【摘要】 档案作为国家的重要信息资源，档案信息化的发展也关系到我国信息化进程的发展水平。在传统信息安全体系建设的基础上，结合档案信息化网络安全风险特色，加强档案信息化工作的网络安全风险防范刻不容缓。因此，这不仅是适应社会信息化发展的必要进程，也是全面提升档案管理工作效率的必然趋势，并在档案管理实践过程中不断丰富为社会服务的重要机制。

　　【关键词】 档案信息化 网络安全 风险防范

　　现代信息技术的发展逐渐渗透到社会生活的方方面面，作为人类真实活动记录的原始档案信息，其记录形式、存储形式以及传播形式等都在信息化的影响下发生了本质变化。档案信息化主要指计算机技术、信息存储技术、多媒体技术、数据库技术、网络通讯技术、安全技术等多种高新技术在档案学领域的应用过程[[1]]。档案信息化进程的发展在给档案工作带来极大便利的同时，也为档案工作的展开埋下了网络安全风险隐患。因此，在明确档案信息化工作现状及存在的问题基础之上，对档案信息化的网络安全风险进行评估，进一步提出档案信息化网络安全风险的防范措施，具有十分重要的理论和现实价值。

　　一、档案信息化工作现状及存在的问题

　　互联网的发展和信息化进程的加快，给档案管理信息化工作带来了重大发展机遇。档案信息化发展有助于实现档案资料的长期存储，有助于提高档案信息的检索效率，有助于发挥档案服务的远程功能，有助于实现档案信息的资源共享，有助于改善档案管理的传统形式。然而，由于信息系统所处网络环境的复杂性，加之档案信息系统自身存在的局限性，当前档案信息化工作仍面临病毒攻击、系统漏洞、应用安全等网络安全风险。

　　其一，档案信息化工作面临网络病毒攻击风险。档案工作在信息化过程中，往往需要以网络为媒介来进行数据传输，而网络媒介存在多重病毒风险，因而档案信息化工作的展开无法避免来自网络病毒的攻击风险。病毒攻击主要包括DOS病毒、木马病毒、蠕虫病毒以及ARP病毒等，多造成计算机无法正常运行或网络无法提供正常服务。随着信息化进程的加快，互联网的开放性特征提高了档案信息化工作风险性，因特网为病毒的传播提供了绝佳通道。常见的DOS病毒极易通过邮件接收、软件下载、网址链接等方式进入档案网络系统，造成网络信息服务停滞，甚至导致档案信息数据丢失。据有关数据统计表明，发生网络安全攻击实践中约70%是来自内部网络的病毒侵犯。[[2]]而ARP病毒主要通过路由欺骗和网关欺骗两种手段入侵档案网络，对档案信息用户主要数据资料的隐蔽性形成威胁。此外，木马病毒和蠕虫病毒则通过严重影响互联网用户的网络速度与稳定性，极易导致档案机密信息被盗。

　　其二，档案信息化工作面临网络系统漏洞风险。网络操作系统主要包括Unix、Linux、Windows、Android、iOS等，不论是何种操作系统都存在一定的缺陷和漏洞，而只要投入使用这些系统漏洞都存在巨大的安全隐患。档案信息系统通过使用操作系统极易出现系统高危漏洞，易在不法分子利用下通过伪造、窃取档案资料向公众发布虚假消息。对于内部局域网络系统来说，尽管存在禁止内网用户与互联网连接的相关规章，以确保档案信息在内部网络系统运行中的安全问题。然而，从技术层面来看，计算机大多具备以宽带连接或无线网络的方式连接互联网的能力；从管理层面来看，档案部门无法保证所有用户严格遵守有关管理制度。在一定程度上，网络系统的安全问题与计算机本身的硬件配置以及系统的软件配置都存在很大联系，若操作系统没有形成相应的安全配置，会对档案信息系统造成重大安全隐患，在档案材料的录入、传递、整理以及存档等过程中容易导致信息丢失或泄密状况的发生。

　　其三，档案信息化工作面临系统应用安全风险。计算机的系统应用处于一个不断变化的动态过程，因而系统应用的安全性能也无法稳定，造成档案信息化工作过程面临严峻的系统应用安全风险。一是资源共享方面，由于档案系统内部通常实现网络资源共享，因少数用户对档案信息的暴露被外部人员窃取或传播，极易造成档案信息泄露甚至系统崩溃状况。二是病毒侵害方面，网络应用系统为内部人员提供便利的信息发布、传播以及处理功能，但部分不法分子利用应用系统夹带木马程序等病毒文件，给档案信息化工作带来诸多安全隐患。三是人事管理方面，由于档案信息资料涉及范围广、密级程度高，多数涉密文件需要借助计算机与互联网络传递整理，因此档案信息化工作的网络运行安全问题需要人事管理部门的配合与统筹。随着互联网技术和信息化技术的迅猛发展，档案管理部门势必高度重视档案信息化建设的重要性所在，进一步深入解决档案信息化工作过程中面临的这一系统应用安全风险。

