電子文件安全保障現狀調查與評估：以武漢市為例

肖秋會　許曉彤　石曉雨

摘 要：對武漢市34家綜合檔案館、高校檔案館、大型企事業單位檔案館（室）的電子文件安全保障情況進行了實地調研與評估，從實體安全、信息安全和管理安全三個方面分析了武漢市電子文件安全保障的現狀、成績與問題。指出武漢市電子文件保障工作需要提升電子文件風險防御的意識與能力、提高電子文件備份的質量與等級、強化對電子文件安全保障工作重要性的認識。

關鍵詞：電子文件；安全保障；調查；評估；武漢市

Abstract：To examine the status， achievements and problems of electronic records security assurance in Wuhan， members of our project group interviewed 34 institutions including several general archives， university archives and some archives of enterprise and public institutions. Solutions were focused on following aspects： 1） to enhance the awareness and ability of risk defense； 2） to improve the quality and level of backup； 3） and to strengthen the understanding of the importance of electronic records security assurance.

Keywords： Electronic records； Security assurance； Investigation； Evaluation；Wuhan

隨著各類電子業務的發展和應用，各級各類組織機構的電子文件數量和規模激增，電子文件的安全保障問題成為我國檔案安全保障體系中的一項重要內容。截至2016年底，全國各級檔案館數字化檔案資源達2243萬GB[1]，“存量數字化，增量電子化”成為檔案工作的主要著力點，保障電子文件的安全，使其真實、完整、可靠、可用尤為必要。本項目組以武漢市為例，對該市綜合檔案館、高校檔案館和大型企事業單位檔案館（室）的電子文件安全保障情況進行了調查和評估，可為我國電子文件安全保障評估及電子文件安全保障政策的制定提供參考。

1.調查對象與調查方法

本項目組自2017年10月起，先后調查了武漢市14個綜合檔案館、12個高校檔案館和8個大型企事業單位檔案館（室），實地發放并回收有效問卷34份。我們以實體安全、信息安全和管理安全三個一級指標為基礎，對庫房環境、存儲設備、網絡安全、系統安全、數據安全、制度建設、組織管理等多個二級指標領域進行調查。為保證調查結果的準確可信，我們對32家單位進行了實地調查，對距離較遠或不便接待的2家單位進行電子郵件調查與電話訪談。并在初步梳理調查數據后對數據存疑的部分單位進行了電話回訪。

2.武漢市電子文件安全保障現狀總體評估

項目組成員運用層次分析法（AHP），參考電子文件安全保障相關的法律法規、政策標準及多名專家學者的專著與論述，制定了包含3個一級指標、7個二級指標、35個三級指標的電子文件安全保障評估指標體系[2]。采用德爾菲法對9位專家進行調查與咨詢，確定各項指標的權重。另外，根據指標體系設計調查問卷，對武漢市34家檔案館（室）的電子文件安全保障現狀進行調查，按比例為各項調查結果賦分并依照權重計算與評估（滿分為100）。結果分布如圖1。

如圖1，在參與評估的34家單位中，評級為“優秀”、得分在[90，100]區間的單位共3家，占比8.8%，含綜合檔案館2家，高校檔案館1家；評級為“良好”、得分在[80，90]區間的單位共11家，占比32.35%，含綜合檔案館6家，高校檔案館2家，企事業單位檔案館（室）3家；評級為“一般”、得分在[60，80]區間的單位共11家，占比32.35%，含綜合檔案館4家，高校檔案館4家，企事業單位檔案館（室）3家；評級為“較落后”、得分在[40，60]區間的單位共7家，占比20.6%，含綜合檔案館2家，高校檔案館4家，企事業單位檔案館（室）1家；評級為“亟待整改”、得分在[0，40]區間的單位共2家，占比5.9%，含高校檔案館1家，企事業單位檔案館（室）1家。

