数字档案馆四维安全管理体系研究

摘要：构建数字档案馆四维安全管理体系，加强数字档案馆安全保障工作，是系统解决数字档案馆安全问题与提升数字档案馆安全管理能力的根本举措。在基于文献计量方法分析数字档案馆安全管理研究热点的基础上，从主体、客体、方式、时间四个维度阐述了数字档案馆四维安全管理体系的内涵，提出从增强主体的安全意识与安全管理能力、全面分析客体面临的各种风险因素、创新安全管理方式、以时间为主线四个维度来构建科学的安全管理体系，实现数字档案馆安全的长效、精准、综合与全程管理。

关键词：数字档案馆；信息安全；安全管理

为适应大数据时展的客观要求，我国档案信息化建设全面提速，“存量数字化、增量电子化、利用网络化”已经成为档案工作的新常态。相较于传统档案馆，数字档案馆及其馆藏数字档案信息面临的风险更多，安全问题更加突出，其安全管理工作亟待加强。本文基于CiteSpace可视化分析软件，分析我国学界关于数字档案馆安全管理的理论研究热点，从主体、客体、方式与时间四个维度初步构建起数字档案馆四维安全管理体系，以期为数字档案馆的安全管理实践提供参考。

1基于CiteSpace的数字档案馆安全管理研究热点分析

第一，关键词共现分析，得到我国数字档案馆安全管理研究领域的高频次关键词，包括数字档案馆、云计算、信息安全、大数据、高校等15个关键词。从词频和中心度的角度来看，除去内涵较宽泛和相同意义的关键词，出现频次最高的是“云计算”，词频为24，中心度最高的是“大数据”，中介中心性为0.26，这在一定程度上反映了数字档案馆安全管理研究的热点及环境变化。第二，关键词聚类分析，用以揭示数字档案馆安全管理领域的研究主题。此次关键词聚类结果具有一定的客观性，其模块值Q=0.6685，平均轮廓值S=0.4105，数值均高于标准值，说明其知识图谱较为合理。聚类结果将数字档案馆安全管理研究分为6个知识群组，分别为“网络安全”“数字档案馆建设”“大数据”“云计算”“系统”“档案信息资源”，经整理聚类群信息和现有文献内容，数字档案馆安全管理领域的研究主要聚焦于数字档案馆的安全保障体系建设、安全风险和安全技术三方面。数字档案馆的安全保障体系建设重点围绕数字档案馆的网络安全和档案信息安全两方面展开，其中关于网络安全的研究，聚焦于网络安全技术和安全管理方面[1-4]；数字档案信息是数字档案馆的管理对象，关于档案信息安全的研究主要从法律、技术、人才与规范等多角度构建信息安全保障体系[5-8]。数字档案馆的安全风险研究主要针对数字档案馆安全风险的评估、安全风险因素分析与防范等方面，一是聚焦于数字档案馆面临的安全风险识别与管理，包括系统安全风险[9]、信息安全风险[10][11]及云计算环境下的安全风险[12]；二是聚焦于数字档案馆安全风险评估，包括设计安全风险评估软件、构建安全风险评估体系[13][14]。在数字档案馆的安全技术研究中，“云计算+数字档案馆安全”与“大数据+数字档案馆安全”成为重点，云计算环境下的数字档案安全管理主要集中在云数字档案馆的运营[15][16]、基于云计算技术的安全保护策略[17]及面临的信息安全威胁[18]等方面；而大数据时代下的数字档案馆安全研究，主要是从大数据时代给数字档案馆带来的影响出发，探讨数字档案馆安全管理风险类型与安全管理[19][20]。第三，关键词突现分析，得到数字档案馆安全管理领域研究排名前9的突现词，以此分析该领域的研究前沿及发展趋势。从突现时间上看，我国数字档案馆安全管理领域研究前沿演变过程大致可分为两个阶段：2003—2010年，主要对“信息安全”“网络安全”“安全策略”等方面进行研究，其中“网络安全”的突现强度为5.9546，可知网络安全方面的研究是该阶段的数字档案馆安全研究前沿，其次是“信息安全”；2011—2020年，研究对象以电子文件、数字档案馆建设、数字档案资源为主。基于上述分析，发现现阶段我国数字档案馆安全管理领域的研究比较活跃，研究内容不断拓展，不仅涉及安全保障体系、安全策略、数字档案馆建设等比较宏观性的研究，也聚焦信息安全、网络安全、电子文件、信息服务、资源建设等具体方面的研究。总体来看，研究主要围绕数字档案馆的信息安全、系统安全、网络安全三个大的方面进行，且大多基于客体与方式的视角。

