聂云霞 张加欣 甘 敏/南昌大学历史系

“互联网+”时代是一个万物互联的大数据时代，“互联网+”火热的背后暗藏潜在风险，信息安全便是其中非常重要一个方面。当前，数字档案资源安全在“互联网+”环境下呈现出一些新特点，数字档案资源从产生、保管到利用等环节的安全风险大大增加，因此必须加强针对数字档案资源安全的研究，确保数字档案资源的安全。

1 数字档案资源安全的内容及特点

数字档案资源安全是数字档案资源能够合理开发利用的保障，主要是指防止数字档案信息在存储、利用过程中被故意或偶然地非法泄露、更改或破坏，确保档案信息内容的真实性、完整性、可用性、保密性，以及保护数字档案资源实体的安全[1]。在“互联网+”环境下，数字档案资源安全呈现出许多新特点：

一是高度脆弱性。“互联网+”的到来使得各行各业实现了完全意义上的“蜘蛛网”式的互联，其中金融、电力、交通、卫生、信息等行业尤为依赖网络的安全性。数字档案资源作为信息化环境下社会实践的产物，在以网络为中枢的控制系统中，其安全性难以控制，不可避免地会遭受攻击，这使得数字档案资源安全具有高度脆弱的特性。

二是攻击源的多样性。攻击源的多样性首先表现为攻击对象的不确定性，即上到国家下到个人都可能成为数字档案资源的攻击者；其次表现为攻击源的弥漫性，“互联网+”时代攻击数字档案资源的成本低、技术手段易获取，在经济利益的驱使下，攻击源呈现出弥漫性的趋势。

三是威胁的潜伏性和突发性。一般来说，信息安全的威胁因素往往有较长的潜伏时间，在没有任何预兆的情况下突然发生并迅速蔓延。网络黑客会通过网络系统对数字档案资源数据进行动态跟踪监视，在必要时发起突然袭击，这使得数字档案资源的安全面临极大挑战。

四是存在“蝴蝶效应”。“蝴蝶效应”在网络中表现为即时扩散性。互联网时代信息传播速度快、规模大、影响范围广泛，在这样的背景下，一旦发生数字档案资源安全问题，相关信息会快速扩散出去，这严重阻碍了数字档案资源建设工作，也使得档案资源安全得不到保障。

2 开展数字档案资源安全研究的重要性与必要性

2.1 重要性

一是国家安全的重要内容。档案安全是国家安全的基础组成部分，数字档案资源安全更是国家档案信息化建设的重要内容，国家对数字档案资源安全的重视程度日益提高。2014年2月，中央网络安全和信息化领导小组成立，习近平任组长。小组在北京召开了第一次会议，重点部署2014年网络安全和信息化等的主要工作[2]。2015年12月召开的第二届世界互联网大会以“互联互通、共享共治——构建网络空间命运共同体”为主题，强调要加强网络安全管理。这些都充分体现了在“互联网+”的环境下，开展数字档案资源安全研究是国家安全的重要内容。

二是建设档案安全体系的应有之义。建设档案安全体系的目的是保障信息安全，促进档案信息化工作的开展。档案安全体系的顺利建设及其作用的充分发挥，离不开数字档案资源安全管理，开展数字档案资源安全研究是档案安全体系建设的重要组成部分。

三是数字档案馆实现良好发展的迫切需要。数字档案馆的安全运营关系到档案馆全部业务的顺利开展，关系到档案部门形象的提升和服务社会发展功能的顺利实现。数字档案资源的安全问题直接关系到数字档案馆能否安全运营，因而开展数字档案资源安全研究是实现数字档案馆良好发展的迫切需要。

2.2 必要性

一是数字档案产生流程存在隐患。数字档案资源的产生依赖于信息技术，这样的产生条件对系统具有高度的依赖性，存在人员方面的隐患，具体来说，在数字档案产生过程中，文档人员往往因为某些过失导致数字档案资源不真实；文档人员素质低下及业务人员责任心对不强，致使数字档案的安全性得不到保障。此外，由于数字档案资源建设标准不健全，对数字档案的格式等要求不一，也会给数字档案的读取、长期保存等带来诸多不便。

二是数字档案资源保管过程存在危机。数字档案资源的保管过程存在许多不确定因素，这些不确定因素往往会转变为具体的危机，如，数字档案资源保管技术风险，主要指数字档案资源载体的脆弱性和技术的不稳定性，以及由于信息系统技术的进步导致数字档案信息不可读等；突发事件风险，是指由于自然灾害、人为破坏、战争、法律纠纷、系统灾难性故障、财务危机、商业竞争、国际争端等原因，造成数字档案信息无法持续使用；元数据风险，“互联网+”环境使得数字档案资源的背景信息难以被准确、完整地记录下来，如果不提供或补充这些元数据，数字档案信息的原始性和凭证价值就会受到质疑，进而给数字档案信息的保管工作等带来一系列问题。

