【摘要】數(shù)字檔案信息安全是當(dāng)前檔案工作和學(xué)術(shù)研究關(guān)注的焦點。從技術(shù)、管理和法律制度三個層面分析數(shù)字檔案安全存在的問題,提出構(gòu)建數(shù)字檔案安全保障體系實現(xiàn)路徑是,以信息技術(shù)為支撐,提升數(shù)字檔案安全保障的技術(shù)手段;以科學(xué)管理為導(dǎo)向,完善數(shù)字檔案安全保障的管理體系;以依法治檔為準則,加強數(shù)字檔案安全保障的法規(guī)建設(shè)。
【關(guān)鍵詞】數(shù)字檔案;檔案信息化;信息安全
1.引言
檔案安全是檔案工作的生命線和底線,隨著檔案信息化進程的不斷推進,數(shù)字檔案成為國家檔案信息資源的重要組成部分,其安全關(guān)乎數(shù)字檔案信息資源的長久存儲及有效利用和檔案事業(yè)的長遠發(fā)展,是國家信息安全的重要組成部分。國家檔案局局長楊冬權(quán)指出:“數(shù)字檔案的保存戰(zhàn)略稍有不當(dāng),體現(xiàn)數(shù)字時代人類智慧與進程的數(shù)字檔案就將消失殆盡并無法復(fù)得,當(dāng)今的人類記憶和文明記載就將成為空白,人類文明的延續(xù)和進步都會因此而受到影響,今天的檔案工作者就將鑄成無法彌補的歷史大錯”[1],更是說明了保障數(shù)字檔案安全對人類文明與社會進步的重大意義。
數(shù)字檔案是利用現(xiàn)代信息技術(shù)形成的,對國家和社會組織具有保存價值的,并經(jīng)過歸檔整理后,依賴于計算機系統(tǒng)存儲,可在網(wǎng)絡(luò)上傳輸利用,以數(shù)字代碼記錄的文字、圖像、聲音等不同形式的歷史記錄[2]。由于數(shù)字檔案具有對基礎(chǔ)設(shè)施的依賴性、存儲載體的脆弱性、信息的易變易逝性以及內(nèi)容傳輸?shù)木W(wǎng)絡(luò)化等特性,對數(shù)字檔案的安全防護提出了更高的要求。楊冬權(quán)局長提出將“認真管好電子文件,確保電子文件安全”作為我國檔案安全體系建設(shè)的主要任務(wù)之一[3]。王興婭,顏祥林通過對權(quán)威英文圖書館學(xué)信息學(xué)數(shù)據(jù)庫LISA中數(shù)字檔案資源保存與安全方面的文獻分析表明,資源的存儲問題是國外數(shù)字檔案資源保存與安全近年研究的主流方向,災(zāi)難恢復(fù)、存儲體系、風(fēng)險評估等方面也漸成熱點[4];陳麗娟,湯堅玉通過對國內(nèi)近十年數(shù)字檔案安全研究分析顯示,數(shù)字檔案研究中的安全措施、信息安全、應(yīng)用領(lǐng)域、安全保管、安全保密、信息化和電子文件管理系統(tǒng)是研究者關(guān)注的熱點[5]。由此可見,數(shù)字檔案信息安全是當(dāng)前檔案工作和學(xué)術(shù)研究關(guān)注的焦點,做好數(shù)字檔案的安全防護,是檔案工作者必須認真研究和探討的問題。
項文新[6]認為,檔案信息安全保障體系的構(gòu)建應(yīng)與其他信息安全保障體系一樣,基于技術(shù)、管理和法規(guī)標準三個支柱?;诖耍疚膹募夹g(shù)、管理和法律制度三個層面分析數(shù)字檔案安全存在的問題,進而提出對策性建議。
2.我國數(shù)字檔案安全存在的問題
2.1 數(shù)字檔案安全在技術(shù)層面的風(fēng)險
