何思源，劉越男

1 問題提出

檔案安全是檔案工作的底線和生命線。2009年中央檔案館(國家檔案局)原館(局)長楊冬權(quán)在檔案資源體系和檔案利用體系的基礎(chǔ)上首次提出“檔案安全體系”[1]。2014年出臺的《關(guān)于加強(qiáng)和改進(jìn)新形勢下檔案工作的意見》(中辦發(fā)〔2014〕15號)明確了“建立健全確保檔案安全保密的檔案安全體系”[2]路線圖。同年4月，習(xí)近平總書記提出總體國家安全觀，推動實(shí)施國家網(wǎng)絡(luò)空間安全戰(zhàn)略。國家檔案主管部門積極貫徹落實(shí)黨和國家政策，持續(xù)強(qiáng)化安全意識，檔案安全管理體系的構(gòu)建成為落實(shí)《檔案法》修訂的重要內(nèi)容[3]。政務(wù)云在賦能檔案事業(yè)發(fā)展的同時(shí)，也使檔案資源面臨更嚴(yán)峻且復(fù)雜多變的安全風(fēng)險(xiǎn)。2020年5月，國家檔案局辦公室發(fā)布《關(guān)于檔案部門使用政務(wù)云平臺過程中加強(qiáng)檔案信息安全管理的意見》(以下簡稱《意見》)[4]，提出政務(wù)云環(huán)境中檔案工作的基本安全要求，作出原則性規(guī)定，明確不能觸碰的“底線”和“紅線”，但尚未涉及更為具體的安全保障策略。

研究者從不同視角探討云環(huán)境中的檔案安全風(fēng)險(xiǎn)消減策略：從檔案主管部門視角，制定并完善云計(jì)算與檔案管理的政策、制度和標(biāo)準(zhǔn)規(guī)范[5]，強(qiáng)化對云服務(wù)商的外部審計(jì)和第三方認(rèn)證[6]，積極培育、引導(dǎo)和規(guī)范檔案云計(jì)算市場[5]等策略；從檔案保管機(jī)構(gòu)視角，提出應(yīng)用風(fēng)險(xiǎn)評估[7]、完善內(nèi)部規(guī)范[5]和云服務(wù)合同[8-12]、合理選擇云服務(wù)商[7，13]和云部署模式[14]、研究新型“云保險(xiǎn)”[5]等策略；從云服務(wù)商視角，形成符合電子文件管理需求的云服務(wù)意識[15]，綜合運(yùn)用動態(tài)身份認(rèn)證、存取訪問控制、RS糾刪碼冗余容錯(cuò)、數(shù)據(jù)分割與聚合機(jī)制[16]等策略。雖然學(xué)界做了一定探索，但實(shí)踐部門面臨的難題仍難解決，原因在于：第一，現(xiàn)有研究提出的策略較為零散，沒有將檔案云安全保障視為一個(gè)有機(jī)整體加以系統(tǒng)化構(gòu)建，未探究保障體系各組成要素之間的互動關(guān)系；第二，現(xiàn)有策略多從檔案機(jī)構(gòu)或云服務(wù)商的單一視角出發(fā)，忽略檔案機(jī)構(gòu)、云服務(wù)商、政務(wù)云管理單位等不同主體之間的協(xié)同機(jī)制；第三，現(xiàn)有研究籠統(tǒng)地探討“云”，且通常指向公有云環(huán)境，未能對政務(wù)云環(huán)境作出細(xì)致分析，亦未區(qū)分檔案機(jī)構(gòu)使用政務(wù)云服務(wù)的不同場景。

針對原因一和二，鑒于生態(tài)系統(tǒng)理論關(guān)注各生態(tài)因子之間的相互聯(lián)系和相互作用，其平衡、協(xié)同、共生的核心理念有利于理解檔案上云不同主體之間以及相關(guān)主體與體制環(huán)境、制度環(huán)境、市場環(huán)境等外部環(huán)境間的共生演進(jìn)關(guān)系，對提出更為體系化的檔案云安全保障策略具有借鑒價(jià)值，故而本文引入生態(tài)系統(tǒng)的視角，探索檔案安全保障體系。針對原因三，本文進(jìn)一步聚焦政務(wù)云環(huán)境，考慮檔案云的多種場景，開展有針對性的研究。綜上，本文構(gòu)建政務(wù)云環(huán)境中的檔案安全保障生態(tài)模型，提出更具體系性和針對性的風(fēng)險(xiǎn)規(guī)避措施和應(yīng)對策略，旨在為構(gòu)建與網(wǎng)絡(luò)空間安全戰(zhàn)略相適應(yīng)的檔案安全體系提供參考借鑒。

2 研究設(shè)計(jì)

2.1 理論視角

本文主要采用生態(tài)系統(tǒng)的理論視角開展研究，在宏觀和微觀兩個(gè)層面加以應(yīng)用。

在宏觀層面，借鑒生態(tài)學(xué)領(lǐng)域的自然生態(tài)系統(tǒng)理論來構(gòu)建檔案安全保障模型。所謂“自然生態(tài)系統(tǒng)”，是指在一定區(qū)域中共同棲居著的所有生物(即生物群落)與其環(huán)境之間由于不斷進(jìn)行物質(zhì)循環(huán)和能量流動而形成的統(tǒng)一整體，由物質(zhì)循環(huán)中的無機(jī)物，連接生物和非生物組分的有機(jī)化合物，空氣、水和環(huán)境，生產(chǎn)者(自養(yǎng)生物)，消費(fèi)者(吞噬生物)，分解者(腐生生物)構(gòu)成[17]，可以為理解和處理檔案機(jī)構(gòu)、云服務(wù)商和政務(wù)云管理單位之間及相關(guān)主體與體制、制度、標(biāo)準(zhǔn)、市場等外部環(huán)境之間的關(guān)系提供參考原型，從而為國家層面跨機(jī)構(gòu)、跨部門的協(xié)同配合和環(huán)境優(yōu)化提供指導(dǎo)。

