文/河南省體育局　張曉玲

“互聯(lián)網(wǎng)+”環(huán)境下電子文件信息安全風(fēng)險(xiǎn)的界定

文/河南省體育局張曉玲

本文從信息安全、信息安全風(fēng)險(xiǎn)、電子文件信息安全、電子文件信息安全風(fēng)險(xiǎn)的概念入手，討論了電子文件信息安全與電子文件信息安全風(fēng)險(xiǎn)的區(qū)別與關(guān)系。歸納了“互聯(lián)網(wǎng)+”環(huán)境下電子文件信息安全風(fēng)險(xiǎn)的表現(xiàn)形式，提出了“原生風(fēng)險(xiǎn)”“伴生風(fēng)險(xiǎn)”“先天風(fēng)險(xiǎn)”“后天風(fēng)險(xiǎn)”的概念。指出在“互聯(lián)網(wǎng)+”環(huán)境下，理清電子文件信息安全風(fēng)險(xiǎn)要素，對(duì)“互聯(lián)網(wǎng)+”環(huán)境下電子文件信息安全風(fēng)險(xiǎn)進(jìn)行評(píng)估與控制，具有重要的現(xiàn)實(shí)意義。

互聯(lián)網(wǎng)+；電子文件信息；信息安全；風(fēng)險(xiǎn)

一、電子文件信息安全與電子文件信息安全風(fēng)險(xiǎn)

電子文件信息安全問(wèn)題是近年來(lái)檔案界研究的熱點(diǎn)。僅知網(wǎng)數(shù)據(jù)庫(kù)題名中涉及“電子文件信息安全”的文獻(xiàn)就有40篇，主題中涉及“檔案信息安全”的文獻(xiàn)有65篇，全文中涉及“信息安全風(fēng)險(xiǎn)”的文獻(xiàn)更是多達(dá)689篇。相比之下，對(duì)于檔案信息安全風(fēng)險(xiǎn)的研究就要冷許多。同樣在知網(wǎng)數(shù)據(jù)庫(kù)題名中涉及“檔案信息安全風(fēng)險(xiǎn)”的文獻(xiàn)為0篇，主題中涉及“檔案信息安全風(fēng)險(xiǎn)”的文獻(xiàn)只有1篇，全文中涉及“檔案信息安全風(fēng)險(xiǎn)”的文獻(xiàn)也不過(guò)18篇。

在電子文件信息安全問(wèn)題提出的初期，研究關(guān)注的重點(diǎn)是如何保障電子文件信息的安全，隨著研究的深入，人們?cè)絹?lái)越發(fā)現(xiàn)要保障電子文件信息的安全，必須對(duì)產(chǎn)生電子文件信息安全風(fēng)險(xiǎn)的要素進(jìn)行控制，必須對(duì)電子文件信息安全風(fēng)險(xiǎn)問(wèn)題進(jìn)行研究。但研究中常常有將電子文件信息安全與電子文件信息安全風(fēng)險(xiǎn)相混淆的情況。因此，有必要首先對(duì)電子文件信息安全與電子文件信息安全風(fēng)險(xiǎn)的概念及兩者間的區(qū)別進(jìn)行一些闡述。

（一）信息安全和電子文件信息安全。要明確電子文件信息安全的概念，先要搞清楚信息安全的概念。關(guān)于信息安全，學(xué)界目前還沒(méi)有形成統(tǒng)一的認(rèn)識(shí)，從國(guó)內(nèi)外已有的定義看，大致可以分為廣義和狹義兩類(lèi)。廣義信息安全包括“信息系統(tǒng)的安全和信息內(nèi)容的安全”，是指“所有涉及信息的安全性、完整性、可用性、真實(shí)性和可控性的相關(guān)理論和技術(shù)，它是物理安全、網(wǎng)絡(luò)安全、數(shù)據(jù)安全、信息內(nèi)容安全、信息基礎(chǔ)設(shè)施安全與公共信息安全的總和。”簡(jiǎn)單地說(shuō)，“信息安全是指信息及信息系統(tǒng)所具有的完整性、可用性和保密性不受破壞?！?/p>

