政務云環(huán)境中的檔案安全保障生態(tài)模型與策略研究*

何思源，劉越男

1 問題提出

檔案安全是檔案工作的底線和生命線。2009年中央檔案館(國家檔案局)原館(局)長楊冬權在檔案資源體系和檔案利用體系的基礎上首次提出“檔案安全體系”[1]。2014年出臺的《關于加強和改進新形勢下檔案工作的意見》(中辦發(fā)〔2014〕15號)明確了“建立健全確保檔案安全保密的檔案安全體系”[2]路線圖。同年4月，習近平總書記提出總體國家安全觀，推動實施國家網絡空間安全戰(zhàn)略。國家檔案主管部門積極貫徹落實黨和國家政策，持續(xù)強化安全意識，檔案安全管理體系的構建成為落實《檔案法》修訂的重要內容[3]。政務云在賦能檔案事業(yè)發(fā)展的同時，也使檔案資源面臨更嚴峻且復雜多變的安全風險。2020年5月，國家檔案局辦公室發(fā)布《關于檔案部門使用政務云平臺過程中加強檔案信息安全管理的意見》(以下簡稱《意見》)[4]，提出政務云環(huán)境中檔案工作的基本安全要求，作出原則性規(guī)定，明確不能觸碰的“底線”和“紅線”，但尚未涉及更為具體的安全保障策略。

研究者從不同視角探討云環(huán)境中的檔案安全風險消減策略：從檔案主管部門視角，制定并完善云計算與檔案管理的政策、制度和標準規(guī)范[5]，強化對云服務商的外部審計和第三方認證[6]，積極培育、引導和規(guī)范檔案云計算市場[5]等策略；從檔案保管機構視角，提出應用風險評估[7]、完善內部規(guī)范[5]和云服務合同[8-12]、合理選擇云服務商[7，13]和云部署模式[14]、研究新型“云保險”[5]等策略；從云服務商視角，形成符合電子文件管理需求的云服務意識[15]，綜合運用動態(tài)身份認證、存取訪問控制、RS糾刪碼冗余容錯、數據分割與聚合機制[16]等策略。雖然學界做了一定探索，但實踐部門面臨的難題仍難解決，原因在于：第一，現有研究提出的策略較為零散，沒有將檔案云安全保障視為一個有機整體加以系統(tǒng)化構建，未探究保障體系各組成要素之間的互動關系；第二，現有策略多從檔案機構或云服務商的單一視角出發(fā)，忽略檔案機構、云服務商、政務云管理單位等不同主體之間的協(xié)同機制；第三，現有研究籠統(tǒng)地探討“云”，且通常指向公有云環(huán)境，未能對政務云環(huán)境作出細致分析，亦未區(qū)分檔案機構使用政務云服務的不同場景。

針對原因一和二，鑒于生態(tài)系統(tǒng)理論關注各生態(tài)因子之間的相互聯(lián)系和相互作用，其平衡、協(xié)同、共生的核心理念有利于理解檔案上云不同主體之間以及相關主體與體制環(huán)境、制度環(huán)境、市場環(huán)境等外部環(huán)境間的共生演進關系，對提出更為體系化的檔案云安全保障策略具有借鑒價值，故而本文引入生態(tài)系統(tǒng)的視角，探索檔案安全保障體系。針對原因三，本文進一步聚焦政務云環(huán)境，考慮檔案云的多種場景，開展有針對性的研究。綜上，本文構建政務云環(huán)境中的檔案安全保障生態(tài)模型，提出更具體系性和針對性的風險規(guī)避措施和應對策略，旨在為構建與網絡空間安全戰(zhàn)略相適應的檔案安全體系提供參考借鑒。

