電子文件安全管理初探

摘要：隨著電子文件的廣泛應(yīng)用，電子文件安全管理越來(lái)越引起人們的關(guān)注，現(xiàn)已成為一個(gè)重要課題。與紙質(zhì)文件不同，電子文件安全管理有特殊性。其信息安全隱患多并且容易忽視，管理相對(duì)復(fù)雜。本文結(jié)合當(dāng)前電子文件安全管理的發(fā)展不統(tǒng)一、不協(xié)調(diào)、不平衡等實(shí)際情況，分析了存在的主要問(wèn)題。在此基礎(chǔ)上，試圖從制度、人員、技術(shù)、設(shè)施等層面入手，探尋解決問(wèn)題的有效路徑。

關(guān)鍵詞：電子文件 信息安全 管理

電子文件是在數(shù)字設(shè)備及其環(huán)境中形成，以數(shù)碼形式存儲(chǔ)于磁帶、磁盤(pán)、光盤(pán)等載體，依賴(lài)計(jì)算機(jī)等數(shù)字設(shè)備閱讀、處理，并可在通信網(wǎng)絡(luò)上傳送的文件，主要包括電子文書(shū)、電子信件、電子報(bào)表、電子圖紙等。在信息時(shí)代，電子文件不僅是機(jī)構(gòu)正常運(yùn)行的信息支持和保障，而且是社會(huì)實(shí)踐活動(dòng)的基本憑證，國(guó)家信息資源的重要組成部分。隨著電子文件應(yīng)用越來(lái)越廣泛，其重要性愈來(lái)愈突顯，尤其是電子文件存載的信息涉及個(gè)人、黨政部門(mén)、各系統(tǒng)乃至國(guó)家的利益，使得科學(xué)地實(shí)施安全管理，保障信息安全至關(guān)重要。由此，本文聯(lián)系實(shí)際，對(duì)電子文件安全管理進(jìn)行了一定的探索。

1 電子文件安全管理存在的問(wèn)題

電子文件在為人們工作提供方便、快捷的同時(shí)，也具有易被遠(yuǎn)程控制與改動(dòng)、信息易于流轉(zhuǎn)和消失、必須利用相應(yīng)設(shè)備才能讀取等先天性的致命弱點(diǎn)。這給電子文件信息安全帶來(lái)一系列的問(wèn)題與挑戰(zhàn)。由于種種原因，當(dāng)前電子文件安全管理的發(fā)展不統(tǒng)一、不協(xié)調(diào)、不平衡，主要存在以下問(wèn)題：

1.1 安全知識(shí)了解不夠

主要表現(xiàn)在對(duì)電子文件安全管理的特殊性及相關(guān)知識(shí)不甚了解。一般來(lái)講，傳統(tǒng)的紙質(zhì)文件只要避開(kāi)天災(zāi)人禍，遵守保管保護(hù)要求，就能長(zhǎng)期安全保存，電子文件則不然。由于電子文件本身的特性，對(duì)其更改可以做到不留任何痕跡。不僅如此，在一些場(chǎng)合電子文件無(wú)需或是無(wú)法打印成紙張，譬如大型數(shù)據(jù)庫(kù)、音頻、視頻、超媒體、三維設(shè)計(jì)圖、博客、即時(shí)通信等沒(méi)有紙質(zhì)對(duì)應(yīng)物的文件類(lèi)型，卻是相關(guān)社會(huì)實(shí)踐活動(dòng)的唯一憑證，相關(guān)文化的唯一載體。電子文件雖說(shuō)具有存儲(chǔ)密度大、傳遞速度快、共享程度高等優(yōu)點(diǎn)，但必須依賴(lài)、依附于軟硬件設(shè)備。當(dāng)設(shè)備將信息記錄于存儲(chǔ)載體后，就離不開(kāi)設(shè)備，只能上機(jī)讀取。除電子文件容易被更改之外，信息與載體相分離、數(shù)據(jù)丟失、病毒侵害、載體保管及使用期限等因素也影響了其有效使用與安全保存。值得一提的是電子文件的安全完整應(yīng)該包括內(nèi)容、結(jié)構(gòu)、元數(shù)據(jù)和背景信息等真實(shí)、可利用、無(wú)缺損。元數(shù)據(jù)指描述電子文件數(shù)據(jù)屬性的數(shù)據(jù)，包括文件的格式、編排結(jié)構(gòu)、硬件和軟件環(huán)境、文件處理軟件、字處理和圖形工具軟件、字符集等數(shù)據(jù)。背景信息指描述生成電子文件的職能活動(dòng)、電子文件的作用、辦理過(guò)程、結(jié)果、上下文關(guān)系以及對(duì)其產(chǎn)生影響的歷史環(huán)境等信息。這一點(diǎn)社會(huì)知曉面還不夠，尚需進(jìn)一步深入人心。

