（档案学专业论文）数字档案信息安全保障体系研究.pdf

兹主氆塞壤息安全援瞠琏基班豇 圭奎摘要 数字档案信息安全保障体系研究 中文提要 数字档案信息是档案信息的一种重要类型，研究数字档案信息安全保障体系问 题，对于促进档案信息化建设和档案事业发展，完善国家信息安全保障体系具有十分 重要的意义。 本文借鉴了已有的研究成果，探讨了档案信息化环境下的我国数字档案信息安全 保障体系建设问题，全文共七部分。第一章为绪论，第二章为数字档案信息安全保障 体系的法制保障，第三章为数字档案信息安全保障体系的标准保障，第四章为数字档 案信息安全保障体系的技术保障，第五章为数字档案信息安全保障体系的管理保障， 第六章为数字档案信息安全保障体系的人才保障，最后为总结。 关键词：数字档案信息安全保障体系 作者：张勇 指导教师：张照余教授 项文新副教授 ! 型! ! ! 苎竺生生! 竺! ! 竺堕垡韭型垒苎! ! ：! ! 堂型! ! ! 垒堕塑璺 s t u d yo nt h es e c u r i t ys y s t e mo fd i g i t a la r c h i v ei n f o r m a t i o n a b s t r a c t d i g i t a ia r c h i v ei n f o r m a t i o ni sa l li m p o r t a n tt y p eo fa r c h i v ei n f o r m a t i o n ，t h es t u d yo i l t h es e c u r i t ys y s t e mo fd i g i t a la r c h i v ei n f o r m a t i o ni sv e r yi m p o r t a n tf o rp r o m o t i n gt h e c o n s t r u c t i o n so fi n f o r m a t i o n i z a t i o no fa f c h i v e sa n dt h ed e v e l o p m e n to ft h ea r c h i v e s i ti s v e r yi m p o r t a n tf o ri m p r o v i n gt h en a t i o n a li n f o r m a t i o ns e c u r i t ys y s t e m t h i sp a p e ru s e sal o to fp r o d u c t i o n sf o rr e f e r e n c e i td i s c u s s e st h ep r o b l e m so ft h e s e c u r i t ys y s t e mo fd i g i t a la r c h i v ei n f o r m a t i o nu n d e rt h ee n v i r o n m e n to fc o n s t r u c t i o n so f i n f o r m a t i o n i z a t i o no fa r c h i v e s , t h e r ea r 弓s e v e np a r t s i nt h i sp a p e r t h ef i r s t p a r t i s i n t r o d u c t i o n t h es e c o n dp a r ti sl e g a ls u p p o r to ft h es e c u r i t ys y s t e mo fd i g i t a la r c h i v e i n f o r m a t i o n t h et h i r dp a r ti ss t a n d a r d ss u p p o r to ft h es e c u r i t ys y s t e mo fd i g i t a la r c h i v e i n f o r m a t i o n t h ef o r t hp a r ti sm c h n i c f ls u p p o r to ft h es e c u r i t ys y s t e mo fd i g i t a la r c h i v e i n f o r m a t i o n t h ef i f t hp a r ti sm a n a g e m e n ts u p p o r to ft h es e c u r i t ys y s t e mo fd i g i t a la r c h i v e i n f o r m a t i o n t h es i x t hp a r ti sp e r s o n n e ls u p p o r to ft h es e c u r i t ys y s t e mo fd i g i t a la r c h i v e i n f o r m a t i o n t h el a s tp a r ti sc o n c l u s i o n k e