电子档案安全亟须警惕

15.12.2016  17:03

      电子时代的来临,已经把档案变成电子的了。

      网络在给人们提供无限便利时,也为不法分子篡改、窃取和删除电子档案提供了极大便利。

      在电子时代,电子档案的安全漏洞比以往的任何时候都大,电子档案正面临着前所未有的安全威胁,电子档案安全问题已成为档案工作者面临的日益迫切的严重问题。

      但是,有些人对电子档案安全问题并不以为然,他们自恃其网络有“防火墙”、有“隔离网”,有这样那样的“防护栏”“安全盾”,可以高枕无忧,不用杞人忧天、庸人自扰。

      最近,我连续看到几则消息,确使我长期以来一直存在的对电子档案安全问题的担心,又加重了起来、紧迫了起来,感觉有必要说出来,给档案界的同行们再提个醒。即使有人说我是“忧天”之“杞人”、“自扰”之“庸人”,我也在所不计。

      第一则是关于山东考生篡改同学高考志愿的消息。最近一段时间,山东接连发生了至少两起篡改高考志愿的事件。一是山东胶州市的考生常升,其高考志愿遭到同学郭某的篡改。这个郭某,由于其高考成绩不如常升,但为了增加自己的升学机会,窃取了密码,修改了自己同学的高考志愿。结果,高考成绩出色的常升,没有被他填报志愿的陕西师大录取。只是在事件曝光之后,陕西师大才补录了常升。二是山东单县的一名姓陈的学生,篡改了自己两名同学的高考志愿,导致这两名考生被录取的大学,都不是本人所报考的大学,而是被陈某改报的大学。

      那么,问题来了。

      第一,申报高考志愿的网络没有采取过任何的安全措施吗?显然不会,肯定是既有“防火墙”,也有“隔离网”之类的。

      第二,我们很多单位、包括很多档案馆的网络,所采取的安全措施会优于申报高考志愿的网络吗?据我了解,未必!那么,你们单位的电子档案会比高考志愿信息更加安全吗?答案也必然是:未必!

      第三,篡改这些高考志愿的人,是技术过人的高级“黑客”“网攻专家”吗?不是,他们只是普通的高中生,只是在很多高中生身边一起学习、玩耍的“同学”。那么,要想进入一些单位、包括一些档案馆的网络,需要什么样的专门人才吗?不需要!一个普通高中生(或相当于)就可以,一个普通工作人员就可以,一个档案人员的随便什么“身边人”都可以。

      第四,这些篡改高考志愿的学生,有什么重大的政治目的、经济目的吗?答案是:没有!他们的目的很卑微:嫉妒同学,或不想让同学比自己好,或为自己扫除一个上同一学校的劲敌。

      这就告诉我们:第一,篡改电子档案,不需要“大内高手”“网攻专家”“高级黑客”,不需要怀有重大政治目的或经济目的,有时候,只需要一个稍懂网络知识、会用网络的人就可以,只需要一个仅仅想“试一下”或者仅仅想“进去瞧瞧”的人就可以。也就是说,可以篡改电子档案的人比比皆是;篡改电子档案这件事,门槛很低。

      第二,很多单位包括档案馆,其网络安全措施并不牢靠,只是一捅就破的“窗户纸”而已;其安全级别并不高,一个普通中学生“徒手”即可“越墙”而入;其安全性能也并不像有些“专家鉴定会”上所说的那样“处于××先进水平”或“达到××领先水平”。

      第三,我们千万不要轻信某些“砖家”所说的那些为对得起“鉴定费”而瞎说的“鉴定结论”,或者自欺欺人的“大话”,不能再被他们“忽悠”了。我们很多单位包括档案馆的网络,就像“高考志愿网”一样,是“一捅就破”“迈腿即入”、随时可进、无人能挡的。如若不信,不妨一试!

      第二则消息是关于“云存储”信息被盗的。“百度云”是我国著名信息公司百度推出的一款为用户免费提供云存储空间的产品,用户规模比较大。但是,最近传来消息说,不少“百度云”用户发现:自己存满信息的云盘,在一夜之间变成了可怕的空壳;有的盘内原存的资料全部消失,踪影全无;有的盘内原有资料被盗走,被“调包”替换成了不堪入目的淫秽视频。公司回应称:出现这些问题,可能是用户账号被盗。

      看了这则消息,我的忧虑比看前一则消息更加升级、更加严重。为什么呢?丢失信息的不是一般单位,而是国内顶级的专做信息产业的、在国际上也非常知名的网络公司,它的信息安全技术非一般单位可比。如果它的云盘信息尚可以被盗取、“调包”,那么国内还有哪几家的云盘信息或优盘信息是不可被盗取或被做各种手脚的呢?百度的信息安全都不可靠,国内还会有哪几个单位的信息安全是可靠的呢?