總體而言，參與此次評估各單位的電子文件安全保障水平差異顯著，最高分達94.602，最低分為32.746，其中，評級為“良好”和“一般”的單位居多。從達標率來看，以60分為基準，本次評估的整體達標率為73.5%，大部分組織機構在電子文件安全保障工作方面取得一定成效。從檔案館類型看，綜合檔案館整體情況普遍優于其他兩類檔案館，平均得分為76，這受其工作職責及在檔案工作中的主導地位所影響；大型企事業單位和高校檔案館平均得分為68.2和65.2，但個體間得分差異尤為顯著，這與各單位對電子文件管理重視程度和管理規模不同有關。

3.武漢市電子文件安全保障現狀調查結果分析

3.1電子文件實體安全保障現狀。

3.1.1電子文件庫房的獨立性和專業化有待提升。電子文件與傳統檔案存儲的載體與形式不同，對保存環境的要求各異，為電子文件提供專業可靠的外部保管環境至關重要。調查顯示，34家檔案館（室）中僅17家（50%）設立了專門的電子文件庫房，不同類型的檔案館（室）設立專門電子文件庫房的比例均為50%左右，可見，目前組織機構尚未普遍樹立電子文件單獨保管的意識。在具體保管設施方面，上述電子文件庫房全部配備溫濕度控制設施，88.24%的庫房配備了防水、防火、防塵及防止人員入侵設施，七成左右庫房配備了防紫外線和防電磁輻射設施，五成庫房配備了防有害氣體及防震設施。

3.1.2電子文件保存載體種類多樣、合規性良好。電子文件由信息及其附著的載體組成，多樣化的合規存儲介質有助于提升電子文件管理的安全系數。此次接受調查的34家單位中有29家（85.3%）均選取了兩種及以上載體來儲存電子文件，其中5家（14.7%）使用了硬盤、軟盤、光盤和磁帶4種存儲介質進行文件保存，其余5家（14.7%）只選取了硬盤作為唯一存儲方式。在所有存儲介質中，硬盤以快捷便利的特點使用最為廣泛，采用率達97.06%；目前最為經濟、安全的電子文件存儲介質光盤也被82.35%的機構選用，綜合檔案館多選用壽命大于20年的檔案級光盤；還有26.47%和11.76%的單位選擇磁帶和軟盤作為存儲介質。在管理與保存上述存儲載體時，88.24%的機構使用磁帶盒、光盤盒等專業裝具。

對存儲載體定期檢查是保證電子文件完整、可用的重要環節。調查顯示，70.59%的單位會定期對載體進行可讀性檢查，47.06%的單位會對載體外觀進行檢查，50%和35.29%的單位會檢查數據的完整性和防毒情況，另外，有20.59%的單位未進行定期檢查。

3.2電子文件信息安全保障現狀。

3.2.1網絡環境設施基本完備。網絡軟硬件設施及網絡配置構成了電子文件生成、流轉與保存的直接環境。調查顯示，在基礎網絡設施方面，79.41%的單位計算機網絡部件配備齊全、劃分了內外網絡段并實行訪問控制，58.82%單位的重要通訊線路和通訊控制裝置均有備份。在防攻擊方面，所有單位都安裝了防病毒軟件，58.82%的單位使用360殺毒，其他單位使用了騰訊電腦管家、金山毒霸、瑞星、趨勢科技、卡巴斯基、諾頓等品牌的殺毒軟件；94.12%的單位建立了防火墻系統維護網絡安全，64.71%的單位采用入侵檢測技術動態識別惡意使用行為；同時，55.88%的單位采用自動化漏洞掃描程序查找網絡安全漏洞，32.35%的單位定期進行人工漏洞查找與修復。可見，大部分單位搭建了較完善的網絡硬件環境，配備了防火墻系統和殺毒軟件，但持續動態的防入侵技術方面還有待提升。

