① 网络条件下档案信息管理系统面临哪些安全风险
② 档案数字化管理的优势与存在的问题
档案数字化管理的优势与存在的问题
档案数字化管理优势
(一)能增强立卷制度执行力。1983年4月,中共中央办公厅、国务院办公厅发布的《机关档案工作条例》的规定:“凡机关工作中形成的具有保存价值的文件材料均由文书部门或业务部门进行立卷,并定期向档案部门归档”,从上述规定可见,文书处理部门整理(立卷)在我国是一项基本制度。传统的档案管理工作,档案立卷是档案管理的重要步骤,现代化管理档案也要求所有档案均需立卷。但至今,在档案管理工作中,部门立卷的落实程度始终有待考量,不少单位档案室迄今仍未建构健全的部门立卷制度,或制度形同虚设,没有很好的执行,个别部门每年仅送几次较散乱的资料给档案室相应负责人代替部门进行立卷,但档案管理人员知识结构和业务领域受限,同时每日均有大量工作需完成,对每一个部门的工作内容未必了解透彻,必然也就不能保证所上交材料的完整和成套性。但档案数字化后,结合网络管理,由档案员将各部门已输入到电脑中的文件资料进行统一立卷编目,如此可提高档案归档质量。
(二)能缩短档案资料整理工作时间。传统的档案管理工作大多都是在固定时间、固定人员与固定地点进行的,档案资料的鉴定、整理、归档等流程需花费大量时间完成,且有时还会出现事半功倍的现象。档案数字化管理,突破了原有办公管理的局限性,电脑成为现代办公的主要途径,管理人员可通过编码与解码的方式完成电子档案的存储,且可用不同载体对档案进行复制与存储。相关部门仅可将需归档资料录入电脑终端,并通过后台传输至档案管理终端,管理人员就可利用电脑里已设的管理系统完成对资料的归档,如此缩短了工作时间,操作简便,提高了工作质量。
(三)提高了查询效率。在当前社会经济飞速发展的背景下,产生了海量的档案资源,如果依靠人工完成对档案资源的查询费时、繁琐。实现数字化档案管理后,查询者仅在指定页面上搜索关键词就能得到需要的信息,提升了查询效率。工作人员也将有大量时间从事档案资源的整理、分类等基础性工作。(四)增强纸质档案原件的保护。纸质档案实现数字化后,可以把原件妥善地保存起来,工作中档案的利用完全可以通过数字化副本代替原件实现,这样可以避免或减少对档案原件的损坏,以便有效地延长原件的保存时间;尤其是那些历史久远的珍贵档案材料,实现数字化处理后无疑会得以更好地保存。
二、档案数字化管理的不足
(一)档案数字化管理有一定的风险性。在信息技术逐日普及的今天,网络信息安全问题随之凸显,电脑病毒与黑客非法入侵等均为计算机系统里的档案信息造成了极大威胁,增加了档案保密管理难度。另外,部分档案在转换成电子档案时,主要利用电子编码技术来进行档案编辑,电子编码技术在应用时有一定的弊端,如果对原始凭证内容进行修改也不会留下任何痕迹,相关管理人员是很难及时发现的。所以,违反《档案法》的行为应备加警惕。
(二)电子文件档案储存受载体制约性强。电子文件对软硬件设备的依赖性相当强,计算机储存设备容量虽大,不过面对呈几何级数发展的电子文件也有穷尽之时,且计算机应用软件更新相当快,不少早期形成的文件在新的软硬件环境下无法读取,即使是同时期的电子文件也可能存在着软件不兼容问题,这些问题均不利于电子档案的安全、长期乃至永久管理。
(三)数字档案的法律效力问题。档案是原始的记忆,具有凭证作用和法律效应。但数字档案有其特殊性,由于它的内容容易被修改,并且内容和载体易分离,真实性存在“信任危机”。因此,数字档案突显囧态,在法律面前很难成为合法有力的证据。
