防患于未然.doc

防患于未然摘要：隨著計(jì)算機(jī)技術(shù)應(yīng)用于檔案管理中的趨勢(shì)不斷顯著，給電子文件管理既帶來(lái)管理理念創(chuàng)新的機(jī)遇同時(shí)，也帶來(lái)信息安全風(fēng)險(xiǎn)的挑戰(zhàn)。電子文件管理中存在的信息安全問(wèn)題越來(lái)越受到關(guān)注，在檔案業(yè)務(wù)管理機(jī)構(gòu)和理論研究領(lǐng)域引起熱論。試從電子文件的特點(diǎn)來(lái)分析電子文件風(fēng)險(xiǎn)的成因及對(duì)電子文件進(jìn)行風(fēng)險(xiǎn)管理的手段。關(guān)鍵詞：電子文件；風(fēng)險(xiǎn)管理；成因；手段古人云：“居安思危，思則有備，有備無(wú)患，敢以此規(guī)?！保ù呵镒笄鹈髯髠飨骞荒辏！皳p失”和“不確定性”是定義“風(fēng)險(xiǎn)”的兩個(gè)關(guān)鍵詞。風(fēng)險(xiǎn)無(wú)處不在，在信息時(shí)代，電子文件亦遭遇各類風(fēng)險(xiǎn)的威脅。所謂電子文件風(fēng)險(xiǎn)，是指由電子文件管理不當(dāng)造成的載體存在形式損壞、文件內(nèi)容缺失、信息安全損失等后果，即電子文件管理實(shí)際效果與預(yù)期目標(biāo)之間的差異。一、電子文件風(fēng)險(xiǎn)的成因1.信息基礎(chǔ)設(shè)施存在不足。電子文件是在信息系統(tǒng)中產(chǎn)生的，一方面，信息系統(tǒng)本身的固有特點(diǎn)造成電子文件管理上的缺陷，如可能發(fā)生物理連接錯(cuò)誤、信息載體老化、軟件漏洞、受到木馬、黑客攻擊等現(xiàn)象；另一方面，信息產(chǎn)品的生命周期較短以致在信息交換、共享、長(zhǎng)期保持時(shí)可能產(chǎn)生錯(cuò)亂碼、文件無(wú)法識(shí)別、系統(tǒng)異構(gòu)等現(xiàn)象。2.不可抗力對(duì)電子文件安全的威脅。電子文件管理活動(dòng)必須在一定區(qū)域、場(chǎng)所內(nèi)進(jìn)行，而保管場(chǎng)所不適宜、天災(zāi)、人禍等均能夠造成電子文件安全風(fēng)險(xiǎn)。如2008年的汶川大地震，機(jī)關(guān)、團(tuán)體、企事業(yè)單位甚至個(gè)人保存的電子文件，除一小部分的數(shù)據(jù)經(jīng)異地備份得以留存外，其他數(shù)據(jù)蕩然無(wú)存，造成了嚴(yán)重的經(jīng)濟(jì)社會(huì)損失。3.電子文件管理制度不規(guī)范。電子文件的管理缺乏規(guī)范的范疇界定和管理依據(jù)。全程管理原則和前端控制原則是電子文件管理的重要原則之一，強(qiáng)調(diào)要在電子文件生命周期的初期及電子文件管理系統(tǒng)的設(shè)計(jì)階段就需要對(duì)電子文件進(jìn)行管理，收集齊全電子文件相關(guān)的背景、結(jié)構(gòu)、內(nèi)容信息。然而，在具體實(shí)踐中由于沒(méi)有科學(xué)界定電子文件安全管理范疇，造成電子文件安全管理工作不系統(tǒng)、不全面。4.對(duì)電子文件安全管理的關(guān)鍵環(huán)節(jié)關(guān)注不夠，評(píng)估體系不健全。以往人們對(duì)電子文件的安全管理的關(guān)注點(diǎn)過(guò)多放在對(duì)電子文件本身風(fēng)險(xiǎn)因素上，而忽視了對(duì)其依賴的信息系統(tǒng)風(fēng)險(xiǎn)進(jìn)行綜合管理。實(shí)際上二者是同一事物的兩個(gè)面，不可偏廢。二、電子文件風(fēng)險(xiǎn)管理1.電子文件風(fēng)險(xiǎn)管理的定義。信息系統(tǒng)中文件風(fēng)險(xiǎn)是客觀的，文件信息安全是信息系統(tǒng)的血脈，然而僅依靠紙質(zhì)拷貝和信息系統(tǒng)安全管理無(wú)法全面應(yīng)對(duì)電子文件風(fēng)險(xiǎn)，只有建立電子文件風(fēng)險(xiǎn)管理體系，才能滿足電子文件質(zhì)量要求的復(fù)雜性、嚴(yán)格性的要求，充分發(fā)揮信息化的效益。電子文件風(fēng)險(xiǎn)管理是指通過(guò)認(rèn)識(shí)、鑒別和評(píng)估電子文件安全系數(shù)（風(fēng)險(xiǎn)因素），采取適合的技術(shù)手段對(duì)電子文件風(fēng)險(xiǎn)進(jìn)行前端控制和過(guò)程監(jiān)督，以較小的投入實(shí)現(xiàn)降低電子文件風(fēng)險(xiǎn)所造成的損失的一系列管理活動(dòng)。2.電子文件風(fēng)險(xiǎn)事故。電子文件風(fēng)險(xiǎn)事故即電子文件質(zhì)量缺損、信息安全泄露的具體體現(xiàn)，它由風(fēng)險(xiǎn)因素引起，是造成損失的直接原因。