yw o r d s ：d i g i t a la r c h i v ei n f o r m a t i o l l s e c u r i t y , s y s t e m w r i t t e nb y ：z h a n gy o n g s u p e r v i s e db y ：z h a n g7 _ _ h a o y u x i a n gw e l i ) c i n 苏州大学学位论文独创性声明及使用授权声明 学位论文独创性声明 本人郑重声明：所提交的学位论文是本人在导师的指导下，独立 进行研究工作所取得的成果除文中已经注明引用的内容外，本论文 不含其他个人或集体已经发表或撰写过的研究成果，也不含为获得苏 州大学或其它教育机构的学位证书而使用过的材料。对本文的研究作 出重要贡献的个人和集体，均己在文中以明确方式标明本人承担本 声明的法律责任 研究生签名： 熬交日期：2 1 立：生 学位论文使用授权声明 苏州大学、中国科学技术信息研究所、国家图书馆、清华大学论 文合作部、中国社科院文献信息情报中心有权保留本人所送交学位论 文的复印件和电子文档，可以采用影印、缩印或其他复制手段保存论 文。本人电子文档的内容和纸质论文的内容相一致。除在保密期内的 保密论文外，允许论文被查阅和借阅，可以公布( 包括刊登) 论文的 全都或部分内容。论文的公布( 包括刊登) 授权苏州大学学位办办理 研究生签名： 熬塑日期：2 【趁：丝 导师签 期： 堑主挡塞篮恳重金埕瞳焦丕盟置 量l 直 引言 近年来，档案信息化进程不断加快，数字档案信息已经成为档案管理部门的重要 信息资源之一。随着网络与信息系统的基础性、全局性作用同益增强，档案部门对网 络和信息系统的依赖性也越来越大，因而关于数字档案信息安全的诸多问题也日渐突 出。 当前，档案网络与信息系统防御能力弱的情况依然存在，档案管理人员的数字档 案信息安全的保障意识淡薄，缺乏相关的法律法规和标准支持。因此，我们必须清醒 地认识到，档案信息化建设的快速发展，已经对数字档案信息安全保障工作提出t ! i i e 常迫切的要求，如果数字档案信息安全的保障问题解决不好，不仅会拖档案信息化的 后腿，还会影响到国家信息安全保障体系的建设。因此，如何建设数字档案信息安全 保障体系已经成为当前一个亟需解决的问题。 目前，对数字档案信息安全保障体系方面的研究还比较零散，对数字档案信息安 全保障体系的外部条件、内在规律的理论研究也不够深入、系统和全面，这就决定了 对数字档案信息安全保障体系进行研究是一个崭新的课题。作者借鉴信息安全领域内 的晟佳实践，结合档案管理工作实际，综合运用档案学、信息安全学以及风险管理、 信息技术等多学科理论、知识、技术和方法，对数字档案信息安全保障体系建设问题 进行综合性、系统性研究，在论述了数字档案信息安全保障体系构成的基础上，对数 字档案信息安全保障体系建设中的法制保障、标准保障、技术保障、管理保障以及人 才保障五个关键性问题进行探讨，以求抛砖引玉，并求教于同仁。 熬主塑塞焦息塞全埕睦焦丞班窥 筮= 重缝i 幺 第一章绪论 随着现代信息技术的飞速发展，信息化浪潮席卷全球，引起了社会经济结构、生 产方式和消费结构的重大变化，深亥峨h 改变着世界的面貌。信息化正在给社会、经济、 科技等各个方面带来巨大的影响，数字信息正在以超乎人们想象的速度增长和发展 着，越来越多的信息和文献以数字化的形式被生产和存储。例如，。清华大学图书馆 的本地存储数据截至2 0 0 4 年己超过3 t b 。”。特别是在互联网上更是充斥着大量的数 字信息，以至于人们把互联网上的数字信息的迅猛增长比作“信息爆炸”。 档案不仅仅是历史的见证依据，真实的记录了历史，同时更是一种十分重要的信 息资源，是关系国民经济和社会发展的重要战略资源。席卷全球的信息化对档案信息 安全保障工作产生了巨大的影响，信息技术在档案管理中的广泛应用导致当代档案管 理观念和思想产生了翻天覆地的变化，档案管理手段和方式数字化、网络化，档案信 息载体呈现多元化，档案信息安全问题日渐突出，档案信息安全保障难度加大，因而 对档案工作者业务素质的要求也越来越高。随着档案信息载体的多元化和电子文件数 量的迅猛增长，一个不容忽视的问题即数字档案信息的安全保障问题摆在了我们的面 前，数字档案信息的安全保障问题已成为数字档案馆和其他数字信息系统的战略问题 之一。 “保障档案信息安全是档案工作的生命线。”数字档案信息是档案信息的一种重 要类型。不可否认，构建一个数字档案信息安全的保障体系，确保现在产生的各种数 字档案信息都能得到保存且可以随时提取，是当前信息化环境下数字档案信息安全保 障体系建设必须考虑的问题之一。从本质上讲，长久保存实时的、完整的、动态的数 字档案信息，“除了满足当代人的信息需求之外，更满足未来用户了解当前社会现状、 研究当前社会发展历史经验的需求，并且起到传承民族与人类文化的作用。” 本章对 数字档案信息及其特点，数字档案信息安全保障体系的内涵、目标、任务、原则及面 临的主要问题进行探讨。 o 任平欧洲数字信息长期保存研究及其启示 j 大学图书馆学报，2 0 0 5 ( 4 ) p 2 6l t b l l 0 2 4 g 作者洼 。