淺談電子文件的信息安全問題

隋欣

（哈爾濱哈投投資股份有限公司供熱公司 黑龍江 哈爾濱 150001）

隨著計算機技術的不斷發展和整個社會信息化程度的不斷提高，電子文件作為一個新興產物應運而生，大量應用于日常生活、商業活動、政務管理、信息交流等領域。電子文件給人們工作、生活、學習帶來極大便利的同時，電子文件的大量出現對檔案管理產生了沖擊，使其管理對象和工作內容發生了改變。電子文件的出現給檔案工作提出了新的要求。因此，研究如何保障電子文件信息的安全也就迫在眉睫。

一、電子文件信息安全的概念與內涵

電子文件信息安全是指電子文件信息在其生成、保存和利用過程中受到保護，不因偶然和惡意的原因而遭到破壞、更改和泄露，確保其真實性、完整性、系統性、原始性、可讀性和可靠性，并確保電子文件信息網絡系統連續正常運行。

根據電子文件和電子文件信息安全的定義，電子文件信息安全在總體上應包含兩項基本要求：網絡系統安全和電子文件信息內容安全。

（一）網絡系統安全

網絡系統安全是指電子文件信息網絡的軟、硬件系統設計合理，運行正常，網絡人員操作規范、管理嚴密，整個網絡系統能夠按照設定的要求正常運轉，發揮預定的各項功能。網絡系統安全是電子文件信息安全的基礎。

（二）信息內容安全

電子文件信息內容安全是電子文件信息安全的核心，它包括電子文件信息的存儲安全和傳輸安全，即在保管利用電子文件信息的過程中維護電子文件信息的真實性、完整性、系統性、原始性、可讀性和可靠性。

二、電子文件自身特點引發的信息安全問題

電子文件信息內容安全應該從電子文件自身特點引發的信息安全問題和電子文件管理引發的信息安全問題兩個方面進行闡述。

（一）電子文件自身特點引發的信息安全問題

1.電子文件對系統的依賴性

電子文件的制作、處理，以至歸檔后的全部管理活動都必須借助于計算機系統才能實現，離開了電子計算機軟、硬件平臺的支持，電子文件將不復存在。一般說來，不兼容的計算機和應用軟件所生成的電子文件之間是難以互換使用的，而隨著科學技術的不斷發展，計算機及其軟件更新速度不斷加快，就可能會出現：作為電子文件載體之一的光盤保存完好，但其中存貯的電子文件信息已難以完整準確地讀出。

2.電子文件信息與特定載體之間的可分離性在電子文件產生之前的任何一種文件，都是信息與載體的統一體，即信息與載體密不可分，一旦分離，其原始性則發生改變。電子文件中的信息是可流動的，具有相對獨立性。因此，傳統文件內容信息的泄露、更改或丟失往往總能從載體上尋找“蛛絲馬跡”，而電子文件的信息安全與否卻遠不能僅從載體上加以判別。對電子文件信息安全構成威脅的因素可能來自兩方面：通過載體危害信息以及直接針對信息本身的危害，且尤以后者為甚。因為直接針對信息本身的危害往往是無形的，讓人防不勝防。

3.電子文件信息的易變性

電子文件信息的易變性主要表現在信息容易被修改、丟失與毀壞。第一，有與電子文件信息與特定載體之間的可分離性，信息可以脫離特定載體而存在，載體對信息的束縛就沒有了，計算機系統中信息的相對獨立性使人們對信息的增刪更改十分方便，動態文檔中的數據不斷被自動更新或補充。第二，電子信息技術的發展，新的信息編碼方案、存儲格式、系統軟件的不斷出現更是對電子文件信息穩定性的巨大沖擊，從而要求將文件遷移到新的技術環境之中，遷移過程中信息的損失、變異也是不可避免的。

4.電子文件信息的可操作性

電子文件信息不是靜態、固定、消極的，而是動態、可變、積極的信息。電子文件信息的可操作性主要表現在兩個方面：第一，電子文件信息的可轉換性在為電子文件信息的多種利用和數據遷移帶來極大方便的同時，也帶來了復合文件、復雜文件在數據遷移中許多尚未解決的難題。第二，電子文件信息的易復制性在為電子文件的利用、提高工作效率帶來好處的同時，也可能導致電子文件信息被修改或被巧妙地不留痕跡地處置，被修改的拷貝廣泛傳播之后，從而出現多個難辨真偽的版本，給電子文件信息的管理帶來極大麻煩。

（二）電子文件管理引發的信息安全問題

在整個電子文件及電子文件的管理過程中，其周轉比較復雜，經歷的人員也比較多，因此，經常會有一些管理上的漏洞，導致信息被盜、泄密或丟失。一般來說，泄密或丟失的原因主要有以下幾種。

1.無意泄露

電子文件相關軟件管理混亂，對軟件不進行保密或隨便借出拷貝，都會造成電子文件信息的泄露，由于無意泄露往往不被人注意，一些重要的、秘密的電子文件信息在不知不覺中被竊取、篡改。

2.有意泄露

對電子文件信息缺乏監督管理，對密碼、口令的保密管理不嚴格，對電子文件的制作人員的責任劃分不明確或者某一個人長期主持保密性的電子文件的制作和管理等，有時處于某種利益或責任心不強，某些知情者會對熟人、朋友、客戶等說出口令或密碼。

