淺談電子文件信息安全與保障措施

韓英

1 電子文件概念及特點

中華人民共和國國家標準《電子文件歸檔與管理規范》（GB/T18894-2002）對電子文件做了明確定義，即：“電子文件是指在數字設備及環境中形成，以數碼形式存儲于磁帶、磁盤、光盤等載體，依賴計算機等數字設備閱讀、處理，并可在通信網絡上傳送的文件。”

由此可以看出電子文件的特點：

（1）電子文件具有數字依賴性特征。電子文件的形成、存儲、閱讀、處理與傳輸都離不開數字設備與環境。

（2）電子文件的信息表現形式豐富。電子文件的信息可以文本形式表現，也可以圖像、聲音、多媒體等立體化形式表現。在一定程度上多樣化的信息表現形式使信息內容可以脫離載體存在，信息內容的完整性易受到侵犯。

（3）電子文件的可傳輸性。通過通信網絡傳輸電子文件，使電子文件面臨易篡改、傳輸中容易被捕獲等信息安全風險。

（4）內容的易更改性。電子文件為我們編輯、修改文件提供了極其便利的條件，但它也難以保證文件的原始性、真實性和憑據性。

（5）技術壽命的不穩定性。電子文件的保存條件和環境要求與紙質檔案不同，它對保存場地的面積要求不高，而對環境的溫濕度、防磁性等條件的要求很高，如果達不到特定的存儲要求，容易造成載體損傷致使信息丟失。另外，由于技術過時也可能導致電子文件無法讀出。

2 檔案館電子文件現狀

新的記錄方式取代舊的記錄方式，既是人類歷史發展的必然，也是人類社會進步的標志。據中國人民大學信息資源管理學院調查，2006年我國14.3%中央機關及其直屬企業事業單位生成的文件全部為電子文件；48%的受訪單位認為，未來五年50%以上的文件僅以電子文件的形式存在。

檔案館作為個人檔案信息的集中存放地，其信息化建設一直在加強。目前，相當部分的檔案材料都有相應的電子文件與之匹配。電子文件的檔案形式，不僅方便了檔案館對檔案信息的保存和管理，也方便了廣大人民群眾對檔案的查詢，給人們提供了優質的檔案服務。隨著信息技術的發展和信息化建設程度的不斷提高，將來有可能都使用電子文件來實現對檔案的管理。

3 檔案館電子文件面臨的信息安全風險

任何事物都有兩面性，電子文件也不例外。與傳統文件相比，電子文件易共享、易處理、易傳輸，但電子文件的數字化、易傳輸、表現形式豐富等特點也使其面臨更多的信息安全風險。檔案館電子文件面臨的信息安全風險主要來自如下方面：

（1）物理安全風險。物理安全風險主要指電子檔案面臨的物理環境風險，包括不可抗力風險、自然災害以及水、火、潮濕的環境等。電子文件具有數字依賴性，其形成、存儲、閱讀、處理與傳輸都離不開數字設備和環境。數字設備和環境是由一些電子元器件構成，具有較強的物理敏感性，對水、火、粉塵、濕度等都有特定要求，也易在地震、臺風、火山爆發等自然災害中受到損害。數字設備和環境遭到損壞會給電子文件帶來安全隱患。

（2）管理安全風險。主要指電子文件管理方面的安全風險，如因信息安全規章制度不完善、信息安全組織管理機構不健全、信息安全風險防范措施不到位、信息安全恢復計劃不完整等帶來的安全隱患。信息安全管理三分靠技術，七分靠管理。電子文件安全管理也不例外。

（3）網絡安全風險。網絡安全是信息安全的一個重要方面。一方面，網絡結構和網絡設施異常復雜，電子文件在存儲、傳輸、管理和基于網絡提供服務的過程中面臨諸多安全風險。如果網絡因故障造成服務中斷，會影響到電子文件的傳輸與服務的提供，電子文件系統的可靠性受到影響。另一方面，電子檔案面臨的網絡環境是一個復雜的網絡環境，時刻都暴露在病毒、黑客、非法入侵、非授權訪問等的威脅下，而這些，會大大影響到電子文件系統的安全性。

（4）數據安全風險。這方面針對的是電子文件內容本身的數據安全風險。主要指電子文件在形成、存儲、傳輸、利用的過程中，由于電子文件信息內容被篡改、電子文件信息泄露、電子文件信息內容損毀等引發的數據安全風險。電子文件面臨的數據安全風險會導致電子文件數據的真實性、完整性、可讀性、保密性等安全屬性遭到破壞。