3.2.2電子文件管理系統初步普及，但關鍵技術的采用度偏低。88.24%的被調查對象配備了電子文件管理系統，其中，100%的綜合檔案館均配備了上述系統。73.3%的系統經過了具有資質的安全保密測試單位的檢測，20%的系統通過了自行系統安全檢測。86.67%的系統能進行較為及時、方便的升級和維護。采用電子文件管理系統的單位中，63.33%的系統為單位直接采購，主要品牌有：世紀科怡、東方飛揚、南大之星、紫光啟明、量子偉業PDE等；33.34%的單位委托研制或合作開發電子文件管理系統；僅有一家單位的電子文件管理系統為自主研發。在電子文件管理系統的功能方面，本次調查涉及的系統均提供檢索利用功能，76.67%的系統可進行電子文件分類、70%具有捕獲或歸檔功能、63.33%具有長久保存功能、33.33%有鑒定功能、20%具有審計與分析功能，但如捕獲歸檔、在線移交等功能的使用率很低。其中，僅有53.33%的單位表示現有的電子文件管理系統可以滿足工作需要。部分檔案工作者反映電子文件管理系統功能是否齊全只是初級要求，關鍵在于功能是否符合工作實際、便于操作。通過調查可知，多數單位在電子文件管理系統開發中地位較被動，開發商根據實際的工作需求進行功能更新的周期較長，這為電子文件日常管理工作造成了一定困難。

數據安全關鍵技術的實施能有效保障電子文件在生成、流轉、歸檔與利用等各環節的安全。調查顯示，35.29%的單位在電子文件流轉過程中采用了非對稱加密技術，8.82%的單位實施了對稱加密，另外，55.88%的單位未進行加密處理。在信息認證方面，58.8%的單位采用了數字簽名、身份識別或信息完整性校驗技術，29.4%的單位采用了上述兩種及以上的信息認證技術。在數字水印技術方面，54%的單位未使用數字水印，23.53%的單位使用圖像水印，其他單位使用文本水印、視頻水印、明文水印等。項目組在走訪中得知，武漢市各級綜合檔案館并未完全實現在線移交歸檔，這也是導致各單位對數據安全關鍵技術的采用度不高的原因之一。

3.2.3 電子文件保存格式具有多樣性。本項目組統計了34家單位電子文件的保存格式及其被采用的比例（見表1），發現大多數單位采用兩種及以上的保存格式。其中：39.3%采用兩種以上格式保存文本類電子文件，該比例在圖像類、錄音類和錄像類電子文件中分別為55.2%、50%及45.5%。值得注意的是，仍有部分單位將doc作為唯一的文本類電子文件保存格式，這為電子文件安全長久保存帶來了隱患。

3.2.4 電子文件備份基本普及但等級有待提升。與紙質文件相比，電子文件更加易流失，備份工作為電子文件安全管理提供了雙重保障。調查顯示，除1家電子文件工作較落后的單位未進行備份外，其余33家單位中，有26家的備份級別為“數據級（僅備份數據）”，3家的備份級別為“應用級（備份應用系統）”，1家實行了備份全部應用環境與基礎設施的“業務級備份”。各單位的備份存儲方式及采用比例詳見圖2，其中，87.9%的單位采用兩種及以上的備份存儲方式，72.8%的單位采用4種以上的備份存儲方式。可見各單位均按照要求開展了電子文件備份工作，但備份級別有待提升。

3.3電子文件管理安全保障現狀。

3.3.1標準遵從與制度建設狀況基本良好。各項國家標準、行業標準、制度規范是組織機構電子文件安全管理工作的依據。調查顯示，在標準遵從方面，76.47%的單位表示采用了《電子文件歸檔與電子檔案管理規范》《文書類電子文件元數據方案》的規定，綜合檔案館采用最為積極。在制度建設方面，88.24%的單位制定了電子文件歸檔制度與電子文件安全保密制度，其中，47.06%和38.24%的單位認為上述制度實施情況良好及一般，14.71%的單位認為其實施效果并不理想。面對形勢日益嚴峻的電子文件管理工作，82.3%的單位制定了短期、中期或長期工作計劃，其中2家單位同時制定了中期與長期工作計劃，6家單位表示尚未制定工作計劃。

