依據(jù)風險管理和文檔生命周期理論，根據(jù)檔案信息利用過程中的安全保護原則，我們認為，應當將檔案信息利用安全的功能擴展到收集整理、存儲傳輸?shù)阮I域，從前端把控好權限和數(shù)據(jù)的分類，從而整體上推動檔案信息利用的安全。另外，由于系統(tǒng)調閱過程涉及到的功能點較多，我們將一部分功能與離線利用合并，歸于信息公布功能，因此，最終將檔案信息利用安全的功能大致分為收集整理、存儲傳輸、查詢利用、信息公布、對外發(fā)布等方面。同時，在每個具體的過程中，通過事前、事中、事后的功能需求分析，圍繞安全保護目標，從整體上系統(tǒng)設計各級國家綜合檔案館電子文件與電子檔案管理系統(tǒng)在檔案信息利用過程中安全保護的功能需求方案。其中：事前防范主要是指通過安全策略的設定，事先防范安全風險。事中控制主要是指通過對操作過程的控制以及對其中檔案信息的控制來實現(xiàn)過程中風險的規(guī)避、發(fā)現(xiàn)和告警。事后審計主要是指在檔案信息利用過程中發(fā)生的所有行為，包括用戶行為、設備行為以及網(wǎng)絡行為等，進行審計跟蹤，做到事后可以追溯。

1 收集整理

我們把檔案信息收集整理納入研究的范疇，一則是由于在收集整

理中也涉及到檔案信息的利用，如在數(shù)字化加工中對原有檔案目錄數(shù)據(jù)的使用；二則是從全生命周期來看，如果在收集整理時沒有做好相應的分類，捕獲必要的元數(shù)據(jù)等，就會對后面的檔案信息利用過程中的安全帶來風險隱患，因此我們在這里簡要地論述下收集整理方面的功能需求。

收集，一般包括電子檔案接收和傳統(tǒng)載體檔案數(shù)字化轉換這兩個方面，其他的收集渠道雖然五花八門，但最終也要通過這兩個步驟才能進入系統(tǒng)。整理，這里我們特指與收集相關的對檔案數(shù)據(jù)的整理。因此我們分別概述需求如下：

1.1 電子檔案接收

在電子檔案接收流程中，各級國家綜合檔案館要對電子檔案進行解密、解壓縮、驗證簽名等，經(jīng)檢驗合格的電子檔案才能入庫。這個檢驗的過程非常關鍵，目前一般強調電子檔案數(shù)據(jù)的準確性、完整性、可用性、安全性四性檢驗。通過四性檢驗，既避免了有病毒或木馬的檔案數(shù)據(jù)進入系統(tǒng)，同時保證了檔案數(shù)據(jù)的準確、完整和規(guī)范，便于下一步進行數(shù)據(jù)權限的管控。四性檢驗不合格的電子檔案數(shù)據(jù)要及時退回到形成單位，并附上相應表單，標記所缺要件或不符合接收規(guī)范的原因等。
除了四性檢驗外，為保證電子檔案的安全，從需求上來說，在電子檔案接收中還應當做到以下幾點：

（1）事前，應啟用訪問控制功能，依據(jù)安全策略控制檔案用戶對資源的訪問，僅授予用戶所需的最小權限；應當采用有效的身份認證技術，防抵賴、可追蹤；減少檔案用戶在接收過程中的不必要操作，避免因誤操作帶來的風險。

（2）事中，應建立安全的傳輸通道，對傳輸內容進行加密。當電子檔案遷移時需要保證在傳輸中安全，避免被非法竊取或信息完整性被破壞。傳輸通道要采用加密協(xié)議，最好能指定點對點傳輸，在傳輸之前，先確定對方的身份，同時保證傳輸?shù)倪^程不被竊取、篡改，或者被竊取后的文件是不可解密的；應實現(xiàn)對檔案信息存儲空間的安全防護，避免非法入侵和篡改數(shù)據(jù)，或者數(shù)據(jù)由于硬件問題而損毀、丟失。

