電子檔案是指通過計算機磁盤等設備進行存儲,與紙質檔案相對應,相互關聯的通用電子圖像文件的集合,通常以案卷為單位。目前電子文件所采用的介質主要有磁盤、磁帶和光盤。傳統的電子文件安全管理基本上還處于在一個局部的、靜態的、少數人負責的、突擊式、事后糾正的管理方式,導致的結果是不能從根本上避免降低各類風險,也不可能降低電子文件安全事故導致的綜合損失。因此,文件、檔案管理部門應盡快建立自身的電子文件風險管理體系。
如今,風險管理已經是信息安全保障工作的一個主流范式。信息安全防范工作越來越基于風險管理。把風險管理與電子文件聯系起來是每一個與電子文件打交道的人,特別是文件、檔案管理者無法回避的視角和觀念。電子檔案歸檔主要用磁帶和光盤。電子檔案的特點:信息的非人工識讀性;信息存儲的高密度性;信息與載體之間的可分離性;多種信息媒體的繼承性;系統依賴性。電子文件主要包括文本文件、命令文件、圖像文件、數據文件。電子檔案的形成、存儲和管理與傳統的紙質檔案所用的技術方法不同,檔案管理員必須對此有深刻認識才能做好電子檔案的管理工作。同時,電子文件天生就有的載體、信息、特別是生存環境的不穩定性,使其很容易被刪除、篡改、偽造、泄密,造成災難性后果。而且人們對計算機的依賴性越強,其帶來的社會危害就越大。加強電子文件管理,應當成為信息化安全,乃至社會安全的一項重要內容。
一、風險產生的原因
當前電子文件安全管理存在明顯的薄弱環節。首先,安全管理計劃缺乏依據。現有的電子文件安全管理計劃的制訂,絕大多數是憑借個人經驗或者參照其他管理部門計劃來制定的,而不是依據風險應對、風險監控實際情況來制訂的。其次,缺乏關鍵的風險評估環節。沒有風險評估,電子文件的安全管理就會成為無源之水、無本之木,缺乏決策行動的依據與方向,大部分管理部門的各種措施只是進行簡單的跟風或對安全產品與技術進行簡單地堆疊,對其用途更是“知其然,不知其所以然”,最終在風險來臨之時,不能有效地控制風險。最后,電子文件是動態存在的,其安全現狀也是隨時在變化的。在采取安全措施后,還必須強化電子文件全生命周期的風險監控,實時監視殘余風險、識別新風險,執行風險應對計劃,以及評估這些工作的有效性。然而現有的電子文件安全監控力度十分有限,絕大部分是局限于電子文件載體的溫濕度控制,而不是對整個生命周期的殘余風險、新風險的監控。
傳統的電子文件安全管理,雖然在理論上我們強調要收集全電子文件相關的背景、結構信息,但具體實踐中由于沒有科學界定電子文件安全管理范圍,其背景、結構信息也就難以收集齊全,自然安全管理工作就不系統。另一方面,電子文件的安全管理不僅要對電子文件自身所面臨的風險進行管理,更重要的是對其依賴的信息系統風險進行綜合管理。而傳統的安全管理大都是從電子文件本身風險因素出發而制定安全措施的,這很難在電子文件安全管理上取得實質性效果。此外,傳統的電子文件安全管理大多是靜態地管理,更多的是實踐經驗的總結與應用,一般將文件按其形成過程分成若干階段,分析各階段潛在的風險因素,從而制定相應的對策。這種方法很難應對日益復雜、嚴峻的電子文件安全問題。
信息安全風險管理宗旨之一,就是在綜合成本和效率的前提下,通過安全措施來控制風險,使殘余風險降低到可接受的范圍。實際上,絕對安全是沒有的,電子文件的安全管理也不是“越安全越好”。不同部門不同種類的電子文件,對于安全的需求是不同的;同一份電子文件其安全保密性超出安全保密的管理需求不但沒有必要,而且還會造成資金上的浪費。然而,當前,很多文件、檔案管理部門在沒有對本部門安全現狀和安全需求進行認真分析的基礎上,為了追求安全就不惜成本盲目地追求新的安全產品與技術,結果采用了一大批新安全產品與技術,卻收效甚微,造成資金的嚴重浪費。
二、風險防范的對策
為了防范風險,正確認識風險,高校檔案館在檔案管理過程中,首先,要積極吸納優秀的電子檔案管理人才,培育一支具有專業能力和時代開拓性的檔案管理隊伍以適應信息時代檔案管理的發展要求。其次,加強對檔案管理員的業務素質培訓工作,建立健全符合高校特色的檔案管理機制。再次,在檔案管理中加強對檔案管理工作的規范性制度性建設,制定相應的管理細則,規范檔案管理的方法。在具體檔案管理的工作中,第一,對電子文件的形成、積累、鑒定、歸檔及電子檔案的保管實行全過程管理,應當由高校檔案館統一協調,指定專門機構或人員負責,保證管理工作的連續性。第二,電子文件的收集與積累。收集范圍:電子文件的收集范圍,按國家關于文件歸檔的現行有關規定執行。收集積累要求記錄了重要文件的主要修改過程,有查考價值的電子文件應被保留。第三,在“無紙化”計算機辦公或事務系統中產生的電子文件,應采取更嚴格的安全措施,保證電子文件不被非正常改動。同時必須隨時備份,存儲于能夠脫機保存的載體上,并對有檔案價值的電子文件制作紙質或縮微膠片拷貝件保留。用文字處理技術形成的電子文件,收集時應注明文件存儲格式和屬性。用掃描儀等設備獲得的圖象電子文件,如果采用非標準壓縮算法,則應將相關軟件一并收集。用計算機輔助設計或繪圖等獲得的圖形電子文件,收集時應注意其對設備的依賴性,以及易修改性等問題,不可遺漏相關軟件和各種數據。用視頻設備獲得的動態圖象文件,收集時應注意收集其壓縮算法和軟件。用音頻設備獲得的文件,收集時應注意收集其屬性標識和相關軟件。由計算機多媒體技術制作的文件,其中包含前面所示的兩種以上的信息形式,收集時應注意參數準確、數據完整,要嚴格按照歸檔要求整理電子檔案。