(四)工作人员业务素质需要提高。因档案数字化与数字化档案信息管理必然会用到计算机软硬件与扫描、存储、数字影像处理等多种现代化技术,增强档案管理业务水平,并非仅懂得现代计算机技术的人即能胜任并完成工作,唯有一专多能的复合型人才方可胜任。因而应重视档案数字化与数字化档案管理人员的培养。总之,在计算机网络技术不断发展的21世纪,档案数字化管理是档案事业发展的必然趋势。现代信息技术必将实现由手工档案管理至自动化管理的变革,进而提高管理工作效率,减少劳动强度,加快文件传输。作为档案管理人员应正确权衡档案数字化管理利弊,紧跟时代发展步伐,摸索出科学档案管理新思路、新方法,规范档案信息化管理,发挥档案信息数据资源的利用价值,方可凸显档案工作的服务效能。
③ 公安局网络安全管理职位是干吗的
公安局网络安全管理是负责管理网络,负责国家的网络安全,保护国家和人民的利益不受侵害。
1、协调、监督、检查、指导对本地区党政机关和金融机构等重要部门公共信息网络和互联网的安全保护管理工作。
2、监督计算机信息系统的使用单位和国际互联网的互联单位、接入单位及有关用户建立健全安全管理制度的落实情况;检查网络安全管理及技术措施的落实情况。
3、监督、检查和指导计算机信息系统使用单位安全组织和安全员的工作。
4、监督、检查、指导要害部门计算机信息系统安全等级保护制度的落实。
5、依据国家有关计算机机房的标准和规定,对计算机机房的建设和在计算机机房附近的施工进行监督管理。
6、依据国家有关对计算机信息系统(场所)防雷防静电的标准和规定,对计算机信息系统(场所)防雷防静电安全检测工作实行备案登记和安全审核制度。
7、对计算机信息系统安全专用产品销售许可证进行监督检查。
8、对计算机病毒和危害社会公共安全的其他有害数据的防治研究工作进行管理。
9、查处违反计算机信息网络国际联网国际出入口信道、互联网络、接入网络管理规定的行为。
10、依据有关法律法规的规定,对"网吧"、"酒店电子商务中心"等互联网上网服务营业场所实行备案登记和安全审核制度。
11、掌握计算机信息网络国际联网的互联单位、接入单位和用户的备案情况,建立备案档案,进行备案统计,并按国家有关规定逐级上报。
12、对单位和个人利用国际联网制作、复制、查阅、传播有害信息的情况给予查处,对上述地址、目录、服务器,应通知有关单位关闭或删除。
13、负责接受有关单位和用户计算机信息系统中发生的案件报告,查处公共信息网络安全事故和非法侵入国家重要计算机信息系统、破坏计算机信息系统功能、破坏计算机信息系统数据和应用程序、传播计算机破坏性程序等违法犯罪案件,查处利用计算机实施的金融诈骗、盗窃、贪污、挪用公款、窃取国家机密等违法犯罪案件。
14、掌握公共信息网络违法犯罪的发展动态,研究违法犯罪的特点和规律,提出防范和打击公共信息网络违法犯罪的对策。
15、研究计算机违法犯罪案件的取证、破译、解密等侦破技术,并负责对计算机违法犯罪案件中的电子数据证据进行取证和技术鉴定。
16、对计算机信息网络和计算机系统辐射、泄露等安全状况进行检查、安全评估。
17、对有关公共信息网络安全的法律法规的执法情况实施监督。
18、组织开展计算机信息系统安全的宣传、教育、培训。
《通信短信息服务管理规定》
第二条 在中华人民共和国境内提供、使用短信息服务,适用本规定。
第三条 工业和信息化部负责对全国的短信息服务实施监督管理。省、自治区、直辖市通信管理局负责对本行政区域内的短信息服务实施监督管理。工业和信息化部和省、自治区、直辖市通信管理局统称电信管理机构。
第四条 提供、使用短信息服务的,应当遵守法律、行政法规和电信管理机构的相关规定,不得利用短信息服务从事违法活动。
第五条 鼓励有关行业协会依法制定短信息服务的自律性管理制度,引导会员加强自律管理。
