2000年~2011年我國檔案安全保障體系研究綜述

摘 要：依據2000年至2011年我國檔案安全保障體系的研究成果，從檔案安全保障體系的內涵、構建目標和指導思想、建設原則及構建檔案安全保障體系的方案設計等方面，進行了分析、歸納、提煉和總結。

關鍵詞：檔案安全；保障體系；研究綜述

2010年5月12日，國家檔案局楊冬權局長在全國檔案安全系統建設工作會議上提出“建立確保檔案安全保密的檔案安全體系，全面提升檔案部門的安全保障能力”的號召，把檔案安全的重要性提升到一個新高度。[1]近年來，檔案安全保障體系研究已引起學界的關注，成為較熱的一個研究課題。我們課題組也在做檔案安全保障體系的研究，筆者期望對學者以往的研究做以歸納提煉，以資研究探索。

筆者于2011年12月22日，在萬方數據庫中，以“檔案安全保障體系”為檢索詞，起始年“2000”，結束年“2011”檢索到論文84篇。在維普中文科技期刊數據庫搜索到與“檔案安全保障體系”相關內容論文20篇，筆者對其中相關度較高的文章進行了分析研究，綜述如下：

1 檔案安全保障體系的內涵

檔案安全保障體系的建設具有持續性、多樣化、可完善性等特點，是一項復雜的系統工程。構建檔案安全保障體系的前提是分析檔案安全保障體系的理論定位與實際應用的關系。

張美芳、王良城認為，目前，國內外關于檔案安全保障體系的理解大致有三層含義：其一，控制環境，降低風險。這里的“環境”，是指檔案保管環境、物理環境、社會環境、信息存儲環境等，降低環境因素對檔案安全的影響，最大可能降低風險。其二，建立安全保障平臺，采取安全防護措施，使檔案盡可能保持穩定狀態。其三，對已經處于不安全環境中的檔案，采取各種措施使其達到新的穩定狀態，保存其信息的可讀、可用和可藏。這三層含義包括檔案安全保障體系中社會因素、管理體制、組織體系、策略、政策法規、安全保障技術或安全保護效果的評價等較為宏觀的要素。[2]

2 檔案安全保障體系的構建目標和指導思想

2.1 構建目標。彭遠明認為，檔案安全保障體系建設的總體目標是：針對檔案的安全需求、管理現狀和存在問題進行安全風險分析，提出解決方案和預期目標，制定安全保護策略，形成集預測、保管、利用、搶救一體化的保障體系。[3]楊安蓮認為，檔案安全保障體系的構建目標應該是：采取全面、科學、系統的安全保障策略，保證檔案信息的安全性、完整性和可用性，杜絕敏感信息、秘密信息和重要數據的泄密隱患，確保檔案信息的全面安全。[4]

2.2 指導思想。彭遠明認為，構建檔案安全保障體系的指導思想是：在體系內合理進行安全區域劃分，以應用和實效為主導，管理與技術為支撐，結合法規、制度、體制、組織管理，明確等級保護實施辦法，確保檔案的安全。[5]張美芳、王良城認為，檔案安全保障體系建設的指導思想應是：堅持嚴格保護、有效管理、分類指導、合理利用，以健全法律法規、提高人員素質、加強規劃管理、完善基礎條件、強化監管手段為重點，立足當前，著眼長遠，加快體制機制創新，加強統籌協調，全面增強檔案資源保護力度，推動我國檔案事業持續健康發展。[6]

3 檔案安全保障體系的建設原則

檔案安全保障體系的構建應該根據檔案安全現狀及其面臨的威脅與隱患，從檔案安全保障工作的整體和全局的視角進行規范，在構建過程中應該遵循一定的原則。彭遠明、張艷欣、楊安蓮、黃昌瑛、張勇等都提出了檔案安全保障體系的建設原則，筆者采用統計歸納的方法，從中提煉出以下共性原則：

3.1 標準規范原則。檔案安全保障體系的建構和策略的選擇必須符合我國現行法律、法規的規定要求，必須遵循國際、國家的相關標準，嚴格遵照相關規章制度。[7][8]