宗文萍档案信息安全保障体系建设研究 j 档案学运讯，2 0 0 8 0 ) p 2 1 。韩毅、邓小昭、杨晓琼擞字信息资源长期保存系统的几个理论问题探讨 j 图书情报工作，2 0 0 4 ( 6 ) 1 5 1 熬皇挡塞值恳童全埕睦缝苤鲤宜筮= 童结琶 第一节数字档案信息及其特点 数字档案信息是指以数字符号的形式出现的可管理和可利用的档案信息，它既可 以是数字形式的档案信息，如电子文件、c a d i 程图纸、集文字声音图像等为一体的 多媒体信息，也可以是馆藏的纸质档案经过数字化加工后形成的音频、视频、图像等 数字信息，同时“又可能是档案管理部门在工作过程中形成的方便检索、方便查询、 方便统计的档案目录信息”。 不管是原生的数字档案信息，还是经过数字化的档案信息，目前，其载体主要是 磁盘、光盘、磁带等，对读取设备有绝对的依赖性。同时，对保存环境的要求也很高。 所有这些，决定了数字档案信息具有如下的特点： 一，数字档案信息对计算机设备的依赖性 数字档案信息从传输、存储到显示都是通过计算机实现，计算机是生成数字档案 信息的前提和基础，离开了计算机的软硬件条件，人工不可能将数字档案信息存储到 存储介质上，也不可能识别存储在存储介质上的数字档案信息。因此数字档案信息对 计算机及其相关设备具有绝对的依赖性。 二、数字档案信息的不安全性 除了数字档案信息对计算机设备的极强依赖性之外，处在系统网络中的数字档案 信息表现出的不安全性明显。网络安全的薄弱性是不可忽视的，计算机网络系统并不 安全，有时会出现某些隐患，从而使数字档案信息化为乌有。另外计算机病毒的威胁、 黑客攻击、误操作、信息失真等因素都会造成数字档案信息丢失的问题，带来难以估 量的损失。这些都意味着确保数字档案信息的保密性、完整性、真实性和可用性极富 挑战。 三、数字档案信息存储格式的复杂多样性 纸质文件主要承载文字和图形信息，数字档案信息的构成形态则是多变的。为了 使用信息的方便性、直观性与参考性，随着计算机技术的发展，人们创建了大量形态 的数字信息，比如图像、音频、视频，这些信息可以单独或者结合起来构成数字档案 信息的内容，这就是数字档案信息存储格式的复杂多样性。 四、数字档案信息对标准的依赖性 。薛四新、陈永生数字化档案信息的真实性保障 j 档案与建设，2 0 0 5 ( 6 ) p 6 3 熬主挡塞篮总童盒握鹾娃基班究 箍= 童结j 幺 在数字档案信息的形成与管理中使用标准，有助于数字档案信息在存取与保存时 的完整性。标准的使用不仅有利于数字档案信息的科学管理，同时，遵守与使用标准 还便于数字档案信息随技术的发展在新、旧数字平台间转换，这将直接降低保存数字 档案信息的费用。因为，随着技术的发展，数字档案信息在新、旧数字平台间的转换 是通过不同的标准与规范进行的，如果数字档案信息按标准进行管理，就会减少数据 格式变换的频率。格式变换、数据迁移的频率减少，所需的费用自然就降低了。 五、数字档案信息的海量性 “海量”这个形容词已经不足以说明数字档案信息的数量。“2 0 0 2 年中，全球由 纸张、胶片以及磁、光存储介质所记录的信息产生总量达到五万兆字节，约等于1 9 9 9 年全球信息量的两倍。”。以我国的馆藏档案为例，资料显示：“我国馆藏的录音、录 像、影片档案6 8 3 1 4 7 盘，磁带1 8 0 4 6 7 盘、磁盘3 8 9 3 1 张、光盘1 7 6 1 l 张。”。数字档案信 息数量之巨，管中窥豹，可见一斑。 第二节数字档案信息安全保障体系的内涵 数字档案信息是随着计算机网络技术、数字技术以及多媒体技术等在档案及其管 理、利用诸环节中的不断发展而衍生的一种新事物。数字档案信息越来越广泛地存在 于科研、教育、政府管理、企业经营的运作环境中，以越来越快的速度、越来越大的 生产量让数字档案信息的储存管理机构感受到了保障数字档案信息安全的前所未有 的压力。 数字档案信息安全保障体系涉及多个方面，需要由可靠的技术措施和完善的管理 制度来保证数字档案信息安全。建立和完善符合我国国情、并与国际接轨的数字档案 信息安全保障体系，对于确保数字档案信息安全，提供数字档案信息利用服务，促进 档案信息化建设的可持续发展，都具有极其重要的意义。 一、数字档案信息安全保障体系的含义 数字档案信息安全保障体系就是国家和档案部门针对数字档案信息安全保障技 术发展状况和各档案管理部门的实际情况，依照相关法律法规和相关标准执行的有关 的各项管理活动的总和，它包括的内容非常广泛，涉及法制保障、标准保障、管理保 障、技术保障和人才保障等方面，是一个动态的数字档案信息安全保障体系。建立该 。宗文萍论信息时代的档案信息安全保障档案学通讯 jl2 0 0 4 ( 6 ) p 6 0 o 中华人民共和国国家档案局全国档案馆工作概况 e w o l ，h t t p ：w w w s a a e g o v e n 4 熬主挡塞信息譬全埕睦挂丕班宜 噩= 重缝j 幺 体系是一项复杂而庞大的系统工程。 数字档案信息安全保障体系主要由五个基础层面的内容构成，即法制保障、标准 保障、管理保障、技术保障和人才保障。前四者是整个体系的四大法宝，后者是整个 体系的支撑，是支撑四大法宝的关键。管理保障是数字档案信息安全保障体系的核心， 法制保障是保障数字档案信息安全保障体系建设的手段，标准保障是数字档案信息安 全保障体系的基础，技术保障是数字档案信息安全保障体系的支撑，人才保障是数字 档案信息安全保障体系的关键和智力支持。