胡仲奎
(甘肅省國土資源信息中心)
摘要 研究電子文檔不同於紙質文檔的形成特征,是制定科學的電子文檔管理戰略,從而實施有效管理的基點。本文主要論述了影響電子信息安全的因素和問題,分析了保障電子信息安全的主要因素,提出了保障電子信息安全策略。
關鍵詞 電子 信息 安全保障
0 緒言
電子文件是在信息化發展過程中出現的與檔案管理相關的數字化文件,其主要特點在於數字化的特征和計算機軟硬件的依賴性。人們壹直將檔案視作社會記憶的重要載體,長期安全保存電子信息是檔案工作的應有之義,如何在信息環境中實現具有依賴性的電子信息的長期安全保存,是電子檔案工作的生命線。研究電子信息安全保障機制問題,有利於拓寬檔案保護學的研究領域,發展檔案保護學理論,繁榮檔案學理論體系,指導檔案信息化建設和檔案事業健康與可持續發展。
如何延長數字信息的壽命是發展數字檔案館的重要問題。然而,由於數字信息要依賴計算機軟硬件才能被利用,而計算機硬件技術又是不斷發展的,在過時的軟硬件平臺上能讀出的信息不壹定能被當前或將來的軟硬件平臺讀出,這種不能被存取的信息,其壽命再長也是無用的。由於電子信息固有的軟硬件依賴性、信息環境的波動性、數字載體的不穩定性,加上數據管理活動中的各種特殊要求,都給電子檔案信息長久安全保存帶來困難。同時,我們還應當清醒地認識到電子檔案信息的長久安全保存是壹個復雜的系統,需要綜合技術的、管理的、法律的各種影響因素進行總體規劃。
1 影響電子信息安全的主要因素
影響電子信息安全的因素既有內部因素,也有外部因素;既有主觀原因,又有客觀原因。檔案制成材料的損壞是內外因素、主客觀因素綜合影響的結果。具體而言,影響電子檔案信息安全的因素主要有自然因素、環境因素、技術因素、社會因素、管理因素和資金因素。目前,在電子檔案信息安全運行和管理方面,由於這些因素的影響,主要存在以下問題:
1.1 電子信息安全的管理意識有待加強
隨著地質資料信息服務集群化產業化進程的推進,資料電子信息對網絡資源依賴程度在不斷增強,涉及資料信息安全甚至國家安全的所有重大問題都會在網絡上逐漸顯現出來。資料信息系統面臨的來自四面八方的安全威脅不僅日益增長,而且呈現出更頻繁、更富挑戰性和高科技的勢頭。
目前對電子信息安全的認識主要存在這樣的誤區:壹種認為只要系統或電腦配備了安全產品就意味著安全了,壹提到上網就首先想到購買安全產品,如防火墻等,殊不知,任何壹種安全產品只能在某種環境和條件下發揮安全作用。安全問題是不斷變化的,安全技術也是在不斷發展的,安全漏洞也會不斷地被發現,因此安全產品的配置雖然可以降低安全風險,但不能完全消除安全風險。況且安全產品也是靠人來操作、使用和管理的,如果相關人員的安全意識不強或缺乏必要的安全管理知識,同樣會帶來極大的安全隱患。如果沒有管理人員安全意識的提高,那什麽先進設備都會變得形同虛設。實踐表明,許多信息安全問題往往不是出在設備上,而恰恰出在管理人員的安全意識上。有安全專家對歷史上的電子入侵案例進行分析後,結論是大多數入侵手段非常壹般,內部管理的松懈幫了黑客的大忙。再厲害的黑客要實施攻擊,也要在現有信息系統上找到突破口,而這些漏洞往往來源於內部人員的失誤和管理上的疏忽。
1.2 電子信息系統自身安全的隱憂
由於電子檔案信息是在互聯網、專用網和局域網的環境下進行傳輸的,因此在電子檔案信息的產生、管理和服務利用等各個環節中,都在不同層面上面臨著信息安全問題:
