依據(jù)風(fēng)險(xiǎn)管理和文檔生命周期理論，根據(jù)檔案信息利用過程中的安全保護(hù)原則，我們認(rèn)為，應(yīng)當(dāng)將檔案信息利用安全的功能擴(kuò)展到收集整理、存儲傳輸?shù)阮I(lǐng)域，從前端把控好權(quán)限和數(shù)據(jù)的分類，從而整體上推動檔案信息利用的安全。另外，由于系統(tǒng)調(diào)閱過程涉及到的功能點(diǎn)較多，我們將一部分功能與離線利用合并，歸于信息公布功能，因此，最終將檔案信息利用安全的功能大致分為收集整理、存儲傳輸、查詢利用、信息公布、對外發(fā)布等方面。同時(shí)，在每個(gè)具體的過程中，通過事前、事中、事后的功能需求分析，圍繞安全保護(hù)目標(biāo)，從整體上系統(tǒng)設(shè)計(jì)各級國家綜合檔案館電子文件與電子檔案管理系統(tǒng)在檔案信息利用過程中安全保護(hù)的功能需求方案。其中：事前防范主要是指通過安全策略的設(shè)定，事先防范安全風(fēng)險(xiǎn)。事中控制主要是指通過對操作過程的控制以及對其中檔案信息的控制來實(shí)現(xiàn)過程中風(fēng)險(xiǎn)的規(guī)避、發(fā)現(xiàn)和告警。事后審計(jì)主要是指在檔案信息利用過程中發(fā)生的所有行為，包括用戶行為、設(shè)備行為以及網(wǎng)絡(luò)行為等，進(jìn)行審計(jì)跟蹤，做到事后可以追溯。

1 收集整理

我們把檔案信息收集整理納入研究的范疇，一則是由于在收集整

理中也涉及到檔案信息的利用，如在數(shù)字化加工中對原有檔案目錄數(shù)據(jù)的使用；二則是從全生命周期來看，如果在收集整理時(shí)沒有做好相應(yīng)的分類，捕獲必要的元數(shù)據(jù)等，就會對后面的檔案信息利用過程中的安全帶來風(fēng)險(xiǎn)隱患，因此我們在這里簡要地論述下收集整理方面的功能需求。

收集，一般包括電子檔案接收和傳統(tǒng)載體檔案數(shù)字化轉(zhuǎn)換這兩個(gè)方面，其他的收集渠道雖然五花八門，但最終也要通過這兩個(gè)步驟才能進(jìn)入系統(tǒng)。整理，這里我們特指與收集相關(guān)的對檔案數(shù)據(jù)的整理。因此我們分別概述需求如下：

1.1 電子檔案接收

在電子檔案接收流程中，各級國家綜合檔案館要對電子檔案進(jìn)行解密、解壓縮、驗(yàn)證簽名等，經(jīng)檢驗(yàn)合格的電子檔案才能入庫。這個(gè)檢驗(yàn)的過程非常關(guān)鍵，目前一般強(qiáng)調(diào)電子檔案數(shù)據(jù)的準(zhǔn)確性、完整性、可用性、安全性四性檢驗(yàn)。通過四性檢驗(yàn)，既避免了有病毒或木馬的檔案數(shù)據(jù)進(jìn)入系統(tǒng)，同時(shí)保證了檔案數(shù)據(jù)的準(zhǔn)確、完整和規(guī)范，便于下一步進(jìn)行數(shù)據(jù)權(quán)限的管控。四性檢驗(yàn)不合格的電子檔案數(shù)據(jù)要及時(shí)退回到形成單位，并附上相應(yīng)表單，標(biāo)記所缺要件或不符合接收規(guī)范的原因等。
除了四性檢驗(yàn)外，為保證電子檔案的安全，從需求上來說，在電子檔案接收中還應(yīng)當(dāng)做到以下幾點(diǎn)：

（1）事前，應(yīng)啟用訪問控制功能，依據(jù)安全策略控制檔案用戶對資源的訪問，僅授予用戶所需的最小權(quán)限；應(yīng)當(dāng)采用有效的身份認(rèn)證技術(shù)，防抵賴、可追蹤；減少檔案用戶在接收過程中的不必要操作，避免因誤操作帶來的風(fēng)險(xiǎn)。

