數字檔案館信息安全保障體系探究

李順

（黑龍江大學信息管理學院 哈爾濱 150080）

數字檔案館信息安全保障體系探究

李順

（黑龍江大學信息管理學院 哈爾濱 150080）

數字檔案館是利用互聯網有序處理和集成管理異構的數字檔案與電子文件的信息系統，是檔案館信息化與現代化的產物。在新型環境下，信息安全仍舊是繞不開的老話題，數字檔案信息安全保障是檔案部門的新挑戰。本文論述了數字檔案館信息安全保障體系的內容：法律約束保障、技術支撐保障、標準規范保障、智力推動保障、綜合管理保障，并從這五個方面提出完善數字檔案館信息安全保障體系的措施。

數字檔案館 數字檔案 信息安全 安全保障

美國未來學家阿爾文·托夫勒（AlvinToffler）在其《第三次浪潮》一書中提到，從20世紀50年代開始，人類社會進入第三次浪潮，即信息化時代。在第三次浪潮中，無形的信息將代替傳統的工業要素成為主要的生產資料，同時物質生產將會沒落，取而代之的是知識的創造與生產。以信息技術為主體的信息化時代的發展，使辦公自動化成為主流，電子文件便應運而生。檔案館是永久保存檔案文件的場所，紙質載體文件的增加所造成的館藏空間匱乏的危機，使數字檔案館成為國內外檔案工作者和檔案學者研究與討論的熱點，并被公認為檔案館的發展趨勢之一。

雖然數字檔案館帶來了新的檔案信息存儲方式，提高了檔案信息檢索的效率，改變了傳統的檔案信息利用行為，但是仍然避免不了檔案信息安全問題。從某種程度上講，數字檔案館的建設與利用帶來了新的檔案信息安全威脅。不管何種原因，只要是影響了數字檔案信息內容的可讀性，破壞了數字檔案信息的真實性，阻礙了數字檔案信息價值的實現的不良環境與行為，都是對數字檔案信息安全的威脅因素。自從“數字檔案館”這一概念提出以來，數字檔案信息的安全問題就備受關注。

一、數字檔案館概述

1992年，網絡上發布了由美國維吉尼亞大學圖書館負責設計的杰弗遜數字檔案館，這是世界上最早建設的數字檔案館。受其影響與啟示，英國、加拿大、日本等國學者與檔案工作人員開始投入數字檔案館的研究、開發與建設，并取得了一定的進展和可觀的成果。我國于2000年啟動了我國第一個數字檔案館——深圳數字檔案館系統工程建設項目，在2003年青島市數字檔案館正式投入運營。

但是，從數字檔案館的理念第一次被傳播開來，到被廣泛接受、認可，對于數字檔案館的概念，檔案界專家學者們眾說紛紜，至今未達成統一的認識。我國學者主要有以下幾種看法。

1.技術說。強調數字檔案館各項功能實現的前提是計算機原理和多媒體技術，認為數字檔案館是“用二進制編碼的數字方式存儲、處理檔案信息內容，應用計算機、通訊和多媒體技術，提供電子網絡檢索和服務的檔案信息系統”[1]19。

2.信息系統說。認為數字檔案館是“提供電子網絡檢索和服務的檔案信息系統”[1]19。何嘉蓀教授認為：“數字檔案館不僅僅是館藏得到數字化以及管理工作實現了信息化的檔案館和檔案館群體；它實質上是一個通過計算機互聯網絡有序處理和集成管理在結構各異的多種信息平臺上產生的多樣的電子文件、檔案以及其他信息，確保這些數字信息資源的真實性、完整性和持久有效性，并實現上述信息資源跨庫共享的超大規模、分布式和可擴展的數字信息系統”[2]32。

3.開放信息環境說。這種說法強調數字檔案館給遠程利用檔案帶來的便利?！皵底只瘷n案館能夠存儲大量各種形式的信息，用戶可以通過網絡方便地訪問它，以獲得這些信息，并且其信息存儲和用戶訪問不受地域限制?！盵3]27

