電子文件安全技術芻析*

付正剛 秦荊華

（湖北大學歷史文化學院，湖北武漢，430062）

1 電子文件安全的含義

在《電子文件管理暫行辦法》（中辦國辦［2009］39 號）中，將“安全”與“真實、完整、可用”并列，被人們簡稱為電子文件“四性”。筆者結合文件與信息的關系，對比信息安全學中信息安全“五性”的定義［1］后認為：用“電子文件安全”統率電子文件的真實性、完整性、可用性、可靠性、長期可讀性等屬性，可與相關學科在概念上保持一致，也使術語表達統一。

筆者認為，電子文件安全是指電子文件的“真實性、完整性、有效性”［2］在客觀上不受到威脅，在主觀上能獲得信任。沒有絕對的安全，只有一定環境下的相對安全。“不受到威脅”并不意味著“不存在威脅”，受到的安全威脅風險只要在人們可接受范圍內，即是：電子文件安全的可信度處于人們能接受范圍，則電子文件就可被認為是安全的，可被信任的。進一步結合《電子文件歸檔與管理規范》（GB/T18894-2002）中對“真實性、完整性、有效性”的定義分析：電子文件安全應包括電子文件內容安全、電子文件元數據安全、電子文件載體安全等層次。在此界定下，電子文件安全技術應該指一切能保護電子文件內容、元數據、載體等安全的信息技術。

本文對常用電子文件安全技術進行分類梳理，從中窺探它們在電子文件信任建立中的作用，初步分析了CDP（continuous data protection：連續數據保護）和CAS（content addressed storage：固定內容尋址存儲）技術（下簡稱“雙C”技術）在電子文件安全管理中的應用。

2 電子文件安全技術對電子文件安全管理的意義

電子文件現階段管理中，“雙套制”依然是人們所認可的安全管理模式。究其緣由，主因之一是人們對現有電子文件安全技術的不信任，以至于不得不依靠硬拷貝來保證電子文件安全。不可否認地是，“雙套制”不僅有局限性，且與信息化發展趨勢不相協調，也在一定程度上阻礙了原生電子文件純數字化管理進程。

電子文件安全依賴于電子文件管理體系的整體安全。在管理體系中涉及的人、電子文件載體/內容/元數據、處理電子文件的軟硬件、管理人文環境（包含制度、規范、標準、法律等）等系統組成要素，均能對電子文件安全形成不同程度威脅。其中“處理電子文件的軟硬件”則是技術要素的集中體現。電子文件的本質屬性與特點決定了技術要素是整個管理體系中不可或缺的基礎性要素，它是實現電子文件安全管理的重要基礎，其意義表現為以下三方面。

首先，電子文件安全技術是電子文件安全管理措施有效實施的基礎。電子文件是信息技術的產物，其產生、利用與消亡的整個生命周期過程都是在現代信息技術環境中演繹的，因此，人們基于電子文件管理理論和安全管理目標所制定的管理措施，都必須依托可信的電子文件安全技術方能有效實施。

其次，電子文件安全技術能夠激發管理方式、管理模式的不斷創新。當今信息技術正處于高速發展，滲透期、新技術的出現將會激發解決電子文件安全問題的新思路和新方法，也會提供新的技術手段更好地進行電子文件安全管理，從而使電子文件管理方式、管理模式進一步創新。

最后，安全不是靜止的，它是一個動態的過程。信息技術的更新換代使得電子文件將會面臨更多的、更新的安全問題，電子文件管理者必須對電子文件安全技術吐故納新，以安全技術之盾防攻擊技術之矛，使電子文件始終處于一種相對安全的狀態。

3 電子文件安全技術分類和特征分析

電子文件是否安全應從它所依賴的電子文件管理體系是否安全的角度來判斷，反映在管理體系技術元素上，就是考量所用信息技術是否能維護電子文件安全。

“信息安全必須從這三個方面分析信息安全系統：信息、處理信息的軟件、硬件的安全問題”、“針對信息本身的安全技術有密碼技術……，針對軟件的安全技術有身份鑒別、訪問控制、安全審計、客體安全重用、備份與恢復、隱蔽信道分析、惡意代碼防范、網絡邊界隔離與防護和可信路徑等技術”［3］。這些信息安全技術中，常用于電子文件安全管理的技術有數字簽名、數字水印、訪問控制、特征固化、安全標志等［4］-［10］。張健將電子文件信息安全技術體系模型分為電子文件信息內容安全、電子文件管理系統安全、系統軟件平臺安全、物理安全等四個層級，并指出“加密技術、數字簽名、安全協議、數字水印、訪問控制和數據備份等是用來維護電子文件信息安全的主要技術。”［11］筆者依據上述思路，將常用電子文件安全技術作簡單分類梳理如表1。

