可信的電子文件管理及傳輸平臺功能與模型研究

程巧

摘??要：本文以電子文件管理及傳輸系統為研究對象，以真實、完整、可信、一致為系統功能目標，采用從上至下、由外而內、由粗及細的建模思路，對電子文件管理及傳輸平臺所依賴的網絡環境規劃、元數據頂層設計、數字安全認證、數據封包等內容進行分析，提出一套基于“異構”背景下的電子文件管理及傳輸模型。

關鍵詞：電子文件;檔案;管理系統;模型

Abstract：In?this?paper，?for?the?study?of?electronic?document?management?and?delivery?system，?based?on?real，?complete，?credible?and?consistent?system?functions?as?a?target，?and?detailed?analysis?of?the?contents?of?the?network?environmental?planning，?metadata?top-level?design，?digital?security，?authentication，?data?packet?structure，?etc.，?Proposed?a?more?complete，?electronic?document?management?and?transmission?model?of?"heterogeneous"?background.

Keywords：?Electronic?documents;Archives;Management?Systems;Model

1??前言

電子文件管理系統是保障電子文件安全有效管理及長期歸檔保存的解決方案。隨著海量電子文件的出現，很多單位已經開始進行電子文件管理系統的實踐，但究其本質，大多仍未達到“可信”標準，如系統不支持元數據捕獲及管理、元數據方案及結構不完整、文件缺乏必要的簽署和認證、數據格式不規范無法長期存用等，這種似是而非的電子文件管理系統，仍在“可信”二字上有較長道路要走。

本文主要針對業務系統、電子檔案管理系統“異構”現狀，提出一套電子文件從傳輸到集中的處置模型。在建模過程中，我們對系統功能目標、管理及傳輸網絡、元數據方案、數字認證、文檔封裝等內容進行系統的研究，全面保障電子文件的真實可信。

2??可信的電子文件管理及傳輸平臺功能目標

2.1??真實。電子文件真實性是指形成于特定環境的電子文件經過傳輸、處置、利用、遷移等環節之后文件的內容、結構和背景等基本構成要素沒有發生變化，管理過程清晰可見。這個真實性體現在電子文件管理的三個階段（業務系統、電子文件管理系統、數字檔案館），都應有相應的評價機制來保障該份電子文件在不同封裝狀態、不同處置環境下的管理及保存狀態，且該評價貫穿電子文件形成、管理到利用。

全程管理及前端控制理論要求我們，一是要設計盡可能系統、完整的元數據項目，包含文件實體、形成背景、處置主體及處置行為等多方面內容;二是元數據規劃要探入系統設計前端，要符合國家、地區及行業有關規范及要求;三是為了輔證公文的可信，系統中應有必要的權限管理與控制、操作日志、審計機制、數字保真、“留痕”等功能，可幫助我們監控管理行為并處置非法行為。

圖1??電子文件真實保障示意圖

2.2??完整。完整性是指電子文件及其元數據完整，它和真實性一起為電子文件的“可信”創造了條件。影響電子文件完整性的因素主要包括電子文件管理系統捕獲機制是否完備、元數據方案是否規范、電子文件歸檔流程是否正確、電子文件物理及邏輯狀態是否清晰等。

從系統功能看，系統首先應有靈活完善的收集機制，可以讓我們的管理系統介入業務系統上游，對系統外及手工歸檔的各類電子文件及數字副本進行收集，通過規章力量和系統功能來保障所有辦理完畢、具有保存價值的文件能實時或定期反映到電子文件管理系統之中;其次，電子文件管理的全過程要按照既定的元數據方案主動地捕獲或手工登記文件形成、處置和利用等元數據，這是電子文件的重要組成部分，且與電子文件緊密聯系在一起才能證明該份電子文件的法定身份;最后要充分建立和維護好元數據與文件本身的聯系，保證電子文件與各類元數據、文檔存儲路徑及格式信息等能牢固捆綁并封裝在一起。

2.3??可用。可用性是指電子文件的內容能始終可讀并能長期保存，它包括內容可用和形式可用兩個方面。內容可用是指電子文件中所包含的二進制信息和字符編碼標準無誤。系統可通過元數據捕獲和記錄來注冊電子文件編碼格式、字符集和版本序號、管理軟件名稱、版本號、制作及轉換信息等特定內容，當我們面對保存或遷移需求時，可便捷地為讀取或還原該文件提供良好的現實環境或仿真環境。

