政务云环境中的档案安全保障生态模型与策略研究*

何思源，刘越男

1 问题提出

档案安全是档案工作的底线和生命线。2009年中央档案馆(国家档案局)原馆(局)长杨冬权在档案资源体系和档案利用体系的基础上首次提出“档案安全体系”[1]。2014年出台的《关于加强和改进新形势下档案工作的意见》(中办发〔2014〕15号)明确了“建立健全确保档案安全保密的档案安全体系”[2]路线图。同年4月，习近平总书记提出总体国家安全观，推动实施国家网络空间安全战略。国家档案主管部门积极贯彻落实党和国家政策，持续强化安全意识，档案安全管理体系的构建成为落实《档案法》修订的重要内容[3]。政务云在赋能档案事业发展的同时，也使档案资源面临更严峻且复杂多变的安全风险。2020年5月，国家档案局办公室发布《关于档案部门使用政务云平台过程中加强档案信息安全管理的意见》(以下简称《意见》)[4]，提出政务云环境中档案工作的基本安全要求，作出原则性规定，明确不能触碰的“底线”和“红线”，但尚未涉及更为具体的安全保障策略。

研究者从不同视角探讨云环境中的档案安全风险消减策略：从档案主管部门视角，制定并完善云计算与档案管理的政策、制度和标准规范[5]，强化对云服务商的外部审计和第三方认证[6]，积极培育、引导和规范档案云计算市场[5]等策略；从档案保管机构视角，提出应用风险评估[7]、完善内部规范[5]和云服务合同[8-12]、合理选择云服务商[7，13]和云部署模式[14]、研究新型“云保险”[5]等策略；从云服务商视角，形成符合电子文件管理需求的云服务意识[15]，综合运用动态身份认证、存取访问控制、RS纠删码冗余容错、数据分割与聚合机制[16]等策略。虽然学界做了一定探索，但实践部门面临的难题仍难解决，原因在于：第一，现有研究提出的策略较为零散，没有将档案云安全保障视为一个有机整体加以系统化构建，未探究保障体系各组成要素之间的互动关系；第二，现有策略多从档案机构或云服务商的单一视角出发，忽略档案机构、云服务商、政务云管理单位等不同主体之间的协同机制；第三，现有研究笼统地探讨“云”，且通常指向公有云环境，未能对政务云环境作出细致分析，亦未区分档案机构使用政务云服务的不同场景。

针对原因一和二，鉴于生态系统理论关注各生态因子之间的相互联系和相互作用，其平衡、协同、共生的核心理念有利于理解档案上云不同主体之间以及相关主体与体制环境、制度环境、市场环境等外部环境间的共生演进关系，对提出更为体系化的档案云安全保障策略具有借鉴价值，故而本文引入生态系统的视角，探索档案安全保障体系。针对原因三，本文进一步聚焦政务云环境，考虑档案云的多种场景，开展有针对性的研究。综上，本文构建政务云环境中的档案安全保障生态模型，提出更具体系性和针对性的风险规避措施和应对策略，旨在为构建与网络空间安全战略相适应的档案安全体系提供参考借鉴。

2 研究设计

2.1 理论视角

本文主要采用生态系统的理论视角开展研究，在宏观和微观两个层面加以应用。

在宏观层面，借鉴生态学领域的自然生态系统理论来构建档案安全保障模型。所谓“自然生态系统”，是指在一定区域中共同栖居着的所有生物(即生物群落)与其环境之间由于不断进行物质循环和能量流动而形成的统一整体，由物质循环中的无机物，连接生物和非生物组分的有机化合物，空气、水和环境，生产者(自养生物)，消费者(吞噬生物)，分解者(腐生生物)构成[17]，可以为理解和处理档案机构、云服务商和政务云管理单位之间及相关主体与体制、制度、标准、市场等外部环境之间的关系提供参考原型，从而为国家层面跨机构、跨部门的协同配合和环境优化提供指导。

在微观层面，考虑到档案机构是档案云安全保障中最活跃、最关键的生态因子，且围绕档案信息资源的收管存用开展工作，可借鉴信息生态系统的理论框架，将档案机构视作一个信息生态系统。所谓信息生态系统，是指信息自身与生命体及其周围环境相互联系和相互作用的有机整体[18]。关于其构成要素，主要有两种说法，一是“三要素说”，即信息、信息人与信息环境；二是“四要素说”，即在三要素的基础上增加信息技术[19]，可为处理档案云安全保障体系中人员、(档案)资源、技术、环境等不同要素间的协调关系提供指导。

