王元锋　臧国全

〔摘 要〕数字保存系统风险是指贯穿于整个系统构建、运行和服务等各个环节的不确定因素。本文首先探讨了系统的风险类型：系统管理风险、系统运行风险和技术环境支持风险，然后从风险等级和风险关系两个角度分析了风险评估，最后分析了风险管理策略：风险规避策略、风险处置策略、风险转移策略和风险容忍策略。

〔关键词〕数字保存系统；风险管理；风险评估；数字资源保存

〔中图分类号〕G250 〔文献标识码〕C 〔文章编号〕1008-0821(2009)02-0210-04

Risk Management for Digital Preservation System Wang Yuanfeng Zang Guoquan

(Department of Information Management，Zhengzhou University，Zhengzhou 450001，China)

〔Abstract〕Digital preservation system risk means the uncertain factors which exist in all steps of digital preservation system including construction，operation and service.The following three aspects were discussed in this paper：(1)the type of risk，including system management risk，operation risk and technological and environmental support risk；(2)risk assessment，including risk rank and risk influence；and(3)risk management strategy，including risk avoidance strategies risk treatment strategies，risk transfer strategies and risk tolerance strategies.

〔Key words〕digital preservation system；risk management；risk assessment；digital resource preservation

风险是指贯穿于组织预期事件及其结果的不确定性，也即潜在地影响组织目标完成的事件所发生的可能性及其所造成的影响。数字保存系统是负责长期保存数字资源，提供值得用户信任的数字资源存取能力的一种全文数据库系统。数字保存系统风险是指贯穿于整个系统构建、运行和服务等各个环节的不确定因素。这些因素有系统管理层面的、系统运行层面的和技术支持层面的，并与所处的外部环境息息相关。

数字保存系统的风险管理包括风险识别、风险评估和管理策略等3个环节。

1 风险类型

数字保存系统的风险包括系统管理风险、系统运行风险和技术环境支持风险三大类[1]。

1.1 系统管理风险

1.1.1 运行机构管理风险

(1)管理失灵。机构的某些管理行为失败，导致无法实现系统的预期目标。比如，采用的数字保存策略导致数据丢失；资源分配使得系统的一些功能无法完成。

(2)机构信誉缺失。数字保存系统的用户或数字资源委托保存者对系统实现其目标的能力表示怀疑。比如，公开声明削减系统的运行经费有可能导致用户对系统是否拥有充足资源来实现其高效运行的担心；数字资源的不可恢复性损失会导致对系统性能的担心。

(3)预期指标没有实现。系统没有达到预先设置的一些指标。比如，数字产品传递平均时间超过系统预先设置的时间限制；系统没有充分地保存数字资源的重要特征。

(4)系统无法全面履行职责。由于环境变化等原因致使系统的存在基础丧失或根本上发生了改变，从而导致无法继续履行其承若的职责。比如，系统依据的法律环境修订使得其职责范围发生了变化；相关签约合同的改变使得其履行的义务发生变化。

(5)用户需求发生重大变化。系统所提供的服务无法满足用户团体的新需求。比如，用户团体采用了一种新的软件系统，而该软件系统与原来的数据格式不兼容；越来越多的用户无法理解系统预先使用的标记语言。

(6)数字保存业务被强制终止。由于各种原因导致数字保存业务停止服务。比如，与数字资源提供者所签订的合同或与资金提供者签订的合同无法续签；数字保存系统倒闭或在竞争中退出市场等原因，导致其保存业务终止。

(7)用户反馈渠道不畅通或系统对用户意见不予理睬。系统无法接收用户反馈，或接收用户反馈不全面，或缺乏接收用户反馈的机制，或虽然可以完全接收用户反馈，但系统均拒绝采纳。

(8)系统没有保存数字信息的必要特征，而这些特征对用户团体来说具有重要作用。比如，系统以文本文件的格式保存数字化手稿，但用户更重视手稿的外观；系统虽以图片格式保存数字化手稿，但采用的分辨率没有达到用户所需的识别手稿细节级别的程度。