这五个保障相辅相成，建立数字档案信息 安全保障体系要从这五个方面出发，来综合考虑数字档案信息安全问题。 二、数字档案信息安全保障体系的基本内容 数字档案信息安全保障体系的基本内容主要包括以下五个方面： 1 、数字档案信息安全保障体系的法制保障。这是保障数字档案信息安全保障体 系建设的手段。数字档案信息安全保障体系的法制保障是数字档案信息安全保障体系 的重要组成部分，是国家和档案部门进行宏观管理的重要手段。数字档案信息安全保 障体系的建设及应用，是一个庞大的复杂过程，如果没有配套的法律和制度，就不可 能构造出一个完善、可行的数字档案信息安全保障体系。 在我国数字档案信息安全保障体系的建设中，法制保障是必不可少的一环。数字 档案信息安全保障的基本原则和基本制度、数字档案信息安全相关行为的规范、违反 数字档案信息安全保障行为的处罚等等，都是通过相关法律法规予以明确的。有了一 个完善的数字档案信息安全法制保障，有了相应的严格司法、严格执法的保障环境， 有了广大档案管理部门对法律法规的遵守及应尽义务的履行，才可能创造出良好的保 障数字档案信息安全的环境，推进数字档案信息安全保障体系建设的安全、平稳进行。 2 、数字档案信息安全保障体系的标准保障。标准保障是数字档案信息安全保障 体系的重要组成部分，是数字档案信息安全保障体系的基础。俗话说，没有规矩不成 方圆，数字档案信息安全保障工作尤其如此。数字档案信息安全标准不仅关系到数字 档案信息的安全，同时也是促进档案信息化建设发展的一种重要手段。在我国加入世 界贸易组织后，遵循w t o 规则，积极采用国际标准，加快与国际接轨的步伐，这些， 都对标准保障工作提出了更新和更高的要求。 在互联网飞速发展的今天，数字档案信息安全问题不容忽视。我们要以档案信息 堑兰挡基信息耋全埕臣佳丕型 荭蓥= 童缝记 化建设来促进数字档案信息安全的标准保障工作，积极推动数字档案信息安全标准保 障工作发展。我们同时也应意识到，数字档案信息安全标准保障工作将是一项艰巨的、 长期的基础性工作，需要以一种科学的、高效的、积极的、务实的方法来实现这一目 标。 3 、数字档案信息安全保障体系的技术保障。这是数字档案信息安全保障体系的 支撑。数字档案信息安全保障体系的安全技术涉及仿真技术、拷贝技术、迁移技术、 再生性保护技术、数据加密技术、反病毒技术、身份认证技术、访问控制技术、审计 与监控技术等多种现代信息安全技术。由于技术本身的局限性普遍存在使得数字档案 信息的真实性与完整性受到影响，我们只有利用多种技术，相互补充、相互结合，从 不同角度、不同层次来解决数字档案信息安全保障问题，才能构筑起一道数字档案信 息的安全屏障。 4 、数字档案信息安全保障体系的管理保障。这是数字档案信息安全保障体系的 核心。作者认为，首先，要建立相应的安全管理机构；其次，需要根据档案管理部门 的实际情况，明确安全计划并制定相应的安全策略；再次，要对现有的数字档案信息 系统进行安全评估；最后，要充分认识到数字档案信息安全管理是一个动态的过程， 必须分阶段的对安全策略进行评价与调整。 管理是保障数字档案信息安全的重要手段，仅仅依靠技术不能获得整体的安全， 需要有效的管理来支持和补充，才能确保技术发挥其应有的作用，真正实现整体的安 全。而责任不明、管理混乱、管理制度不健全及缺乏可操作性等都可能引起数字档案 信息安全管理的风险。据统计，“我国公安部门破获的网络入侵案件中，9 0 以上都可 以通过加强管理来避免。”。数字档案信息管理就是以数字档案信息安全为目的，采取 管理措施，对数字档案信息实行有效管理，确保数字档案信息安全，即“完整、准确、 有效和可用。”o 5 、数字档案信息安全保障体系的人才保障。人才保障是数字档案信息安全保障 体系建设的关键和智力支持没有人才就没有档案事业的发展，没有人才就没有一切。 构建数字档案信息安全保障体系，就必须培养造就一大批与之相适应的人才队伍，提 供强有力的智力支持。数字档案信息安全保障人才的培养是关键因素之一，其安全意 。宗文萍论信息时代的档案信息安全保障 j 档案学通讯，2 0 0 4 ( 6 ) p 6 2 。杨玉莲档案信息安全管理的深思考 j 黑龙江史志，2 0 0 6 ( 4 ) p 5 8 6 熬芏毡塞信星塞金送睫住丕鲤究 笙= 童缝途 识、素质水平、创新能力会直接影响到数字档案信息安全保障体系的建设。目前，我 国档案信息安全人才匮乏，缺少既懂安全管理又懂安全技术的档案工作人员。为了确 保数字档案信息的安全，档案管理部门应采取切实可行的措施，培养更多的适应信息 时代背景下档案工作需要的应用型和复合型相结合的人才，为构建数字档案信息安全 保障体系提供强有力的智力支持。 三、构建数字档案信息安全保障体系的意义 构建完善、可行的数字档案信息安全保障体系对于实现数字档案信息价值，健全 我国档案信息安全保障体系，促进我国档案事业可持续发展起着极其重要的意义。 第一，数字档案信息对记录历史轨迹有重大意义，数字档案信息虽有其不稳定、 不安全的特性，但其价值无法用度量衡来衡量，其宝贵性也是毋庸置疑的。因此，应 该建立数字档案信息安全保障体系来保障其安全。 