点
击
蓝
字
关
注
我
们
针对近期付华博士广受业界欢迎的《安全:档案工作的生命线》一书,数字罗塞塔计划公众号将以文摘的方式推出系列文章四篇,主要以实例的方式介绍国内外档案安全事故。
本文是系列文摘之四,分别介绍美国发生的电子档案泄密事件、安防系统不能正常运行带来安全风险、档案馆中人身伤害风险的案例,以及档案安全文化的内涵。
美国发生的电子档案泄密事件
这几年,美国几个搞得沸沸扬扬的泄密案件,实际上都是档案管理不善的表现。这些案件虽然发生在美国,但其教训也值得我们汲取。
维基解密网站成立于2006年,这个网站没有公布自己的办公地址和电话号码,也没有列举该网站的主要运营者的姓名,甚至连办公邮箱都没留。外界既不知道它的总部在哪儿,更不知雇员是哪些人。“维基解密”网站依靠服务器和数十个国家的支持者,做了很多事情。它的创始者说,那些上传材料的人也都是匿名。网站的总编辑是朱利安·阿桑奇,有“黑客罗宾汉”之称,1971年出生于澳大利亚。
“维基解密”网站一直自我标榜反对权力过度扩张的政府,支持公民活动家、记者以及其他挑战强权的人士。该网站专门公布机密“内部”文件,其宣称要揭发政府或企业的腐败甚至是不法的内幕,追求信息透明化。
维基解密影响最大的事件是公布美国在阿富汗和伊拉克战争中杀害平民和虐囚的文件。他们公布了多少,没有一个准确的数字。2010年7月25日,维基解密网站通过英国《卫报》、德国《明镜》和美国《纽约时报》公布了92000份美军有关阿富汗战争的军事机密文件。后来,维基解密网总编辑朱利安·阿桑奇说,将在一个月内公开剩余1.5万份美国阿富汗战争涉密文件。2010年10月23日,维基解密公布40万份伊战文件,虐囚及滥杀平民的事件就在这批文件中揭露出来。2010年11月22日,“维基解密”网站又公开了300多万份机密文件。这批文件的数量是其上个月公布的伊拉克文件的7倍之多。
维基解密公布那么多的秘密,全面暴露了美国政府的虚伪与丑陋,大大打击了美国的声誉。对于这次事件,美国人总结了教训:那些材料如果有更高的保密级别,也许事情不会发生;大量的情报集中于一处,是一个更大的错误。只能说,这种说法有一定的道理,但并不是全部的道理,因为一个士兵能够将大量的机密档案拷贝下来,核心是美国当局对机密档案管理不善,如果有一个更加严格的管理措施,涉密文件不允许拷贝,不允许脱离保存系统的监控,这些文件就不可能被大量地拷贝、带出,因此也就不会有维基解密事件的发生。
自2007年小布什时期开始,美国国家安全局和联邦调查局开始实施一项代号为“棱镜”绝密电子监听计划,直接进入美国网际网络公司的中心服务器里监控电子邮件、视频和语音交谈、影片、照片、档案传输、登入通知,以及社交网络细节。通过数量巨大的监听文件,可以构建某个人生活的全部电子档案。微软、雅虎、谷歌、苹果等9家国际网络巨头皆参与其中。过去,为了避免侵犯公民隐私,美国只允许针对外国人士进行这类计算机分析。
这些监听文件被保存在一个经过了多重保密措施的环境中。但是,即便有了世界上最大间谍机构的多重保密措施,这些绝密档案还是被外包服务商的雇员爱德华·斯诺登大批量地拷贝了下来,并被带出了美国国境。抛开斯诺登公布机密档案的动机与意义不谈,单就事件本身而言,在国家安全局从事外包服务的一个雇员能够接触大量的涉密文件,并且能够绕开多重加密措施不留痕迹地将涉密文件拷贝下来,顺利带出,不是技术问题,而是管理问题,是典型的管理不善的表现。