三是数字资源档案利用环节存在风险。“互联网+”使得数字档案资源的利用范围更加广泛，面临的风险更大。如，数字档案资源知识产权风险，在网络环境下擅自拷贝、复制数字档案信息资源的问题较为普遍，这些问题容易引发知识产权纠纷；信息篡改风险，数字档案资源在“互联网+”时代容易被越权非法篡改，影响数字档案的真实性；网络攻击风险，网络环境给档案数字化利用过程带来的不安全因素包括计算机病毒侵袭、黑客攻击等。“互联网+”时代给数字档案资源安全带来了更大挑战，必须坚持数字档案安全和信息化工作的统一谋划，以“互联网+”理念做好数字档案资源建设工作，并为这项工作构建一个安全、平衡的网络秩序。

3 数字档案资源安全的主要内容

3.1 实体安全

数字档案资源实体安全包括数字档案实体安全、载体安全、库房安全和硬件设备安全等。数字档案实体安全主要指数字档案实体（包括数字档案及其元数据、凭证信息等）不被丢失、删改、损坏而导致不可读、不可用；载体安全主要指数字档案信息存储载体稳定、存续，不被盗取、破坏，可以保障数字档案信息安全存储[3]；库房安全是指按照“八防”要求，确保库房环境稳定[4]；软硬件设备安全是指数字档案资源所依赖的软件系统以及计算机硬件设备等运行环境稳定，可以支持数字档案信息存储和利用。

3.2 信息内容安全

数字档案资源信息内容安全包括四方面：一是维护信息内容的原始性与真实性，确保在网络环境下形成的数字档案资源的内容、结构、背景信息与原始状态一致；二是保障信息内容的完整性，保证数字档案资源在存储、利用过程中不被蓄意删除、修改等；三是维护信息内容的保密性，保障数字档案信息资源在利用过程中不被非法窃取、信息内容不被泄漏；四是保证信息的可用性，确保数字档案资源的可读性和系统兼容性，使数字档案资源长期有效可用。

4 构建数字档案资源安全保障体系

4.1 建立数字档案资源安全组织体系

在数字档案资源安全管理中，组织体系是基础，建立一套科学的组织体系是做好数字档案资源安全管理的必要条件和保证[5]。要将数字档案资源安全组织体系置于中心位置，体现其基础性地位；还要科学地认识传统的档案安全组织体系存在的不足，如，缺乏信息安全总体决策与管控中心、重叠管理和灰色区域共存、组织机构间协调不健全等。在此基础上明确具体的建立措施，包括：建立和完善组织机构。建立信息安全最高组织机构，可定名为国家信息安全委员会，下设专门的数字档案信息安全管理部门，专门管理数字档案资源安全事宜；建立政府与企业的合作伙伴关系。在“互联网+”环境下鼓励“大众创业、万众创新”，政府负责制定政策引导企业信息产业以及档案产业化发展，企业负责信息安全等技术研发工作，双方通过合作以最优原则为数字档案信息安全工作服务。

4.2 建立数字档案资源安全运营管理体系

做好数字档案资源安全运营管理，需要借鉴美国学者的PDRR（保护、检测、响应、恢复）模型及改进模型，基于改进模型可建立数字档案资源安全运营管理机制：风险分析机制，包括建立信息评估机制、评估方法，分析数字档案信息安全风险等；保护机制，对网络、基础设施和信息系统进行必要的防护，采用识别、认证、授权等手段保障数字档案资源的保密性、完整性；检测机制，使网络、基础设施、信息系统在“互联网+”新环境下具备检测能力，能及时发现网络安全威胁；应急响应机制，对网络安全事件进行跟踪和及时处理等，降低“蝴蝶效应”带来的危害；安全恢复机制，网络安全事故发生后，尽快完成档案资源的恢复，把对数字档案资源的损害降到最低。

4.3 建立健全数字档案资源安全法律体系

一是制定国家级别的数字档案资源安全法律法规。制定适应信息化发展趋势的《数字档案资源安全法》《数字档案馆法》等，从国家层面规范数字档案资源安全管理工作，同时为解决数字档案资源安全法律问题提供直接依据，实现有法可依。二是健全现有的与数字档案资源安全相关的法律法规。可考虑修订《中华人民共和国档案法》，在修订时应该对数字档案内涵做出明确、具体的规定，将数字档案资源安全纳入法律规范。还要补充现有的与数字档案安全管理相关的成文法规。举例来说，当前在知识产权和著作权工作领域，由于没有预估到信息技术飞速发展的趋势，在立法时并未把产生的数字档案纳入法律保护范围之中，也没有制定明确的法规条文要求追究侵权等，致使数字档案安全问题频发。因此必须要补充现有的与数字档案安全管理相关的成文法规，确保数字档案资源的绝对安全。

