档案信息安全保障体系的建设与思考,本文主要内容关键词为:信息安全论文,保障体系论文,档案论文,此文献不代表本站观点,内容供学术参考,文章仅供参考阅读下载。
档案信息资源作为社会资源的重要组成部分,在社会信息化和信息社会化的发展进程中,由于受到法规和制度不健全、档案实体保管环境跟不上时代发展以及信息技术的自身弱点等影响,其真实性、完整性、可靠性及长期可读性受到严重挑战。辽宁省档案局(馆)根据本省档案信息化发展情况,从档案信息安全与档案实体安全两方面入手,以实际工作为落脚点,以文件生命周期为主线,总结在档案发展建设过程中所遇到的信息安全保障问题,抽离出影响档案信息安全的主、客观因素,详解我省所采取的对策,并提出未来展望,旨在为最终建立档案管理安全、业务安全、技术安全和环境安全相结合的,统一完整的安全保障体系,为信息化浪潮下的档案信息资源价值提供现实参考。
1 辽宁省档案信息安全现状分析
1.1 档案实体安全保障问题
1.1.1 馆舍环境仍需改善
截止2008年底,我省有县级综合档案馆90个(不含大连市、沈阳市)。其中,馆舍建筑面积1000平方米以下的有62个,占总数的69%,基本上是非独立建筑;1000至2000平方米的有22个,占总数的24%,绝大多数属于上个世纪八、九十年代建筑,馆舍陈旧。这些档案馆在功能上只能起到库房或办公室的作用,缺少防火、隔热、防潮保护等功能,致使存放的档案实体时刻面临着危险。而作为在信息传播中携带信息的媒介,以及信息赖以附载的物质基础,“档案实体”的安全决定档案信息的存在与否。因此,如何进一步改善和促进这些贫困地区的档案馆舍建设,成为目前需要迫切解决的问题之一。
1.1.2 档案实体安全存在漏洞
目前我省综合档案馆对档案实体安全管理存在的主要问题有:一是早期档案字迹难辨。由于历史条件的限制与人们档案意识的局限性,早期的纸质档案中的字迹有铅笔、红水笔、复写字迹等,有些因为年代久远,造成字迹模糊不清,难以辨认;二是早期档案多有破损。纸质档案经过时间的流逝,历经寒暑,纸张发生霉变、磨损、撕裂,影响利用。尽管这些纸质档案只占少数,但是由于档案的不可再生性与唯一性,这个问题不容忽视;三是照片档案与文书档案混合。这个问题是普遍存在的共性问题。很多档案馆在文书档案中夹杂大量照片,由于照片档案载体的不同,保管要求也不同,与文书档案同存,使照片档案发黄、粘连、退变,降低了照片档案效果;四是特种载体档案保护措施不利。个别档案馆由于保管环境差,使特种载体档案得不到妥善的保护。如音像资料档案保管时间缩短,实物档案发生不必要的腐蚀与霉变;五是不能保证自然通风。特别是对库房条件相对较差的县、区档案馆,自然通风是调节库房的温、湿度的重要手段。通风不利不仅直接影响档案制成材料的耐久性,而且会加速不利因素对档案制成材料的破坏作用。
1.2 电子档案信息安全面临风险
1.2.1 档案信息资源建设为电子档案信息安全保障提出新课题
(1)信息资源整合。2006年以来,我省迎来了电子政务的全面发展。根据近三年来对我省省直机关的相关调查结果显示,120家省直机关单位中使用OA系统的已经接近70%,这些系统每天都在形成大量的电子文件,且以几何倍数递增。目前,半数以上的电子文件由于处于多种形式的分布异构环境而无法归档。截止目前,省直机关与市级档案局(馆)档案管理软件的使用率已经达到100%,县区档案局(馆)达到81%。目前全省范围内应用比较广泛的档案管理软件至少有8种,这些软件既有网络版,也有单机版,其异构性繁琐复杂,之间彼此孤立,各司其职,由于缺少统一的接口而无法向档案馆移交。
上述情况表明,随着电子政务及档案现管理现代化快速推进,数据的异构性及管理的无序性为电子档案信息保护带来了巨大困扰。主要问题集中在以下两个方面:
系统功能安全性差。对照国家保密局《涉及国家秘密的信息系统审批管理规定》,我省省直单位大部分电子政务系统及档案管理系统的权限设置、身份认证访问限制功能、身份识别鉴定功能、CA认证以及数字签名等技术功能均达不到相关要求,这使得存储其中的电子文件随时面临失、泄密的危险。
利用安全无法保证。由于没有统一的发布利用平台,以上档案信息资源提供利用时采取的都是分散发布的方式,其利用环境的安全完全依赖于自身的网络建设。而部分单位未能正确协调和处理档案局域网、政务网及公众网的关系;采用先进、可靠的网络安全技术和产品;建立相配套的系统安全管理规章制度,这些都为档案信息的利用安全造成威胁。
(2)数字化加工。我省各市积极有效的开展数字化加工工作。随着全省数字化加工数量的逐年递增,一些问题开始显露出来。一是相关标准贯彻不到位。一些市在数字化过程中,没有严格按照国家及省市相关标准要求执行,最终导致数字化成果质量不过关,无法保证档案信息的长久可用;二是人员管理松散。既未明确档案数字化人员所应担负的档案信息安全的责任,档案馆在外包安全协议中也未明确注明信息保密的形式与内容、人员所应承担的责任与义务以及相关的奖惩措施;三是对硬件设备的监管不严。许多数字化加工环境中的硬件设备未做任何加密处理,数据可通过移动介质随意拷贝。这些都增加了档案信息的风险系数。
1.2.2 电子文件中心及数字档案馆建设为电子档案信息安全保障提出新要求
2008年我省电子文件中心建设正式启动,经过近两年的研究与实践,目前已进入试点阶段。在档案信息安全方面遇到的问题主要集中在以下三个方面:
(1)档案信息采集完整性。从全省各市(县)的电子文件中心建设情况来看,由于缺少标准指导,原生电子文件元数据采集不完整的问题相当普遍。多家电子文件中心从试点单位采集出的元数据仅限于《辽宁省文书档案目录数据库结构与交换格式》中所规定的项目,而对于文件生命周期内的背景信息、流转过程等关键性元数据采集不足,不能切实保证电子文件的真实性、完整性及有效性。
(2)硬件防护性。档案馆(室)由于保护意识不强,导致硬件设备投入不足造成了档案信息安全的不利因素。其间,因数据备份、灾难恢复等保护设备的缺失致使档案数据丢失,以及因未安装入侵检索、防火墙、防毒墙等网络防护设备使网络陷于瘫痪的状况时有发生。
(3)管理措施。就我省情况来看,大多数档案馆在数字档案馆建设过程中未能建立有效的风险评估机制及灾难紧急预案。同时,在档案信息安全日常管理方面,仍延续纸质档案管理的做法,单方面强调档案部门的管理职能,缺少与相关技术部门的沟通与协调,使得管理措施的制定缺少系统性和科学性。
1.2.3 载体与数据安全为档案信息安全保障提出新警示
随着档案信息资源建设的快速发展,档案信息存储量以几何倍数递增。以我省档案馆为例,目前数据存储量已达2T。这些电子档案信息均以磁带和光盘形式进行存储。同时,以2008年对180多家省直单位进行的调查结果显示,这些单位的电子档案信息存储状况恶劣。有的单位使用移动硬盘甚至是软盘作为长期存储电子文件的载体。此外,全省14个市目前档案信息存储总容量已超过7 TB,随着档案数字化进程的不断深入,这个数字还将成倍增长,预计容量将达40 TB。这些存储介质虽然多数为光盘,但种类和型号五花八门,由于缺少检测手段,其安全保障性究竟有多高,无从考据。而且除个别市以外,大部分市都未有效建立容灾备份机制,一旦灾害发生,后果将不堪设想。
1.2.4 人才队伍建设为档案信息安全保障提出新问题
档案信息安全保障对档案工作者提出更高的技能要求和素质要求。从目前情况来看,大部分档案管理人员尚未适应这种角色的转变,重应用轻安全、档案保密意识薄弱、计算机安全意识不强,以及操作人员和管理人员的知识陈旧、技术水平低下带来的失误和缺乏经验都造成了档案信息的安全隐患。