2 研究設計

2.1 理論視角

本文主要采用生態(tài)系統(tǒng)的理論視角開展研究，在宏觀和微觀兩個層面加以應用。

在宏觀層面，借鑒生態(tài)學領域的自然生態(tài)系統(tǒng)理論來構建檔案安全保障模型。所謂“自然生態(tài)系統(tǒng)”，是指在一定區(qū)域中共同棲居著的所有生物(即生物群落)與其環(huán)境之間由于不斷進行物質循環(huán)和能量流動而形成的統(tǒng)一整體，由物質循環(huán)中的無機物，連接生物和非生物組分的有機化合物，空氣、水和環(huán)境，生產者(自養(yǎng)生物)，消費者(吞噬生物)，分解者(腐生生物)構成[17]，可以為理解和處理檔案機構、云服務商和政務云管理單位之間及相關主體與體制、制度、標準、市場等外部環(huán)境之間的關系提供參考原型，從而為國家層面跨機構、跨部門的協(xié)同配合和環(huán)境優(yōu)化提供指導。

在微觀層面，考慮到檔案機構是檔案云安全保障中最活躍、最關鍵的生態(tài)因子，且圍繞檔案信息資源的收管存用開展工作，可借鑒信息生態(tài)系統(tǒng)的理論框架，將檔案機構視作一個信息生態(tài)系統(tǒng)。所謂信息生態(tài)系統(tǒng)，是指信息自身與生命體及其周圍環(huán)境相互聯(lián)系和相互作用的有機整體[18]。關于其構成要素，主要有兩種說法，一是“三要素說”，即信息、信息人與信息環(huán)境；二是“四要素說”，即在三要素的基礎上增加信息技術[19]，可為處理檔案云安全保障體系中人員、(檔案)資源、技術、環(huán)境等不同要素間的協(xié)調關系提供指導。

2.2 研究方法

本文主要采用調查研究法。在數據收集階段，主要采用訪談法。2020年1月9日至3月4日，筆者對北京、山東、江蘇、河南、內蒙古等地區(qū)12家檔案機構負責人進行半結構化訪談，包括2組焦點小組訪談和10組電話/微信文字訪談，了解政務云中的檔案管理系統(tǒng)建設現狀、安全需求、采取的主要安全保障措施以及對檔案上云安全責任劃分的理解等。選取上述訪談對象的依據主要有三：一是覆蓋綜合檔案館(10個)和機關檔案室(2個)兩種機構類型；二是綜合檔案館覆蓋省級(3個)、地市級(4個)和區(qū)縣級(3個)三個行政層級；三是所選檔案機構正在或有可能使用政務云，且受訪者為該機構的主要負責人或檔案信息化業(yè)務骨干。在訪談過程中，基于生態(tài)系統(tǒng)的視角，將檔案機構、云服務商、政務云管理單位、外部環(huán)境等自然生態(tài)因子以及人員、檔案、技術和環(huán)境等信息生態(tài)要素融入訪談提綱，以盡可能獲取全面準確的數據。

在數據分析階段，主要采用開放式編碼的方式，具體包括四個步驟：一是將訪談錄音轉化為文字轉錄稿，并將訪談記錄分別標記為D1-D12。二是兩位作者逐字逐句閱讀分析文字轉錄稿，對受訪者提到的安全訴求以及應采取的安全保障措施進行開放式編碼，具體編碼示例見表1。三是對比兩份編碼，經協(xié)商討論后形成一致的編碼結果。四是結合生態(tài)系統(tǒng)的視角對編碼結果進行歸并整合，構建適用于政務云環(huán)境的檔案安全保障生態(tài)模型，包括宏觀模型和微觀模型，前者主要借鑒自然生態(tài)系統(tǒng)的理論框架，用于提出國家層面和跨機構跨部門的安全策略；后者主要借鑒信息生態(tài)系統(tǒng)的理論框架，用于提出檔案機構內部的安全策略，具體見表2。

表1 編碼過程示例(以D9為例)