1.2 安全意識(shí)不強(qiáng)及制度缺位

主要體現(xiàn)在未充分認(rèn)識(shí)電子文件信息安全的意義和重要性，日常管理簡(jiǎn)單隨意，無(wú)章可循。有一種傳統(tǒng)思想認(rèn)為，紙質(zhì)文件、文檔最重要，而電子文件、文檔就無(wú)足輕重了，這無(wú)疑是落后于形勢(shì)發(fā)展的邏輯思維。制度缺位上有一個(gè)原因，就是國(guó)家關(guān)于電子文件技術(shù)應(yīng)用標(biāo)準(zhǔn)尚未出臺(tái)，標(biāo)準(zhǔn)不統(tǒng)一造成諸多不便，如行業(yè)部門(mén)的辦公自動(dòng)化系統(tǒng)與電子文件（檔案）管理系統(tǒng)不兼容，電子文件格式不同且無(wú)法轉(zhuǎn)換等。其實(shí)，從電子文件形成、處理、收集、積累、歸檔到電子檔案的遷移、轉(zhuǎn)換、調(diào)閱、保管等各個(gè)環(huán)節(jié)，都存在信息更改、丟失的可能性。據(jù)了解，現(xiàn)實(shí)中因?yàn)殡娮游募踩庾R(shí)不強(qiáng)、管理制度缺位，造成安全隱患比比皆是。像有的沒(méi)有實(shí)行專(zhuān)人管理，專(zhuān)人負(fù)責(zé)，電子文件形成后就不管了，需要用時(shí)到處找；有的沒(méi)有及時(shí)、規(guī)范地對(duì)電子文件進(jìn)行整理、鑒定和歸檔，電腦升級(jí)換代后內(nèi)容就沒(méi)有了；有的沒(méi)有按要求記錄和保存元數(shù)據(jù)和背景信息，一份電子文件經(jīng)多次流轉(zhuǎn)、修改后出現(xiàn)多個(gè)不同版本；有的僅用計(jì)算機(jī)起草和打印文件，打印出紙質(zhì)文件后，電子文件未保存，或因存儲(chǔ)載體用于存儲(chǔ)其他內(nèi)容而被刪除；有的未采取安全防范措施，信息存儲(chǔ)隨意，上機(jī)查閱無(wú)序，電子文件處于自生自滅狀態(tài)。

1.3 軟硬件離安全管理有差距

電子文件信息安全需要有關(guān)軟件、硬件安全達(dá)標(biāo)，才能保障正常運(yùn)行和流轉(zhuǎn)利用。當(dāng)前，由于機(jī)構(gòu)各異、經(jīng)濟(jì)條件限制、發(fā)展不平衡等原因，一些機(jī)構(gòu)存在軟件、硬件跟不上安全管理的問(wèn)題。突出的像一些長(zhǎng)期接觸電子文件的民營(yíng)打字社、文印中心其安全管理無(wú)人顧及，連起碼的安全設(shè)備設(shè)施都沒(méi)有。電子文件安全管理要求保持電子文件內(nèi)容、內(nèi)容的載體和顯示內(nèi)容的計(jì)算機(jī)的軟件、硬件平臺(tái)的一致性，既要考慮到介質(zhì)載體的壽命，又要考慮到軟件、硬件條件問(wèn)題。譬如軟件設(shè)施必須適應(yīng)技術(shù)安全要求，能夠?qū)崿F(xiàn)嚴(yán)格的權(quán)限控制，保障合法用戶可以電子文件進(jìn)行創(chuàng)建、歸檔、利用，同時(shí)避免非授權(quán)用戶的訪問(wèn)、入侵破壞和非法拷貝。像硬件設(shè)備設(shè)施必須對(duì)電子文件存放的載體如光盤(pán)、移動(dòng)硬盤(pán)、Ｕ盤(pán)進(jìn)行科學(xué)的保管保護(hù)，做到防光、防塵、防高溫，遠(yuǎn)離強(qiáng)磁場(chǎng)和有害氣體等，并且環(huán)境溫度保持在17—20℃之間，相對(duì)濕度保持在35—45%之間。不具備相關(guān)軟硬件條件，自然信息安全隱患多、風(fēng)險(xiǎn)大。