3.3.2 預算及經費情況比較樂觀。相比于傳統的紙質檔案，電子文件管理對技術與設備更新換代的依賴性更強，經費投入直接決定著機構電子文件管理的層次與規模。調查顯示，85.29%的單位均有針對電子文件安全保護的專項預算，52.94%和32.35%的單位表示經費充足或較充足，另有14.71%的單位表示經費不充足。在調查中我們發現，八成以上的被調查對象對經費情況比較樂觀，但根據我們的評估體系和評估結果，電子文件安全保障的總體優秀率偏低，這與各單位對電子文件安全保障工作的認識不足有關。

3.3.3人員崗位安排與成長激勵機制有待進一步完善。設立專職的電子文件安全保管負責人員能夠保證機構電子文件管理工作開展效果與運行效率。在崗位人員安排方面，調查顯示，35.29%的單位設立了獨立的電子文件安全保護工作崗位，58.82%的單位設立了兼職崗位，5.88%的單位沒有人員負責此項工作。在電子文件安全保障工作的職責分工方面，58.82%的機構做到了明文規定其權責。在人員成長與激勵方面，64.71%的單位表示已開展了電子文件安全保護的相關培訓課程，50%的單位表示針對該項工作制定了相關獎懲制度。可見，電子文件安全保管未能作為一項獨立工作得到普遍認可，被調查機構對電子文件安全保護重要性的認識仍不夠充分，并缺乏對此項工作的足夠重視。

3.3.4 風險與災備意識嚴重不足。此次調查顯示，為維護電子文件的長期可存取，67.7%的單位定期進行數據遷移或載體轉換，但23.5%和8.8%的單位只對數據進行了復制或未采取任何措施。僅50%的單位進行過電子文件安全保護工作評估，并根據評估結果進行了整改。這說明接受調查的各機構對電子文件安全風險的防范準備不足，應有組織有計劃地開展風險的識別、評估與應對工作。同時，各單位災備工作實施情況也不容樂觀，僅7%的單位建立了電子文件災備中心，不到半數單位成立了電子文件安全應急處理和搶險救災工作隊。 67.65%的單位制定了電子文件安全應急處理與災難恢復的預案，只有20.59%的單位據此開展了定期演練。

4.結論與建議

綜上，武漢市的電子文件安全保障工作在基礎設施建設、存儲載體與格式管理、基礎備份、電子文件管理系統普及、標準遵從與制度建設、預算與經費方面取得了一定進展，但仍存在幾個亟待重視的問題：

4.1風險防御意識與能力不足。此次調查發現，各檔案館針對傳統紙質檔案的實體安全防護工作普遍優于電子文件，誠然，這與電子文件工作起步較晚有關，但電子文件易更改、易流失的特性[3]及信息環境中瞬息多變的風險使其安全保障工作應當比傳統紙質檔案受到更密切、更頻繁的關注。調研中反映出的主要問題有：①缺乏持續動態的防入侵技術。雖然各單位普遍安裝了殺毒軟件與防火墻，但對動態入侵檢測和自動化漏洞查找等技術的普及度不高，甚至有單位認為上述安全措施只需要采用其中1～2種即可，這為不法分子惡意攻擊提供了可乘之機。②長期保存措施不完備。由調查可知，在電子文件長期保存過程中超過三成機構僅進行了數據復制或尚未采取任何保障策略，數據遷移與載體轉換等必要的技術措施未受到應有的重視，嚴重危害電子文件的長期可用性。③安全風險評估與整改工作不及時。調查顯示，僅五成單位能夠對電子文件管理過程中的風險進行識別評估并據此整改，這使各機構無法準確掌握電子文件管理的安全現狀、風險與問題，不利于工作戰略的制定。④部分檔案工作人員對信息安全關鍵技術不了解、敏感度不高。本項目組在調查中發現，對于問卷中提及的信息認證、信息加密相關技術，部分檔案工作者表示并不了解。面對此類問題，接受采訪的某高校檔案館館長指出，這與目前檔案工作者隊伍中缺乏既懂得檔案又精通技術的人員有關，這也是檔案工作者產生“技術恐懼”的客觀原因。除以上因素外，風險意識的欠缺使檔案工作者缺乏了解新技術、新手段的動力，亦是導致電子文件管理技術應用滯后的重要原因。