表2 關鍵安全訴求和策略與生態(tài)系統(tǒng)理論框架的對應關系

在訪談數據分析過程中，92%的受訪者提及“明確檔案上云范圍”，使其成為出現頻率最高的安全訴求和策略要求，反映出實踐部門的迫切需求，但“哪些檔案能上云、哪些檔案不能上云”涉及敏感問題，受訪者不愿展開討論，難以通過訪談獲得翔實的數據。因此，為進一步掌握檔案工作者對檔案上云范圍的看法，團隊采用匿名問卷調查補充相關數據，調查對象為我國從事檔案工作的人員，通過問卷星發(fā)布，并借助微信、QQ等社交媒體轉發(fā)，調查時間為2020年2月10-12日，共回收有效問卷128份，利用常規(guī)性統(tǒng)計方法加以分析。

3 宏觀層面的檔案云安全保障生態(tài)模型與策略

政務云環(huán)境中的檔案安全保障是一項復雜的系統(tǒng)工程，涉及的主體和要素較多，但多數現有文獻傾向于分別給檔案機構和云服務商提出建議和要求，忽視了兩者之間的關聯(lián)性。因此，借鑒自然生態(tài)系統(tǒng)的理論框架，基于表2的結果，構建宏觀層面的檔案云安全保障生態(tài)模型，見圖1。該模型重點關注的是主體與環(huán)境之間及各主體間的相互作用，其中安全生態(tài)環(huán)境包括管理體制、法律制度、標準規(guī)范、項目試點、市場引導等，安全保障主體是指承擔檔案安全保障職責的機構，可用生產者、消費者和分解者來形象地理解檔案云安全保障涉及的不同主體間的關系。該模型還區(qū)分了檔案上云的兩種場景。其中，第一種場景是檔案機構(包括檔案館和機關檔案室)將已建設完成的檔案管理系統(tǒng)從本地遷移到政務云，或基于政務云新建檔案管理系統(tǒng)(僅供檔案機構內部使用)；第二種場景是某區(qū)域綜合檔案館在同級檔案主管部門的組織協(xié)調下，建設基于政務云的統(tǒng)一檔案管理系統(tǒng)，包括面向立檔單位的檔案管理系統(tǒng)，以及面向檔案館的數字檔案館系統(tǒng)，分別向同級機關的檔案室和區(qū)域內其他綜合檔案館提供SaaS服務。在不同場景中，生產者、消費者和分解者所指代的主體略有差異。基于宏觀層面的檔案云安全保障生態(tài)模型，針對政務云環(huán)境中的檔案安全問題，提出保障策略。

圖1 宏觀層面的檔案云安全保障生態(tài)模型

3.1 優(yōu)化檔案云安全生態(tài)環(huán)境

(1)順應檔案機構改革趨勢，探索檔案主管部門和檔案保存機構之間的安全協(xié)作機制。2018年以來，各地積極進行檔案機構改革，多數地方實現“局館分設”。有受訪者表示，改革后的檔案主管部門履行行政管理職能，并不承擔保存檔案職責，沒有基于政務云開展檔案管理工作的強烈需求，機構改革后檔案主管部門普遍存在人手不足，卻要承擔四五個處室的職能，包括職稱評定、教育培訓、執(zhí)法檢查、業(yè)務指導、科研成果申報與評審等，且相當一部分工作人員不具備檔案學專業(yè)背景或檔案工作經驗，對政務云環(huán)境中檔案安全風險和規(guī)避策略的態(tài)度較消極。在此情況下，檔案主管部門更要加強與檔案館、機關檔案室的合作和聯(lián)系，就檔案機構應用政務云的安全事宜達成一致認識，加強協(xié)作。

