“互聯(lián)網(wǎng)+”環(huán)境下電子文件信息安全風險的界定

文/河南省體育局　張曉玲

“互聯(lián)網(wǎng)+”環(huán)境下電子文件信息安全風險的界定

文/河南省體育局張曉玲

本文從信息安全、信息安全風險、電子文件信息安全、電子文件信息安全風險的概念入手，討論了電子文件信息安全與電子文件信息安全風險的區(qū)別與關(guān)系。歸納了“互聯(lián)網(wǎng)+”環(huán)境下電子文件信息安全風險的表現(xiàn)形式，提出了“原生風險”“伴生風險”“先天風險”“后天風險”的概念。指出在“互聯(lián)網(wǎng)+”環(huán)境下，理清電子文件信息安全風險要素，對“互聯(lián)網(wǎng)+”環(huán)境下電子文件信息安全風險進行評估與控制，具有重要的現(xiàn)實意義。

互聯(lián)網(wǎng)+；電子文件信息；信息安全；風險

一、電子文件信息安全與電子文件信息安全風險

電子文件信息安全問題是近年來檔案界研究的熱點。僅知網(wǎng)數(shù)據(jù)庫題名中涉及“電子文件信息安全”的文獻就有40篇，主題中涉及“檔案信息安全”的文獻有65篇，全文中涉及“信息安全風險”的文獻更是多達689篇。相比之下，對于檔案信息安全風險的研究就要冷許多。同樣在知網(wǎng)數(shù)據(jù)庫題名中涉及“檔案信息安全風險”的文獻為0篇，主題中涉及“檔案信息安全風險”的文獻只有1篇，全文中涉及“檔案信息安全風險”的文獻也不過18篇。

在電子文件信息安全問題提出的初期，研究關(guān)注的重點是如何保障電子文件信息的安全，隨著研究的深入，人們越來越發(fā)現(xiàn)要保障電子文件信息的安全，必須對產(chǎn)生電子文件信息安全風險的要素進行控制，必須對電子文件信息安全風險問題進行研究。但研究中常常有將電子文件信息安全與電子文件信息安全風險相混淆的情況。因此，有必要首先對電子文件信息安全與電子文件信息安全風險的概念及兩者間的區(qū)別進行一些闡述。

（一）信息安全和電子文件信息安全。要明確電子文件信息安全的概念，先要搞清楚信息安全的概念。關(guān)于信息安全，學界目前還沒有形成統(tǒng)一的認識，從國內(nèi)外已有的定義看，大致可以分為廣義和狹義兩類。廣義信息安全包括“信息系統(tǒng)的安全和信息內(nèi)容的安全”，是指“所有涉及信息的安全性、完整性、可用性、真實性和可控性的相關(guān)理論和技術(shù)，它是物理安全、網(wǎng)絡(luò)安全、數(shù)據(jù)安全、信息內(nèi)容安全、信息基礎(chǔ)設(shè)施安全與公共信息安全的總和?！焙唵蔚卣f，“信息安全是指信息及信息系統(tǒng)所具有的完整性、可用性和保密性不受破壞?！?/p>

狹義信息安全是指信息內(nèi)容的安全性，“主要側(cè)重于保護信息的秘密性、真實性和完整性，避免攻擊者利用系統(tǒng)的安全漏洞進行竊聽、冒充、詐騙、盜用等有損合法用戶利益的行為，保護合法用戶的利益和隱私。”