第二，数字档案信息作为档案信息宝库中的重要信息资源之一，其收集、分类、 存贮和管理的主要目的，除了真实地记录历史轨迹之外，还有就是为档案用户提供数 字档案信息服务，实现数字档案信息的价值。数字档案信息传播、检索方便快捷，有 利于档案信息的利用，这将大大推动档案事业的发展步伐，产生巨大的社会经济效益。 因此，无论从管理层面还是从利用与服务层面上看，建立数字档案信息安全保障体系 都有其积极和重要的意义 第三，主动适应信息社会和信息技术发展的需要。目前档案管理大多遵循的依旧 是传统的档案管理模式。档案人员运用计算机的能力和水平参差不齐，这样就客观地 制约和束缚了档案人员的手脚，当他们面对数字档案信息时，总是觉得不得心不应手。 随着档案信息化建设的日益广泛，档案管理工作也加快了信息化建设的步伐。这一发 展趋势，使得档案管理部门的数字档案信息安全保障工作必须与时俱进、与其同步发 展，积极探索适应社会主义市场经济体制和档案信息管理现代化要求的、符合数字档 案信息安全保障工作发展规律的管理体制和运行机制，逐步实现从管理型向开发利用 型，从公益型向效益型的转变，才能适应经济社会和科技发展的需要。 第四；数字档案信息存储格式的多样性为档案提供了多样化的展示模式，传播利 用效果得到了根本性的改观。传统的纸质档案的载体只能是信息类型中的文字、图形、 简单图像等几种。这相对于现代名目繁多的存储格式来说，其范围是相当狭窄的，这 夔芏挡塞篮星童全埕瞳佳丕班蕴笙= 童缝监 也说明了纸质档案保存范围的局限性。而数字档案信息则集语言、文字、声音、图像、 动画、图表、数据等为一体，使人们的听觉、视觉的审美浑然一致。可见，数字档案 信息有多样化的展示模式，传播利用的效果将产生档案史上的巨大革命。可以这么说， 保障数字档案信息安全的意义只有在信息时代才展现得如此淋漓尽致。 第三节数字档案信息安全保障体系建设的目标、任务和原则 一、数字档案信息安全保障体系建设的目标 数字档案信息安全保障体系建设的基本目标是在配套完善、科学合理的相关数字 档案信息安全的法律法规和标准保障下，利用相关档案信息安全技术，通过数字档案 信息安全管理，有效地遏制来自外部和内部的风险，增强安全防护能力和隐患发现能 力，确保数字档案信息内容和数字档案信息载体的安全，达到数字档案信息所需的安 全级别。 二、数字档案信息安全保障体系建设的任务 数字档案信息安全保障体系建设的主要任务是保障数字档案信息的使用安全和 信息载体的运行安全，同时健全数字档案信息安全保障体系的法制保障、规范标准保 障、完善管理保障、革新技术保障和培育人才保障。 三、数字档案信息安全保障体系建设的原则 如前文所述，建立数字档案信息安全保障体系是一项复杂而庞大的系统工程，该 体系的建设应遵循如下基本原则： l 、法制指导原则 数字档案信息安全保障体系的建设应该在相关的法律法规指导下进行，并为数字 档案信息安全保障体系建设的目标服务。 2 、注重实效原则 没有必要追求成本高昂的安全，只要注重实效，将风险降至可接受的范围之内即 可，绝对的安全是不存在的。 3 、自主创新原则 加强数字档案信息安全保障方面的关键技术的研发，密切跟踪国际先进技术的发 展，提高自主创新能力，努力做到扬长避短，为我所用。 4 、成熟技术原则 堑主些塞焦息童金埕瞳往丞班荭 箍= 重蕴趁 “成熟的技术提供可靠的安全保证，即加速推进成熟技术的应用与推广扩散原 则。”回 5 、整体均衡原则 进行全面均衡的保护，要提高“安全最低点”的安全性能，保障各个层面防护的 均衡。 6 、动态发展原则 数字档案信息安全保障体系的建设不是一个一劳永逸的工作，而是一个长期的不 断完善的过程，所以该体系要能够随着安全技术的发展、外部环境的变化、安全目标 的调整而不断升级发展，在具体工作实践中不断提炼、扩展、运用和巩固，只有这样， 出现问题时才能够处变不惊。 第四节数字档案信息安全保障体系建设面临的主要问题 国家和档案管理部门十分重视数字档案信息安全保障问题，特别是近些年来，先 后制定了一系列措施，有力地促进了我国的数字档案信息安全保障体系建设工作，数 字档案信息安全保障体系的建设环境得到了较大改善。 但是数字档案信息安全保障体系的建设仍然面临着种种困难和障碍，不容忽视。 只有清楚地认识到面临的主要问题，才能有的放矢，推动数字档案信息安全保障体系 的建设。习前，我国数字档案信息安全保障体系建设面临的主要问题有： 一、保障意识问题 目前，我国国民的数字档案信息安全保障意识还很淡薄，数字档案信息安全保障 这一重大问题，也只是在档案管理行业内部引起重视，除此之外，广大公众知之甚少， 毫无感觉。他们在频繁的使用、查找数字档案信息的同时却没有明显的感受到那些现 在存在的数字档案信息可能会消失。即便是档案管理人员也缺乏保障意识。虽然现在 很多档案管理人员对数字档案信息安全保障有着清醒的认识，但也仅仅是把它当作档 案馆或档案室的责任，没有主动的探讨或者进行研究。档案从业人员保障意识的缺乏， 导致数字档案信息安全保障工作的理论和实践都缺乏坚实的基础。 二、资金问题 数字档案信息数量庞大，又极大程度的依赖于计算机及其各种相关设备。一旦开 。张波主编电子商务安全 m 上海：华东理工大学出版社，2 0 0 6 8 p 2 8 1 9 煞：挡塞篮基筵全握睫佳丕盟宜 噩= 童缝盐 始实施数字档案信息安全保障工作，就需要长期的、持续的进行。