（2）事中，應(yīng)建立安全的傳輸通道，對傳輸內(nèi)容進(jìn)行加密。當(dāng)電子檔案遷移時(shí)需要保證在傳輸中安全，避免被非法竊取或信息完整性被破壞。傳輸通道要采用加密協(xié)議，最好能指定點(diǎn)對點(diǎn)傳輸，在傳輸之前，先確定對方的身份，同時(shí)保證傳輸?shù)倪^程不被竊取、篡改，或者被竊取后的文件是不可解密的；應(yīng)實(shí)現(xiàn)對檔案信息存儲空間的安全防護(hù)，避免非法入侵和篡改數(shù)據(jù)，或者數(shù)據(jù)由于硬件問題而損毀、丟失。

（3）事后，要加強(qiáng)對電子檔案操作的審計(jì)，尤其要注意對電子檔案的四性檢測結(jié)果進(jìn)行審計(jì)，以保障檔案數(shù)據(jù)的安全和規(guī)范性。根據(jù)審計(jì)結(jié)果，各級國家綜合檔案館可以對各立檔單位和相關(guān)人員提出相應(yīng)的整改要求。

1.2 數(shù)字化轉(zhuǎn)換

目前，很多國家綜合檔案館在檔案數(shù)字化轉(zhuǎn)換時(shí)選擇服務(wù)外包的方式，在檔案數(shù)字化加工過程中可能涉及到較多的外部人員，在檔案掃描、圖像處理、數(shù)據(jù)質(zhì)檢、數(shù)據(jù)掛接、數(shù)據(jù)遷移、光盤備份等環(huán)節(jié)中都可能存在數(shù)據(jù)被拷走或被拍照的風(fēng)險(xiǎn)。如果缺乏對數(shù)字化過程中敏感和危險(xiǎn)操作的記錄和審計(jì)，數(shù)據(jù)被盜或泄密后也難以追查。

其次，檔案數(shù)字化過程并不是一個(gè)瞬時(shí)工作，而是需要一個(gè)較長時(shí)間的轉(zhuǎn)換過程，掃描后的數(shù)據(jù)文件會保存在掃描儀、圖像處理軟件等應(yīng)用軟件及設(shè)備中，同時(shí)加工后的檔案信息一般直接保存到文件服務(wù)器或以光盤、移動存儲介質(zhì)形式進(jìn)行備份存儲。這些存儲介質(zhì)如果缺乏應(yīng)有的管控，可能會檔案信息的損壞或丟失，并存在被非法拷貝的風(fēng)險(xiǎn)，都將帶來巨大的損失和外泄事件的發(fā)生。

因此，在檔案數(shù)字化加工過程中，各級國家綜合檔案館應(yīng)加強(qiáng)對檔案信息的安全保護(hù)：

（1）事前，應(yīng)建立完整、嚴(yán)格的數(shù)字化安全管理制度，并設(shè)計(jì)一整套統(tǒng)一的針對數(shù)字化加工的認(rèn)證體系，任何人未經(jīng)認(rèn)證無法登陸和訪問檔案信息。

（2）事中，對數(shù)字化加工的各個(gè)環(huán)節(jié)分配不同的權(quán)限，每個(gè)賬號只能由本人使用，嚴(yán)禁串用。同時(shí)，加強(qiáng)對數(shù)字化人員、場地和設(shè)

備的管控，不允許任何人員帶入手機(jī)、計(jì)算機(jī)、U 盤和數(shù)碼相機(jī)等。只允許人員采用專用的、已標(biāo)識過的設(shè)備，并對存儲輸入和輸出口 r（USB、串口、紅外、Wifi 等）進(jìn)行管控。建立數(shù)字化加工設(shè)備臺賬，嚴(yán)格落實(shí)登記制度，如設(shè)備損壞或報(bào)廢，應(yīng)由專門人員進(jìn)行處理。數(shù)字化加工網(wǎng)絡(luò)應(yīng)單獨(dú)建設(shè)，與檔案館的其他網(wǎng)絡(luò)物理隔離。

（3）事后，對整個(gè)數(shù)字化過程中的敏感和危險(xiǎn)操作記錄進(jìn)行審計(jì)，便于監(jiān)控和追查。

（4）事中和事后，安排專人統(tǒng)一接收數(shù)字化加工完成的檔案數(shù)據(jù)，并設(shè)置相應(yīng)的數(shù)據(jù)備份措施，防止數(shù)字化加工成果丟失。

