大数据时代档案数据安全治理模型构建*

孙向阳 杨智勇

（上海大学文化遗产与信息管理学院 上海 200444）

大数据时代，全球数据呈现爆发式增长，数据日益成为无形的战略资产，档案数据作为关联意义大、价值密度高的原生态数据资源，因其载体类型多样、来源广泛、数量巨大等特点成为国家政治经济发展的重要战略性资源，档案数据安全问题在此背景下也面临着更多的机遇和挑战。2017年全国档案工作会议中指出，要从维护国家安全和整体利益的角度出发，推进档案安全工作，不断保障档案数据安全，下大力气，建立健全我国档案安全保密体系。2020年新修订《档案法》中明确规定了档案实体安全和档案信息安全问题。新《档案法》第三十五条规定：档案馆和机关、团体、企业事业单位以及其他组织应当加强档案信息化建设，并采取措施保障档案信息安全[1]。因此，大数据时代开展档案数据安全治理研究既符合国家战略发展需要，又符合我国档案工作安全治理的现实需要。

笔者以“档案数据”+“安全治理”为检索词在中国知网进行高级检索得到相关文献为四篇，故扩大检索范围，以“档案数据安全”为检索词在中国知网进行高级检索，对所获得文献进行筛查分析后得出目前我国对档案数据安全分别从档案数据顶层设计、安全管理、运行安全、技术支撑等方面展开论述。崔海莉[2]、肖秋会[3]从档案数据安全顶层设计出发，认为要从档案数据生命周期、保障对象、保障策略等维度构建大数据时代档案信息安全保障体系框架。丁家友[4]、徐亮[5]分别从档案数据保密保全制度和应急备份制度等管理制度层面探讨档案数据安全问题。王志宇[6]、邢建[7]、王协舟[8]分别从档案数据的采集、存储、利用等档案数据安全运行角度探讨如何在档案数据全生命中把控档案数据安全问题。祝洁[9]、白茹花[10]从云计算、区块链等档案数据安全技术角度探讨新兴技术对档案数据安全防护的意义。由此可见，学界对档案数据安全风险识别及应对措施的研究还是相对薄弱的，为了更好地实现对档案数据安全治理，本文参考信息治理参考模型（IGRM）搭建档案数据安全治理模型。构建档案数据安全治理模型，有利于提高档案数据安全治理能力，不断完善档案数据安全治理体系建设，以应对大数据时代对档案数据安全的风险和威胁。

档案数据安全所面临的风险是由多方因素所共同导致的，既有档案自身特征所造成的内在因素，也有技术、管理等外界因素所导致的。大数据时代档案数据安全受到病毒攻击、黑客入侵、管理制度欠缺、法规尚待完善、档案自身易被篡改、人员管理不到位等风险威胁，总结得出档案数据安全风险存在法规体系不完备、管理制度不健全、技术保障不完善和人员管理不到位四大问题，下面就上述四方面风险进行档案数据安全风险阐述。

1.1 法规体系不完备

“法，国之权衡也，时之准绳也。”法治化是实现档案数据安全治理的基础和保障，也是实现善治之前提。目前我国出台了《个人信息保护法》《国家安全法》《数据安全法》等法律在根本上保障了信息和数据的安全。但在档案数据安全方面，我国尚未出台明确的法律条文。首先，档案数据安全法律体系建设尚不完善。档案法作为《根本法》2021年新实施的《档案法》中也没有明确对档案数据安全作出明确规定，档案数据安全缺乏相应的法制体系保护。其次，我国对档案数据权力归属、划分没有进行明确的权责边界划分。档案数据所有权、知识产权等权析归属不明确、边界不明等困境给国家、社会、公民等权利主体的档案数据安全保障带来困境。

1.2 管理制度不健全

没有规矩不成方圆，管理制度是社会谐和的典化圭臬，是国家治理的基本操守。安全顶层设计不合理、档案数据管理制度不健全等管理原因也会造成档案数据的泄露、遗失、篡改的风险。首先，档案数据安全治理的顶层设计还没全面系统的开展，在宏观层面缺乏相应档案数据安全的战略规划[11]。反观，目前我国数据安全治理出台了《中华人民共和国数据安全法》，从宏观层面搭建起我国数据安全治理与保护的“四梁八柱”，增强了数据安全预警和溯源能力。其次是，档案数据安全管理制度建设，当前我国档案数据安全分级、档案数据保密制度、档案数据备份制度、档案数据灾难恢复应急制度、档案数据监控等管理制度有待完善。