計算機、存儲系統(tǒng)和網(wǎng)絡(luò)平臺是數(shù)字檔案生存的基礎(chǔ),也是引發(fā)安全問題的風(fēng)險基地[7]。第一,數(shù)字檔案信息自身的脆弱性。數(shù)字檔案具有易于失讀、失真、失息、失密等致命性缺點。這一致命缺點,是它與生俱來的[1]。數(shù)字檔案自身特征使其容易遭受信息安全威脅。第二,基礎(chǔ)設(shè)施和運行環(huán)境的安全隱患。計算機設(shè)備、設(shè)施容易受地震、水災(zāi)、火災(zāi)、有害氣體和其他環(huán)境事故的破壞,如果硬件設(shè)備意外損壞和計算機硬盤故障都會導(dǎo)致嚴重的數(shù)據(jù)丟失。尤其是硬盤,屬于故障發(fā)生率比較高的設(shè)備,硬盤一旦發(fā)生故障,內(nèi)部的數(shù)據(jù)就很難恢復(fù),如果事先沒有做好備份,那么就等于數(shù)據(jù)完全丟失。一些操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)、檔案數(shù)據(jù)存貯、備份等系統(tǒng)存在安全隱患,會造成檔案數(shù)據(jù)的原始性、完整性、保密性無法得到有效的保障。第三,數(shù)字檔案信息傳播中的安全隱患。數(shù)字檔案信息是依靠計算機技術(shù)、網(wǎng)絡(luò)環(huán)境進行傳輸?shù)?。計算機系統(tǒng)存在著大量的病毒、木馬程序、惡意軟件和黑客攻擊等行為對數(shù)字檔案信息安全造成巨大威脅。
2.2 數(shù)字檔案安全在管理層面的問題
目前,數(shù)字檔案管理過程中存在信息安全意識不高、保障安全能力不足和安全管理機制不健全等方面的問題。第一,管理意識較淡薄。一些檔案管理者還沒有從傳統(tǒng)文件安全管理中積累的安全意識轉(zhuǎn)變到數(shù)字檔案安全管理上來,對數(shù)字檔案安全的認識存在誤區(qū),對安全風(fēng)險的嚴重性、事故發(fā)生的可能性認識不足,并不知道數(shù)字檔案信息的安全風(fēng)險比紙質(zhì)檔案安全風(fēng)險大得多。第二,保障安全的能力不足。缺乏足夠的認識和必要的安全教育培訓(xùn),實際工作中,系統(tǒng)操作人員安全意識缺乏、違規(guī)操作現(xiàn)象時有發(fā)生,造成系統(tǒng)運行緩慢甚至數(shù)據(jù)丟失等嚴重后果。第三,安全管理機制不健全。國家信息安全管理處于條塊分割的狀況,缺少必要的綜合協(xié)調(diào)和整體規(guī)劃,不同主體推進的改革進程差別過大,導(dǎo)致落實信息安全制度的成本高;安全管理細節(jié)和責(zé)任追究等方面還有待加強,如網(wǎng)絡(luò)安全管理和涉密信息安全管理缺乏科學(xué)的手段、數(shù)字檔案信息的安全管理制度和應(yīng)急預(yù)案建設(shè)仍存在諸多問題;工作模式缺乏對數(shù)字檔案信息從生成—歸檔—利用整個流程的科學(xué)管理;網(wǎng)絡(luò)安全、密級信息處理缺乏行之有效的方法,責(zé)任追究也存在漏洞。
2.3 數(shù)字檔案安全在法律制度層面的不足
當(dāng)前關(guān)于數(shù)字檔案信息安全的規(guī)章制度主要散見于《檔案法》、《刑法》、《民法》等法律中,我國檔案信息安全立法從總體上來說還沒有構(gòu)成一個完備的法律體系,在許多方面還存在著不足;沒有形成專門的數(shù)字檔案信息安全法,難以為有效開展數(shù)字檔案信息保護和執(zhí)法提供法律依據(jù);隨著科學(xué)技術(shù)的不斷發(fā)展,僅僅依靠這些通用的檔案和計算機網(wǎng)絡(luò)方面的法律法規(guī),還不足以保障數(shù)字檔案信息的安全,應(yīng)建立一個相對獨立的信息法律體系,對數(shù)字檔案的信息安全行為、保障措施、破壞數(shù)字檔案信息安全的處罰等做出具體規(guī)定。
3.構(gòu)建數(shù)字檔案安全保障體系
3.1 以信息技術(shù)為支撐,提升數(shù)字檔案安全保障的技術(shù)手段