而且，数字档案信 息安全保障工作并不是一种能立竿见影产生经济效益的活动，作者认为，从经济学角 度来讲，它属于一项公益活动。庞大的数字档案信息需要大量设备来存储，需要许多 专业人员来维护，随着信息安全技术的发展，还要对相关技术进行研究，这些都需要 不菲的资会。 三、法制问题 近年来，我国相继出台了一些与数字档案信息安全保障体系相关的法律法规。但 从整体来看，尚不能给解决数字档案信息安全保障体系建设面临的复杂问题提供有效 的法律依据。数字档案信息安全保障体系建设面临着严峻的法制挑战，缺乏相关的数 字档案信息安全保障体系的法律法规。 中华人民共和国档案法于1 9 8 7 年9 月5 日 第六届全国人民代表大会常务委员会第二十二次会议通过，根据1 9 9 6 年7 月5 日第 八届全国人民代表大会常务委员会第二十次会议关于修改( 中华人民共和国档案法) 的决定修正。这部法律由于其滞后性，还是一部主要规范纸质档案的法律，显然不 合乎时代发展的要求。但是因为法律制订的特殊性，需要一个较长的周期，相对于保 障数字档案信息安全的紧迫性，这种较长的周期是一个很严重的问题。 四、技术问题 信息技术的快速发展，也使数字档案信息安全在技术层面面临许多问题。一方面， 信息安全技术的发展解决了一些数字档案信息安全保障问题。另一方面，信息技术的 发展又为数字档案信息安全保障带来了新的问题，又需要信息安全技术的更进一步发 展。，。 数字签名、数字水印等，是常见的数字档案信息的识别和鉴别采用的技术，丽这 些技术每一种都各有优缺点，选用一种还是几种? 多种技术的互相配套机制如何? 这 些问题都有待进一步解决。 五、管理问题 目前在我国数字档案信息安全管理中主要存在着以下问题：首先是数字档案信息 安全管理的水平比较落后，管理制度不够健全，档案部门大多都制定了档案信息安全 管理制度，但有些是为了应付检查而定，互相抄袭的多，结合本单位、本部门、本应 用系统制定的少，致使执行起来困难，制度与管理工作脱节。其次是虽然数字档案信 1 0 熬空挡筮蜃息窒全埕睡佳丞旦 盔 星= 重绮论 息安全评估工作得到了一定的重视和开展，但是安全评估和风险管理水平不商，缺乏 自身研发的管理与分析工具。再次是日常操作不够规范，一是岗位、职责范围划分不 明确，业务操作权限混乱，有越岗、代岗现象。二是操作人员擅自修改计算机软硬件 设雹，在计算机上安装、使用与业务无关的软件，容易造成操作系统、业务程序的瘫 痪。三是重要业务系统的计算机密码未定期更换或设置过于简单，使得非操作人员极 易进入应用系统，随意操作计算机，容易造成系统数据的丢失。有的重要业务系统岗 位的操作人员由于缺乏安全知识，存在“有什么问题由网络管理员管”的依赖思想， 没有充分认识到不规范操作所产生的严重危害，容易违规操作。 六、人才问题 保障数字档案信息的安全，人是第一要素。数字档案信息安全保障体系的建设需 要一批既熟悉计算机知识又熟悉档案业务的复合型人才，但是目前档案部门很难吸纳 到这样的人才。此外，档案专业人才严重外流，现有档案队伍整体素质较低、知识陈 旧，大多数档案管理部门在挖掘本部门数字档案信息安全保障人才方面的工作不到 位，没有进行有效、专业且有针对性的指导，未能给予足够的重视与投入，档案专业 关于数字档案信息安全保障的相应的课程体系还不够完善等现状都制约着数字档案 信息安全保障体系的建设。 此外，在实际的数字档案信息安全保障体系建设过程中，档案管理部门的行为和 观念还存在着诸多的误区。 一、重视安全技术，轻视安全管理 有些人认为只要采用了防火墙、入侵检测、漏洞扫描、防病毒等安全技术，系统 就安全了，这是不正确的，使用安全技术只是部分内容，而要得到一个真正安全的 数字档案信息安全保障环境，并不是靠采用几种成熟可靠的安全技术就可以实现的。 二、重视外部安全，轻视内部安全 数字档案信息安全风险不仅来自外部，还来自内部，而后者则更容易被忽略。有 些人认为应该把安全的重点放在对外部的防范上，从两轻视了对内部网络的安全防 范。其实，来自内部的安全威胁事件的比例远远高于来自外部的安全威胁事件的比例， 主要表现在内部人员滥用互联网、非授权访问、操作使用不当等等，这些都可能给档 案管理部门造成巨大的损失。除了常见的由电子邮件引发的安全问题之外，u 盘的使 墼j 三挡塞奄盛宣全握瞳焦丕班发 篷= 童缝盈 用也成为了新的，除了软驱和光驱之外的内部接入漏洞。 三、重视产品功能，轻视人的因素 一种安全产品的可靠性，安全性固然是越强越好，但是过分地强调产品的功能， 却忽略人的因素，其结果会限制产品功能的发挥，甚至会留有安全漏洞，给恶意攻击 者留下了可乘之机。因此，在数字档案信息安全保障体系中，人的因素起到了重要的 作用，要充分重视人的因素对数字档案信息安全造成的影响。 錾兰撞蕉篮基童全堡煎链丞鲢蕴 箍三重煞主担塞盏星窒垒握睦挂垂笪选劁堡瞳 第二章数字档案信息安全保障体系的法制保障 法制保障是建设数字档案信息安全保障体系的重要手段，只有建立完善的数字档 案信息安全法制体系，才能做到有法可依、有法必依、执法必严、违法必究。在保障 数字档案信息安全的各项工作中，必须加强法制管理，充分运用法律手段，规范档案管 理人员的数字档案信息安全保障工作。