狹義信息安全是指信息內(nèi)容的安全性，“主要側(cè)重于保護(hù)信息的秘密性、真實(shí)性和完整性，避免攻擊者利用系統(tǒng)的安全漏洞進(jìn)行竊聽(tīng)、冒充、詐騙、盜用等有損合法用戶利益的行為，保護(hù)合法用戶的利益和隱私?！?/p>

與信息安全定義的情況相似，檔案學(xué)界對(duì)電子文件信息安全的定義也沒(méi)有形成共識(shí)，大致也有兩觀點(diǎn)，與信息安全定義中的廣義和狹義近似。廣義地講，“電子文件信息安全是指電子文件信息在其生成、保存和利用過(guò)程中受到保護(hù)，不因偶然和惡意的原因而遭到破壞、更改和泄露，確保其真實(shí)性、完整性、系統(tǒng)性、原始性、可讀性和可靠性，并確保電子文件信息網(wǎng)絡(luò)系統(tǒng)連續(xù)正常運(yùn)行?！笨梢岳斫鉃殡娮游募踩袃蓚€(gè)方面的含義：一方面是指電子文件系統(tǒng)或載體的安全；另一方面是指電子文件信息內(nèi)容的安全。與狹義的“信息安全”不同，檔案工作者將狹義的電子文件信息安全又分為電子文件信息系統(tǒng)安全與電子文件信息安全兩種。從電子文件生成系統(tǒng)軟硬件和電子文件信息兩個(gè)方面來(lái)定義電子文件信息安全。如：“電子文件信息安全是指對(duì)電子文件信息內(nèi)容的保密性、完整性、可用性、可控性和不可否認(rèn)性進(jìn)行的安全保護(hù)。”

電子文件信息安全是指電子文件信息系統(tǒng)安全，包括電子文件應(yīng)用系統(tǒng)安全、電子文件信息網(wǎng)絡(luò)安全、計(jì)算機(jī)系統(tǒng)安全和電子文件信息設(shè)備安全，主要體現(xiàn)為電子文件的保密性、完整性、可用性、可控性、不可抵賴性5個(gè)方面。或者說(shuō)電子文件信息安全是指電子文件信息的“保密性、完整性、可用性和真實(shí)性的保持?！?/p>

總之，電子文件信息安全是指電子文件信息網(wǎng)絡(luò)管理系統(tǒng)的硬件、軟件及其系統(tǒng)中的電子文件數(shù)據(jù)受到保護(hù)，系統(tǒng)連續(xù)、可靠、正常地運(yùn)行，不受偶然的或者惡意的原因而遭到破壞、更改、泄露?；蛘哒f(shuō)，電子文件信息安全是指對(duì)電子文件信息系統(tǒng)軟、硬件及系統(tǒng)中的電子文件數(shù)據(jù)信息實(shí)施保護(hù)，使其免受自然或人為的損害或破壞。

（二）信息安全風(fēng)險(xiǎn)和電子文件信息安全風(fēng)險(xiǎn)。同樣，電子文件信息安全風(fēng)險(xiǎn)概念的明晰，也需要從信息安全風(fēng)險(xiǎn)說(shuō)起。與信息安全的定義相似，信息安全風(fēng)險(xiǎn)的定義也可以分為廣義與狹義兩種。狹義的信息安全風(fēng)險(xiǎn)，一方面信息系統(tǒng)安全風(fēng)險(xiǎn)是指，“……在信息系統(tǒng)的整個(gè)生命周期中面臨的人為或自然的威脅，系統(tǒng)存在的脆弱性導(dǎo)致信息安全事件發(fā)生的可能性及其造成的影響”。另一方面系統(tǒng)中信息的安全風(fēng)險(xiǎn)則是指信息系統(tǒng)中信息的保密性、完整性和可用性遭到破壞的可能性。而廣義的信息安全風(fēng)險(xiǎn)，則包括信息系統(tǒng)安全風(fēng)險(xiǎn)和系統(tǒng)中信息的安全風(fēng)險(xiǎn)。

