作者：北 京 市 档 案 局 宗文萍、中国人民大学档案学院 郭莉珠

[摘 要]本文旨在探讨信息时代的档案信息安全保障 ,阐述档案信息安全保障的新认识 ,全面分析影响信息安全保障的因素 ,提出信息时代保障档案信息安全的策略。
[关键词] 信息时代 档案信息 安全保障
从 20 世纪 90 年代初期开始 , 信息技术以人类历史上从未有过的高速度持续发展 , 并点燃了一场全球范围内的信息革命。随着国家信息化建设和电子政务建设的迅速推进 , 档案信息化建设进程也随之加快。信息技术在档案部门的广泛应用 , 一方面为档案管理和利用提供了高效便捷的手段和方法 ,另一方面也给档案信息安全带来了新的隐患, 档案信息安全问题日益突出。本文旨在探讨信息时代的档案信息安全保障 , 阐述档案信息安全保障的新认识 ,分析影响信息安全保障的因素 ,提出保障档案信息安全的策略。
一、信息时代档案信息安全保障的新认识
当今的人类社会正处于“信息爆炸”的时代。美国加利福尼亚大学伯克利分校研究人员研究发现 ,仅过去的 3 年中 ,全球产生的信息量就翻了一番 ,并以平均每年 30 %左右的速度递增。2002 年中 ,全球由纸张、胶片以及磁、光存储介质所记录的信息产生总量达到 5 万兆字节 ,约等于 1999 年全球信息量的两倍。新产生的信息中 , 有 92 %记录在硬盘等磁存储介质上。①我国国家档案局统计年报显示 , 近年来 ,我国档案部门电子文件、电子档案的数量也有了迅速增长。
1. 从档案保管、保护到档案信息安全保障
档案保管主要是对档案的日常维护、保护性管理 , 其重点在于维护 , 使档案实体处于良好的状态 ,使档案不受任何损坏 , 并尽量延长档案的寿命。我国自古代就有了档案保管的经验和技术 , 但这些经验和技术是零散的、片面的,还没有形成一门独立的学科。新中国成立后 ,档案教育有了发展 ,1955 年中国人民大学档案教研室编写了《文件保管技术学》讲义 , 1961 年正式出版了《档案保管技术学》教材, 才使档案保护技术形成一门完整的学科。
1984 年公开出版的《档案保护技术学》, 使得档案保护重大理论和技术方法的研究有了突破性的进展 , 档案学界对档案保护的认识主要是档案信息保护和档案载体的保护两个方面 , 档案保护的方针是“以防为主、防治结合”。
当前 ,我们已经步入信息社会 ,信息社会对档案工作以及档案学科的发展产生了深刻的影响。档案保护理论与技术的涵义和内容也随之有了新的发展。由于电子文件数量的急剧增加和档案信息载体的多样化 , 档案保护理论与技术研究的范围和重点正在逐步扩大。笔者认为 , 信息时代的档案信息安全保障是建立在全方位的、综合的、立体的、动态的概念基础之上。电子文件和电子档案的保护, 将是档案保护学的研究重点。因此 , 发展与完善档案信息保护理论与技术学科 , 树立新时代的档案信息保护观念 ,是摆在我们面前的重要任务。
2. 档案信息安全保障的内容
从广义来讲 , 档案信息安全保障的内容主要包括档案信息内容安全、实体安全、系统安全、网络安全、应用安全和管理安全等。