④ 档案管理的安全性应该怎么保障
保证档案管理安全选对系统才是关键。例如edoc2,它就采用了高效、稳定的第三代透明加解密技术,可以对任意档案自动透明加解密。此外他提供的统一管理平台也能加强安全性。
⑤ 从事信息管理,信息化建设,网络信息安全是做什么
档案信息化建设主要包括:基础设施建设、档案信息资源建设、应用系统建设、标准规范建设和人才队伍建设等五个方面的内容。
1、
基础设施建设。主要指档案信息网络系统和档案数字化设备。它是档案信息传输、交换和资源共享的基础条件,只有建设先进的档案信息网络,才能充分发挥档案信息化的整体效益。
2、档案信息资源建设。档案信息资源建设是档案信息化建设的基础和核心,是一项长期的工作。档案信息是国民经济和社会发展的战略资源之一,它的开发和利用是档案信息化建设取得成败的关键,也是衡量档案信息化水平的一个重要标志。档案信息资源建设主要内容包括馆藏档案的数字化和电子文件的采集和接收。档案信息资源建设主要形式包括馆藏档案目录中心数据库建设、各种数字化档案全文及专门数据库建设。
3、应用系统建设。应用系统建设主要内容包括档案信息的收集、档案信息的管理、档案信息的利用、档案信息的安全等方面,它关系到档案信息化建设的速度与质量、集中体现了档案信息化建设的效益和档案信息服务的效果。
4、标准规范建设。是对电子文件的形成、归档和电子档案信息资源标识、描述、存储、查询、交换、网上传输和管理等方面,制定标准、规范,并指导实施的过程。档案信息化的标准、规范相当于信息高速公路上的“交通规则”,对于确保计算机管理的档案信息和网络运行的安全、畅通,具有十分重大的意义。
5、人才队伍建设。档案信息化建设,人才是关键。人才是最宝贵的资源。它不仅需要档案专业人才,计算机专业人才,更需要既懂档案业务,又熟悉信息技术的复合型人才。
⑥ 如何确保电子档案信息的安全
第一,必须不断强化各级领导、有关人员乃至全体人员的网络安全意识。要充分认识到电子档案、电子网络、“云存储”等的高危性,意识到现存网络安全设施的局限性、脆弱性、不可靠性,意识到网络攻击、网络窃密的经常性、激烈性、技术先进性、人员复杂性等。无论是采用新的管理办法也好,还是采用新的技术手段也好,始终不忘把“安全”放在首位,用“安全”去拷问、去衡量其是否能用,把“安全”放到“一票否决”的决定性、首要性位置上,永远绷紧“安全”这根弦。
第二,必须充分利用现有安全设施,严格防范外来攻击。现有安全设施,尽管门槛不高,但也是门槛;尽管不能拦住全部侵入,但也能拦住部分侵入。所以,对现有网络安全设施,还是要充分利用,百分之百地发挥它的功能,严格地防范外来攻击,而不能弃置不用或表面上用而实际上不用,自废武功,完全不设防,听凭任何人随意攻击。
第三,要不断用最先进的技术和手段改进、升级现有网络安全设施,不断提高安全防护等级,不断增强安全防护效能。在网络技术方面,“矛”和“盾”的较量将是长期的、无止境的。再坚固的“盾”,也只能防昨日之“矛”,而不能防今日之“矛”,更不能防明日之“矛”。今日之“矛”再厉害,明日之“盾”也能防护它。我们的一切档案网络防护设施,都是针对过去的网络攻击技术设计的,都会很快过时,被今天和明天更新的网络攻击技术所攻破。所以,采用任何高级的网络防护设施,我们都不能希望其能“毕其功于一役”“一劳永逸”,因为信息技术发展日新月异,网络攻防领域的竞争异常激烈,甲方刚在防的方面推出新手段,乙方又在攻的方面推出新产品,能轻松破解甲方之前的新手段。各级档案部门要想有效防止各种网络攻击,必须经常采用新的防护技术,不断升级自己的网络防护设施,不断提高自己的网络安全等级、安全系数和安全效能,使自己的设施常用常新、长期有效。