雖然，在知網(wǎng)數(shù)據(jù)庫(kù)中，題名涉及“電子文件信息安全風(fēng)險(xiǎn)”的文獻(xiàn)沒(méi)有1篇，主題涉及“電子文件信息安全風(fēng)險(xiǎn)”的有1篇，全文中涉及“電子文件信息安全風(fēng)險(xiǎn)”的文獻(xiàn)也只有18篇。但均沒(méi)有定義或討論什么是“電子文件信息安全風(fēng)險(xiǎn)”?！半娮游募畔踩L(fēng)險(xiǎn)”似乎是一個(gè)不言自明的問(wèn)題?；谶@種情況，筆者參照上述信息安全風(fēng)險(xiǎn)的定義，結(jié)合電子文件信息的特點(diǎn)，嘗試著將電子文件信息安全風(fēng)險(xiǎn)定義為：電子文件信息系統(tǒng)的整個(gè)生命周期中面臨的人為或自然的威脅，系統(tǒng)存在的脆弱性導(dǎo)致電子文件信息安全事件發(fā)生的可能性及其造成的影響，及電子文件信息系統(tǒng)中電子文件信息的保密性、完整性、真實(shí)性和可用性遭到破壞的可能性。

（三）電子文件信息安全與電子文件信息安全風(fēng)險(xiǎn)的區(qū)別與關(guān)系。電子文件信息安全與電子文件信息安全風(fēng)險(xiǎn)從字面上看，非常相似，只有區(qū)區(qū)2個(gè)字的不同。但兩者存在如下的區(qū)別：目的不同。電子文件信息安全的目的是保障電子文件信息不受損害或破壞，而電子文件信息安全風(fēng)險(xiǎn)的目的是尋找可能損害或破壞電子文件信息的因素，就電子文件信息可能受到的損害或破壞向相關(guān)主體示警。對(duì)象不同。電子文件信息安全針對(duì)的對(duì)象是現(xiàn)實(shí)的危及安全的問(wèn)題，而電子文件信息安全風(fēng)險(xiǎn)針對(duì)的是某種危險(xiǎn)的可能性。手段不同。實(shí)現(xiàn)電子文件信息安全的手段是現(xiàn)實(shí)的，包括技術(shù)的、制度的、設(shè)備的。而電子文件信息安全風(fēng)險(xiǎn)只來(lái)源于對(duì)電子文件信息安全所涉及各要素測(cè)量數(shù)據(jù)的分析與評(píng)估。容忍度不同。對(duì)于電子文件信息安全我們不允許有絲毫懈怠，追求100%的安全。而電子文件信息安全風(fēng)險(xiǎn)不可能，也沒(méi)有必要追求0風(fēng)險(xiǎn)，允許有一定的容忍度和風(fēng)險(xiǎn)值，只根據(jù)允許與可控程度采取相應(yīng)的行動(dòng)。

在兩者關(guān)系上，不是對(duì)等關(guān)系，而是包容關(guān)系。電子文件信息安全風(fēng)險(xiǎn)包含在電子文件信息安全之中，是電子文件信息安全的一個(gè)組成部分。

二、“互聯(lián)網(wǎng)+”環(huán)境下電子文件信息安全風(fēng)險(xiǎn)的表現(xiàn)形式

在基于移動(dòng)互聯(lián)網(wǎng)、云計(jì)算、大數(shù)據(jù)、物聯(lián)網(wǎng)等先進(jìn)技術(shù)應(yīng)用的“互聯(lián)網(wǎng)+”環(huán)境下，電子文件信息安全風(fēng)險(xiǎn)具有一些共性，我們將這種共性稱(chēng)之為“互聯(lián)網(wǎng)+”環(huán)境下電子文件信息安全風(fēng)險(xiǎn)的一般表現(xiàn)形式。其主要表現(xiàn)在兩個(gè)方面：