2数字档案馆四维安全管理体系的内涵

本文提出的数字档案馆四维安全管理体系，是一种基于整体思维的安全防护体系，既强调主体的主观能动性，又认识到客体的层级性及其面临风险因素的复杂性；既注重方法上的综合性，又着眼于时间上的连续性。数字档案馆四维安全管理体系的构建，可以说是对已有档案安全防范体系的拓展与深化，对档案安全管理的理论体系的丰富与发展。2.1 数字档案馆安全管理的主体维。一般来说，数字档案馆安全管理的主体包括数字档案馆工作人员及其他有关单位工作人员。其中，数字档案馆工作人员作为数字档案馆安全管理最重要的主体，承担着安全管理制度建设、应急预案制订以及安全管理技术应用等安全管理职责。基于主体维度思考数字档案馆安全管理，就是为了增强主体的安全意识与安全管理能力。在数字档案馆的安全管理过程中，主体不仅需要增强安全意识、风险意识等，还要积极采取各种切实有效的措施保障数字档案馆安全，提升安全管理能力与水平。2.2 数字档案馆安全管理的客体维。数字档案馆是现代信息技术的产物，可以看作是管理并提供数字档案信息网络化利用的档案信息系统。就这个角度而言，数字档案馆安全管理的客体至少包括数字档案信息、系统设施、网络环境三个层次。其中确保信息安全是数字档案馆安全管理最根本的任务，而保障系统设施和网络环境安全的最终目的也是为了确保信息安全。至于为什么要基于客体维思考数字档案馆的安全管理，原因很简单，因为对客体的正确认识与否关系到能否对数字档案馆安全管理进行精准定位。对客体的认识应当全面和客观，不同的客体面临的风险因素、作用机理及危害程度各不相同，应对措施也各有差异，需要具体问题具体分析。在数字档案馆安全管理过程中，不能只从单一客体的角度去进行数字档案馆的安全管理。2.3 数字档案馆安全管理的方式维。基于方式维探讨数字档案馆的安全管理，实际上就是探讨数字档案馆安全管理的方法。数字档案馆安全管理是一个复杂的系统工程，其方法的运用要基于数字档案信息的特点，要适用于数字信息赖以生存的软硬件环境、网络环境，更要能有效防范与应对数字档案馆面临的各种风险及安全事件。数字档案馆的安全管理主体要有效解决客体面临的各种安全问题，需要综合运用各种方式方法。方法好不好、是单一的还是多元的，由客体及其所面临的风险因素所决定，风险的多样性决定了管理的多维性，风险的复杂性决定了管理的综合性，风险的永恒性决定了管理的长期性。2.4 数字档案馆安全管理的时间维。基于时间维探讨数字档案馆安全管理，应当明确数字档案馆安全管理是一个长期的过程，需要以时间为主线，将安全管理理念与措施贯穿于数字档案信息“从产生到销毁或永久保存”的整个生命周期。与传统档案相比，数字档案信息在其生命周期整个过程中都显得非常脆弱，容易被篡改，容易遭受攻击。因此从时间维度看，要做好数字档案信息安全管理工作，需要从数字档案产生之时起甚至产生之前就提前介入，实施前端控制，并且在其流转过程中都要求安全管理的全程与无缝对接，只有实现连续的安全管理，才有可能真正保障数字档案信息的安全。

