檔案作為原始的社會歷史記錄，記載著許多國家、集體、個人重要的秘密。檔案信息中凡涉及國家秘密、商業秘密、工作秘密、個人隱私和其他法律規定不得公開的信息都屬于保密范圍，我們應積極構建涉密檔案安全保密體系，確保這些保密檔案不丟失、不泄密、不超范圍擴散。

一、法律法規制度層面

    在我國推進依法治國的進程中，建立一個健康有序的社會環境離不開法律的規范和約束。法律的強制性可以有效保障國家的健康環境，同樣，信息安全保密法律法規可以使非法分子懾于法律的威力不敢輕舉妄動，可有效保護信息安全。

    1．制定安全保密制度。依據實際情況制定切實可行的安全保密制度，制定每一項法律規章制度時都要看其是否反映了當時的信息網絡化環境和多層次、多角度的政策需求的實際，是否符合國家在特定時期內的發展戰略。保密工作是一項綜合管理行為，在眾多因素中任何一個環節上出現問題都有可能造成泄密，國家、地方、部門的法律法規只有和各個機關單位實際情況結合起來才能夠真正發揮效用，因此，依據國家的相關法律法規、規章，制定符合本單位實際情況的安全保密制度尤為重要。

    2．完善安全保密法律法規。目前，我國安全保密法規與規章的建設還沒有形成一個完整的體系，各法律、法規之間的分工、協調仍未得到有效的解決，有關計算機與網絡安全保密問題的規定不全，存在著法律的空白；對于相同的問題，法規與規章有不同的規定；如何選擇使用亦沒有具體規定等現象。這些問題對應用法律規章來進行信息網絡安全管理有很大的約束性。因此，就計算機與網絡安全保密問題構建完善的法規、規章體系是十分必要的，檔案法律規章之間要有協調一致性。只有這樣，才能做到有法可依、有章可循。

    3．加強安全保密宣傳。提高安全保密意識，增強人們的法制觀念，對于我國檔案事業的健康有序發展是十分必要的。保護國家秘密是每個公民應盡的義務，國家應加強對公民的安全保密法制教育，讓公民了解信息安全保密的重要性以及哪些是違反法律規定的行為等。

二、道德層面

    法律與道德在社會良性發展中不可或缺。法律法規得以實施，除了需要國家強制力的保障外，也需要優良的道德氛圍來維護；一定的道德規范也只有在特定的法律規范的保障下才能發揚光大。道德是社會中被人們普遍認同并推崇的基本的行為準則與規范，它的實現不是靠法律法規等強制力，而是靠人民的共同遵守與輿論評判所形成的團體壓力。

    1．檔案工作者職業道德。每一種社會職業都會形成特定的職業道德準則和行為規范。檔案職業道德是指檔案工作者在從事檔案行政、檔案保管和利用服務等職能活動中，應當遵守的基本行為準則。檔案工作者有良好的職業素質才能有效保證檔案保密工作的有效實行。

    (1)檔案職業道德規范。檔案職業道德規范的內容主要包括：忠于職守，愛崗敬業；遵紀守法，嚴守機密；博學求進，公正服務。檔案工作者應當把對事業的熱情傾注于檔案工作的各個環節，傾注于維護人類社會歷史記憶的真實性、可靠性與連續性，堅決同危害檔案安全的行為作斗爭，維護國家、集體的利益，最大限度的發揮檔案的社會文化作用。

    (2)檔案職業道德修養。檔案職業道德修養的基本任務，就是要使檔案職業道德的原則和規范內容內化為檔案工作者的內心情感和信念，并付諸于檔案管理實踐。主要包括檔案職業道德理想、職業道德義務、職業道德情感、職業道德行為、職業態度、職業良心、職業榮譽和職業尊嚴。檔案工作者只有切實加強自身的職業道德修養，才能使自己的職業行為符合檔案職業道德的要求，將應該遵循的規范內化為自覺自愿、自然而然的行為，履行好自己的職業使命，為社會做出應有的貢獻。