第四,要善于“以拙制巧”,使用原始的、笨拙的办法,有效防护和破解日益升级的高级网络攻击,使自己立于不败之地。什么措施最能从根本上保证电子档案安全,我们就采取什么措施,不管这种措施是原始的还是现代的,是笨拙的还是智能的。例如:我们可以吸取好多绝密级文件在用计算机处理的过程中被敌人远程窃取的教训,对绝密级文件一律不用计算机处理;我们可以吸取好多纸质文件在数字化过程中被人窃取的教训,对绝密或机密级纸质文件不进行数字化;我们可以吸取好多电子文件生成后或被篡改调包,或被删除消失的教训,把重要的电子文件及时异质存储,保全其信息,保证其信息的绝对安全,等等。诸如此类,不一而足。这些办法,虽然土,不洋,但有效;虽然原始,不现代,但好使;虽然笨拙,不智能,但管用。而且更重要的是,它还简单,不复杂,能确保电子档案的信息安全。
第五,对新的档案存储载体、档案处理和传输技术等,为确保安全,要慎重使用。新的信息存储载体和处理、传输技术,往往首先考虑的是便利而不是安全,而档案存储载体和档案传输、处理技术,首先需要考虑的则是安全而不是便利,如果不安全,则越便利的东西,用后造成的危害会越大。因此,在应用信息新技术方面,档案部门的方针应该是:稳妥积极。也就是:以稳妥安全为第一考量, 在此前提下,才能积极应用。档案部门最好不要急于或率先应用那些未经检验的各种新载体和新的处理、传输技术,而要在其他部门应用后经过检验、证明比较安全了,再加应用。走别人走过的路,把后悔留给别人,把安全留给自己。因为档案部门“输不起”,一出事,就可能出大事,所以不能当新信息技术的“小白鼠”,做新信息技术的试验品。上面那条消息中所说的“云盘信息”消失或被“调包”的用户,如果是档案馆,那会给国家造成多大的损失、给档案部门造成多大的信誉损害呀!又会有多少人成为这一安全事故的牺牲品呀!
所以,档案部门在采用新的信息技术之前,一定要把安全问题放在首位加以考虑,对它用“安全”问题再三加以拷问,对它的安全效能再三进行测试,并要与提供方签订协议,由对方为安全后果负全责、买全单,把双方都绑在安全“囚车”上,放在安全“利剑”下,让双方谁都不敢松懈,从而确保档案安全。
⑦ 数字档案信息安全保障问题研究
胡仲奎 辛继升 白燕
(甘肃省国土资源信息中心,兰州730000)
摘要 档案是社会记忆的重要载体,保障档案信息安全是档案工作的生命线。本文论述了数字信息固有的软硬件依赖性、信息环境的波动性、数字载体的不稳定性以及电子数据的脆弱性。分析了影响数字档案信息安全的主要问题,提出了保障数字档案信息安全的对策。
关键词 数字;档案信息;安全保障
1 绪言
数字档案文件是在信息化发展过程中出现的与档案管理相关的数字化文件,其主要特点在于数字化的特征和计算机软硬件的依赖性。人们一直将档案视作社会记忆的重要载体,长期安全保存档案信息是档案工作的应有之义,如何在一个“唯一不变的特点就是变化”的信息环境中实现具有依赖性的数字档案信息的长期安全保存,是档案工作的生命线。研究数字档案信息安全保障机制问题,有利于拓宽档案保护学的研究领域,发展档案保护学理论,繁荣档案学理论体系,指导档案信息化建设和档案事业健康、快速与可持续发展。
数字档案信息的长久安全保存已经成为信息社会面临的共同问题。由于数字信息固有的软硬件依赖性、信息环境的波动性、数字载体的不稳定性,加上数据管理活动中的各种特殊要求,都给数字档案信息长久安全保存带来困难。同时,我们还应当清醒地认识到数字档案信息的长久安全保存是一个复杂的系统,需要综合技术的、管理的、法律的各种影响因素进行总体规划。