在微觀層面，考慮到檔案機(jī)構(gòu)是檔案云安全保障中最活躍、最關(guān)鍵的生態(tài)因子，且圍繞檔案信息資源的收管存用開展工作，可借鑒信息生態(tài)系統(tǒng)的理論框架，將檔案機(jī)構(gòu)視作一個(gè)信息生態(tài)系統(tǒng)。所謂信息生態(tài)系統(tǒng)，是指信息自身與生命體及其周圍環(huán)境相互聯(lián)系和相互作用的有機(jī)整體[18]。關(guān)于其構(gòu)成要素，主要有兩種說法，一是“三要素說”，即信息、信息人與信息環(huán)境；二是“四要素說”，即在三要素的基礎(chǔ)上增加信息技術(shù)[19]，可為處理檔案云安全保障體系中人員、(檔案)資源、技術(shù)、環(huán)境等不同要素間的協(xié)調(diào)關(guān)系提供指導(dǎo)。

2.2 研究方法

本文主要采用調(diào)查研究法。在數(shù)據(jù)收集階段，主要采用訪談法。2020年1月9日至3月4日，筆者對北京、山東、江蘇、河南、內(nèi)蒙古等地區(qū)12家檔案機(jī)構(gòu)負(fù)責(zé)人進(jìn)行半結(jié)構(gòu)化訪談，包括2組焦點(diǎn)小組訪談和10組電話/微信文字訪談，了解政務(wù)云中的檔案管理系統(tǒng)建設(shè)現(xiàn)狀、安全需求、采取的主要安全保障措施以及對檔案上云安全責(zé)任劃分的理解等。選取上述訪談對象的依據(jù)主要有三：一是覆蓋綜合檔案館(10個(gè))和機(jī)關(guān)檔案室(2個(gè))兩種機(jī)構(gòu)類型；二是綜合檔案館覆蓋省級(3個(gè))、地市級(4個(gè))和區(qū)縣級(3個(gè))三個(gè)行政層級；三是所選檔案機(jī)構(gòu)正在或有可能使用政務(wù)云，且受訪者為該機(jī)構(gòu)的主要負(fù)責(zé)人或檔案信息化業(yè)務(wù)骨干。在訪談過程中，基于生態(tài)系統(tǒng)的視角，將檔案機(jī)構(gòu)、云服務(wù)商、政務(wù)云管理單位、外部環(huán)境等自然生態(tài)因子以及人員、檔案、技術(shù)和環(huán)境等信息生態(tài)要素融入訪談提綱，以盡可能獲取全面準(zhǔn)確的數(shù)據(jù)。

在數(shù)據(jù)分析階段，主要采用開放式編碼的方式，具體包括四個(gè)步驟：一是將訪談錄音轉(zhuǎn)化為文字轉(zhuǎn)錄稿，并將訪談記錄分別標(biāo)記為D1-D12。二是兩位作者逐字逐句閱讀分析文字轉(zhuǎn)錄稿，對受訪者提到的安全訴求以及應(yīng)采取的安全保障措施進(jìn)行開放式編碼，具體編碼示例見表1。三是對比兩份編碼，經(jīng)協(xié)商討論后形成一致的編碼結(jié)果。四是結(jié)合生態(tài)系統(tǒng)的視角對編碼結(jié)果進(jìn)行歸并整合，構(gòu)建適用于政務(wù)云環(huán)境的檔案安全保障生態(tài)模型，包括宏觀模型和微觀模型，前者主要借鑒自然生態(tài)系統(tǒng)的理論框架，用于提出國家層面和跨機(jī)構(gòu)跨部門的安全策略；后者主要借鑒信息生態(tài)系統(tǒng)的理論框架，用于提出檔案機(jī)構(gòu)內(nèi)部的安全策略，具體見表2。

表1 編碼過程示例(以D9為例)

表2 關(guān)鍵安全訴求和策略與生態(tài)系統(tǒng)理論框架的對應(yīng)關(guān)系

在訪談數(shù)據(jù)分析過程中，92%的受訪者提及“明確檔案上云范圍”，使其成為出現(xiàn)頻率最高的安全訴求和策略要求，反映出實(shí)踐部門的迫切需求，但“哪些檔案能上云、哪些檔案不能上云”涉及敏感問題，受訪者不愿展開討論，難以通過訪談獲得翔實(shí)的數(shù)據(jù)。因此，為進(jìn)一步掌握檔案工作者對檔案上云范圍的看法，團(tuán)隊(duì)采用匿名問卷調(diào)查補(bǔ)充相關(guān)數(shù)據(jù)，調(diào)查對象為我國從事檔案工作的人員，通過問卷星發(fā)布，并借助微信、QQ等社交媒體轉(zhuǎn)發(fā)，調(diào)查時(shí)間為2020年2月10-12日，共回收有效問卷128份，利用常規(guī)性統(tǒng)計(jì)方法加以分析。