第一,加強數(shù)字檔案信息的存儲設(shè)備管理。要結(jié)合實際,根據(jù)數(shù)字檔案信息的不同用途來選擇相應(yīng)介質(zhì),對于特別珍貴的數(shù)字檔案信息,則應(yīng)轉(zhuǎn)移至紙質(zhì)的縮微膠片上。第二,建立數(shù)據(jù)備份中心。數(shù)據(jù)備份是一切災(zāi)難發(fā)生后恢復(fù)系統(tǒng)的最后保障,無論選用何種載體,只有通過連續(xù)備份,才能確保數(shù)字檔案信息安全、有效、可用,實現(xiàn)異地存儲、災(zāi)難恢復(fù)。管理人員必須對備份數(shù)據(jù)介質(zhì)進行定期檢查、更新、遷移、轉(zhuǎn)換,使備份真正發(fā)揮恢復(fù)系統(tǒng)和數(shù)據(jù)的作用;做好數(shù)據(jù)備份與系統(tǒng)災(zāi)難的恢復(fù)預(yù)案,確保在數(shù)據(jù)損壞或系統(tǒng)崩潰的情況下能快速恢復(fù)數(shù)據(jù)與系統(tǒng)。第三,采用高新技術(shù),確保數(shù)字檔案信息的安全。通過防火墻技術(shù)可以加強對外部網(wǎng)絡(luò)和內(nèi)部網(wǎng)絡(luò)之間數(shù)據(jù)交流的檢查,最大限度地阻止黑客更改、破壞和復(fù)制數(shù)字檔案信息;采用入侵檢測技術(shù)能夠保護應(yīng)用網(wǎng)絡(luò)鏈接的主要服務(wù)器、實時監(jiān)控可疑的鏈接和非法訪問的接入,并對各種非法入侵行為作出快速反應(yīng),從而保障數(shù)字檔案信息的安全;采用加密技術(shù)對涉密數(shù)字檔案信息進行加密,利用者必須經(jīng)過授權(quán)拿到解密鑰之后,才能獲取信息,這對數(shù)字檔案信息起到了有效的保護;采用數(shù)字水印技術(shù)可以保障數(shù)字檔案信息快速、安全、合法地傳遞,從而確保信息內(nèi)容的真實和完整。同時,密切關(guān)注信息安全技術(shù)的進展,積極采用最新技術(shù)確保數(shù)字檔案信息的安全得到更加可靠的保障。
3.2 以科學(xué)管理為導(dǎo)向,完善數(shù)字檔案安全保障的管理體系
第一,提高數(shù)字檔案信息安全管理人員素質(zhì)。積極培育適應(yīng)數(shù)字檔案信息安全管理的復(fù)合型人才,使其樹立全面的、科學(xué)的、正確的檔案信息安全觀,筑牢數(shù)字檔案信息安全的思想基礎(chǔ);打造一支既對信息安全理論和信息安全技術(shù)的造詣,又對世界檔案信息化發(fā)展現(xiàn)狀和前沿有較深的了解,既通曉檔案信息安全法規(guī)制度,又具備豐富的信息安全管理實踐經(jīng)驗,既能夠熟練地運用各種信息安全設(shè)備和設(shè)施,又能夠解決信息安全方面的具體問題的數(shù)字檔案管理隊伍。第二,建立健全數(shù)字檔案信息安全管理制度。建立專門的檔案數(shù)字化、信息化、網(wǎng)絡(luò)化協(xié)調(diào)組織機構(gòu), 組織國家檔案信息網(wǎng)絡(luò)的總體設(shè)計與技術(shù)攻關(guān), 加強檔案信息網(wǎng)絡(luò)一體化的宏觀管理;檔案管理機構(gòu)要制定健全統(tǒng)一的安全管理制度,系統(tǒng)維護制度,網(wǎng)絡(luò)安全預(yù)警機制以及防病毒安全措施和數(shù)字檔案信息備份機制;建立完善數(shù)字檔案信息形成、歸檔、保管、利用全過程的管理制度。完善數(shù)字檔案的形成制度、執(zhí)行科學(xué)的歸檔制度、建立嚴格的保管制度、規(guī)范數(shù)字檔案的利用制度,維護數(shù)字檔案信息的原始性、真實性。第三,完善數(shù)字檔案安全資金保障制度。資金保障是構(gòu)建數(shù)字檔案信息安全體系的前提。由于檔案管理機構(gòu)是社會公益性部門,政府應(yīng)加大財政投入力度,確保包括數(shù)字檔案在內(nèi)的檔案安全工作所需資金得到保障;同時,要做到資金使用明晰、規(guī)范、科學(xué),將有限的資金真正應(yīng)用在檔案館設(shè)施購置、管理技術(shù)升級及相關(guān)技術(shù)人員培訓(xùn)等事項上。
