區(qū)塊鏈技術(shù)在社保檔案信息安全的應(yīng)用

宋輝宇

摘 要：傳統(tǒng)的紙質(zhì)檔案具有唯一性、敏感性和特殊性。隨著社會對檔案信息價(jià)值屬性的認(rèn)可，社保檔案的作用越發(fā)彰顯重要，對檔案信息安全和隱私的要求也越來越高。借助網(wǎng)絡(luò)技術(shù)開展檔案管理信息化工作給檔案管理工作提供便利的同時(shí)也增加了受網(wǎng)絡(luò)攻擊、更易于被偽造和篡改的風(fēng)險(xiǎn)。本文根據(jù)環(huán)境因素分析構(gòu)建SWOT矩陣分析區(qū)塊鏈技術(shù)在社保檔案管理應(yīng)用的可行性，為保證檔案信息化建設(shè)過程中系統(tǒng)和系統(tǒng)中數(shù)據(jù)的信息安全，構(gòu)建了聯(lián)盟鏈憑證保證應(yīng)用模式。

關(guān)鍵詞：社保檔案;區(qū)塊鏈技術(shù);信息安全

社保檔案是社保經(jīng)辦機(jī)構(gòu)在辦理社會保險(xiǎn)業(yè)務(wù)過程中形成的具有保存價(jià)值的歷史記錄，是社會個(gè)體享受社會福利的重要依據(jù)，是社保工作順利開展的信息資源和基礎(chǔ)，具有涵蓋種類多，信息量大，涉及人員廣，存檔周期長的特點(diǎn)。隨著我國社會保障工作規(guī)范化、法制化不斷增強(qiáng)，計(jì)算機(jī)技術(shù)在社保系統(tǒng)中的普遍應(yīng)用大力推進(jìn)了社保檔案的信息化進(jìn)程，同時(shí)也加大了社保檔案信息安全的風(fēng)險(xiǎn)因素，因社保檔案中的信息涉及到了社會公眾的個(gè)人隱私、投保信息和投保內(nèi)容，若保護(hù)不當(dāng)勢必會影響社保工作，影響社會公眾切身利益，成為社會不穩(wěn)定因素，如何保護(hù)社保檔案信息安全成為當(dāng)前社會公眾關(guān)注的熱點(diǎn)問題。

近年來，隨著大數(shù)據(jù)、人工智能、物聯(lián)網(wǎng)等新技術(shù)的迅猛發(fā)展，區(qū)塊鏈技術(shù)特性得到認(rèn)可并應(yīng)用到實(shí)體經(jīng)濟(jì)中。區(qū)塊鏈就是分布式數(shù)據(jù)存儲的一種應(yīng)用模式，它最大的特點(diǎn)是去中心化、可追溯、難篡改、公開透明，每個(gè)區(qū)塊都包含了一次完整的網(wǎng)絡(luò)交易信息，用于驗(yàn)證其信息的有效性以及生成下一個(gè)區(qū)塊。區(qū)塊鏈采取單向哈希算法記錄所有曾經(jīng)發(fā)生并經(jīng)系統(tǒng)認(rèn)可的交易，每個(gè)新產(chǎn)生的區(qū)塊嚴(yán)格按照時(shí)間線形順序推進(jìn)，每個(gè)區(qū)塊都具有獨(dú)一無二的時(shí)間戳，由于時(shí)間本身的不可逆性和不可撤銷性的特點(diǎn)，使得任何試圖篡改區(qū)塊鏈內(nèi)信息數(shù)據(jù)的行為都很容易被追溯，并且還會被其他節(jié)點(diǎn)排斥，節(jié)點(diǎn)之間所達(dá)成的共識機(jī)制使得造假的成本極高，從而可以有效限制篡改、造假的不法行為。區(qū)塊鏈數(shù)據(jù)庫不存儲在任何單一位置，這意味著它保留的記錄是真正公開的并且易于驗(yàn)證，沒有集中版本的此信息可供黑客破壞，由數(shù)百萬臺計(jì)算機(jī)同時(shí)托管，互聯(lián)網(wǎng)上的任何人都可以訪問其數(shù)據(jù)。