與信息安全定義的情況相似，檔案學界對電子文件信息安全的定義也沒有形成共識，大致也有兩觀點，與信息安全定義中的廣義和狹義近似。廣義地講，“電子文件信息安全是指電子文件信息在其生成、保存和利用過程中受到保護，不因偶然和惡意的原因而遭到破壞、更改和泄露，確保其真實性、完整性、系統(tǒng)性、原始性、可讀性和可靠性，并確保電子文件信息網(wǎng)絡(luò)系統(tǒng)連續(xù)正常運行?！笨梢岳斫鉃殡娮游募踩袃蓚€方面的含義：一方面是指電子文件系統(tǒng)或載體的安全；另一方面是指電子文件信息內(nèi)容的安全。與狹義的“信息安全”不同，檔案工作者將狹義的電子文件信息安全又分為電子文件信息系統(tǒng)安全與電子文件信息安全兩種。從電子文件生成系統(tǒng)軟硬件和電子文件信息兩個方面來定義電子文件信息安全。如：“電子文件信息安全是指對電子文件信息內(nèi)容的保密性、完整性、可用性、可控性和不可否認性進行的安全保護。”

電子文件信息安全是指電子文件信息系統(tǒng)安全，包括電子文件應(yīng)用系統(tǒng)安全、電子文件信息網(wǎng)絡(luò)安全、計算機系統(tǒng)安全和電子文件信息設(shè)備安全，主要體現(xiàn)為電子文件的保密性、完整性、可用性、可控性、不可抵賴性5個方面?；蛘哒f電子文件信息安全是指電子文件信息的“保密性、完整性、可用性和真實性的保持。”

總之，電子文件信息安全是指電子文件信息網(wǎng)絡(luò)管理系統(tǒng)的硬件、軟件及其系統(tǒng)中的電子文件數(shù)據(jù)受到保護，系統(tǒng)連續(xù)、可靠、正常地運行，不受偶然的或者惡意的原因而遭到破壞、更改、泄露。或者說，電子文件信息安全是指對電子文件信息系統(tǒng)軟、硬件及系統(tǒng)中的電子文件數(shù)據(jù)信息實施保護，使其免受自然或人為的損害或破壞。

（二）信息安全風險和電子文件信息安全風險。同樣，電子文件信息安全風險概念的明晰，也需要從信息安全風險說起。與信息安全的定義相似，信息安全風險的定義也可以分為廣義與狹義兩種。狹義的信息安全風險，一方面信息系統(tǒng)安全風險是指，“……在信息系統(tǒng)的整個生命周期中面臨的人為或自然的威脅，系統(tǒng)存在的脆弱性導致信息安全事件發(fā)生的可能性及其造成的影響”。另一方面系統(tǒng)中信息的安全風險則是指信息系統(tǒng)中信息的保密性、完整性和可用性遭到破壞的可能性。而廣義的信息安全風險，則包括信息系統(tǒng)安全風險和系統(tǒng)中信息的安全風險。

雖然，在知網(wǎng)數(shù)據(jù)庫中，題名涉及“電子文件信息安全風險”的文獻沒有1篇，主題涉及“電子文件信息安全風險”的有1篇，全文中涉及“電子文件信息安全風險”的文獻也只有18篇。但均沒有定義或討論什么是“電子文件信息安全風險”。“電子文件信息安全風險”似乎是一個不言自明的問題?；谶@種情況，筆者參照上述信息安全風險的定義，結(jié)合電子文件信息的特點，嘗試著將電子文件信息安全風險定義為：電子文件信息系統(tǒng)的整個生命周期中面臨的人為或自然的威脅，系統(tǒng)存在的脆弱性導致電子文件信息安全事件發(fā)生的可能性及其造成的影響，及電子文件信息系統(tǒng)中電子文件信息的保密性、完整性、真實性和可用性遭到破壞的可能性。

（三）電子文件信息安全與電子文件信息安全風險的區(qū)別與關(guān)系。電子文件信息安全與電子文件信息安全風險從字面上看，非常相似，只有區(qū)區(qū)2個字的不同。但兩者存在如下的區(qū)別：目的不同。電子文件信息安全的目的是保障電子文件信息不受損害或破壞，而電子文件信息安全風險的目的是尋找可能損害或破壞電子文件信息的因素，就電子文件信息可能受到的損害或破壞向相關(guān)主體示警。對象不同。電子文件信息安全針對的對象是現(xiàn)實的危及安全的問題，而電子文件信息安全風險針對的是某種危險的可能性。手段不同。實現(xiàn)電子文件信息安全的手段是現(xiàn)實的，包括技術(shù)的、制度的、設(shè)備的。而電子文件信息安全風險只來源于對電子文件信息安全所涉及各要素測量數(shù)據(jù)的分析與評估。容忍度不同。對于電子文件信息安全我們不允許有絲毫懈怠，追求100%的安全。而電子文件信息安全風險不可能，也沒有必要追求0風險，允許有一定的容忍度和風險值，只根據(jù)允許與可控程度采取相應(yīng)的行動。