数字档案信息安全是确保档案信息内容在生成、存贮、处理、传输和利用整个过程中,保持其真实性、完整性、可靠性和长期可读性(可用性),以及确保数字档案信息记录方式和记录载体不受任何损坏的策略和过程。数字档案信息安全保障包含了理论和实践问题,是一个多层次、多因素、多目标的完整的系统概念。数字档案信息安全具有综合性、相关性、动态性、相对性、脆弱性、智能性和可认证性等属性。
2 影响数字档案信息安全的因素和问题
影响数字档案信息安全保障的因素既有内部因素,也有外部因素;既有主观原因,又有客观原因。档案制成材料的损坏是内外因素、主客观因素综合影响的结果。具体地讲,影响数字档案信息安全的因素主要有自然因素、环境因素、技术因素、社会因素、管理因素和资金因素等。目前,在数字档案信息安全运行和管理方面,由于这些因素的影响,尚存在以下主要问题。
2.1 管理意识淡薄
随着档案信息化进程的推进,档案工作对网络资源依赖程度也不断增强,涉及档案信息安全甚至国家安全的所有重大问题都会在网络上逐渐显现出来,档案信息系统面临的来自方方面面的安全威胁日益剧增,呈现出更加频繁、更富挑战性和高科技的势头。然而,令人担忧的是有一些档案管理部门对档案信息安全的重要性、紧迫性认识不足,只注重档案信息系统基础设施建设和应用开发,而对数字化档案信息安全则是淡然处之。由于缺乏必要的安全教育与培训,导致系统操作人员缺乏安全意识,网络信息违规操作的现象时有发生。
2.2 管理机制不健全
目前,国家信息安全管理处于条块分割,相互隔离,各行其职的状况,缺乏必要的综合协调和整体规划,一些地方普遍缺乏统一的信息资源管理机构和人员,由于信息资源的开发、利用和管理被分割为各自孤立的领域,不同行业的规范难免冲突甚至矛盾,不同主体推进档案安全的进程差别较大,容易出现行业之间、部门之间职责不清,或者出现相互推卸责任的现象,其结果是既难以充分利用信息化所提供的巨大机会挖掘潜能,也难以有效地维护各级档案信息安全。
从档案部门来看,我国还缺少一个国家级的与国家信息化进程相匹配的档案信息安全工程规划,地方档案信息组织管理机制也不健全,管理档案信息的机构、人员受编制影响,未能落实到位,乃至出现政出多门的局面。另外,各级档案部门信息安全制度建设虽然有了一定基础,但仍很不完善,在安全管理、责任追究等方面都还存在不少漏洞;网络安全和信息安全的密级管理缺乏科学手段,一些地方仍把信息安全的主要精力放在传统的“看家护院”的工作模式上,其主要原因就是档案信息安全管理机制不健全,档案信息服务方式和手段比较落后,必须要建立与之相适应的机制与制度,否则,数字档案信息的安全就不能得到有效保障。
2.3 系统自身安全隐忧
数字档案信息是基于互联网、专用网和局域网环境下进行的,在数字档案信息的产生、管理和服务利用等过程中,都面临着运行系统自身信息安全问题。
(1)网络层安全。网络层安全是支撑系统运行的物理设备的安全问题,包括网络基础建设如网络布线、网络链接、局域网和广域网环境的构建、设备选型及其各个环节安全策略的考虑,网络设备安全还涉及系统所使用的大量网络设备,如交换机和路由器等,这些设备的自身安全将直接影响到网络系统及其应用的正常运转。网络安全包括网络周边环境和物理特性引起的网络设备和通信线路的故障而造成网络系统故障,包括地震、雷击、火灾、水灾等环境事故,电源故障、人为操作错误或失误、电磁干扰等,都可能对档案信息网络构成一定程度的危害。