2 關(guān)于電子文件安全管理的路徑探索

電子文件的安全管理，目標(biāo)是確保電子文件的真實(shí)性、完整性、可讀性和可用性，內(nèi)容主要涵蓋二個(gè)方面：一是指電子文件的使用價(jià)值不受到破壞和損失，即文件的原始性、真實(shí)性、完整性和有效性不因文件的刪除、篡改等而受損；二是指電子文件不被非授權(quán)用戶使用，確保安全無(wú)流失，不泄密。筆者以為，要解決上述問(wèn)題，應(yīng)該從制度、人員、技術(shù)、設(shè)施等層面入手，立足實(shí)際，多措并舉。

2.1 建立安全管理制度

管理的前提是有制度約束。要建立健全電子文件安全管理的規(guī)章制度，使工作有章可循，有序開(kāi)展。一是要明確職責(zé)。要?jiǎng)澐致氊?zé)范圍，形成安全風(fēng)險(xiǎn)評(píng)估制和責(zé)任追究制，嚴(yán)格實(shí)行上崗資格審查。責(zé)任要明確到人，可考慮與個(gè)人職位晉升、績(jī)效評(píng)比掛鉤。二是要規(guī)范整理。電子文件應(yīng)根據(jù)制度、規(guī)定要求，按類(lèi)別、年度、保管期限、密級(jí)等實(shí)施分類(lèi)排序、集中整理，保證文件內(nèi)容、結(jié)構(gòu)、元數(shù)據(jù)和背景信息的真實(shí)完整，標(biāo)識(shí)登記并制作機(jī)讀目錄。三是要科學(xué)保存。歸檔的電子文件應(yīng)拷貝至耐久性的載體上，一式三套保存。一套供查閱利用，一套封存保管，一套送國(guó)家綜合檔案館保管或異地保存。之后再辦理相關(guān)審批手續(xù)，在計(jì)算機(jī)上徹底刪除。電子文件的載體或包裝盒上應(yīng)貼有標(biāo)簽，標(biāo)簽內(nèi)容需填寫(xiě)編號(hào)、名稱(chēng)、密級(jí)、保管期限、硬件及需保持的環(huán)境。四是要優(yōu)化載體。采用的存儲(chǔ)載體按優(yōu)先順序依次為：只讀光盤(pán)、一次寫(xiě)光盤(pán)、磁帶、可擦寫(xiě)光盤(pán)、硬磁盤(pán)等。軟磁盤(pán)易損、容量小，不能作為長(zhǎng)期保存的載體。五是要依規(guī)借閱。因工作需要而使用時(shí)應(yīng)填寫(xiě)《電子文件借閱登記表》。允許在遵守檔案、保密規(guī)定和相應(yīng)權(quán)限范圍內(nèi)使用拷貝件，但不得外借已封存的電子檔案。六是要跟蹤管理。相比紙質(zhì)文件載體，電子文件載體材料壽命要短得多，一般僅為5-15年。必須定期進(jìn)行安全性、有效性抽查，出現(xiàn)問(wèn)題及時(shí)補(bǔ)救、復(fù)制。對(duì)磁性載體每滿2年、光盤(pán)每滿4年進(jìn)行一次抽樣機(jī)讀檢驗(yàn)，抽樣率不低于10%。對(duì)存儲(chǔ)在磁性載體上的歸檔電子文件，應(yīng)每4年轉(zhuǎn)存一次，原載體保留時(shí)間不少于4年。當(dāng)系統(tǒng)、設(shè)備需要更新時(shí)，文件應(yīng)及時(shí)遷移和備份。