一、區(qū)塊鏈技術(shù)在保障社保檔案信息安全中的應(yīng)用分析

根據(jù)環(huán)境因素分析構(gòu)建SWOT矩陣分析區(qū)塊鏈技術(shù)應(yīng)用于社保檔案管理的可行性。

1.區(qū)塊鏈技術(shù)優(yōu)勢。區(qū)塊鏈技術(shù)利用區(qū)塊、鏈?zhǔn)綌?shù)據(jù)結(jié)構(gòu)來驗(yàn)證和存儲數(shù)據(jù);利用分布式節(jié)點(diǎn)共識機(jī)制來生成和更新數(shù)據(jù);利用密碼學(xué)的保護(hù)方式來保證數(shù)據(jù)傳輸和訪問的安全;利用智能合約來操作數(shù)據(jù)、監(jiān)控信息和維護(hù)數(shù)據(jù)，具備的優(yōu)勢是：

（1）集體維護(hù)。除了被加密的私有信息外，系統(tǒng)是開放的，由所有具有維護(hù)功能的節(jié)點(diǎn)來共同維護(hù)。如果某些節(jié)點(diǎn)上的信息被惡意篡改了，區(qū)塊鏈上的其他節(jié)點(diǎn)會在短時(shí)間內(nèi)做出反應(yīng)，發(fā)現(xiàn)這些沒有形成“共識”的信息并加以維護(hù)，進(jìn)行更新，區(qū)塊內(nèi)的每個(gè)節(jié)點(diǎn)都在自動(dòng)參與記錄的同時(shí)也在驗(yàn)證著其他節(jié)點(diǎn)所記錄的結(jié)果的正確性，在區(qū)塊內(nèi)部完成信息統(tǒng)一的活動(dòng)，維護(hù)效率提高，成本降低。任何人都可以通過公開的接口查詢區(qū)塊鏈數(shù)據(jù)，整個(gè)系統(tǒng)信息高度透明。

（2）去中心化。區(qū)塊鏈?zhǔn)且詤^(qū)塊的方式記載和存儲數(shù)據(jù)，并按照時(shí)間順序排列鏈接，存儲數(shù)據(jù)時(shí)使用的是分布式核算和存儲，沒有第三方中心服務(wù)的硬件或管理機(jī)構(gòu)，各節(jié)點(diǎn)均能實(shí)現(xiàn)自我信息的驗(yàn)證、傳遞和管理，所有節(jié)點(diǎn)的權(quán)利和義務(wù)是均等的。個(gè)別的篡改無法得到整個(gè)網(wǎng)絡(luò)的認(rèn)可，使得數(shù)據(jù)無法被篡改，當(dāng)任一節(jié)點(diǎn)停止工作時(shí)也會不影響系統(tǒng)整體的運(yùn)作。

（3）不可篡改性。數(shù)據(jù)信息存儲在各個(gè)區(qū)塊上，區(qū)塊鏈上的每一個(gè)節(jié)點(diǎn)都可以驗(yàn)證數(shù)據(jù)信息的完整性和可靠性，信息經(jīng)過驗(yàn)證就會添加至區(qū)塊鏈上，并且不可更改，永久儲存，數(shù)據(jù)修改需要得到其他區(qū)塊或者大多數(shù)節(jié)點(diǎn)的同意才可行，至于 51% 攻擊基本上是不可能實(shí)現(xiàn)的，從而可以限制相關(guān)不法行為，因此區(qū)塊鏈的數(shù)據(jù)穩(wěn)定性和可靠性極高。

（4）可溯源性。具有不可更改的時(shí)間戳。一旦數(shù)據(jù)被注冊到區(qū)塊鏈中都會被分布式賬本所追蹤和記載，很再難中止刪除或更改，這既保證了時(shí)間的真實(shí)性，又擁有了法律效力。

2.檔案信息化建設(shè)的需要。隨著檔案管理信息化進(jìn)程的逐步推進(jìn)，網(wǎng)絡(luò)技術(shù)、云計(jì)算給檔案管理工作提供便利的同時(shí)也增加了受網(wǎng)絡(luò)攻擊、更易于被偽造和篡改的風(fēng)險(xiǎn)，故而社保檔案管理過程中務(wù)必要保證檔案信息的真實(shí)、準(zhǔn)確、安全、完整。