(9)系统存在知识产权侵权现象。系统没有对各种类型的侵权、以及与产权相关的不端行为负责。比如，系统存储有未获得产权许可的数字信息，对这些信息的传播存在产权侵权风险。

(10)系统存在违背合同现象。系统没有完成合同规定的职责，或系统的活动超出了合同允许的范围。比如，按照合同规定，系统保存的一些数字资源仅限于特定用户团体的访问，而系统将这些信息资源通过因特网向广大网络用户开放。

(11)系统存在违背相关规则现象。系统的活动与相关规则(例如，行业规则)相违背。比如，系统没有执行具有法律效力的保障雇员安全和健康的规则。

(12)系统缺乏有效评估其活动是否达到预期目标的能力。比如，系统无法证实 其保存的数字资源的完整性和真实性得到有效维护；系统无法证实数字资源委托保存者的提 交信息被正确地获取，并转换为完整的正确的保存信息包。

1.1.2 员工风险

(1)关键员工的离岗。那些处于对实现系统目标起着至关重要岗位的员工的离岗，导致系统目标的实现缺乏连续性和一致性。比如，系统的高级管理者，或掌握系统核心技术的工程师跳槽到竞争对手从事相同或相似的工作。

(2)员工技术过时。比如，员工仅具备实施按照时序对数字对象进行保存的策略(该策略已经过时)，而没有进行针对出现的新技术新策略的培训。

(3)缺乏员工绩效评估机制。比如，系统缺乏职员绩效档案，或缺乏有效识别员工培训需求的机制。

1.1.3 资金风险

(1)资金不充足。比如，系统每年运营都处于亏损状态，或为实现系统各项功能而分配的资源不足。

(2)资金分配不合理。系统的资源分配缺乏合理性，致使投入产出不成比例。比如，管理投资方面，所购买的软件功能远远超过了所需，而市场上存在有能够满足需求的廉价软件。

(3)财务管理不符合相应的法律规章。比如，没有照章纳税，财务审查没通过。

(4)预算削减。比如，对于依靠地方政府投资而运行的数字保存系统，由于地方财政收入减1.2 系统运行风险

1.2.1 数字资源获取风险

(1)提交的信息结构失效或格式失真。数字资源提交者所提交的信息不符合系统要求的结构或格式，导致无法保存。比如，系统不支持所提交信息的格式，提交信息的是以XML格式编码，但该编码对于系统提供的识别框架来说是无效的。

(2)提交信息不完整。提交信息中没有包含保存所需的内容。比如，提交信息中没有元数据，而根据与信息提交者的合同，元数据是要随内容信息一起提交的。

(3)提交过程中，提交信息受外部影响而改变。在系统接收到信息与系统生成保存信息之间，提交信息发生改变，而这种改变不是由系统施加的。

(4)保存信息无法追溯到提交信息。保存信息不能追朔到相应的提交信息或提交信息的某一集合。比如，系统无法追朔某件保存信息的来源，导致无法确定其保存的完整性。

1.2.2 数字资源保存风险

(1)保密信息被泄密。根据有关协议，系统保存的一些信息受到一些访问限制，但这类信息被公开传播。比如，系统的用户认证子系统失灵，系统保存的一些商业敏感信息被规定以外的用户访问。

(2)信息和服务可获取性的缺失。系统不能提供相应的服务，或应该被访问的信息无法提供访问。比如，由于系统服务器出现故障，导致其保存信息无法被访问。

(3)信息的真实性缺失。系统无法验证其所保存的数字信息与其所接收的原始数字信息的一致性。比如，由于数字迁移的实施导致数字对象的格式信息和一些内容信息发生变化，使得其保存的迁移后的数字对象与系统接收的数字对象不一致。

(4)信息的可靠性缺失。系统无法验证其保存信息的可靠性。比如，法院拒绝承认其保存信息作为证据。

(5)信息来源缺失。由于保存信息的改变，导致系统无法追朔其保存信息的来源。

(6)不可识别的保存信息的变更。系统无法追踪或监控其保存信息发生改变的时间和地点。比如，系统缺少记录或维护足够的校验信息来检测保存信息发生改变的场所。

(7)数据备份丢失或不再可用。系统无法从数据备份机制中恢复信息。比如，在数字主文档丢失时，系统无法从备份中恢复信息，因为备份的介质已经遭到了不可逆转的损坏。

(8)数据副本内容不一致。当系统维护多个数据副本时，副本内容之间出现不一致现象。比如，当有3个副本时，随机校验对比检测显示，1个副本的内容与其他2个存在数据不同情况。