2015年初,在美国总统大选期间,希拉里节节胜利,支持率比对手特朗普高出12个百分点。舆情预测,希拉里胜利在望,即将成为美国首位女总统。这时,希拉里邮件门事件被曝光。希拉里在2009年至2013年担任美国国务卿期间,违规使用私人电子邮箱和位于家中的私人服务器收发大量涉密的邮件,涉嫌违反美国《联邦文件法》。在面临调查时希拉里删除了服务器上的邮件。2016年夏季,美国民主党全国委员会、筹款委员会、竞选团队被黑客组织入侵,近2万封邮件被维基解密披露。邮件显示,希拉里涉嫌抹黑竞争对手,以及可能涉嫌洗钱等财务问题。
FBI调查后,确认希拉里的行为并无不当。后来,维基解密又收到新的邮件,并立即公布了这些邮件。在这些邮件中,有600项涉及机密信息,91起邮件的传送违反了安全规定。维基解密有了新的曝光后,FBI不得不重新开始调查希拉里邮件门事件,直接导致人气领先的希拉里败给了非常不靠谱的特朗普。
对于公布邮件的背后推手,美国政府一直认为是俄罗斯和维基解密阿桑奇干的。实际上,抖出这事的是个大胖子黑客 Kim Dotcom !
由于希拉里档案管理不善,也由于Kim的手段够黑,更由于Kim有老虎屁股也能摸的雄心,导致了希拉里总统梦断,成全了特朗普。
安防系统不能正常运行带来安全风险
安全监控系统由多个部分组成,有些部分出现故障,不经过专门的检测是不能肉眼直接发现的。如果故障没有得到及时排除,可能会使得某个部分的功能不能正常发挥,起不到监控的作用。如某个摄像头出现了故障,这个摄像头监控的区域将不会有视频图像留存下来;如果红外探测器出现故障了,它所探测的区域出现非法入侵了,也不会及时报警;报警器出现了故障,要么不会正常报警,要么胡乱报警,扰人撩人,惹人烦恼。等等。系统越旧,故障概率越高,修复不及时,容易导致安全事故不能被发现、报警和记录。
许多档案馆都对重要部位进行了监控,目的是要留下监控部位里各种活动的记录。但是有的地方,监控系统建设完成之后,对监控系统缺乏有效地维护和管理,有的监控系统长时间不能正常工作,也不能被发现,以致监控系统不能留下监控区域各种活动的记录。一旦发生了情况,需要查找监控记录的时候,就找不到活动的证据。
前些年,某档案馆在进行例行安全检查时发现,档案馆机房内的设备有非法插入硬盘的记录。为了搞清这个记录的来龙去脉,档案馆调取了机房内的监控数据。结果发现,机房监控设备被设置成24小时分秒不停地进行监控记录,导致机房监控设备数据循环的周期非常短,仅有20天左右。实际上,现在的监控系统都有一个设置,只有监控区域内图像发生某种变化时,监控记录才启动,并留存图像数据。因为监控数据没有保存足够长的时间,通过监控数据弄清事件的来龙去脉几乎是不再可能。
2020年初,西部某省档案馆的同志在对馆藏档案盘点的过程中,发现部分馆藏档案缺失。该馆随即进行馆藏档案清理工作。缺失的37卷档案只找到1卷,其他36卷档案未查找到,其中就包括一卷非常重要的档案。另外缺失的35卷档案中,有24卷档案在1996年、2005年清库时已经发现缺失,11卷为此次清库时发现缺失。其中的一卷重要档案曾经存放于特藏室内,平时也接待部分人士参观。为确保档案的安全,档案馆建设了特藏室安全监控系统,对特藏室进行全方位的监控。在查找档案失踪线索的时候,打开了安全监控系统,希望通过监控系统查清出入特藏室的人员、时间等相关情况。但打开之后发现,监控系统没有正常工作,根本就没有留下特藏室人员出入情况的记录。通过监控设备根本查不出有关档案失踪的相关线索,特藏室安全监控系统的建设失去了价值。
档案馆中人身伤害风险