二、區(qū)塊鏈技術(shù)局限性

1.無隱私性。區(qū)塊鏈?zhǔn)且粋€(gè)分布式的公共賬本，通過鏈條將各個(gè)區(qū)塊連成一體，鏈上的每一個(gè)節(jié)點(diǎn)都保存著區(qū)塊鏈計(jì)算、驗(yàn)證交易有效性等所有交易信息的副本，在公有鏈上每個(gè)人手上都有一份完整賬本，除了一些加密的個(gè)人私有信息外各種數(shù)據(jù)信息都是公開透明的，沒有隱私可言。

2.安全性問題。每一個(gè)區(qū)塊鏈賬戶都有兩個(gè)對應(yīng)的密鑰，即可以共享的公鑰和防止失密的私鑰，兩者都是用來保護(hù)數(shù)據(jù)安全的。私鑰是用戶生成并保管的，沒有第三方參與。私鑰一旦丟失，便無法對賬戶做任何操作。公鑰是用來加密和驗(yàn)證信息的，是公開的，誰都能有。隨著計(jì)算技術(shù)的發(fā)展，區(qū)塊鏈技術(shù)面臨著非對稱加密算法被破解可能性，這是其潛在的安全隱患。同時(shí)，區(qū)塊鏈解決的是信息的“存儲安全” 而并非數(shù)據(jù)本身的可靠性，也就是說信息一旦存到區(qū)塊鏈數(shù)據(jù)庫后就無法篡改了，但是信息源頭是可以造假的，這是區(qū)塊鏈技術(shù)無法觸及的區(qū)域。

3.數(shù)據(jù)確認(rèn)的延遲性。區(qū)塊鏈的記錄是存在延遲性的，受網(wǎng)絡(luò)傳輸影響，網(wǎng)絡(luò)上大的各節(jié)點(diǎn)認(rèn)可這筆記錄，要等到下一個(gè)記賬周期。當(dāng)網(wǎng)絡(luò)上同時(shí)有2個(gè)或以上節(jié)點(diǎn)競爭到記賬權(quán)力，那么在網(wǎng)絡(luò)中就會產(chǎn)生2個(gè)或以上的區(qū)塊鏈分支，則要再等下一個(gè)記賬周期，最終由最長的區(qū)塊鏈分支來決定哪個(gè)分支記錄的數(shù)據(jù)是有效的。

4.存儲空間占用大。在區(qū)塊鏈上各區(qū)塊用于記錄各種信息數(shù)據(jù)，隨著區(qū)塊鏈的運(yùn)行，新數(shù)據(jù)越來越多，存儲占用空間越來越大，因新數(shù)據(jù)是對歷史數(shù)據(jù)的可信證明不能隨意刪除，這也是當(dāng)前區(qū)塊鏈技術(shù)面臨的一個(gè)

難題。

三、社保檔案特殊性

社保檔案中的信息涉及到了社會公眾的個(gè)人隱私、投保信息、投保內(nèi)容、個(gè)人信息證明等敏感內(nèi)容，與個(gè)人利益息息相關(guān)。若保護(hù)不當(dāng)勢必會影響社保工作，影響社會公眾切身利益。

1.國家的政治、經(jīng)濟(jì)環(huán)境需要。區(qū)塊鏈技術(shù)作為一種新興技術(shù)，近年來引起了許多國家和地區(qū)的關(guān)注。區(qū)塊鏈技術(shù)在國際上傾向于合作研發(fā)，美國、英國檔案館與多部門共同研發(fā)“智能文件”項(xiàng)目、ARCHANGEL區(qū)塊鏈項(xiàng)目;美國麻省理工學(xué)院、舊金山霍博頓軟件工程學(xué)院、新加坡高校采用區(qū)塊鏈技術(shù)用于學(xué)位證、畢業(yè)證書發(fā)放;韓國醫(yī)院利用區(qū)塊鏈管理病歷檔案。