　　二、档案信息化的网络安全风险评估

　　信息化时代的档案管理工作采取信息化的管理方式，为保证档案信息的有效存储并降低档案传输的风险系数，首先要面临的是档案信息的网络安全风险问题。因此，从档案管理角度对档案信息化过程中的网络安全风险进行评估，有利于有效防范档案信息工作的网络安全风险，有利于档案管理工作的顺利展开。

　　1.档案信息化的网络安全风险评估要素

　　在档案信息化过程中，网络安全风险评估主要指在网络背景下对档案系统中存在的网络存储信息资料的真实性、完整性以及保密性等安全属性及风险要素进行科学识别与评价的过程。对档案信息化中的网络安全风险进行评估的首要前提是分析这一安全风险存在的主要评估要素，体现在以下三个方面：

　　其一是档案信息资产要素。在档案信息化过程中，信息资产的应用范围十分广泛，且具有一定的社会实用价值。这里的“信息资产”主要用来描述信息化的成果，或是在信息化过程中衡量其价值的大小，因此信息资产这一概念描述是最直接、最形象的，但是它也存在一个如何具体量化的问题。[[3]]档案信息属于风险评估过程中的主要资产要素，也是网络安全风险防范的重要前提条件。其二是档案安全风险要素。随着档案信息化进程的加快，由互联网带来的安全风险也不容小视，不论是自然条件亦或是社会条件下的网络安全风险都会对档案信息系统造成严重威胁。因此档案信息化的网络安全风险评估，应着重关注安全风险问题的由来、形成以及发展过程，有利于全面具体地评估档案安全风险要素所面临的潜在影响力。其三是档案管理措施要素。对于档案信息化的网络安全风险防范，多从档案信息的保护、检测以及管理方面着手。因此在风险评估之前，需要事先制定出针对性强的具体安全性管理措施，进一步结合实际的档案信息化工作环境，对上述措施进行分析评估。通过明晰档案管理措施要素，能有效地降低档案管理信息化的网络安全风险。

　　2.档案信息化的网络安全风险评估流程

　　随着信息化技术的迅猛发展，档案系统的运行面临重大革新，而网络安全风险要素却存在于整个档案信息系统的生命周期过程中。由于这一生命周期存在基础分析、目标设计、集成实现以及运行维护等多个阶段，且每一阶段的实际内容都存在差别，因此档案信息化的网络安全风险评估主要分为四大流程。

　　其一是基础分析阶段的风险评估。依据档案信息化过程中网络安全风险评估要素，为满足档案安全建设的具体需求，在基础分析阶段进行系统初期的网络安全风险评估，进一步分析评估档案信息系统中可能存在的风险要素。其二是目标设计阶段的风险评估。这一阶段涉及较多的安全目标要素，因此确定有效的网络安全目标具有重要价值，而要采取积极的防范措施，需要通过网络安全风险评估，以保证档案信息系统中的网络安全目标的进一步明确与践行。其三是集成实现阶段的风险评估。这一阶段的主要任务在于验证系统安全目标与实践结果是否一致，此外还应注重风险环境的有效性分析。网络安全风险评估很大程度上受风险环境的影响，应加强在档案信息传递与管理环境中的风险性分析。其四是运行维护阶段的风险评估。档案信息化过程需要进行后期的定时维护与检修，从而确保档案管理系统的安全性和可靠性，以此完善档案信息化过程网络安全风险防范的评估进程，进一步保证档案系统的整个生命周期都处于安全的网络环境之中。

　　3.档案信息化中网络安全风险评估存在的不足

　　当前我国在档案信息化过程中，对网络安全风险评估工作进行了多方面的探索，积累了十分丰富的宝贵经验。然而在具体的档案信息网络安全风险评估过程中，由于一些内部或外部因素，导致评估过程中仍然存在一些不足之处，主要表现为三个方面：其一是档案管理部门重视不够，总体来看，部分档案管理工作人员缺乏安全风险意识，且无法掌握网络安全评估的专业技能，档案信息安全风险评估经验不足。其二是风险评估流程有待完善，档案信息化中的网络安全风险评估过程，是一个信息安全的技术性过程，需要在档案信息环境下制定出完整、科学、有效的工作流程。其三是评估工具发展相对滞后，随着档案信息化管理过程中的安全漏洞逐渐增多，信息安全威胁不断加大，网络信息安全评估的技术装备与工具需要适时更新，并加强网络安全评估工具的使用与推广。

　　三、档案信息化的网络安全风险防范

　　随着网络信息技术的发展，档案信息化建设的网络安全风险因素也在不断增加，由于档案管理工作具有鲜明特色，档案信息化安全体系建设多受技术、管理、环境等因素制约。因此，在传统档案信息化建设安全体系的基础之上，结合网络环境下安全风险的特色，确立网络安全风险防范原则，同时在档案信息化建设中采取网络安全风险防范措施，具有重要的理论和现实意义。