3.2 科學實用原則。檔案安全保障體系應在充分調查研究的基礎上，以檔案安全風險分析結果為依據，探尋有針對性的特色理論，制定出科學的防范措施與方法，這些理論、措施與方法應當在實踐層面上具有可操作性。[9][10][11]

3.3 全面監控原則。檔案安全保障工作是一個系統工程，需要對各個環節進行統一的綜合考慮、規劃和構架，任何環節的安全缺陷都會造成對檔案安全的威脅。[12]

3.4 適度經濟原則。根據檔案的涉密等級決定建立什么水平的防范體系，根據風險評估和各單位的財力、物力決定資金投入的多少及如何分配使用資金，將資金用在最迫切的地方。既要考慮到系統的可操作性，又要保證安全保密機制的規模與性能滿足需要，實現安全保護效率與經濟效益兼顧。[13][14][15]

3.5 動態發展原則。檔案安全保障體系的建設是一個長期的不斷完善的過程，所以，該體系要能夠隨著安全技術的發展、外部環境的變化、安全目標的調整，不斷調整安全策略，改進和完善檔案安全的方法與手段，應對不斷變化的檔案安全環境。[16][17][18][19]

3.6 自主創新原則。加強檔案安全保障方面的關鍵技術的研發，密切跟蹤國際先進技術的發展，提高自主創新能力，努力做到揚長避短，為我所用。[20][21]

4 構建檔案安全保障體系的方案設計分析

許多學者對檔案安全保障體系的建設方案提出了自己的設想，他們從不同的角度切入問題，得出不同的結論，筆者根據學者的研究成果，總結出一套較為完善的檔案安全保障體系方案。

4.1 安全管理理論。理論從實踐中取得并能指導實踐，為實踐指明前進的方向。在先進理論的指導下，實踐往往能取得較好的成果，理論水平的高低因此也往往預示著現實中該領域的水平高低。

4.1.1 前端控制。前端控制思想具體到安全保障活動中是：檔案安全保障的標準化的建設與應用；為開展安全保障活動而制定的計劃方案、普查活動；人員配置合理和技術力量的前期儲備、設備的選擇和環境的控制、整個預防性安全保障活動的監督、檢查和評估；為妥善保管檔案而選擇的裝具、包裝等；事先制訂的應急預案、搶救預案，等等。[22]

4.1.2 全程管理。全程管理是伴隨著檔案的生命周期而開展的一切安全保障管理活動。[23]包括日常維護、災難備份、利用與服務、恢復與搶救、質量檢查與評估、風險預測，等等。[24]

4.1.3 后期監督。后期監督包括安全保障活動的評估、人員技術水平的評估、財政結算、開展安全保障活動后的總結報告、制度、規范或標準的完善、提供參考性的開展安全保障活動的經驗、方法或模式。[25]

4.1.4 風險管理。構建檔案安全的風險管理機制，依次進行安全風險計劃制訂、風險評估、風險控制、風險報告以及風險反饋。通過評估風險，識別判定風險大小，判定每種風險相對的檔案安全保護對策，并通過一定的方式方法進行風險控制，規避、轉移或降低風險對檔案造成的損害。[26][27]

4.1.5 人才教育培養。樹立科學的人才培養觀，建立科學合理的檔案安全人才培養體系，建立系統的人才資源培訓和貯備機制，加大人才培養的力度。[28]做到“有計劃、有重點、分層次、分類型、多形式、多途徑”地開展檔案安全人才的教育和培養。[29]

4.2 安全基礎設施

4.2.1 實體安全基礎設施。檔案實體安全基礎設施是指維護檔案安全、實施檔案正常管理、保障檔案開發利用，提供為全社會方便服務等工作而進行的基礎建設，包括檔案保管環境、檔案存儲設施、檔案利用設備、檔案維護監控設備、檔案搶救與恢復設施等。[30]

4.2.2 信息安全基礎設施。檔案信息安全基礎設施是為信息安全服務的公共設施，為檔案部門的安全保障體系建設提供支撐和服務，主要包括：檔案信息系統PKI（網絡信任體系）、檔案信息災備中心、檔案信息系統應急響應支援中心、檔案信息安全測評認證中心、檔案信息安全服務中心（外包服務）、檔案信息安全執法中心等。[31]

