電子文件防護機制建立初探

（常州紡織服裝職業技術學院，江蘇 常州 213164）

郭笑紅

傳統紙質辦公已逐步被辦公自動化所取代。然而，由于目前的技術限制及其自身脆弱的特性，電子文件產生之后不能夠像紙質文件那樣保存很長的時間。在這一過渡階段，檔案界提出的“雙套歸檔制”，這是文件載體轉換時期不可避免的一種現象，只要電子文件管理中的關鍵問題得不到根本解決，“雙套制”就有其存在的合理性和必要性[1]，同時也增加管理人員的工作量和檔案機構的管理成本。管理學中的一個定式：三分靠技術，七分靠管理。我們在努力研發新技術,以解決電子文件的長期保管問題，建立電子文件防護機制也是十分必要的。

1 電子文件防護機制及其建立的必要性

電子文件防護機制，即分析識別電子文件長久保存的軟硬件環境威脅、人為威脅及管理的漏洞，以保證電子文件內容信息與載體安全為目的，為電子文件的安全保管制定一系列防護機制和電子文件安全危機處理辦法。

1.1 建立電子文件防護機制是保護國家檔案安全的需要

檔案信息是國家的重要的信息資源，是維護國家安定，社會協調發展的重要保證。無論哪種形式的檔案信息被惡意竊取或無意泄露，都將會嚴重威脅到國家、企業或個人的安全利益。

1.2 電子文件面臨多重安全威脅

電子文件信息具有可操作性，這一特性在方便文書工作人員工作的同時，也給文件的安全留下一個技術漏洞。電子文件不再像紙質文件那樣必須依附于一定載體，文件信息只是一些計算機代碼，可以在任意的一個計算機設備上存儲、修改。雖然技術人員會給文件做一些技術處理來限制非法操作，但是技術無法做到滴水不漏。受限于技術和保管材質，電子文件載體暫無法達到能保存幾十年甚至百年千年標準，載體極易損害；文件生成的系統環境與軟件版本也不斷更迭，適用環境會導致早期的文件信息不可讀。這就需要建立有效的防護機制來彌補技術造成的安全漏洞。

2 檔案防護機制建立的原則

電子文件安全問題已經迫在眉睫，從保障我國檔案安全與電子文件真實完整性出發，建立防護機制必須遵循以下原則。

2.1 突出重點原則

在保護過程中，我們需全面考量，確定哪些部分的電子文件需進行重點保護，有所側重；通過給電子文件管理系統進行安全定級，安全級別越高的文件系統越要重點保護，確保真正重要的文件信息得到妥善保護。

2.2 可持續發展原則

建立電子文件防護機制是一個循序漸進、不斷完善的過程。電子文件防護機制中具體操作，應該建立在檔案管理實踐基礎、電子文件保護實踐與理論研究之上，積極采用成熟的防護與管理理念，運用當前先進的技術、設備及保護方法，使整個防護機制有一定的危機處理能力和文件保護能力。

2.3 實事求是原則

電子文件防護機制關系到國家電子文件發展全局，也關系到國家檔案遺產，其機制的建立需依據我國電子文件安全保護現狀，也要視具體地區、具體單位的情況而定，切忌“本本主義”，不切實際，那么防護機制就不能起到保護作用，還可能造成破壞。

2.4 防管結合

電子文件防護機制的建立重點在于管理，而不是防護。科學的管理就是有效的防護，電子文件管理的每一個流程可能有安全漏洞，所以防護機制應嵌入到電子文件管理的各個流程，以過程控制實現結果控制，而不是僅僅注重結果的安全。

3 電子文件防護機制的構建

3.1 電子文件防護系統構建

電子文件防護系統的構建應納入電子文件的管理平臺中去。電子文件具有易于修改、傳播迅速等特點，這也導致文件安全無法具體控制，只能通過在文件管理系統的每一環節進行安全控制，最終確保文件的安全：

1）文件從生成到歸檔保存，文件的每一環節和每一步驟都應記錄下元數據，建立元數據庫。

2）采用技術手段，通過設置訪問權限，防止無關人員對文件信息進行閱讀、拷貝或惡意修改。

3）對電子文件管理系統進行定級，集中力量保護重要的文件 信息。

4）對文件管理系統所在計算機進行監測，脫機載體保存場所環境控制。

5）建立電子文件異地備份制度[2]。

3.2 人員安全管理機制

1）人事安全審查制[3]。業務部門和檔案部門對于錄用的人員需進行審查，并進行備案。審查工作需要對涉及電子文件各業務流程中的人員的責任意識和保密意識進審查，是否能夠勝任，參與文件的安全防護工作。人員審查通過后，還應對其日常管理操作做有效的記錄和權限控制。