2.2 加強(qiáng)相關(guān)人員管理

在電子文件安全管理過(guò)程中，僅有制度是不夠的，還必須加強(qiáng)相關(guān)人員的管理和教育。首先，要強(qiáng)化教育培訓(xùn)。通過(guò)教育培訓(xùn)，提升他們對(duì)計(jì)算機(jī)安全防護(hù)等專(zhuān)業(yè)知識(shí)技能的認(rèn)識(shí)，提高職業(yè)道德水平，增強(qiáng)安全風(fēng)險(xiǎn)意識(shí)和工作責(zé)任感。與此同時(shí)，應(yīng)當(dāng)進(jìn)一步讓機(jī)構(gòu)負(fù)責(zé)人認(rèn)識(shí)到電子文件作為信息資源的重要價(jià)值，認(rèn)識(shí)到電子文件安全管理的重要性和特殊性。其次，要完善工作臺(tái)帳。通過(guò)設(shè)置操作日志、工作記錄，詳實(shí)記錄實(shí)施操作的人員、時(shí)間、工作內(nèi)容等加強(qiáng)人員管理，證實(shí)電子文件內(nèi)容的真實(shí)性。建議條件允許的機(jī)構(gòu)為每一份電子文件建立相關(guān)記錄，記載文件的形成、簽署、管理及使用情況。再次，要統(tǒng)一程序和要求。譬如一般情況下，相關(guān)人員在電子文件制成一經(jīng)定稿后不得進(jìn)行任何修改。特殊情況時(shí)如CAD（計(jì)算機(jī)輔助設(shè)計(jì)）電子文件須更改的，要經(jīng)過(guò)必要的批準(zhǔn)手續(xù)。最后，要抓好行政督促。電子文件由文件形成機(jī)構(gòu)收集整理，由檔案行政管理部門(mén)進(jìn)行指導(dǎo)與督促。檔案行政管理部門(mén)應(yīng)緊密?chē)@電子文件歸檔驗(yàn)收、檔案規(guī)范化管理、數(shù)字檔案館建設(shè)等主題，始終貫徹前端控制和全程管理原則，進(jìn)一步加大相關(guān)人員知識(shí)宣傳和教育培訓(xùn)的力度，統(tǒng)一技術(shù)標(biāo)準(zhǔn)和工作標(biāo)準(zhǔn)，指導(dǎo)與督促各機(jī)構(gòu)改進(jìn)、提升電子文件安全管理水平。

2.3 強(qiáng)化安全技術(shù)保障

要確保電子文件信息安全，必須對(duì)計(jì)算機(jī)實(shí)施安全配置，以不斷升級(jí)的安全技術(shù)作為運(yùn)行保障，加強(qiáng)對(duì)電子文件信息和載體的安全檢測(cè)。以下介紹五種適用的安全防范技術(shù)。一是簽署技術(shù)。對(duì)電子文件進(jìn)行簽署的目的在于證實(shí)該文件確實(shí)出于作者，其內(nèi)容沒(méi)有被其他人作任何改動(dòng)。主要包括證書(shū)式數(shù)字簽名和手寫(xiě)式數(shù)字簽名。二是加密技術(shù)。在多數(shù)情況下，信息加密是保證電子文件機(jī)密性的唯一方法。由于可保證電子文件內(nèi)容的非公開(kāi)性，目前加密技術(shù)正普及推廣應(yīng)用。據(jù)美國(guó)犯罪現(xiàn)場(chǎng)鑒證科調(diào)查顯示，在所有安全技術(shù)應(yīng)用中，以數(shù)據(jù)加密傳輸和加密存儲(chǔ)為基礎(chǔ)的技術(shù)應(yīng)用所占比率分別為66%和47%。三是身份驗(yàn)證。為防止非授權(quán)人員進(jìn)入系統(tǒng)對(duì)電子文件或數(shù)據(jù)訪問(wèn)，有些系統(tǒng)需要對(duì)用戶進(jìn)行身份驗(yàn)證，如文件管理系統(tǒng)使用管理員代碼證。四是防火墻。作為一種訪問(wèn)控制，它是在某個(gè)機(jī)構(gòu)的網(wǎng)絡(luò)和外界之間設(shè)置障礙，一定程度上可阻止對(duì)本機(jī)構(gòu)信息資源的非法訪問(wèn)，阻止涉密信息被竊取。五是防寫(xiě)技術(shù)。目前許多軟件可將文件設(shè)置為“只讀”狀態(tài)。在此狀態(tài)下，用戶只能從計(jì)算機(jī)上讀取信息，而不能作修改、復(fù)印和打印。此外，應(yīng)對(duì)新的技術(shù)變化，要選擇優(yōu)秀的殺毒軟件進(jìn)行實(shí)時(shí)監(jiān)控，防止計(jì)算機(jī)病毒的入侵與破壞。