我國學者對數字檔案館的定義的不同類型界定，一方面反映了學者們研究角度的不同和豐富的看待問題的視角，另一方面可以看出，公認的定義的缺失是我國數字檔案館建設步伐緩慢的原因之一。

二、數字檔案館信息安全保障體系的內容

數字檔案有兩個來源：傳統檔案文件的數字化處理和辦公自動化直接生成的電子文件，二者在儲存、保管、檢索、利用等方面并無差別。馮惠玲教授認為，電子文件具有了兩種形式的“生命”：借助載體而存在的“物理生命”和以特定編碼格式構成的“信息生命”[4]38，因此，電子文件面臨的威脅就相應地有兩個來源：一是對其“物理生命”的威脅，主要是電子文件載體的破損、丟失和不良的存放環境、系統運行環境。二是對其“信息生命”的威脅，它會直接導致電子文件信息的不可讀。筆者認為，對數字檔案信息安全的保護需要從兩個方面入手，對物理環境的保護和對信息本身的保護。

為了維護數字檔案信息的“生命安全”，檔案主管部門和檔案業務部門應合力制定一套有效的安全保障體系。該體系的各個要素之間彼此相對獨立、相互制約、相互配合、缺一不可，共同維護數字檔案館的信息易獲取性、可讀取性、利用范圍可控制性，保障其安全。數字檔案館信息安全保障體系的要素有法律約束保障、技術支撐保障、標準規范保障、智力推動保障、綜合管理保障。

1.法律約束保障。法律約束保障是指檔案部門借助法律、法規等具有較強約束力的手段監管數字檔案館建設過程和規范數字檔案利用的行為，從法律層面上維護數字檔案信息安全。法律約束保障在數字檔案館信息安全保障體系中是不可或缺的保障因素，具有不可替代性。它不僅鼓勵有助于維護數字檔案信息安全的行為，建立良好的行為模式，而且還嚴厲打擊不利于數字檔案館建設、擾亂其正常運行的不法行為，為數字檔案館各項工作的順利展開保駕護航，使其有法可依、有法必依、執法必嚴、違法必究。

2.技術支撐保障。技術是支撐數字檔案館順利建設和有效運行的基石，是數字檔案館區別于傳統檔案館的明顯標志，是檔案事業現代化進程中檔案學界熱切關注和熱烈探討的問題。技術的多樣來源于威脅的多樣，正是為了消除愈加多而復雜的信息安全威脅，各種各樣的技術才被開發出來。這里所說的技術，是能夠使數字檔案信息隔絕安全威脅的技術，包括防火墻技術、數據加密技術、反病毒技術、身份認證技術、訪問控制技術、虛擬專用網絡（VPN）技術等，技術種類繁多，運行原理不同，能夠分別從不同的角度針對各種潛在危險來維護數字檔案的信息安全。這些技術相互配合，互成體系，共同抵制對數字檔案的不法操作，維護其原始性、可讀性，方便利用。

3.標準規范保障。隨著我國檔案標準化小組和全國檔案工作標準化技術委員會的成立，關于電子文件和數字檔案的各類標準相繼出爐，如《CAD電子文件光盤存儲、歸檔與檔案管理要求第一部分：電子文件歸檔與檔案管理》（GB/T17678.1-1999）、《CAD電子文件光盤存儲、歸檔與檔案管理要求第二部分：光盤信息組織結構》（GB/T17678.2-1999）、《CAD電子文件光盤存儲歸檔的一致性測試》（GB/T17679-1999）、《電子文件歸檔與管理規范》（GB/T18894-2002）、《紙質檔案數字化技術規范》（DA/T31-2005）等。標準對于數字環境下電子文件的操作是至關重要的，沒有相關標準，電子文件的各項操作難以統一，就會出現電子文件格式不一、管理操作相異的后果。那么，數字檔案信息的安全就難以保障。