（3）事后，要加強對電子檔案操作的審計，尤其要注意對電子檔案的四性檢測結果進行審計，以保障檔案數(shù)據(jù)的安全和規(guī)范性。根據(jù)審計結果，各級國家綜合檔案館可以對各立檔單位和相關人員提出相應的整改要求。

1.2 數(shù)字化轉換

目前，很多國家綜合檔案館在檔案數(shù)字化轉換時選擇服務外包的方式，在檔案數(shù)字化加工過程中可能涉及到較多的外部人員，在檔案掃描、圖像處理、數(shù)據(jù)質檢、數(shù)據(jù)掛接、數(shù)據(jù)遷移、光盤備份等環(huán)節(jié)中都可能存在數(shù)據(jù)被拷走或被拍照的風險。如果缺乏對數(shù)字化過程中敏感和危險操作的記錄和審計，數(shù)據(jù)被盜或泄密后也難以追查。

其次，檔案數(shù)字化過程并不是一個瞬時工作，而是需要一個較長時間的轉換過程，掃描后的數(shù)據(jù)文件會保存在掃描儀、圖像處理軟件等應用軟件及設備中，同時加工后的檔案信息一般直接保存到文件服務器或以光盤、移動存儲介質形式進行備份存儲。這些存儲介質如果缺乏應有的管控，可能會檔案信息的損壞或丟失，并存在被非法拷貝的風險，都將帶來巨大的損失和外泄事件的發(fā)生。

因此，在檔案數(shù)字化加工過程中，各級國家綜合檔案館應加強對檔案信息的安全保護：

（1）事前，應建立完整、嚴格的數(shù)字化安全管理制度，并設計一整套統(tǒng)一的針對數(shù)字化加工的認證體系，任何人未經(jīng)認證無法登陸和訪問檔案信息。

（2）事中，對數(shù)字化加工的各個環(huán)節(jié)分配不同的權限，每個賬號只能由本人使用，嚴禁串用。同時，加強對數(shù)字化人員、場地和設

備的管控，不允許任何人員帶入手機、計算機、U 盤和數(shù)碼相機等。只允許人員采用專用的、已標識過的設備，并對存儲輸入和輸出口 r（USB、串口、紅外、Wifi 等）進行管控。建立數(shù)字化加工設備臺賬，嚴格落實登記制度，如設備損壞或報廢，應由專門人員進行處理。數(shù)字化加工網(wǎng)絡應單獨建設，與檔案館的其他網(wǎng)絡物理隔離。

（3）事后，對整個數(shù)字化過程中的敏感和危險操作記錄進行審計，便于監(jiān)控和追查。

（4）事中和事后，安排專人統(tǒng)一接收數(shù)字化加工完成的檔案數(shù)據(jù)，并設置相應的數(shù)據(jù)備份措施，防止數(shù)字化加工成果丟失。

1.3 數(shù)據(jù)整理

檔案數(shù)據(jù)整理功能主要涉及事先的規(guī)則定義、事中的操作管控和事后的行為審計。在檔案數(shù)據(jù)整理環(huán)節(jié)，需要按照預先設定好的權限進行，并且要經(jīng)過相應的審批流程。同時，對檔案數(shù)據(jù)的整理，應當按照相應的標準來進行（如《檔案著錄規(guī)則》等），這點可以通過將標準內嵌入檔案信息系統(tǒng)來實現(xiàn)，當人工作出不符合系統(tǒng)設定標準的整理時，系統(tǒng)應予以警告或禁止，這些是為了保障檔案信息的規(guī)范性，從而在其他階段可以根據(jù)檔案數(shù)據(jù)整理的結果進行相應的權限管控。數(shù)據(jù)整理后，要保存完整的檔案數(shù)據(jù)整理記錄，同時要由專人或專業(yè)的系統(tǒng)對記錄進行審計分析。

2 存儲傳輸

由于在檔案信息利用過程中多多少少都涉及到數(shù)據(jù)存儲和傳輸?shù)膯栴}，因此，我們在這里集中探討數(shù)據(jù)存儲和傳輸?shù)陌踩Ｗo需求。