中國也相繼出臺了一些相關(guān)的政策支持區(qū)塊鏈技術(shù)的應(yīng)用發(fā)展，如國務(wù)院印發(fā)的《“十三五” 國家信息化規(guī)劃》、工信部發(fā)布《中國區(qū)塊鏈技術(shù)和應(yīng)用發(fā)展》白皮書以及習(xí)近平總書記在2018年5月28日中國科學(xué)院第十九次院士大會、中國工程院第十四次院士大會和2019年10月24日中共中央政治局第十八次集體學(xué)習(xí)時(shí)均提出要加快推動(dòng)區(qū)塊鏈技術(shù)和產(chǎn)業(yè)創(chuàng)新發(fā)展。2019年1月《區(qū)塊鏈信息服務(wù)管理規(guī)定》的頒布規(guī)范了區(qū)塊鏈技術(shù)發(fā)展，明確了信息服務(wù)提供者的管理責(zé)任，規(guī)避了信息服務(wù)安全風(fēng)險(xiǎn)。在中國，區(qū)塊鏈技術(shù)更多的是探索其在實(shí)體經(jīng)濟(jì)中的運(yùn)用。比如，深圳市稅務(wù)局聯(lián)合騰訊公司推出了區(qū)塊鏈電子發(fā)票;佛山市政府將區(qū)塊鏈技術(shù)應(yīng)用到電子政務(wù)、食品安全和其他經(jīng)濟(jì)領(lǐng)域。

為貫徹落實(shí)習(xí)近平總書記關(guān)于推動(dòng)區(qū)塊鏈技術(shù)應(yīng)用的精神和《河北省區(qū)塊鏈專項(xiàng)行動(dòng)計(jì)劃（2020-2022）》，利用區(qū)塊鏈技術(shù)的防篡改機(jī)制、信任機(jī)制、共識機(jī)制以及可溯源機(jī)制和智能合約功能對用戶身份管理驗(yàn)證、檔案管理全過程實(shí)施動(dòng)態(tài)的信息監(jiān)控、數(shù)據(jù)維護(hù)和認(rèn)證，保證元數(shù)據(jù)、信息存儲和利用安全，解決了傳統(tǒng)管理中存在的問題，既體現(xiàn)了區(qū)塊鏈經(jīng)濟(jì)價(jià)值和商業(yè)價(jià)值，又更好地發(fā)揮了社保檔案的“資政惠民”

作用。

2.社會公眾的需求。社保檔案是社會個(gè)體享受社會福利的重要依據(jù)，是社保工作順利開展的信息資源和基礎(chǔ)，其檔案信息的真實(shí)、準(zhǔn)確、安全、完整是至關(guān)重要的，也是社會公眾密切關(guān)注的內(nèi)容和迫切要求。

四、區(qū)塊鏈技術(shù)應(yīng)用到檔案管理中確保信息安全

1.區(qū)塊鏈的防篡改性有利于檔案檔案信息的安全、真實(shí)、可靠。區(qū)塊鏈的防篡改性可以實(shí)現(xiàn)數(shù)據(jù)的記錄、存儲、更新一經(jīng)錄入就無法更改。

2.區(qū)塊鏈技術(shù)可以實(shí)現(xiàn)信息透明。除了用私鑰保護(hù)的隱私信息外區(qū)塊鏈節(jié)點(diǎn)上的數(shù)據(jù)都是公開的，鏈上的所有參與者都可以通過接口訪問信息，某一節(jié)點(diǎn)上的數(shù)據(jù)更新時(shí)鏈上的所有信息都保持一致。

綜合上述分析，將區(qū)塊鏈技術(shù)應(yīng)用到社保檔案管理過程中是可行的，它可以保證整個(gè)系統(tǒng)中數(shù)據(jù)的信息安全，起到憑證作用。