針對電子文件管理軟件的安全技術與其它類管理信息系統別無二致，其目的是通過阻止非法用戶和合法用戶的非合法操作，達到維護電子文件安全之目的，而不是直接作用于電子文件內容/元數據本身，屬于間接性保護，對電子文件信任的建立作用有限。而針對電子文件內容/元數據的安全技術對提高電子文件可信度有直接影響。如數字簽名（數字水印、電子簽/印章）技術會給電子文件附加一些標識性的信息，用戶能通過專門的驗證軟件或人工識別對文件來源、文件是否被非法篡改等作出甄別；數字紙張、特征固化技術則是模擬傳統紙張信息被紙張固定的特點，使用戶更易于對被固定的電子文件產生信任；雙套制通過可信的傳統檔案管理體系將電子文件價值固定；數據備份則依據備份介質、備份管理管理主體的可信程度使備份件能產生不同程序的信任。筆者認為上述多數電子文件安全技術在維護電子文件安全中主要存在三點不足。

3.1 著眼“關鍵節點”控制而非全過程控制

所謂關鍵節點是指管理流程中對電子文件安全能產生威脅的環節或時間點。例如文件定稿、文件版本更新、文件歸檔等時刻。數字簽名（數字水印、電子簽/印章）技術就是在文件定稿時介入，對定稿文件加蓋簽名、水印或印章；特征固化技術同樣是在文件定稿或修改之后就進行特征信息的采集、固化和更新，控制行為均是在關鍵節點完成。

這類技術思想的主要優點是效費比高，即集中力量控制關鍵節點，一旦成功實施，電子文件安全就處于受控狀態。然而關鍵節點控制的方式是“點控制”，兩個控制點之間是不受控制的區段，從而留下安全隱患。以數字簽名技術為例，文件從生成之時到進行簽名之間的時段對于各種安全威脅在技術上是裸露的，被篡改的風險很大，文件形成者可能會在沒有察覺文件被修改的情況下對其進行了數字簽名，從而引發電子文件安全事故。

3.2 必須依賴第三方認證或技術支持

在數字化環境中，第三方認證是信任建立的一種常見模式。如電子商務中，先交易的一方（客戶）將承擔更多的風險，故需要維護客戶利益的外力來抵御風險，而第三方——支付寶平臺的存在，為客戶退款提供了保障，使客戶可放心與賣家交易。類似地是，數字簽名等需要符合《電子簽名法》中規定要求的第三方機構來提供簽名及簽名驗證技術、特征固化中也需要第三方軟件來實施。誠然，第三方是數字化環境中建立信任的可行模式，但過于依賴第三方不但存在被第三方“鎖定”的可能，還存在因第三方無法自律或無法長期存活所產生的風險。

雙方信任關系通過第三方認證機構才能建立的原因是虛擬世界中一方對另一方真實身份及信譽的不信任。就電子文件利用過程來講，管理者與利用者在電子文件安全的態度上是不同的：管理者往往不會懷疑所提供電子文件的真實完整性，因為他了解整個文件管理體系及各個管理環節為維護電子文件真實完整性所做出的一系列控制動作；而利用者因缺乏所利用電子文件生成及管理的任何信息，選擇懷疑理所當然，兩種不同態度源自雙方對電子文件生成及管理的信息不對稱。

3.3 缺乏對電子文件元數據的有效保護

元數據保護的難點在于它是不斷更新變化的。電子文件生成以后，正文內容多是固定不變的，但是元數據卻會隨著文件的流轉不斷發生變化，內容會增加，使用時間會更新，甚至文件格式也會按需轉換等。但由于待采集元數據的多樣性、復雜性，元數據的持續跟蹤與自動捕獲存在問題，一旦涉及人工捕獲的元數據，就可能存在捕獲不及時、不準確等風險。此外，在系統之外的元數據也不易自動捕獲。若元數據的真實完整性無法得到保障，則元數據對電子文件真實完整性地維護就失去了意義。