2.1 數(shù)據(jù)傳輸

檔案數(shù)據(jù)傳輸?shù)陌踩δ苄枨蟀ㄒ韵聨c：

（1）用戶身份認證

檔案信息系統(tǒng)對要求進行檔案數(shù)據(jù)傳輸?shù)挠脩魬M行身份認證，結合系統(tǒng)的權限管理，避免非法的傳輸申請。

（2）文件分塊、斷點續(xù)傳

檔案信息系統(tǒng)應根據(jù)網(wǎng)絡情況、文件大小等對需要傳送的文件進行智能分塊傳送，并支持斷點續(xù)傳及自動重組。

（3）不改變文件屬性

對傳輸中的文件保持其文件屬性，包括創(chuàng)建時間、最后修改時間等信息，這樣可以用于事后跟蹤、備查，并且這些文件信息能被讀取到系統(tǒng)數(shù)據(jù)庫中，作為傳輸文件的文件屬性保存。(如:電子檔案創(chuàng)建時間等)

（4）網(wǎng)絡帶寬智能檢測

針對網(wǎng)絡情況，檔案信息系統(tǒng)應設置網(wǎng)絡帶寬智能檢測，傳輸帶寬滿足一定帶寬的時候啟動或中斷傳輸，并且可以設置上傳的速率或滿負荷傳送，支持在網(wǎng)絡不通的狀態(tài)下設置傳輸任務，一旦網(wǎng)絡正常則啟動傳輸或定時傳輸。這樣可以減少傳輸過程中的堵塞問題并且防止惡意傳輸。

（5）傳輸過程加密

檔案信息系統(tǒng)應建立安全的傳輸通道，傳輸通道要采用加密協(xié)議，最好能指定點對點傳輸，使用戶在傳輸之前，先確定對方的身份，同時對傳輸內容進行加密，保證傳輸?shù)倪^程不被竊取或信息完整性被破壞。

（6）監(jiān)控日志審計管理

檔案信息系統(tǒng)的監(jiān)控日志要跟蹤傳輸情況，可以根據(jù)傳輸內容、傳輸類別、傳輸單位或個人、傳送數(shù)量、傳送效果等信息進行有效的查詢、匯總、統(tǒng)計、生成報表，并可以根據(jù)需要形成月度報表、季度報表、年度統(tǒng)計等報表。通過審計分析，及時發(fā)現(xiàn)傳輸過程中的問題，并在下一次傳輸前予以調整。

（7）實時狀態(tài)管理

檔案信息系統(tǒng)應對數(shù)據(jù)傳輸?shù)膶崟r狀態(tài)進行管理，設置實時查詢傳輸情況、傳輸狀態(tài)，實時顯示傳輸文件、傳輸流量等信息。對傳輸過程以及傳輸結果中遇到的各類情況實時告警，包括：連接速率、傳輸過程網(wǎng)絡故障、傳輸端對服務器的網(wǎng)絡攻擊行為、傳輸文件不完整、傳輸文件破壞或感染病毒、傳輸端被篡改等信息，并根據(jù)嚴重程度做出不同等級的告警，不同的告警信息用不同的顏色予以區(qū)分。

2.2 數(shù)據(jù)存儲

檔案數(shù)據(jù)存儲要保證數(shù)據(jù)層面的安全，一方面，通過采用現(xiàn)代密碼算法對數(shù)據(jù)進行主動保護，如：數(shù)據(jù)保密、數(shù)據(jù)完整性、雙向強身份認證等；另一方面，主要通過采用現(xiàn)代信息存儲手段對數(shù)據(jù)進行主

動防護，如：通過磁盤陣列、數(shù)據(jù)備份、異地容災等手段保證數(shù)據(jù)的安全。

1.存儲策略

首先要建立規(guī)范合理的數(shù)據(jù)存儲策略，明確檔案數(shù)據(jù)的分庫以及各自存儲的位置、采用的存儲方式和載體，建立并落實定期的數(shù)據(jù)監(jiān)測、備份、遷移等內容的數(shù)據(jù)存儲管理制度。

