试析港口企业电子文件信息的安全管理

彭砚

随着互联网时代的来临，计算机、网络技术以及智能手机的普及，电子文件大批产生，并且在改善工作质量和提升工作效率上扮演着重要角色，港口企业工作中产生的电子文件更是关系重大，电子文件不单是包含个人隐私，各部门核心职能，还与港口企业的利益息息相关，有些还会关系到国家安全。2014年，中共中央办公厅、國务院办公厅联合印发了《关于加强和改进新形势下档案工作的意见》，其中明确提出“确保档案部门实现对电子文件形成、积累和归档的全程监督指导”，国家相关文件的出台，为我们做好港口企业电子文件信息安全管理提供了依据，同时在如今国有企业全面深化改革的背景下，加强港口企业电子文件信息安全的管理，保存好互联网时代企业生产和经营活动的真实记录，已经成为港口档案工作者的紧要任务。

一、电子文件信息安全管理的概述

1. 电子文件的概念及来源

国家档案局制定的《电子文件归档与电子档案管理办法》中电子文件的概念是，“能被计算机系统识别、处理、按一定格式存储在磁带、磁盘或光盘等介质上，并可在同上传送的数字代码序列。”

电子文件来源于两个方面：一是职能部门自身创建的；二是从工作网络上采集的。一方面，职能部门工作中直接产生的电子文件，文件创建者直接保存和使用，主要是原生性电子文件，以及数据转换来的电子文件这两类。另一方面，不是由职能部门直接产生的电子文件，而是在工作网络（内网或外网）上由职能部门收集下来的，这部分电子文件正常是在部门间的业务交流、单位之间的业务往来中形成的，职能部门为了工作需要而将其下载下来为日常工作所用。

2. 电子文件信息安全管理的内涵

国际标准化组织2005年发布了《ISO/IEC17799：2005 信息安全管理实践准则》，其中是这样概括电子文件信息安全的内涵：

第一，安全性。确保电子文件信息仅可让获取授权的人访问；

第二，完整性。电子文件信息的保护和处理方法的准确和完善；

第三，可用性。确保授权人需要时可以获取电子文件信息。

我们知道管理学原理中的要素包括：管理者（主体）、管理对象、管理职能的实施、管理目标。因而，电子文件信息安全管理就是：电子文件的创建者和权限使用人在系统管理员对网络安全的保障中，对电子文件生命周期中的风险点进行整体的预防和把控，达到电子文件信息的完整、安全、可用的目的。

3. 电子文件的特点

电子文件的产生极大地促进了我们的工作效率，它的特点也是显而易见的，电子文件存在对软硬件设备和元数据的依赖性、信息与载体的可分离性、易修改性、类型和格式的多样性等特点，这些特性决定了电子文件安全管理模式的不同。

二、港口企业电子文件信息安全管理的管理模式及其问题

信息化建设推动了电子计算机深入应用，原本以纸质载体形式保存的各种数据信息，渐渐替换为电子格式的信息保存，由此产生了大量的电子文件。因此，怎样对港口企业机关中形成的电子文件进行系统、有效的安全管理，怎么解决港口企业电子文件信息管理中出现的问题，是我们港口企业档案工作者面临的一个新的挑战。

1. 港口企业电子文件信息安全的管理模式

1.1 完全采用纸质档案的管理模式

港口企业现在基本采取的是“双套制”，所谓双套制管理，是在电子文件形成之初制作纸质版本，流程完成后连同电子文件统一归档到档案部门，或者以信息技术部门为归口，实现对电子文件在技术层面上的有效管理。在制定归档制度时，由档案部门进行业务指导、监督。双套制归档储存了同一份文件的电子版和纸质版，丰富了利用方式，提高了利用效率。

1.2 文件产生、运转过程中电子版和纸质版同步流转，是所谓的双轨制的实施，也就是说机构在文件开始流转过程时，就形成电子版和纸质版，两种版本同时处理和归档，可见，双套归档大多是双轨制运转的结果。

1.3 全部在线归档

为顺应办公自动化的要求，电子文件与纸质文件使用同一系统，统一在相同的计算机管理软件中，实现在计算机网络上“无纸化”的逻辑归档，从而对电子文件实施在线管理。

1.4 实行文件、档案一体化管理

将电子文件、电子档案融为一个管理系统，使办公自动化与档案现代化系统有效衔接，在工作中对档案信息的数据进行处理，实现对电子文件形成的前端控制，以及文件生命周期的全面管理。