2.4 完善基礎(chǔ)設(shè)施及管理系統(tǒng)建設(shè)

完善基礎(chǔ)設(shè)施和管理系統(tǒng)建設(shè)，是實(shí)施電子文件安全管理的關(guān)鍵環(huán)節(jié)。如智能化、綜合性的數(shù)字檔案館，擁有對(duì)盜竊、火災(zāi)、水災(zāi)實(shí)現(xiàn)控制的安防系統(tǒng)及防光、防磁、防塵、防高熱、防有害氣體等設(shè)備設(shè)施，還能保證溫濕度適宜的電子文件保管環(huán)境。又如以國(guó)家綜合檔案館為依托成立本地區(qū)電子文件中心，通過(guò)在線接收、離線接收等方式，對(duì)接收范圍的各機(jī)構(gòu)電子文件進(jìn)行集中保存、異地異質(zhì)備份等。電子文件（檔案）管理系統(tǒng)為信息資源長(zhǎng)期保存和利用而生，是信息安全建設(shè)的重要組成部分。電子文件（檔案）管理系統(tǒng)能對(duì)電子文件整個(gè)生命周期及其應(yīng)用進(jìn)行監(jiān)督管理，其工作流程主要包括電子文件形成、登記入庫(kù)，通過(guò)技術(shù)鑒定和內(nèi)容鑒定生成檔案，根據(jù)信息格式和文件密級(jí)進(jìn)行歸檔存儲(chǔ)，可對(duì)電子文件進(jìn)行檢索、在線閱覽、下載等操作。同時(shí)，鑒于當(dāng)前電子文件（檔案）管理系統(tǒng)建設(shè)欠完善，以及國(guó)家關(guān)于電子文件技術(shù)應(yīng)用標(biāo)準(zhǔn)尚未出臺(tái)的現(xiàn)實(shí)，建議各機(jī)構(gòu)先參照國(guó)際標(biāo)準(zhǔn)，盡量使用兼容性強(qiáng)、適應(yīng)范圍廣的軟件設(shè)施，以利于將來(lái)本機(jī)構(gòu)同全國(guó)統(tǒng)一標(biāo)準(zhǔn)接軌使用，保障電子文件信息安全。

據(jù)業(yè)內(nèi)人士介紹，電子文件安全管理在國(guó)際上也是一個(gè)剛起步的課題。就國(guó)內(nèi)而言，電子文件安全管理還遠(yuǎn)未達(dá)到應(yīng)有的認(rèn)識(shí)和重視，研究的廣度和深度都有待于進(jìn)一步拓展。電子文件安全管理是一個(gè)完整的系統(tǒng)工程。實(shí)踐沒(méi)有止境，探索也沒(méi)有止境。本文針對(duì)電子文件安全面臨的問(wèn)題與挑戰(zhàn)進(jìn)行的初步探索聊作拋磚引玉，期盼電子文件安全管理逐步走上規(guī)范化、制度化、科學(xué)化的軌道。

參考文獻(xiàn)：

[1]馮惠玲.電子文件管理教程[M].北京：中國(guó)人民大學(xué)出版社，2001.

[2]程云珠.電子政務(wù)環(huán)境下電子文件管理的安全性原則[J].武漢：論文之家，2009.

[3]管永翔、管永偉.淺談電子文件管理[J].北京：道客巴巴2005.

作者簡(jiǎn)介：趙凡，男，湖南省常德市檔案局業(yè)務(wù)指導(dǎo)科副科長(zhǎng)，中南大學(xué)公共管理碩士。