論云時(shí)代危害我國(guó)檔案信息資源共享的安全因素

孫慧

摘 要：從“云”的視角出發(fā)，在分析影響我國(guó)檔案信息資源共享的安全問(wèn)題產(chǎn)生原因基礎(chǔ)上，探析影響我國(guó)檔案信息資源的安全因素，主要包括環(huán)境信息安全因素、系統(tǒng)信息安全因素、網(wǎng)絡(luò)信息安全因素和管理信息安全，這四個(gè)因素相互作用、互相滲透共同影響我國(guó)的檔案信息資源共享工作。通過(guò)以上研究，以期本文可以為深入推進(jìn)云環(huán)境下我國(guó)檔案信息資源共享工作提供啟示或參考。

關(guān)鍵詞：檔案信息資源；信息安全；共享；“云”時(shí)代

云時(shí)代，信息共享是云計(jì)算的基礎(chǔ)[1]，共享的前提須整合大量有價(jià)值的信息，檔案信息資源的海量存儲(chǔ)又依賴云技術(shù)，因此“云”和“共享”是互為依存的關(guān)系。檔案信息資源的社會(huì)共享使檔案的價(jià)值從靜態(tài)轉(zhuǎn)化為動(dòng)態(tài)，最大限度地挖掘檔案的蘊(yùn)藏價(jià)值、提高檔案的利用效率和擴(kuò)大檔案的利用范圍。在2017年6月的全國(guó)檔案安全工作會(huì)議上，李明華提出“檔案安全是檔案事業(yè)的根基”[2]，強(qiáng)調(diào)檔案安全對(duì)檔案利用工作的重要性。在云環(huán)境下如果沒(méi)有正確處理好檔案信息資源的開(kāi)放共享和安全保密之間的關(guān)系，小則侵犯?jìng)€(gè)人知識(shí)產(chǎn)權(quán)、隱私權(quán)，大則危害國(guó)家信息安全、損害國(guó)家利益[3]。而安全體系建設(shè)是我國(guó)檔案事業(yè)發(fā)展的三大體系之一。

1 影響我國(guó)檔案信息資源共享的安全問(wèn)題的產(chǎn)生原因

云環(huán)境下檔案信息資源共享的安全風(fēng)險(xiǎn)的來(lái)源歸根結(jié)底來(lái)自兩方面要素，一是人員，二是技術(shù)。由于云時(shí)代信息技術(shù)發(fā)展較快，沒(méi)有先進(jìn)的安全技術(shù)作支撐難以防范黑客們無(wú)孔不入的網(wǎng)絡(luò)攻擊。

但是比起技術(shù)要素，對(duì)人員的防范永遠(yuǎn)是擺在第一位的。例如，2007年發(fā)生了震驚英國(guó)上下的“2500萬(wàn)英國(guó)人敏感信息丟失” 事件，導(dǎo)火線就是英國(guó)稅務(wù)局的一名小小的辦事員所犯的差錯(cuò)，將兩張數(shù)據(jù)光盤用簡(jiǎn)單的平郵方式寄往審計(jì)局，中途遺失。該光盤中存放著包括英國(guó)首相布朗、內(nèi)閣部長(zhǎng)等名人政要在內(nèi)的占英國(guó)人口一半以上的身份信息和銀行資料，使得約2500萬(wàn)人面臨著受欺詐的風(fēng)險(xiǎn)。

2 云時(shí)代危害檔案信息資源共享的安全因素

如何推動(dòng)檔案信息資源云平臺(tái)可持續(xù)機(jī)制的構(gòu)建，其中必不可少的重要前提就是要破除檔案信息資源共享的安全風(fēng)險(xiǎn)，保證共享檔案信息資源較高的安全性。

2.1 環(huán)境信息安全因素

檔案信息資源共享數(shù)據(jù)中心的機(jī)房建設(shè)存在環(huán)境安全風(fēng)險(xiǎn)，威脅的主要發(fā)生形式包括物理環(huán)境問(wèn)題（基建、斷電、消防、靜電、供電、制冷、潮濕、環(huán)保、灰塵等方面存在缺陷）和自然災(zāi)害（洪災(zāi)、火災(zāi)、地震等）。二者以最直接的方式給數(shù)據(jù)中心造成毀滅性的破壞，且本身難以提前準(zhǔn)確預(yù)測(cè)。

