打开文本图片集
[摘要]论文对武汉市各类档案馆的安全保障工作进行了调研与评估,从安全战略、基础设施、组织管理、档案安全技术、档案安全制度五个维度分析了档案馆安全保障工作的现状,提出了如下建议:完善应用系统与数据库安全功能、加强安全技术手段应用、加强档案信息风险评估与制度建设。
[关键词]安全保障档案馆现状调查评估武汉市
[分类号]G271
Investigation and Assessment of the Security Status of Archives——Taking 35 Different Types of Archives in Wuhan as Examples
Xiao Qiuhui, Duan Binbin, Zhan Xian, Li Yihong, Li Zhen(The School of Information Management of Wuhan University, Laboratory Center for Library and Information Science of Wuhan University, Wuhan, Hubei, 430072)
Abstract: This paper investigates and evaluates the security work of various types of archives in Wuhan, and analyzes the current situation of the security work of archives from five dimensions, which includes security strategy, infrastructure construction, organizational management, archival security technology and security institution. Based on the situation analysis, this paper puts forward the following suggestions: perfect the security functions of application system and database, strengthen the application of security technology and reinforce the risk assessment and institution construction of archival information.
Keywords: Security Assurance; Archives; Status Survey; Assessment; Wuhan
档案馆安全保障工作是其各项工作的基础。《全国档案事业发展“十三五”规划纲要》指出,要强化档案安全保障,健全人防、物防、技防“三位一体”的安全防范体系,全面提升档案网络和信息系统风险管理能力,确保档案实体与信息安全。“我国档案安全保障体系构建的理论与实践研究”项目组对武汉市35个不同类型档案馆进行了实地调研,全面了解其安全保障的现状,发现了一些问题和不足,并在此基础上提出了相关建议。
1调查对象与调查方法
项目组基于层次分析法构建了包含5个一级指标,16个二级指标,56个三级指标的档案馆安全保障评估指标体系,并通过德尔斐法(专家调查法),确定了每项指标的赋分权重。此外,项目组通过问卷调查方式收集了武汉市35个不同类型档案馆的相关数据,包括省、市、区级综合档案馆15个,高校档案馆12个,大型企事业单位档案馆(室)8个。问卷共涵盖五个维度:(1)安全战略维度,即宏观策略与规划;(2)组织管理维度,即机构设置、人员安排、管理流程等方面内容;(3)基础设施维度,即馆库建设、计算机软硬件建设、数据库建设等方面;(4)档案安全技术维度,即实体安全技术和信息安全技术;(5)档案安全制度维度,即业务安全工作制度、信息安全保障制度等内容。为保证调查结果可信,项目组对32家档案馆进行了实地调研与访谈(91%),对距离较远的3家档案馆进行了电子邮件调查和电话访谈(9%)。
2武汉市档案馆安全保障现状整体评估
武汉市35家档案馆安全保障情况评估结果如表1所示。在百分制的基准上,根据得分的整体分布,将档案馆安全保障现状分为五个等级:得分在[90,100]区间为优秀,得分在[80,90)区间为良好,得分在[60,80)区间为一般,得分在[40,60)区间为较为落后,得分在[0,40)区间为严重落后。