3 宏觀層面的檔案云安全保障生態(tài)模型與策略

政務(wù)云環(huán)境中的檔案安全保障是一項(xiàng)復(fù)雜的系統(tǒng)工程，涉及的主體和要素較多，但多數(shù)現(xiàn)有文獻(xiàn)傾向于分別給檔案機(jī)構(gòu)和云服務(wù)商提出建議和要求，忽視了兩者之間的關(guān)聯(lián)性。因此，借鑒自然生態(tài)系統(tǒng)的理論框架，基于表2的結(jié)果，構(gòu)建宏觀層面的檔案云安全保障生態(tài)模型，見圖1。該模型重點(diǎn)關(guān)注的是主體與環(huán)境之間及各主體間的相互作用，其中安全生態(tài)環(huán)境包括管理體制、法律制度、標(biāo)準(zhǔn)規(guī)范、項(xiàng)目試點(diǎn)、市場引導(dǎo)等，安全保障主體是指承擔(dān)檔案安全保障職責(zé)的機(jī)構(gòu)，可用生產(chǎn)者、消費(fèi)者和分解者來形象地理解檔案云安全保障涉及的不同主體間的關(guān)系。該模型還區(qū)分了檔案上云的兩種場景。其中，第一種場景是檔案機(jī)構(gòu)(包括檔案館和機(jī)關(guān)檔案室)將已建設(shè)完成的檔案管理系統(tǒng)從本地遷移到政務(wù)云，或基于政務(wù)云新建檔案管理系統(tǒng)(僅供檔案機(jī)構(gòu)內(nèi)部使用)；第二種場景是某區(qū)域綜合檔案館在同級檔案主管部門的組織協(xié)調(diào)下，建設(shè)基于政務(wù)云的統(tǒng)一檔案管理系統(tǒng)，包括面向立檔單位的檔案管理系統(tǒng)，以及面向檔案館的數(shù)字檔案館系統(tǒng)，分別向同級機(jī)關(guān)的檔案室和區(qū)域內(nèi)其他綜合檔案館提供SaaS服務(wù)。在不同場景中，生產(chǎn)者、消費(fèi)者和分解者所指代的主體略有差異?；诤暧^層面的檔案云安全保障生態(tài)模型，針對政務(wù)云環(huán)境中的檔案安全問題，提出保障策略。

圖1 宏觀層面的檔案云安全保障生態(tài)模型

3.1 優(yōu)化檔案云安全生態(tài)環(huán)境

(1)順應(yīng)檔案機(jī)構(gòu)改革趨勢，探索檔案主管部門和檔案保存機(jī)構(gòu)之間的安全協(xié)作機(jī)制。2018年以來，各地積極進(jìn)行檔案機(jī)構(gòu)改革，多數(shù)地方實(shí)現(xiàn)“局館分設(shè)”。有受訪者表示，改革后的檔案主管部門履行行政管理職能，并不承擔(dān)保存檔案職責(zé)，沒有基于政務(wù)云開展檔案管理工作的強(qiáng)烈需求，機(jī)構(gòu)改革后檔案主管部門普遍存在人手不足，卻要承擔(dān)四五個(gè)處室的職能，包括職稱評定、教育培訓(xùn)、執(zhí)法檢查、業(yè)務(wù)指導(dǎo)、科研成果申報(bào)與評審等，且相當(dāng)一部分工作人員不具備檔案學(xué)專業(yè)背景或檔案工作經(jīng)驗(yàn)，對政務(wù)云環(huán)境中檔案安全風(fēng)險(xiǎn)和規(guī)避策略的態(tài)度較消極。在此情況下，檔案主管部門更要加強(qiáng)與檔案館、機(jī)關(guān)檔案室的合作和聯(lián)系，就檔案機(jī)構(gòu)應(yīng)用政務(wù)云的安全事宜達(dá)成一致認(rèn)識，加強(qiáng)協(xié)作。

(2)完善法律制度和標(biāo)準(zhǔn)規(guī)范，推動項(xiàng)目試點(diǎn)示范。檔案類數(shù)據(jù)安全與保密問題更多是政策層面上的[20]。檔案主管部門應(yīng)在《意見》基礎(chǔ)上，一方面出臺具有操作性的制度規(guī)范，指導(dǎo)檔案機(jī)構(gòu)進(jìn)行風(fēng)險(xiǎn)識別和評估，為其制定風(fēng)險(xiǎn)應(yīng)對策略提供參考框架和方法論支撐；另一方面，根據(jù)政務(wù)云環(huán)境中安全需求層層疊加的情況(檔案安全需求疊加模型見圖2)，在檔案安全制度規(guī)范中充分考慮政務(wù)云帶來的安全風(fēng)險(xiǎn)，提出并細(xì)化適用于政務(wù)云環(huán)境的檔案安全需求。安全需求疊加的理念并非云環(huán)境中的獨(dú)特產(chǎn)物，在傳統(tǒng)信息化環(huán)境中已經(jīng)存在，最典型的是國家檔案局以《信息系統(tǒng)安全等級保護(hù)基本要求》(GB/T 22239-2008)為基礎(chǔ)制定的《檔案信息系統(tǒng)安全保護(hù)基本要求》(以下簡稱《要求》)，即在信息系統(tǒng)等保要求基礎(chǔ)上提出檔案行業(yè)的特殊性要求。各級檔案主管部門也可從現(xiàn)有實(shí)踐做法中選取典型或遴選試點(diǎn)單位，總結(jié)提煉其經(jīng)驗(yàn)加以推廣，為其他機(jī)構(gòu)實(shí)施檔案上云提供規(guī)避風(fēng)險(xiǎn)的經(jīng)驗(yàn)。