其次，存儲空間的訪問應設置權限，非數(shù)據(jù)庫管理員無法訪問存儲空間，避免普通用戶通過遠程連接直接登錄到后臺的存儲空間。

2.數(shù)據(jù)真實性

檔案數(shù)據(jù)在存儲時應為每份原文生成唯一摘要碼或驗證碼，并存放在數(shù)據(jù)庫中，可以實時對原文情況進行比對，確保原文內容與產(chǎn)生時一致，未被篡改，信息無丟失。

3.數(shù)據(jù)完整性

應能夠檢測到檔案信息以及系統(tǒng)相關數(shù)據(jù)在存儲過程中一致性、完整性受到破壞的情況，并在檢測到完整性錯誤時采取必要的恢復措施，確保數(shù)據(jù)的完整性。

4.數(shù)據(jù)保密性

應采用加密或訪問限制與監(jiān)控等其他保護措施實現(xiàn)檔案信息以及系統(tǒng)相關數(shù)據(jù)的存儲保密性。

5.長期保存性

檔案信息存儲應采用符合相關標準的通用的格式，并存放在符合國家有關標準規(guī)范的環(huán)境中。

6.備份和恢復

應提供檔案信息的數(shù)據(jù)備份與恢復功能，根據(jù)數(shù)據(jù)情況定期進行備份和遷移，備份介質場外存放；提供檔案信息的異地數(shù)據(jù)備份功能，利用通信網(wǎng)絡或人工方式將關鍵數(shù)據(jù)定時批量傳送至備份場地；采用冗余技術設計網(wǎng)絡拓撲結構，避免關鍵節(jié)點存在單點故障等問題；提供主要網(wǎng)絡設備、通信線路和數(shù)據(jù)處理系統(tǒng)的硬件冗余，保證系統(tǒng)的高可用性。

3 查詢利用

檔案信息查詢利用是最主要的一種利用形式，它指的是用戶通過檔案信息管理系統(tǒng)對檔案信息進行查詢、瀏覽乃至一定的輸出（如復制、打印等）等方面的利用。檔案查詢利用方面的功能需求主要包括以下幾點：

3.1 利用登記注冊

在檔案信息查詢利用前，利用者的信息要經(jīng)過登記，新增用戶要經(jīng)過申請、審批、反饋的流程。同時，系統(tǒng)應具備身份認證、用戶設置與權限分配等管理功能。

在檔案信息利用時，應當按照實際情況設置相應的利用者角色和審批流程。審批應由檔案利用的管理人員執(zhí)行，并對審批過程進行記錄。首先，要根據(jù)各種人員級別、層次進行使用權限的認定，并依此向利用系統(tǒng)注冊登記。其次，在檔案信息利用上，要根據(jù)檔案信息的

密級和開放程度，來確定其使用控制程度，系統(tǒng)要能夠控制到每個電子檔案或每條檔案信息的操作控制權限，操作控制權限可以定義在一定的期限內、或某個固定終端上，可以進行操作種類等等。尤其，對于外來人員，應當進行有效的身份確認，如用身份證、工作證、介紹信等進行確認。外來利用者用戶的臨時賬號，應當具有授權有效時間、指定專用計算機的限制。

系統(tǒng)在設置相應的訪問權限時，應遵循以下幾點：

（1）最小特權原則。規(guī)定用戶應當只被授權訪問那些完成其指定工作任務所需的最小權限，也就是說，應當阻止檔案館用戶訪問那些與其工作任務無關的內容。按工作需要能夠賦予最小權限的就賦予最小權限，不得賦予超出工作需要的權限。而當用戶想要訪問超出其權限訪問內的檔案信息時，系統(tǒng)應能直接禁止并進行告警，并同時通知系統(tǒng)管理員。這樣做到用戶只能訪問修改其工作任務要求修改的那些數(shù)據(jù)文件時，就確保了系統(tǒng)中的文件保密性和完整性。