總之，上述這些情況發生，一般是由于管理人員的保密意識或責任心不強造成的。

三、保證電子文件信息安全的防護措施

（一）技術措施

電子文件是高科技的產物，信息安全技術對于維護電子文件信息的安全具有至關重要的作用。目前這方面的技術主要有：

1．網絡安全技術

（1）訪問控制技術。訪問控制可以說是保證網絡安全最重要的核心策略之一。訪問控制策略主要包括入網訪問控制、網絡的權限控制和客戶端安全防護策略。

（2）網絡安全檢測技術。安全檢測技術是近年出現的新型網絡安全技術，目的是實時地入侵檢測及采取相應的防護手段。網絡入侵檢測和監控不僅能夠對付來自內部網絡的攻擊，而且它能夠阻止外部黑客的入侵。網絡監控，是對網絡攻擊入侵行為提供最后一級的安全保護。

（3）網絡防病毒技術。在網絡環境下，計算機病毒具有不可估量的威脅性和破壞力，計算機病毒的防范是網絡安全技術中重要的一環。在病毒防治上，要靈活運用各種軟硬件技術，確定查殺方案，經常使用殺毒軟件查殺病毒，不斷更新殺毒軟件，小心防范未知病毒的破壞。

2．簽署技術

對電子文件進行簽署的目的在于證實該份文件確實出自作者，其內容沒有被他人進行任何改動。電子文件的簽署技術一般包括證書式數字簽名和手寫式數字簽名。

采用證書式數字簽名者需要向專門的技術管理機構注冊登記，這種機構通常稱為“安全電子郵件認證站點”、“數字證書服務中心”、“數字標識授權機構”等。它的職能是在其管轄的數字協議下對用戶的有效身份進行認證，向用戶發放有限期的密鑰和數字證書等。

3．加密技術

采用加密技術可以確保電子文件內容的非公開性。由于加密和解密使用不同的密鑰，因此第三者很難從截獲的密文中解出原文來，這對于傳輸中的電子文件具有很好的保護效果。

4．身份驗證技術

為了防止無關人員進入系統對文件或數據訪問，有些系統需要對用戶進行身份驗證。當用戶要求進入系統訪問時，首先輸入自己的通行字，計算機自動將這個通行字與存儲在機器中有關該用戶的其它資料進行比較驗證，如果驗明他為合法用戶，可接受他進入系統對相關的業務訪問，如果驗證不合格，該用戶就會被拒之系統門外。

5．防火墻技術

這也是一種訪問控制技術，它是在某個機構的網絡和外界風格之間設置障礙，阻止對本機構信息資源的非法訪問，也可以阻止機要信息、專利信息從該機構的網絡上非法輸出。

6．防寫技術

目前在許多軟件中可以將文件設置為“只讀”狀態，在這種狀態下，用戶只能從計算機上讀取信息，而不能對其做任何修改在計算機外存儲器中，這種不可逆式記錄介質可以有效地防止用戶更改電子文件內容，保持電子文件的原始性和真實性。

7．備份技術

建立電子文件備份系統是保障電子文件安全最根本的技術措施之一。電子文件的備份系統分三個層次：（1）硬件級備份，即利用多余硬件來保證系統在出現故障時連續運行。（2）軟件級備份，即將系統數據保存到其它介質上，當系統出錯時可以將系統恢復到備份時的狀態。（3）人工級備份，即用手工操作實現備份。

上述技術措施對于證實電子文件內容的真實、可靠、完整、系統，保證電子文件在存儲、傳輸過程中的安全、保密，防范對電子文件的非法訪問和隨意改動，都具有很好的效果。隨著這些技術的成熟、普及和新技術的出現，電子文件信息安全將會得到更加可靠的認定和更為有效的保障。

（二）管理措施

科學的管理措施是建立在正確的管理思想的基礎上的。在制定和落實電子文件信息安全管理策略的時候必須貫徹以下相關的管理思想：

1.風險管理思想

風險指的是由于某些不可預知的因素引發問題的可能性，風險管理就是識別風險并采取措施控制風險的過程。確立風險管理思想，實施風險管理策略，可有效降低威脅電子文件信息安全的風險。

2.前端控制思想

前端控制是現代檔案管理理念的重要內容，以文件生命周期理論為基礎，它把文件從形成到永久保存或銷毀的不同階段看作一個完整的過程。前端控制是對整個電子文件管理過程的目標、要求和規則進行系統分析、科學整合，把需要和可能在文件形成階段實現或部分實現的管理功能盡量在這一階段實現。在已經建立了電子文件管理系統的地區和機構，電子文件是在系統中生成和運轉的，電子文件管理過程的前端就延伸到了系統設計階段，前端控制的形式也部分轉移到系統功能的設計之中，盡可能把文件生命周期各個階段的管理要求設計在系統之中，以功能合理的文件管理系統作為管好電子文件的先決條件。

3.全程管理思想

電子文件的全程管理是一種全面、系統、動態的過程管理，不僅涉及到電子文件的流程、管理規則、管理方法以及質量要求的完整管理，還要求整個管理體系的無縫連接，通過對電子文件生成、流轉、利用、保管等每一項管理內容實施具體的過程監控，以便及時發現與糾正問題。

4.危機管理思想

危機管理思想是風險管理思想的補充，傳統檔案保護講究的“預防為主，防治結合”的思想在現代電子文件安全管理中也是適用的。盡管我們盡最大努力保證電子文件信息的安全，但災難還時有發生，因此，我們不得不對可能發生的災難做必要的預防以及災后的應急和補救。