2.2 研究方法

本文主要采用调查研究法。在数据收集阶段，主要采用访谈法。2020年1月9日至3月4日，笔者对北京、山东、江苏、河南、内蒙古等地区12家档案机构负责人进行半结构化访谈，包括2组焦点小组访谈和10组电话/微信文字访谈，了解政务云中的档案管理系统建设现状、安全需求、采取的主要安全保障措施以及对档案上云安全责任划分的理解等。选取上述访谈对象的依据主要有三：一是覆盖综合档案馆(10个)和机关档案室(2个)两种机构类型；二是综合档案馆覆盖省级(3个)、地市级(4个)和区县级(3个)三个行政层级；三是所选档案机构正在或有可能使用政务云，且受访者为该机构的主要负责人或档案信息化业务骨干。在访谈过程中，基于生态系统的视角，将档案机构、云服务商、政务云管理单位、外部环境等自然生态因子以及人员、档案、技术和环境等信息生态要素融入访谈提纲，以尽可能获取全面准确的数据。

在数据分析阶段，主要采用开放式编码的方式，具体包括四个步骤：一是将访谈录音转化为文字转录稿，并将访谈记录分别标记为D1-D12。二是两位作者逐字逐句阅读分析文字转录稿，对受访者提到的安全诉求以及应采取的安全保障措施进行开放式编码，具体编码示例见表1。三是对比两份编码，经协商讨论后形成一致的编码结果。四是结合生态系统的视角对编码结果进行归并整合，构建适用于政务云环境的档案安全保障生态模型，包括宏观模型和微观模型，前者主要借鉴自然生态系统的理论框架，用于提出国家层面和跨机构跨部门的安全策略；后者主要借鉴信息生态系统的理论框架，用于提出档案机构内部的安全策略，具体见表2。

表1 编码过程示例(以D9为例)

表2 关键安全诉求和策略与生态系统理论框架的对应关系

在访谈数据分析过程中，92%的受访者提及“明确档案上云范围”，使其成为出现频率最高的安全诉求和策略要求，反映出实践部门的迫切需求，但“哪些档案能上云、哪些档案不能上云”涉及敏感问题，受访者不愿展开讨论，难以通过访谈获得翔实的数据。因此，为进一步掌握档案工作者对档案上云范围的看法，团队采用匿名问卷调查补充相关数据，调查对象为我国从事档案工作的人员，通过问卷星发布，并借助微信、QQ等社交媒体转发，调查时间为2020年2月10-12日，共回收有效问卷128份，利用常规性统计方法加以分析。

3 宏观层面的档案云安全保障生态模型与策略

政务云环境中的档案安全保障是一项复杂的系统工程，涉及的主体和要素较多，但多数现有文献倾向于分别给档案机构和云服务商提出建议和要求，忽视了两者之间的关联性。因此，借鉴自然生态系统的理论框架，基于表2的结果，构建宏观层面的档案云安全保障生态模型，见图1。该模型重点关注的是主体与环境之间及各主体间的相互作用，其中安全生态环境包括管理体制、法律制度、标准规范、项目试点、市场引导等，安全保障主体是指承担档案安全保障职责的机构，可用生产者、消费者和分解者来形象地理解档案云安全保障涉及的不同主体间的关系。该模型还区分了档案上云的两种场景。其中，第一种场景是档案机构(包括档案馆和机关档案室)将已建设完成的档案管理系统从本地迁移到政务云，或基于政务云新建档案管理系统(仅供档案机构内部使用)；第二种场景是某区域综合档案馆在同级档案主管部门的组织协调下，建设基于政务云的统一档案管理系统，包括面向立档单位的档案管理系统，以及面向档案馆的数字档案馆系统，分别向同级机关的档案室和区域内其他综合档案馆提供SaaS服务。在不同场景中，生产者、消费者和分解者所指代的主体略有差异。基于宏观层面的档案云安全保障生态模型，针对政务云环境中的档案安全问题，提出保障策略。