（2）“知其所需”訪問。在特定的分類級別或安全域內，某些檔案信息可能會被劃分或間隔化，使得對這些檔案信息的訪問有所限制，只有當用戶能夠提出與工作任務相關的合理訪問理由，或能夠證明“知其所需”訪問的正當性，才會被授予訪問權限?！爸渌琛痹L問由應檔案館主管部門依照審批手續(xù)決定，并且只授予有限時間的

訪問權限。

（3）分權制約原則。該原則是針對管理員的，一般來說，重要的檔案信息管理系統(tǒng)，不允許超級管理員的出現(xiàn)，通過合理的劃分管理員權限，使系統(tǒng)管理員、數(shù)據(jù)庫管理員、安全審計員等之間相互牽制，避免管理員的一些違規(guī)行為。

3.2 操作過程管控

在檔案信息查詢利用時，應結合權限分配，啟用訪問控制功能，依據(jù)安全策略控制用戶對檔案信息資源的訪問。系統(tǒng)授權用戶對受保護的檔案信息進行操作時，操作權限受到統(tǒng)一安全策略和檔案信息狀態(tài)的控制，包括查看時間、查看次數(shù)、截屏等。對檔案目錄和全文的檢索應該有所區(qū)分，對檔案信息在不同網(wǎng)絡的瀏覽應該分別予以管控。高級別操作權限應當通過審核、審批來實現(xiàn)授權，保證對檔案信息進行不同的操作時，僅授予用戶最小的權限，從而確保敏感信息不被泄漏。

在檔案信息利用的動態(tài)過程中，由系統(tǒng)自動判定當前使用者身份的合法性及其所使用功能的范圍，并由系統(tǒng)自動對其使用各種功能操作的路徑進行跟蹤與記錄，對涉及使用未經(jīng)授權的功能，應能拒絕響應并給予警告提示。如檢索過程中，可根據(jù)檢索者檢索的檔案類別權限設定控制，防止檢索非授權的檔案類別數(shù)據(jù)。

同時，應禁止非認證的應用程序對檔案信息的操作，避免加密的檔案信息被另保存為非加密信息。對不開放的檔案信息，應當能嚴格控制利用，確保檔案信息的安全。

3.3 文件內容保護

在檔案信息查詢利用前，應通過版權控制管理技術保護電子檔案信息，對系統(tǒng)中的檔案信息綁定版權信息，防止其信息被拷貝，并使得對文件的保護不依賴于網(wǎng)絡、系統(tǒng)或存儲介質。同時，通過攝像監(jiān)控、利用電子水印等技術防止檔案信息內容被拍照。

同時，在檔案信息瀏覽時，應能設置允許瀏覽時間，并能控制瀏覽原文的頁碼，如：一個原文共有 10 頁，可以只提供其中的第 2 頁和第 3 頁給利用者瀏覽。還可以設置瀏覽密碼等授權認證，需要輸入授權密碼后才能打開原文。

在檔案信息查詢利用后，對于瀏覽時限到期的電子檔案（如文件檔案借閱）進行權限撤消，實現(xiàn)檔案信息的回收。

3.4 檔案輸出安全

檔案輸出的安全是查詢利用中需要重點考慮的方面，除了前面提到的操作過程管控外，還應控制有瀏覽權限的人是否能復制、打印、摘錄、傳播等，從而保證敏感檔案信息不被泄漏。對打印時間，打印次數(shù)，打印份數(shù)等，都應該進行控制。在檔案輸出時，可以自動加入水印，防止原文信息的擴散。

對于檔案輸出中的原文下載，應當控制下載后原文的打開權限，只有有相應身份認證的用戶才能打開，并可以控制下載原文的打開設備，如：指定在某臺計算機或設備上才能打開。同時，對下載后的原文進行打開次數(shù)的控制，屏蔽原文的截屏功能，并做到下載原文超過時限后的自動銷毀。同時，實現(xiàn)對用戶查詢利用過程中輸出的數(shù)據(jù)進行追蹤控制，追蹤控制的內容包括傳輸情況、操作行為等。

應當實現(xiàn)終端計算機不留密功能，所有對檔案信息管理系統(tǒng)的訪問應當指向某一安全終端訪問平臺，使檔案信息不能未經(jīng)系統(tǒng)許可就直接下載到本地終端上，確保檔案信息不被拷貝和泄漏。