(2)完善法律制度和標準規(guī)范，推動項目試點示范。檔案類數據安全與保密問題更多是政策層面上的[20]。檔案主管部門應在《意見》基礎上，一方面出臺具有操作性的制度規(guī)范，指導檔案機構進行風險識別和評估，為其制定風險應對策略提供參考框架和方法論支撐；另一方面，根據政務云環(huán)境中安全需求層層疊加的情況(檔案安全需求疊加模型見圖2)，在檔案安全制度規(guī)范中充分考慮政務云帶來的安全風險，提出并細化適用于政務云環(huán)境的檔案安全需求。安全需求疊加的理念并非云環(huán)境中的獨特產物，在傳統(tǒng)信息化環(huán)境中已經存在，最典型的是國家檔案局以《信息系統(tǒng)安全等級保護基本要求》(GB/T 22239-2008)為基礎制定的《檔案信息系統(tǒng)安全保護基本要求》(以下簡稱《要求》)，即在信息系統(tǒng)等保要求基礎上提出檔案行業(yè)的特殊性要求。各級檔案主管部門也可從現有實踐做法中選取典型或遴選試點單位，總結提煉其經驗加以推廣，為其他機構實施檔案上云提供規(guī)避風險的經驗。

圖2 政務云環(huán)境中的檔案安全需求疊加模型

(3)強化市場引導，優(yōu)化產業(yè)環(huán)境。檔案主管部門可通過申請審查、專家評定、第三方評價、定期復核、公布清單的方式，為綜合檔案館和機關檔案室選擇系統(tǒng)開發(fā)商和云服務代理商(如系統(tǒng)集成商、安全服務商)提供指導；促進檔案信息技術公司、內容管理軟件企業(yè)服務質量的提升，優(yōu)化系統(tǒng)、平臺、工具等檔案信息化相關產品供給。尤其是在國產化替代方面，多位受訪者表示國產化產品在性價比方面存在不足，安全和性價比之間存在矛盾，相關企業(yè)要在實現安全可靠和自主可控的前提下提高產品功能的完備性和性能的穩(wěn)定性。

3.2 構建良性的檔案主體互動機制

檔案機構、云服務商、政務云管理單位都是檔案云安全生態(tài)的重要組成部分，主體互動機制的構建需要“分合結合”。其中，“分”是關鍵，側重確定清晰的安全責任和職責邊界；“合”是基礎，側重三者之間的溝通與協(xié)作；監(jiān)督與審計是建構三者新型關系的重要方式。

3.2.1 明確各利益相關方及其關系

在場景1中，承擔生產者角色的是云服務商，由于云計算具有復雜性，所以可能存在多家云服務商共同提供服務，或云服務商作為總承包商將其承擔的部分工作發(fā)包給具有相應資質的分包商的情況。承擔消費者角色的是檔案館、機關檔案室等檔案機構。生產者與消費者的關系主要是服務與被服務、監(jiān)督與被監(jiān)督的關系。承擔分解者角色的是政務云管理單位，即政務信息化主管部門，主要負責政務云平臺的采購、審批、監(jiān)督審計等，同時協(xié)調公安、網絡安全等部門做好信息安全保障工作。分解者是溝通的橋梁，一方面接收來自消費者的政務云資源使用申請，進行受理審核；另一方面，通過公開招標選擇合適的生產者。在場景2中，情形大致和場景1相同，只是某區(qū)域的綜合檔案館和云服務商成為共同的服務提供者(即生產者)，區(qū)域內的其他檔案館和同級機關檔案室則作為消費者。

3.2.2 確定清晰的安全責任和職責邊界

(1)區(qū)分“安全責任”和“安全管理職責”概念。各地發(fā)布的政務云管理辦法將兩者混淆表述，但實際上兩者存在差異。前者側重最終安全責任，指向發(fā)生安全事故時的首要追責對象；后者側重安全管理工作的內容或采取的安全保障措施。以綜合檔案館中數字檔案館系統(tǒng)建設外包為例，安全責任主體是檔案館，檔案館和承擔軟件開發(fā)的外包公司按照合同或協(xié)議共同承擔安全管理職責。