(2)数据层安全。数字档案信息安全系统是以数据存储与查询为特征的数据库应用系统,主要是涉及系统存储的档案数据的安全问题,包括操作系统、数据库管理系统、档案数据存储、数据备份、数据格式的转换以及各类电子文件的保管和异地存储等,由于数据版本更新、数据格式转换、硬件设备意外损坏、存储介质老化、失效、自然灾害等造成的数据丢失、数据损坏甚至是计算机系统的破坏和瘫痪,都对档案信息安全构成一定危害。
(3)应用层安全。应用层安全是档案管理信息系统在实际应用操作过程中应当考虑的基本问题。一般情况下,档案管理信息系统的用户模型分多个层次、多个角色、多种功能或多种形式混合使用,来分别定义用户权限。由于计算机在实际运行时,电子数据是相当脆弱的,时刻处于各种有意或无意破坏的威胁之下,诸如操作者疏忽造成的录入删改和数据文件覆盖,把过期数据当做当前数据引入,权限设计不合理致使一般访问者获得不同级别的特权进行越权删改,恶意破译者破解系统安全防御后入侵、窜改和删除数据,用户或工作人员为发泄不满对数据存储介质或计算机进行暴力破坏,以及计算机出现死机、断电等,都会对信息安全构成严重危害。
3 保障数字档案信息安全的对策
数字档案信息安全保障策略应该由思想保障、技术和人才保障、法制策略保障、标准保障等要素组成。安全思想保障是数字档案信息安全保障的前提,安全技术和人才保障是档案信息安全保障的支撑,安全法制策略保障是档案信息安全保障的手段与核心,安全标准保障是档案信息安全保障的基础。
3.1 安全思想保障
树立和坚持全面的、科学的、发展的数字档案信息安全观,是保障档案信息安全的思想基础。传统的安全观、保密安全观、技术安全观、系统安全观和网络安全观等缺乏动态的、系统的认识。科学的数字档案信息安全观,是对档案信息安全主体、档案信息安全内容、档案信息安全方式认识的综合,是对数字档案信息记录内容、记录方式和记录载体三位一体的安全观,为建立现代档案信息安全体系和构建档案信息安全战略,提供了明确的理论指导和价值取向。
培养和增强数字档案信息安全意识是档案信息安全事故预防与控制的一个重要手段。加强数字档案信息管理,最大限度地减少和降低档案人员和档案信息所遭受的损失,完善管理法规制度,建立管理机构网络,制定科学、合理的档案防灾应急预案,从档案信息资产、档案信息面临的安全威胁和安全缺陷等方面,全面客观地评估风险和分析威胁,做好防灾应急演练、培训、档案异地备份等工作,健全安全决策和危机预测与反应机制。
3.2 安全技术和人才保障
先进的科学技术研究和应用,是保障数字档案信息安全的技术支撑。数字档案信息安全技术不仅涉及传统的“防”和“治”的技术,而且已经扩展到多种现代信息新技术。传统技术与现代新技术相互补充、相互结合,从不同角度、不同层次来解决数字档案信息安全问题,才能构筑档案信息的安全屏障。
国内外学者和档案人员对档案信息保护技术的研究取得了很多可喜的成果。为适应新的形势发展,做好档案信息安全技术的发展与更新,加快档案信息安全技术成果的应用、推广和转化,在引进、消化和吸收相关领域科学技术成果的同时,坚持自主创新,走国产化道路,开发拥有独立自立知识产权的、保障档案信息安全的核心技术和关键设备。
在数字档案信息安全保障中,人才教育和培养是关键要素之一。人是档案信息安全的最大护卫者,也是档案信息安全问题的制造者,推进数字档案信息化,加快档案事业的发展,对档案人员的要求越来越高,应当有计划、有重点、分层次、分类型、多形式、多途径的加强档案信息安全人才的培养和教育,提高档案管理人员的综合素质。
另外,数字档案信息安全的防范,还要靠有效的行业自律和职业道德教育,一方面要制定更具操作性、客观的行业自律规范,制定《档案工作者职业道德规范》,切实加强档案工作者和信息工作者的职业道德修养,另一方面档案管理工作者要加强自身修养,遵守行业规范,扎实细致地做好各个层面、各个环节的安全防范工作。