2 档案信息安全管理对策
2.1 抓住机遇,进一步改善档案实体保管环境
2.1.1 促进县级档案馆馆舍环境改造
近期,我局(馆)根据国家发展和改革委员会办公厅、国家档案局办公室《关于做好中西部地区县级综合档案馆建设规划编制工作的通知》(发改办投资[2009]1208号)要求,遵照优先解决无馆舍和问题严重、条件艰苦档案馆的原则,结合我省实际情况,与省发展和改革委员会联合编制完成了《辽宁省县级综合档案馆建设规划(草案)》。将全省56个县(市、区)档案馆列入规划。同时,依据《档案馆建设标准》和《档案馆建筑设计规范》,提出我省县级国家综合档案馆馆舍建设指导意见,详细规划了档案馆的建设规模、选址布局、规模结构、功能结构及基本设施。目前,一批馆舍建设项目已经启动。可以预见,凭借国家预算内资金对中西部地区县级国家综合档案馆馆舍建设给予补助这次东风,我省县级档案馆档案信息安全保管环境将得到持续改善,安全保障力度将大大加强。
(1)加强档案实体保护措施。号召全省各级档案馆做好“摸清家底”工作,对档案实体保护存在的问题要求制订计划,逐一解决。具体措施主要包括,第一,根据档案利用率高低,分级排序,逐级进行档案保护工作;第二,制订中长期规划,有计划地实施档案信息数字化;第三,有重点地开展档案抢救工作;第四,对特种载体档案进行有效的保护;第五,充分利用设备设施,确保库房的恒温恒湿;第六,要求定期对档案进行消毒。以上措施在档案馆业务工作考核中加以监督落实。
(2)全面考核,持续提升档案信息安全管理水平。为推动全省档案信息化建设,推进档案馆工作持续健康发展,我省连续2年对市级档案馆进行档案馆基础业务工作考核;连续3年对市级档案馆进行档案信息化建设情况及档案网站建设情况考核。在这两项考核中分别对档案信息资源建设、电子文件中心建设、安全体系建设、档案网站建设等进行了专项考核。对档案信息安全管理机制、档案信息管理安全措施、档案信息安全管理培训,乃至档案信息安全管理环境建设都做出明确规定,并监督各市执行。全省档案信息安全管理水平逐年提升。
以档案信息化建设评估中的“安全体系建设”为例,2008年,各市的安全建设存在诸多隐患。其中既包括网络安全,也包括信息安全。首先,档案管理系统安装的网络环境不达标。个别市将档案管理系统直接挂在党政内网上,有的甚至可以连接到外网,档案资料随时面临失泄的危险。其次,对于数字化后的档案信息资源保护不够,相关的规章制度不健全,防护措施不到位。第三,三网隔离存在漏洞。个别市内、外网未实现隔离,网络管理不到位。经过一段时间的监督与指导,到2009年,这种情况有了很大程度的改善。首先,各市档案局(馆)均制定了本地区、本部门有关档案信息化安全的规章制度及保障措施。其次,在网络安全与设施方面,12个市为档案管理网络系统配备了硬件防火墙、入侵检测、多合一安全网关等防护措施,其他各市也安装了防病毒软件和防火墙系统。以往曾出现的违规外联、三网不隔离、档案管理系统运行环境不安全等问题都得到了有效解决。这在评估得分上也有印证。2008年各市“安全体系建设”在满分5分的情况下,平均得分3.8分,而2009年平均得分为4.9分,已接近满分。
(3)制度监管,有效落实档案信息安全管理措施。根据国家电子文件安全管理的相关法规,我局(馆)认真梳理现有档案信息安全法规制度,并结合电子档案管理的特点和规律,将档案信息安全法规加以充实、展开和细化。通过制度的有效贯彻落实,我省档案信息安全保障力度得到了进一步增强,档案信息安全管理变得有法可依、有规可循。
