檔案數字化管理風險防控研究
時間:2022-10-12 09:04:33
導語:檔案數字化管理風險防控研究一文來源于網友上傳,不代表本站觀點,若需要原創文章可咨詢客服老師,歡迎參考。
摘要:檔案數字化是檔案信息資源建設中安全風險最大,最容易出現問題的一個環節,檔案數字化管理的風險防控為檔案管理提供了安全屏障。本文從云模式數字檔案館的信息安全治理與控制具體表現這一切入點,剖析檔案數字化管理中出現的各種安全風險,闡明了云環境下數字檔案館的信息安全管控體系的構建的必要性,提出了云環境下檔案數字化管理的風險防控措施和策略。
關鍵詞:云環境;檔案數字化;風險防控
一、引言
隨著信息技術的發展,企業、政府對信息系統、信息技術的依賴程度越來越高,信息系統的安全性也就顯得越來越重要,如果系統遭到破壞,會對業務造成嚴重的損失。數字檔案館建設是我國檔案工作信息化的主要內容,是傳統檔案館在現代網絡環境下實現業務轉型、服務升級的主要方式和手段。數字檔案館運行在一個網絡空間中,而網絡的安全性直接威脅到數字檔案館的安全性。如何防范在網絡空間中運行的數字檔案館不受非法入侵、不受黑客攻擊,如何防止數字檔案館中的電子檔案不被篡改,如何保證數字檔案館中的電子檔案的長期保存,如何加強數字檔案館對突發事件的應對,如何建立可靠的信息安全管理體系,正是云環境下檔案數字化管理的一個重要研究內容。
二、云模式數字檔案館的信息安全治理與控制
數字檔案館作為一個信息系統,其安全治理的要求和一般企業的信息系統的要求是基本一致的,但是,由于檔案具有機密性、原始記錄性,加之云環境的特點,給數字檔案館的建設提出了一些更高的信息安全要求,云模式數字檔案館的信息安全治理與控制具體表現在以下幾個方面。
(一)信息安全管理需要的復雜化
云計算在信息安全方面的一些新的特點,進一步加強了云環境下數字檔案館的信息安全治理風險,隨之而來呈現出數字檔案館建設中IT治理的復雜化。云模式的數字檔案館,是由云客戶、云服務提供商和第三方服務提供商等多種角色共同協作來完成的。因此,云環境中的信息安全管理需要云客戶、云服務提供商和第三方服務提供商按其在云中的角色來明晰自己在云中信息安全管理的責任和權益。
(二)信息泄露的不確定性與刪除的風險性
多租戶的云環境,增加了信息泄漏的風險。在虛擬的云環境中,數字檔案館系統出租給多個不同的用戶,多個不同的檔案館、檔案室的租戶在使用時可以獨享一臺虛擬機,而一臺物理機可以有許多虛擬機,這種隔離是邏輯的,如果在用戶隔離方面出現漏洞,則會造成一個合法用戶的數據可能被另一個合法用戶非授權操作。在云計算中,由于數據有多個副本,因此在刪除一些保密數據時,必須采取一些有效的技術,保證全面有效地定位云計算數據,保證數據被徹底刪除,并無法被恢復。
(三)分布式存儲與數據備份的安全風險
由于云計算采用分布式存儲技術,用戶并不知道自己的數據存儲的物理位置,這樣會出現有些保密數據甚至存儲在國外的服務器上,當然,基于省級電子政務云平臺的數字檔案館是建立在省政務外網上的,它屬于私有云,不會出現這種可能性。但也要注意檔案數據的存儲安全,必須保證所有的數據和它們的副本、備份存儲在服務水平協議和法律規則允許的位置。雖然在云計算中,數據有多個副本,但網絡環境中,數據遭受意外的可能性加大了,因此,必須制定有效的云數據備份和云恢復計劃,并進行演練,保證系統在遭受意外時,能夠及時可靠地恢復數據。
(四)數據傳輸的風險
由于云計算都是在網絡中上傳或使用數據,對于一些敏感和保密數據,容易造成傳輸過程中被泄漏的風險。在云計算數據傳輸的過程中,往往是由云服務商和第三方服務商提供相關的服務,但也存在這些服務商意外中止服務的情況,因此,要保證在云服務商和第三方服務商意外中止服務時,可以將檔案數據無損地遷移到新的云服務平臺中,在傳輸的整個過程中,增加了一定的數據傳輸風險。因此,對云計算的數字檔案館的網絡加密傳輸有了更高的要求。
三、云環境下數字檔案館的信息安全管控體系的構建
