聶云霞 張加欣 甘 敏/南昌大學歷史系

“互聯(lián)網(wǎng)+”時代是一個萬物互聯(lián)的大數(shù)據(jù)時代，“互聯(lián)網(wǎng)+”火熱的背后暗藏潛在風險，信息安全便是其中非常重要一個方面。當前，數(shù)字檔案資源安全在“互聯(lián)網(wǎng)+”環(huán)境下呈現(xiàn)出一些新特點，數(shù)字檔案資源從產(chǎn)生、保管到利用等環(huán)節(jié)的安全風險大大增加，因此必須加強針對數(shù)字檔案資源安全的研究，確保數(shù)字檔案資源的安全。

1 數(shù)字檔案資源安全的內(nèi)容及特點

數(shù)字檔案資源安全是數(shù)字檔案資源能夠合理開發(fā)利用的保障，主要是指防止數(shù)字檔案信息在存儲、利用過程中被故意或偶然地非法泄露、更改或破壞，確保檔案信息內(nèi)容的真實性、完整性、可用性、保密性，以及保護數(shù)字檔案資源實體的安全[1]。在“互聯(lián)網(wǎng)+”環(huán)境下，數(shù)字檔案資源安全呈現(xiàn)出許多新特點：

一是高度脆弱性?！盎ヂ?lián)網(wǎng)+”的到來使得各行各業(yè)實現(xiàn)了完全意義上的“蜘蛛網(wǎng)”式的互聯(lián)，其中金融、電力、交通、衛(wèi)生、信息等行業(yè)尤為依賴網(wǎng)絡的安全性。數(shù)字檔案資源作為信息化環(huán)境下社會實踐的產(chǎn)物，在以網(wǎng)絡為中樞的控制系統(tǒng)中，其安全性難以控制，不可避免地會遭受攻擊，這使得數(shù)字檔案資源安全具有高度脆弱的特性。

二是攻擊源的多樣性。攻擊源的多樣性首先表現(xiàn)為攻擊對象的不確定性，即上到國家下到個人都可能成為數(shù)字檔案資源的攻擊者；其次表現(xiàn)為攻擊源的彌漫性，“互聯(lián)網(wǎng)+”時代攻擊數(shù)字檔案資源的成本低、技術手段易獲取，在經(jīng)濟利益的驅(qū)使下，攻擊源呈現(xiàn)出彌漫性的趨勢。

三是威脅的潛伏性和突發(fā)性。一般來說，信息安全的威脅因素往往有較長的潛伏時間，在沒有任何預兆的情況下突然發(fā)生并迅速蔓延。網(wǎng)絡黑客會通過網(wǎng)絡系統(tǒng)對數(shù)字檔案資源數(shù)據(jù)進行動態(tài)跟蹤監(jiān)視，在必要時發(fā)起突然襲擊，這使得數(shù)字檔案資源的安全面臨極大挑戰(zhàn)。

四是存在“蝴蝶效應”?！昂痹诰W(wǎng)絡中表現(xiàn)為即時擴散性?；ヂ?lián)網(wǎng)時代信息傳播速度快、規(guī)模大、影響范圍廣泛，在這樣的背景下，一旦發(fā)生數(shù)字檔案資源安全問題，相關信息會快速擴散出去，這嚴重阻礙了數(shù)字檔案資源建設工作，也使得檔案資源安全得不到保障。

2 開展數(shù)字檔案資源安全研究的重要性與必要性

2.1 重要性

一是國家安全的重要內(nèi)容。檔案安全是國家安全的基礎組成部分，數(shù)字檔案資源安全更是國家檔案信息化建設的重要內(nèi)容，國家對數(shù)字檔案資源安全的重視程度日益提高。2014年2月，中央網(wǎng)絡安全和信息化領導小組成立，習近平任組長。小組在北京召開了第一次會議，重點部署2014年網(wǎng)絡安全和信息化等的主要工作[2]。2015年12月召開的第二屆世界互聯(lián)網(wǎng)大會以“互聯(lián)互通、共享共治——構建網(wǎng)絡空間命運共同體”為主題，強調(diào)要加強網(wǎng)絡安全管理。這些都充分體現(xiàn)了在“互聯(lián)網(wǎng)+”的環(huán)境下，開展數(shù)字檔案資源安全研究是國家安全的重要內(nèi)容。

