論云時代危害我國檔案信息資源共享的安全因素

孫慧

摘 要：從“云”的視角出發，在分析影響我國檔案信息資源共享的安全問題產生原因基礎上，探析影響我國檔案信息資源的安全因素，主要包括環境信息安全因素、系統信息安全因素、網絡信息安全因素和管理信息安全，這四個因素相互作用、互相滲透共同影響我國的檔案信息資源共享工作。通過以上研究，以期本文可以為深入推進云環境下我國檔案信息資源共享工作提供啟示或參考。

關鍵詞：檔案信息資源；信息安全；共享；“云”時代

云時代，信息共享是云計算的基礎[1]，共享的前提須整合大量有價值的信息，檔案信息資源的海量存儲又依賴云技術，因此“云”和“共享”是互為依存的關系。檔案信息資源的社會共享使檔案的價值從靜態轉化為動態，最大限度地挖掘檔案的蘊藏價值、提高檔案的利用效率和擴大檔案的利用范圍。在2017年6月的全國檔案安全工作會議上，李明華提出“檔案安全是檔案事業的根基”[2]，強調檔案安全對檔案利用工作的重要性。在云環境下如果沒有正確處理好檔案信息資源的開放共享和安全保密之間的關系，小則侵犯個人知識產權、隱私權，大則危害國家信息安全、損害國家利益[3]。而安全體系建設是我國檔案事業發展的三大體系之一。

1 影響我國檔案信息資源共享的安全問題的產生原因

云環境下檔案信息資源共享的安全風險的來源歸根結底來自兩方面要素，一是人員，二是技術。由于云時代信息技術發展較快，沒有先進的安全技術作支撐難以防范黑客們無孔不入的網絡攻擊。

但是比起技術要素，對人員的防范永遠是擺在第一位的。例如，2007年發生了震驚英國上下的“2500萬英國人敏感信息丟失” 事件，導火線就是英國稅務局的一名小小的辦事員所犯的差錯，將兩張數據光盤用簡單的平郵方式寄往審計局，中途遺失。該光盤中存放著包括英國首相布朗、內閣部長等名人政要在內的占英國人口一半以上的身份信息和銀行資料，使得約2500萬人面臨著受欺詐的風險。

2 云時代危害檔案信息資源共享的安全因素

如何推動檔案信息資源云平臺可持續機制的構建，其中必不可少的重要前提就是要破除檔案信息資源共享的安全風險，保證共享檔案信息資源較高的安全性。

2.1 環境信息安全因素

檔案信息資源共享數據中心的機房建設存在環境安全風險，威脅的主要發生形式包括物理環境問題（基建、斷電、消防、靜電、供電、制冷、潮濕、環保、灰塵等方面存在缺陷）和自然災害（洪災、火災、地震等）。二者以最直接的方式給數據中心造成毀滅性的破壞，且本身難以提前準確預測。

2.2 系統信息安全因素

系統安全風險包括硬件系統風險和應用系統風險。硬件系統風險包括網絡、服務器、終端設備、存儲設備等損壞、故障、老化風險。應用系統風險包括業務應用安全操作系統架構、應用安全系統功能、應用安全系統性能等方面，不完備、設計存在缺陷。“云”共享系統復雜性、登錄用戶的動態性、共享平臺服務的多樣性、檔案信息更新的頻繁性使得共享的檔案信息資源的安全性、保密性、完整性、可用性易受到破壞[4]。

2.3 網絡信息安全因素

計算機網絡缺乏安全設施防護，防火墻、防病毒、攻防技術等技術不規范。無法確保搭建共享“云”平臺的服務商提供可靠的信息存儲服務，當“云”平臺發生數據災難時，可能會給沒有經過備份的檔案信息資源可能帶來不可挽回的損失[5]。

2.3.1 云時代網絡攻擊嚴重

外部不法分子的安全風險主要有兩方面，具體包括外部惡意人為和外部非惡意人為[6]。檔案網絡信息安全風險來自多方面的影響，其中網絡惡意攻擊現象嚴重，“云”服務商在“云”主機上部署的Web應用程序容易遭到來自外部不法分子的惡意攻擊。

例如以大數據關聯分析技術為基點的APT攻擊，是一種有特定攻擊對象，有計劃的長期性隱蔽網絡攻擊行為。最著名的案例是發生于2010年的“震網”APT破壞伊朗位于共享內網中的核工業控制系統，成功阻止了伊朗核計劃的實施[7]。

