摘要：本文通过梳理近年来频发的“邮件门”事件，在对其成因进行分析的基础上，认为在电子邮件归档中，安全意识不能纸上谈兵，“法规遵从”不能束之高阁，归档流程不能熟视无睹，内控管理不能流于形式，数据加密不能置之不理，技术防范不能坐而论道。

关键词：邮件门电子邮件归档安全管理

Abstract：This article analyzes frequent“E- Mail Event”， and on the basis of the analysis of its causes， thinking E-mail filing，security awareness cant be ex？ isting only on paper，“regulatory compliance”cant be laid aside and neglect， process specification cant be indifferent， internal management cant be a mere formality， data encryption cant be ignored， technolo？ gy regulation cant be an idle talk.

Key words：E- Mail Event；E- mail；Filing man？ agement；Security management

移动互联网时代，电子邮件已经成为网络中最为广泛、最受欢迎的应用方式之一。电子邮件系统，以其便捷的特点而成为人们进行信息交流的重要工具，并越来越多地被应用于政府网上公务流转等活动和管理决策的信息沟通。截至2015年6月，电子邮件用户达24511万，占网民使用率的36.7%，手机邮件用户达14228万，占网民数量的24.2%，较2014年增长1.3%。[1]电子邮件是电子政务的重要基础，作为电子政务中重要的信息载体，对提高管理效率具有巨大的带动作用。由此可见，保护电子邮件安全不仅是网络管理员的职责，而且是归档部门的重要责任，尤其是近年来美国频发的“邮件门”事件，更证明了忽视电子邮件安全性带给档案信息安全的威胁。

一、美国频发的“邮件门”事件及成因

自2012年以来，美国频频出现“邮件门”事件，即美国国会中国经济与安全审查委员会（U.S China Eco？ nomic and Security Review Commission，简称美中经济安全审查委员会）、总统奥巴马的电子邮件被黑客侵入，美国国家安全局（U.S National Security Agency）搜集美国公民私人电子邮件等通讯记录，美国前国务卿希拉里·克林顿、佛罗里达前州长杰布·布什使用私人邮箱处理公务邮件导致邮件泄密等等。它不仅引发了美国电子邮件的“安全隐患”，而且给我国电子邮件归档安全管理敲响了警钟。

（一）安全意识欠缺导致的“邮件门”事件

2013年8月21日，美国国家情报总监詹姆斯·克拉珀下令解密的3份美国外国情报监控法庭的机密显示，美国国家安全局曾于2008年至2011年间每年搜集5.6万封与恐怖主义毫无关系的美国公民私人电子邮件等通讯记录。国家安全局称，在针对外国目标的情报监控中，该机构搜集到大量电子邮件等通讯记录，但未能有效过滤掉美国公民之间的普通记录，预计由此每年“误收”几万封私人的电子邮件等。对此，白宫发言人乔希·欧内斯特（Josh Earnest）否认国家安全局存在针对美国公民的网络监控项目，称此类项目监控目标严格“对外”，而国内情报只是“偶然”被截取而已。[2]

（二）“法规遵从”不遵守导致的“邮件门”事件

1.美国前国务卿希拉里·克林顿的“邮件门”事件。2015年3月2日，《纽约时报》报道称，希拉里·克林顿被指在2009年至2013年担任美国国务卿期间，一直使用自己家中的私人邮箱、私人服务器（域名为Clintonemail. com）处理公务邮件，而没有用黑莓手机（以处理邮件著称），涉嫌违反《联邦档案法》关于保存官方通信记录的规定。[3]随着“邮件门”事件的持续发酵，5月22日，美国国务院把希拉里私人电子邮箱的296封电子邮件公之于众。邮件中的部分内容在撰写时并非保密信息，但现在已被美国联邦调查局“调整”为保密信息并被屏蔽。美国国务院在社交网站Twitter（推特）开设的官方账户发布消息称，公布的这些邮件是希拉里在美国驻利比亚班加西领事馆遇袭事件发生后所发送和接收的。[4]

2.美国佛罗里达前州长杰布·布什的“邮件门”事件。2015年3月15日，路透社报道称，美国共和党总统候选人之一的杰布·布什也因为个人电子邮箱使用不当惹上麻烦，在其担任佛罗里达州长期间，用个人电子邮箱讨论军队部署、核电站保护措施等高度涉密信息，引发“安全隐患”。[5]

（三）技术或系统防范不严导致的“邮件门”事件

1.美中经济安全审查委员会的“邮件门”事件。2012年1月9日，路透社报道称，电脑黑客在网上公布了一份据称是印度军事情报机构从事网络间谍活动的文件，该文件计划利用西方手机制造商提供的技术来监视美中经济安全审查委员会。文件还附带了一些据称是该委员会的几位委员之间互相往来的电邮副本。美国当局就印度政府间谍部门破译美中经济安全审查委员会邮件的说法进行调查，该委员会监控美国和中国之间的经济和安全联系，包括互联网安全问题。[6]