3数字档案馆四维安全管理体系的构建

3.1 主体维：增强主体的安全意识与安全管理能力，实现数字档案馆安全的长效管理。推进数字档案馆安全管理工作，需要主体积极作为。为此需要做好以下两个方面工作：一是主体要增强安全意识。数字档案馆工作人员应积极转变观念，增强安全防范意识，时刻绷紧“安全”这根弦，兼顾数字档案馆的内部安全与外部环境安全。二是主体要不断增强安全管理能力与水平。安全管理的任务重、专业性强，数字档案馆工作人员要积极通过各种在职培训、应急演练等手段，掌握专业的安全管理知识与专门的安全管理方法，切实增强安全管理技能。推进数字档案馆安全管理工作，可考虑设置安全管理委员会等领导机构及工作机构，明确人员职责，加强安全管理队伍建设，切实增强数字档案馆在安全工作方面的组织管理能力；也可考虑成立应急管理专家咨询委员会等机构，以增强数字档案馆安全管理的决策能力。3.2 客体维：全面分析客体面临的各种风险因素，实现数字档案馆安全的精准管理。推进数字档案馆安全管理，除了需要主体的主动作为之外，还需要实事求是地分析客体情况及其面临的风险因素，有针对性地采取安全管理措施。为此需要做好以下两个方面工作。一是科学认识数字档案馆安全管理的客体。数字档案馆安全保护的对象，不仅是数字档案信息本身，也包括其赖以生存的软硬件系统与网络环境；不仅包括相关硬件，也包括一系列相关软件；不仅包括信息内容，也包括存储信息的载体；不仅包括信息内容本身，也包括相关元数据等。总之，数字档案馆安全管理对象具有多重性或层级性，需要科学认识、全面分析，才能避免认知上的误区、防范管理上的漏洞。二是正确把握客体面临的各风险因素及其危害。数字档案馆面临的风险因素类型较为复杂，就数字档案信息而言，其面临的风险从性质上来看可以分为可读性风险、可用性风险、完整性风险、真实性风险等；就其载体而言，面临载体的老化、破损、不兼容等风险；就其系统而言，面临系统漏洞、崩溃、不兼容、感染病毒等风险；就其网络环境而言，面临黑客攻击、网络瘫痪、内容泄密等风险。此外，同一风险有可能会发生在不同客体之上，同一客体有可能遭受不同类型的风险。为此需要综合运用各种技术手段加强对客体的监测，收集、识别、分析、评估各种风险因素，分析其发生的可能性及危害程度。3.3 方式维：创新安全管理方式，实现数字档案馆安全的综合管理。大数据时代，推进数字档案馆安全管理还需要基于方式维，综合运用各种有效的方法与手段，精心打造综合性、全方位的安全管理体系。根据《信息系统安全等级保护定级指南》的要求，北京数字档案馆（电子文件中心）的安全体系建设以等级保护三级为目标，以等级保护、风险测评、安全运维等工作为主线，运用边界防护、访问控制、监控审计、数字签名、数据加密、身份识别、凭证保护等技术手段并制定配套的安全管理制度，构建了北京数字档案馆（电子文件中心）安全保障体系[21]。可见，基于方式维做好数字档案馆安全管理工作，需要不断创新安全管理方式。一是遵循相关法规标准，确保数字档案馆安全管理有法可依、有章可循。我国高度重视网络与信息安全工作的开展，出台了一系列法律法规与标准规范，如《中华人民共和国网络安全法》《信息安全技术网络安全等级保护基本要求》《信息安全技术网络安全等级保护测评要求》《信息安全技术网络安全等级保护安全设计技术要求》《信息系统安全等级保护定级指南》《档案馆应急管理规范》《数字档案馆建设指南》等。数字档案馆的安全管理，需要遵循这些法规制度与标准规范体系，依法依规进行。同时数字档案馆本身也要建立健全安全管理机制，不断完善安全管理制度体系，包括系统运行维护管理制度、计算机处理控制管理制度、技术文档管理制度、操作和管理人员制度、机房安全管理制度、定期检查与监督制度等[22]，为数字档案馆安全管理工作的开展提供强有力的法规依据与制度保障。二是重视前期的规划与准备工作。数字档案馆安全因素的复杂性以及安全管理任务的繁重性，决定了前期规划与准备工作的重要性与紧迫性，如系统的功能需求分析、元数据的管理、载体的选择、安全技术的运用，这些工作都需要提前规划。此外还需要做好应急预案的制订、演练与修订工作，应急资金的投入、应急物资的储备等。三是坚持技术创新驱动，提高安全管理的技术水平。从技术角度看，数字档案馆本身就是一个技术性很强的信息系统。一方面，数字档案馆要实现信息安全技术的综合应用，包括区块链技术、云存储技术、数字签名技术、身份认证技术、入侵检测技术、数据加密技术、防火墙技术、访问控制技术、物理隔离技术、网络安全等级保护（等保2.0）等；另一方面，可与高。校、科研机构、IT公司等进行开放式跨界合作，加强安全技术产品的研发与应用，提高现有的安全管理技术能力与水平。3.4 时间维：以时间为主线，实现数字档案馆安全的全程管理一方面，随着时间推移，数字档案馆保存的数字档案资源越来越多；另一方面，数字档案馆每时每刻都离不开安全保障工作，不允许有时间上的盲区或盲点。数字档案馆安全管理需要立足时间维度，紧紧围绕时间主线，抓住每一个时间节点，建立全程安全管理体系。为此，需要秉承以下两种基本的管理理念。一是前端控制。前端控制的目的就是为了通过提前介入，保证数字档案信息的真实可信、完整可用，从而保证数字档案信息的安全性。数字档案信息是数字档案馆最基本的馆藏资源，为了保证馆藏资源的安全，需要贯彻前端控制理念，在数字档案进馆之前，就需要加强各项安全管理工作，包括系统的功能需求分析与设计、各种安全管理制度的建立、应急预案的制定、应急物资的战略储备等。二是全程管理。数字档案信息的特点决定了其从产生到永久保存或销毁的整个生命周期都要进行全程管理，因此数字档案馆安全管理是一项长期工作，在数字档案信息生命周期内的任何一个阶段都要有所作为，实现安全管理的持续性与连续性，这样才能真正保障数字档案馆的安全。

作者:向立文 龚慧卿 单位:湘潭大学公共管理学院