圖2 政務(wù)云環(huán)境中的檔案安全需求疊加模型

(3)強(qiáng)化市場引導(dǎo)，優(yōu)化產(chǎn)業(yè)環(huán)境。檔案主管部門可通過申請審查、專家評定、第三方評價(jià)、定期復(fù)核、公布清單的方式，為綜合檔案館和機(jī)關(guān)檔案室選擇系統(tǒng)開發(fā)商和云服務(wù)代理商(如系統(tǒng)集成商、安全服務(wù)商)提供指導(dǎo)；促進(jìn)檔案信息技術(shù)公司、內(nèi)容管理軟件企業(yè)服務(wù)質(zhì)量的提升，優(yōu)化系統(tǒng)、平臺、工具等檔案信息化相關(guān)產(chǎn)品供給。尤其是在國產(chǎn)化替代方面，多位受訪者表示國產(chǎn)化產(chǎn)品在性價(jià)比方面存在不足，安全和性價(jià)比之間存在矛盾，相關(guān)企業(yè)要在實(shí)現(xiàn)安全可靠和自主可控的前提下提高產(chǎn)品功能的完備性和性能的穩(wěn)定性。

3.2 構(gòu)建良性的檔案主體互動機(jī)制

檔案機(jī)構(gòu)、云服務(wù)商、政務(wù)云管理單位都是檔案云安全生態(tài)的重要組成部分，主體互動機(jī)制的構(gòu)建需要“分合結(jié)合”。其中，“分”是關(guān)鍵，側(cè)重確定清晰的安全責(zé)任和職責(zé)邊界；“合”是基礎(chǔ)，側(cè)重三者之間的溝通與協(xié)作；監(jiān)督與審計(jì)是建構(gòu)三者新型關(guān)系的重要方式。

3.2.1 明確各利益相關(guān)方及其關(guān)系

在場景1中，承擔(dān)生產(chǎn)者角色的是云服務(wù)商，由于云計(jì)算具有復(fù)雜性，所以可能存在多家云服務(wù)商共同提供服務(wù)，或云服務(wù)商作為總承包商將其承擔(dān)的部分工作發(fā)包給具有相應(yīng)資質(zhì)的分包商的情況。承擔(dān)消費(fèi)者角色的是檔案館、機(jī)關(guān)檔案室等檔案機(jī)構(gòu)。生產(chǎn)者與消費(fèi)者的關(guān)系主要是服務(wù)與被服務(wù)、監(jiān)督與被監(jiān)督的關(guān)系。承擔(dān)分解者角色的是政務(wù)云管理單位，即政務(wù)信息化主管部門，主要負(fù)責(zé)政務(wù)云平臺的采購、審批、監(jiān)督審計(jì)等，同時(shí)協(xié)調(diào)公安、網(wǎng)絡(luò)安全等部門做好信息安全保障工作。分解者是溝通的橋梁，一方面接收來自消費(fèi)者的政務(wù)云資源使用申請，進(jìn)行受理審核；另一方面，通過公開招標(biāo)選擇合適的生產(chǎn)者。在場景2中，情形大致和場景1相同，只是某區(qū)域的綜合檔案館和云服務(wù)商成為共同的服務(wù)提供者(即生產(chǎn)者)，區(qū)域內(nèi)的其他檔案館和同級機(jī)關(guān)檔案室則作為消費(fèi)者。

3.2.2 確定清晰的安全責(zé)任和職責(zé)邊界

(1)區(qū)分“安全責(zé)任”和“安全管理職責(zé)”概念。各地發(fā)布的政務(wù)云管理辦法將兩者混淆表述，但實(shí)際上兩者存在差異。前者側(cè)重最終安全責(zé)任，指向發(fā)生安全事故時(shí)的首要追責(zé)對象；后者側(cè)重安全管理工作的內(nèi)容或采取的安全保障措施。以綜合檔案館中數(shù)字檔案館系統(tǒng)建設(shè)外包為例，安全責(zé)任主體是檔案館，檔案館和承擔(dān)軟件開發(fā)的外包公司按照合同或協(xié)議共同承擔(dān)安全管理職責(zé)。

(2)確定政務(wù)云環(huán)境中的安全責(zé)任主體。根據(jù)《關(guān)于加強(qiáng)黨政部門云計(jì)算服務(wù)網(wǎng)絡(luò)安全管理的意見》提出的“安全管理責(zé)任不變”[21]要求，即“網(wǎng)絡(luò)安全管理責(zé)任不隨服務(wù)外包而外包，無論黨政部門數(shù)據(jù)和業(yè)務(wù)是位于內(nèi)部信息系統(tǒng)還是服務(wù)商云計(jì)算平臺上，黨政部門始終是網(wǎng)絡(luò)安全的最終責(zé)任人”，據(jù)此可基本判定政務(wù)云環(huán)境中的檔案安全責(zé)任主體是消費(fèi)者(即檔案機(jī)構(gòu))。對于安全責(zé)任主體來說，無論實(shí)際承擔(dān)多少安全管理工作，都必須要嚴(yán)格、認(rèn)真履行自身的監(jiān)督檢查職責(zé)。