1)網絡層安全。網絡層安全是支撐系統運行的物理設備的安全問題,包括網絡基礎建設,如網絡布線、網絡連接、局域網和廣域網環境的構建、設備的選型及其各個環節安全策略的考慮,網絡設備的安全還涉及系統所使用的大量網絡設備,如交換機和路由器等,這些設備的自身安全將直接影響到網絡系統及其應用的正常運轉。網絡安全還包括網絡周邊環境和物理特性引起的網絡設備和通信線路的故障而造成網絡系統故障,包括地震、雷擊、火災、水災等環境事故,電源故障,人為操作錯誤或失誤,電磁幹擾等,都可能對檔案信息網絡構成壹定程度的危害。
2)數據層安全。電子信息的安全系統是以數據存儲與查詢為特征的數據庫應用系統,主要是涉及系統存儲的數據的安全問題,包括操作系統、數據庫管理系統、數據存儲、數據備份、數據格式的轉換以及各類電子文件的保管和異地存儲等,由於數據版本的更新、數據格式的轉換、硬件設備的意外損壞、存儲介質的老化、失效、自然災害等造成的數據丟失、數據損壞甚至是計算機系統的破壞和癱瘓,都對電子信息安全構成危害。
3)應用層安全。應用層安全是電子管理信息系統在實際應用操作的過程中應考慮的基本問題。壹般情況下,檔案管理信息系統的用戶模型分多個層次、多個角色、多種功能或多種形式混合使用,來分別定義用戶權限。由於計算機在實際運行時,電子數據是相當脆弱的,時刻處於各種有意或無意破壞的威脅之下,諸如操作者疏忽造成的錄入刪改和數據文件覆蓋,過期數據當作當前數據引入,權限設計不合理致使壹般訪問者獲得不同級別的特權進行越權刪改,惡意破譯者破解系統安全防禦後入侵、竄改和刪除數據,用戶或工作人員為發泄不滿對數據存儲介質或計算機進行暴力破壞,以及計算機出現死機、斷電等,都會對信息安全構成嚴重危害。
2 保障電子信息安全策略
電子檔案信息安全保障策略應該由思想保障、技術和人才保障、法制策略保障、標準保障等要素組成。安全思想保障是電子檔案信息安全保障的前提,安全技術和人才保障是電子信息安全保障的支撐,安全法制策略保障是電子信息安全保障的手段與核心,安全標準保障是電子信息安全保障的基礎。
2.1 安全思想保障
樹立和堅持全面的、科學的、發展的電子信息安全觀,是保障檔案信息安全的思想基礎。傳統安全觀、保密安全觀、技術安全觀、系統安全觀和網絡安全觀等都是不全面的、不完整的,是靜止的、片面的,是缺乏動態的、系統的觀念認識。科學的電子信息安全觀是對信息安全主體、信息安全內容、信息安全方式認識的綜合,是電子信息記錄內容、記錄方式和記錄載體三位壹體的安全觀。新信息安全觀念是壹個歷史性的飛躍,為建立現代電子信息安全體系和籌劃電子信息安全戰略,提供了正確的理論指導和價值取向。
培養和增強電子信息安全意識是檔案信息安全事故預防與控制的壹個重要手段。加強電子信息危機管理,可以最大限度地減少和降低檔案信息所遭受的損失。完善危機管理法規制度,建立危機管理機構網絡,制定科學、合理的電子防災應急預案,從電子信息資產、電子信息面臨的安全威脅和安全缺陷等方面,全面客觀地評估風險和分析威脅,做好防災應急演練、培訓、檔案異地備份等工作,健全安全決策和危機預測與反應機制。
2.2 安全技術和人才保障
先進的科學技術研究和應用是保障電子信息安全的重心所在。電子信息安全技術不僅涉及傳統的“防”和“治”的技術,而且已經擴展到多種現代信息新技術。傳統技術與現代新技術相互補充、相互結合,從不同的角度、不同層次來解決電子信息安全問題,***同構築電子信息的安全屏障。
