防患于未然.doc

防患于未然摘要：隨著計算機技術(shù)應(yīng)用于檔案管理中的趨勢不斷顯著，給電子文件管理既帶來管理理念創(chuàng)新的機遇同時，也帶來信息安全風(fēng)險的挑戰(zhàn)。電子文件管理中存在的信息安全問題越來越受到關(guān)注，在檔案業(yè)務(wù)管理機構(gòu)和理論研究領(lǐng)域引起熱論。試從電子文件的特點來分析電子文件風(fēng)險的成因及對電子文件進行風(fēng)險管理的手段。關(guān)鍵詞：電子文件；風(fēng)險管理；成因；手段古人云：“居安思危，思則有備，有備無患，敢以此規(guī)。”（春秋左丘明左傳襄公十一年）?！皳p失”和“不確定性”是定義“風(fēng)險”的兩個關(guān)鍵詞。風(fēng)險無處不在，在信息時代，電子文件亦遭遇各類風(fēng)險的威脅。所謂電子文件風(fēng)險，是指由電子文件管理不當(dāng)造成的載體存在形式損壞、文件內(nèi)容缺失、信息安全損失等后果，即電子文件管理實際效果與預(yù)期目標(biāo)之間的差異。一、電子文件風(fēng)險的成因1.信息基礎(chǔ)設(shè)施存在不足。電子文件是在信息系統(tǒng)中產(chǎn)生的，一方面，信息系統(tǒng)本身的固有特點造成電子文件管理上的缺陷，如可能發(fā)生物理連接錯誤、信息載體老化、軟件漏洞、受到木馬、黑客攻擊等現(xiàn)象；另一方面，信息產(chǎn)品的生命周期較短以致在信息交換、共享、長期保持時可能產(chǎn)生錯亂碼、文件無法識別、系統(tǒng)異構(gòu)等現(xiàn)象。2.不可抗力對電子文件安全的威脅。電子文件管理活動必須在一定區(qū)域、場所內(nèi)進行，而保管場所不適宜、天災(zāi)、人禍等均能夠造成電子文件安全風(fēng)險。如2008年的汶川大地震，機關(guān)、團體、企事業(yè)單位甚至個人保存的電子文件，除一小部分的數(shù)據(jù)經(jīng)異地備份得以留存外，其他數(shù)據(jù)蕩然無存，造成了嚴重的經(jīng)濟社會損失。3.電子文件管理制度不規(guī)范。電子文件的管理缺乏規(guī)范的范疇界定和管理依據(jù)。全程管理原則和前端控制原則是電子文件管理的重要原則之一，強調(diào)要在電子文件生命周期的初期及電子文件管理系統(tǒng)的設(shè)計階段就需要對電子文件進行管理，收集齊全電子文件相關(guān)的背景、結(jié)構(gòu)、內(nèi)容信息。然而，在具體實踐中由于沒有科學(xué)界定電子文件安全管理范疇，造成電子文件安全管理工作不系統(tǒng)、不全面。4.對電子文件安全管理的關(guān)鍵環(huán)節(jié)關(guān)注不夠，評估體系不健全。以往人們對電子文件的安全管理的關(guān)注點過多放在對電子文件本身風(fēng)險因素上，而忽視了對其依賴的信息系統(tǒng)風(fēng)險進行綜合管理。實際上二者是同一事物的兩個面，不可偏廢。二、電子文件風(fēng)險管理1.電子文件風(fēng)險管理的定義。信息系統(tǒng)中文件風(fēng)險是客觀的，文件信息安全是信息系統(tǒng)的血脈，然而僅依靠紙質(zhì)拷貝和信息系統(tǒng)安全管理無法全面應(yīng)對電子文件風(fēng)險，只有建立電子文件風(fēng)險管理體系，才能滿足電子文件質(zhì)量要求的復(fù)雜性、嚴格性的要求，充分發(fā)揮信息化的效益。電子文件風(fēng)險管理是指通過認識、鑒別和評估電子文件安全系數(shù)（風(fēng)險因素），采取適合的技術(shù)手段對電子文件風(fēng)險進行前端控制和過程監(jiān)督，以較小的投入實現(xiàn)降低電子文件風(fēng)險所造成的損失的一系列管理活動。2.電子文件風(fēng)險事故。