二是建設檔案安全體系的應有之義。建設檔案安全體系的目的是保障信息安全，促進檔案信息化工作的開展。檔案安全體系的順利建設及其作用的充分發(fā)揮，離不開數(shù)字檔案資源安全管理，開展數(shù)字檔案資源安全研究是檔案安全體系建設的重要組成部分。

三是數(shù)字檔案館實現(xiàn)良好發(fā)展的迫切需要。數(shù)字檔案館的安全運營關系到檔案館全部業(yè)務的順利開展，關系到檔案部門形象的提升和服務社會發(fā)展功能的順利實現(xiàn)。數(shù)字檔案資源的安全問題直接關系到數(shù)字檔案館能否安全運營，因而開展數(shù)字檔案資源安全研究是實現(xiàn)數(shù)字檔案館良好發(fā)展的迫切需要。

2.2 必要性

一是數(shù)字檔案產(chǎn)生流程存在隱患。數(shù)字檔案資源的產(chǎn)生依賴于信息技術，這樣的產(chǎn)生條件對系統(tǒng)具有高度的依賴性，存在人員方面的隱患，具體來說，在數(shù)字檔案產(chǎn)生過程中，文檔人員往往因為某些過失導致數(shù)字檔案資源不真實；文檔人員素質(zhì)低下及業(yè)務人員責任心對不強，致使數(shù)字檔案的安全性得不到保障。此外，由于數(shù)字檔案資源建設標準不健全，對數(shù)字檔案的格式等要求不一，也會給數(shù)字檔案的讀取、長期保存等帶來諸多不便。

二是數(shù)字檔案資源保管過程存在危機。數(shù)字檔案資源的保管過程存在許多不確定因素，這些不確定因素往往會轉變?yōu)榫唧w的危機，如，數(shù)字檔案資源保管技術風險，主要指數(shù)字檔案資源載體的脆弱性和技術的不穩(wěn)定性，以及由于信息系統(tǒng)技術的進步導致數(shù)字檔案信息不可讀等；突發(fā)事件風險，是指由于自然災害、人為破壞、戰(zhàn)爭、法律糾紛、系統(tǒng)災難性故障、財務危機、商業(yè)競爭、國際爭端等原因，造成數(shù)字檔案信息無法持續(xù)使用；元數(shù)據(jù)風險，“互聯(lián)網(wǎng)+”環(huán)境使得數(shù)字檔案資源的背景信息難以被準確、完整地記錄下來，如果不提供或補充這些元數(shù)據(jù)，數(shù)字檔案信息的原始性和憑證價值就會受到質(zhì)疑，進而給數(shù)字檔案信息的保管工作等帶來一系列問題。

三是數(shù)字資源檔案利用環(huán)節(jié)存在風險?！盎ヂ?lián)網(wǎng)+”使得數(shù)字檔案資源的利用范圍更加廣泛，面臨的風險更大。如，數(shù)字檔案資源知識產(chǎn)權風險，在網(wǎng)絡環(huán)境下擅自拷貝、復制數(shù)字檔案信息資源的問題較為普遍，這些問題容易引發(fā)知識產(chǎn)權糾紛；信息篡改風險，數(shù)字檔案資源在“互聯(lián)網(wǎng)+”時代容易被越權非法篡改，影響數(shù)字檔案的真實性；網(wǎng)絡攻擊風險，網(wǎng)絡環(huán)境給檔案數(shù)字化利用過程帶來的不安全因素包括計算機病毒侵襲、黑客攻擊等?！盎ヂ?lián)網(wǎng)+”時代給數(shù)字檔案資源安全帶來了更大挑戰(zhàn)，必須堅持數(shù)字檔案安全和信息化工作的統(tǒng)一謀劃，以“互聯(lián)網(wǎng)+”理念做好數(shù)字檔案資源建設工作，并為這項工作構建一個安全、平衡的網(wǎng)絡秩序。