1.3 數(shù)據(jù)整理

檔案數(shù)據(jù)整理功能主要涉及事先的規(guī)則定義、事中的操作管控和事后的行為審計(jì)。在檔案數(shù)據(jù)整理環(huán)節(jié)，需要按照預(yù)先設(shè)定好的權(quán)限進(jìn)行，并且要經(jīng)過相應(yīng)的審批流程。同時(shí)，對檔案數(shù)據(jù)的整理，應(yīng)當(dāng)按照相應(yīng)的標(biāo)準(zhǔn)來進(jìn)行（如《檔案著錄規(guī)則》等），這點(diǎn)可以通過將標(biāo)準(zhǔn)內(nèi)嵌入檔案信息系統(tǒng)來實(shí)現(xiàn)，當(dāng)人工作出不符合系統(tǒng)設(shè)定標(biāo)準(zhǔn)的整理時(shí)，系統(tǒng)應(yīng)予以警告或禁止，這些是為了保障檔案信息的規(guī)范性，從而在其他階段可以根據(jù)檔案數(shù)據(jù)整理的結(jié)果進(jìn)行相應(yīng)的權(quán)限管控。數(shù)據(jù)整理后，要保存完整的檔案數(shù)據(jù)整理記錄，同時(shí)要由專人或?qū)I(yè)的系統(tǒng)對記錄進(jìn)行審計(jì)分析。

2 存儲傳輸

由于在檔案信息利用過程中多多少少都涉及到數(shù)據(jù)存儲和傳輸?shù)膯栴}，因此，我們在這里集中探討數(shù)據(jù)存儲和傳輸?shù)陌踩Ｗo(hù)需求。

2.1 數(shù)據(jù)傳輸

檔案數(shù)據(jù)傳輸?shù)陌踩δ苄枨蟀ㄒ韵聨c(diǎn)：

（1）用戶身份認(rèn)證

檔案信息系統(tǒng)對要求進(jìn)行檔案數(shù)據(jù)傳輸?shù)挠脩魬?yīng)進(jìn)行身份認(rèn)證，結(jié)合系統(tǒng)的權(quán)限管理，避免非法的傳輸申請。

（2）文件分塊、斷點(diǎn)續(xù)傳

檔案信息系統(tǒng)應(yīng)根據(jù)網(wǎng)絡(luò)情況、文件大小等對需要傳送的文件進(jìn)行智能分塊傳送，并支持?jǐn)帱c(diǎn)續(xù)傳及自動重組。

（3）不改變文件屬性

對傳輸中的文件保持其文件屬性，包括創(chuàng)建時(shí)間、最后修改時(shí)間等信息，這樣可以用于事后跟蹤、備查，并且這些文件信息能被讀取到系統(tǒng)數(shù)據(jù)庫中，作為傳輸文件的文件屬性保存。(如:電子檔案創(chuàng)建時(shí)間等)

（4）網(wǎng)絡(luò)帶寬智能檢測

針對網(wǎng)絡(luò)情況，檔案信息系統(tǒng)應(yīng)設(shè)置網(wǎng)絡(luò)帶寬智能檢測，傳輸帶寬滿足一定帶寬的時(shí)候啟動或中斷傳輸，并且可以設(shè)置上傳的速率或滿負(fù)荷傳送，支持在網(wǎng)絡(luò)不通的狀態(tài)下設(shè)置傳輸任務(wù)，一旦網(wǎng)絡(luò)正常則啟動傳輸或定時(shí)傳輸。這樣可以減少傳輸過程中的堵塞問題并且防止惡意傳輸。

（5）傳輸過程加密

檔案信息系統(tǒng)應(yīng)建立安全的傳輸通道，傳輸通道要采用加密協(xié)議，最好能指定點(diǎn)對點(diǎn)傳輸，使用戶在傳輸之前，先確定對方的身份，同時(shí)對傳輸內(nèi)容進(jìn)行加密，保證傳輸?shù)倪^程不被竊取或信息完整性被破壞。

（6）監(jiān)控日志審計(jì)管理

檔案信息系統(tǒng)的監(jiān)控日志要跟蹤傳輸情況，可以根據(jù)傳輸內(nèi)容、傳輸類別、傳輸單位或個(gè)人、傳送數(shù)量、傳送效果等信息進(jìn)行有效的查詢、匯總、統(tǒng)計(jì)、生成報(bào)表，并可以根據(jù)需要形成月度報(bào)表、季度報(bào)表、年度統(tǒng)計(jì)等報(bào)表。通過審計(jì)分析，及時(shí)發(fā)現(xiàn)傳輸過程中的問題，并在下一次傳輸前予以調(diào)整。