五、區(qū)塊鏈憑證保障模式的構(gòu)建

要實(shí)現(xiàn)將區(qū)塊鏈技術(shù)應(yīng)用到社保檔案管理中的目標(biāo)，要明確以下幾點(diǎn)：一是區(qū)塊鏈與檔案系統(tǒng)的關(guān)系。檔案系統(tǒng)經(jīng)過多年運(yùn)行發(fā)展目前功能基本完善，如今使用區(qū)塊鏈技術(shù)的目的是什么，作用是什么？區(qū)塊鏈與檔案管理系統(tǒng)運(yùn)行的關(guān)系等。因檔案管理系統(tǒng)經(jīng)過多年運(yùn)轉(zhuǎn)基本穩(wěn)定、功能基本完善，檔案信息化建設(shè)推進(jìn)了檔案事業(yè)發(fā)展，將區(qū)塊鏈的技術(shù)引用到社保檔案管理中就是在檔案管理系統(tǒng)外建立保障系統(tǒng)來保證數(shù)據(jù)的不可篡改和隱私安全，保證業(yè)務(wù)過程中信息的可追溯，從而更好地發(fā)揮檔案的參考、憑證作用。二是如何建立區(qū)塊。是按照時(shí)間、管理流程、每份檔案建立區(qū)塊？根據(jù)檔案工作的特點(diǎn)和便于服務(wù)利用的要求按照時(shí)間順序建塊比較好;三是什么數(shù)據(jù)信息上鏈。區(qū)塊鏈技術(shù)采用的是分布式賬本技術(shù)，每個(gè)區(qū)塊的空間是很小的，而每份電子檔案信息的容量是幾兆以上，顯然所有信息上鏈?zhǔn)遣缓线m的，而且檔案的特殊性也不適合全部信息上鏈，故而選擇反映檔案信息的核心元數(shù)據(jù)、數(shù)字摘要、生命周期內(nèi)涉及檔案操作利用的數(shù)據(jù)信息上鏈;四是鏈上數(shù)據(jù)信息的安全性。在社保檔案管理中要做到接收時(shí)檔案材料的齊全、完整、真實(shí)，保管中要忠實(shí)于原件，利用時(shí)安全可靠，才能更好地發(fā)揮檔案憑證作用，實(shí)現(xiàn)檔案的價(jià)值屬性。只有區(qū)塊鏈上數(shù)據(jù)信息安全了才能保證檔案信息的安全。

區(qū)塊鏈按照布局的類型可以分為公共鏈、聯(lián)盟鏈和私有鏈。不同類型的區(qū)塊鏈各有特點(diǎn)，其中公共鏈當(dāng)中所包含的范圍十分廣泛，不管是哪個(gè)節(jié)點(diǎn)都可以參與到創(chuàng)建、存儲以及訪問區(qū)塊鏈當(dāng)中，完全實(shí)現(xiàn)了去中心化特點(diǎn)。聯(lián)盟鏈只對特定組織團(tuán)體開放，在聯(lián)盟鏈當(dāng)中的節(jié)點(diǎn)所包含的是行業(yè)內(nèi)部或者是單位的授權(quán)節(jié)點(diǎn)。私有鏈僅限于單獨(dú)個(gè)人或?qū)嶓w內(nèi)部使用，具有一定程度的訪問限制。在個(gè)人隱私保護(hù)當(dāng)中，非對稱加密技術(shù)就是其中比較好的一種保護(hù)方式，使用私鑰加密檔案，用戶掌握公鑰。故而，根據(jù)區(qū)塊鏈的技術(shù)特點(diǎn)結(jié)合社保檔案的實(shí)際需求，綜合考慮各種因素，構(gòu)建區(qū)塊鏈憑證保障系統(tǒng)來保證社保檔案信息安全。

區(qū)塊鏈包含區(qū)塊頭和區(qū)塊體，區(qū)塊體上是檔號、題名、形成時(shí)間、數(shù)字摘要等核心元數(shù)據(jù)，區(qū)塊頭是時(shí)間戳、哈希值、訪問權(quán)限信息。區(qū)塊鏈憑證保障系統(tǒng)中的數(shù)據(jù)層是按照時(shí)間順序構(gòu)建鏈表存儲區(qū)塊信息的單元;網(wǎng)絡(luò)層是各信息節(jié)點(diǎn)通過驗(yàn)證機(jī)制傳輸信息的單元;共識層通過共識機(jī)制保證數(shù)據(jù)安全;合約層通過智能合約、算法機(jī)制進(jìn)行信息驗(yàn)證，私鑰和公鑰解密和加密信息;用戶層是驗(yàn)證用戶身份、記錄登錄和操作信息;接入層是檔案管理系統(tǒng)與憑證保障系統(tǒng)的應(yīng)用程序接口。社保檔案管理系統(tǒng)將檔案的業(yè)務(wù)形成、管理和利用整合于一體，業(yè)務(wù)員、專兼職檔案員和客戶端根據(jù)工作職責(zé)設(shè)定權(quán)限。檔案憑證保障系統(tǒng)是通過區(qū)塊鏈上的數(shù)據(jù)信息與檔案管理系統(tǒng)中原信息的對比，保證檔案形成、整理、保管、利用的過程中信息是真實(shí)、完整的。同時(shí)，設(shè)立安全預(yù)警和信息反饋模塊保護(hù)數(shù)據(jù)信息。