由表1可知,评估结果为“优秀”的档案馆有3家,包括2家综合档案馆、1家高校档案馆,无企、事业单位档案馆(室),占比8.57%;评估结果为“良好”的档案馆有7家,包括3家综合档案馆、2家高校档案馆,2家企、事业单位档案馆(室),占比20%;评估结果为“一般”的档案馆有16家,包括7家综合档案馆、5家高校档案馆,4家企、事业单位档案馆(室),占比45.71%;评估结果为“较为落后”的档案馆有6家,包括3家综合档案馆、3家高校档案馆,无企、事业单位档案馆(室),占比17.14%;评估结果为“严重落后”的档案馆有3家,包括1家高校档案馆,2家企、事业单位档案馆(室),无综合档案馆,占比8.57%。
35家档案馆的评估结果呈现以下特征:一是差异显著,分级明显。参与评估的单位中,最高分为91.24分,最低分为32.85分,分差显著。评分结果分级明显,集中形成五个水平等级;二是结果等级呈“梭形”分布。近五成档案馆评级为“一般”,“良好”和“较为落后”各占两成,“优秀”和“严重落后”各占一成,中间多而两端少,呈“梭形”分布。三是綜合档案馆整体优于高校档案馆,高校档案馆整体优于企、事业单位档案馆(室)。15家综合档案馆的平均得分为70.03,12家高校档案馆平均得分为64.07,8家企、事业单位档案馆(室)平均得分为61.22,不同类型档案馆之间的差异较为明显。四是达标率较为可观。以60分为及格线,达标率为74.29%,表明大多数档案馆注重安全保障建设,并取得了一定成效。
3武汉市档案馆安全保障现状具体分析
3.1安全战略维度
(1)档案馆安全战略规划良好
在宏观层面,各档案馆都转发下达了国家档案局印发的《全国档案事业发展“十三五”规划纲要》(以下简称“十三五”规划纲要),并深入学习研究了“十三五”规划纲要精神,其中26家档案馆(74.29%)根据“十三五”规划纲要,制定了适合本馆的较为长远的档案安全保障计划或保障策略,如档案馆安全保障工作的目标、任务、要求等。可见,武汉市各级各类档案馆普遍重视档案安全保障的战略规划,制定了档案安全保障计划或策略。
3.2组织管理维度
(1)安全管理部门和人员设置合理
设置档案安全管理部门或安全管理人员可以有效保障档案馆安全工作的开展。虽然目前尚未有档案馆设立专门的档案安全管理部门,但91%的档案馆都安排了安全管理员或者分管安全工作的领导和人员,具体责任到人,并有相关的人事调动记录,如东西湖区档案馆将库房的安全管理工作分派给保管处,工作人员每天检查其所负责的库房安全,进行日常维护和安全情况登记,定期总结汇报。此外,17%的档案馆还会定期组织跨部门交流协调会议,听取各部门的安全情况汇报,讨论下一步工作,组织协调全馆的档案安全工作。
(2)档案安全人员培训基本到位
业务培训和安全培训是档案馆安全管理工作必不可少的一个环节。各档案馆都会组织本馆人员参与业务培训和相关的安全技能培训,增强工作人员尤其是兼负档案安全管理的人员的安全意识,提升其应急处理能力。67%的档案馆的分管安全领导和专职档案人员还需通过市级以上的安全技能培训,并通过严格的培训考核标准。48%的档案馆将员工的安全規范操作纳入绩效考核且与年终奖惩挂钩,以加强工作人员对档案安全工作的重视。
(3)档案安全资金支持相对充足
充足的资金是档案馆安全保障工作强有力的后盾支持。25家档案馆(71%)已将档案安全保障工作开支纳入财务总预算,有相对充足的资金支持。如武汉市档案馆近三年(2015—2017年)的档案保护经费分别为234万元、276万元、294万元,此项经费根据《档案法》和国家综合档案馆评估要求规定,馆藏档案每卷3元列入地方财政预算;近三年档案抢救项目经费分别为24万元、50.94万元、50.94万元,专款专用,抢救濒危档案;近三年档案数字化项目经费分别为259万元、340万元、340万元,用于馆藏历史档案的系统整理、修裱、全文数字化加工、目录建库工作以及数字档案馆档案资源集成管理与应用平台建设。虽然29%的档案馆没有将档案安全工作的保障资金纳入财务预算,但在一般性支出预算中包含部分安全保障资金,在实地调研的访谈过程中,一线档案工作人员大多都提到近几年档案安全保障工作越来越得到重视,资金支持也较为充足。
3.3基础设施维度
(1)档案馆馆库建设基本符合标准要求