4.3 安全策略

4.3.1 實體安全策略。實體安全必須具備環境安全、設備安全和介質安全等物理支撐環境，注重環境防范、設備監控、介質管理、技術維護等安全措施的完善，消除安全隱患，確保檔案安全。[32]

4.3.2 管理安全策略。針對檔案安全的管理需求，在完善人員管理、資源管理、利用服務、重點部位維護、災害防范、突發事件應急處置、專業人才教育培訓的基礎上，建立健全安全管理機制和制度，并結合管理技術，形成一套比較完備的檔案安全管理保障體系。[33][34]

4.3.3 網絡系統安全策略。強化操作系統、數據庫服務系統的漏洞修補和安全加固，對關鍵業務的服務器建立嚴格的審核機制；合理劃分安全域及邊界，建立有效的訪問控制制度；通過實施數據源隱藏，結構化和縱深化區域防御消防黑客入侵、非法訪問、系統缺陷、病毒等安全隱患，保證檔案系統的持續、穩定、可靠運行。[35][36][37]

4.4 安全技術。技術是影響檔案安全的關鍵因素，檔案安全技術是多方面、多層次的，包含預防、保護、修復和維護等技術，可以有效保證檔案安全。

4.4.1 基于實體的保護技術。主要有：①各類檔案載體的管理與保護技術；②檔案損壞的測試與評估技術；③受損檔案的修復技術。[38]

4.4.2 基于環境的防護技術。主要有：①庫房建筑標準與圍護結構功能的設計、施工和實施；②檔案保管的設備設施和有效裝具；③檔案庫房和利用環境的監測技術；④溫濕度調節與控制技術；⑤有害因素的控制和防護技術。[39]

4.4.3 基于信息的安全技術。主要有：①系統安全技術：操作系統安全和安全審計技術等；②數據安全技術：數據加密技術、應急響應技術、數據備份與容災技術、基于內容的信息安全技術和數據庫安全技術等；③網絡安全技術：防火墻技術、防病毒技術、漏洞掃描技術、入侵檢測技術、物理隔離技術、代理服務技術、網絡監控技術和虛擬網技術等；④用戶安全技術：身份認證技術、數字簽名技術和訪問控制技術等。[40]

4.4.4 基于災害的保護技術。主要有：①災害的預警與防范技術；②檔案災害的應急處置技術；③檔案次生危害的防范技術；④災后受損檔案的搶救與恢復技術。[41]

4.5 安全法規制度。完善的檔案安全法律法規和制度是保障檔案安全的基石，只有不斷制定和完善檔案安全法規制度，才能做到有法可依、違法必究，才能更好地維護檔案的安全。[42]

4.5.1 制定并遵循法規標準。各地方應根據國家標準，結合本地區、本系統、本單位的具體情況，制定相應的規范和標準，以使檔案安全管理規范化和標準化。[43]

4.5.2 建立健全檔案安全管理制度。包括：檔案歸檔安全制度、檔案整理安全制度、檔案查閱利用安全制度、檔案日常管理維護制度、檔案保密制度、檔案信息安全管理制度、檔案鑒定和銷毀制度、檔案資料出入庫管理制度以及重要檔案異地、異質備份制度；[44]受損檔案搶救制度、電子檔案信息安全制度以及檔案安全行政責任制等。

4.5.3 建立完善檔案安全管理機制。包括：信息交換機制、法律保障機制、日常防范機制、災害預警機制、應急處置機制、[45]組織建設機制、制度建設機制、風險管理機制、人員管理機制等。

4.6 安全保護效果評價。對檔案安全保障體系評價的目的，是對檔案安全保障體系的有效性進行評估。[46]首先，確定待評價系統的范圍，選擇適當的評價方法，確定適當的評價指標。然后，收集有關數據進行統計分析，得出評價結果，再進行持續改進，以不斷提高檔案安全保障體系及其具體過程中的有效性和效率。[47]

4.6.1 評價方法。根據被評價對象本身的特性，在遵循客觀性、可操作性和有效性原則的基礎上選擇合適的評價方法。目前，存在的綜合評價方法有：屬性融為一體評價方法、模糊綜合評價方法、基于灰色理論的評價方法、基于粗糙集理論的評價方法。[48]