档案信息内容安全是指防止档案信息资源被故意地或偶然地非授权泄漏、更改或破坏,也防止造成档案信息不可用的系统辨认、鉴别和控制。这也是常说的确保档案信息内容的完整性、保密性、可用性和可控性。档案信息实体安全主要指档案信息载体、档案计算机设备设施物理线路、档案装具、档案馆建筑符合档案管理的要求 , 防止受到任何损坏和破坏 , 如保护计算机主机硬件和物理线路以及其他媒体免遭地震、水灾、火灾、有害气体、辐射、硬件故障、搭线接听、盗用、偷窃、超负荷等的破坏;档案库房环境要符合温度、湿度、气压等相关标准。档案信息系统安全是指档案计算机管理系统的主要功能模块和数据信息不受任何破坏 , 如计算机主机操作系统的安全、数据库系统的安全。档案信息网络安全是指网络系统的硬件、软件及其系统中的数据保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄漏 ,确保系统能连续、可靠、正常地运行。档案信息应用安全是指 Web 站点安全 , 电子档案信息传输安全 , 以及在档案信息应用过程之中防止被破坏和被损坏。档案信息管理安全包括技术管理、人员管理以及法规标准方面的安全。
二、影响档案信息安全保障的因素
影响档案信息安全保障的因素既有内部因素 ,也有外部因素;既有主观原因 ,又有客观原因。具体讲 ,影响档案信息安全的因素主要有自然因素、环境因素、技术因素、社会因素、管理因素和资金因素等。
(一) 自然因素
档案信息资源存在和运用于自然界之中 , 自然界的雷电、火灾、水灾、风灾、地震、强磁场、强电子脉冲等自然灾害时常发生 , 直接危害着档案信息资源的安全。
(二) 环境因素
环境条件不符合有关标准会对档案信息造成危害 , 如档案信息网络控制中心机房场地和工作站的环境不合要求: 电源质量差 , 温湿度不适应 , 无抗静电、抗磁场干扰和无防尘、防火、防水、防雷电、防漏电、防盗窃的设施和措施, 以及光、空气污染物及害虫、霉菌等有害生物都会给档案信息带来不利的影响。
(三) 技术因素
技术因素是决定档案信息安全的本质因素。对于纸质档案来讲 , 决定纸张本身耐久性的因素是造纸植物纤维的质量和植物纤维的化学性质及造纸过程。对于新型载体档案来讲 ,载体的质量、计算机技术等决定了档案信息的安全。如网络安全漏洞、计算机网络故障、硬件故障、软件系统缺陷或错误、电磁泄漏、信息安全产品过于依赖国外等都会对信息的安全产生影响。
(四) 社会因素
人类社会的暴力、战争、恐怖事件、网络犯罪、网络黑客、盗窃、破坏等也都可能危及档案信息安全。随着互联网在我国的迅速普及 , 各种敌对势力会利用互联网作为工具进行反动宣传活动 ,另外 ,利用互联网进行赌博、毒品贩卖、恐怖活动和信息犯罪等行径也呈增长趋势 , 这些情况西方发达国家尤为突出。“9 -11”恐怖事件 ,使国际很多知名企业受到了致命的打击。伊拉克战争,使伊拉克档案馆和文化机构遭受了严重的洗劫。2002 年度的 DTI 信息安全入侵调查显示 , 一年中有 44 %的英国企业遭受了至少一次的恶意安全入侵 , 41 %的英国企业遭受了病毒感染或者“拒绝服务”攻击,19 %的英国公司(49 %的大公司) 在雇员的 Web 访问中遭受过安全事故 , 30 %的公司 (55 %的大公司) 遭受过电子邮件方面的安全事故。②
(五) 管理因素
管理因素包括档案信息安全法律法规、标准制度和人员的素质、心理、责任心。档案信息组织管理和决策的核心是人 ,人是网络的建设者和使用者 ,网上内容的提供者 ,人、网结合是网络时代信息安全的本质特征。据统计 , 我国公安部门破获的网络入侵案件中 , 90 %以上都可以通过加强管理来避免。根据美国 FBI 的调查 , 仅在美国每年因为网络安全造成的经济损失超过 1700 亿美元 ,75 %的公司报告财政损失是由于计算机系统安全问题造成的 , 超过50 %的安全来自于公司内部。③
(六) 资金因素
档案信息管理的资金投入直接决定档案部门对档案信息管理系统的总体规划和发展及系统的功能。如果对档案信息管理的资金投入不足 , 档案信息管理系统设计粗略 ,设备简陋 ,保管不利 ,就会给档案信息带来不安全的隐患。
