浅谈电子文件信息安全风险管理

浅谈电子文件信息安全风险管理

白璐 ,石颖

武警青海总队综合信息保障中心

摘要：随着我国社会的快速发展，科学技术不断进步。现代信息技术飞速发展，大数据、区块链、人工智能等新兴技术在各个领域与高速信息网络相结合，办公自动化、无纸化迅速推进，文件的起草、修改、签发等工作过程都可以通过计算机以及通信网络进行，推动档案工作在众多方面发生了深刻的变化，也增添了一项新的课题———电子文件管理。正确对待电子文件的形成，不断完善电子文件管理的规范化和现代化，是我国档案学界一定范围内的重要共识。

关键词：电子文件；信息安全；风险管理

引言

随着网络信息技术不断发展，催生了数字档案和电子文件。现代信息技术背景下，在档案管理中有必要给予电子文件归档问题足够的重视，充分认识到电子文件归档的重要意义。一方面，要从档案信息化建设的现实诉求出发对电子文件归档进行明确分类，对归档方式、方法、内容进行创新。另一方面，结合电子文件归档存在的具体安全问题制定更为严密的制度机制，加强人员教育和培训，为电子文件归档提供扎实的制度保障和人才保障。

1电子文件信息安全管理的内涵和意义

电子文件信息资源安全技术又包括数据加密技术、防火墙技术、身份认证技术和安装杀毒软件。电子文件信息资源安全管理按照管理主体的不同，分为政府主管部门、企事业单位和社会公众。电子文件信息资源安全管理属于一项公共事业，政府主管部门有责任、有义务对电子文件信息资源进行安全管理，制定配套的政策法规，确保各项电子文件信息资源安全管理措施顺利实施，同时还要对违反电子文件信息资源安全管理的相关企业和个人依照相应的法律法规进行严厉处罚。企事业单位和社会公众作为电子文件信息的使用者和生产者，为了保障自身利益不受侵害，同样需要对电子文件信息资源进行安全管理，制定满足自身需求的电子文件信息资源安全管理规章制度，约束电子文件信息资源安全管理人员行为，营造电子文件信息资源安全管理氛围，确保各种电子文件信息资源安全技术有效落实。

2电子文件信息安全的风险因素分析

2.1技术风险因素

一是系统的安全隐患风险。计算机操作系统的设计一般着眼于增强数据处理的能力与效果，对于系统安全性要求仅仅只是一个附带的考量，导致操作系统容易产生较多的安全漏洞。而网络系统遭非法破坏更是由于互联网的安全自身缺少设防，使得木马病毒、恶意代码的入侵、用户数据被窃取、信息泄露、信息篡改、信息假冒等各种安全事件发生。二是电子文件长期存取存在风险。因为电子文件的长期保存与使用受到由硬件、软件和操作系统等组成的数字环境的严格控制。电子文件存储载体与传统纸质载体相比，对环境有更高的要求，但是载体的使用寿命却较短。目前常见的载体包括磁带、磁盘、光盘、硬盘等，易受日照、灰尘、强磁场、高温、潮湿等环境影响，发生变形、老化、霉变等情况。同时，在电子文件形成过程中，不同软件产生的大量非标准格式或是格式杂乱的文件，存储格式的不兼容也为信息共享和长期保存造成了障碍与风险。

2.2管理风险因素

一是管理上缺乏科学性和系统性。当前的电子文件信息安全管理中，面临安全认识缺失、风险意识薄弱、对安全风险认知出现偏差等问题。安全是一种动态过程，而安全风险事件则是一个随机的不确定的事件，如果机构组织人员不能从风险的视角来认识电子文件的安全，将会影响人们正确地认识安全形势和建立科学的风险观。同时，目前绝大多数管理措施只关注了电子文件载体本身的安全，或是侧重了保管和利用的过程，忽视了收集、鉴定和整理等环节中的风险研究等。电子文件信息安全管理在内容上缺乏了系统性。二是忽视了损失与成本之间的权衡。风险应对措施在实施时，不能以最小成本最低化风险，没有权衡风险、成本和效益三者之间的关系。有些档案管理部门并未对安全状况与安全要求加以仔细分析，为追求安全效果而不惜成本地引进大量新的安全产品和技术手段，但收获效果却并不大。而现有的管理措施也并不是最合理的解决办法。例如，双套制使电子文件成了纸质文档的数字化副本，其凭证性质也受到了置疑。