图1 宏观层面的档案云安全保障生态模型

3.1 优化档案云安全生态环境

(1)顺应档案机构改革趋势，探索档案主管部门和档案保存机构之间的安全协作机制。2018年以来，各地积极进行档案机构改革，多数地方实现“局馆分设”。有受访者表示，改革后的档案主管部门履行行政管理职能，并不承担保存档案职责，没有基于政务云开展档案管理工作的强烈需求，机构改革后档案主管部门普遍存在人手不足，却要承担四五个处室的职能，包括职称评定、教育培训、执法检查、业务指导、科研成果申报与评审等，且相当一部分工作人员不具备档案学专业背景或档案工作经验，对政务云环境中档案安全风险和规避策略的态度较消极。在此情况下，档案主管部门更要加强与档案馆、机关档案室的合作和联系，就档案机构应用政务云的安全事宜达成一致认识，加强协作。

(2)完善法律制度和标准规范，推动项目试点示范。档案类数据安全与保密问题更多是政策层面上的[20]。档案主管部门应在《意见》基础上，一方面出台具有操作性的制度规范，指导档案机构进行风险识别和评估，为其制定风险应对策略提供参考框架和方法论支撑；另一方面，根据政务云环境中安全需求层层叠加的情况(档案安全需求叠加模型见图2)，在档案安全制度规范中充分考虑政务云带来的安全风险，提出并细化适用于政务云环境的档案安全需求。安全需求叠加的理念并非云环境中的独特产物，在传统信息化环境中已经存在，最典型的是国家档案局以《信息系统安全等级保护基本要求》(GB/T 22239-2008)为基础制定的《档案信息系统安全保护基本要求》(以下简称《要求》)，即在信息系统等保要求基础上提出档案行业的特殊性要求。各级档案主管部门也可从现有实践做法中选取典型或遴选试点单位，总结提炼其经验加以推广，为其他机构实施档案上云提供规避风险的经验。

图2 政务云环境中的档案安全需求叠加模型

(3)强化市场引导，优化产业环境。档案主管部门可通过申请审查、专家评定、第三方评价、定期复核、公布清单的方式，为综合档案馆和机关档案室选择系统开发商和云服务代理商(如系统集成商、安全服务商)提供指导；促进档案信息技术公司、内容管理软件企业服务质量的提升，优化系统、平台、工具等档案信息化相关产品供给。尤其是在国产化替代方面，多位受访者表示国产化产品在性价比方面存在不足，安全和性价比之间存在矛盾，相关企业要在实现安全可靠和自主可控的前提下提高产品功能的完备性和性能的稳定性。

3.2 构建良性的档案主体互动机制

档案机构、云服务商、政务云管理单位都是档案云安全生态的重要组成部分，主体互动机制的构建需要“分合结合”。其中，“分”是关键，侧重确定清晰的安全责任和职责边界；“合”是基础，侧重三者之间的沟通与协作；监督与审计是建构三者新型关系的重要方式。

3.2.1 明确各利益相关方及其关系

在场景1中，承担生产者角色的是云服务商，由于云计算具有复杂性，所以可能存在多家云服务商共同提供服务，或云服务商作为总承包商将其承担的部分工作发包给具有相应资质的分包商的情况。承担消费者角色的是档案馆、机关档案室等档案机构。生产者与消费者的关系主要是服务与被服务、监督与被监督的关系。承担分解者角色的是政务云管理单位，即政务信息化主管部门，主要负责政务云平台的采购、审批、监督审计等，同时协调公安、网络安全等部门做好信息安全保障工作。分解者是沟通的桥梁，一方面接收来自消费者的政务云资源使用申请，进行受理审核；另一方面，通过公开招标选择合适的生产者。在场景2中，情形大致和场景1相同，只是某区域的综合档案馆和云服务商成为共同的服务提供者(即生产者)，区域内的其他档案馆和同级机关档案室则作为消费者。

3.2.2 确定清晰的安全责任和职责边界

(1)区分“安全责任”和“安全管理职责”概念。各地发布的政务云管理办法将两者混淆表述，但实际上两者存在差异。前者侧重最终安全责任，指向发生安全事故时的首要追责对象；后者侧重安全管理工作的内容或采取的安全保障措施。以综合档案馆中数字档案馆系统建设外包为例，安全责任主体是档案馆，档案馆和承担软件开发的外包公司按照合同或协议共同承担安全管理职责。

(2)确定政务云环境中的安全责任主体。根据《关于加强党政部门云计算服务网络安全管理的意见》提出的“安全管理责任不变”[21]要求，即“网络安全管理责任不随服务外包而外包，无论党政部门数据和业务是位于内部信息系统还是服务商云计算平台上，党政部门始终是网络安全的最终责任人”，据此可基本判定政务云环境中的档案安全责任主体是消费者(即档案机构)。对于安全责任主体来说，无论实际承担多少安全管理工作，都必须要严格、认真履行自身的监督检查职责。