    2．公民道德。我國有五千年的悠久歷史文化，形成了中華民族優良的道德傳統。現代的思想道德是在批判繼承的基礎上對歷史上思想道德的推陳出新、與時俱進，是繼承優良傳統與弘揚時代精神的有機結合，是繼承與創新的統一。維護信息安全，國家公民也發揮著不可或缺的重要作用，所以公民應該具備良好的道德素質。其中的正義，包含“見利思義”、“見得思義”、“見義勇為”等思想，具有堅持人格尊嚴、實現個人價值的意義；孝慈，古今都視孝慈為仁、義的根本，一個人如果不能對自己的父母盡“孝”，也絕對不可能對國家盡“忠”；誠信，“人無信不立，政無信不威”，誠在于仁，信近乎義；知恥，即“不從枉”、“羞為非”的善惡之心，要求人們做事要守仁行義，謹言慎行，辨之榮辱。愛祖國、愛人民、愛勞動、愛科學、愛社會主義，是被中國社會公開承認的起碼的道德規則、規范。在社會主義建設環境中，我們應加強以為人民服務為中心的公民道德建設，提倡為人民服務的精神，提倡尊重人、理解人、關心人，發揚社會主義人道主義精神，熱愛人民，熱心公益，扶貧幫困，為人民多做好事，反對和抵制拜金主義、享樂主義和極端個人主義。同時，還要把外在規范制度的落實與內在道德素質的境界的提高結合起來。

三、安全管理層面

    1．安全管理措施。

    (1)內部專員管理。確保內部專門人員進行電子信息檔案的管理。第一，電子信息檔案應有專門的管理團隊。同時，應明確相關人員職責，相互制約監督。第二，培養檔案信息人才。學習以現代信息技術為重點的高科技知識，定期對檔案工作人員進行技術培訓，進行技術掃盲，掌握新的信息技術并把新技術有效應用到電子信息檔案管理工作當中，成為新型、復合型人才。第三，接觸國家和單位秘密信息的人員必須經過人事檔案管理部門的審查，以確定能否錄用。錄用時還需確定可以接觸到哪一類秘密信息，對已錄用的人員還要定期進行在職考察。

    (2)特設工作地點。要有專門進行電子信息檔案管理的工作地點，不得與其他工作地點混合使用，如有需要，應在物理環境上進行有效的選擇設計。如進行電子檔案管理的計算機房不應選在交通繁忙和人多擁擠的鬧市，要遠離使館或其它外國駐華機構的所在地，要便于警衛和巡邏，要與外部人員頻繁出入的場所隔離，機房周圍應有圍墻或柵欄等防止非法進入的設施，建筑物周圍應有足夠照明度的照明設施，無人值守的地方應設置報警設備，機房內部設計應有利于出入控制和分區控制等。

    (3)劃分保密等級。正確劃分保密信息，對不同密級的電子信息應采取不同的管理方式。首先應按照法律法規和其他有關規章的規定確定哪些可以公開，哪些應該保密。確定信息上網的范圍，對不可公開的秘密信息應采取多種技術措施以確保其安全保密性。

    2．安全保密技術。安全保密技術是安全保密工作的一項重要內容和重要手段，是信息安全保密的根本保障，在構建保密體系的過程中，技術占據重要的位置。具體來講，在技術層次的安全保密工作主要從以下幾個方面人手：

    (1)信息數據本身安全保密。信息層次的安全保密問題主要利用加密技術。加密是通過對信息的重新組合，使得只有收發雙方才能解碼還原信息。數據加密技術可以分為單密鑰加密、雙密鑰加密。單密鑰即對稱型加密。使用單個密鑰對數據進行加密或解密，其特點是計算量小、加密效率高。但是此類算法在分布式系統上使用較為困難，主要是密鑰管理困難，從而使用成本較高，保密性能也不易保證。雙密鑰即不對稱型加密。也稱公用密鑰算法，其特點是有兩個密鑰(即公用密鑰和私有密鑰)，只有兩者搭配使用才能完成加密和解密的全過程。由于不對稱算法擁有兩個密鑰，特別適用于分布式系統中的數據加密，在互聯網中得到廣泛應用。其中，公用密鑰在網上公布，為數據對數據加密使用，而用于解密的相應私有密鑰則由數據的接收方妥善保管。