(2)確定政務云環(huán)境中的安全責任主體。根據《關于加強黨政部門云計算服務網絡安全管理的意見》提出的“安全管理責任不變”[21]要求，即“網絡安全管理責任不隨服務外包而外包，無論黨政部門數據和業(yè)務是位于內部信息系統(tǒng)還是服務商云計算平臺上，黨政部門始終是網絡安全的最終責任人”，據此可基本判定政務云環(huán)境中的檔案安全責任主體是消費者(即檔案機構)。對于安全責任主體來說，無論實際承擔多少安全管理工作，都必須要嚴格、認真履行自身的監(jiān)督檢查職責。

(3)基于云服務模式劃定安全職責邊界。《信息安全技術 云計算服務安全指南》(GB/T 31167-2014)提供的“服務模式與(客戶)控制范圍的關系”(見圖3)可為安全職責邊界的確定提供參考。根據該標準，無論采用何種服務模式，云服務商都要負責設施、硬件、資源抽象控制層的安全保障，而虛擬化計算資源、軟件平臺、應用軟件的安全職責劃分需根據服務模式、當地的政務云管理辦法、簽訂的云服務合同具體分析。在場景1中，消費者使用的往往是PaaS或IaaS服務，即生產者承擔平臺或基礎設施層以下的安全職責，消費者承擔平臺或應用軟件層以上的安全職責。雖然場景2在實踐中還不多見，但也是未來的重要趨勢。在這種情況下，生產者應負責從硬件基礎設施到應用系統(tǒng)各層面的安全保障，通常來說云服務商承擔平臺層及以下的安全職責，作為共同服務提供者的綜合檔案館承擔應用軟件的安全職責，而消費者則承擔檔案訪問權限設置、使用過程中的安全等方面的職責。

圖3 云服務模式與(客戶)控制范圍的關系[22]

3.2.3 建立跨機構的溝通與協(xié)作機制

(1)政務云管理單位主導的溝通與協(xié)作機制。有受訪者表示當地政務云建設比較混亂，容易影響上云業(yè)務系統(tǒng)之間的互操作性以及業(yè)務系統(tǒng)和數據跨云平臺的可移植性。政務云管理單位要充分發(fā)揮自身統(tǒng)籌協(xié)調的作用，扮演好“協(xié)調員”的角色，建立各黨政機關(包括檔案機構)信息化相關負責人參與的溝通協(xié)作機制，并通過調研等方式清楚理解雙方的訴求和要求，尤其是要增進對消費者個性化安全需求的了解。

(2)檔案機構推動的溝通與協(xié)作機制。一方面，檔案機構應積極和政務云管理單位保持聯(lián)系，建立起對話和交流的渠道，掌握當地政務信息化建設的整體思路。有受訪者強烈建議：“檔案機構一定要積極與政務云管理單位對接，做到前期介入，最好能進入領導小組。”如果是場景2，當地的檔案主管部門和作為共同服務提供者的綜合檔案館還應依托檔案業(yè)務指導機制，在各機關檔案室和其他綜合檔案館之間建立起對話機制，確保用戶能對統(tǒng)一檔案管理系統(tǒng)有更充分的了解，且用戶需求可以反映在最終提供的SaaS服務中。另一方面，檔案機構也要和其他已經上云的單位建立聯(lián)系。例如，有受訪者表示，其所在檔案館就曾調研過省公安廳的上云情況，并在借鑒經驗的基礎上著手實施檔案上云。

兩類不同主體為主的溝通與協(xié)作機制并非截然分開，而應同步推進、相輔相成，政務云管理單位和檔案機構各有優(yōu)勢和側重，只有相互結合，才能實現多元主體的協(xié)同配合，從而更好地應對安全風險。