2.2 系統(tǒng)信息安全因素

系統(tǒng)安全風(fēng)險(xiǎn)包括硬件系統(tǒng)風(fēng)險(xiǎn)和應(yīng)用系統(tǒng)風(fēng)險(xiǎn)。硬件系統(tǒng)風(fēng)險(xiǎn)包括網(wǎng)絡(luò)、服務(wù)器、終端設(shè)備、存儲(chǔ)設(shè)備等損壞、故障、老化風(fēng)險(xiǎn)。應(yīng)用系統(tǒng)風(fēng)險(xiǎn)包括業(yè)務(wù)應(yīng)用安全操作系統(tǒng)架構(gòu)、應(yīng)用安全系統(tǒng)功能、應(yīng)用安全系統(tǒng)性能等方面，不完備、設(shè)計(jì)存在缺陷?！霸啤惫蚕硐到y(tǒng)復(fù)雜性、登錄用戶的動(dòng)態(tài)性、共享平臺(tái)服務(wù)的多樣性、檔案信息更新的頻繁性使得共享的檔案信息資源的安全性、保密性、完整性、可用性易受到破壞[4]。

2.3 網(wǎng)絡(luò)信息安全因素

計(jì)算機(jī)網(wǎng)絡(luò)缺乏安全設(shè)施防護(hù)，防火墻、防病毒、攻防技術(shù)等技術(shù)不規(guī)范。無(wú)法確保搭建共享“云”平臺(tái)的服務(wù)商提供可靠的信息存儲(chǔ)服務(wù)，當(dāng)“云”平臺(tái)發(fā)生數(shù)據(jù)災(zāi)難時(shí)，可能會(huì)給沒(méi)有經(jīng)過(guò)備份的檔案信息資源可能帶來(lái)不可挽回的損失[5]。

2.3.1 云時(shí)代網(wǎng)絡(luò)攻擊嚴(yán)重

外部不法分子的安全風(fēng)險(xiǎn)主要有兩方面，具體包括外部惡意人為和外部非惡意人為[6]。檔案網(wǎng)絡(luò)信息安全風(fēng)險(xiǎn)來(lái)自多方面的影響，其中網(wǎng)絡(luò)惡意攻擊現(xiàn)象嚴(yán)重，“云”服務(wù)商在“云”主機(jī)上部署的Web應(yīng)用程序容易遭到來(lái)自外部不法分子的惡意攻擊。

例如以大數(shù)據(jù)關(guān)聯(lián)分析技術(shù)為基點(diǎn)的APT攻擊，是一種有特定攻擊對(duì)象，有計(jì)劃的長(zhǎng)期性隱蔽網(wǎng)絡(luò)攻擊行為。最著名的案例是發(fā)生于2010年的“震網(wǎng)”APT破壞伊朗位于共享內(nèi)網(wǎng)中的核工業(yè)控制系統(tǒng)，成功阻止了伊朗核計(jì)劃的實(shí)施[7]。

2.3.2 檔案?jìng)鬏斠自馐芎诳颓忠u

在搭建共享平臺(tái)之前，需要將全國(guó)范圍內(nèi)的檔案信息資源進(jìn)行集中統(tǒng)一存儲(chǔ)，在選定合適的云存儲(chǔ)設(shè)備建設(shè)地點(diǎn)后，各部門需要進(jìn)行大規(guī)模的信息傳輸。但是在傳輸過(guò)程中，不可避免地會(huì)有不法分子乘機(jī)竊取重要檔案信息，以謀私利。但是各部門對(duì)安全傳輸?shù)耐度氩煌?，不乏大量部門缺乏安全有效的傳輸保密手段，給不法分子以可乘之機(jī)，使得黑客竊取篡改關(guān)鍵檔案信息宛如探囊取物，造成經(jīng)過(guò)傳輸后的檔案信息內(nèi)容不完整、不真實(shí)，無(wú)法提供法律憑證作用。實(shí)現(xiàn)全國(guó)范圍內(nèi)的檔案信息資源共享，給社會(huì)信息用戶提供一個(gè)開(kāi)放共享的信息查閱平臺(tái)，首先必須借助現(xiàn)代信息技術(shù)完成海量檔案信息資源的邏輯整合[8]。在邏輯整合過(guò)程中，大規(guī)模的檔案信息在傳輸過(guò)程中易遭到網(wǎng)絡(luò)嗅探器（Sniffer）等工具的捕獲，被黑客盜取敏感資料。

例如2013年震驚世界的“棱鏡事件”，斯諾登揭露美國(guó)國(guó)安局自2017年起運(yùn)用先進(jìn)的大數(shù)據(jù)分析手段實(shí)時(shí)監(jiān)聽(tīng)全球民眾通話和截取各種網(wǎng)絡(luò)私密瀏覽信息，而中國(guó)是遭受“棱鏡”網(wǎng)絡(luò)侵害的重災(zāi)區(qū)[9]。