(3)基于云服務(wù)模式劃定安全職責(zé)邊界?！缎畔踩夹g(shù) 云計(jì)算服務(wù)安全指南》(GB/T 31167-2014)提供的“服務(wù)模式與(客戶)控制范圍的關(guān)系”(見圖3)可為安全職責(zé)邊界的確定提供參考。根據(jù)該標(biāo)準(zhǔn)，無論采用何種服務(wù)模式，云服務(wù)商都要負(fù)責(zé)設(shè)施、硬件、資源抽象控制層的安全保障，而虛擬化計(jì)算資源、軟件平臺、應(yīng)用軟件的安全職責(zé)劃分需根據(jù)服務(wù)模式、當(dāng)?shù)氐恼?wù)云管理辦法、簽訂的云服務(wù)合同具體分析。在場景1中，消費(fèi)者使用的往往是PaaS或IaaS服務(wù)，即生產(chǎn)者承擔(dān)平臺或基礎(chǔ)設(shè)施層以下的安全職責(zé)，消費(fèi)者承擔(dān)平臺或應(yīng)用軟件層以上的安全職責(zé)。雖然場景2在實(shí)踐中還不多見，但也是未來的重要趨勢。在這種情況下，生產(chǎn)者應(yīng)負(fù)責(zé)從硬件基礎(chǔ)設(shè)施到應(yīng)用系統(tǒng)各層面的安全保障，通常來說云服務(wù)商承擔(dān)平臺層及以下的安全職責(zé)，作為共同服務(wù)提供者的綜合檔案館承擔(dān)應(yīng)用軟件的安全職責(zé)，而消費(fèi)者則承擔(dān)檔案訪問權(quán)限設(shè)置、使用過程中的安全等方面的職責(zé)。

圖3 云服務(wù)模式與(客戶)控制范圍的關(guān)系[22]

3.2.3 建立跨機(jī)構(gòu)的溝通與協(xié)作機(jī)制

(1)政務(wù)云管理單位主導(dǎo)的溝通與協(xié)作機(jī)制。有受訪者表示當(dāng)?shù)卣?wù)云建設(shè)比較混亂，容易影響上云業(yè)務(wù)系統(tǒng)之間的互操作性以及業(yè)務(wù)系統(tǒng)和數(shù)據(jù)跨云平臺的可移植性。政務(wù)云管理單位要充分發(fā)揮自身統(tǒng)籌協(xié)調(diào)的作用，扮演好“協(xié)調(diào)員”的角色，建立各黨政機(jī)關(guān)(包括檔案機(jī)構(gòu))信息化相關(guān)負(fù)責(zé)人參與的溝通協(xié)作機(jī)制，并通過調(diào)研等方式清楚理解雙方的訴求和要求，尤其是要增進(jìn)對消費(fèi)者個(gè)性化安全需求的了解。

(2)檔案機(jī)構(gòu)推動的溝通與協(xié)作機(jī)制。一方面，檔案機(jī)構(gòu)應(yīng)積極和政務(wù)云管理單位保持聯(lián)系，建立起對話和交流的渠道，掌握當(dāng)?shù)卣?wù)信息化建設(shè)的整體思路。有受訪者強(qiáng)烈建議：“檔案機(jī)構(gòu)一定要積極與政務(wù)云管理單位對接，做到前期介入，最好能進(jìn)入領(lǐng)導(dǎo)小組?！比绻菆鼍?，當(dāng)?shù)氐臋n案主管部門和作為共同服務(wù)提供者的綜合檔案館還應(yīng)依托檔案業(yè)務(wù)指導(dǎo)機(jī)制，在各機(jī)關(guān)檔案室和其他綜合檔案館之間建立起對話機(jī)制，確保用戶能對統(tǒng)一檔案管理系統(tǒng)有更充分的了解，且用戶需求可以反映在最終提供的SaaS服務(wù)中。另一方面，檔案機(jī)構(gòu)也要和其他已經(jīng)上云的單位建立聯(lián)系。例如，有受訪者表示，其所在檔案館就曾調(diào)研過省公安廳的上云情況，并在借鑒經(jīng)驗(yàn)的基礎(chǔ)上著手實(shí)施檔案上云。

兩類不同主體為主的溝通與協(xié)作機(jī)制并非截然分開，而應(yīng)同步推進(jìn)、相輔相成，政務(wù)云管理單位和檔案機(jī)構(gòu)各有優(yōu)勢和側(cè)重，只有相互結(jié)合，才能實(shí)現(xiàn)多元主體的協(xié)同配合，從而更好地應(yīng)對安全風(fēng)險(xiǎn)。