3.2.4 建立持續(xù)的監(jiān)管與審計機制

在政務云環(huán)境中，監(jiān)管關系是消費者與生產者之間的重要關系，即消費者通過監(jiān)管和審計的手段來防范風險。在正式實施云部署前，檔案機構應對云服務商開展“盡職調查”，盡可能以客觀中立的態(tài)度評估本地政務云平臺的建設情況和安全性能。在上云后，檔案機構可參照《信息安全技術 云計算服務安全指南》(GB/T 31167-2014)、《云計算安全框架》(YD/T 3148-2016)及檔案領域的相關行業(yè)規(guī)范，制定面向政務云環(huán)境的檔案安全監(jiān)管與審計框架，明確安全監(jiān)管和審計的維度和指標。一方面，檔案機構要對政務云環(huán)境中的檔案安全狀況進行審計跟蹤，定期對檔案數據的“四性”進行檢測；另一方面，要通過查閱審計報告、實地調研、聽取匯報、焦點小組訪談等方式，對云服務商是否按約定采取必要的安全管理和技術措施進行持續(xù)的監(jiān)督和審計。具體說來，主要有以下四種方式，一是檔案機構借助政務云平臺提供的安全監(jiān)測和威脅感知工具進行監(jiān)管；二是政務云服務商主動出具安全審計報告，以證明自身的合規(guī)；三是考察第三方機構出具的面向政務云平臺的安全評估報告；四是由政務云管理單位進行監(jiān)管，并定期聯(lián)合消費者(即檔案機構)、信息安全行政主管部門、公安部門或第三方安全測評機構對政務云平臺進行安全風險評估，對云服務商進行合規(guī)性審計。

4 微觀層面的檔案云安全保障生態(tài)模型與策略

在自然界，生物圈是最大的生態(tài)系統(tǒng)，由各種各樣的子生態(tài)系統(tǒng)構成。檔案云安全保障生態(tài)也包含多個小的子生態(tài)系統(tǒng)，其中，檔案機構本身構成了最活躍、最關鍵的子生態(tài)系統(tǒng)。筆者參考借鑒信息生態(tài)系統(tǒng)的理論框架，基于表2的結果，構建微觀層面的檔案云安全保障生態(tài)模型，該系統(tǒng)可被視為宏觀生態(tài)系統(tǒng)的子系統(tǒng)，見圖4。“檔案資源”對應信息生態(tài)系統(tǒng)中的“信息”要素，“檔案工作者”對應“信息人”要素，“組織環(huán)境”對應“信息環(huán)境”要素，“信息技術”直接對應“信息技術”要素。

圖4 微觀層面的檔案云安全保障生態(tài)模型

4.1 實現檔案資源的分級分類，明確檔案上云范圍

在實際工作中，影響檔案上云范圍的因素主要有檔案資源屬性和政務云類型。在檔案資源屬性方面，澳大拉西亞數字文件保管動議(Australasian Digital Recordkeeping Initiative，ADRI)發(fā)布的《云計算中的文件風險管理指南》揭示出決定風險程度的3個檔案資源屬性：文件的內容和主題事項、敏感程度、對業(yè)務的重要性[23]。此外，部分受訪者表示還需考慮檔案資源的形成環(huán)境。因此，可從敏感程度、業(yè)務重要性(主要體現在保管期限上)、形成環(huán)境以及內容和主題等4個維度確定檔案資源的屬性。需說明的是，內容和主題維度包括民生檔案和屬于政府信息公開范圍的檔案，而沒有涉及其他類型檔案，主要是考慮到受訪者曾多次提及這兩類檔案。政務云類型包括面向政務內網、政務專網、政務外網和互聯(lián)網等不同網絡的政務云。基于此，筆者設計了“研究方法”部分提及的問卷，數據調查結果如表3所示。通過表3發(fā)現，檔案資源的敏感程度對檔案上云范圍的影響非常顯著，業(yè)務重要性、形成環(huán)境以及內容和主題維度的影響相對較小。如果將檔案上云(包括面向內網、專網、外網和互聯(lián)網的政務云)的支持率相加，涉密檔案的支持率是58.6%，屬于控制使用范圍的檔案的支持率是89.06%，開放檔案的支持率是92.19%。涉密檔案和其他類型檔案的支持率差距懸殊，可見我國檔案工作者對敏感程度高的檔案上云比較謹慎。