2.4 管理信息安全因素

實(shí)踐證明，要真正落實(shí)信息安全不能僅僅依靠技術(shù)手段，還要采取系統(tǒng)有效的安全管理制度和安全運(yùn)維管理，強(qiáng)化制度規(guī)范的執(zhí)行力，避免出現(xiàn)“重系統(tǒng)建設(shè)，輕運(yùn)維管理”的弊病。

2.4.1 對(duì)突發(fā)安全事件處理不當(dāng)

一旦發(fā)生安全事故，如遇地震、火災(zāi)、洪災(zāi)等情況，還有日常保管方面遇到的意外事故，缺乏一個(gè)有針對(duì)性的規(guī)范有效的處理流程。一旦遭遇意外事故檔案人員可能對(duì)被損毀的共享數(shù)據(jù)缺乏數(shù)據(jù)恢復(fù)能力，造成共享平臺(tái)暫時(shí)無(wú)法提供必要的信息服務(wù)，破壞已經(jīng)樹(shù)立的檔案共享的便民利民形象，降低社會(huì)公眾對(duì)檔案共享的信心。

2.4.2 對(duì)相關(guān)標(biāo)準(zhǔn)的劃分不清晰

在對(duì)檔案用戶管理權(quán)限的設(shè)置上，對(duì)哪些檔案信息資源可以開(kāi)放共享，哪些檔案信息資源只對(duì)部分特殊檔案用戶可見(jiàn)并沒(méi)有劃出明確界限，導(dǎo)致一些外部不法分子可以越權(quán)訪問(wèn)加密存儲(chǔ)的檔案資源，竊取甚至篡改和破壞關(guān)鍵或隱私檔案信息[10]。

2.4.3 對(duì)內(nèi)部檔案人員監(jiān)控不足

內(nèi)部工作人員的安全風(fēng)險(xiǎn)主要有兩方面，具體包括內(nèi)部惡意人為、內(nèi)部非惡意人為[11]。內(nèi)部非惡意的人為的現(xiàn)象表現(xiàn)為一些內(nèi)部檔案工作人員的安全意識(shí)差，對(duì)信息安全問(wèn)題不夠重視。對(duì)一些硬件設(shè)備和重要文件不及時(shí)進(jìn)行加密處理，設(shè)置加密密碼過(guò)于簡(jiǎn)單且長(zhǎng)期不更換。隨著檔案信息資源的社會(huì)共享的進(jìn)程加快，檔案信息資源逐漸融入公共領(lǐng)域，但是部分檔案工作人員仍缺乏法治思維。特別對(duì)一些文件的加密處理上。

參考文獻(xiàn)

[1]周美蘭.大數(shù)據(jù)時(shí)代高校檔案資源體系建設(shè)的思考[J].山西檔案，2015（01）：70.

[2]國(guó)家檔案局關(guān)于印發(fā)李明華同志在全國(guó)檔案安全工作會(huì)議上的講話的通知[EB/OL].http：//www.saac.gov.cn/news/2017-06/26/content_192040.htm.

[3]龐美燕.從檔案屬性角度談檔案信息資源共享問(wèn)題[J].廣西民族大學(xué)學(xué)報(bào)（哲學(xué)社會(huì)科學(xué)版），2007（S1）：276.

[4]馬曉亭，陳臣.云安全2.0技術(shù)體系下數(shù)字圖書館信息資源安全威脅與對(duì)策研究[J].現(xiàn)代情報(bào)，2011，31（03）：63.

[5]馬曉亭，陳臣.云安全2.0技術(shù)體系下數(shù)字圖書館信息資源安全威脅與對(duì)策研究[J].現(xiàn)代情報(bào)，2011，31（03）：63.

[6]周知，呂美嬌.云服務(wù)中的數(shù)字學(xué)術(shù)信息資源安全風(fēng)險(xiǎn)防范[J].數(shù)字圖書館論壇，2017（07）：16.

[7]戴玲，楊玉龍.人事檔案資源共享的風(fēng)險(xiǎn)及對(duì)策[J].蘭臺(tái)世界，2017（01）：57.

[8]陳永生.政府信息資源整合共享研究——從國(guó)家檔案館的角度[J].檔案學(xué)研究，2010（01）：46.

[9]張大偉.“棱鏡”給信息時(shí)代的檔案安全敲響了警鐘[J].上海檔案，2013（07）：3.

[10]李曉萌.大數(shù)據(jù)背景下企業(yè)檔案信息資源共建共享研究[D].黑龍江大學(xué)，2017：37.

[11]周知，呂美嬌.云服務(wù)中的數(shù)字學(xué)術(shù)信息資源安全風(fēng)險(xiǎn)防范[J].數(shù)字圖書館論壇，2017（07）：16.