(3)基于云服务模式划定安全职责边界。《信息安全技术 云计算服务安全指南》(GB/T 31167-2014)提供的“服务模式与(客户)控制范围的关系”(见图3)可为安全职责边界的确定提供参考。根据该标准，无论采用何种服务模式，云服务商都要负责设施、硬件、资源抽象控制层的安全保障，而虚拟化计算资源、软件平台、应用软件的安全职责划分需根据服务模式、当地的政务云管理办法、签订的云服务合同具体分析。在场景1中，消费者使用的往往是PaaS或IaaS服务，即生产者承担平台或基础设施层以下的安全职责，消费者承担平台或应用软件层以上的安全职责。虽然场景2在实践中还不多见，但也是未来的重要趋势。在这种情况下，生产者应负责从硬件基础设施到应用系统各层面的安全保障，通常来说云服务商承担平台层及以下的安全职责，作为共同服务提供者的综合档案馆承担应用软件的安全职责，而消费者则承担档案访问权限设置、使用过程中的安全等方面的职责。

图3 云服务模式与(客户)控制范围的关系[22]

3.2.3 建立跨机构的沟通与协作机制

(1)政务云管理单位主导的沟通与协作机制。有受访者表示当地政务云建设比较混乱，容易影响上云业务系统之间的互操作性以及业务系统和数据跨云平台的可移植性。政务云管理单位要充分发挥自身统筹协调的作用，扮演好“协调员”的角色，建立各党政机关(包括档案机构)信息化相关负责人参与的沟通协作机制，并通过调研等方式清楚理解双方的诉求和要求，尤其是要增进对消费者个性化安全需求的了解。

(2)档案机构推动的沟通与协作机制。一方面，档案机构应积极和政务云管理单位保持联系，建立起对话和交流的渠道，掌握当地政务信息化建设的整体思路。有受访者强烈建议：“档案机构一定要积极与政务云管理单位对接，做到前期介入，最好能进入领导小组。”如果是场景2，当地的档案主管部门和作为共同服务提供者的综合档案馆还应依托档案业务指导机制，在各机关档案室和其他综合档案馆之间建立起对话机制，确保用户能对统一档案管理系统有更充分的了解，且用户需求可以反映在最终提供的SaaS服务中。另一方面，档案机构也要和其他已经上云的单位建立联系。例如，有受访者表示，其所在档案馆就曾调研过省公安厅的上云情况，并在借鉴经验的基础上着手实施档案上云。

两类不同主体为主的沟通与协作机制并非截然分开，而应同步推进、相辅相成，政务云管理单位和档案机构各有优势和侧重，只有相互结合，才能实现多元主体的协同配合，从而更好地应对安全风险。

3.2.4 建立持续的监管与审计机制

在政务云环境中，监管关系是消费者与生产者之间的重要关系，即消费者通过监管和审计的手段来防范风险。在正式实施云部署前，档案机构应对云服务商开展“尽职调查”，尽可能以客观中立的态度评估本地政务云平台的建设情况和安全性能。在上云后，档案机构可参照《信息安全技术 云计算服务安全指南》(GB/T 31167-2014)、《云计算安全框架》(YD/T 3148-2016)及档案领域的相关行业规范，制定面向政务云环境的档案安全监管与审计框架，明确安全监管和审计的维度和指标。一方面，档案机构要对政务云环境中的档案安全状况进行审计跟踪，定期对档案数据的“四性”进行检测；另一方面，要通过查阅审计报告、实地调研、听取汇报、焦点小组访谈等方式，对云服务商是否按约定采取必要的安全管理和技术措施进行持续的监督和审计。具体说来，主要有以下四种方式，一是档案机构借助政务云平台提供的安全监测和威胁感知工具进行监管；二是政务云服务商主动出具安全审计报告，以证明自身的合规；三是考察第三方机构出具的面向政务云平台的安全评估报告；四是由政务云管理单位进行监管，并定期联合消费者(即档案机构)、信息安全行政主管部门、公安部门或第三方安全测评机构对政务云平台进行安全风险评估，对云服务商进行合规性审计。