（7）實(shí)時(shí)狀態(tài)管理

檔案信息系統(tǒng)應(yīng)對數(shù)據(jù)傳輸?shù)膶?shí)時(shí)狀態(tài)進(jìn)行管理，設(shè)置實(shí)時(shí)查詢傳輸情況、傳輸狀態(tài)，實(shí)時(shí)顯示傳輸文件、傳輸流量等信息。對傳輸過程以及傳輸結(jié)果中遇到的各類情況實(shí)時(shí)告警，包括：連接速率、傳輸過程網(wǎng)絡(luò)故障、傳輸端對服務(wù)器的網(wǎng)絡(luò)攻擊行為、傳輸文件不完整、傳輸文件破壞或感染病毒、傳輸端被篡改等信息，并根據(jù)嚴(yán)重程度做出不同等級的告警，不同的告警信息用不同的顏色予以區(qū)分。

2.2 數(shù)據(jù)存儲

檔案數(shù)據(jù)存儲要保證數(shù)據(jù)層面的安全，一方面，通過采用現(xiàn)代密碼算法對數(shù)據(jù)進(jìn)行主動保護(hù)，如：數(shù)據(jù)保密、數(shù)據(jù)完整性、雙向強(qiáng)身份認(rèn)證等；另一方面，主要通過采用現(xiàn)代信息存儲手段對數(shù)據(jù)進(jìn)行主

動防護(hù)，如：通過磁盤陣列、數(shù)據(jù)備份、異地容災(zāi)等手段保證數(shù)據(jù)的安全。

1.存儲策略

首先要建立規(guī)范合理的數(shù)據(jù)存儲策略，明確檔案數(shù)據(jù)的分庫以及各自存儲的位置、采用的存儲方式和載體，建立并落實(shí)定期的數(shù)據(jù)監(jiān)測、備份、遷移等內(nèi)容的數(shù)據(jù)存儲管理制度。

其次，存儲空間的訪問應(yīng)設(shè)置權(quán)限，非數(shù)據(jù)庫管理員無法訪問存儲空間，避免普通用戶通過遠(yuǎn)程連接直接登錄到后臺的存儲空間。

2.數(shù)據(jù)真實(shí)性

檔案數(shù)據(jù)在存儲時(shí)應(yīng)為每份原文生成唯一摘要碼或驗(yàn)證碼，并存放在數(shù)據(jù)庫中，可以實(shí)時(shí)對原文情況進(jìn)行比對，確保原文內(nèi)容與產(chǎn)生時(shí)一致，未被篡改，信息無丟失。

3.數(shù)據(jù)完整性

應(yīng)能夠檢測到檔案信息以及系統(tǒng)相關(guān)數(shù)據(jù)在存儲過程中一致性、完整性受到破壞的情況，并在檢測到完整性錯誤時(shí)采取必要的恢復(fù)措施，確保數(shù)據(jù)的完整性。

4.數(shù)據(jù)保密性

應(yīng)采用加密或訪問限制與監(jiān)控等其他保護(hù)措施實(shí)現(xiàn)檔案信息以及系統(tǒng)相關(guān)數(shù)據(jù)的存儲保密性。

5.長期保存性

檔案信息存儲應(yīng)采用符合相關(guān)標(biāo)準(zhǔn)的通用的格式，并存放在符合國家有關(guān)標(biāo)準(zhǔn)規(guī)范的環(huán)境中。

6.備份和恢復(fù)

應(yīng)提供檔案信息的數(shù)據(jù)備份與恢復(fù)功能，根據(jù)數(shù)據(jù)情況定期進(jìn)行備份和遷移，備份介質(zhì)場外存放；提供檔案信息的異地?cái)?shù)據(jù)備份功能，利用通信網(wǎng)絡(luò)或人工方式將關(guān)鍵數(shù)據(jù)定時(shí)批量傳送至備份場地；采用冗余技術(shù)設(shè)計(jì)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，避免關(guān)鍵節(jié)點(diǎn)存在單點(diǎn)故障等問題；提供主要網(wǎng)絡(luò)設(shè)備、通信線路和數(shù)據(jù)處理系統(tǒng)的硬件冗余，保證系統(tǒng)的高可用性。

3 查詢利用

檔案信息查詢利用是最主要的一種利用形式，它指的是用戶通過檔案信息管理系統(tǒng)對檔案信息進(jìn)行查詢、瀏覽乃至一定的輸出（如復(fù)制、打印等）等方面的利用。檔案查詢利用方面的功能需求主要包括以下幾點(diǎn)：

3.1 利用登記注冊

在檔案信息查詢利用前，利用者的信息要經(jīng)過登記，新增用戶要經(jīng)過申請、審批、反饋的流程。同時(shí)，系統(tǒng)應(yīng)具備身份認(rèn)證、用戶設(shè)置與權(quán)限分配等管理功能。

