李順

（黑龍江大學(xué)信息管理學(xué)院 哈爾濱 150080）

數(shù)字檔案館信息安全保障體系探究

李順

（黑龍江大學(xué)信息管理學(xué)院 哈爾濱 150080）

數(shù)字檔案館是利用互聯(lián)網(wǎng)有序處理和集成管理異構(gòu)的數(shù)字檔案與電子文件的信息系統(tǒng)，是檔案館信息化與現(xiàn)代化的產(chǎn)物。在新型環(huán)境下，信息安全仍舊是繞不開(kāi)的老話題，數(shù)字檔案信息安全保障是檔案部門的新挑戰(zhàn)。本文論述了數(shù)字檔案館信息安全保障體系的內(nèi)容：法律約束保障、技術(shù)支撐保障、標(biāo)準(zhǔn)規(guī)范保障、智力推動(dòng)保障、綜合管理保障，并從這五個(gè)方面提出完善數(shù)字檔案館信息安全保障體系的措施。

數(shù)字檔案館 數(shù)字檔案 信息安全 安全保障

美國(guó)未來(lái)學(xué)家阿爾文·托夫勒（AlvinToffler）在其《第三次浪潮》一書(shū)中提到，從20世紀(jì)50年代開(kāi)始，人類社會(huì)進(jìn)入第三次浪潮，即信息化時(shí)代。在第三次浪潮中，無(wú)形的信息將代替?zhèn)鹘y(tǒng)的工業(yè)要素成為主要的生產(chǎn)資料，同時(shí)物質(zhì)生產(chǎn)將會(huì)沒(méi)落，取而代之的是知識(shí)的創(chuàng)造與生產(chǎn)。以信息技術(shù)為主體的信息化時(shí)代的發(fā)展，使辦公自動(dòng)化成為主流，電子文件便應(yīng)運(yùn)而生。檔案館是永久保存檔案文件的場(chǎng)所，紙質(zhì)載體文件的增加所造成的館藏空間匱乏的危機(jī)，使數(shù)字檔案館成為國(guó)內(nèi)外檔案工作者和檔案學(xué)者研究與討論的熱點(diǎn)，并被公認(rèn)為檔案館的發(fā)展趨勢(shì)之一。

雖然數(shù)字檔案館帶來(lái)了新的檔案信息存儲(chǔ)方式，提高了檔案信息檢索的效率，改變了傳統(tǒng)的檔案信息利用行為，但是仍然避免不了檔案信息安全問(wèn)題。從某種程度上講，數(shù)字檔案館的建設(shè)與利用帶來(lái)了新的檔案信息安全威脅。不管何種原因，只要是影響了數(shù)字檔案信息內(nèi)容的可讀性，破壞了數(shù)字檔案信息的真實(shí)性，阻礙了數(shù)字檔案信息價(jià)值的實(shí)現(xiàn)的不良環(huán)境與行為，都是對(duì)數(shù)字檔案信息安全的威脅因素。自從“數(shù)字檔案館”這一概念提出以來(lái)，數(shù)字檔案信息的安全問(wèn)題就備受關(guān)注。

一、數(shù)字檔案館概述

1992年，網(wǎng)絡(luò)上發(fā)布了由美國(guó)維吉尼亞大學(xué)圖書(shū)館負(fù)責(zé)設(shè)計(jì)的杰弗遜數(shù)字檔案館，這是世界上最早建設(shè)的數(shù)字檔案館。受其影響與啟示，英國(guó)、加拿大、日本等國(guó)學(xué)者與檔案工作人員開(kāi)始投入數(shù)字檔案館的研究、開(kāi)發(fā)與建設(shè)，并取得了一定的進(jìn)展和可觀的成果。我國(guó)于2000年啟動(dòng)了我國(guó)第一個(gè)數(shù)字檔案館——深圳數(shù)字檔案館系統(tǒng)工程建設(shè)項(xiàng)目，在2003年青島市數(shù)字檔案館正式投入運(yùn)營(yíng)。