云環境下的數字檔案館的安全體系建設是一項復雜的系統工程,要使用系統工程的思想和方法,對數字檔案館的整體安全進行規劃。參照企業信息安全管控體系,構建了一個數字檔案館的信息安全治理與管控體系,如圖1所示。
(一)信息安全規劃
信息安全規劃是數字檔案館對檔案信息和信息處理設施進行管理、保護和分配的總體原則。通過系統的信息安全規劃,可以讓所有使用數字檔案館系統的IT人員和業務人員了解到在數字檔案館的工作中的具體事宜以及每個區域的基本狀況,明確數字檔案館過程中的信息安全問題。如:在數字檔案館中,哪些信息最重要?這些信息面臨的威脅有哪些?這些信息一旦失效(失去真實性)、失控(不能獲取)或者泄密給檔案館業務帶來的損失有多大?這些信息失效、失控或者泄密的可能性有多大?解決這些問題,就必須進行風險評估,進行風險識別、風險量化、風險排序,以此作為安全策略的優先等級的依據。
(二)信息安全組織管控體系
信息安全組織管控體系是數字檔案館信息安全的組織保證,是數字檔案館為實現信息安全而建立的各部門之間的分工協作及開展工作的關系。要保證數字檔案館的信息安全,首先要在組織體系上加以明確,把相關安全責任通過組織體系落實到具體的部門和人員中。數字檔案館的組織體系一般包含信息安全的決策機構、管理機構、執行機構和監管機構。這些機構的具體形式可以是兼職的或虛擬的,分別從不同層面來負責數字檔案館的信息安全。
(三)信息安全技術管控體系
數字檔案館是一個信息系統,其安全一定要有相應的技術支持,因此要構建數字檔案館信息安全的技術管控體系必然涉及到四個方面的安全。第一,物理層安全。這是整個系統安全的前提和基礎,包括建筑物安全、場地安全、機房環境安全、設備的可靠性、輻射控制與防泄漏、通信線路安全性、動力安全性、災難恢復措施等。第二,網絡層安全。網絡層是整個系統安全的核心和靈魂,其安全主要包括:網絡及系統的授權訪問、網絡層邊界防護(防火墻)、入侵檢測、病毒防護、網絡傳輸加密、網絡結構的合理性分析等。第三,系統層安全。主要是指主機系統、數據庫系統中存在的一些漏洞和風險,如管理員和用戶的口令管理、數據庫漏洞的修補、操作系統漏洞的修補等。第四,應用層安全。指數字檔案館應用系統的安全風險和采取的技術措施,包括身份認證技術、數字簽名和證書技術、數據加密技術、安全內容檢查技術等。
(四)信息安全運維管控體系
信息安全運作是實現信息安全目標的重要機制,技術只是一個手段,必須依賴于有效的管控才能實現數字檔案館的信息安全目標。其內容涉及制度管理、風險評估、安全審計、事件管理等一系列內容,核心是信息安全事件的管控。對數字檔案館來說,建立一套結構嚴謹、計劃周全的信息安全事件管理流程,是安全管控的核心。信息安全事件管控應該是一個嚴格的過程,由檢測報告、評估決策、響應、評審、改進幾個階段組成。通過這樣的流程,將系統產生的任何風險及時化解,不斷改進數字檔案館的安全狀況。
四、云環境下檔案數字化管理的風險防控措施
(一)強化檔案數字化管理的執行力度,完善制度建設
檔案數字化成敗關鍵在于質量與安全,標準和制度是質量與安全的根本保證。只有提高對標準與制度重要性的認識,才能增強執行檔案標準的自覺性。要通過加強相關人員的培訓、業務考核等辦法,強制性要求其采用標準。要建立起一套系統的安全規章制度,規定業務工作程序,分配責任和權利等。強化職能與專業分工,強調制度化檔案安全管理的氛圍,推行標準化管理,使每一項工作、指標、制度、方案、細則,都能在規章制度規范下操作。制度在風險管理中發揮的作用:一是依法制定的規章制度可以保障數字化工作運作有序化、規范化,可在一定程度上降低風險;二是有效的制度能降低流程運作成本,提高數字化質量;三是規章制度可以防止管理的任意性,即以制度管理人員,管理工作更易于被接受;四是規章制度能規范數字化工作參與人員的行為,不偏離數字化項目的工作方向。規章制度的建立和完善,不僅能對一些具體工作中的制度化管理起到推動作用,同時可以進一步挖掘工作人員的潛能,調動工作人員的積極性。
(二)加強數字檔案館信息安全組織體系建設