(9)信息参考完整性的标识符选取不当。系统无法根据给定的标识符定位所需数字对象。比如，基于获取时间而设计的数字对象标识符，当1个系统有2个或2个以上数据获取渠道时，就有可能出现不同数字对象赋予1个标识符。

(10)数字保存计划无法有效地执行。比如，系统选择数字仿真作为数字资源长期保存策略，但缺少相应的技术人员来实施，也缺乏足够的资源来委托第三方代其实施。

(11)保存策略导致信息丢失。保存策略的实施导致一些数字对象的一些重要特征的丢失。比如，数字迁移的结果会导致数字对象的外观信息丢失。

(12)信息(包括获取信息、保存信息和传播信息)的不可追溯性。在保存系统生命周期内，某一特定信息单元无法追溯到相应的来源出处。比如，系统没有维护保存信息来源以及对其处理的文档，从而导致保存信息不具有可追溯性。

1.2.3 元数据管理风险

(1)用来描述参考完整性的元数据丢失。比如，数字对象与相应元数据之间的描述关系断裂(如，用来描述元数据与相应数字对象关系的目录结构文档不可恢复性地损失)，导致数字对象的不可检索性。

(2)用来描述数字对象发生变化的历史记录的元数据不完整或不准确。比如，缺乏描述数字对象起源以及在整个生命周期过程中发生改变的文档。

(3)数字对象的不可发现性。支持数字对象发现的元数据不充分。比如，设计元数据描述时，数字对象的检索点考虑不全面，导致数字对象的被发现性不充分。

(4)可理解性的界定模糊。元数据的功用之一是帮助用户对数字对象的理解，如果系统对用户的数字对象“可理解性”的界定不清晰，就会导致元数据的选取不合理。

(5)保存信息在语义和技术层面的可理解性不足。比如，系统提供和维护的表征信息不全面、不合理，从而导致相应的保存信息在用户理解层面上的困难。

1.2.4 数字访问风险

(1)无法向用户提供数字访问服务。比如，由于网络服务故障，导致提供数字访问的WEB服务器处于离线状态。

(2)数字访问身份验证子系统失效。限定数字信息访问的系统功能不完善，导致不合理的访问或访问失败。比如，对于某一数字对象，无权访问的用户由于身份验证失效而可以对其进行存取。

(3)数字访问权限授权子系统失效。权限分配子系统功能不完善，导致用户的权限分配不合理。比如，基于用户名的授权系统，当多个用户出现重名时，就会导致数字访问的权限分配混乱。

(4)数字访问服务水平欠佳。系统没有达到预期的服务目标。比如，如果系统规定传递单件数字资源必须在5分钟内完成，但实际为10分钟。

1.3 技术环境支持风险

(1)软硬件损坏或缺乏可持续发展性。比如，软件商破产导致软件没有更新保障。

(2)软硬件无法支持系统出现的新目标。一般情况下，系统基础结构是为满足现行目标而设计的，但随着环境变化，用户需求也会发生变化，系统目标就要更新，但软硬件可能无法支持新目标的实现。比如，当保存的数字对象或用户数量增加到一定程度时，软件无法支持。