3.5 安全審計分析

檔案信息管理系統(tǒng)應當具備對利用過程的記錄監(jiān)控功能，通過安全審計對檔案信息的使用過程進行詳細的記錄，每個審計事件與引起該事件的用戶身份相關聯(lián)，日常對可能有風險的事件行為進行分析查看，發(fā)生問題時能夠追朔問題的源頭。審計記錄的內容至少應包括：事件發(fā)生的時間（或時間段）、事件發(fā)起用戶 ID、用戶操作的客戶端、事件內容、事件的結果，對審計記錄數(shù)據(jù)進行統(tǒng)計、排序、分類、搜索以及分析生成報表的功能，并實現(xiàn)安全可視化，所有的安全行為事件、分析結果等。安全審計功能盡可能有一個統(tǒng)一的界面進行展示，以方便管理。同時，可以自定義安全規(guī)則，針對操作行為與規(guī)則的匹配度自動進行相應的審計。審計中應包括分析和警告的功能，如一個用戶在非工作時間段訪問系統(tǒng)，或者在工作時時間段訪問非授權的檔案信息，系統(tǒng)應予以拒絕并記錄在案，并通過警告提示管理員，以便進行跟蹤處理。

同時，安全審計應可以對利用者的利用情況進行綜合管理，包含利用者信息、利用時間、利用檔案信息、利用目的、利用人次、利用效果等，既便于檔案館響應各種各類利用需求，又能夠在其中發(fā)現(xiàn)在利用過程中可能存在的風險點，提高安全防護水平。

3.6 人員、場地、設備等的管控

查詢利用過程中的安全還涉及對人員、場地、設備等的管控。在檔案查詢利用場所，一般應限制利用人員攜帶手機、U 盤、數(shù)碼相機、筆記本電腦等設備。在查詢利用的場地上要有嚴格的監(jiān)控措施，避免利用人員不當操作，并記錄整個利用過程。同時，不同級別的檔案信息利用應實現(xiàn)網(wǎng)絡隔離，對查閱利用計算機的輸入和輸出口（USB、串口、紅外、Wifi 等）進行安全管控。同時系統(tǒng)應實現(xiàn)只能在指定專用的查閱利用計算機上進行電子檔案的利用，禁止傳閱到其他計算機上等功能，保證檔案信息查詢利用的安全。

4 信息公布

信息公布，這里指的是檔案信息通過編研、出版、展覽等方式提供利用，既包括在線利用，也包括離線利用的過程。

4.1 編研開發(fā)

在檔案編研開發(fā)過程中同樣存在著對操作過程的控制和審計。同時，編研過程中會通過復制、剪切、編輯等生成新文件，應當要防止編輯生成的新文件中檔案信息外泄。因此，應該對編研開發(fā)過程中的檔案信息進行加密，避免其被直接復制到本地計算機中。系統(tǒng)應當可以控制目錄數(shù)據(jù)的字段值內容、電子原文的內容等在編研過程中的復制。同時，要嚴格控制文件的下載權限，避免在編研過程中獲取到?jīng)]有下載權限的重要信息。

在編研成果發(fā)布時，可以控制專題發(fā)布的目錄字段、原文格式、是否加水印、發(fā)布的頁碼、是否需要身份認證才能利用等。對于編研成果的發(fā)布情況，也應當專門記錄發(fā)布日志。同時，系統(tǒng)要加強編研過程的終端控制。編研人員必須在具有權限的終端計算機上才能進行操作，并且要綁定身份認證信息，防止其他人員通過編研操作獲取不應知曉的檔案信息。

4.2 離線利用

在檔案信息公布過程中，往往涉及到檔案信息的離線利用。這里的離線利用，特指檔案信息脫離系統(tǒng)后的各種利用。現(xiàn)實情況下，不管是在檔案查詢利用還是在信息公布時，都存在著檔案信息導出系統(tǒng)提供利用的情況。