2.美国总统奥巴马的“邮件门”事件。2015年4月26日，根据《纽约时报》报道，俄罗斯黑客在2014年侵入白宫的非加密计算机系统，读取了美国总统奥巴马的电子邮件。这些黑客同时侵入了美国国务院的未加密系统，不过他们并未攻破奥巴马及其助手用于通信的“黑莓服务”移动电子邮件系统终端。对此事进行调查的美国官员表示，黑客获得了白宫内部人员的电子邮件存档。他们还有可能获得了奥巴马常常与之通信的某些白宫外部人士的电子邮件存档。通过这些人的电子邮件记录，黑客可能读取了奥巴马收发的某些邮件。[7]

二、“邮件门”事件对我国电子邮件归档管理的启示

虽然美国并不缺少电子邮件归档安全管理的意识、法规、技术等，但是“邮件门”事件层出不穷，其原因值得深思。反观我国电子邮件归档安全管理的现状，尽管2005年国家档案局正式颁布实施了《公务电子邮件归档与管理规则》，2006年2月原信息产业部颁布了《互联网电子邮件服务管理办法》，但是电子邮件的安全管理并不乐观，政府部门对公务电子邮件归档的安全管理重视程度不均衡；恶意病毒、网页木马程序、特制木马程序以及利用软件漏洞的邮件木马在互联网上泛滥成灾，这些都要求我们从中吸取教训，对电子邮件归档安全管理高度重视并采取积极的防预措施。

（一）安全意识要落在实处

安全意识不能纸上谈兵。美国国家安全局每年“误收”几万封私人电子邮件，说明树立电子邮件安全风险意识比事后补救措施有效。安全意识要落在实处，“预防第一”应成为电子邮件归档安全管理的首要原则。一是对不请自来、陌生人发送的邮件，或者邮件标题和发送地址不同寻常的邮件，归档过程中要特别注意审核。如果是垃圾邮件，应及时报告给网络管理员或者邮件服务提供商。二是在政务活动中，必须做到专箱专用，个人邮箱和工作邮箱可以单独设置不同的账号名和密码。从希拉里·克林顿、杰布·布什使用私人邮箱处理公务而导致邮件泄密中吸取教训，使用邮箱公私分开。三是对电子邮件管理软件，要及时更新操作系统漏洞补丁；安装杀毒软件和防火墙，及时更新病毒库，设立安全备忘录。

（二）“法规遵从”要认真执行

“法规遵从”不能束之高阁。美国制定的电子邮件安全管理的政策、法规并不少，如2014年美国通过的《联邦档案责任法案》，它要求禁止政务工作人员（甚至包括总统、副总统）及顾问使用非公务电子邮件系统发送电子邮件，这表明电子邮件作为常用的通讯工具，其安全性引起了美国政府的高度重视，甚至立法要求细化相关管理。在我国，电子邮件的“法规遵从”原则也得到一定程度的体现，国家发展和改革委员会在2013年信息安全专项文件中指出：“综合利用基于标识技术的国家商用密码SM9专用算法加密，结合国家信息安全权威机构定点监测，建设安全邮箱服务平台，面向政务部门、团体组织和个人提供可靠的安全加密邮件与移动终端电子邮件消息加密推送等运营服务”。2015年，国家信息安全专项名单公布，国家信息中心基于标识密码技术的安全电子邮箱试点示范项目、中国信息安全测评中心基于公网的跨域电子邮箱安全保密试点示范项目均为专门解决邮件安全的示范项目。同时，遵照“法规遵从”原则，保证电子邮件归档数据可用性的基础上，更要保证电子邮件归档数据的安全性，即确保电子邮件的传输网络必须是安全的；内容和使用管理必须是安全的。最重要的是，要遵守电子邮件的安全守则，对有意无意泄露客户信息并造成重大损失者，追究其相应的法律责任。[8]此外，还应该制定和发布专门的“电子管理规范”，就电子邮件归档中存在的问题例如完整保存、安全放置和管理人员的职责等给出原则性的指导建议。[9]

（三）流程管理要加强规范

1.归档流程不能熟视无睹。近年来美国频发的“邮件门”事件，其原因很大程度上是没有执行邮件归档的流程，根据美国相关规定，除一些极为敏感的文件或机密文件外，所有由政府官员发送及接收的书信、邮件都需要被记录在案，私人账号只能在遇到非常紧急的事件时才可以使用，比如机构的计算机服务器无法正常运行，但事后也应当将通信内容及时上传国务院服务器。[10]在政府部门电子邮件信息量日益增加的情况下，确保监控的警惕性和数据采集的最好方法是按照电子邮件归档的流程，通过单一的虚拟存储库捕获并存储所有类型设备的电子邮件数据——不管是归档还是备份，不管是公共云还是私有云。只有具备这样的存储库，才能从单一位置进行全面搜索和重复数据删除，从而更好地控制应用程序、流程和数据工作流。