档案馆建筑选址与质量要求不同于一般性建筑要求,须符合相关国家和行业标准。据调查,65%的档案馆选址符合《档案馆建设标准》,在总平面布置、耐火等级、给排水、电器设备等方面符合《档案馆建筑设计规范》(JGJ25-2010)的规定,8%的档案馆(3家)新馆尚在规划建设当中,27%的档案馆由于建馆较早,在建筑设计、馆库面积等方面尚未能达标,但基本设施相对完善,能够满足档案收集、保管、利用之需,安全保障也在可控范围之内。在库房建设上,被调查的档案馆基本都满足“八防”要求。根据电子档案的保存环境要求,80%的档案馆设置了防磁设施,如防磁专用库房、防磁柜等,57%的档案馆有防菌措施,在档案进馆时进行除菌消毒。在档案装具上,各档案馆均采用符合行业标准的柜类、架类装具,并在2000年先后采用无酸档案卷皮卷盒,延长保存寿命,增加安全指数。总体而言,档案馆在馆库建设和装具使用上基本符合标准要求,能够满足档案安全保障的需求。
(2)网络软硬件设备基本完备
计算机和网络设施是档案信息化工作开展的基础设施,也是电子文件管理与保存所依赖的数字化环境设备。根据调查结果,在计算机硬件方面,35家档案馆(100%)的计算机存储介质、输入输出设备等硬件设施均具备高度的可靠性、可用性和保密性,29家(82.86%)机房配备了防火、防潮、防雷、防断电等防控设备,保障计算机系统有效、不间断运行。由于技术和人员限制,1家档案馆将机房托管到电信分公司,实行更严密的监护和安全保障。鉴于部分档案涉密,13家(37.14%)设置了专门的屏蔽机房或者屏蔽仓来专门保管涉密信息。在网络系统方面,30家(85.71%)档案馆具备齐全的计算机网络部件,为保障内网安全,23家(65.71%)档案馆局域网与外网实现了物理隔离,设立电磁屏蔽等措施,为隔离非法信息和敏感信息,18家(51.43%)档案馆配备了网络端口安全防范措施。总体来看,档案馆网络软硬件设备基本完善,但在涉密信息的安全保护方面还需进一步与普通档案信息区别并加强防护。
(3)应用系统满足基本安全需要,功能模块有待完善
现代化的档案管理工作离不开功能齐全的应用系统和数据库系统,系统的安全可以保障档案信息的安全。24家(68.57%)档案馆直接从软件公司购买档案管理系统,如世纪科怡综合档案管理系统、南大之星档案管理系统、北京飞扬数字档案管理系统、紫光启明档案管理系统、Project Wise文档管理系统等;其余档案馆根据技术实力自行研发或合作研发或委托研发。无论何种方式获得的档案管理系统都具备较好的兼容性和容错性,且100%具备访问控制模块,能够进行身份验证。在其他功能模块中,31.43%具备安全监测、漏洞自动修复功能,45.71%具备备份功能模块,目前尚未有应用系统具备因子认证功能,因此,在丰富应用系统功能、提升安全性方面还有很大提升空间。
(4)数据库功能模块不全
档案数据库是档案信息资源管理的核心工具[1],35个档案馆都采用了稳定的数据库版本,如SQL Sever,在安全控制方面,普遍具备访问控制功能模块,但在其他安全控制的功能模块上,还有很大欠缺,仅有28.57%具有自动恢复模块,14.29%具备安全检测模块。所以在档案信息资源迅速增长的背景下,建设安全功能齐全的数据库是亟待解决的问题。
3.4档案安全技术维度
(1)档案实体安全技术掌握和应用程度不高
纸质档案在保管利用过程中,由于自身因素或不恰当的人为因素和环境因素,容易出现污染、发霉、虫蛀、字迹褪色、纸张脆化等问题,掌握档案实体修复和保护技术是必要的。但实际调研发现,档案馆对实体安全技术的掌握度并不高。42.86%的档案馆掌握档案去污、去酸、修裱等档案修复技术,48.57%档案馆掌握了有害微生物及虫害防治技术,仅有11.43%的单位掌握档案缩微及其他摄影技术。10家档案馆(28.57%)明确表示尚未掌握任何专业的档案实体修复和保护技术。档案实体安全技术掌握度与现实需求呈现不相匹配的状态。
(2)档案信息安全技术多样,高技术手段运用程度低
档案信息化的发展带来日益突出的信息安全问题,掌握并综合运用信息安全技术也成为档案馆安全保障的重要手段。档案信息技术种类与应用多样,如图1所示。其中,20家档案馆(57.14%)综合应用5种及其以上的安全技术,综合应用程度高。9家档案馆(25.71%)应用三种及其以下信息安全技术,技术手段较为落后,2家档案馆(5.71%)只应用了防火墙技术,技术手段严重落后。在众多技术手段当中,VPN技术、漏洞检测技术、入侵检测技术、审计与监控技术、保密技术等技术难度大,但安全性能高的技术手段应用率不足一半,特别是VPN技术,应用率仅为11.43%。所以攻克技术难关,掌握高层次的信息安全技术是当前安全保障工作更进一步的关键。
3.5档案安全制度维度
(1)档案业务工作安全保障制度基本齐全