但是，從數(shù)字檔案館的理念第一次被傳播開(kāi)來(lái)，到被廣泛接受、認(rèn)可，對(duì)于數(shù)字檔案館的概念，檔案界專家學(xué)者們眾說(shuō)紛紜，至今未達(dá)成統(tǒng)一的認(rèn)識(shí)。我國(guó)學(xué)者主要有以下幾種看法。

1.技術(shù)說(shuō)。強(qiáng)調(diào)數(shù)字檔案館各項(xiàng)功能實(shí)現(xiàn)的前提是計(jì)算機(jī)原理和多媒體技術(shù)，認(rèn)為數(shù)字檔案館是“用二進(jìn)制編碼的數(shù)字方式存儲(chǔ)、處理檔案信息內(nèi)容，應(yīng)用計(jì)算機(jī)、通訊和多媒體技術(shù)，提供電子網(wǎng)絡(luò)檢索和服務(wù)的檔案信息系統(tǒng)”[1]19。

2.信息系統(tǒng)說(shuō)。認(rèn)為數(shù)字檔案館是“提供電子網(wǎng)絡(luò)檢索和服務(wù)的檔案信息系統(tǒng)”[1]19。何嘉蓀教授認(rèn)為：“數(shù)字檔案館不僅僅是館藏得到數(shù)字化以及管理工作實(shí)現(xiàn)了信息化的檔案館和檔案館群體；它實(shí)質(zhì)上是一個(gè)通過(guò)計(jì)算機(jī)互聯(lián)網(wǎng)絡(luò)有序處理和集成管理在結(jié)構(gòu)各異的多種信息平臺(tái)上產(chǎn)生的多樣的電子文件、檔案以及其他信息，確保這些數(shù)字信息資源的真實(shí)性、完整性和持久有效性，并實(shí)現(xiàn)上述信息資源跨庫(kù)共享的超大規(guī)模、分布式和可擴(kuò)展的數(shù)字信息系統(tǒng)”[2]32。

3.開(kāi)放信息環(huán)境說(shuō)。這種說(shuō)法強(qiáng)調(diào)數(shù)字檔案館給遠(yuǎn)程利用檔案帶來(lái)的便利?！皵?shù)字化檔案館能夠存儲(chǔ)大量各種形式的信息，用戶可以通過(guò)網(wǎng)絡(luò)方便地訪問(wèn)它，以獲得這些信息，并且其信息存儲(chǔ)和用戶訪問(wèn)不受地域限制。”[3]27

我國(guó)學(xué)者對(duì)數(shù)字檔案館的定義的不同類型界定，一方面反映了學(xué)者們研究角度的不同和豐富的看待問(wèn)題的視角，另一方面可以看出，公認(rèn)的定義的缺失是我國(guó)數(shù)字檔案館建設(shè)步伐緩慢的原因之一。

二、數(shù)字檔案館信息安全保障體系的內(nèi)容

數(shù)字檔案有兩個(gè)來(lái)源：傳統(tǒng)檔案文件的數(shù)字化處理和辦公自動(dòng)化直接生成的電子文件，二者在儲(chǔ)存、保管、檢索、利用等方面并無(wú)差別。馮惠玲教授認(rèn)為，電子文件具有了兩種形式的“生命”：借助載體而存在的“物理生命”和以特定編碼格式構(gòu)成的“信息生命”[4]38，因此，電子文件面臨的威脅就相應(yīng)地有兩個(gè)來(lái)源：一是對(duì)其“物理生命”的威脅，主要是電子文件載體的破損、丟失和不良的存放環(huán)境、系統(tǒng)運(yùn)行環(huán)境。二是對(duì)其“信息生命”的威脅，它會(huì)直接導(dǎo)致電子文件信息的不可讀。筆者認(rèn)為，對(duì)數(shù)字檔案信息安全的保護(hù)需要從兩個(gè)方面入手，對(duì)物理環(huán)境的保護(hù)和對(duì)信息本身的保護(hù)。