2.内控管理不能流于形式。希拉里·克林顿和杰布·布什的“邮件门”事件表明，他们违背邮件内控管理的规定，公务邮件不得使用个人邮箱，因为个人邮件系统很容易遭受黑客入侵，远不如政府提供的加密邮箱安全。随着越来越多的单位采用“自带设备”（BYOD），在信息管理策略中加入终端数据保护比以往任何时候都重要。互联网数据中心（IDC）预计，60%的重要商业信息存储在电子邮件中，而大部分邮件存在U盘或个人设备里，设备使用的便捷性（以及自带的访问商业电子邮件的能力）加大数据管理出现失误的可能性。政府工作人员的任意一个过失都可能造成信息泄露，如果没有一个合适的计划来管理这些设备，一旦访问业务电子邮件的电脑或手机丢失或被盗，就很可能泄露私人业务信息。

（四）技术防范要严格把关

1.数据加密不能置之不理。在安全管理上对归档的电子邮件进行数据加密并不代表电子邮件会万无一失，但至少像黑客读取美国总统奥巴马的电子邮件事件和侵入美国国务院未加密系统的事件就不会发生或减少发生。可靠的数据保护策略应该是政府机关和企事业单位信息管理计划的一部分，因为即使有安全的设备和备份数据，仍存在敏感信息被暴露的可能性。必须设置额外的防线，覆盖加密、门控文档、电子邮件安全措施和“双因素”身份验证。

2.技术防范不能坐而论道。从“邮件门”事件的报道中可知，美国政府公务员邮件也采用了“特殊的加密措施”；邮件加密专家菲利曼·齐默尔曼（Philip Zimmer？ mann）很早就在互联网上提供免费加密的PGP邮件加密工具。尽管如此，美中经济安全审查委员会电子邮件被印度军事情报机构黑客窃取、奥巴马的电子邮件被俄罗斯黑客通过侵入白宫的非加密计算机系统读取，这表明技术防范并不是完美无缺的。目前的计算机技术并不能确保电子邮件百分之百的安全，黑客攻击、病毒入侵已成为电子邮件安全管理的主要对象。然而技术防范并不可忽视，它在一定程度上仍然可以保证电子邮件的安全性，如通过设置虚拟网不定期公布安全使用提示，监测内部网络，协调移动网络和传统网络的安全管理。国内的邮件安全技术和解决方案也不断成熟，如国家密码管理局组织了IBC标识密码算法相关标准的编写，颁发了国家SM9算法，该加密算法非常适合电子邮件安全保护。此外，中共中央网络安全和信息化领导小组办公室组织的网络安全宣传周上，也在宣传电子邮件的使用和防范的安全知识。可见，只有不断推出各种安全技术手段，才能将防范落到实处。

综上，“邮件门”事件告诉我们，电子邮件已经成为日常生活和政务活动中不可缺少的一部分。如何对归档的电子邮件数据进行安全保存和避免黑客攻击、病毒入侵、非法窃取、操作失误、硬件故障等造成的电子邮件数据丢失，是电子邮件归档的重要任务。目前，虽然在我国也出台了一些商家针对电子邮件归档安全性提出的解决方案，但是由于技术不够成熟，推广力度不大，并没有得到广泛的应用。吸取“邮件门”事件的教训，加强电子邮件归档的安全管理是档案信息资源管理中的一项重要课题，其研究具有一定的理论意义和实践意义，未来，加强对电子邮件归档安全管理任重而道远。

*本文为盐城师范学院校级教授、博士基金项目（项目编号为：12YSYJB0107）《基于文件管理的电子邮件归档研究》的阶段性研究成果。

注释及参考文献：

[1]中国互联网络信息中心.第36次中国互联网络发展状况统计报告（2015年7月）[EB/OL].[2015-07-27]. http：//cnnic.cn/hlwfzyj/hlwxzbg/hlwtjbg/201507/ P020150723549500667087.pdf.

[2]美国家安全局承认曾搜集大量美国人电子邮件[N].成都日报，2013-08-23（19）.

[3]赵欣欣.希拉里的“邮件门”风波与领导人形象塑造[J].公关世界，2015（5）：58-61.

[4]希拉里296封私人邮件被曝光[EB/OL].[2015-07-18].http：//www.chinanews.com/gj/2015/05- 25/7298833.sht？ ml.

[5]刘皓然.杰布·布什也陷“邮件门”引发美国“安全隐患”[EB/OL].[2015-07-18].http：//world.huanqiu.com/ exclusive/2015-03/5916989.html.

[6]美国调查美中经济安全审查委员会邮件泄密案[EB/OL].[2015- 07- 18]. http：//roll.sohu.com/20120110/ n331725095.shtml.

[7]俄黑客去年入侵白宫电脑查看奥巴马邮件[N].郑州晚报，2015-04-27（A13）.[2015-09-20] .http：//news. xinmin.cn/world/2015/09/09/28546045.html.

[8]卞咸杰.论电子邮件归档中的“法规遵从”原则[J].浙江档案，2012（8）：18-20.

[9]张敏，王顺，徐华，刘盼盼.我国电子邮件归档问题研究[J].北京档案，2013（12）：19-21.

[10]“邮件门”背后的安全隐患[EB/OL].[2015-07-18]http：//soft.aizhan.com/wzzx/84870.html.

作者单位：盐城师范学院