把保障数字档案信息安全的各项工作纳入法制 化、规范化的轨道。同时，为了增强档案部门的服务意识，必须要有法制的保障，进 而提高档案管理部门对数字档案信息安全保障工作的管理水平，促进档案信息化的发 展。本章对我国数字档案信息安全保障体系相关法律和法制保障在数字档案信息安全 保障体系建设中的作用进行探讨，并提出了完善法制保障的措施。 第一节我国数字档案信息安全保障体系相关法律 我国的数字档案信息安全保障体系建设首先从根本上要遵循中华人民共和国宪 法。 一、国家法律 目前，我国与数字档案信息安全保障体系相关的国家法律包括：中华人民共和 国档案法、中华人民共和国档案法实施办法、中华人民共和国著作权法、中华 人民共和国电子签名法、全国人大常委会关于维护互联网安全的决定等。 二、行政法规 我国制订和颁布了一系列与数字档案信息安全相关的法规，包括：中华人民共 和国计算机信息系统安全保护条例、计算机软件保护条例、中华人民共和国计算 机信息网络国际联网管理暂行办法等。 三、部门规章 除了国家档案局出台的行业规章，包括：电子公文归档与管理办法、档案管 理软件功能要求暂行规定、磁性物质档案管理和保护规范等，我国其他有关主管 部门和组织也发布了部分与数字档案信息安全保障有关的规章，比如公安部出台了 计算机信息系统安全专用产品检测和销售许可证管理办法、计算机信息网络国际 联网安全保护管理办法、计算机病毒防治产品评级准则、中华人民共和国公共安 全行业标准一计算机信息系统安全专用产品分类原则、中华人民共和国计算机信息 系统安全保护条例等法规。国家保密局出台了计算机信息系统国际联网保密管理 煞主挡塞值皇塞全埕瞠l 生丞鲤壅 墨= 重熬芏撞塞篮恳童垒馐瞠住丕曲选趔埕瞠 规定，等等。 第二节法制保障在数字档案信息安全保障体系建设中的作用及完善法 制保障的措施 现代档案事业在信息化建设中，越来越表现出对法律法规的依赖。对档案工作中 各种社会关系的协调，都要依靠法律法规来保障。档案工作中的各种业务规范、操作 程序的执行，都要靠制度、章程的实旋来实现。“从大的方面来看，一个文明进步的 社会必定是一个法制健全的社会。代表2 l 世纪发展方向的档案事业必定是社会化、 信息化、法制化相统一的文明的社会事业。”。 在我国数字档案信息安全保障体系的建设中，法制保障是必不可少的一环，完备 的数字档案信息安全法律法规是有效地保障数字档案信息安全保障体系建设的重要 手段。数字档案信息安全保障的基本原则和基本制度、数字档案信息安全相关行为的 规范、违反数字档案信息安全保障行为的处罚等等，都是通过相关法律法规予以明确 的。有了一个完善的数字档案信息安全法制保障，有了相应的严格司法、严格执法的 保障环境，有了广大档案管理部门对法律法规的遵守及应尽义务的履行，才可能创造 良好的保障数字档案信息安全的法律环境，保障档案信息化事业的平稳、安全进行。 近年来，我国相继出台了一些与数字档案信息安全保障相关的行政法规。但从整 体来看，尚不能给解决数字档案信息安全保障体系建设面临的复杂问题提供有效的法 律依据，因此要进一步完善我国数字档案信息安全保障体系的法律保障，作者认为应 当做到以下几点： 一、修订档案基本法 目前，有必要将修订中华人民共和国档案法纳入我国的立法规划工作。在修 订时，应对数字化档案作出明确、具体的规定，将以磁性物质和激光为主要介质的数 字化档案纳入法律规范。通过立法对电子文件归档和电子档案管理、已公开现行文件 利用中心建设、违法责任的追究等方面的问题加以完善解决。 总而言之，“一部经得起实践检验并不断完善的档案法是档案事业持续健康发展 。王萍、宋雪雁编著电子档案管理基础e m ，北京：清华大学出版社，2 0 0 6 2 p 2 嘶 1 4 熬芏塑塞篮星窒全堡瞳挂丕塑蕴簋= 重筮芏趟基值星童垒堡瞠i 圭丕盟鎏趔堡醒 的根本保障，更是以人为本的时代要求。” 二、循序渐进制订相关法律 数字档案信息安全保障体系的建设需要国家层面的大力支持，因此法律上的保障 必须解决。任何法律的产生，都需要实践的检验。技术本身在飞速发展，很多问题又 都在动态之中。因此，目前要想制订完整全面的数字档案信息安全保障的法规体系， 应首先开展立法的各项准备工作，在实践中摸索，在发展中完善。“不具备制定法律 条件的可以先搞行政法规：不具备行政法规条件的，可以先搞部门规章或者制定一些 引导性政策，经过实践检验之后再通过立法程序纳入法规体系。”。缩短法律制定与实 践之间的距离，这样才能保证法律对实践的有效调节。应该成立相应的机构，对我国 数字档案信息安全保障相关法律体系进行全方位规划、设计、实施监督与协调，以保 证立法的质量和速度，又好又快、全方位构建数字档案信息安全保障法律体系。 此外，应对现有的相关法律法规进行修订，根据数字档案信息安全保障的客观要 求对现有与数字档案信息安全保障体系相关的法规和部门规章进行修订。 三、严格依法办事 在完善数字档案信息安全保障法律法规的同时，要加大执法力度，严格执法，否 则，相关的法律法规只能是一纸空文，根本没有约束力，对构建数字档案信息安全保 障体系的作用不大。 四、相关法律的制订要具超前意识 信息安全技术日新月异，数字档案信息安全保障体系相关法律的制订不应仅仅是 被动地适应形势的需要，在数字档案信息安全保障体系建设中，更多地还应“表现为 对技术的主动性和前瞻性，为技术的发展和完善预留空间，排除可能窒息技术发展的 可能性，提高法律自身对信息社会的适应性。”