(3)软硬件过时。核心技术不再流行。比如，采用的操作系统不再受提供商支持，因此，操作系统的安全更新不再有保障。

(4)存储介质老化或过时。介质老化导致数据读写困难。比如，磁带的物理老化使得对存储的数字对象无法读取。

(5)系统安全漏洞被非法利用。比如，数字对象存取软件存在安全漏洞，该漏洞被用户识别，并被用来对数字对象进行非法访问。

(6)外来软件的侵入。比如，黑客软件侵入到系统服务器，在服务器中执行恶意代码。

(7)破坏性的环境因素，致使系统所在地暂时或永久不可使用。比如，系统所在地发生地震、台风、飓风等。

(8)系统意外崩溃。比如，所有数字对象意外地被物理删除；由于某种外界不可抗拒因素导致系统被迫终止。

(9)系统被有意破坏。比如，系统通过网络被电子型恐怖分子侵入；内心不满的系统工作人员对系统的破坏。

(10)重要公用设施出现故障。比如，系统的电力供应出现问题，致使整个系统瘫痪。

(11)系统所依赖的相关方服务出现问题。比如，向数字保存系统提供信息传播的因特网服务提供商破产或退出服务领域。

(12)系统与其所依赖的相关方服务合同出现变更。比如，电价增长，因特网服务提供商从系统的web服务器中撤销其服务所依赖的技术。

(13)系统原始文件部分或全部毁坏。比如，火灾可能导致系统所签订合同和各类文件毁坏。

(14)系统无能力评估其技术设施和安全设施的有效性。比如，系统缺少测试安全措施效果的机制，或评估其技术设施有效性的机制。

2 风险评估

2.1 风险等级

风险等级包括风险发生的频率和风险产生的影响。风险发生的频率即特定风险发生的可能性。这种可能性通过特定时间内风险发生的次数来衡量。风险发生的次数不同，等级不同。在风险发生频率的等级界定上，一般可分为下述6个级别[2]：

(1)可能性极低(比如，100年以上发生1次)；

(2)可能性很低(比如，每10年发生1次)；

(3)可能性较低(比如，每5年发生1次)；

(4)可能性中等(比如，每年发生1次)；

(5)可能性高(比如，每个月发生1次)；

(6)可能性很高(比如，每个月发生1次以上)。

风险产生的影响即风险发生后对数字对象真实性和可理解性的作用效果。这种效果通过数字对象真实性和可理解性的具体缺失状况来衡量。效果不同，等级也不同。在风险影响等级界定上，一般可分为下述7级[3]：

(1)无影响：所有数字资源的真实性和可理解性毫无丧失；

(2)微不足道影响：导致数字对象的真实性和可理解性部分丧失，但可完全恢复；

(3)轻度影响：导致数字对象的真实性和可理解性较普遍丧失，但可完全恢复；

(4)中度影响：导致数字对象的真实性和可理解性完全丧失，但可完全恢复；

(5)高度影响：导致数字对象的真实性和可理解性部分丧失，且其中一些丧失是数字保存系统不可恢复的；

(6)相当大影响：导致数字对象的真实性和可理解性较普遍丧失，且这些丧失是数字保存系统不可恢复的，其中一些丧失第三方可恢复；

(7)灾难性的影响：导致数字对象的真实性和可理解性完全丧失，且所有丧失是采用任何方法都无法恢复的。

2.2 风险关系

风险之间存在着各种关系，这些关系可分为[4]：

(1)爆发型：多个风险同时发生，产生的影响要远大于各个风险单独产生的影响之和。比如，1.3(7)的“破坏性的环境因素，致使系统所在地暂时或永久不可使用”与1.3(11)的“系统所依赖的相关方服务出现问题”两种风险的关系。

(2)感染型：一个风险的发生会增加另外一个风险发生的可能性。比如，1.1.1中的“管理失灵”与“机构信誉缺失”两种风险的关系；1.2.2中的“数据备份丢失或不再可用”与1.2.3中的“用来描述数字对象发生变化的历史记录的元数据不完整或不准确”两种风险的关系。

(3)互助型：一个风险的规避有助于另外一个风险的规避。比如，1.2.3(4)的“可理解性的界定模糊”与1.2.3(5)的“保存信息在语义和技术层面的可理解性不足”两种风险的关系。

(4)“多米诺骨牌”型：一个风险的规避使另外一个风险的规避有效性降低。比如，1.2.2(10)的“数字保存计划无法有效地执行”与1.2.2(11)“保存策略导致信息丢失”两种风险的关系。

(5)离散型：一个风险的存在，与其他风险无关。比如，1.2.2(5)的“信息来源缺失”与1.3(7)的“破坏性的环境因素，致使系统所在地暂时或永久不可使用”两种风险的关系。