表3 檔案工作者對于檔案上云范圍的認知

從政策層面看，《意見》規(guī)定了檔案上云范圍的“紅線”和“底線”，即涉及國家秘密、工作秘密的檔案數據和業(yè)務以及數字檔案資源總庫的管理與備份不得使用政務云，對關鍵業(yè)務和涉及敏感信息和公民隱私的檔案數據可在確保安全的前提下考慮使用政務云平臺。然而，檔案工作者的認知和國家政策規(guī)定存在一定差異。以涉密檔案為例，國家政策明確規(guī)定涉密檔案不得使用政務云，但調查顯示58.6%的檔案工作者認為涉密檔案可以使用政務云。

結合上述政策以及訪談和問卷數據，關于檔案上云范圍，建議如下：第一，從敏感程度來看，涉密檔案不上云，開放檔案可使用面向政務外網和互聯(lián)網的政務云，屬于控制使用范圍但不涉密的檔案可考慮使用面向政務內網和專網的政務云。第二，從業(yè)務重要性角度來看，可先從定期10年保存的檔案上云開始，按照10年、30年、永久的順序逐步推進檔案上云工作。第三，從形成環(huán)境來看，形成于政務云的原生電子文件歸檔形成的電子檔案可使用政務云，館藏檔案數字化成果和形成于本地環(huán)境的原生電子檔案需要結合其敏感程度考慮是否上云。第四，從內容和主題維度來看，屬于政府信息公開范圍的檔案可使用面向政務外網和互聯(lián)網的政務云。至于民生檔案，由于其實質是政府機構形成的與民生相關的業(yè)務檔案，范圍較廣也相對模糊，故而在上云與否的問題上存在爭議。也有人表示應根據查閱對象身份、檔案開放程度、重要程度視情況而定；有人表示民生檔案屬于可公開的檔案信息，滿足等保三級要求就可以上云。可在慎重考慮政務云安全前提下，將民生檔案存儲在面向政務外網、專網或內網的政務云上。

4.2 更新安全觀念，提高業(yè)務技能

首先是調整文化心理，更新安全觀念。我國檔案領域存在一定的“行政導向”，檔案工作者常常將工作的推動落實寄希望于上級的命令、政策的出臺和領導的重視，但并不是每個機構都具備如此“完美”的條件。檔案工作者需要轉變這種文化心理，實現從過于依賴條件向積極主動創(chuàng)造條件的轉變。訪談發(fā)現，許多檔案工作者認為檔案上云不安全并不是深思熟慮的結果，而是慣性使然，當面臨新生事物時，首先想到的是質疑。在數字時代，檔案人更需要積極主動的安全管理觀念。檔案人應客觀看待關于檔案上云的安全風險：將檔案存儲在政務云上確實會帶來安全隱患，但將檔案存儲在本地系統(tǒng)中同樣也面臨著風險，沒有一種技術方案是完全零風險的。檔案工作者需要做的不是尋找一種高枕無憂的解決方案，而是從眾多方案中選擇安全性強、保障措施完善、風險較低的一種，并盡可能采取措施以規(guī)避風險。正如英國國家檔案館發(fā)布的《云存儲如何滿足英國公共檔案館的需求》所述，無論數據存儲在何處，都應該關注數據安全性，但如果認為大多數云服務本質上不如本地數據中心安全，那是不切實際的。云服務商是備受矚目的目標，它們的服務器肯定會受到近乎持續(xù)的攻擊。有時這些攻擊會成功，服務也會受到不利影響，但其安全政策和程序通常不會低于檔案館本地數據中心[24]。

其次是提高業(yè)務技能。幾乎所有受訪者均表示，檔案部門缺乏信息技術人才，認為這是影響信息安全的重要因素。與之相應的解決路徑有兩條：一方面加大技術型人才引進力度，這也是最常提及的；但不應該忽視另一方面，即“改造”檔案工作者的既有知識結構，提升業(yè)務技能。曾有受訪者提出一個有趣的觀點，“檔案上云面臨的最大風險是檔案工作者不具備識別風險的能力”。因此，檔案工作者既要有自發(fā)的學習行為，檔案主管部門、檔案學會等也要積極提供相關的培訓。