為了維護(hù)數(shù)字檔案信息的“生命安全”，檔案主管部門和檔案業(yè)務(wù)部門應(yīng)合力制定一套有效的安全保障體系。該體系的各個(gè)要素之間彼此相對(duì)獨(dú)立、相互制約、相互配合、缺一不可，共同維護(hù)數(shù)字檔案館的信息易獲取性、可讀取性、利用范圍可控制性，保障其安全。數(shù)字檔案館信息安全保障體系的要素有法律約束保障、技術(shù)支撐保障、標(biāo)準(zhǔn)規(guī)范保障、智力推動(dòng)保障、綜合管理保障。

1.法律約束保障。法律約束保障是指檔案部門借助法律、法規(guī)等具有較強(qiáng)約束力的手段監(jiān)管數(shù)字檔案館建設(shè)過(guò)程和規(guī)范數(shù)字檔案利用的行為，從法律層面上維護(hù)數(shù)字檔案信息安全。法律約束保障在數(shù)字檔案館信息安全保障體系中是不可或缺的保障因素，具有不可替代性。它不僅鼓勵(lì)有助于維護(hù)數(shù)字檔案信息安全的行為，建立良好的行為模式，而且還嚴(yán)厲打擊不利于數(shù)字檔案館建設(shè)、擾亂其正常運(yùn)行的不法行為，為數(shù)字檔案館各項(xiàng)工作的順利展開(kāi)保駕護(hù)航，使其有法可依、有法必依、執(zhí)法必嚴(yán)、違法必究。

2.技術(shù)支撐保障。技術(shù)是支撐數(shù)字檔案館順利建設(shè)和有效運(yùn)行的基石，是數(shù)字檔案館區(qū)別于傳統(tǒng)檔案館的明顯標(biāo)志，是檔案事業(yè)現(xiàn)代化進(jìn)程中檔案學(xué)界熱切關(guān)注和熱烈探討的問(wèn)題。技術(shù)的多樣來(lái)源于威脅的多樣，正是為了消除愈加多而復(fù)雜的信息安全威脅，各種各樣的技術(shù)才被開(kāi)發(fā)出來(lái)。這里所說(shuō)的技術(shù)，是能夠使數(shù)字檔案信息隔絕安全威脅的技術(shù)，包括防火墻技術(shù)、數(shù)據(jù)加密技術(shù)、反病毒技術(shù)、身份認(rèn)證技術(shù)、訪問(wèn)控制技術(shù)、虛擬專用網(wǎng)絡(luò)（VPN）技術(shù)等，技術(shù)種類繁多，運(yùn)行原理不同，能夠分別從不同的角度針對(duì)各種潛在危險(xiǎn)來(lái)維護(hù)數(shù)字檔案的信息安全。這些技術(shù)相互配合，互成體系，共同抵制對(duì)數(shù)字檔案的不法操作，維護(hù)其原始性、可讀性，方便利用。

3.標(biāo)準(zhǔn)規(guī)范保障。隨著我國(guó)檔案標(biāo)準(zhǔn)化小組和全國(guó)檔案工作標(biāo)準(zhǔn)化技術(shù)委員會(huì)的成立，關(guān)于電子文件和數(shù)字檔案的各類標(biāo)準(zhǔn)相繼出爐，如《CAD電子文件光盤存儲(chǔ)、歸檔與檔案管理要求第一部分：電子文件歸檔與檔案管理》（GB/T17678.1-1999）、《CAD電子文件光盤存儲(chǔ)、歸檔與檔案管理要求第二部分：光盤信息組織結(jié)構(gòu)》（GB/T17678.2-1999）、《CAD電子文件光盤存儲(chǔ)歸檔的一致性測(cè)試》（GB/T17679-1999）、《電子文件歸檔與管理規(guī)范》（GB/T18894-2002）、《紙質(zhì)檔案數(shù)字化技術(shù)規(guī)范》（DA/T31-2005）等。標(biāo)準(zhǔn)對(duì)于數(shù)字環(huán)境下電子文件的操作是至關(guān)重要的，沒(méi)有相關(guān)標(biāo)準(zhǔn)，電子文件的各項(xiàng)操作難以統(tǒng)一，就會(huì)出現(xiàn)電子文件格式不一、管理操作相異的后果。那么，數(shù)字檔案信息的安全就難以保障。

