一、标准保障是实现各种信息技术设备协同工作的前提和基础
数字档案信息的长久保存要求存储介质能够在信息的硬件环境与软件系统中兼容,保证数字档案信息的安全、可读,这就要求必须采用统一标准来保证计算机硬件设备及软件系统的更新换代能够实现前后协调,消弭冲突。
二、我国数字档案信息安全相关标准研究的现状
数字档案信息安全工作的推进,需要严格遵守信息化和档案管理方面的标准和规范,可参考的相关标准和规范有:1.国家标准《信息安全技术计算机信息系统安全保护等级划分准则》(GB17859-1999),数字档案信息安全保障体系建设要求各单位在配备档案软硬件基础设施时,必须符合信息安全等级保护的要求,尤其是保密单位的数字档案馆建设,其软硬件基础设施的配备更要达到信息安全等级保护要求的二级(系统审计保护级)以上安全保护标准。《信息安全技术基于互联网电子政务信息安全实施指南》(GB/Z24294-2009),该标准对于我国基于互联网电子政务信息安全保障建设起到重要的指导作用。通过分析基于互联网电子政务系统及其所面临的安全威胁,建立基于互联网电子政务信息安全保障体系,提出了系统分类分域防护机制。《信息安全技术信息安全应急响应计划规范》(GB/T24363-2009),数字档案信息安全隐患包括电力中断、载体损坏、自然灾害、计算机病毒、黑客攻击、数据篡改、操作失误等等,应当高度重视档案数字化加工和电子文件接收等过程中的安全保密管理工作。同时应当根据信息安全应急响应计划制订应急预案,完善灾难恢复机制,提高应急处置能力。《电子文件归档与管理规范》(GB/T18894-2002),该标准明确了对电子文件的形成、收集、整理、鉴定、保管、统计、检索、利用等全过程实现管理与监控,保证电子文件的真实性、完整性和有效性。同时明确规定了电子文件归档的时间、范围、技术环境、相关软件、版本、数据类型、格式、被操作数据、检测数据等要求,保证了归档电子文件的质量。2.行业标准《信息安全技术终端计算机系统安全等级技术要求》(GA/T671-2006),该标准规定了对终端计算机系统进行安全等级保护所需要的安全技术要求,并给出了每一个安全保护等级的不同技术要求。数字档案信息安全保障体系建设应该按照信息系统安全管理要求配置数据库的安全管理策略,正确设置数据库管理系统归档模式,制定适宜的数据库维护和备份计划,及时验证数据库管理系统及数据的正确性。《信息安全技术终端计算机系统安全等级评估准则》(GA/T672-2006),终端计算机系统承担着大量数据存储、处理、传输的工作,该标准主要对各个安全等级的信息系统中终端计算机系统的安全提出了测评方法,保证了终端计算机的安全和整个信息系统的安全。《纸质档案数字化技术规范》(DA/T31-2005),该标准规定了纸质档案数字化的主要技术要求。适用于采用各种设备对纸质档案的数字化加工处理及数字化成果的管理。《缩微胶片数字化技术规范》(DA/T43-2009),该标准通过对缩微胶片档案数字化的检查、整理、扫描、图像处理、图像存储、目录建库、数据挂接、数据验收、数据备份、成果管理等各个环节进行规范,确保了档案的安全。同时提出对各个环节的工作情况进行记录,并整理汇总、装订成册。3.地方标准地方标准是各省、市根据国家和行业标准制定的适合本地区实际情况的标准,比如《青岛市电子文件归档与管理规范(试行)》、《上海市文书档案目录数据元规范》等。
三、数字档案信息安全标准体系建设存在的问题与对策
从上面数字档案信息安全标准的现状来看,近年来我国已经相继出台了一些与数字档案信息安全保障方面相关的标准规范,但从整体来看,尚不能解决数字档案信息安全保障体系建设面临的复杂问题,标准规范的建设还存在以下几个方面的问题:1.标准体系过时。数字档案信息随着信息化技术的发展也产生了新的特点,比如异构性、多维性等特点。而我国数字档案信息标准规范还处于传统的对同构数据、二维数据的安全保障。2.针对性较差,缺乏系统性、全面性。目前为止,还没有出台专门针对数字档案信息安全方面的相关标准规范,大多数规范只可以为数字档案信息安全提供借鉴、参考作用,或者只是针对数字档案信息安全的某些方面提出标准规范,缺乏完整、全面、系统的数字档案信息安全保障的标准体系。3.国家标准较少。档案信息从采集、处理到存储、利用各个环节要经历一个复杂的过程,在社会化分工越来越明细的今天,不可能由一家单位单独完成,更需要从国家层面制定统一的标准规范,实现档案信息资源在全社会的共享。4.借鉴吸收国外相关规范经验较少。欧洲、美国这样的发达国家已经在信息安全保护领域制定了一些国际标准和规范,我们在制定数字档案信息安全领域的标准时,不应该闭门造车,而应该在充分借鉴国际标准的前提下,制定和扩展本国对数字档案信息安全领域的标准规范。
四、数字档案信息安全标准体系建设的对策
针对上述数字档案信息安全标准体系建设存在的问题,我们可以从以下几个方面着手,推进我国数字档案信息安全标准体系的建设。1.明确数字档案信息安全标准化的研究方向,扎实推进数字档案信息安全的基础性工作和基础设施建设。继续推进信息安全等级保护与档案信息安全风险评估工作,针对不同级别的档案信息,采取相应的安全措施;推进信息安全认证,确保档案基础设施设备的安全保密;加强档案信息资源各个环节的安全保密,确保从采集、处理到加工、利用的安全保密;完善档案信息灾难备份工作,制定档案信息安全应急响应计划。2.数字档案信息安全保障标准体系建设要有前瞻性,并不断调整变化。数字档案信息安全保障体系相关标准规范的制订不应仅仅是被动地适应形势的需要,更多地还应“表现为对技术的主动性和前瞻性,为技术的发展和完善预留空间,提高对信息社会的适应性。”3.从国家层面明确标准体系建设的目标、内容、人员组织,尽快启动覆盖各个业务层面、管理层面的标准体系建设,并将标准体系的研究纳入数字档案信息安全保障体系建设的长期规划任务中,使标准体系建设纳入有序化、系统化、规范化、全面化发展的新阶段。4.数字档案信息安全标准规范体系建设要积极地吸收国外成功的经验做法,注意和国际接轨。我们不仅要积极主动地采用国际标准,转化国际标准,更重要的是还应该有计划、有重点地参与到数字档案信息安全标准的起草中。同时,应该加大对国际标准的研究力度,凡是有利于提高我国数字档案信息安全标准质量、保护国家利益的标准都应该加速促使其为我国的数字档案信息安全标准化服务。我国数字档案信息安全保障体系建设是档案信息化推进过程中一个很重要的问题,涉及到档案信息化各个环节,是一项复杂的系统工程。标准体系建设问题更是档案信息化建设基础中的基础问题。只有建立全面、系统、先进的数字档案信息安全标准体系,才能最大限度地对数字档案信息资源进行保护,避免标准保障成为数字档案信息安全保障体系建设的“阿喀琉斯之踵。”
作者:李从卫 魏丽维 单位:中国兵器工业第208研究所 中国舰船研究院