電子文件風(fēng)險事故即電子文件質(zhì)量缺損、信息安全泄露的具體體現(xiàn)，它由風(fēng)險因素引起，是造成損失的直接原因。例如，某機關(guān)的一部門的電子文件管理的制度不健全、系統(tǒng)不完善，存在安全隱患，若該部門的一名工作人員非法訪問了帶有保密性質(zhì)的文件，使得文件中的保密信息泄露出去，造成了惡劣的政治或社會影響。其中，管理制度不健全、系統(tǒng)不完善，是風(fēng)險因素；工作人員非法訪問機密文件是風(fēng)險事故；導(dǎo)致泄密是基本損失，產(chǎn)生惡劣的政治或社會影響是連帶損失；基本損失與連帶損失的不確定性就構(gòu)成了電子文件的風(fēng)險。三、電子文件風(fēng)險管理的手段1.構(gòu)建電子文件管理安全保護框架，建立電子文件風(fēng)險管理體系。為應(yīng)對在電子文件產(chǎn)生、流轉(zhuǎn)過程中的系統(tǒng)安全、網(wǎng)絡(luò)安全、應(yīng)用安全和管理安全問題對電子文件安全可能造成的破壞，必須建立電子文件管理安全保護框架。在計算機信息系統(tǒng)安全保護等級劃分準則（gb17859-1999）中，把計算機系統(tǒng)安全保護能力分為用戶自主保護級、系統(tǒng)審計保護級、安全標(biāo)記保護級、結(jié)構(gòu)化保護級、訪問驗證保護級五個等級，對電子文件風(fēng)險進行分級管理。制定嚴密的風(fēng)險管理制度，并常抓不懈，可以有效地保障電子文件安全。2.嚴格規(guī)范電子文件管理各流程的技術(shù)處理和職責(zé)分工。由于電子文件信息的易更改、易復(fù)制的特點，其信息內(nèi)容和文件形式缺乏可靠性和依據(jù)性，需要同時對文件內(nèi)容的真實性和原始性進行鑒定，而這一切必須依靠信息技術(shù)的發(fā)展和法律法規(guī)與制度支持。例如通過實時備份、計算機加密、數(shù)字簽名、電子印章、防火墻技術(shù)等技術(shù)措施維護電子文件管理系統(tǒng)的安全性，進而保障電子文件的真實可靠；通過針對文件形成部門和管理部門制定的人員責(zé)任分工制度來防患或降低信息失真的可能。3.強化系統(tǒng)安全保障能力，提高系統(tǒng)防范風(fēng)險的能力。生產(chǎn)、存儲及管理電子文件的系統(tǒng)要有必要的存儲空間，必須能夠處理所管理的大批量電子文件；系統(tǒng)必須能夠根據(jù)需要，無遺漏、無差錯地復(fù)制電子文件；系統(tǒng)必須具有可靠性，能在發(fā)生問題時提供技術(shù)支持；系統(tǒng)必須具有處理大儲存量的能力系統(tǒng)必須具備查錯能力。4.建立電子文件管理的責(zé)任機制，提高電子文件的風(fēng)險意識。加強電子文件風(fēng)險管理還應(yīng)從加強檔案工作者隊伍建設(shè)和改進管理方式入手，提高人員素質(zhì)，明確責(zé)任。電子文件安全保護的關(guān)鍵性問題是強調(diào)對文件損失的責(zé)任，必須建立嚴格的責(zé)任機制，實行責(zé)任分擔(dān)，才能從組織上保障電子文件信息安全。5.要有成套的應(yīng)急預(yù)案，做好電子文件數(shù)據(jù)存儲和備份。為確保在突發(fā)和極端情況發(fā)生時最大限度地減少損失，必須健全電子文件應(yīng)急防范工作體系，保證計算機設(shè)備的高可靠性和信息存儲系統(tǒng)的高可靠性，提供良好的、有效的數(shù)據(jù)恢復(fù)手段和災(zāi)難恢復(fù)機制。四、結(jié)語所謂“有為才有位”。隨著電子文件數(shù)量“井噴式”的增長，若要充分發(fā)揮電子文件在政務(wù)管理及社會各領(lǐng)域的作用，必須以保障電子文件的信息安全和信息的有效性為前提，保證電子文件信息的可靠性、真實性、有用性，提高電子文件在實際應(yīng)用中的利用效果和服務(wù)效率。電子文件在人們的日常工作、生產(chǎn)