      近两年,档案界讨论、呼吁档案信息采用“云存储”的声音不小。我一直是“消极派”“观望派”。看了这则消息,我不得不对档案界那些极力主张档案信息采用云存储的“积极派”“行动派”泼一些冷水,提醒他们:“档案云存储”应该缓行!最好等信息安全有了保障以后再说。否则,最近这些丢失云盘内信息的“百度云”用户们的悲剧,就会在档案人身上重演。不过,如果真的是这样,档案人失去的,将不仅是档案信息,还有可能是国家利益、单位声誉及个人前途。孰轻孰重,愿各位熟虑之、沉思之、慎行之。那些已经把档案信息交给云公司存储的单位,一定要与存储公司共同加强防范,严上加严,确保安全。否则,将自尝苦果,悔之莫及。

      “百度云”信息被盗事件发生后,已经有专家呼吁信息公司强化信息安全防护,不要让“大数据时代”变为“大数据泄密时代”。我要呼吁各级档案部门,从这一事件中吸取教训:对电子档案一定要以极其慎重的安全态度,采取极其严格的安全措施,慎之又慎,防之再防,不要轻易被人“忽悠”了。重要的电子档案一定要异质并异地备份,以防万一。对“云存储”这种完全外包的、钥匙放在别人手中的、高集中度的、树大招风容易被人攻击的存储,更要慎重采用;即使采用了,也要互相制约、慎重防护,不能盲目信任对方,一包了之,悉委于人。不要轻信“云存储”技术和信息公司的安全性,“百度云”信息一再被盗事件,已经把“云存储”技术的安全弱点、信息公司在信息安全方面的无能、无用、无奈(也确实是无奈,因为技术就是如此,现状就是这样,信息技术日新月异,信息专家高手如云,今天的“”刚铸好,明天又一款新的“”又出现了,防不胜防,他们也只能无奈。出了事把责任推给用户,不是自己安全技术不高,而是用户泄露了账号,自己一干二净,这就有点极不负责了)暴露无遗。我们不能让“档案大存储”变成“档案大消失”,不能让“大数据时代”变成“数据大遗失时代”,不能让今天的“信息时代”在未来变成“信息空白时代”。

      第三则消息是关于高级网络攻击的。不久前,全球知名的网络安全服务商美国赛门铁克发布消息说:一个名叫“神行客”的黑客组织,使用新型恶意软件,针对中国、俄罗斯等国的特定目标,发动持续的网络攻击。另外,从我国的有关专家那里获悉,“神行客”的网络攻击手段和方法都非常高级,在存储器的内存中就可以完成操作并能得手。在攻击过程中,不会产生任何实体性文件,可以说是不留痕迹,悄无声息,因此很难被发现。“神行客”在网络攻击时,用的是一款名为Remsec的恶意软件。这种软件可以在被感染计算机上开设后门,并从计算机中窃取文件或数据。“神行客”的攻击目标有政府机构、科研和教育单位等。目前,我国对“神行客”这样的高级网络攻击,需要通过长期的跟踪、溯源和分析才能发现。另据了解,在“神行客”之前,境外黑客组织已连续多年用“火焰”“震网”等高级软件,对我国的重点机构进行了持续性的高级网络攻击。有关国家对我国的高级网络攻击,已经持续化和常态化。

      看了这则消息,我的忧虑比之前更甚。因为这种高级网络攻击,采用的技术非常先进,可以突破我国任何既有的网络设防,可以进入我国任何他们想要进入的计算机,窃取、或修改、或删除其中的信息。我国现有的网络安全防护设施,在它面前都是“纸墙”“纸网”,更不要说档案部门现有的那些网络安全防护措施了。人家悄悄地进入我们的电子档案数据库,把档案修改了,窃取了,可能我们都不自知;或者把我们的电子档案删除了,可能我们还不知道是怎么回事。在这样的高级网络面前,我们还能再迷信我们既有的那些网络安全设施吗?我们还能不赶快采取其他更加高级、更加科学、更加有效的办法加以防范吗?

      俗话说,“小心驶得万年船”。面对具有先进技术和专用软件的高级黑客持续发动的高级网络攻击,面对出于各种目的、无须高级技术和专用软件的一般人的普通网络恶意事件,档案工作者对电子档案安全问题,必须再次保持高度警惕,并须永远保持高度警惕。电子档案安全这根弦,一刻也松不得。因为电子档案的安全性较差,安全防护能力较弱,而可造成电子档案不安全的人数又很多,随时都有人可能成功遂行对电子档案的窃取、篡改或删除,电子档案的安全时时面临着威胁。这种威胁,或将长期存在下去,与电子档案终生相伴。