4.3 綜合運用加密、權限管理、容災備份等技術

檔案機構最擔心的兩類安全風險就是丟失和泄密。針對丟失，需進行容災備份。一方面，檔案機構應要求政務云平臺提供較為完備的容災備份機制，明確備份的時間、周期、方式、地點、載體等具體的策略，確保檔案管理系統(tǒng)平穩(wěn)運行和檔案數據安全。針對泄密，最直接且最常見的方式就是加密，但考慮到《要求》的規(guī)定，即“電子檔案長期保存數據不宜采取技術加密手段”，可采用在線檔案資源加密存儲但脫機備份不加密的策略。另一種防泄密的有效方式就是精細化的權限管理模式，即遵循最小授權的原則，在主體(角色)、檔案資源和操作行為之間建立映射關系。傳統(tǒng)信息化環(huán)境中就有權限管理的概念，并形成了一些有益經驗(如三員分立的原則)，但主要是檔案機構內部的權限分配問題。在政務云環(huán)境中，權限涉及的主體更為多元且復雜多變，應推行精細化的權限管理模式。檔案機構應統(tǒng)籌考慮檔案機構內部人員、云服務代理商或數字化公司等外包企業(yè)相關人員、云服務商內部人員及其分包商或商業(yè)合作伙伴相關人員的權限，確保只有經過檔案機構的授權，云服務商或其他第三方才能具有云端檔案數據的管理和訪問權限。此外，由于政務云牽涉的主體較多且流動性較強，應堅持動態(tài)的權限管理原則，適時調整權限管理方案。

4.4 建設有利于維護檔案安全的組織環(huán)境

檔案機構需要為檔案安全保障提供有利的組織環(huán)境，包括制度規(guī)范、機構與人員、應急機制、資金保障。就制度規(guī)范而言，各檔案機構可先行探索，具體來說有兩種建設思路，一種是專門制定面向政務云環(huán)境的檔案管理制度，另一種是修訂完善現有安全制度規(guī)范，將與政務云安全有關的要求嵌入已有制度規(guī)范中。就機構(組織設置)而言，當前檔案館內負責實施檔案上云的一般是信息技術處(或類似名稱)，但使用政務云不僅是技術問題，更是管理問題，會涉及業(yè)務流程和管理要求的變化。因此，檔案機構需要在更高層面規(guī)劃政務云應用，將其納入領導視野；檔案室則要積極與單位內網絡信息化部門溝通，參與到上云的相關規(guī)劃與設計過程中。同時，需建立安全責任崗位制，明確與檔案安全相關的責任主體及其工作內容和崗位要求。就應急機制而言，檔案機構應聯(lián)合云服務商和政務云管理單位，做好風險管控和應急預案，并定期(如每年一次)進行安全演練。此外，幾乎所有受訪者都談到人財物的問題，檔案工作者需主動作為，盡力爭取上級領導的重視，確保資金和人員到位。

5 結語

雖然檔案上云的國內案例相對較少，但在云計算成為“新基建”重要內容的今天，越來越多的檔案機構探索基于政務云的檔案管理模式，健全完善的風險應對體系已經成為推動檔案事業(yè)數字轉型、縱深發(fā)展的重要基礎和關鍵支撐。研究發(fā)現，政務云環(huán)境中的檔案安全風險應對策略不應是割裂的、孤立的、分散的，而應是系統(tǒng)的、協(xié)調的、動態(tài)的，需要有一種生態(tài)系統(tǒng)的視角。依據本文提出的檔案云安全保障生態(tài)模型，檔案機構既要從宏觀層面考慮到生產者、消費者和分解者及其與生態(tài)環(huán)境之間的關系，也要從微觀層面考慮檔案資源、檔案工作者、信息技術、組織環(huán)境等方面的舉措，從而構筑起堅實可靠的安全“堡壘”。