(4)标准先行,进一步提升档案信息安全管理质量。标准与规范建设是实施档案信息安全保障的重要依据。我局(馆)近年来制定并下发的与档案信息安全管理密切相关的标准与规范有:为规范全省电子文件归档与管理工作,保障电子文件的安全保管和有效利用的《辽宁省电子文件归档管理暂行规定》(辽档发[2005]1号);为适应信息化和档案事业发展要求,提高全省档案事业现代化水平的《辽宁省档案信息化建设规划纲要》(辽档发[2005]17号);为适应档案管理现代化要求,实现全省文书档案目录数据库建设工作标准化及规范化的《辽宁省文书档案目录数据库结构与格式》(辽档发[2006]3号);为实现全省档案数字化建设工作的安全化、标准化及规范化的《辽宁省纸质档案数字化技术规范》和《辽宁省照片、音频和视频档案目录数据库结构与交换格式》(辽档发[2008]10号);为加强全省已公开现行文件网上利用工作和目录数据库安全规范建设,充分发挥档案网站社会服务作用的《辽宁省已公开现行文件目录数据库结构规范》(辽档办[2006]7号),以及为指导电子文件中心建设,实现电子文件规范采集,安全移交及有效利用的《辽宁省电子文件元数据标准》、《辽宁省基于XML电子文件封装规范》和《辽宁省省直机关归档电子文件移交、接收暂行办法》。以上标准和规范正在或将为指导我省档案信息安全管理工作,建立规范、系统、统一的档案信息安全保障体系发挥重要作用。
(5)创新技术,不断提供档案信息安全管理新方法。辽宁省档案局(馆)一直专注于信息技术的深度挖掘与研究。特别是在有序处理和集成管理各种异构环境下所产生的电子文件、档案以及其他信息,确保这些数字信息资源的真实性、完整性和持久有效性等方面,积累了一定的成功经验。
2008至2009年,由我局(馆)所承担的课题“辽宁省已公开现行文件共享平台建立的研究”与“分布式档案异构数据库集成与互访技术及管理模式的研究与应用”分获国家档案局优秀科技成果一、二等奖。这两项科研成果重点解决了前面所提到的档案信息资源整合问题。
第一,建立“前端控制与归档平台”,从各种电子政务系统及业务系统内采集电子文件及其元数据,并对该部分信息进行维护与审核,在对元数据进行必要的补充后归档,实现对分布异构环境下电子文件的集中管理及归档利用。
第二,实现WEB网环境非结构化档案信息的集成与发布,整合互联网上的档案信息资源。目前建立的共享平台有“全国档案网站新闻共享平台”,聚合国家局档案网站和19个省级档案网站的工作新闻信息,共发布新闻16374条;“辽宁省档案网站新闻共享平台”,完成全省14个市档案网站新闻信息的聚合,共发布新闻4955条;辽宁省档案网站电子档案共享平台,完成全省14个市电子档案信息的聚合,共发布目录22240条,全文4422件;“省、市两级现行文件共享平台”,实现全省14个市现行文件信息的聚合,共发布目录57987条,全文56174件。
第三,解决已归档电子文件移交进馆的数据接口问题,完成对各种档案管理系统内电子档案的移交接收。
通过技术创新与应用,档案信息管理出现了新的变化:
一是有序处理和集成管理各种异构环境下所产生的电子文件、档案以及其他信息,使它们汇集在同一平台下,通过为电子档案信息提供统一的系统保管环境,以及在信息传递过程中采用先进的加密技术,最大限度地保证了档案信息的安全和完整。
二是依据国家标准,建立规范的电子文件元数据采集平台,实现了电子政务系统与电子文件中心真正意义上的动态连接,确保电子文件的真实性、完整性和持久有效性。
三是最大限度的整合档案信息资源,为方便群众利用建立了一个安全、稳定的信息资源仓库。