o 五、积极借鉴吸收国外相关立法经验 数字档案信息安全保障体系的立法要借鉴国外成功的立法经验，要注意和国际接 轨。国外在数字档案信息安全保障方面的一些成功的经验和做法，我们应当积极努力 学习、借鉴和吸收。我们在制定具有我国特色的政策法规时，在不失我国原则的前提 。评论员文章举全国之力做好档案法修改这篇大文章 j 中国档案，2 0 0 7 ( 3 ) p 6 毒黄萃国外信息政策法规对我国电子文件立法的启示 j 北京档案，2 0 0 1 ( 8 ) p 2 5 霉李曙光电子政务信息保障问题研究 d 湘潭：湘潭大学，2 0 0 4 5 熬主挡塞篮星塞垒堡登丝丕翌宜 蓥：三童熬主熊塞篮显窒全埕缝缝垂盟鎏劁堡整 下，应尽量向国际规则靠拢，从一开始就能和国际接轨，避免走弯路。但也不能完全 照搬外国的做法，必须结合我国国情，坚持从实际出发，走有中国特色的发展道路。 总之，我们要积极争取国家有关部门的法律政策支持，根据档案部门的实际情况， 制订新的和改进现有的相关法律政策，避免法制保障成为数字档案信息安全保障体系 建设的“阿基琉斯之踵。”。 。希腊神话中最勇武的英雄阿基琉斯，他刀枪不入，惟一致命的弱点就是他的脚踵作者注 1 6 塑主挡塞篮恳窒垒埕瞪佳丕班究差三茎熬呈挡差篮基塞全握瞠往丞鳆捱蕉堡睡 第三章数字档案信息安全保障体系的标准保障 标准保障是数字档案信息安全保障体系的重要组成部分。“在信息化社会，标准 化是实现互联互通、资源共享、业务协同的基石。”9 档案信息安全标准是一种多学科、 综合性、规范性很强的标准，其目的在于保证档案信息系统的安全运行、保证利用者 和设备操作人员的人身安全。一个完整、统一先进的标准保障是十分重要的。面对 新技术、新业务的迅速发展，制定数字档案信息安全标准，对保证数字档案信息系统 的安全与保密起着重要作用。本章对我国数字档案信息安全保障体系相关标准、标准 保障在数字档案信息安全保障体系建设中的作用和数字档案信息安全保障体系标准 保障的构成进行探讨。 第一节我国数字档案信息安全保障体系相关标准 自档案工作标准化领导小组组建及全国档案工作标准化技术委员会成立以来，在 国家标准化行政管理部门的领导下，在各级档案机构的支持下，在广大档案工作者的 共同努力下，共制定了多项国家标准、档案工作行业标准和地方标准。这些标准的覆 盖面涉及档案的整理、保管、利用和现代化管理，初步构筑起我国档案标准化体系， 其中涉及数字档案信息安全保障体系的相关标准有： 一、国家标准 ( c a d 电子文件光盘存储、归档与档案管理要求第一部分：电子文件归档与档 案管理( g b t 1 7 6 7 8 1 1 9 9 9 ) ，1 9 9 9 年2 月2 6 日批准，1 9 9 9 年1 0 月1 日实施，该 标准规定了c a d 生成的电子文件收集、积累、整理、鉴定、归档与档案管理的一般 要求。适用于光盘存储c a d 产生的电子文件及电子档案。将已归档的纸质文件、图 纸输入光盘的情况不属本标准范围，但可参照该标准中的规定。 c a d 电子文件光盘存储、归档与档案管理要求第二部分：光盘信息组织结构 ( g b f i 1 7 6 7 8 2 - 1 9 9 9 ) ，1 9 9 9 年2 月2 6 日批准，1 9 9 9 年1 0 月1 日实施，该标准主要 解决光盘中存储信息的兼容性问题，光盘档案存储管理系统的开发要遵守这一标准， 以保证写入光盘的信息在不同的光盘存档管理系统中都能够读出。 c a d 电子文件光盘存储归档的一致性测试( g b t 1 7 6 7 9 1 9 9 9 ) ，1 9 9 9 年2 月 。向立文档案数字化建设中若干问题的研究 d 湘潭：湘潭大学，2 0 0 4 4 p 1 6 1 7 堑主挡襄篮息童全毽鲤佳丞盟嚣 箍三童墼芏拦基篮星塞垒堡睦佳丕盥拯蕉埕瞪 2 6 日批准，1 9 9 9 年l o 月l 开实施，该标准主要解决c a d 光盘存储系统是否符合标 准的问题。按照该标准的要求，c a d 光盘存储系统应该通过有关测试实验室的测试。 电子文件归档与管理规范( g b 厂r1 8 8 9 4 2 0 0 2 ) ，2 0 0 2 年1 2 月4 日发布，2 0 0 3 年5 月1 日实施，该标准规定了在公务活动中产生的，具有保存价值的电子文件的形 成、积累、归档、保管、利用、统计的一般方法。适用于党政机关产生的电子文件的 归档与管理，其他社会组织的电子文件管理可参照该标准。 二、行业标准 磁性载体档案管理与保护规范( d a t1 5 1 9 9 5 ) ，1 9 9 6 年3 月1 日发布，1 9 9 6 年l o 月1 日实施。该标准规定了对磁性载体文件的积累、归档要求和磁性载体档案 的管理、存储与保护等诸环节的要求。适用于磁性载体文件和档案的管理与保护，不 适用于计算机光盘、激光视盘和唱盘。 纸质档案数字化技术规范，( d j v r3 1 2 0 0 5 ) 2 0 0 5 年4 月3 0 日发布，2 0 0 5 年 9 月1 日实施。该标准规定了纸质档案数字化的主要技术要求。适用于采用各种设备 对纸质档案的数