例如，某機(jī)關(guān)的一部門的電子文件管理的制度不健全、系統(tǒng)不完善，存在安全隱患，若該部門的一名工作人員非法訪問(wèn)了帶有保密性質(zhì)的文件，使得文件中的保密信息泄露出去，造成了惡劣的政治或社會(huì)影響。其中，管理制度不健全、系統(tǒng)不完善，是風(fēng)險(xiǎn)因素；工作人員非法訪問(wèn)機(jī)密文件是風(fēng)險(xiǎn)事故；導(dǎo)致泄密是基本損失，產(chǎn)生惡劣的政治或社會(huì)影響是連帶損失；基本損失與連帶損失的不確定性就構(gòu)成了電子文件的風(fēng)險(xiǎn)。三、電子文件風(fēng)險(xiǎn)管理的手段1.構(gòu)建電子文件管理安全保護(hù)框架，建立電子文件風(fēng)險(xiǎn)管理體系。為應(yīng)對(duì)在電子文件產(chǎn)生、流轉(zhuǎn)過(guò)程中的系統(tǒng)安全、網(wǎng)絡(luò)安全、應(yīng)用安全和管理安全問(wèn)題對(duì)電子文件安全可能造成的破壞，必須建立電子文件管理安全保護(hù)框架。在計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則（gb17859-1999）中，把計(jì)算機(jī)系統(tǒng)安全保護(hù)能力分為用戶自主保護(hù)級(jí)、系統(tǒng)審計(jì)保護(hù)級(jí)、安全標(biāo)記保護(hù)級(jí)、結(jié)構(gòu)化保護(hù)級(jí)、訪問(wèn)驗(yàn)證保護(hù)級(jí)五個(gè)等級(jí)，對(duì)電子文件風(fēng)險(xiǎn)進(jìn)行分級(jí)管理。制定嚴(yán)密的風(fēng)險(xiǎn)管理制度，并常抓不懈，可以有效地保障電子文件安全。2.嚴(yán)格規(guī)范電子文件管理各流程的技術(shù)處理和職責(zé)分工。由于電子文件信息的易更改、易復(fù)制的特點(diǎn)，其信息內(nèi)容和文件形式缺乏可靠性和依據(jù)性，需要同時(shí)對(duì)文件內(nèi)容的真實(shí)性和原始性進(jìn)行鑒定，而這一切必須依靠信息技術(shù)的發(fā)展和法律法規(guī)與制度支持。例如通過(guò)實(shí)時(shí)備份、計(jì)算機(jī)加密、數(shù)字簽名、電子印章、防火墻技術(shù)等技術(shù)措施維護(hù)電子文件管理系統(tǒng)的安全性，進(jìn)而保障電子文件的真實(shí)可靠；通過(guò)針對(duì)文件形成部門和管理部門制定的人員責(zé)任分工制度來(lái)防患或降低信息失真的可能。3.強(qiáng)化系統(tǒng)安全保障能力，提高系統(tǒng)防范風(fēng)險(xiǎn)的能力。生產(chǎn)、存儲(chǔ)及管理電子文件的系統(tǒng)要有必要的存儲(chǔ)空間，必須能夠處理所管理的大批量電子文件；系統(tǒng)必須能夠根據(jù)需要，無(wú)遺漏、無(wú)差錯(cuò)地復(fù)制電子文件；系統(tǒng)必須具有可靠性，能在發(fā)生問(wèn)題時(shí)提供技術(shù)支持；系統(tǒng)必須具有處理大儲(chǔ)存量的能力系統(tǒng)必須具備查錯(cuò)能力。4.建立電子文件管理的責(zé)任機(jī)制，提高電子文件的風(fēng)險(xiǎn)意識(shí)。加強(qiáng)電子文件風(fēng)險(xiǎn)管理還應(yīng)從加強(qiáng)檔案工作者隊(duì)伍建設(shè)和改進(jìn)管理方式入手，提高人員素質(zhì)，明確責(zé)任。電子文件安全保護(hù)的關(guān)鍵性問(wèn)題是強(qiáng)調(diào)對(duì)文件損失的責(zé)任，必須建立嚴(yán)格的責(zé)任機(jī)制，實(shí)行責(zé)任分擔(dān)，才能從組織上保障電子文件信息安全。5.要有成套的應(yīng)急預(yù)案，做好電子文件數(shù)據(jù)存儲(chǔ)和備份。為確保在突發(fā)和極端情況發(fā)生時(shí)最大限度地減少損失，必須健全電子文件應(yīng)急防范工作體系，保證計(jì)算機(jī)設(shè)備的高可靠性和信息存儲(chǔ)系統(tǒng)的高可靠性，提供良好的、有效的數(shù)據(jù)恢復(fù)手段和災(zāi)難恢復(fù)機(jī)制。四、結(jié)語(yǔ)所謂“有為才有位”。隨著電子文件數(shù)量“井噴式”的增長(zhǎng)，若要充分發(fā)揮電子文件在政務(wù)管理及社會(huì)各領(lǐng)域的作用，必須以保障電子文件的信息安全和信息的有效性為前提，保證電子文件信息的可靠性、真實(shí)性、有用性，提高電子文件在實(shí)際應(yīng)用中的利用效果和服務(wù)效率。電子文件在人們的日常工作、生產(chǎn)