史　杰

（新鄉(xiāng)市牧野區(qū)人力資源和社會保障局　新鄉(xiāng)　453000）

?

“互聯(lián)網(wǎng)+”環(huán)境下的電子文件信息安全風(fēng)險的界定

史杰

（新鄉(xiāng)市牧野區(qū)人力資源和社會保障局新鄉(xiāng)453000）

摘要文章從信息安全、信息安全風(fēng)險、電子文件信息安全、電子文件信息安全風(fēng)險的概念入手，討論了電子文件信息安全與電子文件信息安全風(fēng)險的區(qū)別與關(guān)系。歸納了“互聯(lián)網(wǎng)+”環(huán)境下電子文件信息安全風(fēng)險的表現(xiàn)形式，提出了“原生風(fēng)險”、“伴生風(fēng)險”、”先天風(fēng)險“、”后天風(fēng)險“的概念。指出在“互聯(lián)網(wǎng)+”環(huán)境下，理清電子文件信息安全風(fēng)險要素，對“互聯(lián)網(wǎng)+”環(huán)境下電子文件信息安全風(fēng)險進行評估與控制，具有重要的現(xiàn)實意義。

關(guān)鍵詞互聯(lián)網(wǎng)+“互聯(lián)網(wǎng)+”環(huán)境電子文件電子文件信息信息安全風(fēng)險

一、電子文件信息安全與電子文件信息安全風(fēng)險

電子文件信息安全問題是近年來檔案界研究的熱點。僅知網(wǎng)數(shù)據(jù)庫題名中涉及“電子文件信息安全”的文獻就有40篇，主題中涉及“檔案信息安全”的文獻有65篇，全文中涉及”的文獻更是多達689篇。相比之下，對于檔案信息安全風(fēng)險的研究就要冷許多。同樣在知網(wǎng)數(shù)據(jù)庫題名中涉及“檔案信息安全風(fēng)險”的文獻為0篇，主題中涉及“檔案信息安全風(fēng)險”的文獻只有1篇，全文中涉及“檔案信息安全風(fēng)險”的文獻也不過18篇。

在電子文件信息安全問題提出的初期，研究關(guān)注的重點是如何保障電子文件信息的安全，隨著研究的深入，人們越來越發(fā)現(xiàn)要保障電子文件信息的安全，必須對產(chǎn)生電子文件信息安全風(fēng)險的要素進行控制，必須對電子文件信息安全風(fēng)險問題進行研究。但研究中常常有將電子文件信息安全與電子文件信息安全風(fēng)險相混淆的情況。因此，有必要首先對電子文件信息安全與電子文件信息安全風(fēng)險的概念及兩者間的區(qū)別進行一些闡述。

1、信息安全和電子文件信息安全

要明確電子文件信息安全的概念，先要搞清楚信息安全的概念。關(guān)于信息安全，學(xué)界目前還沒有形成統(tǒng)一的認識，從國內(nèi)外已有的定義看，大致可以分為廣義和狹義兩類。廣義信息安全包括“信息系統(tǒng)的安全和信息內(nèi)容的安全［1］”，是指“所有涉及信息的安全性、完整性、可用性、真實性和可控性的相關(guān)理論和技術(shù)，它是物理安全、網(wǎng)絡(luò)安全、數(shù)據(jù)安全、信息內(nèi)容安全、信息基礎(chǔ)設(shè)施安全與公共信息安全的總和。”［2］簡單的說，“信息安全是指信息及信息系統(tǒng)所具有的完整性、可用性、和保密性不受破壞。”［3］

狹義信息安全是指信息內(nèi)容的安全性，“主要側(cè)重于保護信息的秘密性、真實性和完整性，避免攻擊者利用系統(tǒng)的安全漏洞進行竊聽、冒充、詐騙、盜用等有損合法用戶利益的行為，保護合法用戶的利益和隱私?！保?］

與信息安全定義的情況相似，檔案學(xué)界對電子文件信息安全的定義也沒有形成共識，大致也有兩觀點，與信息安全定義中的廣義和狹義近似。廣義的講，”電子文件信息安全是指電子文件信息在其生成、保存和利用過程中受到保護，不因偶然和惡意的原因而遭到破壞、更改和泄露，確保其真實性、完整性、系統(tǒng)性、原始性、可讀性和可靠性，并確保電子文件信息網(wǎng)絡(luò)系統(tǒng)連續(xù)正常運行。”［5］可以理解為電子文件安全包含著有兩個方面的含義：一方面是指電子文件系統(tǒng)或載體的安全；另一方面是指電子文件信息內(nèi)容的安全。與狹義的“信息安全“不同，檔案工作者將狹義的電子文件信息安全又分為電子文件信息系統(tǒng)安全與電子文件信息安全兩種。從電子文件生成系統(tǒng)軟硬件和電子文件信息兩個方面來定義電子文件信息安全。如：“電子文件信息安全是指對電子文件信息內(nèi)容的保密性、完整性、可用性、可控性和不可否認性進行的安全保護?！保?］