國內外學者和檔案人員對電子信息保護技術的研究取得了很多可喜的成果。為適應新的形勢發展,做好電子信息安全技術的發展與更新。加快電子信息安全技術成果的應用、推廣和轉化,在引進、消化和吸收相關領域科學技術成果的同時,堅持自主創新,走國產化道路,開發擁有獨立自主知識產權的、保障電子信息安全的核心技術和關鍵設備。
在電子信息安全保障中,人才的教育和培養是關鍵要素之壹。人是信息安全的最大護衛者,也是信息安全問題的制造者。電子信息化的推進和檔案事業的發展,對檔案人員的要求越來越高。樹立現代人才觀念,有計劃、有重點、分層次、分類型、多形式、多途徑,開展檔案電子信息安全人才的培養和教育。
電子檔案信息安全的問題,防範還要靠有效的行業自律和職業道德教育。自律要在保障檔案信息安全中發揮作用,壹方面要遵循有效自律的適用原則,另壹方面制定出更具操作性的、客觀的自律規範。制定檔案工作者職業道德規範,切實加強檔案工作者和信息工作者的職業道德修養。
2.3 安全法制策略保障
電子檔案信息安全法制保障是檔案信息安全保障建設的重要方面。我國目前已經頒布的《中華人民***和國計算機信息系統安全保護條例》、《中華人民***和國計算機信息網絡國際聯網管理暫行規定》、《計算機信息網絡國際聯網保護管理辦法》、《中華人民***和國檔案法》、《中華人民***和國保守國家秘密法》、《中華人民***和國電子簽名法》、《計算機病毒防治管理辦法》及《信息網絡傳播權保護條例》等法律法規,有力地推動了檔案信息安全保障工作。適用於我國社會主義市場經濟,按照社會主義市場經濟規律調整檔案社會關系,是電子信息安全立法、檔案信息安全執法等活動中的基本準則。但我國檔案信息化的有關法律法規還不夠完善。在今後的數字檔案信息安全法制建設中,要堅持遵循民主參與原則、公正平等原則、獎勵懲罰原則、安全保護原則、全面協調原則和創新發展原則。
建立健全電子信息安全法規體系。電子信息安全保障法規對於規範電子信息主體的活動、協調和解決各種矛盾、保障檔案信息資源的安全等有重要作用。我國檔案信息安全立法層次為國家法律、行政法規、地方性法規、規章和規範性文件5個層次。按照不同的標準,電子信息安全保障法規體系框架由不同的部分構成。在法規制定中,要註意規範性和可操作性、系統性和兼容性、管理和發展並重,要註意吸收和借鑒國內外信息安全法規建設經驗,及時清理和修訂現有法規規章,適時制定電子信息安全保障法等新法規。
以往電子信息違法行為直觀,容易察覺,手段和方法比較簡單。但在信息時代,電子信息違法、犯罪行為不僅具有常規違法行為的特點,還呈現出方法的隱蔽性、手段的多樣性、後果的嚴重性和行為的復雜性等許多新的特點。針對違法行為的新特點,要加強新時期電子信息行政執法。
3 結語
電子信息安全保障包含了理論和實踐問題,是壹個多層次、多因素、多目標的完整的系統概念。電子信息安全具有綜合性、相關性、動態性、相對性、脆弱性、智能性和可認證性等屬性。電子信息的安全是確保檔案信息內容在生成、存貯、處理、傳輸和利用整個過程中,保持其真實性、完整性、可靠性和長期可讀性,以及確保電子檔案信息記錄方式和記錄載體不受任何損壞的策略和過程。在今後的數字檔案信息安全法制建設和日常工作中,只要各部門各單位通力合作,壹定能保障電子信息的安全。