4.智力推動保障。從數字檔案館設計、開發到使用、后期維護，固然離不開標準、技術、法律的約束和支撐，但是標準的對照、法律的執行和技術的使用都不能脫離人的調用和支配，否則就失去其存在的意義。在數字檔案館檔案信息安全保障體系中，最重要的要素是人，是智力，一切圍繞數字檔案館的技術、制度、標準、管理等都是輔助手段，人才是一切工作的承擔者。功以才成，業以才廣，人的想法、理念、經驗等“智慧力”與勞動力都會作用到數字檔案館建設的每一項工作中，推動檔案事業現代化與信息化的進程。因此，檔案部門在人才管理方面，要積極引進復合型人才，提高福利待遇以避免人才流失，調動人才的積極性，在數字檔案館建設、在數字信息安全保障工作中，把人的智力發揮到極致。

5.綜合管理保障。信息安全領域有一句廣泛流行并被普遍認可的話，叫“三分技術、七分管理”，即維護信息安全，30%的力量來自計算機設備與信息安全技術，剩余的70%要歸功于人的管理?！肮芾硎秦灤┯谛畔踩麄€過程的生命線?！盵5]3這條關鍵的“生命線”串聯著信息安全體系中的每一個因素，代表著檔案部門維護數字檔案信息安全的意志。為了提高人們的信息安全防護意識并建立信息安全責任感，增強設備與技術對不良操作的敏感度和抵御能力，管理層應積極制定一系列數字檔案信息安全管理制度，生成具有組織特色的信息安全綜合管理模式。

三、完善數字檔案信息安全保障體系的措施

數字檔案信息安全保障是檔案事業現代化、信息化進程中不可避免的問題，也是數字檔案館建設工作中必不可少的環節。數字檔案信息安全保障的初衷是為了保證數字檔案信息的安全、系統、可用，這是一項復雜而系統的任務，因為數字檔案館建設的每一環節都或多或少存在安全隱患，所以要求數字檔案館建設過程中的每項工作都要小心謹慎、認真仔細。如前所述，數字檔案館檔案信息安全保障體系包括法律保障、技術保障、標準保障、人才智力保障、綜合管理保障等五項保障因素，然而，安全保障工作并非這五者的簡單累加和機械堆砌，而是彼此相互配合、相互影響、共同作用的過程。最關鍵的是綜合管理保障，數字檔案館負責人將其他四個保障因素移植到其管理理念中，形成一種特色的、遵紀守法的、符合標準的、善用人力與技術的管理模式。

1.制定相關法律法規。數字檔案信息安全的法律保障因素為數字檔案館建設和信息安全管理提供了一個嚴厲的司法、執法環境，使其滿足“有法可依，有法必依，執法必嚴，違法必究”這一我國社會主義法治的基本要求。我國法律體系中，有關數字檔案信息安全的法規條文主要來自《中華人民共和國檔案法》、《中華人民共和國刑法》、《中華人民共和國保守國家秘密法》等，但還沒有專門針對數字檔案館信息安全的法律法規。檔案部門應該積極配合立法機構，制定出一系列既符合當前我國檔案工作實情，又具有前瞻性的法律法規，對數字檔案的信息安全行為“保障措施”、破壞數字檔案信息安全的處罰等作出具體規定[6]90。相關法律制定出來后，應該嚴格執行，加大執法力度，保證其約束力與權威性，不應使其形同虛設。

2.夯實技術基礎。技術是實現既定信息安全目標的基礎，可以說無技術不安全。首先，在數字檔案信息安全保障工作中，檔案部門應該建設一個數字檔案信息安全保障技術體系，使不同功能的技術相互配合、互成體系，形成一個結實的、高密度的“威脅隔離網”，有效地使數字檔案信息隔離現有一切不利因素。其次，對于功能相同的技術，應該擇其一二而選，即允許不同技術在功能上的交叉，避免其過度交叉。具有相同功能的不同類型技術不僅會帶來安全保障功能的無限疊加，而且這種技術上的過度交叉還會給檔案部門帶來經費和人力方面的負擔和浪費。最后，檔案部門應該經常與同行和信息安全領域的研究人員交流經驗，力爭掌握主流的信息安全威脅和防御技術，當本部門數字檔案館信息安全遭到新的威脅時，能夠不慌不亂、胸有成竹地解除危險因素。

