從風險管理的視角探討電子文件安全管理問題

如今，風險管理已經是信息安全保障工作的一個主流范式。信息安全防范工作越來越基于風險管理。①把風險管理與電子文件聯系起來絕不是理論研究上的攀拉與附會，而是每一個與電子文件打交道的人，特別是文件、檔案管理者無法回避的視角和觀念。②基于上述兩點考慮，筆者認為，從信息安全風險管理的視角來審視電子文件的安全管理問題是十分有意義，通過對風險管理與安全管理關系的認識，我們可以更加深入地了解到當前電子文件安全管理存在的問題，進一步認清電子文件安全管理工作存在的不足之處和改進方向。

一、風險管理與安全管理關系的認識

在分析電子文件安全管理的問題之前，我們應該要加強對風險管理與安全管理關系的認識。而要真正認清兩者之間的關系，首先，要對風險與安全有深刻的認識。在新華字典中，對風險的釋義是“危險；遭受損失、傷害、不利或毀滅的可能性。”對安全的釋義是“不受威脅，沒有危險、危害、損失。”從兩者的釋義中，我們不難看出風險與安全是有密切關系的，都是通過與“危險、危害、損失”的關系來體現的，但這并不是說風險就意味著不安全，這跟人們日常的理解可能有出入，在大多數人看來，風險就是安全的對立面，風險的存在就意味著安全事故的發生，這種理解是不準確的。風險其實主要強調的是“可能性”，而“可能性”就意味著風險的發生可能會引起安全事故，造成危險、危害或損失，也可能不會。另外，還必須認識的是風險包含威脅和機會兩層含義，即風險造成的影響包括消極的威脅和積極的機會兩面，而不僅指傳統意義的威脅。威脅與機會的轉換關鍵是在于平衡安全、成本和效率之間的關系。正如電子文件的網絡化利用，可能比傳統紙質化利用面臨的風險要大得多，但不能因為風險大就不利用電子文件，之所以電子文件網絡化利用迅速發展，關鍵在網絡化利用給檔案工作帶來的機會更大，利用成本更低、利用效率更高。其次，要對風險管理與安全管理有深刻的認識。風險管理是指管理組織對可能遇到的風險進行計劃、識別、評估、應對、監控的全過程，是以科學的管理方法實現最大安全保障的實踐活動的總稱。③風險管理主要通過風險評估來識別風險的大小，通過制定信息安全方針，采取適當的控制目標與控制方式對風險進行控制，使風險被避免、轉移或降至一個可被接受的水平。應該說，風險管理本身就是安全管理一部分，而且是核心組成部分，它既是一種安全指導思想，同時也是一種安全實踐方式。安全管理只有在風險管理正確、全面地了解和理解安全風險后，才能決定如何處理安全風險，從而在安全的投資、安全措施的選擇、安全保障體系的建設等問題中做出合理的決策。基于風險管理的安全管理體系就是將風險管理自始至終貫穿于整個安全管理體系中，這種體系并不能完全消除安全的風險，只是盡量減少風險，將攻擊造成損失的降低到最低限度，從而達到安全風險、成本與效率的平衡。

二、從風險管理的視角探討電子文件安全管理問題

（一）缺乏科學的安全管理理論與方法指導

信息安全風險管理是解決如何確切掌握信息及其依賴信息系統的安全程度、分析安全威脅來自何方、安全風險有多大，加強信息安全保障工作應采取哪些措施，要投入多少人力、財力和物力，確定已采取的信息安全措施是否有效以及提出按照相應信息安全等級進行安全建設和管理的依據等一系列具體問題的重要指導理論和方法。從這個視角來看文檔工作我們會發現，一直以來，文件、檔案安全管理工作都是沿襲傳統檔案載體保護工作來開展，以此形成的相關理論也是以傳統檔案載體研究為基礎的，隨著電子文件的出現，傳統以檔案載體保護為核心的檔案安全管理理論就很難適用于電子文件的安全管理。雖然檔案部門也對電子文件安全管理做過很多理論探討，提出“前端控制思想”、“全程管理思想”、“文件連續體理論”、“后保管時代”、“文件運動理論模型”等理論來強化電子文件的安全管理，但不可否認的是，這些理論并不是專門的安全管理理論，很難在電子文件安全管理上取得實質性效果，由此指導的電子文件安全管理工作存在種種疑難點，如電子文件安全事故衡量標準是什么？如何選擇安全產品？安全控制全面嗎？是否冗余？是否達到預期效果？安全等級如何劃分？安全代價如何衡量？這些疑難點的出現，歸根到底就是因為現階段的電子文件安全管理工作缺乏科學的安全管理理論與方法指導。