      首先,必须不断强化各级领导、有关人员乃至全体人员的网络安全意识。要充分认识到电子档案、电子网络、“云存储”等的高危性,意识到现存网络安全设施的局限性、脆弱性、不可靠性,意识到网络攻击、网络窃密的经常性、激烈性、技术先进性、人员复杂性等,破除“高枕无忧”“一劳永逸”“一包了之”等错误观念,意识到电子档案安全、网络安全对国家利益、单位声誉、个人前途的重要性,不能浑浑噩噩,全然无知,别人说什么就信什么。无论是采用新的管理办法也好,还是采用新的技术手段也好,始终不忘把“安全”放在首位,用“安全”去拷问、去衡量其是否能用,把“安全”放到“一票否决”的决定性、首要性位置上,永远绷紧“安全”这根弦。

      其次,必须充分利用现有安全设施,严格防范外来攻击。现有安全设施,尽管门槛不高,但也是门槛;尽管不能拦住全部侵入,但也能拦住部分侵入。所以,对现有网络安全设施,还是要充分利用,百分之百地发挥它的功能,严格地防范外来攻击,而不能弃置不用或表面上用而实际上不用,自废武功,完全不设防,听凭任何人随意攻击。

      再次,要不断用最先进的技术和手段改进、升级现有网络安全设施,不断提高安全防护等级,不断增强安全防护效能。在网络技术方面,“”和“”的较量将是长期的、无止境的。再坚固的“”,也只能防昨日之“”,而不能防今日之“”,更不能防明日之“”。今日之“”再厉害,明日之“”也能防护它。我们的一切档案网络防护设施,都是针对过去的网络攻击技术设计的,都会很快过时,被今天和明天更新的网络攻击技术所攻破。所以,采用任何高级的网络防护设施,我们都不能希望其能“毕其功于一役”“一劳永逸”,因为信息技术发展日新月异,网络攻防领域的竞争异常激烈,甲方刚在防的方面推出新手段,乙方又在攻的方面推出新产品,能轻松破解甲方之前的新手段。各级档案部门要想有效防止各种网络攻击,必须经常采用新的防护技术,不断升级自己的网络防护设施,不断提高自己的网络安全等级、安全系数和安全效能,使自己的设施常用常新、长期有效。

      第四,要善于“以拙制巧”,使用原始的、笨拙的办法,有效防护和破解日益升级的高级网络攻击,使自己立于不败之地。“大智者若愚”。既然我们知道,没有攻不破的电子网络,那我们在应用电子网络时就应该多一个心眼,格外小心,随时防一手。什么措施最能从根本上保证电子档案安全,我们就采取什么措施,不管这种措施是原始的还是现代的,是笨拙的还是智能的。例如:我们可以吸取好多绝密级文件在用计算机处理的过程中被敌人远程窃取的教训,对绝密级文件一律不用计算机处理;我们可以吸取好多纸质文件在数字化过程中被人窃取的教训,对绝密或机密级纸质文件不进行数字化;我们可以吸取好多电子文件生成后或被篡改调包,或被删除消失的教训,把重要的电子文件及时异质存储,保全其信息,保证其信息的绝对安全,等等。诸如此类,不一而足。这些办法,虽然土,不洋,但有效;虽然原始,不现代,但好使;虽然笨拙,不智能,但管用。而且更重要的是,它还简单,不复杂,能确保电子档案的信息安全。

      第五,对新的档案存储载体、档案处理和传输技术等,为确保安全,要慎重使用。新的信息存储载体和处理、传输技术,往往首先考虑的是便利而不是安全,而档案存储载体和档案传输、处理技术,首先需要考虑的则是安全而不是便利,如果不安全,则越便利的东西,用后造成的危害会越大。因此,在应用信息新技术方面,档案部门的方针应该是:稳妥积极。也就是:以稳妥安全为第一考量,  在此前提下,才能积极应用。档案部门最好不要急于或率先应用那些未经检验的各种新载体和新的处理、传输技术,而要在其他部门应用后经过检验、证明比较安全了,再加应用。走别人走过的路,把后悔留给别人,把安全留给自己。因为档案部门“输不起”,一出事,就可能出大事,所以不能当新信息技术的“小白鼠”,做新信息技术的试验品。上面那条消息中所说的“云盘信息”消失或被“调包”的用户,如果是档案馆,那会给国家造成多大的损失、给档案部门造成多大的信誉损害呀!又会有多少人成为这一安全事故的牺牲品呀!所以,档案部门在采用新的信息技术之前,一定要把安全问题放在首位加以考虑,对它用“安全”问题再三加以拷问,对它的安全效能再三进行测试,并要与提供方签订协议,由对方为安全后果负全责、买全单,把双方都绑在安全“囚车”上,放在安全“利剑”下,让双方谁都不敢松懈,从而确保档案安全。

      (本文作者系全国政协委员、国家档案局原局长)

      原载于《中国档案报》2016年9月8日  总第2962期  第三版