電子文件信息安全是指電子文件信息系統(tǒng)安全，包括電子文件應(yīng)用系統(tǒng)安全、電子文件信息網(wǎng)絡(luò)安全、計算機系統(tǒng)安全和電子文件信息設(shè)備安全，主要體現(xiàn)為電子文件的保密性、完整性、可用性、可控性、不可抵賴性等五個方面?！盎蛘哒f電子文件信息安全是指電子文件信息的“保密性、完整性、可用性和真實性的保持?！保?］

總之，電子文件信息安全是指電子文件信息網(wǎng)絡(luò)管理系統(tǒng)的硬件、軟件及其系統(tǒng)中的電子文件數(shù)據(jù)受到保護，系統(tǒng)連續(xù)、可靠、正常地運行，不受偶然的或者惡意的原因而遭到破壞、更改、泄露?；蛘哒f，電子文件信息安全是指對電子文件信息系統(tǒng)軟、硬件及系統(tǒng)中的電子文件數(shù)據(jù)信息實施保護，使其免受自然或人為的損害或破壞。

2、信息安全風(fēng)險和電子文件信息安全風(fēng)險

同樣，電子文件信息安全風(fēng)險概念的明晰，也需要從信息安全風(fēng)險說起。與信息安全的定義相似，信息安全風(fēng)險的定義也可以分為廣義與狹義兩種。狹義的信息安全風(fēng)險，一方面信息系統(tǒng)安全風(fēng)險是指，“信息安全風(fēng)險指在信息系統(tǒng)的整個生命周期中面臨的人為或自然的威脅，系統(tǒng)存在的脆弱性導(dǎo)致信息安全事件發(fā)生的可能性及其造成的影響“［8］另一方面系統(tǒng)中信息的安全風(fēng)險則是指信息系統(tǒng)中信息的保密性、完整性和可用性遭到破壞的可能性。而廣義的信息安全風(fēng)險，則包括信息系統(tǒng)安全風(fēng)險和系統(tǒng)中信息的安全風(fēng)險。

雖然，在知網(wǎng)數(shù)據(jù)庫中，題名涉及“電子文件信息安全風(fēng)險”的文獻沒有1篇，主題涉及“電子文件信息安全風(fēng)險”的有1篇，全文中涉及“電子文件信息安全風(fēng)險”的文獻也只有18篇。但均沒有定義或討論什么是“電子文件信息安全風(fēng)險”?！半娮游募畔踩L(fēng)險”似乎是一個不言自明的問題?；谶@種情況，筆者參照上述信息安全風(fēng)險的定義，結(jié)合電子文件信息的特點，嘗試著將電子文件信息安全風(fēng)險定義為：電子文件信息系統(tǒng)的整個生命周期中面臨的人為或自然的威脅，系統(tǒng)存在的脆弱性導(dǎo)致電子文件信息安全事件發(fā)生的可能性及其造成的影響，及電子文件信息系統(tǒng)中電子文件信息的保密性、完整性、真實性和可用性遭到破壞的可能性。

3、電子文件信息安全與電子文件信息安全風(fēng)險的區(qū)別與關(guān)系

電子文件信息安全與電子文件信息安全風(fēng)險從字面上看，非常相似，只有區(qū)區(qū)2個字的不同。但兩者存在如下的區(qū)別：

（1）目的不同

電子文件信息安全的目的是保障電子文件信息不受損害或破壞，而電子文件信息安全風(fēng)險的目的是尋找可能損害或破壞電子文件信息的因素，就電子文件信息可能受到的損害或破壞向相關(guān)主體示警。

（2）對象不同

電子文件信息安全針對的對象是現(xiàn)實的危及安全的問題，而電子文件信息安全風(fēng)險針對的是某種危險的可能性。

（3）手段不同

實現(xiàn)電子文件信息安全的手段是現(xiàn)實的，包括技術(shù)的、制度的、設(shè)備的。而電子文件信息安全風(fēng)險只來源于對電子文件信息安全所涉及各要素測量數(shù)據(jù)的分析與評估。

（4）容忍度不同

對于電子文件信息安全我們不允許有絲毫懈怠，追求的100%的安全。而電子文件信息安全風(fēng)險不可能，也沒有必要追求0風(fēng)險，允許有一定的容忍度和風(fēng)險值，只根據(jù)允許與可控程度采取相應(yīng)的行動。

在兩者關(guān)系上，不是對等關(guān)系，而是包容關(guān)系。電子文件信息安全風(fēng)險包含在電子文件信息安全之中，是電子文件信息安全的一個組成部分。