4.智力推動(dòng)保障。從數(shù)字檔案館設(shè)計(jì)、開(kāi)發(fā)到使用、后期維護(hù)，固然離不開(kāi)標(biāo)準(zhǔn)、技術(shù)、法律的約束和支撐，但是標(biāo)準(zhǔn)的對(duì)照、法律的執(zhí)行和技術(shù)的使用都不能脫離人的調(diào)用和支配，否則就失去其存在的意義。在數(shù)字檔案館檔案信息安全保障體系中，最重要的要素是人，是智力，一切圍繞數(shù)字檔案館的技術(shù)、制度、標(biāo)準(zhǔn)、管理等都是輔助手段，人才是一切工作的承擔(dān)者。功以才成，業(yè)以才廣，人的想法、理念、經(jīng)驗(yàn)等“智慧力”與勞動(dòng)力都會(huì)作用到數(shù)字檔案館建設(shè)的每一項(xiàng)工作中，推動(dòng)檔案事業(yè)現(xiàn)代化與信息化的進(jìn)程。因此，檔案部門在人才管理方面，要積極引進(jìn)復(fù)合型人才，提高福利待遇以避免人才流失，調(diào)動(dòng)人才的積極性，在數(shù)字檔案館建設(shè)、在數(shù)字信息安全保障工作中，把人的智力發(fā)揮到極致。

5.綜合管理保障。信息安全領(lǐng)域有一句廣泛流行并被普遍認(rèn)可的話，叫“三分技術(shù)、七分管理”，即維護(hù)信息安全，30%的力量來(lái)自計(jì)算機(jī)設(shè)備與信息安全技術(shù)，剩余的70%要?dú)w功于人的管理?！肮芾硎秦灤┯谛畔踩麄€(gè)過(guò)程的生命線。”[5]3這條關(guān)鍵的“生命線”串聯(lián)著信息安全體系中的每一個(gè)因素，代表著檔案部門維護(hù)數(shù)字檔案信息安全的意志。為了提高人們的信息安全防護(hù)意識(shí)并建立信息安全責(zé)任感，增強(qiáng)設(shè)備與技術(shù)對(duì)不良操作的敏感度和抵御能力，管理層應(yīng)積極制定一系列數(shù)字檔案信息安全管理制度，生成具有組織特色的信息安全綜合管理模式。

三、完善數(shù)字檔案信息安全保障體系的措施

數(shù)字檔案信息安全保障是檔案事業(yè)現(xiàn)代化、信息化進(jìn)程中不可避免的問(wèn)題，也是數(shù)字檔案館建設(shè)工作中必不可少的環(huán)節(jié)。數(shù)字檔案信息安全保障的初衷是為了保證數(shù)字檔案信息的安全、系統(tǒng)、可用，這是一項(xiàng)復(fù)雜而系統(tǒng)的任務(wù)，因?yàn)閿?shù)字檔案館建設(shè)的每一環(huán)節(jié)都或多或少存在安全隱患，所以要求數(shù)字檔案館建設(shè)過(guò)程中的每項(xiàng)工作都要小心謹(jǐn)慎、認(rèn)真仔細(xì)。如前所述，數(shù)字檔案館檔案信息安全保障體系包括法律保障、技術(shù)保障、標(biāo)準(zhǔn)保障、人才智力保障、綜合管理保障等五項(xiàng)保障因素，然而，安全保障工作并非這五者的簡(jiǎn)單累加和機(jī)械堆砌，而是彼此相互配合、相互影響、共同作用的過(guò)程。最關(guān)鍵的是綜合管理保障，數(shù)字檔案館負(fù)責(zé)人將其他四個(gè)保障因素移植到其管理理念中，形成一種特色的、遵紀(jì)守法的、符合標(biāo)準(zhǔn)的、善用人力與技術(shù)的管理模式。