形式可用是指電子文件的格式和存儲載體要符合管理規范。電子文件管理及傳輸系統應遵從《電子文件歸檔及管理規范》等標準，將通用電子文件格式（JPG、MP3、TXT/RTF、AVI等）納入系統審查機制，并允許非標格式在系統內進行轉換，保證管理端、傳輸端、利用端電子文件長久可用。對于流式文檔，如DOC、TXT等格式，我們提倡采用版式文檔進行轉碼，削弱硬件設備、平臺差異對文件原貌的影響。

2.4??一致。電子文件管理系統應具有相應的檢測及約束機制，可以在系統管理及維護中通過內嵌的檢測體系衡量系統是否達到既定效果，從而維護電子文件真實、完整、有效在理論和實踐上的一致。換言之，文件管理系統應當具備自評估功能，能動態地對文件是否符合既定規劃和標準進行評估，且該結果可以表單或系統警報的方式反饋至系統使用者或管理員。

它包括，系統能夠對電子文件及元數據的捕獲率作出完整性評估，尤其是對數據屬性為非空值的數據進行檢測，從而判斷背景、結構、內容、管理過程是否完整;能夠對文件存儲格式作出標準化評估，非標準格式的由系統進行注冊并作提示和預警[1]，并轉換為標準格式;能夠深入封裝、簽署、認證、保真等環節，通過電子文件屬性判斷、元數據監測、病毒檢測，作出真實性、有效性評估。評估完成后系統將形成評估報告，從而協助我們作出利于電子文件保存的判斷，更好地發揮電子文件的價值（圖2）。

圖2??電子文件管理系統一致性檢驗及約束圖

3??可信的電子文件管理系統模型構建

3.1??網絡拓撲模型。網絡是電子文件管理的底層物理環境，這個環境不好，電子文件的真實性、完整性就易遭受嚴重的威脅。綜合考慮電子文件管理系統的用戶分布和功能訴求，我們認為有必要對ERMS所處網域進行功能劃分、分級管理，這既是對電子文件的管理特點的尊重與維護，也符合電子文件管理安全性要求。

電子文件隨著其生命周期的推進，將依次經歷三個物理網絡（圖3），在這三個網絡中，電子文件的價值及處置主體（系統）是不同的。我們可采取關鍵網物理分離、網域內在線管理、網域間雙線傳輸的形式來規范及約束電子文件的管理，確保電子文件的安全。

首個網絡在電子文件形成機關內部，它通過物理網關及軟硬件防火墻與廣域網隔離，規避外界及內部不良影響，電子文件只能在局域網業務系統內進行登錄和處置;第二個網絡是資源收集或移交的關鍵，即業務系統中的電子文件及其元數據經過XML封裝和數字證書加密保真后，以脫機拷貝的形式，進入到政務內網或機要網進行處理;第三個網絡是電子文件接收方或管理方（檔案館、室、文件中心等）的專用網絡，該網絡直接與政務內網或機要網相連，可提供數據庫、格式轉換、封裝、備份、WEB管理、全文瀏覽、流媒體點播等服務。

圖3??電子文件生命周期內網絡保障分布圖

3.2??元數據方案模型。元數據，是用來描述數據的內容、結構及背景的信息，它可以反映數據管理的整個過程，應用在電子文件及電子檔案的管理上，可以用來證實文件的真實性、完整性、有效性、一致性。

我們目前關于電子文件元數據研究的較為成熟的成果有ISO?15489、ISO?23081、DA/T46-2009等。綜合考慮電子檔案載體形態、電子文件管理特點、國家及地方管理特色，本文以ISO?23081中提出的法規四元組的頂層框架模型為基礎[2]，結合《文書類電子文件元數據方案》（DA/T46-2009），將反映電子文件與各類信息的關系描述、政策法規依據、職能活動描述等列入元數據采集范圍[3]。我們在元數據方案中定義了實體、業務、責任、法規及關系等五個元數據屬類，并在封裝時將其轉成以文件為中心的扁平化結構。在整個元數據方案中，除反映文件本身自然屬性的實體元數據穩定不變之外，其他各類元數據都是隨管理過程的深入而動態變化（圖4）。

五個屬類中，實體元數據用于了解電子文件的來源、屬性及生成環境;責任元數據是落實責任對象、評價電子文件法定性的重要依據;業務元數據是重現文件管理過程的重要信息;關系元數據是揭示材料間相互聯系、進行信息聯動的有力支撐;法規元數據是控制、約束業務行為與職能授權的規則。這些元數據直接為電子文件三個階段的管理提供了數據記錄及驗證支持。