4.6.2 評價指標。根據國內外的檔案安全評估標準，國家對檔案安全的基本要求，綜合考慮影響檔案安全的各種因素，建立檔案安全評價指標體系。包括：①物理安全評價指標：環境安全評價、設備安全評價、載體安全評價；[49]②管理安全評價指標：規章制度評價、工作流程評價、管理措施評價、業務技術評價；③技術安全評價指標：保護技術評價、網絡技術評價。[50]

5 結語

縱觀學者對檔案安全保障體系的研究，研究角度和切入點各有不同，觀點紛呈，但還是缺乏深入、系統的研究，有待于我們進一步思考、探討。

注：本文是河南省檔案局科技項目《檔案安全保障體系現狀調查》（項目編號：2011-B-51）階段性成果之一。

參考文獻：

[1]張照余.對建設檔案安全保障體系的幾點認識[J]. 浙江檔案，2011（1）：36～39.

[2][6][24]張美芳，王良城.檔案安全保障體系建設研究[J].檔案學研究，2010（1）：62～65.

[3][5][7][33][41]彭遠明.檔案安全保障體系構建及其實現策略研究[J].上海檔案，2011（4）：14～17.

[4][12][15]楊安蓮.論電子文件信息安全保障體系的構建[J].檔案學研究，2010（10）：75～78.

[8] [13] [17]張艷欣.檔案安全保障管理機構的構建[J].檔案管理，2010（5）：7～9.

[9][14][16][29]王茹熠.數字檔案信息安全防護對策分析[D].哈爾濱：黑龍江大學，2009.

[10 ][18][19]黃昌瑛.電子檔案信息安全保障策略研究[D]. 福州：福建師范大學，2007.

[11][20][21]張勇.數字檔案信息安全保障體系研究[D].蘇州：蘇州大學，2007.

[22][23][25]張美芳，董麗華，金彤.檔案安全保障體系的構建[J].中國檔案，2010（4）：20～21.

[26]陳國云.從風險管理的視角探討電子文件安全管理問題[J].北京檔案，2008（6）：16～18.

[27]張迎春.檔案安全保障體系研究[D].安徽大學，2011

[28]方國慶.數字檔案信息安全保障體系建設中的問題與策略[J].機電兵船檔案，2010（5）：59～61.

[30]王良城.檔案安全保障體系建設基本任務探析[J].中國檔案，2010（4）：18～19.

[31] [40]項文新.檔案信息安全保障體系框架研究[J].檔案學研究，2010（2）：68～73.

[32][38]許桂清，李映天.檔案信息安全保障體系的建設與思考[J].檔案學研究，2010（3）：54～58.

[34]冉君宜.抓好“五個必須”構建檔案安全保障體系[J].辦公室業務，2010（9）：55～56.

[35]陳慰湧，金更達.數字檔案館系統安全策略研究[J].浙江檔案，2008（7）：21～24.

[36]王凡，朱良兵.檔案安全保障體系建設實踐[J].貴州水力發電，2010（12）：76～78.

[37]周向陽.電子檔案信息安全保障體系建設的研究[J].機電兵船檔案，2010（5）：64～66.

[39]金玉蘭.關于加強檔案安全保障體系建設的思想[J].北京檔案.2010（8）：22～23.

[42]曹書芝.網絡背景下檔案信息的安全保障[J].蘭臺世界，2006（5）：2～3.

[43]宗文萍.基于價值鏈理論的檔案信息安全管理[J].檔案學研究，2005（1）：38～42.

[44]楊冬權.以豐富館藏、提高安全保障能力和公共服務能力為重點，實現檔案館事業跨越——在全國檔案館工作會議上講話[J].檔案學研究，2009（6）：23～29.

[45]卞咸杰.論檔案信息安全保障機制的建立與完善[J].2007（6）：18～20.

[46][50]方婷，吳雁平.檔案安全保障指標體系建設研究[J].檔案管理，2011（6）：12~15.

[47]田淑華.電子檔案信息安全管理研究[D].太原：中北大學，2009.

[48][49]田淑華.電子檔案信息安全評價指標體系研究[J].北京檔案，2009（7）：13~15.

（作者單位：賈兆全，新鄉市檔案局；鞏淑芳，鶴壁職業技術學院 來稿日期：2012-04-17）