3.3 安全法制保障
过去,档案违法行为比较直观,容易察觉,手段和方法也比较简单。但在信息时代,档案信息违法、犯罪行为不仅具有常规的违法行为的特点,还呈现出人员的智能性、方法的隐蔽性、手段的多样性、后果的严重性和行为的复杂性等许多新的特点。针对信息时代档案信息安全的新特点,要尽快建立数字档案信息安全法制保障体系。
数字档案信息安全法制保障体系,是档案信息安全保障建设的重要方面。目前,我国已经颁布的《中华人民共和国计算机信息系统安全保护条例》、《中华人民共和国计算机信息网络国际联网管理暂行规定》、《计算机信息网络国际联网保护管理办法》、《中华人民共和国档案法》、《中华人民共和国保守国家秘密法》、《中华人民共和国电子签名法》、《计算机病毒防治管理办法》及《信息网络传播权保护条例》等法律法规。这些法规是档案信息安全活动中的基本准则,有力地推动了档案信息安全保障工作。在实际工作中,目前我国还没有数字档案信息化建设方面的专门法规,建议建立比较完备的、具有可操作性的数字档案信息安全法规,以健全档案安全法规保障体系。
数字档案信息安全保障法规,对于规范档案信息主体的活动、协调和解决各种矛盾、保障档案信息资源的安全等有重要作用,具有保护数字档案信息客体具有知识性和财产性、体现高新技术和法规规范渊源的广泛性的特征。建立健全数字档案信息安全法规体系,要坚持遵循民主参与、公正平等、奖励惩罚、安全保护、全面协调和创新发展的原则,在法规制定中,要注意规范性和可操作性、系统性和兼容性,要注意吸收和借鉴国内外信息安全法规建设经验,及时清理和修订现有法规规章,使所制定的新法规能满足和保障数字档案信息安全。
3.4 安全标准保障
数字档案信息安全标准,是档案信息安全保障的重要组成部分,是实现档案安全管理的重要依据。档案信息安全标准化与档案信息安全保障工作关系密切,档案信息安全标准化工作是一项艰巨、长期的基础性工作。我国档案信息安全标准化建设不断发展,《档案法》的颁布实施使我国的档案工作标准化工作逐步纳入了法制化的轨道,但是目前的档案信息安全标准,还不能适应新形势的需要。
档案信息安全标准体系,是由若干档案信息安全基础标准、管理标准和技术标准构成的相互联系相互制约的一个动态性、指导性的文件整体。我国档案部门应吸收和借鉴国外信息安全标准以及国外档案工作方面的标准,研究制定适合新形势下我国档案信息安全现状的标准化体系。在建立国家档案信息安全标准体系中,应当遵循科学性原则、协调性原则、全面性原则、接轨性原则和前瞻性原则,力求层次清晰、结构合理、体系明确、标准齐全。
⑧ 档案馆采用哪些措施可以保证数字档案信息的安全存储
档案馆采用哪些措施可以保证数字档案信息的安全
在数字档案使信息利用共享更加便利性的同时,也带来了更多严峻的挑战,其中最为重要的就是安全相关问题。
一、数字档案的安全隐患
数字档案跟纸质档案有比较大的差别,比如生成环境、表现形式、存储载体、运动形态、阅读和处理手段等等。另外,数字档案拥有很多纸质档案没有的特质,比如对系统的依赖、信息的可更变、信息存储的高密度、信息与特定载体之间的可分离性和非人工识读性、多种信息媒体的集成性以及信息的可操作性等。
这些特点导致数字档案的管理和利用存在一定的安全隐患。
1.数字档案信息相对独立带来的隐患。纸质档案均是信息和载体构成的统一体。数字档案信息按照需求可以随时改变存储空间和硬盘存址,也可以更换载体,并且在更换过程中信息内容不会发生任何改变,而不需要固定的存储位置。数字档案的这种特征,代表数字档案信息是具有独立性的,可以与某一载体暂时整合,并可以随时传递给其他载体。