(6)容灾备份中心,为档案信息安全管理提供防灾预案。2009年,在前期充分调研与论证的基础上,辽宁省档案局(馆)以先进性、开放性、扩充性、可靠性及易操作性为原则,在辽东山区的省档案局(馆)后库开始建设面积为1500平方米,地下一层,地上二层的辽宁省电子档案备份中心。这一项目创新性地提出了共享式灾备系统的建设模式,即由省档案局(馆)牵头,建设一个覆盖全省电子档案安全存储的共享式灾备系统。该系统将为省档案馆及省直单位档案室,为各市、县(区)档案馆提供数据备份平台,最终实现省、市、县(区)三级档案数据的远程异地异质备份,并在灾难发生时及时进行数据恢复。目前备份中心的主体工程已基本完成。
除此之外,我局(馆)针对载体安全问题,将在今年对14个市进行全面普查,力图利用先进的设备和手段,检验目前所使用的信息存储载体质量,判定其是否能够有效保障档案信息安全,为各市提供数据参考和科学依据。
(7)培训引进,为档案信息安全建设提供人才保障。自2004年以来,我局(馆)陆续引进的信息化人才11人。对于这支年轻的团队,局(馆)通过开展学会活动、专题讲座以及课题研究等方式,抓学习,带队伍,使他们的专业水平和职业技能都有了很大程度的提高。同时,我们以发展和确立共同的“信息化知识体系”为标准,教育和培训全省的档案信息化人才。在刚刚结束的“全省档案信息化建设培训”会上,各市负责信息化建设的主要领导及专业人才聚集一堂,专门针对电子档案信息安全及灾备策略等科目进行了集中讨论与培训。以上措施旨在从上到下提高档案信息安全意识,激发人才潜能,使他们成为档案信息安全管理的重要推手。
如上所述,虽然我省对档信息安全若干问题做了很多有益的探索与实践,但基本上还是沿用传统的管理思路。采用的是局部的、突击式的管理方式,策略的制定缺少总揽全局战略性、系统性、连贯性及前瞻性。要想在根本上避免和降低电子文件面临的各类风险,降低信息安全问题导致的综合损失,未来我们还应做好如下方面工作。
一是要树力全局意识。以信息安全理论为支撑,以档案信息管理理论为根本,以档案信息的本质特性为核心,将技术措施、管理策略和法规制度融合为一体,为构建全面、系统、安全的档案信息安全保障体系做好思路保障。
二是继续完善档案信息安全法规标准建设。以国家信息安全法规为依据,根据档案与抢救的技术要求,制定和改进技术标准,构建结构完整、层次合理的档案信息安全法规标准与制度体系,确保其在工作实践中的权威性和可操作性。使各项安全保障活动有法可依,有章可循。
三是继续加强档案信息安全策略的研究。以文件生命周期为主线,以管理安全、档案维护安全保障、档案信息资源开发利用安全保障为研究对象,重点在安全基础设施、安全全程控制、安全组织管理和安全法律规范方面,落实安全管理原则,健全档案信息管理机制,制定切实可行,保障有效的安全策略。
四是继续深度挖掘档案信息安全保障技术。发挥我局(馆)的技术优势,注意吸收国内外的先进技术经验,改变过去的单一技术,向集成技术靠拢。同时扫清“重技术轻管理”的思维障碍,将技术与管理有机地结合起来,从多方面人手建立一个涵盖信息安全各个层面的立体防护体系。
五是建立档案信息安全保障体系监控机制。及时监督并测评当前档案信息安全保障体系的功能、作用发挥及管理成效。寻找安全保障体系的实施状态与理想状态之间的差距,及时加以修正,确保其持续有效性,满足档案业务发展的需要。
以上为我局(馆)根据国家档案信息保障工作的总体要求和主要原则,在档案信息安全保障方面所做努力以及对未来工作的初步构想。我们深知,档案信息安全保障体系建设是在不断发展变化的环境中进行的,是一个动态的、闭环的管理过程。我们将以实践为检验手段,及时发现问题,解决问题,对现有的安全体系实时加以调整和改进,以适应档案工作形势的新发展,为促进档案信息安全保障体系建立与实施,推动实现“两个转变”、实现“两个体系”不断作出贡献。