4.2電子文件備份的質量與等級有待提升。目前，各單位電子文件備份工作初具規模，但戰略規劃與實際操作的層級偏低，不足以應對多變的環境條件與技術發展趨勢。首先，在戰略層面，依照《國家信息化領導小組關于加強信息安全保障工作的意見》[4]成立電子文件安全應急處理和搶險救災工作隊的單位不足半數，制定電子文件安全應急處理與災難恢復預案的單位中僅三分之一對該預案進行了演練，缺乏定期執行演練的應急預案無法得到及時的修正、更新，就成為一紙空文，因此，提升隊伍建設、加強應急預案的落實與反饋機制迫在眉睫。其次，在實際操作層面，多數單位對備份的認識還停留在數據層面，對電子文件生成、流轉與存儲的應用環境備份缺乏重視，這不利于特殊格式或載體電子文件的長期存取利用，于是，實施應用級及以上的備份并盡量采取多種備份手段十分必要。如湖北省檔案館電子文件實施應用級備份，并采取了增量備份、完全備份、脫機備份、服務器在線備份、異地備份、重要文件縮微膠片異質備份等措施。

4.3對電子文件安全保障工作的認識脫離時代形勢發展。在走訪調查的過程中，項目組成員發現相當數量的檔案工作人員對電子文件安全保障工作的認識與時代環境和形勢發展脫離甚遠，這一現象在部分高校檔案館和企事業單位檔案館（室）尤其顯著，具體表現為以下幾個方面：①對電子文件概念認識不清。電子文件的檔案化管理未能得到體現。調研過程中，部分單位的工作人員將電子文件管理與檔案工作區別對待，即認為檔案是檔案，電子文件是電子文件；還有個別單位為應對上級檢查，隨意拷貝數碼設備中的文件或掃描一些紙質文件“充當”電子文件館藏。上述現象說明，由于部分檔案工作者對技術的了解度與信任度偏低、技術本身的局限性等主客觀原因，電子文件的憑證價值未受到普遍認可，電子文件保存價值被忽視。同時，我們發現，檔案館安全保障綜合水平較高的單位在電子文件安全保障工作中未必有較好的表現，這表明部分檔案館對電子文件安全保障工作的重視程度還有待提高。②電子文件安全保障工作的獨立地位不突出。擁有獨立電子文件庫房、專職電子文件管理人員、電子文件歸檔制度、電子文件安全保密制度的單位較少，明文規定電子文件管理權責及實施獎懲措施、開展電子文件專業培訓的單位也較為缺乏，這說明人們仍然偏向于沿用傳統的檔案管理方法或習慣來管理電子文件。因此，必須提升對數字環境中電子文件生成、流轉、歸檔、保存和利用特性的認識，調強電子文件安全保障工作的重要性。

*本文系教育部人文社會科學重點研究基地重大項目“我國檔案安全保障體系構建的理論與實踐研究”（項目編號：15JJD870002）研究成果之一。

參考文獻：

[1]人民網. 全國檔案局長館長會議召開[EB/OL]. [2018-1-1]. http：//politics.people.com.cn/n1/2017/1228/c1001-29733783.html.

[2]該指標體系的詳細構建過程與論證參見本項目組另一篇論文《基于層次分析法的電子文件安全保障評估指標體系構建》，作者：劉盼盼、容依媚、梁珂珂。

[3]馮惠玲.電子文件管理：信息化社會的基石[J].電子政務，2010（06）：3-9.

[4]國家信息化領導小組關于加強信息安全保障工作的意見[EB/OL]. [2018-01-12]. http：//www.pkulaw.cn/fulltext_form.aspx/pay/fulltext_form.aspx？Db=chl&Gid;=35202072db61e37abdfb.

（作者單位：武漢大學信息管理學院，武漢大學信息資源研究中心，圖書情報國家級實驗教學示范中心（武漢大學） 來稿日期：2018-01-16）