1.3 技术保障不完善

大数据时代，档案数据具有风险集群性、综合交叉型、动态泛在性和隐蔽关联性等特点。档案数据不在存储在纸质载体上，而是存储在以二进制为特征的档案信息系统之中，系统自身程序问题和技术漏洞使得档案数据更具易变形、易篡改性等特征[12]。档案数据的技术风险主要从技术障碍和自身技术风险两方面进行分析。一方面，大数据时代，各种新兴技术更新迭代速度加快，档案数据面临一系列技术障碍，包括黑客攻击、网络病毒等。以“云”存储为载体的虚拟存储介质以及档案数据的非线性增长模式，使得目前的档案信息系统安全防控很难保证海量的档案数据安全问题，档案数据更容易遭到黑客持续性攻击。另一方面，档案数据具有电子档案的特性，如信息的非人工识读性、信息存储的高密度性、信息与特定载体的可分离性、多种信息媒体的继承性等特征，使档案数据不仅具有不稳定性、系统依赖性，又具有大数据海量、多元、多样、高速等特点，技术风险因素也就兼具二者。

1.4 人员管理不到位

治国经邦，人才为急，档案专业人才是档案数据安全治理的动力和源泉，同时档案专业人才又是法治谋划、制度落实、协同共治、技术攻关的重要塔基。档案数据在全流程过程中的人为风险主要是两点。一是档案数据安全人员所具备的安全意识、安全技能没有达到实现档案数据安全善治的能力要求。档案工作正在经历由管理实体向管理数据的变革进程中，这对档案管理人员提出了更高的要求。档案数据安全员在自身操作中存在失误导致误改系统参数或删除重要档案文件，从而造成档案数据被篡改或档案数据非恶意泄露的风险。二是档案数据安全管理人员培育体系不够完善、持久，档案专业高校大多没有开设档案数据安全管控等相关课程，知识面广、跨学科、高技能的档案数据安全人才队伍尚未建设[13]。

通过分析档案数据安全四维风险，利用法律保障、制度管控、技术支撑和人才培养对档案数据的采集、传输、存储和利用全生命周期进行综合管控，构建档案数据安全治理模型，实现档案数据的四信。

2.1 信息治理参考模型概述

信息治理参考模型（IGRM）如图一所示，是为规范组织信息治理，识别组织信息治理过程中的风险来源，指导组织评估其信息管理制度和规范。信息治理参考模型（IGRM）展示了信息治理与其他组织功能的关系。模型最外环包括了信息管理过程中涉及的制度、标准、流程、工具和基础架构等方面，分析了信息治理过程中隐私保护、商业利益、法律风险等安全风险问题。模型中环是通过政策整合、技术保障等手段提出信息安全治理能力维度，解决外环风险问题，保障组织信息安全。模型内环是一张生命周期图，展示了信息从产生到存储到处置全生命周期的信息流转过程。模型（IGRM）对信息从持有到存储的全流程风险进行分析、把控，实际上明确了信息治理工作的提升方向和具体路径。有利于审视各个组织在信息全流程治理过程中所面临的风险挑战，发现信息安全能力短板，及时开展信息安全能力和过程维度建设。IGRM为构建档案数据安全治理模型提供重要参考。

图1 信息治理参考模型IGRM

2.2 档案数据安全治理模型架构

根据IGRM模型思想搭建档案数据安全治理模型，如图二所示。其关键视角是厘清目前档案数据安全治理中存在的风险隐患，为今后档案数据治理能力和过程维度提供支撑。模型外环首先分析了档案数据安全治理的风险，得出档案数据目前面临法规体系不完备、管理制度不健全、技术保障不完善和人员管理不到位四大风险。将原有模型中环的信息安全治理能力维度设计为档案数据安全治理能力维度，形成以法律为基石、以制度为保障、以技术为支撑、以人员为重点的立体多位、科学严密的档案数据安全能力体系建设，以期解决档案数据四大安全风险，着重关注“法治”、“协同共治”等治理元素。将模型内环的信息生命周期表设计为档案数据安全治理过程维度，更加关注档案数据在全生命周期中的安全问题。