4 “雙C”技術在電子文件安全管理中的新認識

CAS 技術是指對生成以后不可更改的且具有長期保存價值的非結構化數字對象進行存儲的技術，存儲以后對固定內容信息的訪問依據的是數據內容，而與物理地址無關。該技術所滿足的需求就是維護數據的真實性、完整性和長期保存，這同電子文件安全管理的目標是一致的。CDP 技術是一種數據持續保護方法，它能夠將硬盤的每一次寫入操作都忠實記錄下來，并存儲于專門的設備之中，藉此提高數據的恢復能力。相較于傳統數據保護所采取的時間點備份方式，該技術通過無縫恢復技術實現在故障瞬間完成對任何時間點數據的快速恢復，在提高恢復精度的同時保證業務的連續性，這同電子文件全程管理理論、文件連續體理論的思想內涵是一致的。“雙C”技術在電子文件安全管理中的主要運用方式就是實現電子文件內容及其元數據之全部歷史版本的持續記錄和固化保存。重新認識兩種技術在電子文件安全管理中的作用，對彌補現有電子文件安全管理體系的不足，提升安全管理的可信度有積極意義。

表1 常用電子文件安全技術分類

首先，對歷史版本持續全面地記錄切中電子文件生命周期理論之肯綮，使人們不僅能回溯電子文件整個生命過程，還能直觀精確地知曉電子文件內容及元數據在其任一生命時刻的狀態，為人們評估電子文件管理過程的合規性、合法性及真實完整性保護地有效性提供了最為詳盡的歷史資料，能真正做到對電子文件全過程監護與控制。

其次，通過不同歷史版本對比，人們不僅能夠發現文件是否被非法篡改，而且還能準確找出被篡改的具體內容，甚至能夠捕捉不法分子入侵系統和篡改文件的軌跡，為電子文件非法篡改案件的偵破和被篡改文件的恢復提供依據。

再次，固化保存可以使所有版本的電子文件一經記錄便無法更改，避免因記錄被篡改而導致版本回溯的失敗。

最后，完整的歷史版本記錄不僅能夠為文件生成者和管理者所用，還能夠成為文件利用者判斷文件真實完整性的有力依據，并改善二者之間的信息不對稱，使后者能依賴自身能力與經驗對電子文件真實完整性作鑒別，而無需依賴第三方認證或技術支持。

總之，電子文件安全管理是基于人們在現有條件下對安全威脅的認識、對電子文件管理安全技術的認識以及對電子文件管理體系自身不足和管理能力認識。應用了安全技術、采取了安全措施也并不意味著電子文件安全從此無憂。充分發揮各種安全技術特點，有機整合、綜合運用，從不同方面發揮建立電子文件信任的作用，對于提升電子文件安全管理水平，促進原生電子文件純數字化管理不無益處。

［1］杜彥輝著譯.信息安全技術教程［M］.清華大學出版社.2012年，第4-5頁.將“保密性、完整性、可用性、可控性、不可否認性”.

［2］國家檔案局.電子文件歸檔與管理規范（GBT18894-2002）.2002年.

［3］王斌君，增瑞.信息安全技術體系研究［J］.計算機應用.2009年第6期.

［4］易豐.電子文件的簽署技術［J］.檔案學通訊.1999（3）.

［5］陳全.電子文件加密識別技術研究［J］.檔案學研究.2002（2）

［6］董信君.保證電子文件信息安全的技術措施［J］.蘭臺世界.2005（9）.

［7］朱道勇.基于數字水印的電子文件信息安全技術［J］.四川檔案，2007（2）．

［8］陳勇.關于電子文件管理相關技術的探討［J］.檔案與建設.2008（10）．

［9］孫德剛，王妍，毛銳.國外電子文件安全標志技術標準與應用［J］.保密科學技術.2010（7）．

［10］姜志偉.談數字簽名技術在電子文件真實性保障中的應用［J］.檔案與建設．2010（5）．

［11］張健.電子文件信息安全技術體系研究［J］.檔案與建設.2013年第2期．