如果说,档案库房环境对档案工作人员的身心健康影响是缓慢和不知不觉中发生的,那么档案设施设备运行过程中出现的事故,对档案工作者的伤害和影响则是立时可见的。
档案工作人员的人身伤害大多来自档案设施设备的倒塌、故障。
档案库房是档案工作人员出入较多的场所,档案库房质量是造成档案人员人身伤害的一个重要因素。档案库房存放的档案密度高,比起一般的办公用房来说,其实际载荷要大得多,因此档案库房建筑的质量都有特殊要求。最近一些年,许多地方都按照《档案馆建筑设计规范》的要求建设了新的档案馆,档案库房质量有了明显提高,档案和档案工作人员有了良好的安全保障。但是,全国有不少档案馆仍然是老旧的馆房,有的甚至已经到了使用寿命,还有不少机关和企业事业单位的档案馆、档案室设置在普通办公用房之中。和按照《档案馆建筑设计规范》建设的档案馆比较起来,这些档案库房在遇到突发情况时会有更大的危险性。在遇到了地震的情况下,这些档案库房将面临倒塌的风险,很容易导致人身伤害。
北川县档案馆已经给我们留下了深刻的教训。该县档案馆设置在县委、县政府的办公楼中,2008年汶川大地震中,北川县档案馆整体倒塌,一名档案工作人员被埋在倒塌的档案馆中,不幸身亡。在2010年4月14日发生的青海玉树地震,玉树县档案馆工作人员1人不幸遇难,1人受重伤。
档案库房中常见的大型设备是档案密集架。密集架提高了档案库房的利用效率,增加了档案存储的数量,但随之而来的是人员伤害概率的提高。因为单位面积内档案数量的增加,导致档案柜架重心的提高,平衡稍被破坏,就有可能导致密集架的倒伏,如果有人员在打开的密集架中工作,极易造成人员的伤害。
二十几年前,西南某市档案馆曾经发生过密集架倒塌致人受伤的事件。
2023年某大学在进行122周年校庆的前夕,对图书馆进行了改造,安装了新的密集架。在图书馆改造完成后不久,新安装的密集架发生了倒塌事故,所幸没有造成人员伤害。
档案馆中都要有消防设备。为了在档案库房起火之后能够在第一时间启动灭火器灭火,有些档案部门把档案消防系统设定为自动启动状态,也就是在消防系统中的报警器报警之后,灭火器自动启动,最大限度地灭火于火灾初起之时。这个想法是好的,但现实中有许多意想不到的情况。比如,报警器发生故障,误报库房发生火灾,如果没有经过核实,如果自动启动了灭火系统,很有可能使库房内的人员面临生命危险。
现在,档案馆越建越大。许多档案馆在通往库区的地方都设置了一个出入总门。为了保证库区的安全,出入总门往往被加上了一把锁。进入馆库的人不能随身携带手机是各个档案馆的例行规定,同时库房之内没有对外联络的途径,一旦有人被锁在库房之内,不能对外联络,容易造成人身伤亡。
十几年以前,一个大型档案馆在国庆长假前,在进行了安全检查之后,锁上了库房总门。由于检查、通报不够仔细,另一楼层库房中有人正在工作,结果被锁在了库房之内。所幸傍晚时,值班人员在库区外巡视,听到了呼救声,才免于重大事故的发生。
档案安全文化的内涵
档案安全文化是一个单位为了保证档案的安全而营造的全体档案工作者的档案安全保管与利用的观念、行为、环境和条件的总和。其范畴大致可分为4个方面,即安全观念文化、安全行为文化、安全制度文化和安全物态文化。
1.安全观念文化
安全观念文化是指在一个单位的长期工作中形成的关于档案安全的价值观、行为规范和思维方式。安全观念文化包括五个方面的内容:
一是
强调“安全第一”的哲学观念,充分认识档案安全的价值。在各项工作中对造成档案破坏的一切可能始终保持着戒备和警觉,真正认识到安全是档案工作的红线、底线和生命线,把“安全第一”作为做好一切工作的基础。
二是