隨著大數(shù)據(jù)、人工智能、物聯(lián)網(wǎng)等新技術(shù)的迅猛發(fā)展，區(qū)塊鏈技術(shù)特性得到認(rèn)可。區(qū)塊鏈技術(shù)作為一門新興技術(shù)，其在社保檔案管理系統(tǒng)中的應(yīng)用可以保證整個(gè)系統(tǒng)中數(shù)據(jù)的信息安全，起到憑證作用，但在當(dāng)前的實(shí)際工作中，因技術(shù)本身是中性的，有優(yōu)點(diǎn)也有缺陷，我們要以客觀、辨證、發(fā)展的眼光來看待區(qū)塊鏈技術(shù)的應(yīng)用，除了區(qū)塊鏈技術(shù)發(fā)揮自身的非對稱加密、哈希算法、時(shí)間戳等技術(shù)優(yōu)勢可以為數(shù)據(jù)信息的運(yùn)行提供安全環(huán)境，保證系統(tǒng)良好運(yùn)轉(zhuǎn)，確保鏈上數(shù)據(jù)在存儲、管理、傳送、利用過程中真實(shí)、安全和不可篡改，還要受到國家政治、社會環(huán)境、部門信息化建設(shè)程度、檔案人員的素質(zhì)和操守、網(wǎng)絡(luò)安全等的制約。

我們應(yīng)該清醒認(rèn)識到區(qū)塊鏈技術(shù)給國家的發(fā)展帶來了機(jī)遇，給人民的社會生活帶來了便利的同時(shí)，因其技術(shù)的局限性也會存在一定的安全隱患，從而引發(fā)安全風(fēng)險(xiǎn)。故而，為避免、減少或降低風(fēng)險(xiǎn)發(fā)生的可能性，作為立法者，要與時(shí)俱進(jìn)，緊跟科學(xué)技術(shù)發(fā)展的腳步，及時(shí)制定出符合發(fā)展現(xiàn)狀的法律法規(guī)，來彌補(bǔ)立法的滯后性這一弊端;作為技術(shù)人員，要堅(jiān)持不懈學(xué)習(xí)和技術(shù)研究，加強(qiáng)與應(yīng)用行業(yè)的交流，積極尋求、探索降低區(qū)塊鏈技術(shù)在行業(yè)應(yīng)用的風(fēng)險(xiǎn)的可行度;作為應(yīng)用者，以發(fā)展的眼光審視看待新事物、新問題，要有成大事謀大局、敢創(chuàng)新求發(fā)展的意識，有主動(dòng)學(xué)習(xí)新知識、新技能的精神，及時(shí)依據(jù)新法新規(guī)進(jìn)行自檢自查，保證合法合規(guī)。

參考文獻(xiàn)：

[1]趙 松，孫長虹.機(jī)構(gòu)改革后社保檔案管理研究[J].浙江檔案，2019

[2]張 倩.區(qū)塊鏈技術(shù)對高校檔案信息管理方式創(chuàng)新的可行性研究[J].檔案建設(shè)，2017

[3]高 杰，霍 紅，張曉慶.區(qū)塊鏈技術(shù)的應(yīng)用前景與挑戰(zhàn)：基于信息保真的視角[J].中國科學(xué)基金，2020

[4]薛四新.如何看區(qū)塊鏈在檔案工作中的應(yīng)用[EB/OL].蘭臺之家 8月5日，2020檔案工作. https：//mp.weixin.qq.com/s/KFEg33O8XvFin4q82OdrhA

（作者單位：河北政法職業(yè)學(xué)院綜合檔案科）