“互联网+”背景下的档案资源安全建设
2018-01-24
“互联网+”时代的到来引发了资源聚集,也引起了巨大的信息安全挑战。2016年4月,国家出台《关于进一步加强档案安全工作的意见》明确指出“要密切跟踪‘互联网+’﹑物联网﹑云计算﹑大数据等新技术﹑新知识﹑新要求,不断提高档案安全技术水平”。可见,在档案资源安全风险日趋复杂的“互联网+”背景之下,档案工作者必须以“互联网+”思维审视档案资源安全问题,加快推进档案资源安全建设。
一、“互联网+”背景下档案资源安全的新特征
首先,具有风险集群性,档案资源具有天然的大数据规模,极易形成风险集群效应。在“互联网+”时代,数据化﹑网络化与规模化趋势越明显,档案资源安全面临的风险便越高。一方面,用户利用共享平台检索利用档案资源,一旦系统出现故障﹑遭遇恶性攻击,档案机构将蒙受巨大的损失。另一方面,档案资源价值颇高,容易引起黑客的兴趣,使其将攻击行为集聚在单一点域,以降低攻击成本,这在客观上也增大了攻击的目的性。
其次,具有高度脆弱性,“互联网+”背景下,各行各业实现了“蜘蛛网”式的全面互联互通,其中金融﹑电力﹑交通及信息等领域对网络安全的需求尤高。面对纷杂繁冗的网络系统,档案资源的安全性很难控制,加上攻击源的弥散性﹑攻击对象的不确定性﹑攻击成本的廉价性﹑技术手段的先进性,档案资源不可避免地显示出高度脆弱性并容易遭受攻击。
再次,具有综合交叉性,档案资源的来源具有多样性,不仅涉及HTML文件﹑网页﹑音频﹑视频等半结构化信息,还包括庞大的非结构化数据。海量异构档案数据全面覆盖政务﹑商业﹑民生﹑社交等各领域,导致档案资源安全问题综合交叉,展现出跨界﹑融合与协同等特点,可谓“牵一发而动全身”。
第四,具有动态泛在性,在档案资源的全生命周期中广泛存在各种安全问题。其一,档案资源规模大,很难及时采集与细化分析。其二,档案资源类型多,难以规模化存储与管理。其三,档案信息瞬间生成流转,难以及时捕捉与快速传输。其四,档案资源价值密度高,汇聚敏感信息,难以高效管理与安全利用。其五,档案数据的即时扩散性使存在安全隐患的数据极易向各领域快速蔓延,引发“蝴蝶效应”,使监管难度增加。
最后,具有隐蔽关联性,其一,档案数据的价值发现具有隐蔽关联性。在“互联网+”时代,档案数据可呈指数级增长,因而极易引发信息冗余,很多碎片化数据只有在聚集与挖掘后方可呈现潜在价值。因此,如何甄别具有潜在价值的档案信息并进行安全保护是一个难题。其二,档案资源的安全隐患具有隐蔽关联性。档案资源安全的威胁因素具有较长潜伏期,可在毫无征兆之下迅速蔓延,用户在线利用档案资源可引发传统信息传递方式改变,同一资源可被多人访问,同一用户可访问多重资源,访问需求动态变化,导致档案工作者难以及时发现和预测安全问题。
二、“互联网+”背景下档案资源安全建设的基本维度
“互联网+”背景下,档案资源安全建设离不开人文维度﹑技术维度﹑管理维度与法治维度的支持。这四大维度相辅相成,缺一不可。
(一)人文维度
人文维度体现在对人的价值﹑尊严与权利的维护,对用户追求的关心,对人类留存的一切精神文化现象的珍视。因此,秉持“人文关怀”是档案资源安全建设的题中应有之义。细数档案资源安全事故,除少数不可抗自然因素外,多数是由“人”的思想行为所造成。如2007年陕西吴堡县人才交流中心毕业生档案丢失事件,就是因档案工作者“人文意识”缺失所引发。档案安全关乎党和国家的利益,也关系着每个公民的权益,只有始终关心每份档案背后所维系的利益,关怀档案所牵涉的个人命运,档案资源安全建设才有牢固的思想基础。
(二)技术维度
不同组织团体及国家之间为追求利益,相互搜集与窃取重要情报,以便打击和控制对方。而此类重要信息多以档案形式留存。在“互联网+”时代,档案资源的保护边界被打破,面对更多不确定性风险和威胁,档案资源随时有遭到篡改﹑泄密﹑非法利用的可能,其安全建设也面临着前所未有的挑战。为此,需借助强大的技术力量规避安全风险。这也决定了未来很长时间内技术将成为档案资源安全建设中十分重要的角色。
(三)管理维度
管理维度是指保障档案资源安全的管理环境,涉及管理理念﹑方法﹑机制等。调查显示, 70%以上的信息安全事件是因管理不当引起的。对于信息安全管理而言,“三分靠技术,七分靠管理”。完善的管理环境是保障档案资源安全性的关键因素。尤其是在“互联网+”背景下,管理因素在档案资源安全建设中的功效愈加突出,但较高速发展的信息技术而言,档案资源安全管理水平明显滞后。
(四)法治维度