图2 档案数据安全治理参考模型

借鉴信息治理参考模型（IGRM）将原有模型与档案数据全生命周期、档案数据安全治理能力进行有机融合、适当对接，为档案数据安全治理厘清治理思路、解构安全风险、规划治理路线提供指导。解决档案数据真伪问题、档案信息系统自身弊端问题、系统管理风险问题、档案人员素质问题、访问等级不明晰问题等安全风险问题，保障档案数据自产生那一刻到最后销毁整个生命周期内的真实、完整、可用和可信。

2.2.1 档案数据安全治理能力维度

档案数据安全治理能力维度为建设持续稳健的档案数据善治提供了解决途径和可视化操作准则。通过分析档案数据安全存在的法规体系不完备、管理制度不健全、技术保障不完善和人员管理不到位四大风险，提出以下相对应的四大能力维度建设。

（1）法治层：加强档案数据安全法律体系建设

法之利器，依法治国是现代国家治理的基本共识，档案事业发展也需要良好的法律环境作支撑。系统科学、健全完备的法治体系有利于全面提升我国档案数据法治化管理水平，促进档案数据安全法治化运行，同时有利于在档案数据安全治理过程中厘清各方职责，规范各个安全责任主体行为。因此应当加强档案数据安全领域的法律和法规建设，为档案数据安全治理提供法制保障。一方面要加强档案数据安全体系建设，我国相继出台了《电子文件归档与管理规范》、《电子签名法》、《档案信息系统安全保护基本要求》等有关法规文件保障档案数据在采集、传输、利用等过程中安全及相关责任问题。另一方面，要加快制定档案数据相关标准规范的制定，保障档案数据基础标准、运行平台、安全技术等相关标准建设。2020年11月，国家档案局公布《档案信息化标准体系建设指南》，为档案数据标准化工作提供了建设指南。在应用操作、安全保障、服务体系建设、资源建设等方面进行了规划与设计。

（2）制度层：完善档案数据安全管理制度

制度建设是档案数据安全治理的有利支柱，不断完善档案数据安全分级、档案数据保密制度、档案数据容灾备份制度、档案数据灾难恢复应急制度、档案数据监控等安全管理制度，从制度层面保障档案数据安全。首先，加强档案数据安全顶层设计。档案行政管理部门应从大局出发，制定宏观发展规划，建立符合档案数据安全的顶层设计，建立分层有序、上下联动的共治格局。其次，档案数据安全分层分级管理是解决档案数据的关键，档案管理人员首先判断档案数据的重要程度、敏感程度，并根据档案数据载体类型和结构类型的不同并结合实际档案管理工作和利用工作的需要，对档案数据进行有层次、有组织的分级保管和安全防护工作并针对不同的档案数据安全等级制定不同管理办法[14]。最后，档案数据安全监控制度能够从档案数据产生到最后销毁进行安全监控，实时发现档案数据的安全隐患和异常问题。档案数据安全监控制度能够有效提升档案数据安全风险感知、防护和追溯能力。

（3）技术层：构建档案数据安全防范壁垒

利用技术安全为档案数据安全建立安全防护体系，大数据时代信息技术发展日新月异，档案数据的安全防护既离不开加密技术、安全防护、数据溯源等传统的安全技术，又需要区块链、数字孪生等新兴技术筑起档案数据安全的堡垒。档案数据溯源技术是通过标记法确定档案数据仓库中档案数据的来源问题，通过对档案数据的标记，记录档案数据的传播和查询历史情况，能够直观、有效的了解档案数据是否被篡改问题。区块链技术的去中心化、分布式存储等特点能够有效防止档案数据被篡改和伪造，保障档案数据的原始性，降低数据泄露、数据盗取、数据丢失等风险[15]。数字孪生技术是近年来随着全球范围内智慧城市建设的兴起而受到广泛关注的研究领域,数字孪生技术能够实现对多源异质档案数据的感知和处理，拓展档案数据存储空间、增强档案数据计算能力、实现档案数据永久保存[16]。