    (2)防止電磁輻射泄漏。防止電磁輻射泄露主要采取的技術方法有：①干擾技術。使用相關干擾器發出能自動跟蹤計算機電磁輻射信號的相關干擾信號，使電磁輻射信號被擾亂或將電磁輻射信號掩蓋，起到加密效果，使接收方接收到電磁輻射信號也無法解調出信號所攜帶的真實信息。這種方法經濟、方便，適用于處理較低密級信息的系統。②屏蔽技術。使用導電性能良好的金屬網或金屬板造成六個面的屏蔽室或屏蔽籠，將產生電磁輻射的計算機設備包圍起來，并且良好地抑制和阻擋電磁波在空中傳播。由于屏蔽室造價相當高，因而較為適用于一些保密等級要求較高、較重要的大型計算機設備放置的場合，如國家情報機構的計算中心等。③專網技術。專網技術就是將一些重要的或涉密程度高的有線傳輸設備使用專用線路連接的技術，這是一種對付搭線竊聽、防止串音泄密較為有效的技術。在專網技術中，采用地下電纜或光纖電纜可較好地實現安全保密。尤其是光纖電纜，根本上不存在電磁輻射問題，也很難進行搭線接收。因此，在安全保密要求較高的系統傳輸中，應盡可能地采用光纜傳輸的方式。

    3．網絡層次技術保障。網絡層次的技術保障主要是采用網絡分段、建立訪問控制系統，進行網絡安全檢測、審計跟蹤。①網絡分段。網絡分段是將非法用戶與網絡資源相互隔離，從而達到限制用戶非法訪問的目的。網絡分段可分為物理分段和邏輯分段兩種方式：物理分段通常是指將網絡從物理層和數據鏈路層上分為若干網段，各網段相互之間無法進行直接通訊；邏輯分段則是指將整個系統在網絡層上進行分段。②內外網隔離。對于涉密程度較高的信息系統建設，可在本單位內部局域網基礎上再建獨立存在的核心網。涉密信息集中在核心網上，只有領導和涉密較多的處室才能上核心網，核心網與單位局域網完全物理分開，兩網之間由一臺有雙網卡的微機進行數據有條件交換。對外統一由局域網網絡中心負責連接，這樣的網絡結構可有效地防止核心網被非法入侵而造成泄密。③訪問控制系統。采取入網訪問控制、網絡權限控制等方式，以保證網絡資源不被非法使用和非法訪問。入網訪問控制，控制能夠登錄到服務器并獲取網絡資源的用戶，同時也控制準許用戶入網的時間和準許他們從哪臺工作站入網。網絡權限控制是針對網絡非法操作提出的一種安全保護措施，用戶和用戶組被賦予一定的權限，具體可利用身份鑒別技術，包括口令驗證、通行證驗證和人類特征驗證等。④網絡安全監測。網絡安全監測，是利用網絡安全檢測工具，掃描分析網絡系統，檢查報告系統存在的弱點和漏洞，建議補救措施和安全策略，達到增強網絡安全性的目的。⑤審計跟蹤。審計跟蹤是一種事后追查手段，它對涉及計算機系統安全保密的操作進行完整的記錄，以便事后能有效地追查事件發生的用戶、時間、地點和過程。審計是記錄用戶使用計算機網絡系統進行所有活動的過程；跟蹤是對發現的侵犯行為實時監控，掌握有力證據，及時阻斷攻擊的行動。這是提高系統安全保密性的重要工作。對涉密程度高的系統，系統日志應該能夠自動檢測并記錄侵犯系統安全保密的事件，并能夠及時自動告警。

    總之，檔案保密工作是一項涉及國家安全利益的重要工作，而網絡環境下涉密檔案的保密工作尚面臨著一系列的問題。我們通過分析涉密檔案的內容、網絡環境下容易泄密的工作環節以及采取哪些技術管理措施來對檔案進行保密管理等問題，以便對網絡環境下的涉密檔案的保密工作有進一步的了解，進而應對未來新挑戰。 

核心關注：拓步ERP系統平臺是覆蓋了眾多的業務領域、行業應用，蘊涵了豐富的ERP管理思想，集成了ERP軟件業務管理理念，功能涉及供應鏈、成本、制造、CRM、HR等眾多業務領域的管理，全面涵蓋了企業關注ERP管理系統的核心領域，是眾多中小企業信息化建設首選的ERP管理軟件信賴品牌。

轉載請注明出處：拓步ERP資訊網http://www.guhuozai8.cn/

本文標題：網絡環境下涉秘檔案安全保密體系的構建

本文網址：http://www.guhuozai8.cn/html/consultation/1083952558.html