3 风险管理

不同类型的风险应该采用不同的管理策略。这些策略包括[5]：

(1)风险规避策略：为了避开可能导致风险发生的环境，而及时采取的行动；

(2)风险处置策略：当风险发生时应该采取的处置方法；

(3)风险转移策略：通过适当的方式将风险转移给其他组织，如签署服务合同；

(4)风险容忍策略：接受和容忍一定等级的风险，并采取一些有效行动来降低风险影响。

风险管理策略是一个不断学习与实践的过程。一些数字保存系统经过长期的实践，总结出了对不同种类风险进行管理的相应策略。

3.1 风险规避与处置策略

很多风险都可采用相应的措施来规避。当风险发生时，也可采用一些方法来解决。示例如下：

(1)风险1.1.1(9)：系统存在知识产权侵权现象。

规避策略：对保存的数字资源进行评估，以确定受产权限制的数字资源；寻求法律咨询，以确定对这些数字资源进行操作的合法性。

处置策略：制定相关政策和工作程序，应对知识产权的挑战。

(2)风险1.1.2(2)：员工技术过时。

规避策略：制定员工培训方式，并保证员工经过培训可熟练掌握所需技术；实施员工绩效评估，定期确定其技术水平和培训需求。

处置策略：提供培训设施，以改变过时技术。

(3)风险1.1.3(1)：资金不充足，无法实现系统目标。

规避策略：通过有偿服务来实现自身可持续发展；寻求稳定的预算保证。

处置策略：寻求使用额外资金，确保系统目标的完成；缩减其他开支，以弥补资金差额；由于资金缺乏导致系统无法正常运转时，修改系统目标。

(4)风险1.2.2(1)：保密信息被泄密。

规避策略：确保相关政策和操作与系统保密规定相一致；确保软硬件系统和保存策略符合保密规定。

处置策略：采取相关措施，撤销保密信息的可获取性，并采取应对措施减少系统信誉损失。

3.2 风险转移策略

有些风险，当其发生时，可以转移到其他组织。示例如下：

(1)风险1.1.1(6)：数字保存业务被强制终止。

转移策略：与其他数字保存系统签署协议，制定后续委托保存方案；制定退出保存业务策略。

(2)风险1.3(6)：外来软件的侵入。

转移策略：与提供软件安全服务的第三方签署服务合同，实现风险转移。

(3)风险1.3(8)：系统意外崩溃。

转移策略：为系统购买保险，将损失降到最低程度。

3.3 风险容忍策略

还有一些风险，发生时产生的影响可以容忍，但要有一个“度”的界定。示例如下：

(1)风险1.2.2(11)：保存策略导致信息丢失。

容忍策略：制定政策，清晰界定系统保存活动中所允许的信息丢失范围。

(2)风险1.2.2(7)：数据备份丢失或不再可用。

容忍策略：实施多余备份存储方法。

(3)风险1.2.2(2)：信息和服务可获取性的缺失。

容忍策略：制定相关政策，清晰界定应承担的最低信息传输量，以及允许的传输时间延时和信息不可获取的时间间隔等。

参考文献

[1]DCC.Digital Repository Audit Method Based on Risk Assessment[EB].http：∥en.wikipedia.org/wiki/DigitalzRepositoryzAuditzMethodzBasedzonzRiskzAssessment，2007-06-20.

[2]OCLC.Criteria for Measuring Trustworthiness of Digital Repositories & Archives：an Audit & Certification Checklist[EB].http：∥bibpur1.oclc.org/web/16713，2007-07-10.

[3]RLG.Attributes of a Trusted Digital Repository：Meeting the Needs of Research Resources[EB].http：∥www.rlg.org/longterm/attributes01.pdf，2006-08-10.

[4]RLG，NARA.Task Force on Digital Repository Certification：Audit Checklist for Certifying Digital Repositories[EB].http：∥www.rlg.org/en/pdfs/rlgnara-repositorieschecklist.pdf，2007-10-10.

[5]DPE.Digital Information：A Report of the Task Force on Archiving of Digital Information[EB].http：∥www.dpe.org/ArchTF/index.html，2008-08-10.