（二）對安全管理的認識存在偏差

信息安全風險管理提倡的是一種適度安全，即風險是絕對的，安全就是在綜合考慮成本與效益的前提下，通過安全措施來控制風險，使殘余風險降低到可接受的程度；同時也強調樹立風險意識，并通過風險的大小來度量信息的安全性，將“信息”提升到“資產”的高度來進行安全管理。然而，傳統電子文件安全管理對此認識卻存在偏差。

1、追求絕對的安全。一直以來由于檔案部門缺乏安全風險意識，總是想找到絕對安全的方法和措施來追求檔案各安全屬性（如保密性、完整性、可用性、真實性、不可否認性、可追究性和可讀性等）的絕對安全。然而，從理論上講，風險是絕對的，安全是相對的；風險是永恒的，安全是暫時的。而電子文件安全管理工作從本質上來講，也就是風險管理工作。電子文件的每個安全屬性都有相應的保證級別作為其強度的測量尺度，在實踐中追求各安全屬性的絕對安全，并不能達到最佳安全效果，也是不切實際的。同樣，從信息安全保密的實踐歷史來講，安全保密是一個動態過程，安全事件是一種隨機事件，很難做到百分之百安全。祈求“絕對安全”將在人力物力上付出極大代價，造成嚴重浪費。因此，檔案部門將安全管理目標定位于“系統絕對安全、數據永不丟失，檔案永不泄密，電子文件萬無一失”，那是永遠不可能的！

2、風險意識薄弱，對安全風險認識存在偏差。一些安全管理人員風險意識淡薄，信息安全知識不足，卻津津樂道“太平盛世”，雙耳不聞“盛世危言”，甚至認為，談風險是“杞人憂天”，說安全是“天下本無事，庸人自擾之”，根本沒有從風險管理的角度來度量電子文件的安全性。這些都嚴重影響了正確認識安全形勢和樹立科學的電子文件安全風險觀。

3、忽視了對“資產”評估鑒定。從目前情況看，文件、檔案管理部門雖都認識到電子文件的重要性，但絕大多數部門只是將電子文件作為日常辦公的一種輔助幫助，并沒有將電子文件提升到“資產”高度來管理，就更談不上對“資產”進行評估鑒定。然而，從安全管理角度講，一個組織系統內的資產在沒有被評估鑒定前，是不可能成功實施安全管理并進行維護的。④

（三）管理環節不完善

信息安全風險管理強調對信息系統生命周期的全過程管理，包括一個完整的風險管理環節：風險計劃的制訂、風險識別、風險評估、風險應對、風險監控。從這個視角來看，當前電子文件安全管理存在明顯的薄弱環節。首先，安全管理計劃缺乏依據。現有的電子文件安全管理計劃的制訂，絕大多數是憑借個人經驗或者參照其他管理部門計劃來制定的，而不是依據風險應對、風險監控實際情況來制訂的，具有很大的盲目性。其次，缺乏關鍵的風險評估環節。風險評估是電子文件安全管理的基礎和關鍵環節。沒有風險評估，電子文件的安全管理就會成為無源之水、無本之木，缺乏決策行動的依據與方向，由此而引發的安全管理措施就具有很大的盲目性。雖然大部分管理部門強調采取各種措施來確保電子文件“萬無一失”，但大多是“人云亦云”，進行簡單的跟風或對安全產品與技術進行簡單地堆疊，沒有針對性。對于引起本組織電子文件風險的因素沒有深入探究，甚至談不上什么了解，對于所采取的應對措施更談不上什么研究，對其用途更是“知其然，不知其所以然”，最終在風險來臨之時，不能有效地控制風險。最后，安全監控力度有限。電子文件是動態存在的，其安全現狀也是隨時在變化的。在采取安全措施后，還必須強化電子文件全生命周期的風險監控，實時監視殘余風險、識別新風險，執行風險應對計劃，以及評估這些工作的有效性。然而現有的電子文件安全監控力度十分有限，絕大部分是局限于電子文件載體的溫濕度控制，而不是對整個生命周期的殘余風險、新風險的監控。