3.2.4 建立持續(xù)的監(jiān)管與審計(jì)機(jī)制

在政務(wù)云環(huán)境中，監(jiān)管關(guān)系是消費(fèi)者與生產(chǎn)者之間的重要關(guān)系，即消費(fèi)者通過監(jiān)管和審計(jì)的手段來防范風(fēng)險(xiǎn)。在正式實(shí)施云部署前，檔案機(jī)構(gòu)應(yīng)對云服務(wù)商開展“盡職調(diào)查”，盡可能以客觀中立的態(tài)度評估本地政務(wù)云平臺的建設(shè)情況和安全性能。在上云后，檔案機(jī)構(gòu)可參照《信息安全技術(shù) 云計(jì)算服務(wù)安全指南》(GB/T 31167-2014)、《云計(jì)算安全框架》(YD/T 3148-2016)及檔案領(lǐng)域的相關(guān)行業(yè)規(guī)范，制定面向政務(wù)云環(huán)境的檔案安全監(jiān)管與審計(jì)框架，明確安全監(jiān)管和審計(jì)的維度和指標(biāo)。一方面，檔案機(jī)構(gòu)要對政務(wù)云環(huán)境中的檔案安全狀況進(jìn)行審計(jì)跟蹤，定期對檔案數(shù)據(jù)的“四性”進(jìn)行檢測；另一方面，要通過查閱審計(jì)報(bào)告、實(shí)地調(diào)研、聽取匯報(bào)、焦點(diǎn)小組訪談等方式，對云服務(wù)商是否按約定采取必要的安全管理和技術(shù)措施進(jìn)行持續(xù)的監(jiān)督和審計(jì)。具體說來，主要有以下四種方式，一是檔案機(jī)構(gòu)借助政務(wù)云平臺提供的安全監(jiān)測和威脅感知工具進(jìn)行監(jiān)管；二是政務(wù)云服務(wù)商主動出具安全審計(jì)報(bào)告，以證明自身的合規(guī)；三是考察第三方機(jī)構(gòu)出具的面向政務(wù)云平臺的安全評估報(bào)告；四是由政務(wù)云管理單位進(jìn)行監(jiān)管，并定期聯(lián)合消費(fèi)者(即檔案機(jī)構(gòu))、信息安全行政主管部門、公安部門或第三方安全測評機(jī)構(gòu)對政務(wù)云平臺進(jìn)行安全風(fēng)險(xiǎn)評估，對云服務(wù)商進(jìn)行合規(guī)性審計(jì)。

4 微觀層面的檔案云安全保障生態(tài)模型與策略

在自然界，生物圈是最大的生態(tài)系統(tǒng)，由各種各樣的子生態(tài)系統(tǒng)構(gòu)成。檔案云安全保障生態(tài)也包含多個(gè)小的子生態(tài)系統(tǒng)，其中，檔案機(jī)構(gòu)本身構(gòu)成了最活躍、最關(guān)鍵的子生態(tài)系統(tǒng)。筆者參考借鑒信息生態(tài)系統(tǒng)的理論框架，基于表2的結(jié)果，構(gòu)建微觀層面的檔案云安全保障生態(tài)模型，該系統(tǒng)可被視為宏觀生態(tài)系統(tǒng)的子系統(tǒng)，見圖4?！皺n案資源”對應(yīng)信息生態(tài)系統(tǒng)中的“信息”要素，“檔案工作者”對應(yīng)“信息人”要素，“組織環(huán)境”對應(yīng)“信息環(huán)境”要素，“信息技術(shù)”直接對應(yīng)“信息技術(shù)”要素。

圖4 微觀層面的檔案云安全保障生態(tài)模型

4.1 實(shí)現(xiàn)檔案資源的分級分類，明確檔案上云范圍

在實(shí)際工作中，影響檔案上云范圍的因素主要有檔案資源屬性和政務(wù)云類型。在檔案資源屬性方面，澳大拉西亞數(shù)字文件保管動議(Australasian Digital Recordkeeping Initiative，ADRI)發(fā)布的《云計(jì)算中的文件風(fēng)險(xiǎn)管理指南》揭示出決定風(fēng)險(xiǎn)程度的3個(gè)檔案資源屬性：文件的內(nèi)容和主題事項(xiàng)、敏感程度、對業(yè)務(wù)的重要性[23]。此外，部分受訪者表示還需考慮檔案資源的形成環(huán)境。因此，可從敏感程度、業(yè)務(wù)重要性(主要體現(xiàn)在保管期限上)、形成環(huán)境以及內(nèi)容和主題等4個(gè)維度確定檔案資源的屬性。需說明的是，內(nèi)容和主題維度包括民生檔案和屬于政府信息公開范圍的檔案，而沒有涉及其他類型檔案，主要是考慮到受訪者曾多次提及這兩類檔案。政務(wù)云類型包括面向政務(wù)內(nèi)網(wǎng)、政務(wù)專網(wǎng)、政務(wù)外網(wǎng)和互聯(lián)網(wǎng)等不同網(wǎng)絡(luò)的政務(wù)云?；诖耍P者設(shè)計(jì)了“研究方法”部分提及的問卷，數(shù)據(jù)調(diào)查結(jié)果如表3所示。通過表3發(fā)現(xiàn)，檔案資源的敏感程度對檔案上云范圍的影響非常顯著，業(yè)務(wù)重要性、形成環(huán)境以及內(nèi)容和主題維度的影響相對較小。如果將檔案上云(包括面向內(nèi)網(wǎng)、專網(wǎng)、外網(wǎng)和互聯(lián)網(wǎng)的政務(wù)云)的支持率相加，涉密檔案的支持率是58.6%，屬于控制使用范圍的檔案的支持率是89.06%，開放檔案的支持率是92.19%。涉密檔案和其他類型檔案的支持率差距懸殊，可見我國檔案工作者對敏感程度高的檔案上云比較謹(jǐn)慎。

表3 檔案工作者對于檔案上云范圍的認(rèn)知

從政策層面看，《意見》規(guī)定了檔案上云范圍的“紅線”和“底線”，即涉及國家秘密、工作秘密的檔案數(shù)據(jù)和業(yè)務(wù)以及數(shù)字檔案資源總庫的管理與備份不得使用政務(wù)云，對關(guān)鍵業(yè)務(wù)和涉及敏感信息和公民隱私的檔案數(shù)據(jù)可在確保安全的前提下考慮使用政務(wù)云平臺。然而，檔案工作者的認(rèn)知和國家政策規(guī)定存在一定差異。以涉密檔案為例，國家政策明確規(guī)定涉密檔案不得使用政務(wù)云，但調(diào)查顯示58.6%的檔案工作者認(rèn)為涉密檔案可以使用政務(wù)云。

