APP下载

“互联网+”环境下的电子文件信息安全风险的界定

2016-12-18

办公自动化 2016年12期
关键词:信息系统信息安全互联网+

史 杰

(新乡市牧野区人力资源和社会保障局 新乡 453000)



“互联网+”环境下的电子文件信息安全风险的界定

史杰

(新乡市牧野区人力资源和社会保障局新乡453000)

摘要文章从信息安全、信息安全风险、电子文件信息安全、电子文件信息安全风险的概念入手,讨论了电子文件信息安全与电子文件信息安全风险的区别与关系。归纳了“互联网+”环境下电子文件信息安全风险的表现形式,提出了“原生风险”、“伴生风险”、”先天风险“、”后天风险“的概念。指出在“互联网+”环境下,理清电子文件信息安全风险要素,对“互联网+”环境下电子文件信息安全风险进行评估与控制,具有重要的现实意义。

关键词互联网+“互联网+”环境电子文件电子文件信息信息安全风险

一、电子文件信息安全与电子文件信息安全风险

电子文件信息安全问题是近年来档案界研究的热点。仅知网数据库题名中涉及“电子文件信息安全”的文献就有40篇,主题中涉及“档案信息安全”的文献有65篇,全文中涉及”的文献更是多达689篇。相比之下,对于档案信息安全风险的研究就要冷许多。同样在知网数据库题名中涉及“档案信息安全风险”的文献为0篇,主题中涉及“档案信息安全风险”的文献只有1篇,全文中涉及“档案信息安全风险”的文献也不过18篇。

在电子文件信息安全问题提出的初期,研究关注的重点是如何保障电子文件信息的安全,随着研究的深入,人们越来越发现要保障电子文件信息的安全,必须对产生电子文件信息安全风险的要素进行控制,必须对电子文件信息安全风险问题进行研究。但研究中常常有将电子文件信息安全与电子文件信息安全风险相混淆的情况。因此,有必要首先对电子文件信息安全与电子文件信息安全风险的概念及两者间的区别进行一些阐述。

1、信息安全和电子文件信息安全

要明确电子文件信息安全的概念,先要搞清楚信息安全的概念。关于信息安全,学界目前还没有形成统一的认识,从国内外已有的定义看,大致可以分为广义和狭义两类。广义信息安全包括“信息系统的安全和信息内容的安全[1]”,是指“所有涉及信息的安全性、完整性、可用性、真实性和可控性的相关理论和技术,它是物理安全、网络安全、数据安全、信息内容安全、信息基础设施安全与公共信息安全的总和。”[2]简单的说,“信息安全是指信息及信息系统所具有的完整性、可用性、和保密性不受破坏。”[3]

狭义信息安全是指信息内容的安全性,“主要侧重于保护信息的秘密性、真实性和完整性,避免攻击者利用系统的安全漏洞进行窃听、冒充、诈骗、盗用等有损合法用户利益的行为,保护合法用户的利益和隐私。”[4]

与信息安全定义的情况相似,档案学界对电子文件信息安全的定义也没有形成共识,大致也有两观点,与信息安全定义中的广义和狭义近似。广义的讲,”电子文件信息安全是指电子文件信息在其生成、保存和利用过程中受到保护,不因偶然和恶意的原因而遭到破坏、更改和泄露,确保其真实性、完整性、系统性、原始性、可读性和可靠性,并确保电子文件信息网络系统连续正常运行。”[5]可以理解为电子文件安全包含着有两个方面的含义:一方面是指电子文件系统或载体的安全;另一方面是指电子文件信息内容的安全。与狭义的“信息安全“不同,档案工作者将狭义的电子文件信息安全又分为电子文件信息系统安全与电子文件信息安全两种。从电子文件生成系统软硬件和电子文件信息两个方面来定义电子文件信息安全。如:“电子文件信息安全是指对电子文件信息内容的保密性、完整性、可用性、可控性和不可否认性进行的安全保护。”[6]

电子文件信息安全是指电子文件信息系统安全,包括电子文件应用系统安全、电子文件信息网络安全、计算机系统安全和电子文件信息设备安全,主要体现为电子文件的保密性、完整性、可用性、可控性、不可抵赖性等五个方面。“或者说电子文件信息安全是指电子文件信息的“保密性、完整性、可用性和真实性的保持。”[7]

总之,电子文件信息安全是指电子文件信息网络管理系统的硬件、软件及其系统中的电子文件数据受到保护,系统连续、可靠、正常地运行,不受偶然的或者恶意的原因而遭到破坏、更改、泄露。或者说,电子文件信息安全是指对电子文件信息系统软、硬件及系统中的电子文件数据信息实施保护,使其免受自然或人为的损害或破坏。

2、信息安全风险和电子文件信息安全风险

同样,电子文件信息安全风险概念的明晰,也需要从信息安全风险说起。与信息安全的定义相似,信息安全风险的定义也可以分为广义与狭义两种。狭义的信息安全风险,一方面信息系统安全风险是指,“信息安全风险指在信息系统的整个生命周期中面临的人为或自然的威胁,系统存在的脆弱性导致信息安全事件发生的可能性及其造成的影响“[8]另一方面系统中信息的安全风险则是指信息系统中信息的保密性、完整性和可用性遭到破坏的可能性。而广义的信息安全风险,则包括信息系统安全风险和系统中信息的安全风险。