3 數(shù)字檔案資源安全的主要內(nèi)容

3.1 實體安全

數(shù)字檔案資源實體安全包括數(shù)字檔案實體安全、載體安全、庫房安全和硬件設備安全等。數(shù)字檔案實體安全主要指數(shù)字檔案實體（包括數(shù)字檔案及其元數(shù)據(jù)、憑證信息等）不被丟失、刪改、損壞而導致不可讀、不可用；載體安全主要指數(shù)字檔案信息存儲載體穩(wěn)定、存續(xù)，不被盜取、破壞，可以保障數(shù)字檔案信息安全存儲[3]；庫房安全是指按照“八防”要求，確保庫房環(huán)境穩(wěn)定[4]；軟硬件設備安全是指數(shù)字檔案資源所依賴的軟件系統(tǒng)以及計算機硬件設備等運行環(huán)境穩(wěn)定，可以支持數(shù)字檔案信息存儲和利用。

3.2 信息內(nèi)容安全

數(shù)字檔案資源信息內(nèi)容安全包括四方面：一是維護信息內(nèi)容的原始性與真實性，確保在網(wǎng)絡環(huán)境下形成的數(shù)字檔案資源的內(nèi)容、結構、背景信息與原始狀態(tài)一致；二是保障信息內(nèi)容的完整性，保證數(shù)字檔案資源在存儲、利用過程中不被蓄意刪除、修改等；三是維護信息內(nèi)容的保密性，保障數(shù)字檔案信息資源在利用過程中不被非法竊取、信息內(nèi)容不被泄漏；四是保證信息的可用性，確保數(shù)字檔案資源的可讀性和系統(tǒng)兼容性，使數(shù)字檔案資源長期有效可用。

4 構建數(shù)字檔案資源安全保障體系

4.1 建立數(shù)字檔案資源安全組織體系

在數(shù)字檔案資源安全管理中，組織體系是基礎，建立一套科學的組織體系是做好數(shù)字檔案資源安全管理的必要條件和保證[5]。要將數(shù)字檔案資源安全組織體系置于中心位置，體現(xiàn)其基礎性地位；還要科學地認識傳統(tǒng)的檔案安全組織體系存在的不足，如，缺乏信息安全總體決策與管控中心、重疊管理和灰色區(qū)域共存、組織機構間協(xié)調(diào)不健全等。在此基礎上明確具體的建立措施，包括：建立和完善組織機構。建立信息安全最高組織機構，可定名為國家信息安全委員會，下設專門的數(shù)字檔案信息安全管理部門，專門管理數(shù)字檔案資源安全事宜；建立政府與企業(yè)的合作伙伴關系。在“互聯(lián)網(wǎng)+”環(huán)境下鼓勵“大眾創(chuàng)業(yè)、萬眾創(chuàng)新”，政府負責制定政策引導企業(yè)信息產(chǎn)業(yè)以及檔案產(chǎn)業(yè)化發(fā)展，企業(yè)負責信息安全等技術研發(fā)工作，雙方通過合作以最優(yōu)原則為數(shù)字檔案信息安全工作服務。

4.2 建立數(shù)字檔案資源安全運營管理體系

做好數(shù)字檔案資源安全運營管理，需要借鑒美國學者的PDRR（保護、檢測、響應、恢復）模型及改進模型，基于改進模型可建立數(shù)字檔案資源安全運營管理機制：風險分析機制，包括建立信息評估機制、評估方法，分析數(shù)字檔案信息安全風險等；保護機制，對網(wǎng)絡、基礎設施和信息系統(tǒng)進行必要的防護，采用識別、認證、授權等手段保障數(shù)字檔案資源的保密性、完整性；檢測機制，使網(wǎng)絡、基礎設施、信息系統(tǒng)在“互聯(lián)網(wǎng)+”新環(huán)境下具備檢測能力，能及時發(fā)現(xiàn)網(wǎng)絡安全威脅；應急響應機制，對網(wǎng)絡安全事件進行跟蹤和及時處理等，降低“蝴蝶效應”帶來的危害；安全恢復機制，網(wǎng)絡安全事故發(fā)生后，盡快完成檔案資源的恢復，把對數(shù)字檔案資源的損害降到最低。