档案资源安全建设离不开法律的有力支持。早在1987年,国家就出台了《中华人民共和国档案法》。1996年再次就该法律进行详细修订,还颁布了《保密法》《信息安全法》等法律。2010年10月1日,《保守国家秘密法》全面推行。2014年国家颁布的《关于加强和改进新形势下档案工作的意见》明确指出:“建立健全确保档案资源安全保密的档案安全体系。”可见,档案资源安全建设已上升为一项国家战略。在“互联网+”时代,规范档案资源安全建设是依法治国的重要内容。
三、“互联网+”背景下档案资源安全建设策略
(一)人文维度:秉持“人文关怀”,树立安全意识
每份档案都涉及多个“人”或“事”。档案管理人员需秉承“人文精神”,树立安全意识,以守护其尊严与价值。首先,档案工作者应推进档案资源安全知识宣讲进社区。面对社区居民﹑乡镇劳动者等网络信息安全知识弱势群体,应深入基层,以通俗易懂的方式加强档案资源安全文化普及与法律法规宣讲;开展特色馆藏展览﹑流动展览﹑在线展览及知识竞赛,通过拍摄电视﹑视频材料,印制宣传册﹑纪念品等形式,使档案安全观念深入人心。其次,各大院校应促进档案资源安全知识进课堂,通过开设档案专业,完善档案资源安全保护课程,培养业务能力强﹑信息素养高的档案人才;还应大力开展职业教育培训﹑档案资源安全继续教育,提升档案工作者的信息保护能力,优化档案人才队伍结构。再次,有关部门应推动档案资源安全规范进入各行业。通过制定行业自律公约,规范档案工作者的职业道德行为,坚持开展“档案行业自律贡献奖”评选活动,净化档案行业网络环境,助推行业规范发展。
(二)技术维度:加强学习研发,优化技术环境
技术保障是档案资源安全建设的核心支撑。档案工作者应加强信息安全技术的横向学习与纵向研发,优化技术环境。一方面,档案机构应积极引入国外先进信息安全技术。例如,数字信息加密技术可引入美国DES﹑欧洲IDEA﹑日本FEAL等古典密码加密技术;防火墙﹑杀毒软件可借鉴俄罗斯卡巴斯基全功能安全软件﹑美国Norton Internet Security技术,达到防病毒﹑防间谍软件的目的;数字资源安全存储可引入澳大利亚PPANDORA﹑美国NDIPP﹑欧洲ACE等项目,以解决档案资源长期保存的安全性﹑完整性问题。另一方面,国家应依循国情与档案资源安全保密要求,自主设计档案资源安全保护技术,创新研发可控信息安全技术,积极发展民族信息安全技术产业,突破发达国家对我国信息安全核心技术的垄断,促进档案科技成果的转化,提升档案工作的科技含量,为档案资源安全建设奠定技术基石。
(三)管理维度:改进管理流程,完善规范机制
档案工作者面对档案资源安全建设中的短板,应改进管理流程,制定科学的管理规范与标准,加快完善安全应急﹑灾难恢复等机制。首先,针对档案资源安全管理缺乏系统性的问题,可参考PDCA循环法的计划﹑执行﹑检查﹑处理四大环节,改进档案资源安全管理流程,及时发现并解决信息生态链中的安全问题。其次,针对档案资源管理标准不一致的问题,有关部门应加快制定统一的国家﹑行业及地方标准,以适应信息安全技术的发展要求。再次,档案工作者可借鉴美国PDRR网络安全模型,构建一套行之有效的档案资源安全管理机制。一是制定信息评估机制,精准识别档案资源安全风险因子,明确安全事件责任人;二是形成安全防护机制,通过缺陷扫描﹑防毒软件﹑数据加密﹑认证识别等技术阻截攻击,减少入侵率;三是建立检测机制,一旦网络入侵,立即启动检测,针对安全事件提供相应的处理方案;四是制定突发应急机制,对档案资源安全事件进行全程跟踪﹑报警﹑隔离﹑限制﹑关闭服务等处理,避免安全事件扩大,防止形成“蝴蝶效应”;五是构建灾难恢复机制,安全事件发生后立即启动修补系统,通过备份﹑归档信息恢复,将档案资源的损失降至最低。
(四)法治维度:健全法制体系,强化执法监管
一方面,有关部门应树立“超前立法”思维,加强档案单独立法,依循信息安全技术的发展,制定《档案资源安全法》《档案馆法》等国家级法律法规,助推档案资源安全建设。另一方面,相关部门应以发展的眼光看待问题,顺应“互联网+”时代的发展要求,不断健全法律﹑完善法规,将“档案资源安全”纳入法律体系,修订《档案法》,增加档案信息人的责任定位,补充网络社会个人信息隐私保护内容,增设档案资源管理条例,明确档案所有权﹑使用权与侵权责任。有关部门应加强行政执法,完善档案执法监管体系,构建责任制﹑问责追究制等,在行政层面对安全事件责任主体进行约束,在刑法领域对主体负责人及责任人进行惩处,及时修正档案资源生态位。相关部门还应完善内外监督机制,优化考评机制,定期对执法工作者进行考评公示,提升大众档案资源保密意识,使他们充分发挥监督作用。