3.加強標準建設工作。標準是對重復性的事物和概念所作的統一規定，它的實施能夠使同一類型的重復性工作項目達到一致，從而便于管理與應用。隨著數字檔案館的發展與應用，數字檔案館相關的標準體系應該建立起來，以便于數字檔案信息的開發與共享。此外，標準體系的建立應該本著標準簡潔、通用、從實際出發的原則，先做好調研，再逐一研究、討論，制定適應性好和通用性強的標準體系。

4.注重專項人才培養。人才是數字檔案信息安全保障體系中唯一能發揮主觀能動性的要素。數字檔案館是檔案部門在信息環境下的新產物，與其相關的各項工作自然對人才有新的要求。作為人才培養與輸送的主要單位，開設檔案學專業的高校應該順應時代和社會的需要，注重學生信息素養的培養和數字檔案館系統知識的傳授，使學生學有所用，緩解檔案部門綜合性人才稀缺的壓力。此外，檔案部門可以與高?；驒n案專業人才培養單位建立合作關系，定期選送一批員工參加培訓，以完善其知識結構。

5.加強信息安全管理。管理貫穿著數字檔案信息安全保障整個過程生命線。不管是檔案館的宏觀管理，還是微觀管理，都對數字檔案信息安全有著牽一發而動全身的重大影響。首先，檔案部門應該加強數字檔案信息安全的宏觀管理，合理配置人力與技術保障。其次，建立管理制度體系，加強對人員、系統運行環境、數字檔案文件的流動等方面的約束與指導。

數字檔案信息安全保障體系包括法律保障、技術保障、標準保障、人才智力保障、綜合管理保障等五個要素，然而安全保障任務并非這五者的簡單累加和機械堆砌，而是彼此相互配合、相互影響、共同作用的結果。綜合管理保障是核心要素，數字檔案館負責人將其他四個保障因素移植到其管理理念中，形成一種具有本單位特色的、遵紀守法的、符合標準的、善用人力與技術的管理模式。

[1]張曉霞，王宇暉，王萍.數字檔案館：21世紀檔案館的新發展[J].蘭臺世界，2000（1）.

[2]何嘉蓀.現行文件閱覽中心、文件中心數字檔案館[J].檔案學研究, 2003（1）.

[3]傅榮校.認識數字檔案館：兼論數字檔案館與虛擬檔案館的區別[J].中國檔案,2001（5）.

[4]馮惠玲.保證電子文件的長久性：《擁有新記憶——電子文件管理研究》摘要之四[J].檔案學通訊,1998（4）.

[5]康巨瀛,田園.信息安全管理的重要性[J].中國醫院統計,2006（1）.

[6]周蕓.數字檔案信息安全保障策略探析[J].蘭臺世界，2013（10）.

★作者李順為黑龍江大學信息管理學院檔案學專業在讀碩士，研究方向為信息技術與檔案信息管理。

Research on Information Security Insurance System of Digital Archives

Li Shun

(Information Management School of Heilongjiang University,Harbin 150080,China)

Digital archives are information systems,which orderly process and integratedly manage heterogeneous digital records and electronic files.They are products of archives informatization and modernization.In the new times,information security remains an old topic,and to insure digital records information security is a new challenge for archives department. The paper discusses the content of the information security insurance system of digital archives:legally binding,technical support,standard specification,intellectual promotion and integrated management,and puts forward measures to improve the system based on the five aspects.

digital archives;digital records;information security;insurance of security

G270.7

A

2016-09-08