互聯網檔案管理信息安全保障體系建設

前言：想要寫出一篇引人入勝的文章？我們特意為您整理了互聯網檔案管理信息安全保障體系建設范文，希望能給你帶來靈感和參考，敬請閱讀。

互聯網時代檔案管理已逐漸完成信息化，檔案管理工作在得到了巨大便利的同時也帶來許多信息安全隱患，檔案丟失、管理系統被攻擊的情況屢見不鮮。從目前我國的檔案管理工作來看，還存在著信息技術不均衡、管理規范制度缺乏和專業信息安全人才缺乏的情況。要從制度上對檔案信息安全工作進行規范，然后構建完善的信息安全技術和人才培養體系，才能夠建設完善的檔案管理信息安全保障體系。隨著互聯網技術的不斷發展，檔案信息化建設逐漸完善起來。目前，我國各行業、各級部門已基本實現了檔案管理的信息化，傳統的紙質檔案管理逐漸轉為信息化管理，然而由于我國的檔案管理信息化建設過于依賴信息技術，還缺乏健全的安全管理保障體系以及信息安全監督體系。因此，在檔案信息安全方面存在著較大的風險。只有結合先進的信息技術、科學有效的管理以及完善的信息安全保障制度，才能建設有效的檔案信息安全體系。

一、國內檔案管理信息安全建設的必要性

1.符合檔案管理的實際工作需求。檔案管理已逐漸由傳統的紙質檔案管理轉為信息化檔案管理，而相對于傳統檔案管理，信息化檔案管理給信息安全工作提出了更高的要求。首先，檔案工作具有高度的保密性，并且需要長期乃至永久進行保存，因此其中的信息泄露、損壞的風險很大。在紙質檔案管理年代，檔案信息安全的建設工作也較為單一，檔案損壞、丟失的渠道也較為單一，因此，只要管理流程規范且執行力高，那么就能夠在很大程度上避免檔案信息安全威脅。而互聯網時代下，檔案管理工作逐漸完成信息化，人們在獲得便捷的同時也增加了信息安全威脅風險，信息流失的渠道、方式不斷增多，如信息安全保障工作跟不上，則會使檔案信息面臨巨大威脅。2.響應我國信息安全保障政策。近年來，我國對信息安全保障工作愈加重視，高度逐漸提升到戰略層面。鑒于其他主要發達國家均早已成立專門的國家網絡信息安全機構，我國也在2013年11月12日正式成立國家安全委員會，并隨后在2014年2月27日成立中共中央網絡安全和信息化領導小組辦公室，將信息安全提升到國家戰略高度。2014年8月28日，工信部《工業和信息化部關于加強電信和互聯網行業網絡安全工作指導意見》，提出以完善網絡安全保障體系為目標，著力提高網絡基礎設施和業務系統安全防護水平，增強網絡安全技術能力，強化網絡數據和用戶信息保護，推進安全可控關鍵軟硬件應用，為維護國家安全、促進經濟發展、保護人民群眾利益和建設網絡強國發揮積極作用。檔案管理信息安全保障體系的建設，充分響應了國家號召，是檔案信息安全發展的必然趨勢。3.有助于提升國民信息安全意識。檔案管理的工作涉及每個公民的方方面面，在公民進行求學、求職、升遷等各種事務時，都牽扯到檔案管理工作。因此，檔案信息安全保障體系的建立，關乎每個公民的切身利益，公民在進行相關事務的操作時，也會充分地感受到檔案信息安全保障體系的用戶。同時，這些會潛移默化地加深國民對檔案信息安全的認識和重視程度。長此以往，就會逐漸提升國民信息安全意識。這對我國的信息安全保障事業也起著巨大的推進作用。