1.制定相關(guān)法律法規(guī)。數(shù)字檔案信息安全的法律保障因素為數(shù)字檔案館建設(shè)和信息安全管理提供了一個(gè)嚴(yán)厲的司法、執(zhí)法環(huán)境，使其滿足“有法可依，有法必依，執(zhí)法必嚴(yán)，違法必究”這一我國(guó)社會(huì)主義法治的基本要求。我國(guó)法律體系中，有關(guān)數(shù)字檔案信息安全的法規(guī)條文主要來(lái)自《中華人民共和國(guó)檔案法》、《中華人民共和國(guó)刑法》、《中華人民共和國(guó)保守國(guó)家秘密法》等，但還沒(méi)有專門針對(duì)數(shù)字檔案館信息安全的法律法規(guī)。檔案部門應(yīng)該積極配合立法機(jī)構(gòu)，制定出一系列既符合當(dāng)前我國(guó)檔案工作實(shí)情，又具有前瞻性的法律法規(guī)，對(duì)數(shù)字檔案的信息安全行為“保障措施”、破壞數(shù)字檔案信息安全的處罰等作出具體規(guī)定[6]90。相關(guān)法律制定出來(lái)后，應(yīng)該嚴(yán)格執(zhí)行，加大執(zhí)法力度，保證其約束力與權(quán)威性，不應(yīng)使其形同虛設(shè)。

2.夯實(shí)技術(shù)基礎(chǔ)。技術(shù)是實(shí)現(xiàn)既定信息安全目標(biāo)的基礎(chǔ)，可以說(shuō)無(wú)技術(shù)不安全。首先，在數(shù)字檔案信息安全保障工作中，檔案部門應(yīng)該建設(shè)一個(gè)數(shù)字檔案信息安全保障技術(shù)體系，使不同功能的技術(shù)相互配合、互成體系，形成一個(gè)結(jié)實(shí)的、高密度的“威脅隔離網(wǎng)”，有效地使數(shù)字檔案信息隔離現(xiàn)有一切不利因素。其次，對(duì)于功能相同的技術(shù)，應(yīng)該擇其一二而選，即允許不同技術(shù)在功能上的交叉，避免其過(guò)度交叉。具有相同功能的不同類型技術(shù)不僅會(huì)帶來(lái)安全保障功能的無(wú)限疊加，而且這種技術(shù)上的過(guò)度交叉還會(huì)給檔案部門帶來(lái)經(jīng)費(fèi)和人力方面的負(fù)擔(dān)和浪費(fèi)。最后，檔案部門應(yīng)該經(jīng)常與同行和信息安全領(lǐng)域的研究人員交流經(jīng)驗(yàn)，力爭(zhēng)掌握主流的信息安全威脅和防御技術(shù)，當(dāng)本部門數(shù)字檔案館信息安全遭到新的威脅時(shí)，能夠不慌不亂、胸有成竹地解除危險(xiǎn)因素。

3.加強(qiáng)標(biāo)準(zhǔn)建設(shè)工作。標(biāo)準(zhǔn)是對(duì)重復(fù)性的事物和概念所作的統(tǒng)一規(guī)定，它的實(shí)施能夠使同一類型的重復(fù)性工作項(xiàng)目達(dá)到一致，從而便于管理與應(yīng)用。隨著數(shù)字檔案館的發(fā)展與應(yīng)用，數(shù)字檔案館相關(guān)的標(biāo)準(zhǔn)體系應(yīng)該建立起來(lái)，以便于數(shù)字檔案信息的開(kāi)發(fā)與共享。此外，標(biāo)準(zhǔn)體系的建立應(yīng)該本著標(biāo)準(zhǔn)簡(jiǎn)潔、通用、從實(shí)際出發(fā)的原則，先做好調(diào)研，再逐一研究、討論，制定適應(yīng)性好和通用性強(qiáng)的標(biāo)準(zhǔn)體系。