在檔案信息利用時(shí)，應(yīng)當(dāng)按照實(shí)際情況設(shè)置相應(yīng)的利用者角色和審批流程。審批應(yīng)由檔案利用的管理人員執(zhí)行，并對審批過程進(jìn)行記錄。首先，要根據(jù)各種人員級別、層次進(jìn)行使用權(quán)限的認(rèn)定，并依此向利用系統(tǒng)注冊登記。其次，在檔案信息利用上，要根據(jù)檔案信息的

密級和開放程度，來確定其使用控制程度，系統(tǒng)要能夠控制到每個(gè)電子檔案或每條檔案信息的操作控制權(quán)限，操作控制權(quán)限可以定義在一定的期限內(nèi)、或某個(gè)固定終端上，可以進(jìn)行操作種類等等。尤其，對于外來人員，應(yīng)當(dāng)進(jìn)行有效的身份確認(rèn)，如用身份證、工作證、介紹信等進(jìn)行確認(rèn)。外來利用者用戶的臨時(shí)賬號，應(yīng)當(dāng)具有授權(quán)有效時(shí)間、指定專用計(jì)算機(jī)的限制。

系統(tǒng)在設(shè)置相應(yīng)的訪問權(quán)限時(shí)，應(yīng)遵循以下幾點(diǎn)：

（1）最小特權(quán)原則。規(guī)定用戶應(yīng)當(dāng)只被授權(quán)訪問那些完成其指定工作任務(wù)所需的最小權(quán)限，也就是說，應(yīng)當(dāng)阻止檔案館用戶訪問那些與其工作任務(wù)無關(guān)的內(nèi)容。按工作需要能夠賦予最小權(quán)限的就賦予最小權(quán)限，不得賦予超出工作需要的權(quán)限。而當(dāng)用戶想要訪問超出其權(quán)限訪問內(nèi)的檔案信息時(shí)，系統(tǒng)應(yīng)能直接禁止并進(jìn)行告警，并同時(shí)通知系統(tǒng)管理員。這樣做到用戶只能訪問修改其工作任務(wù)要求修改的那些數(shù)據(jù)文件時(shí)，就確保了系統(tǒng)中的文件保密性和完整性。

（2）“知其所需”訪問。在特定的分類級別或安全域內(nèi)，某些檔案信息可能會被劃分或間隔化，使得對這些檔案信息的訪問有所限制，只有當(dāng)用戶能夠提出與工作任務(wù)相關(guān)的合理訪問理由，或能夠證明“知其所需”訪問的正當(dāng)性，才會被授予訪問權(quán)限?！爸渌琛痹L問由應(yīng)檔案館主管部門依照審批手續(xù)決定，并且只授予有限時(shí)間的

訪問權(quán)限。

（3）分權(quán)制約原則。該原則是針對管理員的，一般來說，重要的檔案信息管理系統(tǒng)，不允許超級管理員的出現(xiàn)，通過合理的劃分管理員權(quán)限，使系統(tǒng)管理員、數(shù)據(jù)庫管理員、安全審計(jì)員等之間相互牽制，避免管理員的一些違規(guī)行為。

3.2 操作過程管控

在檔案信息查詢利用時(shí)，應(yīng)結(jié)合權(quán)限分配，啟用訪問控制功能，依據(jù)安全策略控制用戶對檔案信息資源的訪問。系統(tǒng)授權(quán)用戶對受保護(hù)的檔案信息進(jìn)行操作時(shí)，操作權(quán)限受到統(tǒng)一安全策略和檔案信息狀態(tài)的控制，包括查看時(shí)間、查看次數(shù)、截屏等。對檔案目錄和全文的檢索應(yīng)該有所區(qū)分，對檔案信息在不同網(wǎng)絡(luò)的瀏覽應(yīng)該分別予以管控。高級別操作權(quán)限應(yīng)當(dāng)通過審核、審批來實(shí)現(xiàn)授權(quán)，保證對檔案信息進(jìn)行不同的操作時(shí)，僅授予用戶最小的權(quán)限，從而確保敏感信息不被泄漏。

在檔案信息利用的動態(tài)過程中，由系統(tǒng)自動判定當(dāng)前使用者身份的合法性及其所使用功能的范圍，并由系統(tǒng)自動對其使用各種功能操作的路徑進(jìn)行跟蹤與記錄，對涉及使用未經(jīng)授權(quán)的功能，應(yīng)能拒絕響應(yīng)并給予警告提示。如檢索過程中，可根據(jù)檢索者檢索的檔案類別權(quán)限設(shè)定控制，防止檢索非授權(quán)的檔案類別數(shù)據(jù)。

