防患于未然.doc

防患于未然摘要：隨著計算機技術(shù)應用于檔案管理中的趨勢不斷顯著，給電子文件管理既帶來管理理念創(chuàng)新的機遇同時，也帶來信息安全風險的挑戰(zhàn)。電子文件管理中存在的信息安全問題越來越受到關(guān)注，在檔案業(yè)務管理機構(gòu)和理論研究領(lǐng)域引起熱論。試從電子文件的特點來分析電子文件風險的成因及對電子文件進行風險管理的手段。關(guān)鍵詞：電子文件；風險管理；成因；手段古人云：“居安思危，思則有備，有備無患，敢以此規(guī)?！保ù呵镒笄鹈髯髠飨骞荒辏?。“損失”和“不確定性”是定義“風險”的兩個關(guān)鍵詞。風險無處不在，在信息時代，電子文件亦遭遇各類風險的威脅。所謂電子文件風險，是指由電子文件管理不當造成的載體存在形式損壞、文件內(nèi)容缺失、信息安全損失等后果，即電子文件管理實際效果與預期目標之間的差異。一、電子文件風險的成因1.信息基礎設施存在不足。電子文件是在信息系統(tǒng)中產(chǎn)生的，一方面，信息系統(tǒng)本身的固有特點造成電子文件管理上的缺陷，如可能發(fā)生物理連接錯誤、信息載體老化、軟件漏洞、受到木馬、黑客攻擊等現(xiàn)象；另一方面，信息產(chǎn)品的生命周期較短以致在信息交換、共享、長期保持時可能產(chǎn)生錯亂碼、文件無法識別、系統(tǒng)異構(gòu)等現(xiàn)象。2.不可抗力對電子文件安全的威脅。電子文件管理活動必須在一定區(qū)域、場所內(nèi)進行，而保管場所不適宜、天災、人禍等均能夠造成電子文件安全風險。如2008年的汶川大地震，機關(guān)、團體、企事業(yè)單位甚至個人保存的電子文件，除一小部分的數(shù)據(jù)經(jīng)異地備份得以留存外，其他數(shù)據(jù)蕩然無存，造成了嚴重的經(jīng)濟社會損失。3.電子文件管理制度不規(guī)范。電子文件的管理缺乏規(guī)范的范疇界定和管理依據(jù)。全程管理原則和前端控制原則是電子文件管理的重要原則之一，強調(diào)要在電子文件生命周期的初期及電子文件管理系統(tǒng)的設計階段就需要對電子文件進行管理，收集齊全電子文件相關(guān)的背景、結(jié)構(gòu)、內(nèi)容信息。然而，在具體實踐中由于沒有科學界定電子文件安全管理范疇，造成電子文件安全管理工作不系統(tǒng)、不全面。4.對電子文件安全管理的關(guān)鍵環(huán)節(jié)關(guān)注不夠，評估體系不健全。以往人們對電子文件的安全管理的關(guān)注點過多放在對電子文件本身風險因素上，而忽視了對其依賴的信息系統(tǒng)風險進行綜合管理。實際上二者是同一事物的兩個面，不可偏廢。二、電子文件風險管理1.電子文件風險管理的定義。信息系統(tǒng)中文件風險是客觀的，文件信息安全是信息系統(tǒng)的血脈，然而僅依靠紙質(zhì)拷貝和信息系統(tǒng)安全管理無法全面應對電子文件風險，只有建立電子文件風險管理體系，才能滿足電子文件質(zhì)量要求的復雜性、嚴格性的要求，充分發(fā)揮信息化的效益。電子文件風險管理是指通過認識、鑒別和評估電子文件安全系數(shù)（風險因素），采取適合的技術(shù)手段對電子文件風險進行前端控制和過程監(jiān)督，以較小的投入實現(xiàn)降低電子文件風險所造成的損失的一系列管理活動。2.電子文件風險事故。