結(jié)合上述政策以及訪談和問卷數(shù)據(jù)，關(guān)于檔案上云范圍，建議如下：第一，從敏感程度來看，涉密檔案不上云，開放檔案可使用面向政務(wù)外網(wǎng)和互聯(lián)網(wǎng)的政務(wù)云，屬于控制使用范圍但不涉密的檔案可考慮使用面向政務(wù)內(nèi)網(wǎng)和專網(wǎng)的政務(wù)云。第二，從業(yè)務(wù)重要性角度來看，可先從定期10年保存的檔案上云開始，按照10年、30年、永久的順序逐步推進(jìn)檔案上云工作。第三，從形成環(huán)境來看，形成于政務(wù)云的原生電子文件歸檔形成的電子檔案可使用政務(wù)云，館藏檔案數(shù)字化成果和形成于本地環(huán)境的原生電子檔案需要結(jié)合其敏感程度考慮是否上云。第四，從內(nèi)容和主題維度來看，屬于政府信息公開范圍的檔案可使用面向政務(wù)外網(wǎng)和互聯(lián)網(wǎng)的政務(wù)云。至于民生檔案，由于其實(shí)質(zhì)是政府機(jī)構(gòu)形成的與民生相關(guān)的業(yè)務(wù)檔案，范圍較廣也相對模糊，故而在上云與否的問題上存在爭議。也有人表示應(yīng)根據(jù)查閱對象身份、檔案開放程度、重要程度視情況而定；有人表示民生檔案屬于可公開的檔案信息，滿足等保三級要求就可以上云?？稍谏髦乜紤]政務(wù)云安全前提下，將民生檔案存儲在面向政務(wù)外網(wǎng)、專網(wǎng)或內(nèi)網(wǎng)的政務(wù)云上。

4.2 更新安全觀念，提高業(yè)務(wù)技能

首先是調(diào)整文化心理，更新安全觀念。我國檔案領(lǐng)域存在一定的“行政導(dǎo)向”，檔案工作者常常將工作的推動落實(shí)寄希望于上級的命令、政策的出臺和領(lǐng)導(dǎo)的重視，但并不是每個(gè)機(jī)構(gòu)都具備如此“完美”的條件。檔案工作者需要轉(zhuǎn)變這種文化心理，實(shí)現(xiàn)從過于依賴條件向積極主動創(chuàng)造條件的轉(zhuǎn)變。訪談發(fā)現(xiàn)，許多檔案工作者認(rèn)為檔案上云不安全并不是深思熟慮的結(jié)果，而是慣性使然，當(dāng)面臨新生事物時(shí)，首先想到的是質(zhì)疑。在數(shù)字時(shí)代，檔案人更需要積極主動的安全管理觀念。檔案人應(yīng)客觀看待關(guān)于檔案上云的安全風(fēng)險(xiǎn)：將檔案存儲在政務(wù)云上確實(shí)會帶來安全隱患，但將檔案存儲在本地系統(tǒng)中同樣也面臨著風(fēng)險(xiǎn)，沒有一種技術(shù)方案是完全零風(fēng)險(xiǎn)的。檔案工作者需要做的不是尋找一種高枕無憂的解決方案，而是從眾多方案中選擇安全性強(qiáng)、保障措施完善、風(fēng)險(xiǎn)較低的一種，并盡可能采取措施以規(guī)避風(fēng)險(xiǎn)。正如英國國家檔案館發(fā)布的《云存儲如何滿足英國公共檔案館的需求》所述，無論數(shù)據(jù)存儲在何處，都應(yīng)該關(guān)注數(shù)據(jù)安全性，但如果認(rèn)為大多數(shù)云服務(wù)本質(zhì)上不如本地?cái)?shù)據(jù)中心安全，那是不切實(shí)際的。云服務(wù)商是備受矚目的目標(biāo)，它們的服務(wù)器肯定會受到近乎持續(xù)的攻擊。有時(shí)這些攻擊會成功，服務(wù)也會受到不利影響，但其安全政策和程序通常不會低于檔案館本地?cái)?shù)據(jù)中心[24]。

其次是提高業(yè)務(wù)技能。幾乎所有受訪者均表示，檔案部門缺乏信息技術(shù)人才，認(rèn)為這是影響信息安全的重要因素。與之相應(yīng)的解決路徑有兩條：一方面加大技術(shù)型人才引進(jìn)力度，這也是最常提及的；但不應(yīng)該忽視另一方面，即“改造”檔案工作者的既有知識結(jié)構(gòu)，提升業(yè)務(wù)技能。曾有受訪者提出一個(gè)有趣的觀點(diǎn)，“檔案上云面臨的最大風(fēng)險(xiǎn)是檔案工作者不具備識別風(fēng)險(xiǎn)的能力”。因此，檔案工作者既要有自發(fā)的學(xué)習(xí)行為，檔案主管部門、檔案學(xué)會等也要積極提供相關(guān)的培訓(xùn)。

4.3 綜合運(yùn)用加密、權(quán)限管理、容災(zāi)備份等技術(shù)