4 微观层面的档案云安全保障生态模型与策略

在自然界，生物圈是最大的生态系统，由各种各样的子生态系统构成。档案云安全保障生态也包含多个小的子生态系统，其中，档案机构本身构成了最活跃、最关键的子生态系统。笔者参考借鉴信息生态系统的理论框架，基于表2的结果，构建微观层面的档案云安全保障生态模型，该系统可被视为宏观生态系统的子系统，见图4。“档案资源”对应信息生态系统中的“信息”要素，“档案工作者”对应“信息人”要素，“组织环境”对应“信息环境”要素，“信息技术”直接对应“信息技术”要素。

图4 微观层面的档案云安全保障生态模型

4.1 实现档案资源的分级分类，明确档案上云范围

在实际工作中，影响档案上云范围的因素主要有档案资源属性和政务云类型。在档案资源属性方面，澳大拉西亚数字文件保管动议(Australasian Digital Recordkeeping Initiative，ADRI)发布的《云计算中的文件风险管理指南》揭示出决定风险程度的3个档案资源属性：文件的内容和主题事项、敏感程度、对业务的重要性[23]。此外，部分受访者表示还需考虑档案资源的形成环境。因此，可从敏感程度、业务重要性(主要体现在保管期限上)、形成环境以及内容和主题等4个维度确定档案资源的属性。需说明的是，内容和主题维度包括民生档案和属于政府信息公开范围的档案，而没有涉及其他类型档案，主要是考虑到受访者曾多次提及这两类档案。政务云类型包括面向政务内网、政务专网、政务外网和互联网等不同网络的政务云。基于此，笔者设计了“研究方法”部分提及的问卷，数据调查结果如表3所示。通过表3发现，档案资源的敏感程度对档案上云范围的影响非常显著，业务重要性、形成环境以及内容和主题维度的影响相对较小。如果将档案上云(包括面向内网、专网、外网和互联网的政务云)的支持率相加，涉密档案的支持率是58.6%，属于控制使用范围的档案的支持率是89.06%，开放档案的支持率是92.19%。涉密档案和其他类型档案的支持率差距悬殊，可见我国档案工作者对敏感程度高的档案上云比较谨慎。

表3 档案工作者对于档案上云范围的认知

从政策层面看，《意见》规定了档案上云范围的“红线”和“底线”，即涉及国家秘密、工作秘密的档案数据和业务以及数字档案资源总库的管理与备份不得使用政务云，对关键业务和涉及敏感信息和公民隐私的档案数据可在确保安全的前提下考虑使用政务云平台。然而，档案工作者的认知和国家政策规定存在一定差异。以涉密档案为例，国家政策明确规定涉密档案不得使用政务云，但调查显示58.6%的档案工作者认为涉密档案可以使用政务云。

结合上述政策以及访谈和问卷数据，关于档案上云范围，建议如下：第一，从敏感程度来看，涉密档案不上云，开放档案可使用面向政务外网和互联网的政务云，属于控制使用范围但不涉密的档案可考虑使用面向政务内网和专网的政务云。第二，从业务重要性角度来看，可先从定期10年保存的档案上云开始，按照10年、30年、永久的顺序逐步推进档案上云工作。第三，从形成环境来看，形成于政务云的原生电子文件归档形成的电子档案可使用政务云，馆藏档案数字化成果和形成于本地环境的原生电子档案需要结合其敏感程度考虑是否上云。第四，从内容和主题维度来看，属于政府信息公开范围的档案可使用面向政务外网和互联网的政务云。至于民生档案，由于其实质是政府机构形成的与民生相关的业务档案，范围较广也相对模糊，故而在上云与否的问题上存在争议。也有人表示应根据查阅对象身份、档案开放程度、重要程度视情况而定；有人表示民生档案属于可公开的档案信息，满足等保三级要求就可以上云。可在慎重考虑政务云安全前提下，将民生档案存储在面向政务外网、专网或内网的政务云上。

4.2 更新安全观念，提高业务技能

首先是调整文化心理，更新安全观念。我国档案领域存在一定的“行政导向”，档案工作者常常将工作的推动落实寄希望于上级的命令、政策的出台和领导的重视，但并不是每个机构都具备如此“完美”的条件。档案工作者需要转变这种文化心理，实现从过于依赖条件向积极主动创造条件的转变。访谈发现，许多档案工作者认为档案上云不安全并不是深思熟虑的结果，而是惯性使然，当面临新生事物时，首先想到的是质疑。在数字时代，档案人更需要积极主动的安全管理观念。档案人应客观看待关于档案上云的安全风险：将档案存储在政务云上确实会带来安全隐患，但将档案存储在本地系统中同样也面临着风险，没有一种技术方案是完全零风险的。档案工作者需要做的不是寻找一种高枕无忧的解决方案，而是从众多方案中选择安全性强、保障措施完善、风险较低的一种，并尽可能采取措施以规避风险。正如英国国家档案馆发布的《云存储如何满足英国公共档案馆的需求》所述，无论数据存储在何处，都应该关注数据安全性，但如果认为大多数云服务本质上不如本地数据中心安全，那是不切实际的。云服务商是备受瞩目的目标，它们的服务器肯定会受到近乎持续的攻击。有时这些攻击会成功，服务也会受到不利影响，但其安全政策和程序通常不会低于档案馆本地数据中心[24]。