在兩者關(guān)系上，不是對等關(guān)系，而是包容關(guān)系。電子文件信息安全風險包含在電子文件信息安全之中，是電子文件信息安全的一個組成部分。

二、“互聯(lián)網(wǎng)+”環(huán)境下電子文件信息安全風險的表現(xiàn)形式

在基于移動互聯(lián)網(wǎng)、云計算、大數(shù)據(jù)、物聯(lián)網(wǎng)等先進技術(shù)應(yīng)用的“互聯(lián)網(wǎng)+”環(huán)境下，電子文件信息安全風險具有一些共性，我們將這種共性稱之為“互聯(lián)網(wǎng)+”環(huán)境下電子文件信息安全風險的一般表現(xiàn)形式。其主要表現(xiàn)在兩個方面：

第一是由電子文件自身特性產(chǎn)生的風險。這種風險也可稱之為“原生風險”，或“先天風險”?！白鳛樾乱淮募问剑娮游募粌H面臨著紙質(zhì)文件管理的傳統(tǒng)風險，其獨有的特性又帶來了比傳統(tǒng)文件更多的風險，其中最根本的安全風險就是原始性和可利用性受到破壞。這些不同特質(zhì)的風險相互疊加、關(guān)聯(lián)和影響，導致電子文件管理的風險程度成倍增加。這是電子文件面臨的主要風險?！?/p>

第二是由于電子文件管理的體制、制度、控制手段、方法不周或不當所產(chǎn)生的風險。這種風險可以稱之為“伴生風險”，或“后天風險”?！皩τ陔娮游募芾矶?，由技術(shù)引發(fā)的管理體制和制度的變革是深層的，沒有先例的，具有很大的不確定性，它與技術(shù)風險共同構(gòu)成另一種形式的風險共生與疊加。這就是電子文件管理的體制和制度風險，是電子文件面臨的基本風險?！?/p>

三、結(jié)語

在“互聯(lián)網(wǎng)+”環(huán)境下，技術(shù)的先進性與普及速度間矛盾、應(yīng)用復合性與數(shù)據(jù)海量性間的矛盾、整體上的投入持續(xù)性與局部投入能力有限性的矛盾、需求的多樣性與信息動態(tài)性間的矛盾、信息共享與安全的矛盾使得電子文件信息安全風險更加突出。在這種情況下，理清電子文件信息安全風險要素，對“互聯(lián)網(wǎng)+”環(huán)境下電子文件信息安全風險進行評估與控制，就具有非常重要的現(xiàn)實意義。

[1]孔祥維.信息安全中的信息隱藏理論和方法研究[D].大連理工大學,2003.

[2]溫泉.多媒體數(shù)字水印的魯棒性和不可感知性研究[D].吉林大學,2005.

[3]解男男.機器學習方法在入侵檢測中的應(yīng)用研究[D].吉林大學,2015.

[4]隋欣.淺談電子文件的信息安全問題[J].黑龍江史志,2013（09）:27+33.

[5]金波,宋屏. 電子政務(wù)中電子文件信息安全探析[J]. 上海大學學報(社會科學版),2009（03）:127-134.

[6]吳品才.檔案信息風險評估若干問題研究[J].浙江檔案,2013（11）:14-16.

[7]劉瓊.基于層次分析法的風險評估系統(tǒng)的研究與設(shè)計[D].西安電子科技大學,2009.

[8]楊安蓮.電子文件信息安全管理研究[J].檔案學通訊,2009（04）:12-15.