传统文件内容信息的丢失、修改或者泄露经常能在载体上找到有关痕迹,而数字档案的信息安全性却不能仅仅在载体上判断。数字档案的安全隐患主要存在通过载体对信息的危害和对信息本身的危害两个方面。
直接针对信息本身的危害往往是无形的,例如:由于强磁场导致磁盘原始磁记录状态发生变化,虽然载体没有损坏,但是信息却已经被销毁了,以及操作中有意或者无意的错误操作也会导致数据丢失。
因此,传统档案管理中对载体所采取的各种严格保管的方法,不能确保数字档案信息的安全性。
2.数字档案依赖系统带来的隐患。数字档案的产生、存档和使用都是通过网络系统来实现的,离不开各种软件和硬件平台的支持。
数字档案的安全会受到例如数字编码因素、硬件因素、软件因素、设备更新和加密等因素的影响,数字档案在依赖系统时有一些潜在威胁和隐患。
数字档案的安全性与网络系统的安全性密切相关,存储和传输的档案信息非常容易被盗取、修改和破坏。这些安全隐患包括黑客攻击隐患、病毒入侵隐患、信息泄露隐患等方面。
3.数字档案信息不稳定带来的隐患。计算机系统中的文档大多是动态文档,并且文档中的数据不断被覆盖以反映当前的情况。如果没有及时存储或备份数据,则一旦更新数据,将很难恢复原始文档。
二、 网络环境下数字档案利用安全保障措施
在网络环境下,数字档案信息安全性的根本保证在于管理和技术的紧密结合。
2.管理措施
更新思想观念。第一是树立数字化理念,档案文件的数字化是网络时代的整体发展趋势。第二是精确控制理念,必须有效监督数字档案的复制和流通环节,做到精确控制。第三是更新知识理念,必须自觉学习信息安全和保密技术知识,了解泄露机密的原理和预防措施。
成立安全组织机构。有条件的部门或单位应该有一个安全防护领导小组或兼职安全员来保护数字档案的安全。安全员对单位人员进行安全教育和防护管理,并定期向有关管理部门报告安全管理情况。安排专岗专职人员负责网络安全的保护管理,并定期向相关管理部门报告安全工作状况。
制定安全保密策略。安全和保密策略是结合实际情况采取的方法和措施,旨在实现数字档案使用中的安全和保密目标。比如说根据数字档案的重要程度来判断其在网络利用中的安全等级,然后根据等级确立安全管理范围。
建立健全安全保护管理制度。建立登记制度,从归档、审查、保存等各个环节完善数字档案的登记记录;建立流程监管制度,确保有效监视、存储、删除和备份数字档案的系统;建立操作人员角色管理制度,管理人员权限要明确地加以安全方面的限制;建立机房管理制度,对于存储更高安全级别数字文件的计算机房,实施分区控制以限制人员访问。
2.技术措施
加密技术。建议在传输数字档案的过程中使用“双密钥匙”进行档案加密。[8]在这种前提下,所有用户都可以使用公共密钥提交文档,但是只有拥有密钥的收件人才能获取这个加密的文件。这样不但能应对各种恶意软件,还能完美地防止没有授权的用户窃听和入网,对数字档案的传输起到非常好的保护作用。
身份验证。身份验证最普遍的方法就是为每个系统合法的人员配对一个密码,密码由字母、数字或符号组成,以此来验证访问人员的身份。对于相关服务,如果验证失败,则拒绝用户访问系统。
防火墙。防火墙的作用类似于道路上的安全检查站,可以控制网络上信息的双向传输,截断非法访问,防止加密信息被泄露。
防火墙的安全保护功能仅限于网络边界,该技术监视通过网络通信时序控制系统传递给它的所有数据流,通过预先建立网络安全规则使被保护网络中的信息和结构不受侵犯。
病毒防治。病毒防治包括预防和杀毒两个方面。防毒杀毒是一项非常系统且复杂的工程,想要建立完善的防治体系,就必须从技术上和管理上综合采取措施。