二、“互聯(lián)網(wǎng)+”環(huán)境下電子文件信息安全風(fēng)險的表現(xiàn)形式

在基于移動互聯(lián)網(wǎng)、云計算、大數(shù)據(jù)、物聯(lián)網(wǎng)等先進技術(shù)應(yīng)用的“互聯(lián)網(wǎng)+”環(huán)境下，電子文件信息安全風(fēng)險具有一些共性，我們將這種共性稱之為“互聯(lián)網(wǎng)+”環(huán)境下電子文件信息安全風(fēng)險的一般表現(xiàn)形式。其主要表現(xiàn)在兩個方面：

第一是由電子文件自身特性產(chǎn)生的風(fēng)險。這種風(fēng)險也可稱之為“原生風(fēng)險”，或“先天風(fēng)險”?！白鳛樾乱淮募问?，電子文件不僅面臨著紙質(zhì)文件管理的傳統(tǒng)風(fēng)險，其獨有的特性又帶來了比傳統(tǒng)文件更多的風(fēng)險，其中最根本的安全風(fēng)險就是原始性和可利用性受到破壞。這些不同特質(zhì)的風(fēng)險相互疊加、關(guān)聯(lián)和影響，導(dǎo)致電子文件管理的風(fēng)險程度成倍增加。這是電子文件面臨的主要風(fēng)險?！保?］

第二是由于電子文件管理的體制、制度、控制手段、方法不周或不當所產(chǎn)生的風(fēng)險。這種風(fēng)險可以稱之為“伴生風(fēng)險”，或“后天風(fēng)險”?！皩τ陔娮游募芾矶裕杉夹g(shù)引發(fā)的管理體制和制度的變革是深層的，沒有先例的，具有很大的不確定性，它與技術(shù)風(fēng)險共同構(gòu)成另一種形式的風(fēng)險共生與疊加。這就是電子文件管理的體制和制度風(fēng)險，是電子文件面臨的基本風(fēng)險?！保?0］

三、結(jié)語

在“互聯(lián)網(wǎng)+”環(huán)境下，技術(shù)的先進性與普及速度間矛盾、應(yīng)用復(fù)合性與數(shù)據(jù)海量性間的矛盾、整體上的投入持續(xù)性與局部投入能力有限性的矛盾、需求的多樣性與信息動態(tài)性間的矛盾、信息共享與安全的矛盾使的電子文件信息安全風(fēng)險更加突出。在這種情況下，理清電子文件信息安全風(fēng)險要素，對“互聯(lián)網(wǎng)+”環(huán)境下電子文件信息安全風(fēng)險進行評估與控制，就具有非常重要的現(xiàn)實意義。

參考文獻

［1］［4］孔祥維.信息安全中的信息隱藏理論和方法研究［D］.大連理工大學(xué)，2003.

［2］溫泉.多媒體數(shù)字水印的魯棒性和不可感知性研究［D］.吉林大學(xué)，2005.

［3］解男男.機器學(xué)習(xí)方法在入侵檢測中的應(yīng)用研究［D］.吉林大學(xué)，2015.

［5］隋欣.淺談電子文件的信息安全問題［J］.黑龍江史志，2013，09：27+33.

［6］金波，宋屏.電子政務(wù)中電子文件信息安全探析［J］.上海大學(xué)學(xué)報（社會科學(xué)版），2009，03：127-134.

［7］吳品才.檔案信息風(fēng)險評估若干問題研究［J］.浙江檔案，2013，11：14-16.

［8］劉瓊.基于層次分析法的風(fēng)險評估系統(tǒng)的研究與設(shè)計［D］.西安電子科技大學(xué)，2009.

［9］［10］楊安蓮.電子文件信息安全管理研究［J］.檔案學(xué)通訊，2009，04：12-15.

Definition of Information Security Risks of Electronic Records under "Internet+" Environment

Shi Jie
（Xinxiang Municipal Human Resources & Social Security Bureau，Muye Dist. Xinxiang 453000）

AbstractThis article is started with the concept of the information security, information security risks, information security of electronic records, electronic records of information security risks, discussed the information security of electronic records and electronic records information security risks difference and relationship. Summarized the "Internet +" form of electronic records information security risks environment, put forward the concept of " protogenous risks", "associated risks", " congenital risks", and "posteriority risks" . and pointed out in the "Internet +" environment, identifying information security risks elements of electronic records, under the "Internet +" environment of information security risks assessment and control, it possesses important practical significance.

KeywordsInternet+ "Internet+" environment Electronic records Electronic records information Information security Risks

中圖分類號TP393.4;TP393.08

文獻標識碼B

文章編號160525-7287

作者簡介

史杰：出生年月：1989年12月4日，性別：女，民族：漢，籍貫：山東乳山，職務(wù)：科員，職稱：初級，工作單位：新鄉(xiāng)市牧野區(qū)人力資源和社會保障局。