在信息安全體系中,一個重要的內容就是信息安全的組織管控,沒有組織體系的保障,數字檔案館的信息安全就沒有根基。如前所述,信息安全組織由信息安全的決策、管理、執行、監管四類機構組成。信息安全執行機構負責具體的信息安全工作的執行和開展,具體又可以分為兩個部分:一類是信息安全工程組織,主要由數字檔案館系統的開發人員組成,負責各項信息安全技術的實施,如登錄認證管理、數字證書管理等;另一類是信息安全運行組織,在數字檔案館中主要負責數字檔案館系統監控維護方面的工作,并及時匯報數字檔案系統在日常運作中的安全情況。一般都由各業務部門的相關人員兼任,不設立專門崗位。信息安全監管機構主要對數字檔案館的信息安全工作的開展情況進行獨立的審查和監督。其職能主要包括:監督各項信息安全政策、標準、規范的執行情況。數字檔案館信息安全組織體系建設主要任務是將審查的結果向數字檔案館的信息安全決策機構匯報,為數字檔案館的信息安全改進工作提供支持。
(三)加強云模式數字檔案館信息安全技術研究
數字檔案館的信息安全是在信息系統中進行的,一定要有相應的技術支持,除了一般的信息系統的信息安全技術外,云模式數字檔案館在信息安全技術方面主要包括四個方面。第一,信息安全技術數據加密技術,加密是保護敏感數據的一個重要途徑,加密提供了檔案資源保護功能。第二,認證授權技術。身份認證技術也是云模式數字檔案館的一個重要安全技術,管理身份和認證主要表現在兩個方面,一是對訪問數字檔案館的用戶的身份進行認證和管理,二是對數字檔案館中存儲的電子檔案的身份進行管理。第三,數據的存儲和備份技術。云存儲技術具有分布式、多副本的特點,但同時也帶來了一些問題,如云存儲的可靠性問題,關注云備份技術的發展,給數字檔案館的云存儲和云備份提供可靠的技術方案。第四,加強數字檔案館信息安全的流程管理。要想把數字檔案館的信息安全管控體系落到實處,就必須加強相關的流程建設,通過相關的流程建設,達到把復雜的問題簡單化、把簡單的問題流程化的目的。流程可以分為兩個層次:一是構建整個數字檔案館的信息安全管控體系的流程;一是管控體系中的相關流程建設。信息安全管控體系中的相關流程建設是將信息安全的每個具體的措施進行流程化處理,來實現整體的管控體系的執行和實施。
(四)構建云模式數字檔案館信息安全策略
信息安全策略是對安全方針的具體落實和完善。數字檔案館的策略應該保障云模式數字檔案館的信息的機密性、可用性、完整性等。具體來說,是針對數字檔案館中存在的一系列安全隱患,提出的一個個具體的處理方案,因此,安全策略應該是具體的,每個安全策略都應有其具體的目標、適用范圍、策略主體及具體措施。如身份認證與授權策略,其目的是讓訪問數字檔案館的每個人都得到許可,并且只能訪問權力許可范圍內的資源,其由一系列的管理和技術措施組成了具體的策略。在制定每一個策略時,要參考國家和國際上的一些標準,然后根據數字檔案館的具體情況,制定可行的措施。
五、結語
數字檔案館的信息安全是一個系統工程,并不單純是信息技術部門的責任,檔案館中每一個和數字檔案館系統相關的人員都有維護信息安全的職責,因此,必須通過信息安全的組織建設,把信息安全的職責落實到數字檔案館中的每個人員的崗位職責中。以全員參與、明確責任的原則,把各項安全措施落實到位。
參考文獻:
[1]馮惠玲,趙國俊,劉越男.電子文件管理國家戰略芻議[J].檔案學訊,2006(3):4-8.
[2]高復先.信息資源規劃———信息化建設基礎工程[M].清華大學出版社,2002:6
[3]于英香,韓震.區域性電子文件管理模式演變與整合探析[J].檔案學研究,2011(1):67-70.
[4]姚宏宇,田溯寧.云計算———大數據時代的系統工程[M].電子工業出版社,2013,60-62.
[5]黃麗等著.檔案數字化:風險與管理[M].中國文史出版社,2018:60.
[6]倪芳,聶真.檔案數字化外包的風險與防控資源信息與程?,2020(3):152-154??.
[7]李惠慶.高校學籍檔案數字化外包的安全風險分析與管理策略[J].絲路視野,2018(24):51-52,
作者:韓卓泉