其次是提高业务技能。几乎所有受访者均表示，档案部门缺乏信息技术人才，认为这是影响信息安全的重要因素。与之相应的解决路径有两条：一方面加大技术型人才引进力度，这也是最常提及的；但不应该忽视另一方面，即“改造”档案工作者的既有知识结构，提升业务技能。曾有受访者提出一个有趣的观点，“档案上云面临的最大风险是档案工作者不具备识别风险的能力”。因此，档案工作者既要有自发的学习行为，档案主管部门、档案学会等也要积极提供相关的培训。

4.3 综合运用加密、权限管理、容灾备份等技术

档案机构最担心的两类安全风险就是丢失和泄密。针对丢失，需进行容灾备份。一方面，档案机构应要求政务云平台提供较为完备的容灾备份机制，明确备份的时间、周期、方式、地点、载体等具体的策略，确保档案管理系统平稳运行和档案数据安全。针对泄密，最直接且最常见的方式就是加密，但考虑到《要求》的规定，即“电子档案长期保存数据不宜采取技术加密手段”，可采用在线档案资源加密存储但脱机备份不加密的策略。另一种防泄密的有效方式就是精细化的权限管理模式，即遵循最小授权的原则，在主体(角色)、档案资源和操作行为之间建立映射关系。传统信息化环境中就有权限管理的概念，并形成了一些有益经验(如三员分立的原则)，但主要是档案机构内部的权限分配问题。在政务云环境中，权限涉及的主体更为多元且复杂多变，应推行精细化的权限管理模式。档案机构应统筹考虑档案机构内部人员、云服务代理商或数字化公司等外包企业相关人员、云服务商内部人员及其分包商或商业合作伙伴相关人员的权限，确保只有经过档案机构的授权，云服务商或其他第三方才能具有云端档案数据的管理和访问权限。此外，由于政务云牵涉的主体较多且流动性较强，应坚持动态的权限管理原则，适时调整权限管理方案。

4.4 建设有利于维护档案安全的组织环境

档案机构需要为档案安全保障提供有利的组织环境，包括制度规范、机构与人员、应急机制、资金保障。就制度规范而言，各档案机构可先行探索，具体来说有两种建设思路，一种是专门制定面向政务云环境的档案管理制度，另一种是修订完善现有安全制度规范，将与政务云安全有关的要求嵌入已有制度规范中。就机构(组织设置)而言，当前档案馆内负责实施档案上云的一般是信息技术处(或类似名称)，但使用政务云不仅是技术问题，更是管理问题，会涉及业务流程和管理要求的变化。因此，档案机构需要在更高层面规划政务云应用，将其纳入领导视野；档案室则要积极与单位内网络信息化部门沟通，参与到上云的相关规划与设计过程中。同时，需建立安全责任岗位制，明确与档案安全相关的责任主体及其工作内容和岗位要求。就应急机制而言，档案机构应联合云服务商和政务云管理单位，做好风险管控和应急预案，并定期(如每年一次)进行安全演练。此外，几乎所有受访者都谈到人财物的问题，档案工作者需主动作为，尽力争取上级领导的重视，确保资金和人员到位。

5 结语

虽然档案上云的国内案例相对较少，但在云计算成为“新基建”重要内容的今天，越来越多的档案机构探索基于政务云的档案管理模式，健全完善的风险应对体系已经成为推动档案事业数字转型、纵深发展的重要基础和关键支撑。研究发现，政务云环境中的档案安全风险应对策略不应是割裂的、孤立的、分散的，而应是系统的、协调的、动态的，需要有一种生态系统的视角。依据本文提出的档案云安全保障生态模型，档案机构既要从宏观层面考虑到生产者、消费者和分解者及其与生态环境之间的关系，也要从微观层面考虑档案资源、档案工作者、信息技术、组织环境等方面的举措，从而构筑起坚实可靠的安全“堡垒”。