2）檔案安全知識技能教育。電子文件保護不同于紙質檔案，需加強涉及計算機、文件系統等多方面知識的吸收。業務部門在管理過程中，要鼓勵并支持業務人員參與專業課教育、短期培訓等多種方式，培養懂得計算機技術和檔案專業知識的“多方位”人才。

3）專職負責制。電子文件防護工作中，需確定每位管理人員的管理職責，聯合多部門成立監督委員會。每個管理人員在各級崗位中，要權職分明，各司其職。另外，還需建立追責機制，在發生安全事故后，主管部門應盡快查明事故原因，并對事故中體現的人員失職、管理漏洞，追究相關管理人員的責任，強化責權意識。

3.3 風險管理機制

目前，許多行業的管理都存在風險管理思想。紙質檔案有“八防”思想，電子文件管理面臨著諸多風險，自然也應具有風險管理意識。電子文件的風險指電子文件質量缺損及其引發其他損失的不確定性[4]。電子文件風險管理即通過識別和評估電子文件風險、采用合理的技術、方法對風險加以防范和控制，以最小的成本實現電子文件風險所致損失降到最低程度的管理活動[5]。電子文件風險管理機制是電子文件防護工作的重要環節。

3.4 電子文件危機處理機制

電子文件的風險管理是側重于預防，而危機處理則是對安全事故的處理，問題的解決，其有四個步驟：

1）危機原因分析。首先進行危機原因分析，分析其屬于計算機硬件因素還是軟件因素，抑或是人為因素，查出具體原因，以便采取對應措施進行彌補。

2）文件損害分析。進行文件損害情況分析，有兩種方式：（1）以數據形式表示危機嚴重程度；（2）以恢復時間來衡量災難的嚴重程度[6]。

3）數據備份恢復。建立數據備份制度，根據國家關于數據備份的要求，對重要的電子文件選取合適的備份地，備份方式可以選擇定期備份或實時備份。

4）追責。建立追責制度，確定每個人的職責所在，相互監督。在出現問題后，要嚴肅處理責任人，繃緊電子文件安全防護這根弦。

4 構建電子文件防護機制面臨的難題

電子文件防護機制的構建需要檔案行政管理部門牽頭，在進行調查研究之后，可在電子文件發展較發達地區進行試點，之后全國逐步進行推廣。在構建防護機制時，需著重解決以下幾個問題。

4.1 電子文件管理系統的安全定級問題

電子文件防護機制構建需要對電子文件管理系統進行定級，這當中涉及管理系統的鑒定問題。究竟由誰來進行定級，以及采用何種定級標準，對于不同等級之間文件數量的控制問題，這些都需要認真對待。鑒定工作耗費人力物力，筆者認為應向上級申請，由本單位上級主管部門、檔案部門及計算機專家進行聯合鑒定，可參考相關信息系統的定級指南。

4.2 文書部門與檔案部門難協調

我國文書制度在文書階段屬于文書部門，即單位的綜合辦公室或秘書處負責起草文件、處理辦理文件，而檔案部門只負責管理檔案及文件的后末端。雖然《檔案法》規定：機關、團體、企事業單位應對本單位的檔案工作進行監督、指導，但是這種監督、指導往往不被文書部門重視。檔案部門缺乏強有力的監督職能，導致文件前端控制無力，不利于檔案工作的開展。電子文件防護機制將建立在文件管理系統的基礎上，這種文書部門與檔案部門之間職能的難以協調，必將會限制電子文件安全防護工作的有效開展。

4.3 技術人員的匱乏

國家教育部將檔案學歸類為管理學，屬綜合性學科，但目前的檔案學專業多以文科類畢業生為主，技術類課程也在專業課程教育中占非主要地位。電子文件的出現和檔案數字化工作的開展，檔案部門中一些涉及技術的工作，傳統的檔案人員已經難以勝任。這是需要檔案學界關注的重要課題。

總而言之，電子文件的安全保護不能僅僅等待技術人員研發出安全可靠的技術保護電子文件信息，我們更應該在日常管理過程中建立電子文件防護機制，對電子文件進行科學管理和有效防護，確保電子文件信息真實、完整、可讀。