第一是由電子文件自身特性產(chǎn)生的風(fēng)險(xiǎn)。這種風(fēng)險(xiǎn)也可稱(chēng)之為“原生風(fēng)險(xiǎn)”，或“先天風(fēng)險(xiǎn)”?！白鳛樾乱淮募问?，電子文件不僅面臨著紙質(zhì)文件管理的傳統(tǒng)風(fēng)險(xiǎn)，其獨(dú)有的特性又帶來(lái)了比傳統(tǒng)文件更多的風(fēng)險(xiǎn)，其中最根本的安全風(fēng)險(xiǎn)就是原始性和可利用性受到破壞。這些不同特質(zhì)的風(fēng)險(xiǎn)相互疊加、關(guān)聯(lián)和影響，導(dǎo)致電子文件管理的風(fēng)險(xiǎn)程度成倍增加。這是電子文件面臨的主要風(fēng)險(xiǎn)?！?/p>

第二是由于電子文件管理的體制、制度、控制手段、方法不周或不當(dāng)所產(chǎn)生的風(fēng)險(xiǎn)。這種風(fēng)險(xiǎn)可以稱(chēng)之為“伴生風(fēng)險(xiǎn)”，或“后天風(fēng)險(xiǎn)”。“對(duì)于電子文件管理而言，由技術(shù)引發(fā)的管理體制和制度的變革是深層的，沒(méi)有先例的，具有很大的不確定性，它與技術(shù)風(fēng)險(xiǎn)共同構(gòu)成另一種形式的風(fēng)險(xiǎn)共生與疊加。這就是電子文件管理的體制和制度風(fēng)險(xiǎn)，是電子文件面臨的基本風(fēng)險(xiǎn)?！?/p>

三、結(jié)語(yǔ)

在“互聯(lián)網(wǎng)+”環(huán)境下，技術(shù)的先進(jìn)性與普及速度間矛盾、應(yīng)用復(fù)合性與數(shù)據(jù)海量性間的矛盾、整體上的投入持續(xù)性與局部投入能力有限性的矛盾、需求的多樣性與信息動(dòng)態(tài)性間的矛盾、信息共享與安全的矛盾使得電子文件信息安全風(fēng)險(xiǎn)更加突出。在這種情況下，理清電子文件信息安全風(fēng)險(xiǎn)要素，對(duì)“互聯(lián)網(wǎng)+”環(huán)境下電子文件信息安全風(fēng)險(xiǎn)進(jìn)行評(píng)估與控制，就具有非常重要的現(xiàn)實(shí)意義。

[1]孔祥維.信息安全中的信息隱藏理論和方法研究[D].大連理工大學(xué),2003.

[2]溫泉.多媒體數(shù)字水印的魯棒性和不可感知性研究[D].吉林大學(xué),2005.

[3]解男男.機(jī)器學(xué)習(xí)方法在入侵檢測(cè)中的應(yīng)用研究[D].吉林大學(xué),2015.

[4]隋欣.淺談電子文件的信息安全問(wèn)題[J].黑龍江史志,2013（09）:27+33.

[5]金波,宋屏. 電子政務(wù)中電子文件信息安全探析[J]. 上海大學(xué)學(xué)報(bào)(社會(huì)科學(xué)版),2009（03）:127-134.

[6]吳品才.檔案信息風(fēng)險(xiǎn)評(píng)估若干問(wèn)題研究[J].浙江檔案,2013（11）:14-16.

[7]劉瓊.基于層次分析法的風(fēng)險(xiǎn)評(píng)估系統(tǒng)的研究與設(shè)計(jì)[D].西安電子科技大學(xué),2009.

[8]楊安蓮.電子文件信息安全管理研究[J].檔案學(xué)通訊,2009（04）:12-15.