2.3.2 檔案傳輸易遭受黑客侵襲

在搭建共享平臺之前，需要將全國范圍內的檔案信息資源進行集中統一存儲，在選定合適的云存儲設備建設地點后，各部門需要進行大規模的信息傳輸。但是在傳輸過程中，不可避免地會有不法分子乘機竊取重要檔案信息，以謀私利。但是各部門對安全傳輸的投入不同，不乏大量部門缺乏安全有效的傳輸保密手段，給不法分子以可乘之機，使得黑客竊取篡改關鍵檔案信息宛如探囊取物，造成經過傳輸后的檔案信息內容不完整、不真實，無法提供法律憑證作用。實現全國范圍內的檔案信息資源共享，給社會信息用戶提供一個開放共享的信息查閱平臺，首先必須借助現代信息技術完成海量檔案信息資源的邏輯整合[8]。在邏輯整合過程中，大規模的檔案信息在傳輸過程中易遭到網絡嗅探器（Sniffer）等工具的捕獲，被黑客盜取敏感資料。

例如2013年震驚世界的“棱鏡事件”，斯諾登揭露美國國安局自2017年起運用先進的大數據分析手段實時監聽全球民眾通話和截取各種網絡私密瀏覽信息，而中國是遭受“棱鏡”網絡侵害的重災區[9]。

2.4 管理信息安全因素

實踐證明，要真正落實信息安全不能僅僅依靠技術手段，還要采取系統有效的安全管理制度和安全運維管理，強化制度規范的執行力，避免出現“重系統建設，輕運維管理”的弊病。

2.4.1 對突發安全事件處理不當

一旦發生安全事故，如遇地震、火災、洪災等情況，還有日常保管方面遇到的意外事故，缺乏一個有針對性的規范有效的處理流程。一旦遭遇意外事故檔案人員可能對被損毀的共享數據缺乏數據恢復能力，造成共享平臺暫時無法提供必要的信息服務，破壞已經樹立的檔案共享的便民利民形象，降低社會公眾對檔案共享的信心。

2.4.2 對相關標準的劃分不清晰

在對檔案用戶管理權限的設置上，對哪些檔案信息資源可以開放共享，哪些檔案信息資源只對部分特殊檔案用戶可見并沒有劃出明確界限，導致一些外部不法分子可以越權訪問加密存儲的檔案資源，竊取甚至篡改和破壞關鍵或隱私檔案信息[10]。

2.4.3 對內部檔案人員監控不足

內部工作人員的安全風險主要有兩方面，具體包括內部惡意人為、內部非惡意人為[11]。內部非惡意的人為的現象表現為一些內部檔案工作人員的安全意識差，對信息安全問題不夠重視。對一些硬件設備和重要文件不及時進行加密處理，設置加密密碼過于簡單且長期不更換。隨著檔案信息資源的社會共享的進程加快，檔案信息資源逐漸融入公共領域，但是部分檔案工作人員仍缺乏法治思維。特別對一些文件的加密處理上。

參考文獻

[1]周美蘭.大數據時代高校檔案資源體系建設的思考[J].山西檔案，2015（01）：70.

[2]國家檔案局關于印發李明華同志在全國檔案安全工作會議上的講話的通知[EB/OL].http：//www.saac.gov.cn/news/2017-06/26/content_192040.htm.

[3]龐美燕.從檔案屬性角度談檔案信息資源共享問題[J].廣西民族大學學報（哲學社會科學版），2007（S1）：276.

[4]馬曉亭，陳臣.云安全2.0技術體系下數字圖書館信息資源安全威脅與對策研究[J].現代情報，2011，31（03）：63.

[5]馬曉亭，陳臣.云安全2.0技術體系下數字圖書館信息資源安全威脅與對策研究[J].現代情報，2011，31（03）：63.

[6]周知，呂美嬌.云服務中的數字學術信息資源安全風險防范[J].數字圖書館論壇，2017（07）：16.

[7]戴玲，楊玉龍.人事檔案資源共享的風險及對策[J].蘭臺世界，2017（01）：57.

[8]陳永生.政府信息資源整合共享研究——從國家檔案館的角度[J].檔案學研究，2010（01）：46.

[9]張大偉.“棱鏡”給信息時代的檔案安全敲響了警鐘[J].上海檔案，2013（07）：3.

[10]李曉萌.大數據背景下企業檔案信息資源共建共享研究[D].黑龍江大學，2017：37.

[11]周知，呂美嬌.云服務中的數字學術信息資源安全風險防范[J].數字圖書館論壇，2017（07）：16.