圖4??元數據方案頂層設計圖

3.3??文檔封裝模型。元數據封裝是指按元數據方案的結構將編碼數據及元數據整合為一個文檔，并用數字證書對需保真部分作摘要和簽名。封裝技術的直接優勢在于它以純文本、小體積的形式對文件背景、內容和關系進行了完整的自我描述。綜合考慮BS、ERMS、TDR三個管理階段的管理要求，其封裝模型呈現出以下特點。

其一，封裝的過程性。它的封裝不是一次成型。電子文件的管理及利用有靈活的分段封裝機制，即電子文件可以允許多次解析和封裝，BS系統中以結構狀態、形成背景及處置行為為主封裝出SIP包（提交數據包），ERMS系統中以實體、驗證及其管理行為為主封裝AIP包（存檔數據包），TDR系統則以實體、認證為主封裝DIP包（分發數據包），三者基于同一種封裝及解析算法，具有一定的系統性，但封裝及解析又具有相對獨立性。

其二，封裝結構的半封閉式。它的部分取值來自對文檔及生成環境的自動攝取，這些文檔及背景元數據是靜態的，提取后不可篡改，因而可保障電子文件的真實性;還有部分數據來自管理過程中的人工著錄和記錄，它是動態的，它可隨管理活動的深入而增加，呈現出橫向穩定、縱向增加、不可逆轉的特點，連續的動態數據可佐證電子文件生成及管理過程、幫助解讀各項職能及業務行為、明確及判斷相關權限。

配合系統日志、審計機制，我們可以判斷電子文件形成、歸檔及保存全過程是否合規合法，文件是否可信（圖5）。

圖5??元數據封包結構圖

3.4??數字認證模型。通過電子政務或電子商務平臺制作和傳輸的電子文件，要杜絕業務流程中的篡改、丟失、攻擊等問題，保障電子公文的真實有效，就必須借助于一定的驗證技術。數字簽名技術（PKI）就是其中一種，它利用某種密碼運算生成一系列符號及代碼組成的電子密碼進行簽名，來代替書寫簽名或印章，主要用于鑒定簽名人身份以及確保電子數據完整、真實，技術成熟、可靠性強。

傳統的“小作坊”式的兩兩認證只局限于處于同一編碼環境下的文件傳輸雙方，認證范圍較窄，一旦脫離這個系統，勢必又要重新開始認證，周而復始，浪費資源。鑒于ERMS系統中的電子文件都形成于合法的社會組織，所以，我們主張充分引入國家認可的認證機構及已有的認證資源，統一數字認證編碼算法，在全國（全省）范圍內建立一個完整的數字認證體系。當前可應用于立檔單位與同級綜合檔案館之間電子檔案交接，待認證資源高度統一后，則可用于復雜的數字檔案館間檔案共享與協作、檔案交流與交換。

其原理及流程如下，CA作為國家承認并備案的第三方認證中心，負責向領用單位頒發證書，并通過根證書的離線或在線驗證來證實其所頒發證書的有效，建立起發證單位與領證單位的信任;領證單位得到的這份證書主要用于信息及數據的加密，我們稱為密鑰，與之相對應的公鑰在網上在線發布，公私兩個密鑰是非對稱結構，接收加密數據包的單位在收到密文后，利用數字證書當中的公鑰，確認算法，從而將其還原成明文，完成解碼。

4??結論

網絡環境是電子文件管理系統所處的外界環境，是摒除網絡不穩定因素，保障網絡及信息安全的根本所在;元數據方案是保障電子文件真實可信的關鍵因素，是確保電子文件真實可信的第一道屏障;文檔封裝是元數據的組織及解析形式，是各類驗證及評價的數據及結構基礎;數字認證是確保文件來源及信息真實可信的有力支撐。可信平臺的構建一定要妥善處理好以上四者的關系，不可偏廢。相信隨著管理體制的不斷完善、國內標準的不斷發布、安全技術的不斷創新和應用，未來的電子文件管理系統會越來越成熟。

參考文獻：

[1]李澤鋒.基于OAIS的可信電子文件管理系統的體系構建[J].情報雜志，2010（8）：136.

[2]國際標準化組織.?ISO?23081-1信息與文件-文件管理過程-文件元數據第一部分：原則[S]，?2006：?11～13.

[3]毛海帆.電子檔案元數據方案設計與應用初探[J].檔案學研究，2010（1）：74～78.

（作者單位：南昌工程學院檔案館??來稿日期：2014-10-09）