在现阶段，港口企业办公自动化系统中电子文件的管理一般采用第一种和第二种管理模式，有些部门如集团办公室等，已实行第三种模式，基本实现无纸状态。但对电子文件形成与归档全程管理的系统开发的很少且功能还不完善，同时由于管理理念及制度等方面的原因，对电子文件实行文档一体化还需要一段时间的探索和研究。

2. 港口企业电子文件管理中存在的问题

2.1电子文件管理缺乏延续性

由于电子文件相关管理制度不够完善，造成电子文件的保存处于自然形成状态，谁起草就由谁负责保存。由于体制改革，员工工作调整，计算机更新换代等因素，致使电子文件数据大量分散和丢失。因此，分散保存不利于电子文件的收集和归档。

2.2电子文件的应用缺乏共享机制

在实际工作中，虽然目前的办公系统已趋于成熟，因为资源共享意识不足，档案信息没有得到充分共享，影响了工作效率与质量。

2.3电子档案的储存格式缺乏统一性

因为使用不同的软件，各种类型的电子文件的制作和存储形式也不同。导致数据不能兼容和整合，影响了电子档案的统一管理。据部分上交电子文件单位的抽样统计：共使用了WPS、DOC、TXT、ZIP等 4种文件格式。其中WPS和DOC以最多，二者合计达到了80%以上。

2.4硬件设备的更新维护不及时

计算机升级、换代、更新迅速，科技进步对电子档案的保存和利用而言，也存在弊端，因为电子文件在当初形成时所依附的软硬件设备很快就被替换和更新了。因此，必须重新把电子档案的数据备份到新的技术环境中，才能不被淘汰。或者，必须对其所依附的元数据、软硬件设备、计算机操作系统等加以保存，或采取特殊方法对原有的电子文件格式加以转换，才能预防新技术不能处理过时数据格式的情况发生。

2.5电子文件的信息安全问题

电子文件的安全和保密，是电子文件管理工作中的重中之重，它是保证企业正常经营管理，保障企业合法权益不受侵害，推动企业发展战略顺利实施的重要因素。要积极采取保障电子文件信息数据库安全的方式，如配置杀毒软件，定期升级查杀系统，设置密码、密钥、防火墙、身份验证、防写保护等，以确保电子档案的安全和保密。

2.6档案专业技术人员业务能力有待提高

随着电子档案在档案工作中的不断涌现和应用，档案管理人员不仅要秉承踏实的工作态度，还要通过不断学习提高档案业务素质，杜绝因操作失误而造成数据遗失，杜绝因安全保密以及法律意识薄弱致使档案信息泄露。因此，要加强对档案专业技术人员的计算机培训和应用，更新电子档案管理的基本知识和操作技能，提升业务能力，同时为培养这方面的人才做准备。

三、港口企业电子文件信息安全管理的原则及措施

1. 港口企业电子文件信息安全管理的原则

根据国际标准 BS7799中有关信息安全管理的阐释，可采取以下几个管理原则对电子文件进行安全管理：

1.1 来源原则

电子文档的源信息，即背景信息，在电子文档的维护中具有不可替代的作用。并且，来源原则在电子文件检索系统设计上的指导作用依然不容忽视。

1.2 制定电子文件信息安全方针的原则

电子文件信息安全方针即电子文件信息安全策略。它对电子文件信息的安全管理起着导向和支撑的作用。信息安全方针应表达出管理层的许诺，明确电子文件信息安全管理的方法，管理层审议通过后，采取下发文件，组织内部培训等形式将方针在公司传达开来。同时，要定期进行内部审查和评价，根据评价结果来保持或调整原有方针。

1.3 预防控制为主的思想原则

在电子文件信息安全管理中，要坚持防患于未然，预防控制为主，最大程度降低损失。

1.4动态管理原则

随着时间的推移，电子文件信息的商业环境可能会改变，产生新的威胁和漏洞，新的法律法规相关的信息安全也可能被引入，也就是说风险点可能随时改变。所以，我们在在电子文件信息的风险管理过程中尽可能把风险控制在可接受的程度，但这不是意味着风险评价工作可以因而停止，我们要施行动态的风险评估与风险控制。

