性。二是认证技术法，需要验证认证对象是否实名、是否有效，以保证数据的真实性，避免他人假冒或篡改。三是智能卡技术，将数据的存储、处理、安全保密等功能，集成在电路芯片中，然后嵌入存款基片上，使其成为智能卡。四是防火墙技术，设立网络防火墙，将内部网络、外部网络分隔开，避免内部网络受到外部攻击，防止内部用户向外部泄密。

3.3 实施授权控制

在档案信息安全风险的控制上，除了管理人员、企事业单位以外，国家也要采取手段，例如完善政策法律，为安全管理提供保障。此外，授权控制就是为不同用户设置访问权限，针对网上信息进行分层管理，一般分为三个层级，即领导层、管理层、用户层[5]。如果档案关系到干部任免、财务预算决算，属于绝密信息，禁止网址公开，由高层领导掌握信息。如果是会议通知、工作计划、报告、请求等，在特定时间内需要保密，不能在网上公开，由管理人员掌握信息。如果是通信简报、惠民举措，则可以向社会公开，为公众提供服务。

3.4 安全风险评估

对档案信息安全风险进行评估，主要采用以下方法：一是信息模型分析法，采集档案安全信息，识别风险要素并制定应对策略，比较安全管理情况和标准模型，从中明确不足之处，最终选择最佳安全管理方案。二是经验分析法，企事业单位从以往档案管理的经验入手，看安全现状和目标之间的差距，优势是能减少人力和资源的使用，提高管理效率。三是定性分析法，通过管理人员讨论、调查问卷、同类型企事业单位安全事件统计等形式，确定档案信息风险的权重，对不同风险按照严重程度进行排序，为风险控制工作的开展提供依据。

4 结语

综上所述，档案管理的数字化，提高了管理工作的效率和质量。分析可知，信息安全风险的类型，主要包括技术安全风险、人为恶意攻击、安全管理薄弱三个方面。对此，应该规范信息传播行为、采用安全技术措施、实施授权控制，并对安全风险进行评估，从而促进管理工作有序开展。

参考文献

[1] 刘影.试析档案信息化建设中的信息安全风险评估问题[J].黑龙江档案，2012，（4）：71-71.

[2] 张娟，李仪.个人档案信息共享的规制措施研究——以应对档案管理数字化建设下的信息安全风险为视角[J].档案与建设，2015，（3）：33-36，42.

[3] 段英华.浅谈档案管理数字化中的信息安全风险及其控制[J].黑龙江史志，2015，（7）：104-104.

[4] 李仪，张娟.个人档案信息共享的规制措施研究——以应对档案管理数字化建设下的信息安全风险为视角[J].档案管理，2015，（3）：11-14.

[5] 张印，李学广.数字档案信息安全管理的思考[J].兰台世界，2011，（30）：24-25.