電子文件風險事故即電子文件質(zhì)量缺損、信息安全泄露的具體體現(xiàn)，它由風險因素引起，是造成損失的直接原因。例如，某機關(guān)的一部門的電子文件管理的制度不健全、系統(tǒng)不完善，存在安全隱患，若該部門的一名工作人員非法訪問了帶有保密性質(zhì)的文件，使得文件中的保密信息泄露出去，造成了惡劣的政治或社會影響。其中，管理制度不健全、系統(tǒng)不完善，是風險因素；工作人員非法訪問機密文件是風險事故；導致泄密是基本損失，產(chǎn)生惡劣的政治或社會影響是連帶損失；基本損失與連帶損失的不確定性就構(gòu)成了電子文件的風險。三、電子文件風險管理的手段1.構(gòu)建電子文件管理安全保護框架，建立電子文件風險管理體系。為應對在電子文件產(chǎn)生、流轉(zhuǎn)過程中的系統(tǒng)安全、網(wǎng)絡安全、應用安全和管理安全問題對電子文件安全可能造成的破壞，必須建立電子文件管理安全保護框架。在計算機信息系統(tǒng)安全保護等級劃分準則（gb17859-1999）中，把計算機系統(tǒng)安全保護能力分為用戶自主保護級、系統(tǒng)審計保護級、安全標記保護級、結(jié)構(gòu)化保護級、訪問驗證保護級五個等級，對電子文件風險進行分級管理。制定嚴密的風險管理制度，并常抓不懈，可以有效地保障電子文件安全。2.嚴格規(guī)范電子文件管理各流程的技術(shù)處理和職責分工。由于電子文件信息的易更改、易復制的特點，其信息內(nèi)容和文件形式缺乏可靠性和依據(jù)性，需要同時對文件內(nèi)容的真實性和原始性進行鑒定，而這一切必須依靠信息技術(shù)的發(fā)展和法律法規(guī)與制度支持。例如通過實時備份、計算機加密、數(shù)字簽名、電子印章、防火墻技術(shù)等技術(shù)措施維護電子文件管理系統(tǒng)的安全性，進而保障電子文件的真實可靠；通過針對文件形成部門和管理部門制定的人員責任分工制度來防患或降低信息失真的可能。3.強化系統(tǒng)安全保障能力，提高系統(tǒng)防范風險的能力。生產(chǎn)、存儲及管理電子文件的系統(tǒng)要有必要的存儲空間，必須能夠處理所管理的大批量電子文件；系統(tǒng)必須能夠根據(jù)需要，無遺漏、無差錯地復制電子文件；系統(tǒng)必須具有可靠性，能在發(fā)生問題時提供技術(shù)支持；系統(tǒng)必須具有處理大儲存量的能力系統(tǒng)必須具備查錯能力。4.建立電子文件管理的責任機制，提高電子文件的風險意識。加強電子文件風險管理還應從加強檔案工作者隊伍建設和改進管理方式入手，提高人員素質(zhì)，明確責任。電子文件安全保護的關(guān)鍵性問題是強調(diào)對文件損失的責任，必須建立嚴格的責任機制，實行責任分擔，才能從組織上保障電子文件信息安全。5.要有成套的應急預案，做好電子文件數(shù)據(jù)存儲和備份。為確保在突發(fā)和極端情況發(fā)生時最大限度地減少損失，必須健全電子文件應急防范工作體系，保證計算機設備的高可靠性和信息存儲系統(tǒng)的高可靠性，提供良好的、有效的數(shù)據(jù)恢復手段和災難恢復機制。四、結(jié)語所謂“有為才有位”。隨著電子文件數(shù)量“井噴式”的增長，若要充分發(fā)揮電子文件在政務管理及社會各領(lǐng)域的作用，必須以保障電子文件的信息安全和信息的有效性為前提，保證電子文件信息的可靠性、真實性、有用性，提高電子文件在實際應用中的利用效果和服務效率。電子文件在人們的日常工作、生產(chǎn)