　　1.档案信息化的网络安全风险防范原则

　　其一，坚持创新性原则。2014年9月，国家档案局局长杨冬权在全国档案工作者年会上指出：“我们的国家要发展，民族要进步，就必须不断创新；同样，我们的档案事业要发展，各项工作要进步，也必须不断创新。[[4]]”这就要求档案管理工作必须与时俱进，不断适应新形势、新要求，以转变方式推动档案信息化的科学发展。网络安全风险防范需要大力开拓创新精神，进一步推动档案信息化安全风险防范工作中管理理念、服务方式、工作领域的转变与创新，使得档案信息化工作进一步适应经济社会发展的新常态要求。

　　其二，坚持法制性原则。法制性原则倡导依照国家的法律法规和政策来规范档案网络的建设[[5]]。在档案信息化过程中加强安全风险防范，需要建立完善适应社会发展的档案法规体系。在网络环境下，档案管理部门需要为行政部门依法履行档案行政执法职能提供保障，以维护执法权威性。此外，在建立档案信息资料数据库的过程中，必须处理好档案信息相关的知识产权问题，避免网络侵权现象的发生，而档案网站的运行维护必须制定相关法规制度，以加强档案信息化的法制化建设进程。

　　其三，坚持保密性原则。党的十八届四中全会为当前档案工作的开展提供了明确方向，在加强档案信息治理体系和治理能力现代化的同时，推进档案管理工作的规范化发展。加强档案信息化的网络安全风险防范，需要在档案的归档、移交、保管以及查阅环节中形成网络安全防范体系，凡涉密和内容敏感的档案信息实行不公开、不开放的原则，严格加强档案信息的保密性工作。通过严格执行《档案法》、《档案管理违法违纪行为处分规定》等开展档案保密工作，以进一步扩大档案信息化的影响力。

　　2.档案信息化的网络安全风险防范措施

　　其一，完善档案管理制度，强化网络安全管理。从宏观层面来看，完善档案管理制度需要从设置档案信息安全管理和配备档案信息安全人员两方面出发。档案管理者应对档案信息网络安全引起足够重视，并加强构建由点到线、由线及面的档案信息网络安全体系的机构设置，同时配备专业的档案信息安全管理人员，由此形成档案信息化安全保障体系。从微观层面来看，档案信息网络安全风险贯穿于整个档案信息化过程的始终，因此在档案信息网络安全保障体系建设过程中，应基于档案安全风险防范，根据档案信息生命发展周期，对档案信息安全进行全程引导、重点监控、辅助管理。档案信息安全风险防范不仅是一个安全措施，更是一个安全过程，在加强静态防护的同时更要协调动态适应，强化网络安全管理，以保障档案信息网络安全。

　　其二，树立网络风险意识，加强档案队伍建设。信息化人才是推动档案信息化发展的动力，是档案信息化建设最宝贵的资源。[[6]]在档案信息化过程中，除了设备、技术等外部安全因素外，人为因素也是档案信息化网络安全隐患之一。而档案队伍建设不仅需要提升档案管理人员的专业知识，还需要树立其信息化网络风险意识。提升档案管理人员的安全防范意识，定期开展档案信息网络安全风险防范意识培训，增强安全防范意识宣传教育工作，以全面提高档案信息安全风险防范意识。此外，档案信息化进程带来了档案信息应用系统的发展以及数字档案馆的应用传播，档案管理人员在运用这一系统进行档案信息管理的同时，还需要进行新技术运用能力培训与信息安全风险培训，以保证档案工作程序的规范化操作，进一步从内部因素上减少甚至杜绝人为操作失误带来的风险隐患。

　　其三，优化网络规范标准，巩固技术防范能力。档案信息化法规是国家为推动档案信息化工作而制定的法律、法规、规章与规范性文件，是国家对档案信息化活动进行管理的重要手段，体现着国家档案信息化发展的战略与政策。[[7]]随着国家信息化的深入发展，档案信息化过程中的标准化建设逐渐被赋予网络信息化标签，以此防范档案信息在网络环境中的安全风险。国家档案信息化标准主要包括信息化法规建设、档案信息安全制度建设、数据保存格式标准以及设备系统更新等规范化标准。从技术层面来看，档案管理可以通过数字安全技术对用户与档案之间的权限设置进行风险控制，进一步巩固了档案主客体之间的安全风险防范性能，有利于构建档案信息化标准安全体系，有利于适应多元化的网络环境给档案信息安全带来的风险冲击。

　　在社会化全面发展的过程中，档案工作逐渐凸显出至关重要的作用。传统的档案管理模式已不能满足人们对档案利用的需求，档案的信息化发展是实现档案现有价值的重要途径。档案工作必然要由封闭走向开放，由重视保管转向服务利用，以提高档案信息化建设水平，才能进一步适应信息化时代的发展要求。档案信息化工作中的网络安全风险因素无处不在，因此，通过对档案信息化中的网络安全风险因素进行评估和防范，是促进档案信息化事业现代化发展的重要任务，也是促进全球信息化发展的重要趋势。