三、保障档案信息安全的基本策略
保障档案信息安全是一项复杂而庞大的系统工程 , 它需要观念意识、政策法规、标准制度、技术手段、人才培养等有机融合,形成合力 ,建立档案信息安全保障体系 , 从而全面提升档案信息安全保障能力。
(一) 强化社会档案信息安全保障意识
档案信息资源是国家的宝贵财富 , 确保档案信息安全 ,不仅是档案工作永恒的主题 ,而且也是国家信息安全工作的一项重要内容。档案部门应认真学习、宣传、贯彻国家关于信息安全及档案管理方面的规定 ,强化档案信息安全意识 ,开展档案信息安全教育 ,普及档案信息安全知识 ,消除档案信息安全认识上的误区。
树立科学的正确的档案信息安全观念。坚持“积极防御、综合防治”的方针,将档案信息安全纳入到信息安全整体保障体系之中。通过开展多种形式的档案安全教育活动 , 使各级档案工作的领导和广大档案工作者及社会各界 , 深刻认识档案安全的极端重要性 ,不断增强使命感、责任感,时刻牢记确保档案信息安全 ,责任重于泰山 ,自觉从思想上、行动上把确保档案信息安全放在各项工作的首位。
(二) 建设档案信息安全保障体系
作为国家宝贵财富和重要战略资源重要组成部分的档案信息资源 ,只有建立在安全的基础之上 ,才能使其价值得以真正体现 , 否则将会影响档案信息作用的全面、有效的发挥。随着档案信息化建设的飞速发展 , 档案信息安全保障能力已经成为检验档案信息利用服务和提升档案事业建设水平的一项重要指标。因此 ,根据国家的有关规定 ,结合档案信息管理的实际 , 构建档案信息安全保障体系是当前我们需要迫切解决的一项重大任务。
笔者认为 ,档案信息安全保障体系是一个动态的安全防卫体系 ,它涉及全社会、多领域、多学科的系统工程 , 必须从战略角度 , 从法律、法规、组织管理、技术保障、产业支持、基础设施等方面全局统筹考虑 , 以构建国家全局的档案信息安全战略保障体系。档案信息安全保障体系也体现了“条块结合”的特征。应加快建设档案信息安全保障体系 , 制定和实施档案信息安全保障战略规划 ,使档案事业健康、可持续发展。
(三) 制定完善的档案信息安全保障法规标准
建立完善的档案信息安全法规体系是保障档案信息安全的基石 ,只有不断制定和完善法规体系 ,才能做到有法可依、有法必依、执法必严、违法必究,才能更好地维护档案信息的安全。目前 , 世界各国纷纷推出网络信息系统安全方面的各种法规制度。美国早在 1975 年就制定了《联邦计算机系统保护法》, 2001 年 1 月发布了“保护信息系统国家计划”,至今已通过的涉及计算机、互联网络和信息安全问题的法律文件就多达 397 个。同时 ,日本、加拿大、英国法国、德国等国家也制定了有关法律,并组建了有关信息安全管理机构。
我国已经建立了一系列信息安全方面的法规标准 ,如《计算机信息系统安全保护条例》、《计算机信息网络国际联网安全保护管理办法》、《计算机信息网络国际联网管理暂行规定》、《中国公用计算机互联网国际联网管理办法》、《专用网与公用网联网的暂行规定》等,这些法规为维护网络安全提供了法律依据 , 有力地保障了信息安全工作的顺利进行。国家档案局以及北京、安徽等省市也制发了档案信息安全方面的文件 , 但是这些还是远远不能满足档案部门当前的需要。档案部门应尽快根据国家信息安全的法规规章和标准 ,结合档案部门的实际情况 ,制定档案信息安全方面的法规标准 ,并不断完善 ,使档案信息安全有法规标准保障。
(四) 采取有效的档案安全保障管理措施