（4）人员层：注重管理人员水平建设

人才培养是国家创新的主力军，也是保障档案数据安全治理的关键。一方面，注重档案管理人员自身素质培养。首先，档案工作者作为档案数据治理的关键因子，应当不断提高自身的专业信息素养，包含安全意识、安全知识、安全伦理和安全技能培养，提高档案工作者的专业知识。其次，加强人才培养机制。建立合适的准入和人才成长机制，为档案管理人员提供专业的人才培训，不断提高其专业能力和技术操作能力。通过学界论坛、互派访学等方式，建立人才成长激励机制，不断培养实用型专业技术人员。

另一方面，注重协同治理，把协同共治纳入到档案数据安全治理之中。光是档案管理人员难以承担起档案数据安全治理的重任，应充分吸纳社会组织和公众参与到档案数据安全治理之中。依照治理理念，档案数据安全治理应以国家建构为基础，坚持国家和政府机构的主导地位，明确档案主管部门在档案数据安全制度制定、安全秩序监督的“元治地位”，并不断吸纳社会公众参与。坚持档案数据安全治理的协同共治、互联互通，坚持治理决策科学化、治理流程标准化、治理技术迭代化，建立档案数据安全治理体系，实现跨地域、跨层级、跨部门的协同治理模式[17]。形成多方联动、多管齐下、多措并举的协同治理机制，营造共商共策、共享共建、群防群治、群策群力的档案数据安全共治生态。

2.2.2 档案数据安全治理过程维度

（1）档案数据采集：档案采集是档案数据进馆的第一步，保障好档案数据在采集阶段的安全问题奠定了档案数据安全治理基础。首先，规范档案数据格式，由于档案数据来源不一、结构不同，其结构方式存在结构化、半结构化和非结构化形式。对此档案数据处理的第一步是在对数据源进行集成并进行预处理[18]，为后续提供高质量档案做准备。确保档案数据确保数据合规性、一致性和正当性[19]。其次，要保障入馆档案数据真伪问题，档案数据的风险之一为恶意制造的“伪档案”，只有保障进馆的档案数据质量问题才有提供参考利用价值。档案数据溯源技术、区块链技术、时间戳等技术能有力的保障档案数据真实不被篡改[20]。

（2）档案数据传输：档案数据因其价值高、数量大，在网络采集、利用等传输过程中会受到来自不同程度和方面的数据安全威胁。首先，档案数据传输过程中，容易遭到黑客攻击，采取档案数据加密技术和档案数据匿名技术保护传输中档案数据安全问题。档案数据加密技术利用对称加密和非对称加密，对关键档案数据进行加密保护，保障档案数据在传输中的安全问题。同时在档案数据传输过程中签订相关网络协议协调各方关系，明晰责任方相关安全职责。其次，很多档案数据对系统的依赖性高，系统环境的变化在档案数据迁移过程中会造成档案数据的丢失或无法读取，解决档案数据异构的问题，从国家战略高度搭建档案数据存储平台，以期解决档案数据平台异构难题[21]。

（3）档案数据存储：档案数据存储在档案信息系统之中，其信息系统自身功能的好坏直接影响档案数据安全。完善档案信息系统的安全运行管理制度，提高档案信息系统的自身防控能力、权限设定管理。档案信息系统对档案数据进行由采集到销毁的全过程管理，加强对系统内档案数据的管控，及时发现全流程中风险问题。首先，加强对档案信息系统软硬件设备的更新换代，提高对软件设备的安全防控能力，减少系统漏洞问题。其次，提高档案信息系统防风险危机应对能力，采用防火墙技术、防入侵检测技术不断极高应对风险能力。防火墙技术能够有效的阻断非法访问，同时能够支持私有数据加密，防止来自互联网、因特网的非法入侵。防入侵检测具有识别恶意攻击、监控数据流程或称、评估数据安全行为等功能并通过对档案信息系统中的若干关键节点进行收集、分析，对计算机和网络的恶意入侵行为进行判断和回应，不断地提高档案信息系统访问权限的细颗粒度，不断提高修补漏洞的能力[22]。