遵循“预防为主”的原则,树立科学的安全态度。在任何活动开始之前,都应该进行全面的风险评估,并采取相应的措施来消除或降低发现的风险隐患。
三是
倡导“全员参与”的理念,切实履行自身的安全责任。安全不只是领导者的责任,也是中层管理者、基层执行者的责任,每一个方面出现了疏漏,安全隐患就有可能继续存在、继续发展,最后就有可能成为安全事故。
四是
注重“持续改进”的精神,持续增强安全意识。档案工作的对象、环境是不断变化发展的,新的安全问题也会不断出现,只有不断地增强档案安全意识,学习新知识、掌握新技能、采取新措施,才能解决不断产生的新问题。
五是
坚持“诚信和透明”的宗旨,不断升华安全情感。维护档案安全是每一位档案工作者的重要职责,要把安全意识、安全措施贯彻落实到档案工作的全过程、各方面,在处理安全问题时,必须坦诚相待,不隐瞒事实真相,也不掩盖错误。只有这样,才能真正找到问题的根源,采取有效的措施加以解决。
2.安全行为文化
安全行为文化是指在一个单位之内,无论是决策者、管理者还是执行者,所有人员都重视并积极参与维护档案安全的行为模式和价值观念。安全行为文化强调的是一种积极、主动的安全意识,重点是不断提升档案法规的执行能力,使对档案法规的遵从成为每一位档案工作者内化于心、外化于行的行动自觉。建设档案安全行为文化,必须提高档案部门决策者的安全规划、安全管理能力,强化中层管理者承上启下的执行技能,提高基层员工以安全意识、安全知识、安全技能为核心的安全素质,形成一个单位遵章守纪、行为规范,人机协调、操作高效,文明活动、身心健康的安全行为文化氛围。
3.安全制度文化
安全制度文化是指一个单位关于档案安全的观念、行为规范、管理方式和实践活动的总和,其核心是通过制度化的手段,形成一种自觉遵守安全规则、积极参与安全管理、不断提高安全素质的良好氛围。安全制度文化建设一般包括制定有关档案安全的严格的安全法令、严谨的安全规程、系统的安全程序,以及确保其贯彻执行的教育培训、监督检查等各个方面。安全制度文化是保障档案安全的重要基石,通过严明的法律、明确的责任和规范的管理,使档案工作的每一个参与者都必须坚持制度至上,自觉地用制度指导、规范档案工作行为。坚持制度的刚性,使每一个人在制度面前的主观能动性少些、再少些。
4.安全物态文化
确保档案安全,不能没有一定的设施设备。如保护档案不能没有档案库房,杀虫灭菌不能没有必要的消杀设施,保持合适的档案环境不能没有必要的温度湿度调节设备,确保档案不被偷盗、免于火灾,不能没有安防消防设备。安全物态文化就是要建设安全标准的档案工作环境,使其中的设施设备努力达到本质安全化的要求;要应用现代科学技术,加强档案安全保护,提高档案安全管理水平;要完善档案保护、安防、消防设施,提高安全保管和监控水平;要加强安全检测检验,使档案工作的设施设备始终保持良好的工作状态,实现从源头预防安全事故的发生。总的来说,建设安全物态文化就是要通过改善物质环境、设备设施和工艺流程等硬件条件,以及提升员工安全意识、行为习惯和管理机制等软件条件,控制档案安全隐患,构建一个更加安全、健康的档案安全保障环境。
如果您在阅读本文后仍觉意犹未尽,不妨进一步了解这本干货满满的专业书籍——书中收录了180多个真实案例,对档案安全风险的来源及表现展开了深入剖析。想要获取这本书?直接扫描下方二维码进行购买~
※ 一切以购书渠道的官方消息为准,购买链接仅作为信息参考,大家按需购买。
END
热文推荐
档案信息化
就看罗塞塔
高端交流群已开
加小罗,秒进群
点点“赞”和“分享”,给罗塞塔充点儿电吧~