4.3 建立健全數(shù)字檔案資源安全法律體系

一是制定國家級別的數(shù)字檔案資源安全法律法規(guī)。制定適應信息化發(fā)展趨勢的《數(shù)字檔案資源安全法》《數(shù)字檔案館法》等，從國家層面規(guī)范數(shù)字檔案資源安全管理工作，同時為解決數(shù)字檔案資源安全法律問題提供直接依據(jù)，實現(xiàn)有法可依。二是健全現(xiàn)有的與數(shù)字檔案資源安全相關的法律法規(guī)?？煽紤]修訂《中華人民共和國檔案法》，在修訂時應該對數(shù)字檔案內(nèi)涵做出明確、具體的規(guī)定，將數(shù)字檔案資源安全納入法律規(guī)范。還要補充現(xiàn)有的與數(shù)字檔案安全管理相關的成文法規(guī)。舉例來說，當前在知識產(chǎn)權和著作權工作領域，由于沒有預估到信息技術飛速發(fā)展的趨勢，在立法時并未把產(chǎn)生的數(shù)字檔案納入法律保護范圍之中，也沒有制定明確的法規(guī)條文要求追究侵權等，致使數(shù)字檔案安全問題頻發(fā)。因此必須要補充現(xiàn)有的與數(shù)字檔案安全管理相關的成文法規(guī)，確保數(shù)字檔案資源的絕對安全。

4.4 建立健全數(shù)字檔案資源安全標準體系

一是完善與數(shù)字檔案資源相關的安全標準。目前我國數(shù)字檔案資源安全標準中，國家級別的標準有GB/T18894-2002《電子文件歸檔與管理規(guī)范》；行業(yè)標準有DA/T15-1995《磁性載體檔案管理與保護規(guī)范》、DA/T32-2005《公務電子文件歸檔與管理規(guī)則》；地方標準有《青島市電子文件歸檔與管理規(guī)范（試行）》《上海文書檔案目錄數(shù)據(jù)元規(guī)范》等[6]。在“互聯(lián)網(wǎng)+”這一時代背景下，大多數(shù)信息安全標準難以適應當前信息技術的發(fā)展需要，因此要著力完善各類數(shù)字檔案資源安全標準，確保標準能夠順應互聯(lián)網(wǎng)發(fā)展趨勢。二是建立以“數(shù)字檔案”命名的數(shù)字檔案資源安全標準。應建立以“數(shù)字檔案”命名的數(shù)字檔案資源標準，如《數(shù)字檔案歸檔案與管理規(guī)范》等，確保標準體系規(guī)范化、系統(tǒng)化，使“互聯(lián)網(wǎng)+”環(huán)境下產(chǎn)生的數(shù)字檔案資源的存儲、保管、利用等過程盡可能嚴格規(guī)范。

4.5 建立數(shù)字檔案資源安全技術體系

當前，我國確保數(shù)字檔案資源安全的技術手段仍不完善，存在以下問題：技術更新周期的趨短性容易導致系統(tǒng)不兼容，對數(shù)字檔案的可讀性等產(chǎn)生困擾；不具備開展自主研發(fā)的核心技術，容易成為其他國家進行信息竊聽和信息打擊的對象。針對這樣的現(xiàn)狀，應著力建立以自主研發(fā)為主，以防火墻技術、數(shù)據(jù)加密技術、身份認證技術、訪問控制技術、安全檢測與監(jiān)控技術等為核心，順應信息技術發(fā)展潮流的數(shù)字檔案資源技術保障體系。首先，建立安全計算環(huán)境，進行數(shù)字檔案用戶的身份鑒別與自主訪問控制；其次，建立安全區(qū)域邊界，杜絕強制訪問，并進行區(qū)域邊界安全審計、區(qū)域邊界完整性保護；第三，建立安全通訊網(wǎng)絡，保障數(shù)字檔案信息傳輸?shù)耐暾院捅Ｃ苄訹7]。