4.4 建立健全数字档案资源安全标准体系

一是完善与数字档案资源相关的安全标准。目前我国数字档案资源安全标准中，国家级别的标准有GB/T18894-2002《电子文件归档与管理规范》；行业标准有DA/T15-1995《磁性载体档案管理与保护规范》、DA/T32-2005《公务电子文件归档与管理规则》；地方标准有《青岛市电子文件归档与管理规范（试行）》《上海文书档案目录数据元规范》等[6]。在“互联网+”这一时代背景下，大多数信息安全标准难以适应当前信息技术的发展需要，因此要着力完善各类数字档案资源安全标准，确保标准能够顺应互联网发展趋势。二是建立以“数字档案”命名的数字档案资源安全标准。应建立以“数字档案”命名的数字档案资源标准，如《数字档案归档案与管理规范》等，确保标准体系规范化、系统化，使“互联网+”环境下产生的数字档案资源的存储、保管、利用等过程尽可能严格规范。

4.5 建立数字档案资源安全技术体系

当前，我国确保数字档案资源安全的技术手段仍不完善，存在以下问题：技术更新周期的趋短性容易导致系统不兼容，对数字档案的可读性等产生困扰；不具备开展自主研发的核心技术，容易成为其他国家进行信息窃听和信息打击的对象。针对这样的现状，应着力建立以自主研发为主，以防火墙技术、数据加密技术、身份认证技术、访问控制技术、安全检测与监控技术等为核心，顺应信息技术发展潮流的数字档案资源技术保障体系。首先，建立安全计算环境，进行数字档案用户的身份鉴别与自主访问控制；其次，建立安全区域边界，杜绝强制访问，并进行区域边界安全审计、区域边界完整性保护；第三，建立安全通讯网络，保障数字档案信息传输的完整性和保密性[7]。

4.6 建设数字档案资源安全管理人才队伍

近年来，由于档案工作人员恶意操作或操作不当引发的数字档案安全事故不断增长，因此建设数字档案资源安全管理人才队伍建设，提高档案人员的安全意识、素质水平、创新能力，有助于从内部筑起安全堡垒，着力对抗来自外部的攻击[8]。一般来说，数字档案资源安全管理人才队伍体系大致可分为高中低三个层次：高层次是数字档案资源安全战略人才，负责数字档案资源安全措施的制定和安全工作监控；中层次包括复合型管理人才和创新型研发人才，分别负责数字档案资源安全的综合管理和信息技术的研发；低层次包括数字档案资源安全应用人员、安全管理人员和具备安全知识的普通公民[9]。开展数字档案资源安全管理人才建设要建立并完善高校档案学专业关于数字档案资源安全保障的相应课程体系[10]，同时建立“互联网+高校+科研院所”模式，充分利用“互联网+”；加强档案管理人员培训，增强他们进行数字档案安全管理的技能；实施人员全程任职监管，落实档案人员对数字档案资源安全管理的权责；构建信息安全人才库，为数字档案资源安全管理做好人才储备。

4.7 建立数字档案资源安全管理国际合作机制

在“互联网+”环境下，要确保数字档案资源安全，必须贯彻习近平提出的“共同构建网络空间命运共同体”的要求，建立数字档案资源安全管理国际合作机制。要以联合国为中心，加强区域组织安全合作，维护共同的数字档案安全；加强非政府间的企业安全技术跨国合作，不断提升数字档案安全管理的技术水平；推动国际间数字档案资源安全的立法和司法合作，共同应对网络犯罪风险，为全球数字档案资源安全管理提供稳定的国际环境。

“互联网+”时代的到来推动信息技术快速发展，由此带来的一个负面影响是数字档案资源的安全问题越来越突出。在实际工作中，只有从整体出发，研究数字档案资源安全的方方面面，建立和完善数字档案资源安全保障体系，才能确保数字档案的安全与可用。

注释与参考文献：

[1]樊如夏,郑志荣.影响数字档案信息安全的因素与对策[J].档案学通讯,2007,(06):73-74.

[2]外媒热议习近平领衔网安小组:视网络安全为国家战略-中新网[EB/OL].[2015-12-10].http://www.chinanews.com/gn/2014/03-01/5898814.shtml.

[3]陈永生,苏焕宁,杨茜茜等.电子政务系统中的档案管理：安全保障[J].档案学研究,2015,(04):29-30.

[4]封华.新时期加强档案实体与档案信息安全的几点思考[A].档案安全与档案服务——2011年甘肃省档案工作者年会论文集[C],2011.

[5][6]张勇.数字档案信息资源安全保障体系研究[D].苏州:苏州大学,2007:17-19.

[7]张勇.大数据时代数字档案信息资源安全保障体系研究[J].档案管理,2014,(06):23-24.

[8]王茹熠.数字档案信息安全防护对策分析[D].黑龙江:黑龙江大学,2009:23-24.

[9]张显龙.全球视野下的中国信息安全战略[M].北京:清华大学出版社,2013:97-98.

[10]张勇.数字档案信息资源安全保障体系研究[D].苏州:苏州大学,2007:39-40.