4.注重專項(xiàng)人才培養(yǎng)。人才是數(shù)字檔案信息安全保障體系中唯一能發(fā)揮主觀能動(dòng)性的要素。數(shù)字檔案館是檔案部門在信息環(huán)境下的新產(chǎn)物，與其相關(guān)的各項(xiàng)工作自然對(duì)人才有新的要求。作為人才培養(yǎng)與輸送的主要單位，開(kāi)設(shè)檔案學(xué)專業(yè)的高校應(yīng)該順應(yīng)時(shí)代和社會(huì)的需要，注重學(xué)生信息素養(yǎng)的培養(yǎng)和數(shù)字檔案館系統(tǒng)知識(shí)的傳授，使學(xué)生學(xué)有所用，緩解檔案部門綜合性人才稀缺的壓力。此外，檔案部門可以與高?；驒n案專業(yè)人才培養(yǎng)單位建立合作關(guān)系，定期選送一批員工參加培訓(xùn)，以完善其知識(shí)結(jié)構(gòu)。

5.加強(qiáng)信息安全管理。管理貫穿著數(shù)字檔案信息安全保障整個(gè)過(guò)程生命線。不管是檔案館的宏觀管理，還是微觀管理，都對(duì)數(shù)字檔案信息安全有著牽一發(fā)而動(dòng)全身的重大影響。首先，檔案部門應(yīng)該加強(qiáng)數(shù)字檔案信息安全的宏觀管理，合理配置人力與技術(shù)保障。其次，建立管理制度體系，加強(qiáng)對(duì)人員、系統(tǒng)運(yùn)行環(huán)境、數(shù)字檔案文件的流動(dòng)等方面的約束與指導(dǎo)。

數(shù)字檔案信息安全保障體系包括法律保障、技術(shù)保障、標(biāo)準(zhǔn)保障、人才智力保障、綜合管理保障等五個(gè)要素，然而安全保障任務(wù)并非這五者的簡(jiǎn)單累加和機(jī)械堆砌，而是彼此相互配合、相互影響、共同作用的結(jié)果。綜合管理保障是核心要素，數(shù)字檔案館負(fù)責(zé)人將其他四個(gè)保障因素移植到其管理理念中，形成一種具有本單位特色的、遵紀(jì)守法的、符合標(biāo)準(zhǔn)的、善用人力與技術(shù)的管理模式。

[1]張曉霞，王宇暉，王萍.數(shù)字檔案館：21世紀(jì)檔案館的新發(fā)展[J].蘭臺(tái)世界，2000（1）.

[2]何嘉蓀.現(xiàn)行文件閱覽中心、文件中心數(shù)字檔案館[J].檔案學(xué)研究, 2003（1）.

[3]傅榮校.認(rèn)識(shí)數(shù)字檔案館：兼論數(shù)字檔案館與虛擬檔案館的區(qū)別[J].中國(guó)檔案,2001（5）.

[4]馮惠玲.保證電子文件的長(zhǎng)久性：《擁有新記憶——電子文件管理研究》摘要之四[J].檔案學(xué)通訊,1998（4）.

[5]康巨瀛,田園.信息安全管理的重要性[J].中國(guó)醫(yī)院統(tǒng)計(jì),2006（1）.

[6]周蕓.數(shù)字檔案信息安全保障策略探析[J].蘭臺(tái)世界，2013（10）.

★作者李順為黑龍江大學(xué)信息管理學(xué)院檔案學(xué)專業(yè)在讀碩士，研究方向?yàn)樾畔⒓夹g(shù)與檔案信息管理。

Research on Information Security Insurance System of Digital Archives

Li Shun

(Information Management School of Heilongjiang University,Harbin 150080,China)

Digital archives are information systems,which orderly process and integratedly manage heterogeneous digital records and electronic files.They are products of archives informatization and modernization.In the new times,information security remains an old topic,and to insure digital records information security is a new challenge for archives department. The paper discusses the content of the information security insurance system of digital archives:legally binding,technical support,standard specification,intellectual promotion and integrated management,and puts forward measures to improve the system based on the five aspects.

digital archives;digital records;information security;insurance of security

G270.7

A

2016-09-08