加强内部管理 ,采取行之有效的措施 ,也是确保档案信息安全的一个重要方面。保障档案信息安全 , 人人有责。档案部门应不断地对档案信息安全现状进行认真地分析 , 建立各级档案信息安全责任制 ,把档案信息安全作为档案部门、档案工作者各项考核的首要指标 , 杜绝一切安全隐患。根据新形势下档案工作的新特点 ,对现有制度进行认真清理 ,完善档案保管、编目、利用、编研、保护、保密等方面的制度 ,如建立档案部门和信息部门人员管理制度、操作技术管理制度、病毒防护制度、设备管理维护制度、库房管理制度等,并对制度的执行情况加强督促和检查 ,定期进行考核 ,确保各项制度能够有效、正确执行。特别是针对当前电子文件和电子档案数量迅速增长这一情况 , 制定电子文件和电子档案保管、保密和利用制度 , 加强电子文件的保管、检验鉴定等。
在档案信息提供利用中 , 贯彻执行国家、北京市的信息安全和信息保密等规定 , 认真履行相关手续 , 严格把握档案利用审查关 , 加强对档案信息利用的监督和管理工作 , 既要保证档案信息实体不丢失、不损坏 , 又要保证档案信息内容不失密、不泄密 , 严格控制电子文件和电子档案的使用权限 , 正确处理电子文件和电子档案信息安全保密和实现资源共享的关系。
(五) 建立高效的档案信息安全保障应急防范机制
2001 年发生的震惊世界的美国“9-11”恐怖事件后 , 数据备份存储工作得到了空前的重视。纽约世贸中心汇集了众多全球一流的大公司 , 如摩根- 斯坦利银行、 AT &T 公司、 SUN 公司、瑞士银行等 , 他们都在这此浩劫中遭到了严重的损失。但摩根 - 斯坦利银行总部在遭到毁灭性打击后的第二天就能够恢复营业 , 没有丢失任何重要的数据 , 这主要归功于该银行总部不仅在内部进行数据备份 ,而且在数英里之外的新泽西州也设有灾难备份中心。据悉 , 北京市正在启动建立信息资源同城异地容灾备份中心项目 ,并将档案信息资源纳入其中。
档案部门的应急响应是指档案部门针对突发信息网络安全事件进行处理、恢复、跟踪的方法及过程。建立高效的档案信息安全保障应急防范机制 , 并纳入整个国家和地方防御体系 , 是提高档案信息安全防御能力不可缺少的方面。档案部门应从保护国家资源的战略高度 , 尽快建立完善的档案信息预警机制和快速响应机制 , 对可能发生的危机与后果进行事先估计 , 做好应急准备 , 以便能在突发事件发生时 , 协调各方面并及时果断地进行处理 ,减少危机引起的损失和负面影响 , 避免引发相关的社会矛盾和社会事件。
(六) 运用先进的信息安全保障技术手段
先进技术手段的应用是保障档案信息安全的关键。随着网络的迅猛发展 , 档案信息网络化管理进程正在加快 , 档案信息安全不仅涉及到传统的纸质档案的保护修复技术 , 而且 , 对于日益增长的电子文件和电子档案 , 档案信息安全已经扩展到涉及密码技术、访问控制技术、标识和鉴别技术、审计与监控技术、网络安全技术、系统安全技术、应用安全技术等多种技术。这些技术从不同的角度、不同层次来解决档案信息安全问题 , 这些技术相互补充 ,相互结合 , 共同构筑档案信息的安全屏障 , 以提高档案信息安全防范能力。
(七) 加强档案信息安全保障的研究与开发
在运用先进技术的同时 , 应不断提高档案信息安全保障创新能力 , 加强档案信息安全保障理论和技术的研究与开发。如今 , 世界各国纷纷加大信息安全技术研究力度 , 以便在国际信息技术市场占有一席之地。我国档案部门在努力引进、应用现代信息技术的同时 , 还应独立开发拥有自主知识产权的保障档案信息安全的核心技术和关键设备 , 只有这样才能不断地为档案信息提供强大的安全保障。值得庆幸的是我国档案部门已经开始了档案信息安全理论和技术的研究。
