软件档案信息安全保障体系建设的思考

软件档案信息安全保障体系建设的思考

魏涛

深圳市夏尔科技有限公司广东深圳518000

摘要:档案安全保障体系建设是档案事业科学发展的重点内容，也是我国信息资源的重要组成部分。文章首先对档案安全保障进行了简要的概述，重点分析了影响软件档案安全保障体系的因素，并在此基础上对软件档案信息安全保障体系建设进行了探讨，旨在为实现我国软件档案管理系统化、规范化、科学化发展探索新途径。

关键词：软件档案；信息化；档案安全；安全体系；管理建设

档案信息资源是我国信息资源的重要组成部分，在经济建设、政治建设和社会建设中发挥着越来越重要的作用。但是，随着档案信息化建设的不断推进,档案信息系统规模不断扩大,系统结构更加复杂,档案信息安全问题日益突出。因此,从理论和实践层面对软件档案安全保障体系构建问题进行全面总结和深入研究，进一步提升档案部门的档案安全保障能力，成为了软件档案工作者面临的一个重要课题。

1、概述

所谓安全保障，就是发生安全事故的概率为零。软件档案安全保障是确保使用的软件在其整个生命周期内，为维持初始功能以及不断修正错误、提高性能所展开的一切活动的总和。软件档案安全保障体系则是以软件档案为中心，将与之相关联的人或事物按照一定的规则或秩序组合而成的一个整体，包含如何防御、如何应急、如何处置等多个方面的多个原则，其主要因素分为环境因素、制度因素与人为因素三部分。只有对这三个方面存在的因素风险进行详细分析，才能以最合理、最有效、最经济的方法建立有针对性的安全保障体系，以保证软件档案的安全，发挥软件档案的作用。

2、影响软件档案安全保障体系的因素分析

2.1环境因素

根据实际情况并结合相关政策及管理制度，建议对软件档案的管理采用离线与在线两种模式，因此现阶段的软件档案安全包含了线上、线下两部分数据安全方面的内容。从长远发展考虑，对软件档案的管理则更倾向于在线管理模式。若要便捷、高效、安全地在线管理软件档案，就必须借助于合适的应用管理系统。首先，XXX管理系统必须具备严密的安全管理体系和权限管理体系，能够从事前、事中、事后多个角度积极防范，以保证软件档案在整个生命周期的安全性。其次，系统应具备完整的“三员管理”安全设计；实现严格的系统访问权限控制，包括系统功能权限和数据查询权限，对数据访问权限的控制应达到条目级、模块级、字段级，防止越权操作；对软件数据的采集、存储、处理、传递、使用和销毁均应按照国家有关保密规定进行；对用户登录采取口令认证机制，为不同的用户和角色定制和分配不同的权限，细分到具体操作如上传、审核、浏览、下载级别，并设置权限的时效性、区域性；系统可以自动生成工作日志和用户访问记录，能够事后统计和追查用户的访问及操作。再次，系统还应有完善的数据和程序层面的安全机制，确保在网络或电脑出现异常的情况下业务数据不会出错；具有完善的备份和恢复机制，能够进行数据备份及恢复，支持磁带库备份、双机热备，保证系统在单台设备出现故障时能不中断业务服务；并能对存储介质空间进行预警，即当存储空间即将不足时以系统内消息、邮件、短信等方式提醒系统管理员，并能记录系统管理员对系统进行的变更操作。

2.2制度因素

制度因素是软件档案安全保障体系的基础。目前我国各种产品软件普遍存在可维护性差、可保障性差、可靠性低的现象，因此需尽快建立健全各种相关制度，规范人员的各类相关操作，以保障软件档案在整个生命周期中的正确性、完整性、可控性和可追溯性。在GJB5000A标准的指导下，结合自身管理特点，可以循序渐进地编制《软件编程规范》、《软件文档编制规范》、《软件测试指南》、《变更控制规程》、《配置项命名规范》、《数据管理指南》、《软件档案库管理规范》、《软件档案管理制度》等相关规范和制度。在上述文件的指导下，既可以规范软件的数学模型、规则、计算公式、参数名称、符号、编程语言，又能统一软件的开发工具、测试工具，以及与之相适应的环境要求，并将软件不能预计出现的问题最小化。在以增强软件的重用性和可移植性为目的的前提下，适时将某些常用的、功能相同或相近的软件档案固化成通用件形式。通过对软件档案的物理配置、功能配置等进行审核，以确认软件配置项的命名、标示、版本是否正确，是否通过病毒检查，与《受控库入库申请单》的描述、管理计划是否一致，变更是否遵循变更控制规程程序等。在项目执行过程中，将各个阶段形成的早期项目计划、项目生命周期、项目进度表、数据管理计划、分析与测量计划、利益相关方参与计划等全部纳入软件产品库，并提出软件维护与保障的评价准则与具体实施的评价细则，对软件档案从入库、访问、出库到存储、维护、更改、发行等活动实施有效的管理和监督，以确保软件档案与产品之间的一致性、准确性。

2.3人为因素

信息社会“以人为本”的管理模式促使各主体单位都加强了对人才的重视与培养，在一系列管理过程中亟需建立一套专业化的职业操守、保密意识教育、技能培训、实践和安全等综合计划，以确认和认可各个岗位的人员。上述综合计划中所提及的内容，既要重视员工的技术、技能、协作培训，更要重视员工的职业操守、保密意识等有关思想方面的教育。随着社会主义市场经济的深入发展和信息化建设的快速推进，保密管理的对象、方式、手段均发生了深刻变化，泄密风险、渠道和隐患明显增多，涉密人员、载体、业务和活动管理难度明显加大，窃密、泄密事件时有发生，给国家安全和利益造成了严重危害。而企事业单位员工是商业秘密产生、流转、使用、复制、保存的特殊“载体”，是商业秘密泄露最主要的风险源，因此必须加强关键岗位员工的入职管理，注重在职员工的过程管理，对离职员工实行契约约束。同时，为降低在职员工泄密风险，企事业单位人力资源部门和业务部门要统筹协调，建立科学的员工管理机制，对关键岗位员工实行全过程管理，明确岗位职责，签订保密协议，加强行为审计和考核监督，将商业秘密知悉范围控制到最小。

3、结束语

总之，加强档案安全保障体系建设,是推动档案管理机制创新、有效提升档案管理水平的重要途径之一，同时也是一项长期而艰巨的工程，涉及意识、管理、技术、法律、制度、人员等各个方面。要建立档案安全保障体系,这就要求档案部门必须以科学发展观统领档案工作，分析、把握影响软件档案安全保障体系的因素，在各级领导的大力重视支持下，不懈努力，在适应新形势、应对新挑战的过程中不断得到充实和完善，消除档案管理活动中的安全隐患，为国家档案信息资源的完整安全和长久传承提供坚强保障。

参考文献：

[1]张美芳，王良城.档案安全保障体系建设研究[J].档案学研究,2010(1):62-65

[2]李宝玲，崔海燕.档案安全保障体系建设内容研究[J].湖北档案,2013(5):13-16