3电子文件信息安全风险管理对策

3.1主要领导要给予电子文件安全管理问题足够的重视

电子文件信息安全管理问题事关电子文件信息安全和后续开发和利用，对于单位发展起着至关重要的作用。因此，主要领导应充分认识到电子文件信息安全管理的现实意义，并在多个场合对文件信息安全管理进行广泛宣传，让其他部门密切配合文件信息安全管理工作，确保电子文件信息安全。同时，主要领导要对电子文件信息安全管理问题经常过问，对不能解决的问题要召开专门会议进行研究，并提出合理化建议，为电子文件信息安全管理相关工作开展提供扎实的组织保障。此外，还应该结合电子文件信息安全管理配备相应的硬件设施和软件系统。要经常性对硬件配套措施进行更新和维护，确保硬件设施和软件系统能够跟上电子文件信息化建设的具体需求，能够为电子文件信息安全管理提供扎实的物质保障，充分发挥安全管理在电子文件整个生命周期的价值和作用。

3.2加强制度规范

在电子文件信息安全管理中，要建立健全人防、物防和技防三位一体的信息安全防范体系，弥补不足，充分利用电子文件的长处，提高办事效率，促进工作开展。要做好信息安全，最有效的是要有制度规范，必须靠制度约束。首先要明确文件工作责任制，完善管理制度，查遗补缺，规范文件信息化建设和信息安全保障、设施、设备配置和人员管理；其次将电子文件信息安全工作纳入制度的同时，也要做为日常工作布置、考核，并不定期监督和检查。

3.3构建信息安全技术支持

信息安全技术对保障电子文件信息内容的原始性、真实性、可用性和安全性，有着至关重要的作用。除了防写只读、防火墙、身份认证和密钥加密等常规技术外，还要加大使用包括签署技术、生物识别技术、操作系统安全内核技术等更多安全技术。同时，针对不同的信息内容分别设置安全级别。例如，对于机密信息，应采用加密技术、PKI技术或者生物识别技术，保障数据的机密性、完整性；对业务信息系统可以通过防火墙、访问控制等安全措施来保护。

3.4重点环节加强管控

对电子文件的安全管理应重点针对容易泄密的重点环节：文件数据导入和利用环节。因此，规范电子文件安全管理的重点：一是加强前端控制，在电子文件的收集、数据导入过程中要做到齐全、完整，不丢失、不损坏。涉及到保密的，要进行加密处理，严防信息泄露。二是加强过程控制，对电子文件的查看、下载设置严格的操作权限，通过生成链接或二维码方式，对下载或打印的电子文件添加利用者信息（包括利用者的所在单位、部门、姓名、手机号及企业LOGO标识），当发生文件信息泄露时，能够快速定位追溯问题源，以避免电子文件信息泄露，在提升文件服务水平的同时，处理好利用与保密的关系。

结语

电子文件管理已经成为当今档案信息化建设的重要内容。尽管各专家学者都在努力抓好电子文件管理，但由于对电子文件特性的不了解、管理不科学或是技术障碍，依旧会导致安全事故频发。如果一些记录着重要历史事件的电子文件信息发生丢失、损毁或者无法证实其原始性、真实性的情况，不仅会影响国家和各级机构现行工作、活动的质量和效率，更会造成社会记忆空白，遗失历史原貌。在此，希望各级文件管理工作者、档案学者和相关机构，在日后更加重视电子文件信息安全的风险管理，促进电子文件信息安全建设能够进一步完善、科学、规范并有所突破，促进我国档案信息化建设事业可持续发展。

参考文献

[1]冯惠玲等.电子文件风险管理[M].北京:中国人民大学出版社,2008.

[2]冯惠玲,赵国俊等.中国电子文件管理:问题与对策[M].北京:中国人民大学出版社,2009.

[3]冯惠玲,刘越男,等.电子文件管理国家战略[M].北京:中国人民大学出版社,2011.