广泛开展档案国内外交流与合作。档案信息安全已经不再是一个国家的问题 , 而是一个全球性的问题。如 , 为了构建关于保护电子生成文件的基本理论和方法论的知识体系 , 并在此基础上确立一套原则和准绳 , 为制定国际、国家以及机构的电子文件保护方针、策略及标准提供指南, 1999 年 , 中国、加拿大、美国、英国、爱尔兰、瑞典、荷兰、法国、意大利、葡萄牙、澳大利亚等 10 几个国家组成了跨国研究组 , 开展了《永久保护真实的电子文件国际研究项目》, 至今 ,已经取得了可喜的研究成果④。我们应充分借鉴这种合作的成功经验 , 加强与世界各国的合作与交流 , 积极参与国际信息市场及相关档案信息安全活动 , 努力吸收和转化有关信息安全管理的技术和标准 ,做到联合防范、互通互助,共同维护档案信息安全 ,努力创造良好的档案信息运行环境。
(八) 加速培养档案信息安全人才
保障档案信息的安全 , 人是第一要素。档案人员及相关人员的档案信息安全意识、素质水平、创新能力直接影响到档案信息的安全。美国重视信息安全人才的教育和培养。2002 年 2 月 ,美国政府通过了《网络安全研究与开发法案》,该法案确立了美国培养网络安全技术人才的原则 , 并明确规定国家有义务资助他们开展研究工作。该法案要求美国政府在未来 5 年内投资 8. 78 亿美元 , 用于计算机和网络安全人才的培养 , 是重点自主网络安全专业的博士生和博士后进行研究项目。⑤近年来 ,我国也开展了信息安全人才培养的学历教育和在职培训。我国信息产业部等部门于 2003 年年底 , 先后制定了《全国信息技术人才培养实施意见》、《全国信息技术人才培养工程培训体系管理办法》, 以加速我国软件人才队伍建设 , 解决软件专业技术人才紧缺以及人才结构不合理的问题 , 适应国民经济和社会信息化建设发展的需要。
档案信息安全人才包括安全战略人员、专业研究人员、安全管理人员和专业技术人员。目前,我国档案信息安全人才匮乏 , 缺少懂安全管理和安全技术的档案人员。为了确保档案信息的安全 , 档案部门应尽快制定档案信息安全人才培养规划 , 采取切实可行的措施 , 在积极借用信息安全技术人才的同时 ,在档案信息专业学历教育中 ,增设信息技术、信息安全方面的课程;在档案人员在职培训中 ,增加现代计算机技术、网络技术、信息安全理论与技术等内容的培训 , 以培养更多的适应信息时代档案工作需要的复合型人才。
注释:
①http :/ / www. bnii. gov. cn/ bnii/ fz jh/xxhzb/ t20031126 - 80981. ht m
② ErrolRhoden :《人员与管理方法 ———信息安全的关键因素》,陈林、钟宁翻译 ,载《计算机安全》,2003 年第 5 期 ,第 60 页。
③沈时良:《基于 OS 平台的信息安全探讨》,《华东经济管理》, 2001 年 6 月第 15 卷第 3 期 , 第130 页。
④国家档案局外事办公室编译《永久保护真实的电子文件国际学术报告会报告集》,中国档案出版社 2003 年版 ,第 1 页。
⑤中国信息协会信息安全专业委员会编 :《2002 —2003 中国信息安全年鉴》第 356 页。

(北京市 ,邮编 100872)
(责任编缉 胡鸿杰)


[作者简介] 宗文萍 ,北京市档案局副研究馆员、中国人民大学信息资源管理学院在职博士生。郭莉珠,中国人民大学信息资源管理学院教授、博士生导师。