（4）档案数据利用：档案数据利用是档案数据治理的出发点和落脚点，大数据时代档案数据的核心不是谁拥有数据，而是谁拿这些档案数据去干什么，能够创造出什么样的价值。档案数据治理的最根本意义是实现档案数据的深层效能，保障档案数据安全并积极提供利用。首先，建立安全共享机制。在档案数据利用过程中建立档案数据联盟共享平台，共同参与档案数据的共享与利用，方便用户在统一平台上获取不同数据库的档案数据。例如，澳大利亚国家数据服务中心联合了100多家澳大利亚研究机构、政府和高校的数据信息资源，成功的对数据资源进行了高度融合并提高了数据开发共享进程[23]。其次，档案部门应依据合规要求建立相应强度或粒度的访问控制机制，落实身份授权、数据留痕等安全规定，合理限定用户访问范围。档案数据在利用过程中也要进行身份识别、访问控制权限等问题判断那些档案数据可以提供利用、哪些人能访问哪些数据的问题。立足不同的主体、不同的档案数据、不同的网络系统进行安全防护,将档案数据权限控制和档案用户权限控制相结合，保护档案数据关键信息。

构建档案数据安全治理模型具有重要理论和实践作用。首先，有利于在整体上把控档案数据安全治理流程，对于及时改进和持续优化档案数据安全治理策略有重要参考作用。其次，档案数据安全治理模型是评估档案数据安全状况的重要尺度，有利于构建完整的档案数据安全体系。档案部门可以正确评估和定位档案数据的安全风险、安全质量，持续优化安全建设，促进档案数据实现善治。

3.1 优化档案数据安全管理流程

构建档案数据安全治理模型有利于明确档案数据安全治理目标以及安全治理实现路径，对于持续、优化、改进档案数据安全治理的方法、流程和目前有借鉴意义。传统的档案管理工作是基于纸质档案开展的档案工作，大数据时代的档案管理是基于档案信息系统平台的档案数据采集、传输、存储、处理、交换、销毁等档案数据分布式管理活动。在管理层面，有利于实现对档案数据资源的全流程、全过程的追溯，实时的发现安全隐患和不正规操作。实现对档案元数据治理、档案数据生命周期管理、档案数据质量管理、档案数据安全与合规性、档案数据服务等数据层面的管理[24]，实现良好的档案数据溯源工作，有利于保障档案数据的真实、完整、可用和可信度。

3.2 构建全面档案数据安全体系

档案数据安全治理能级的提升是一个不间断的过程，只有不断的识别档案数据风险、完善档案数据模型，才能不断提高档案数据安全治理能力。构建档案数据安全治理模型是评估档案数据安全状况的重要尺度，有利于及时识别风险，推进档案数据安全治理能力标准化。首先，为档案数据安全治理构建完整的司法体系建设，厘清目前司法建设困境，加强档案数据安全法治建设。其次，在制度层面制定包括档案数据平台安全运行、系统安全以及相关安全技术机制等标准，为大数据平台安全建设提供标准支撑。再次，技术层面建立系统性、全局性的防护安全体系，保证档案数据的安全平稳运行，防止档案数据泄露、篡改的风险。最后，注重档案管理人员培养，形成以智力为动能，培育档案数据安全专业人才。在技术、制度、人才、法律全方面不断地提高档案数据安全治理能力，提高档案数据安全治理能级。

大数据时代的档案数据安全治理较之传统纸质档案管理有了诸多变化，档案数据的易变形、易篡改性更加大了档案数据的安全风险。在大数据时代构建档案数据安全治理模型，合理的评估档案数据安全风险。对档案数据采集、传输、存储、利用全流程进行合理管控，提高管理、人员、程序和技术在保障档案数据安全治理方面能力，保障档案数据的真实、完整、可用和可信。

猜你喜欢数据安全中国互联网协会将试行开展电信和互联网行业数据安全举报投诉处理工作互联网天地(2022年5期)2022-06-13工信部：加快制定工信领域数据安全管理政策智能制造(2021年4期)2021-11-14数据安全治理的参考框架检察风云(2021年17期)2021-11-13工信部：未来三年，建立并完善电信和互联网行业数据安全标准体系计算机世界(2020年31期)2020-08-21部署推进2020年电信和互联网 行业网络数据安全管理工作中国计算机报(2020年25期)2020-07-18工信部：2021年初步建立网络数据安全标准体系计算机世界(2020年14期)2020-04-22直面热点问题 保障数据安全软件和集成电路(2019年7期)2019-08-30如何进一步做好网络与数据安全工作中国计算机报(2019年21期)2019-07-08建立激励相容机制保护数据安全当代贵州(2018年21期)2018-08-29数据安全政策与相关标准分享中国计算机报(2018年46期)2018-02-24

推荐访问:数据 治理 构建