離線利用安全保護主要要考慮的是檔案信息及其相關的存儲介質的加密控制，具體地，應當包括以下幾個方面：

（1）事前，設置好身份認證措施，必須要經(jīng)過身份認證后的用戶才能訪問離線檔案信息，如通過管理手段或與數(shù)字證書綁定等，沒有插入相應的證書則無法訪問；對于某些特別重要的文件，禁止離線查看，必須通過終端不留密的方式在線閱讀。

（2）事前，在檔案信息導出系統(tǒng)時，應當限制對離線檔案信息的訪問時間和訪問次數(shù)，并通過檔案信息系統(tǒng)將此屬性嵌入到信息內部，做到“閱后即焚”。

（3）事中，為了防止檔案信息的復制而導致傳播范圍擴散的問

題，應當設置對電子檔案的副本拷貝無法操作或者結果無效；應當根據(jù)權限情況，限制對檔案信息中內容的復制，禁止截屏功能，利用電子水印等技術防止拍照；對于檔案信息的篡改，要能做到一經(jīng)篡改便不可使用，或者不可按既定的規(guī)則打開，從而使其他使用者可以看出來這是一個被篡改過的文件。

（4）事后，在訪問時間或訪問次數(shù)到達時，能自動銷毀離線利用的檔案信息；必要時可以對檔案信息及其相關的存儲介質進行追蹤，記錄訪問和操作情況。

（5）對終端計算機及存儲介質進行安全管控，避免造成被病毒感染、木馬程序竊取或通過郵件等方式流傳到公眾網(wǎng)絡中。對檔案信息存儲介質及其相關設備進行標識，嚴格登記設備臺賬，并記錄設備管理人員以及設備去向，如設備損壞或報廢，應由指定的專門機構進行處理。

5 對外發(fā)布

前面提到，檔案信息對外發(fā)布指兩種情況，一種是在政務網(wǎng)或互聯(lián)網(wǎng)站上發(fā)布公開的檔案信息；另一種是依據(jù)某個特定的系統(tǒng)，向有權限查閱的用戶主動的分發(fā)共享檔案信息。它應當包括以下的功能需求：（1）事前，應當對檔案信息進行分類，按照相應權限進行分發(fā)。所有的對外發(fā)布請求必須通過審批，并記錄在案，可查閱、可審計、可跟蹤。

（2）事中，對外發(fā)布的檔案信息的使用必須經(jīng)過身份審批，只能由指定的用戶打開或調閱；對外發(fā)布的檔案信息進行硬件綁定，不允許脫離該硬件，即使脫離該硬件也無法訪問；對發(fā)布所采用的硬件設備進行管控，登記在案；對可能產(chǎn)生泄密的重要行為或異常行為進行告警，如批量外發(fā)、嘗試非法操作等。

（3）事后，對外發(fā)布的檔案信息超過指定時間期限或達到指定打開次數(shù)，文件自動銷毀。
（4）對檔案信息網(wǎng)站進行安全加固。為網(wǎng)站安全保護提供統(tǒng)一的策略管理和服務，包括用戶操作策略、進程策略、文件密級策略、審計跟蹤策略等等。進行網(wǎng)絡的隔離，避免由于網(wǎng)絡的開放性、互連性等特征而導致其易受黑客的攻擊和病毒的入侵，造成檔案信息的泄密、假冒、篡改的問題。實行網(wǎng)站系統(tǒng)管理員、信息安全管理員、信息發(fā)布審計員“三員分開”制度，建立操作日志。

（5）對外發(fā)布后的檔案信息應進行追蹤，包括傳輸路徑、利用情況等，并對相關情況進行分析，必要時向系統(tǒng)發(fā)送警告信息。檔案信息利用過程中的安全防護是一項整體的工作，因此，要對以上的這些檔案信息利用過程中各個環(huán)節(jié)的功能需求進行統(tǒng)籌考慮和規(guī)劃，使之在統(tǒng)一的安全管控之下實施，使得安全防護工作成為一個有機的整體，以達到檔案信息利用過程中主動性、動態(tài)性、全過程安全管控的目的。