同時(shí)，應(yīng)禁止非認(rèn)證的應(yīng)用程序?qū)n案信息的操作，避免加密的檔案信息被另保存為非加密信息。對不開放的檔案信息，應(yīng)當(dāng)能嚴(yán)格控制利用，確保檔案信息的安全。

3.3 文件內(nèi)容保護(hù)

在檔案信息查詢利用前，應(yīng)通過版權(quán)控制管理技術(shù)保護(hù)電子檔案信息，對系統(tǒng)中的檔案信息綁定版權(quán)信息，防止其信息被拷貝，并使得對文件的保護(hù)不依賴于網(wǎng)絡(luò)、系統(tǒng)或存儲介質(zhì)。同時(shí)，通過攝像監(jiān)控、利用電子水印等技術(shù)防止檔案信息內(nèi)容被拍照。

同時(shí)，在檔案信息瀏覽時(shí)，應(yīng)能設(shè)置允許瀏覽時(shí)間，并能控制瀏覽原文的頁碼，如：一個(gè)原文共有 10 頁，可以只提供其中的第 2 頁和第 3 頁給利用者瀏覽。還可以設(shè)置瀏覽密碼等授權(quán)認(rèn)證，需要輸入授權(quán)密碼后才能打開原文。

在檔案信息查詢利用后，對于瀏覽時(shí)限到期的電子檔案（如文件檔案借閱）進(jìn)行權(quán)限撤消，實(shí)現(xiàn)檔案信息的回收。

3.4 檔案輸出安全

檔案輸出的安全是查詢利用中需要重點(diǎn)考慮的方面，除了前面提到的操作過程管控外，還應(yīng)控制有瀏覽權(quán)限的人是否能復(fù)制、打印、摘錄、傳播等，從而保證敏感檔案信息不被泄漏。對打印時(shí)間，打印次數(shù)，打印份數(shù)等，都應(yīng)該進(jìn)行控制。在檔案輸出時(shí)，可以自動加入水印，防止原文信息的擴(kuò)散。

對于檔案輸出中的原文下載，應(yīng)當(dāng)控制下載后原文的打開權(quán)限，只有有相應(yīng)身份認(rèn)證的用戶才能打開，并可以控制下載原文的打開設(shè)備，如：指定在某臺計(jì)算機(jī)或設(shè)備上才能打開。同時(shí)，對下載后的原文進(jìn)行打開次數(shù)的控制，屏蔽原文的截屏功能，并做到下載原文超過時(shí)限后的自動銷毀。同時(shí)，實(shí)現(xiàn)對用戶查詢利用過程中輸出的數(shù)據(jù)進(jìn)行追蹤控制，追蹤控制的內(nèi)容包括傳輸情況、操作行為等。

應(yīng)當(dāng)實(shí)現(xiàn)終端計(jì)算機(jī)不留密功能，所有對檔案信息管理系統(tǒng)的訪問應(yīng)當(dāng)指向某一安全終端訪問平臺，使檔案信息不能未經(jīng)系統(tǒng)許可就直接下載到本地終端上，確保檔案信息不被拷貝和泄漏。

3.5 安全審計(jì)分析

檔案信息管理系統(tǒng)應(yīng)當(dāng)具備對利用過程的記錄監(jiān)控功能，通過安全審計(jì)對檔案信息的使用過程進(jìn)行詳細(xì)的記錄，每個(gè)審計(jì)事件與引起該事件的用戶身份相關(guān)聯(lián)，日常對可能有風(fēng)險(xiǎn)的事件行為進(jìn)行分析查看，發(fā)生問題時(shí)能夠追朔問題的源頭。審計(jì)記錄的內(nèi)容至少應(yīng)包括：事件發(fā)生的時(shí)間（或時(shí)間段）、事件發(fā)起用戶 ID、用戶操作的客戶端、事件內(nèi)容、事件的結(jié)果，對審計(jì)記錄數(shù)據(jù)進(jìn)行統(tǒng)計(jì)、排序、分類、搜索以及分析生成報(bào)表的功能，并實(shí)現(xiàn)安全可視化，所有的安全行為事件、分析結(jié)果等。安全審計(jì)功能盡可能有一個(gè)統(tǒng)一的界面進(jìn)行展示，以方便管理。同時(shí)，可以自定義安全規(guī)則，針對操作行為與規(guī)則的匹配度自動進(jìn)行相應(yīng)的審計(jì)。審計(jì)中應(yīng)包括分析和警告的功能，如一個(gè)用戶在非工作時(shí)間段訪問系統(tǒng)，或者在工作時(shí)時(shí)間段訪問非授權(quán)的檔案信息，系統(tǒng)應(yīng)予以拒絕并記錄在案，并通過警告提示管理員，以便進(jìn)行跟蹤處理。