虽然,在知网数据库中,题名涉及“电子文件信息安全风险”的文献没有1篇,主题涉及“电子文件信息安全风险”的有1篇,全文中涉及“电子文件信息安全风险”的文献也只有18篇。但均没有定义或讨论什么是“电子文件信息安全风险”。“电子文件信息安全风险”似乎是一个不言自明的问题。基于这种情况,笔者参照上述信息安全风险的定义,结合电子文件信息的特点,尝试着将电子文件信息安全风险定义为:电子文件信息系统的整个生命周期中面临的人为或自然的威胁,系统存在的脆弱性导致电子文件信息安全事件发生的可能性及其造成的影响,及电子文件信息系统中电子文件信息的保密性、完整性、真实性和可用性遭到破坏的可能性。

3、电子文件信息安全与电子文件信息安全风险的区别与关系

电子文件信息安全与电子文件信息安全风险从字面上看,非常相似,只有区区2个字的不同。但两者存在如下的区别:

(1)目的不同

电子文件信息安全的目的是保障电子文件信息不受损害或破坏,而电子文件信息安全风险的目的是寻找可能损害或破坏电子文件信息的因素,就电子文件信息可能受到的损害或破坏向相关主体示警。

(2)对象不同

电子文件信息安全针对的对象是现实的危及安全的问题,而电子文件信息安全风险针对的是某种危险的可能性。

(3)手段不同

实现电子文件信息安全的手段是现实的,包括技术的、制度的、设备的。而电子文件信息安全风险只来源于对电子文件信息安全所涉及各要素测量数据的分析与评估。

(4)容忍度不同

对于电子文件信息安全我们不允许有丝毫懈怠,追求的100%的安全。而电子文件信息安全风险不可能,也没有必要追求0风险,允许有一定的容忍度和风险值,只根据允许与可控程度采取相应的行动。

在两者关系上,不是对等关系,而是包容关系。电子文件信息安全风险包含在电子文件信息安全之中,是电子文件信息安全的一个组成部分。

二、“互联网+”环境下电子文件信息安全风险的表现形式

在基于移动互联网、云计算、大数据、物联网等先进技术应用的“互联网+”环境下,电子文件信息安全风险具有一些共性,我们将这种共性称之为“互联网+”环境下电子文件信息安全风险的一般表现形式。其主要表现在两个方面:

第一是由电子文件自身特性产生的风险。这种风险也可称之为“原生风险”,或“先天风险”。“作为新一代文件形式,电子文件不仅面临着纸质文件管理的传统风险,其独有的特性又带来了比传统文件更多的风险,其中最根本的安全风险就是原始性和可利用性受到破坏。这些不同特质的风险相互叠加、关联和影响,导致电子文件管理的风险程度成倍增加。这是电子文件面临的主要风险。”[9]

第二是由于电子文件管理的体制、制度、控制手段、方法不周或不当所产生的风险。这种风险可以称之为“伴生风险”,或“后天风险”。“对于电子文件管理而言,由技术引发的管理体制和制度的变革是深层的,没有先例的,具有很大的不确定性,它与技术风险共同构成另一种形式的风险共生与叠加。这就是电子文件管理的体制和制度风险,是电子文件面临的基本风险。”[10]

三、结语

在“互联网+”环境下,技术的先进性与普及速度间矛盾、应用复合性与数据海量性间的矛盾、整体上的投入持续性与局部投入能力有限性的矛盾、需求的多样性与信息动态性间的矛盾、信息共享与安全的矛盾使的电子文件信息安全风险更加突出。在这种情况下,理清电子文件信息安全风险要素,对“互联网+”环境下电子文件信息安全风险进行评估与控制,就具有非常重要的现实意义。

参考文献

[1][4]孔祥维.信息安全中的信息隐藏理论和方法研究[D].大连理工大学,2003.

[2]温泉.多媒体数字水印的鲁棒性和不可感知性研究[D].吉林大学,2005.

[3]解男男.机器学习方法在入侵检测中的应用研究[D].吉林大学,2015.

[5]隋欣.浅谈电子文件的信息安全问题[J].黑龙江史志,2013,09:27+33.

[6]金波,宋屏.电子政务中电子文件信息安全探析[J].上海大学学报(社会科学版),2009,03:127-134.

[7]吴品才.档案信息风险评估若干问题研究[J].浙江档案,2013,11:14-16.

[8]刘琼.基于层次分析法的风险评估系统的研究与设计[D].西安电子科技大学,2009.

[9][10]杨安莲.电子文件信息安全管理研究[J].档案学通讯,2009,04:12-15.

Definition of Information Security Risks of Electronic Records under "Internet+" Environment

Shi Jie
(Xinxiang Municipal Human Resources & Social Security Bureau,Muye Dist. Xinxiang 453000)

AbstractThis article is started with the concept of the information security, information security risks, information security of electronic records, electronic records of information security risks, discussed the information security of electronic records and electronic records information security risks difference and relationship. Summarized the "Internet +" form of electronic records information security risks environment, put forward the concept of " protogenous risks", "associated risks", " congenital risks", and "posteriority risks" . and pointed out in the "Internet +" environment, identifying information security risks elements of electronic records, under the "Internet +" environment of information security risks assessment and control, it possesses important practical significance.

KeywordsInternet+ "Internet+" environment Electronic records Electronic records information Information security Risks

中图分类号TP393.4;TP393.08

文献标识码B

文章编号160525-7287

作者简介

史杰:出生年月:1989年12月4日,性别:女,民族:汉,籍贯:山东乳山,职务:科员,职称:初级,工作单位:新乡市牧野区人力资源和社会保障局。

猜你喜欢

信息系统信息安全互联网+
2022年信息系统与运营管理专栏征稿
信息安全不止单纯的技术问题
基于排队论的信息系统装备维修保障效能分析
计算机网络信息安全技术研究
基于并行构件技术的医疗信息系统的设计与实现
蓝羽石:沉浸在军事指挥信息系统里的创新人生
2014第十五届中国信息安全大会奖项