檔案機(jī)構(gòu)最擔(dān)心的兩類安全風(fēng)險(xiǎn)就是丟失和泄密。針對丟失，需進(jìn)行容災(zāi)備份。一方面，檔案機(jī)構(gòu)應(yīng)要求政務(wù)云平臺提供較為完備的容災(zāi)備份機(jī)制，明確備份的時(shí)間、周期、方式、地點(diǎn)、載體等具體的策略，確保檔案管理系統(tǒng)平穩(wěn)運(yùn)行和檔案數(shù)據(jù)安全。針對泄密，最直接且最常見的方式就是加密，但考慮到《要求》的規(guī)定，即“電子檔案長期保存數(shù)據(jù)不宜采取技術(shù)加密手段”，可采用在線檔案資源加密存儲但脫機(jī)備份不加密的策略。另一種防泄密的有效方式就是精細(xì)化的權(quán)限管理模式，即遵循最小授權(quán)的原則，在主體(角色)、檔案資源和操作行為之間建立映射關(guān)系。傳統(tǒng)信息化環(huán)境中就有權(quán)限管理的概念，并形成了一些有益經(jīng)驗(yàn)(如三員分立的原則)，但主要是檔案機(jī)構(gòu)內(nèi)部的權(quán)限分配問題。在政務(wù)云環(huán)境中，權(quán)限涉及的主體更為多元且復(fù)雜多變，應(yīng)推行精細(xì)化的權(quán)限管理模式。檔案機(jī)構(gòu)應(yīng)統(tǒng)籌考慮檔案機(jī)構(gòu)內(nèi)部人員、云服務(wù)代理商或數(shù)字化公司等外包企業(yè)相關(guān)人員、云服務(wù)商內(nèi)部人員及其分包商或商業(yè)合作伙伴相關(guān)人員的權(quán)限，確保只有經(jīng)過檔案機(jī)構(gòu)的授權(quán)，云服務(wù)商或其他第三方才能具有云端檔案數(shù)據(jù)的管理和訪問權(quán)限。此外，由于政務(wù)云牽涉的主體較多且流動性較強(qiáng)，應(yīng)堅(jiān)持動態(tài)的權(quán)限管理原則，適時(shí)調(diào)整權(quán)限管理方案。

4.4 建設(shè)有利于維護(hù)檔案安全的組織環(huán)境

檔案機(jī)構(gòu)需要為檔案安全保障提供有利的組織環(huán)境，包括制度規(guī)范、機(jī)構(gòu)與人員、應(yīng)急機(jī)制、資金保障。就制度規(guī)范而言，各檔案機(jī)構(gòu)可先行探索，具體來說有兩種建設(shè)思路，一種是專門制定面向政務(wù)云環(huán)境的檔案管理制度，另一種是修訂完善現(xiàn)有安全制度規(guī)范，將與政務(wù)云安全有關(guān)的要求嵌入已有制度規(guī)范中。就機(jī)構(gòu)(組織設(shè)置)而言，當(dāng)前檔案館內(nèi)負(fù)責(zé)實(shí)施檔案上云的一般是信息技術(shù)處(或類似名稱)，但使用政務(wù)云不僅是技術(shù)問題，更是管理問題，會涉及業(yè)務(wù)流程和管理要求的變化。因此，檔案機(jī)構(gòu)需要在更高層面規(guī)劃政務(wù)云應(yīng)用，將其納入領(lǐng)導(dǎo)視野；檔案室則要積極與單位內(nèi)網(wǎng)絡(luò)信息化部門溝通，參與到上云的相關(guān)規(guī)劃與設(shè)計(jì)過程中。同時(shí)，需建立安全責(zé)任崗位制，明確與檔案安全相關(guān)的責(zé)任主體及其工作內(nèi)容和崗位要求。就應(yīng)急機(jī)制而言，檔案機(jī)構(gòu)應(yīng)聯(lián)合云服務(wù)商和政務(wù)云管理單位，做好風(fēng)險(xiǎn)管控和應(yīng)急預(yù)案，并定期(如每年一次)進(jìn)行安全演練。此外，幾乎所有受訪者都談到人財(cái)物的問題，檔案工作者需主動作為，盡力爭取上級領(lǐng)導(dǎo)的重視，確保資金和人員到位。

5 結(jié)語

雖然檔案上云的國內(nèi)案例相對較少，但在云計(jì)算成為“新基建”重要內(nèi)容的今天，越來越多的檔案機(jī)構(gòu)探索基于政務(wù)云的檔案管理模式，健全完善的風(fēng)險(xiǎn)應(yīng)對體系已經(jīng)成為推動檔案事業(yè)數(shù)字轉(zhuǎn)型、縱深發(fā)展的重要基礎(chǔ)和關(guān)鍵支撐。研究發(fā)現(xiàn)，政務(wù)云環(huán)境中的檔案安全風(fēng)險(xiǎn)應(yīng)對策略不應(yīng)是割裂的、孤立的、分散的，而應(yīng)是系統(tǒng)的、協(xié)調(diào)的、動態(tài)的，需要有一種生態(tài)系統(tǒng)的視角。依據(jù)本文提出的檔案云安全保障生態(tài)模型，檔案機(jī)構(gòu)既要從宏觀層面考慮到生產(chǎn)者、消費(fèi)者和分解者及其與生態(tài)環(huán)境之間的關(guān)系，也要從微觀層面考慮檔案資源、檔案工作者、信息技術(shù)、組織環(huán)境等方面的舉措，從而構(gòu)筑起堅(jiān)實(shí)可靠的安全“堡壘”。