3.3 以依法治檔為準則,加強數(shù)字檔案安全保障的法律建設(shè)
將法治思維和法治方式貫穿于保障數(shù)字檔案信息安全是確保數(shù)字檔案安全的制度保證。第一,應(yīng)在相關(guān)檔案法規(guī)中,對數(shù)字檔案安全保護問題做出明確、具體的規(guī)定,增加和細化《檔案法》對數(shù)字檔案安全法律保障條款。具體來說,要明確數(shù)字檔案信息的概念、保護數(shù)字檔案信息安全的原則,規(guī)定侵害數(shù)字檔案信息安全應(yīng)承擔(dān)的法律責(zé)任,還要規(guī)定檔案館及相關(guān)部門對數(shù)字檔案信息安全的監(jiān)管職責(zé)等。第二,積極應(yīng)積極借鑒吸收國外相關(guān)立法經(jīng)驗,如美國、歐盟等國家和地區(qū)對數(shù)字檔案信息安全進行了較為系統(tǒng)的規(guī)定,結(jié)合我國檔案信息化建設(shè)的具體情況和數(shù)字檔案信息的特點,完善保障數(shù)字檔案信息安全的相關(guān)法規(guī)。第三,積極建立相對獨立的信息法律體系。盡快制定包括數(shù)字檔案信息公開的法律制度、保護隱私權(quán)的法律制度、數(shù)字檔案安全利用的法律制度、網(wǎng)絡(luò)知識產(chǎn)權(quán)的法律制度以及檔案信息犯罪的法律制度等在內(nèi)的數(shù)字檔案安全保障法律體系。鑒于立法程序的嚴格性及復(fù)雜性,可循序漸進地修訂相關(guān)法律,使全社會都能夠重視數(shù)字檔案信息的安全問題,從而保障檔案信息化建設(shè)的科學(xué)、可持續(xù)發(fā)展。
4.結(jié)語
數(shù)字檔案信息正在逐漸成為社會檔案信息資源的重要組成部分,構(gòu)建數(shù)字檔案安全保障體系,有利于維護數(shù)字檔案的憑證價值,提高數(shù)字檔案信息資源的長久存儲。要將信息技術(shù)、管理體系和依法治檔三個層面結(jié)合起來,構(gòu)建數(shù)字檔案安全保障體系的最佳方案,使數(shù)字檔案信息的重要作用充分發(fā)揮。
參考文獻
[1]楊冬權(quán).以對歷史負責(zé)的態(tài)度,確保數(shù)字檔案安全——在國際檔案圓桌會議上的專題發(fā)言[J].中國檔案,2010(10):14-15.
[2]張惠.網(wǎng)絡(luò)環(huán)境下數(shù)字檔案信息安全防護思考[J].中國管理信息化,2012(11):63-64.
[3]楊冬權(quán).在全國檔案安全體系建設(shè)工作會議上的講話[J].中國檔案,2010(6):12-18.
[4]王興婭,顏祥林.基于LISA數(shù)據(jù)庫的國外數(shù)字檔案資源保存與安全研究動向分析[J].檔案建設(shè),2012(2):8-11.
[5]陳麗娟,湯堅玉.論我國數(shù)字檔案安全研究熱點及趨勢[J].蘭臺世界,2011(2):23-24.
[6]項文新.基于信息安全風(fēng)險評估的檔案信息安全保障體系構(gòu)架與構(gòu)建流程[J].檔案學(xué)通訊,2012(2):87-90.
[7]呂榜珍.數(shù)字檔案的長期安全保存策略[J].檔案學(xué)通訊,2006(4):
52-54.
作者簡介:常立清(1981—),男,河南虞城人,中共商丘市委黨校檔案管理員,主要從事檔案信息資源開發(fā)與利用研究。