同時(shí)，安全審計(jì)應(yīng)可以對利用者的利用情況進(jìn)行綜合管理，包含利用者信息、利用時(shí)間、利用檔案信息、利用目的、利用人次、利用效果等，既便于檔案館響應(yīng)各種各類利用需求，又能夠在其中發(fā)現(xiàn)在利用過程中可能存在的風(fēng)險(xiǎn)點(diǎn)，提高安全防護(hù)水平。

3.6 人員、場地、設(shè)備等的管控

查詢利用過程中的安全還涉及對人員、場地、設(shè)備等的管控。在檔案查詢利用場所，一般應(yīng)限制利用人員攜帶手機(jī)、U 盤、數(shù)碼相機(jī)、筆記本電腦等設(shè)備。在查詢利用的場地上要有嚴(yán)格的監(jiān)控措施，避免利用人員不當(dāng)操作，并記錄整個(gè)利用過程。同時(shí)，不同級別的檔案信息利用應(yīng)實(shí)現(xiàn)網(wǎng)絡(luò)隔離，對查閱利用計(jì)算機(jī)的輸入和輸出口（USB、串口、紅外、Wifi 等）進(jìn)行安全管控。同時(shí)系統(tǒng)應(yīng)實(shí)現(xiàn)只能在指定專用的查閱利用計(jì)算機(jī)上進(jìn)行電子檔案的利用，禁止傳閱到其他計(jì)算機(jī)上等功能，保證檔案信息查詢利用的安全。

4 信息公布

信息公布，這里指的是檔案信息通過編研、出版、展覽等方式提供利用，既包括在線利用，也包括離線利用的過程。

4.1 編研開發(fā)

在檔案編研開發(fā)過程中同樣存在著對操作過程的控制和審計(jì)。同時(shí)，編研過程中會通過復(fù)制、剪切、編輯等生成新文件，應(yīng)當(dāng)要防止編輯生成的新文件中檔案信息外泄。因此，應(yīng)該對編研開發(fā)過程中的檔案信息進(jìn)行加密，避免其被直接復(fù)制到本地計(jì)算機(jī)中。系統(tǒng)應(yīng)當(dāng)可以控制目錄數(shù)據(jù)的字段值內(nèi)容、電子原文的內(nèi)容等在編研過程中的復(fù)制。同時(shí)，要嚴(yán)格控制文件的下載權(quán)限，避免在編研過程中獲取到?jīng)]有下載權(quán)限的重要信息。

在編研成果發(fā)布時(shí)，可以控制專題發(fā)布的目錄字段、原文格式、是否加水印、發(fā)布的頁碼、是否需要身份認(rèn)證才能利用等。對于編研成果的發(fā)布情況，也應(yīng)當(dāng)專門記錄發(fā)布日志。同時(shí)，系統(tǒng)要加強(qiáng)編研過程的終端控制。編研人員必須在具有權(quán)限的終端計(jì)算機(jī)上才能進(jìn)行操作，并且要綁定身份認(rèn)證信息，防止其他人員通過編研操作獲取不應(yīng)知曉的檔案信息。

4.2 離線利用

在檔案信息公布過程中，往往涉及到檔案信息的離線利用。這里的離線利用，特指檔案信息脫離系統(tǒng)后的各種利用。現(xiàn)實(shí)情況下，不管是在檔案查詢利用還是在信息公布時(shí)，都存在著檔案信息導(dǎo)出系統(tǒng)提供利用的情況。

離線利用安全保護(hù)主要要考慮的是檔案信息及其相關(guān)的存儲介質(zhì)的加密控制，具體地，應(yīng)當(dāng)包括以下幾個(gè)方面：

（1）事前，設(shè)置好身份認(rèn)證措施，必須要經(jīng)過身份認(rèn)證后的用戶才能訪問離線檔案信息，如通過管理手段或與數(shù)字證書綁定等，沒有插入相應(yīng)的證書則無法訪問；對于某些特別重要的文件，禁止離線查看，必須通過終端不留密的方式在線閱讀。