（四）缺乏系統性和動態性

信息安全風險管理基于系統、全面、科學的安全風險評估，強調對信息的全過程、動態控制，對信息進行系統化安全管理，使安全風險發生的概率和結果降低到可接受的范圍，從而實現系統安全的動態平衡。傳統的電子文件安全管理，一方面，絕大多數是針對電子文件載體本身的安全管理，采取的是往往單一的安全管理措施，對于電子文件的安全管理容易出現“頭痛醫頭，腳痛醫腳”的弊病，最終還是不能避免電子文件風險的發生。⑤雖然在理論上我們強調要收集全電子文件相關的背景、結構信息，但具體實踐中由于沒有科學界定電子文件安全管理范圍，其背景、結構信息也就難以收集齊全，自然安全管理工作就不系統。另一方面，忽視整個電子文件保管環境的安全管理。電子文件保護的過程是一個復雜的過程，對于其自身及其所依賴信息環境的保護是一個系統性工程。從風險管理的角度講，電子文件的安全管理不僅要對電子文件自身所面臨的風險進行管理，更重要的是對其依賴的信息系統風險進行綜合管理。而這點是傳統電子文件管理所被忽視的，傳統的安全管理大都是從電子文件本身風險因素出發而制定安全措施的，這很難在電子文件安全管理上取得實質性效果。此外，值得注意的是，傳統的電子文件安全管理大多是靜態地管理，更多的是實踐經驗的總結與應用，一般將文件按其形成過程分成若干階段，分析各階段潛在的風險因素，從而制定相應的對策。從表面上看，這種方法也適合電子文件安全管理，但畢竟是以靜態的眼光來分析風險，各個階段的安全管理工作缺乏必要和有機的聯系，沒有將各階段的安全工作、工序和風險因素統一起來進行綜合考慮，很難應對日益復雜、嚴峻的電子文件安全問題。

（五）忽視了對安全風險、成本和效率的權衡

信息安全風險管理宗旨之一，就是在綜合成本和效率的前提下，找到安全風險、安全成本與效率之間平衡點，通過安全措施來控制風險，使殘余風險降低到可接受的范圍。安全風險、安全成本與效率的關系如下圖所示：

安全風險、安全成本與效率關系示意圖

從圖中我們可以看出，只有當安全風險與安全成本控制達到平衡點時，安全效率才能達到最佳效果。實際上，絕對的安全是沒有的，電子文件的安全管理也不是“越安全越好”。不同部門不同種類的電子文件，對于安全的需求是不同的；同一份電子文件其安全保密性超出安全保密的管理需求不但沒有必要，而且還會造成資金上的浪費。正如一扇門配幾把鎖取決于門內放的東西的重要程度，鎖越多，門的安全成本也就越高，而門的使用效率就越低。然而，當前的電子文件管理重安全，卻忽視了對安全、成本和效益的綜合權衡。很多文件、檔案管理部門在沒有對本部門安全現狀和安全需求進行認真分析的基礎上，為了追求安全就不惜成本盲目地追求新的安全產品與技術，結果采用了一大批新安全產品與技術，卻收效甚微，造成資金的嚴重浪費。此外，由于我國一直以來強調以縱深防御體系設計作為安全管理的核心，這種防御體系強化安全管理的縱向層次和深度，側重安全管理的宏觀指導，但在指導安全管理的具體實踐方面，缺乏科學依據和方法，無法對電子文件的安全風險進行度量，自然就無法權衡電子文件的安全、成本和效益，結果在實際的電子文件安全管理工作中，安全投入成了一個無底洞，安全管理成本經常是遠遠高于電子文件所帶來的效益，最終安全管理失去原有的意義。

三、結論

傳統的電子文件安全管理基本上還處于在一個局部的、靜態的、少數人負責的、突擊式、事后糾正的管理方式，導致的結果是不能從根本上避免降低各類風險，也不可能降低電子文件安全事故導致的綜合損失。而基于風險管理的電子文件安全管理體系是一個系統化、程序化和文件化的管理體系，基于系統、全面、動態、科學的安全風險評估，體現預防控制為主的思想，強調遵守國家有關信息安全原則前提下合理選擇控制方式以保護電子文件，使電子文件安全風險的發生概率和結果降低到可接受的水平。這種管理體系更加適合于電子文件的安全管理，因此，文件、檔案管理部門應盡快建立自身的電子文件風險管理體系。

注釋：

1、吳世忠：《信息風險管理動態與動態與趨向》，《計算機安全》2007年第4期。

2、馮惠玲：《論電子文件的風險管理》，《檔案學通訊》2005年第3期。

3、 陳國云：《檔案信息建設的風險管理》，《檔案管理》2008年第1期。

4、柳純錄：《信息系統項目管理師教程》，北京：清華大學出版社，2005：582。

5、王強：《電子檔案風險管理研究》，《優秀碩士論文》2007年8月。

作者單位：廣西民族大學管理學院