二、互聯網時代檔案管理存在的信息安全問題

1.信息技術不均衡不完善。一般的檔案管理信息系統的功能都較為簡便，在信息安全方面采用的技術也較為基礎，主要有：數字認證、證書簽名認真、密鑰認證、防火墻、加密技術以及訪問權限管理，在這些技術防火墻和加密技術又是最常被使用的。加密技術是指檔案管理部門通過特定的加密指令，對受保護資料進行隱藏，同時禁止未授權的訪問者下載和閱讀資料，從而起到了保護信息安全的作用，而防火墻技術則可以自由靈活地管理端口，禁止身份不明的IP地址訪問，阻止非法入侵，從而保障檔案信息安全。在一定時期內，上述技術對檔案信息安全十分重要，但隨著互聯網技術的發展，傳統的信息安全技術已相對滯后，檔案泄露、丟失等信息安全事故屢見不鮮，特別是當面臨破壞性強、規模大、傳染性強的惡意攻擊時傳統技術就更顯無力，2017年5月比特幣病毒爆發，學校成為“受災重地”，大量檔案被惡意加密導致無法正常使用。此類蠕蟲病毒以及跨站腳本病毒對檔案管理工作造成了重大威脅，這就給檔案管理部門的信息安全保障工作提出了更高的要求。2.缺乏信息安全意識及規范的信息安全制度。我國關于保障檔案信息安全的制度還不完善，在過去主要依靠《計算機信息系統保密管理暫行條例》和《計算機信息系統安全保護條例》來規范檔案信息安全，但是針對互聯網網絡管理的法律還不夠完善，缺乏相應的規范。因此各檔案管理部門在進行檔案管理時缺乏頂層設計的引導，同時又由于互聯網的飛速發展使得檔案信息安全的環境異常復雜，因此檔案管理部門在制定信息安全相關制度時就缺乏技術以及法律上的支持，導致了相關制度一方面無法對信息安全工作起到行之有效的規范，另一方面也無法適應日益復雜的檔案管理需求。此外，我國對于信息安全意識的普及力度還不夠，部分檔案管理人員缺乏信息安全意識，這主要體現在：（1）不注重個人信息的保護。檔案管理人員個人信息的泄露容易導致檔案訪問權限的改變，進而可能引起檔案信息的丟失和損壞。（2）檔案信息管理規定執行不嚴謹。檔案管理人員對管理條例不夠重視，執行不嚴謹，如下班時不按規定關機、離開工作崗位時不鎖屏加密等等，這些行為都會給檔案信息安全埋下隱患。3.缺乏專業的檔案信息安全人才。傳統的檔案管理方式相對簡單，檔案信息安全風險也較為單一，不需要檔案管理人員具備互聯網素養及互聯網信息安全知識。但如今的檔案管理已逐漸完成信息化建設，傳統的檔案方式已不適合信息化環境，而又由于我國檔案管理信息化建設的速度較快，這就使得檔案管理要求與檔案管理人員的能力產生了落差，部分檔案管理人員缺乏互聯網素養及信息技術能力，使檔案信息安全存在風險。而未來隨著檔案管理系統逐漸的更新和發展，缺乏健全的培訓系統則會使得這種落差越來越大。另外，部分單位的檔案管理人員較少，通常身兼數職，無法全身心地投入到檔案管理工作；對人才培養不夠重視，也造成了其檔案管理能力的缺失。

三、檔案信息安全保障技術體系建設

1.檔案信息安全技術體系建設。完善的信息安全技術體系對檔案的信息安全保障有著至關重要的作用。檔案信息安全技術體系的建立，要以保證檔案信息安全為最終目的，從技術的角度上保證檔案的保密性、完整性、可追溯性、真實性以及可控性。信息技術是不斷發展的，而檔案信息安全的目標則是不變的，因此為保障檔案信息安全，必須不斷對技術進行更新，從深度、廣度上對現有的技術進行改進，不能簡單地依靠防火墻和數據加密的技術，而要對檔案管理系統的各個環節予以技術上的保障，針對可能發生的信息安全風險有針對性地選擇技術。物理信息安全技術：防水、防震、防火以及防電磁輻射等技術。系統安全技術：保證操作系統安全無漏洞以及定期進行檢查審計。數據安全技術：數據加密、數據備份、數據容災、應急響應等。網絡安全技術：最常使用的是防火墻技術，預防上還有病毒掃描技術，當威脅信息安全時間發生后即采用病毒隔離、物理隔離等技術。用戶安全技術：用戶安全技術主要用戶訪問權限的控制，主要有數字簽字技術及身份認證技術。檔案管理工作相對于其他工作來說更加注重信息的真實性、保密性，需要長時間進行保存，因此在進行技術體系建設時應著重選取偏向真實性、保密性的技術，在上述技術中數據備份、數據容災以及數據隔離等技術需要重點關注。此外，在進行技術體系構建時不能完全照搬，需要針對各自具體情況進行設計，如南方地區就要在物理技術上注重防潮和防水措施，保密級別不一樣的單位也要選擇不同等級的信息安全措施。2.檔案信息安全保障制度體系建設。健全的檔案信息安全法律法規，是保障檔案信息安全的基礎，也能讓檔案信息安全保障工作做到真正的有法可依。目前針對檔案管理信息安全的法律法規還不夠完善，不同行業、不同級別之間的檔案管理工作也不盡相同。國家層面沒有給出較為完善統一的管理方法供管理單位執行參考，各省市也鮮有專門對檔案管理信息安全出臺相關規定規范，現有的規定規范也是針對于檔案的保密、安全工作，且較為簡單?，F如今我國在檔案風險預測、應急響應，以及事后搶險方面的法律還不健全，應首先從頂層對檔案信息安全工作進行設計。作為檔案管理部門，在缺乏頂層設計的引導下，要自行對檔案管理信息安全工作進行規定規范。在制定規范時，首先要遵循標準化原則，標準化能夠減少檔案管理信息安全保障工作的重復性，同時也能夠提升管理規范的執行力，因此在檔案信息安全保障制度體系的建設時，一定要標準化先行。3.檔案信息安全保障人才體系建設。優秀的檔案信息安全人才是檔案信息安全保障的根本，在進行人才培養時要以建設檔案信息安全保障體系為目標。從國家層面上來說，已采取了多種措施來培養信息安全人才，如：高校信息安全專業人才培養；研究所信息安全人才培養；商業培訓和信息安全教育普及工作等。對于檔案管理部門來說，在人才隊伍培養上要注重兩點，一是現有管理人員的培養和技術人才的引進。對于現有管理人員，要將培養納入管理考核體系，讓管理人員對信息安全知識培養起到足夠重視。二是在引進人才方面，一方面可以招聘專業的信息安全人才，另一方面也可以和其他部門建立人才共享聯盟，借用人力資源較為豐富的單位幫助自身進行信息安全建設。

作者:吳雅鳴 單位:四川省內江醫科學校