（2）事前，在檔案信息導(dǎo)出系統(tǒng)時(shí)，應(yīng)當(dāng)限制對離線檔案信息的訪問時(shí)間和訪問次數(shù)，并通過檔案信息系統(tǒng)將此屬性嵌入到信息內(nèi)部，做到“閱后即焚”。

（3）事中，為了防止檔案信息的復(fù)制而導(dǎo)致傳播范圍擴(kuò)散的問

題，應(yīng)當(dāng)設(shè)置對電子檔案的副本拷貝無法操作或者結(jié)果無效；應(yīng)當(dāng)根據(jù)權(quán)限情況，限制對檔案信息中內(nèi)容的復(fù)制，禁止截屏功能，利用電子水印等技術(shù)防止拍照；對于檔案信息的篡改，要能做到一經(jīng)篡改便不可使用，或者不可按既定的規(guī)則打開，從而使其他使用者可以看出來這是一個(gè)被篡改過的文件。

（4）事后，在訪問時(shí)間或訪問次數(shù)到達(dá)時(shí)，能自動銷毀離線利用的檔案信息；必要時(shí)可以對檔案信息及其相關(guān)的存儲介質(zhì)進(jìn)行追蹤，記錄訪問和操作情況。

（5）對終端計(jì)算機(jī)及存儲介質(zhì)進(jìn)行安全管控，避免造成被病毒感染、木馬程序竊取或通過郵件等方式流傳到公眾網(wǎng)絡(luò)中。對檔案信息存儲介質(zhì)及其相關(guān)設(shè)備進(jìn)行標(biāo)識，嚴(yán)格登記設(shè)備臺賬，并記錄設(shè)備管理人員以及設(shè)備去向，如設(shè)備損壞或報(bào)廢，應(yīng)由指定的專門機(jī)構(gòu)進(jìn)行處理。

5 對外發(fā)布

前面提到，檔案信息對外發(fā)布指兩種情況，一種是在政務(wù)網(wǎng)或互聯(lián)網(wǎng)站上發(fā)布公開的檔案信息；另一種是依據(jù)某個(gè)特定的系統(tǒng)，向有權(quán)限查閱的用戶主動的分發(fā)共享檔案信息。它應(yīng)當(dāng)包括以下的功能需求：（1）事前，應(yīng)當(dāng)對檔案信息進(jìn)行分類，按照相應(yīng)權(quán)限進(jìn)行分發(fā)。所有的對外發(fā)布請求必須通過審批，并記錄在案，可查閱、可審計(jì)、可跟蹤。

（2）事中，對外發(fā)布的檔案信息的使用必須經(jīng)過身份審批，只能由指定的用戶打開或調(diào)閱；對外發(fā)布的檔案信息進(jìn)行硬件綁定，不允許脫離該硬件，即使脫離該硬件也無法訪問；對發(fā)布所采用的硬件設(shè)備進(jìn)行管控，登記在案；對可能產(chǎn)生泄密的重要行為或異常行為進(jìn)行告警，如批量外發(fā)、嘗試非法操作等。

（3）事后，對外發(fā)布的檔案信息超過指定時(shí)間期限或達(dá)到指定打開次數(shù)，文件自動銷毀。
（4）對檔案信息網(wǎng)站進(jìn)行安全加固。為網(wǎng)站安全保護(hù)提供統(tǒng)一的策略管理和服務(wù)，包括用戶操作策略、進(jìn)程策略、文件密級策略、審計(jì)跟蹤策略等等。進(jìn)行網(wǎng)絡(luò)的隔離，避免由于網(wǎng)絡(luò)的開放性、互連性等特征而導(dǎo)致其易受黑客的攻擊和病毒的入侵，造成檔案信息的泄密、假冒、篡改的問題。實(shí)行網(wǎng)站系統(tǒng)管理員、信息安全管理員、信息發(fā)布審計(jì)員“三員分開”制度，建立操作日志。

（5）對外發(fā)布后的檔案信息應(yīng)進(jìn)行追蹤，包括傳輸路徑、利用情況等，并對相關(guān)情況進(jìn)行分析，必要時(shí)向系統(tǒng)發(fā)送警告信息。檔案信息利用過程中的安全防護(hù)是一項(xiàng)整體的工作，因此，要對以上的這些檔案信息利用過程中各個(gè)環(huán)節(jié)的功能需求進(jìn)行統(tǒng)籌考慮和規(guī)劃，使之在統(tǒng)一的安全管控之下實(shí)施，使得安全防護(hù)工作成為一個(gè)有機(jī)的整體，以達(dá)到檔案信息利用過程中主動性、動態(tài)性、全過程安全管控的目的。