日常档案业务工作离不开安全保障制度的规范与指导,档案館业务工作相关制度的制定情况,如图2所示。调查显示,35家档案馆都制定了5种及其以上的档案业务安全保障工作制度,制度保障基本到位。10家档案馆(28.57%)制定了8种及其以上的安全保障制度,制度保障齐全完善。以蔡甸区档案馆为例,除图2所示的安全制度外,还制定了库房平面图及火灾疏散制度、逐级上报制度、隐患跟踪督办制度、销毁制度,开放利用制度、收集制度等安全方面的工作制度,各项制度的执行情况良好。从档案馆类型来看,综合档案馆的制定建设情况普遍良好,安全制度馆均7.6项,高校档案馆次之,馆均7项;企、事业单位档案馆稍显落后,馆均6项。由于档案修复技术的缺失与不足,仅9家单位(25.71%)制定了档案修复制度。限于工作模式与习惯,仅10家单位(28.57%)制定了档案抽检制度,在档案业务工作中,还需加强档案抽查检测,及时发现安全隐患。
(2)档案信息安全保障制度建设有待完善
档案信息安全保障制度建设整体上不容乐观。调查结果显示,7家档案馆(20%)完整制定了档案信息安全等级保护制度、档案信息安全风险评估制度和档案应急处理与灾难恢复制度这三项基本的档案信息安全制度,11家档案馆(31.43%)制定了其中两项,12家档案馆(34.29%)只制定了其中一项,剩余4家档案馆(11.43%)未制定任何档案信息安全制度。在采用率上,档案应急处理与灾难恢复制度为77.14%,档案信息安全等级保护制度为62.86%,档案信息安全风险评估制度为20%。由此可见,档案信息安全保障制度的综合应用程度不高,档案信息安全风险评估制度建设较为欠缺。
4总结与建议
综上所述,武汉地区各级各类档案馆在档案安全战略规划、部门和人员设置、安全培训、馆库建设、网络软硬件设备建设、业务工作安全保障制度建设等方面状况良好,但仍存在一些薄弱环节,需要从如下3个方面加以改进和完善:
4.1完善应用系统与数据库安全功能
如上所述,在所有被调查对象中,近七成的档案管理系统是直接购买而来,系统功能设计上处于被动,系统安全监测、漏洞修复、备份等功能普及度不高,数据库的自动恢复和安全监测功能也有所欠缺。此外,工作人员对应用系统了解不足,一些单位甚至将360杀毒等电脑系统的安全监护软件误认为档案管理系统的监护软件。因此,开发人员应从系统安全功能需求出发,基于充分的需求调研,提升技术手段,实现系统的身份鉴别、访问控制、安全审计、入侵防范、漏洞修复、数据备份等安全功能需求。在实际操作中,工作人员要熟悉系统功能,开启所有的安全防范功能,账户密码设置要复杂一点并定期更换,严格进行分级管理,加强内部安全防范[2]。对于直接购买的管理软件,要建立安全日志,根据厂家提供的版本信息及时更新,确保系统处于安全防护中。在数据库功能上,要采取多种手段,确保数据库的备份和恢复功能,为加强风险防范,数据库应设置安全检测功能,对外部攻击、内部攻击、误操作行为进行实时防护,在系统遭受危险之前进行拦截,弥补防火墙防御中的不足[3]。
4.2加强档案安全技术手段应用
根据调查结果可知,档案安全技术应用是整个安全保障体系中的软肋。在纸质档案的安全修复方面,五成以上的档案馆未采取任何去污、去酸和加固等修复手段。在档案信息安全保护方面,入侵检测、审计监控、数字档案长期保存等高技术手段运用程度明显不足,部分档案馆对VPN技术等网络技术不甚了解,掌握和应用程度很低。为此,档案馆要加强档案安全技术的宣传、学习和培训,必要时需要引进先进的人才、技术和设备,为档案实体修复和有害微生物防治以及技术攻关提供物质保障。特别是在档案信息安全保障方面,应当综合应用各项信息技术,加强高技术手段的运用,确保档案信息在各个流转环节的安全。
4.3加强档案信息风险评估与制度建设
调查显示,八成档案馆从未进行过档案信息安全风险评估。与档案业务工作制度相比,各单位制定的档案信息安全保障制度偏少且综合运用程度低,4家档案馆甚至未制定任何信息安全制度,这与档案管理信息化的趋势和需求严重不符。因此,当前亟需加强档案信息风险评估与制度建设,需要根据国家和地方的法律法规,结合本馆实际,制定适合本单位的档案信息安全风险评估制度。应根据本单位信息化建设的现状,对档案信息安全风险评估工作的流程、内容、方法和风险判断确立统一的标准,制定风险等级计算方法。另外,有必要将档案信息安全风险评估工作与等级保护工作相结合,完善档案信息安全等级保护工作。
*本文系教育部人文社会科学重点研究基地重大项目“我国档案安全保障体系构建的理论与实践研究”(项目编号:15JJD870002)研究成果之一。
参考文献
[1]钱毅.档案数据库建设中存在的问题及解决思路[J].档案学通讯,2006(4):45-48.
[2]陈华文.浅谈基层单位档案信息系统安全管理存在的问题及对策[C].浙江:浙江工商大学出版社,2012:271-274.
[3]李广润.计算机数据库入侵检测技术应用初探[J].山西大同大学学报(自然科学版),2013(3):16-18.