（5）系統安全風險。指電子文件所依托的計算機信息系統面臨的安全風險。計算機信息系統是電子文件得以正常使用的基石，由計算機軟硬件構成并支持電子文件創建、傳輸、存儲和利用，是電子文件必需的數字環境。病毒、邏輯炸彈、計算機軟硬件損壞、不可抗力、人為的惡意攻擊等因素都可能導致計算機系統被破壞，致使建立在計算機系統之上的電子文件信息安全屬性遭到破壞，電子文件不能正常使用。

由于檔案館電子文件包含信息的特殊性和重要性，所以對其安全性必須予以足夠重視。

4 檔案館電子文件信息安全保障措施

隨著信息化技術尤其是網絡技術、云計算、大數據等技術的應用，既給檔案館電子文件信息安全管理帶來了新的機遇，也給其帶來了嚴峻的挑戰。為了應對各種信息安全風險，筆者認為，應當從如下方面建立檔案館電子文件信息安全保障措施。

4.1 建立健全檔案館電子文件信息安全管理的規章制度。電子文件作為一種新生事物，人們對其的熟悉程度遠不如紙質文件，對電子文件信息安全管理方面的研究起步也比較晚，至今在國內還沒有電子文件信息安全管理方面的專門的法律法規。標準方面，我國已經出臺了《電子文件歸檔與管理規范》、《基于XML電子公文格式規范》、《版式電子文件長期保存需求》等電子文件管理方面的一些標準，但也缺乏直接的電子文件信息安全標準。

筆者認為，要想建立起防范嚴密的電子文件信息安全保障措施，需要從國家層面制定一系列與國際接軌的電子文件信息安全管理方面的法律、法規和標準，使電子文件信息安全管理工作有法可依、有章可循。同時，各機構也要在國家法律法規的指導下，建立適合本單位的電子文件管理規章制度，健全電子文件管理機構，明確責任，從管理上降低電子文件信息安全風險。

具體到檔案館來說，應該制定完整的檔案館電子文件管理的規章制度，針對容易出現信息安全的環節，重點定期進行核查。對于違反電子文件操作規章制度的人員，一定要從重處理。電子文件的最終操作者是人，而人的主觀意識很強烈，所以只有從制度上進行完善，才能避免絕大多數的信息安全事件。

4.2 成立檔案館電子文件安全管理的組織機構，提高相關管理人員的信息安全意識。電子文件面臨的信息安全風險如此之多，單靠“散兵游勇”的力量是無法保障其信息安全的。因此，要建立電子文件安全管理的組織機構，完善管理制度，建立起多層次的防范機制。更為重要的是，要對電子文件管理人員進行信息安全教育，提高其信息安全意識和信息安全素養。這是因為，電子文件安全管理，歸根結底還是對人的管理，還要依靠人的管理。

4.3 提高檔案館電子文件安全管理的技術。技術在電子文件安全管理中的作用是非常重要的，也是必不可少的。面對越來越多的信息安全風險，要從技術上提高電子文件的安全管理性能，做好主動防御。例如，可以利用防火墻技術、入侵檢測技術、先進的數據加密技術、數字簽名技術、數字證書技術和信息隱藏技術，在電子文件的產生、傳輸、訪問、存儲等階段進行技術防控，以降低安全風險。

4.4 建立檔案館電子文件管理的安全評估機制和應急管理策略。電子文件安全管理要常態化，應當建立起定期的安全評估機制。筆者認為，應當定期地對檔案館電子文件管理機構進行安全評估，識別電子文件風險，評估風險，并在此基礎上制定出風險控制策略和應急管理措施。可以通過對風險漏洞進行安全控制和防護，避免風險；也可以通過把部分電子文件管理業務外包給第三方、與技術供應商簽署合同等方式轉移風險。

檔案館電子文件應急管理策略應當包括如下方面：電子文件信息安全風險發生后，應當立即做出響應；風險升級為災難后，應當迅速對丟失的數據進行恢復、對丟失的服務進行重建；當信息安全事故影響了機構的持續運行時，應當啟動下級數據中心或者在遠程服務位置建立熱站點等確保業務持續性等措施。

5 小結

信息社會的需求就是信息量極大。為了適應這種需求，電子文件應運而生。本文在詳細分析了電子文件的特點及使用狀況的基礎上針對檔案館的實際情況，指出了目前檔案館電子文件存在的安全問題，并根據實際情況提出了一些電子文件信息安全的保障措施。

（作者單位：鄭州大學軟件技術學院資料室 來稿日期：2014-04-10）