1.5全员参与的原则

港口企业电子文件信息安全并不是只与关键人员相关，它与全员有关。因此，全员应参与安全管理，每个岗位上都要承担相应的安全管理职责。

2. 港口企业电子文件信息安全管理的措施

电子文件与纸质文件不同，它们存储空间大、传递快捷、便于共享等特征提高了办公效率，但是我们也必须考虑到电子文件的保密性、电子文件的安全性等隐患问题。

2.1电子文件安全存储方式

目前，存储电子文件的方式是基于分布式存储，每个终端（用户使用的计算机）存储相关的电子文件。如果某个终端出现问题，不但这个终端存储的电子文件会遭到丢失，还可能网络的终端都受到感染和损坏。要改革存储模式，有以下三个选项：

一是无盘工作站方式。各终端不配置硬盘，电子文件以及处理电子文件所需的应用软件所有都存储在服务器中，终端用户的一切工作环节都将在服务器上进行处理。这种方式的优点是只要做好服务器的相关安全处理，就能够保证电子文件的信息安全，缺点是对服务器的硬件和软件要求比较高。

二是无密工作站方式。终端配置硬盘，但未存储，这部分涉密电子文件存储在服务器上。这种方式的优点是减轻了第一种方式对服务器的要求，但缺点是用户在服务器上处理电子文件的同时可能会被终端上的计算机病毒所感染，同时造成信息的泄露。

三是即插即用。涉密电子文件存储在移动硬盘里，如USB移动存储器。当用户处理电子文件时，将移动存储器插入计算机中，当未处理电子文件时，移动存储器被拉出，用户可以保存便携式存储器。这种方式是目前比较常用的一种方式，相对于前两种较实用。它的缺点主要是解决好移动存储器上的病毒问题，要定时查杀移动存储器上是否有病毒存在，以保证移动存储器上的文件信息的绝对安全。

以上电子文件存储方式各有优缺点，可交替使用，同时我们要树立保密意识，养成良好工作习惯，如定时更新杀毒软件，经常查杀病毒，及时备份电子文件，才能使我们的电子文件信息得到安全保障。

2.2 完善网络系统安全措施

虽然电子文件可以利用网络实现信息共享，但安全风险不容忽视，计算机网络系统过于庞大和复杂，存在诸多缺陷，黑客可以很容易地攻擊网络，其不安全性已阻碍了其发展。因此，要特别注重内外网隔离、身份认证、提升能力等。

一是隔离，就是内外网的物理隔离，禁止内网与外网进行直接或间接的物理连接。两层认证，一是每个终端必须设置密码开机，用户知道密码就有权使用终端。二是用户进入终端后，还需要进行身份认证，以确定用户有权限通过办公网络处理电子文件。三是提升能力，首先病毒防护能力。服务器和全部终端，必须安装正版杀毒软件，对服务器和终端实时扫描和病毒查杀，防止病毒和木马入侵网络系统。其次是预警监测能力。时时寻找具有网络攻击的特点和网络安全策略的违规行为，及时报警，断绝非法网络行为。然后是应急处置能力。制定相应的应急方案，定期完善应急机制，提高预警和容灾能力，确保计算机网络系统持续安全稳定运行。

2.3严格控制电子文件使用权限

虽然电子文档资源共享是办公自动化的关键要素之一，但从安全的角度来看，电子文件在网络中不能允许所有用户都可以访问，需要对网络中的用户权限进行分级控制。控制用户权限的方法有：

首先是在网络层设置IP地址，才能允许用户访问服务器或终端。

其次把所有秘密电子文件存放在网络指定区域内，网络区域只能接入有授权的用户，未经授权的用户无法进入。

其三对秘密文件本身进行加密，将密码分配给用户，未经授权的用户无法打开文件。

四是防火墙技术这也是一种访问控制技术，它是一道网络和外部世界的屏障，可以防止非法获取信息资源，也可以阻止涉密信息、专利信息从网络上非法输出。

五是防写措施。当前，在操作软件中可以设置文件“只读”， 只读文件是用户只能从计算机读取信息，并且不能修改。这种方法可有效防止窜改电子文件内容，保证原始性和真实性。

四、结语

综上所述，港口企业现阶段在电子文件的应用上作出了很大的努力，现代化管理水平也在逐步地提高，但在电子文件信息安全管理方面应当继续学习、借鉴其他企业的先进经验，同时结合港口企业自身特点，探索符合企业实际情况的发展道路。

（作者单位：四川省疾病预防控制中心）