4.6 建設數(shù)字檔案資源安全管理人才隊伍

近年來，由于檔案工作人員惡意操作或操作不當引發(fā)的數(shù)字檔案安全事故不斷增長，因此建設數(shù)字檔案資源安全管理人才隊伍建設，提高檔案人員的安全意識、素質(zhì)水平、創(chuàng)新能力，有助于從內(nèi)部筑起安全堡壘，著力對抗來自外部的攻擊[8]。一般來說，數(shù)字檔案資源安全管理人才隊伍體系大致可分為高中低三個層次：高層次是數(shù)字檔案資源安全戰(zhàn)略人才，負責數(shù)字檔案資源安全措施的制定和安全工作監(jiān)控；中層次包括復合型管理人才和創(chuàng)新型研發(fā)人才，分別負責數(shù)字檔案資源安全的綜合管理和信息技術的研發(fā)；低層次包括數(shù)字檔案資源安全應用人員、安全管理人員和具備安全知識的普通公民[9]。開展數(shù)字檔案資源安全管理人才建設要建立并完善高校檔案學專業(yè)關于數(shù)字檔案資源安全保障的相應課程體系[10]，同時建立“互聯(lián)網(wǎng)+高校+科研院所”模式，充分利用“互聯(lián)網(wǎng)+”；加強檔案管理人員培訓，增強他們進行數(shù)字檔案安全管理的技能；實施人員全程任職監(jiān)管，落實檔案人員對數(shù)字檔案資源安全管理的權責；構建信息安全人才庫，為數(shù)字檔案資源安全管理做好人才儲備。

4.7 建立數(shù)字檔案資源安全管理國際合作機制

在“互聯(lián)網(wǎng)+”環(huán)境下，要確保數(shù)字檔案資源安全，必須貫徹習近平提出的“共同構建網(wǎng)絡空間命運共同體”的要求，建立數(shù)字檔案資源安全管理國際合作機制。要以聯(lián)合國為中心，加強區(qū)域組織安全合作，維護共同的數(shù)字檔案安全；加強非政府間的企業(yè)安全技術跨國合作，不斷提升數(shù)字檔案安全管理的技術水平；推動國際間數(shù)字檔案資源安全的立法和司法合作，共同應對網(wǎng)絡犯罪風險，為全球數(shù)字檔案資源安全管理提供穩(wěn)定的國際環(huán)境。

“互聯(lián)網(wǎng)+”時代的到來推動信息技術快速發(fā)展，由此帶來的一個負面影響是數(shù)字檔案資源的安全問題越來越突出。在實際工作中，只有從整體出發(fā)，研究數(shù)字檔案資源安全的方方面面，建立和完善數(shù)字檔案資源安全保障體系，才能確保數(shù)字檔案的安全與可用。

注釋與參考文獻：

[1]樊如夏,鄭志榮.影響數(shù)字檔案信息安全的因素與對策[J].檔案學通訊,2007,(06):73-74.

[2]外媒熱議習近平領銜網(wǎng)安小組:視網(wǎng)絡安全為國家戰(zhàn)略-中新網(wǎng)[EB/OL].[2015-12-10].http://www.chinanews.com/gn/2014/03-01/5898814.shtml.

[3]陳永生,蘇煥寧,楊茜茜等.電子政務系統(tǒng)中的檔案管理：安全保障[J].檔案學研究,2015,(04):29-30.

[4]封華.新時期加強檔案實體與檔案信息安全的幾點思考[A].檔案安全與檔案服務——2011年甘肅省檔案工作者年會論文集[C],2011.

[5][6]張勇.數(shù)字檔案信息資源安全保障體系研究[D].蘇州:蘇州大學,2007:17-19.

[7]張勇.大數(shù)據(jù)時代數(shù)字檔案信息資源安全保障體系研究[J].檔案管理,2014,(06):23-24.

[8]王茹熠.數(shù)字檔案信息安全防護對策分析[D].黑龍江:黑龍江大學,2009:23-24.

[9]張顯龍.全球視野下的中國信息安全戰(zhàn)略[M].北京:清華大學出版社,2013:97-98.

[10]張勇.數(shù)字檔案信息資源安全保障體系研究[D].蘇州:蘇州大學,2007:39-40.