浅谈电子文件信息安全与保障措施

浅谈电子文件信息安全与保障措施

作者：韩英

来源：《档案管理》2014年第04期

1 电子文件概念及特点

中华人民共和国国家标准《电子文件归档与管理规范》（GB/T18894-2002）对电子文件做了明确定义，即：“电子文件是指在数字设备及环境中形成，以数码形式存储于磁带、磁盘、光盘等载体，依赖计算机等数字设备阅读、处理，并可在通信网络上传送的文件。”

由此可以看出电子文件的特点：

（1）电子文件具有数字依赖性特征。电子文件的形成、存储、阅读、处理与传输都离不开数字设备与环境。

（2）电子文件的信息表现形式丰富。电子文件的信息可以文本形式表现，也可以图像、声音、多媒体等立体化形式表现。在一定程度上多样化的信息表现形式使信息内容可以脱离载体存在，信息内容的完整性易受到侵犯。

（3）电子文件的可传输性。通过通信网络传输电子文件，使电子文件面临易篡改、传输中容易被捕获等信息安全风险。

（4）内容的易更改性。电子文件为我们编辑、修改文件提供了极其便利的条件，但它也难以保证文件的原始性、真实性和凭据性。

（5）技术寿命的不稳定性。电子文件的保存条件和环境要求与纸质档案不同，它对保存场地的面积要求不高，而对环境的温湿度、防磁性等条件的要求很高，如果达不到特定的存储要求，容易造成载体损伤致使信息丢失。另外，由于技术过时也可能导致电子文件无法读出。

2 档案馆电子文件现状

新的记录方式取代旧的记录方式，既是人类历史发展的必然，也是人类社会进步的标志。据中国人民大学信息资源管理学院调查，2006年我国14.3%中央机关及其直属企业事业单位生成的文件全部为电子文件；48%的受访单位认为，未来五年50%以上的文件仅以电子文件的形式存在。

档案馆作为个人档案信息的集中存放地，其信息化建设一直在加强。目前，相当部分的档案材料都有相应的电子文件与之匹配。电子文件的档案形式，不仅方便了档案馆对档案信息的保存和管理，也方便了广大人民群众对档案的查询，给人们提供了优质的档案服务。随着信息技术的发展和信息化建设程度的不断提高，将来有可能都使用电子文件来实现对档案的管理。

3 档案馆电子文件面临的信息安全风险

任何事物都有两面性，电子文件也不例外。与传统文件相比，电子文件易共享、易处理、易传输，但电子文件的数字化、易传输、表现形式丰富等特点也使其面临更多的信息安全风险。档案馆电子文件面临的信息安全风险主要来自如下方面：

（1）物理安全风险。物理安全风险主要指电子档案面临的物理环境风险，包括不可抗力风险、自然灾害以及水、火、潮湿的环境等。电子文件具有数字依赖性，其形成、存储、阅读、处理与传输都离不开数字设备和环境。数字设备和环境是由一些电子元器件构成，具有较强的物理敏感性，对水、火、粉尘、湿度等都有特定要求，也易在地震、台风、火山爆发等自然灾害中受到损害。数字设备和环境遭到损坏会给电子文件带来安全隐患。

（2）管理安全风险。主要指电子文件管理方面的安全风险，如因信息安全规章制度不完善、信息安全组织管理机构不健全、信息安全风险防范措施不到位、信息安全恢复计划不完整等带来的安全隐患。信息安全管理三分靠技术，七分靠管理。电子文件安全管理也不例外。

（3）网络安全风险。网络安全是信息安全的一个重要方面。一方面，网络结构和网络设施异常复杂，电子文件在存储、传输、管理和基于网络提供服务的过程中面临诸多安全风险。如果网络因故障造成服务中断，会影响到电子文件的传输与服务的提供，电子文件系统的可靠性受到影响。另一方面，电子档案面临的网络环境是一个复杂的网络环境，时刻都暴露在病毒、黑客、非法入侵、非授权访问等的威胁下，而这些，会大大影响到电子文件系统的安全性。

（4）数据安全风险。这方面针对的是电子文件内容本身的数据安全风险。主要指电子文件在形成、存储、传输、利用的过程中，由于电子文件信息内容被篡改、电子文件信息泄露、电子文件信息内容损毁等引发的数据安全风险。电子文件面临的数据安全风险会导致电子文件数据的真实性、完整性、可读性、保密性等安全属性遭到破坏。

（5）系统安全风险。指电子文件所依托的计算机信息系统面临的安全风险。计算机信息系统是电子文件得以正常使用的基石，由计算机软硬件构成并支持电子文件创建、传输、存储和利用，是电子文件必需的数字环境。病毒、逻辑炸弹、计算机软硬件损坏、不可抗力、人为的恶意攻击等因素都可能导致计算机系统被破坏，致使建立在计算机系统之上的电子文件信息安全属性遭到破坏，电子文件不能正常使用。

由于档案馆电子文件包含信息的特殊性和重要性，所以对其安全性必须予以足够重视。

4 档案馆电子文件信息安全保障措施

随着信息化技术尤其是网络技术、云计算、大数据等技术的应用，既给档案馆电子文件信息安全管理带来了新的机遇，也给其带来了严峻的挑战。为了应对各种信息安全风险，笔者认为，应当从如下方面建立档案馆电子文件信息安全保障措施。

4.1 建立健全档案馆电子文件信息安全管理的规章制度。电子文件作为一种新生事物，人们对其的熟悉程度远不如纸质文件，对电子文件信息安全管理方面的研究起步也比较晚，至今在国内还没有电子文件信息安全管理方面的专门的法律法规。标准方面，我国已经出台了《电子文件归档与管理规范》、《基于XML电子公文格式规范》、《版式电子文件长期保存需求》等电子文件管理方面的一些标准，但也缺乏直接的电子文件信息安全标准。

笔者认为，要想建立起防范严密的电子文件信息安全保障措施，需要从国家层面制定一系列与国际接轨的电子文件信息安全管理方面的法律、法规和标准，使电子文件信息安全管理工作有法可依、有章可循。同时，各机构也要在国家法律法规的指导下，建立适合本单位的电子文件管理规章制度，健全电子文件管理机构，明确责任，从管理上降低电子文件信息安全风险。

具体到档案馆来说，应该制定完整的档案馆电子文件管理的规章制度，针对容易出现信息安全的环节，重点定期进行核查。对于违反电子文件操作规章制度的人员，一定要从重处理。电子文件的最终操作者是人，而人的主观意识很强烈，所以只有从制度上进行完善，才能避免绝大多数的信息安全事件。

4.2 成立档案馆电子文件安全管理的组织机构，提高相关管理人员的信息安全意识。电子文件面临的信息安全风险如此之多，单靠“散兵游勇”的力量是无法保障其信息安全的。因此，要建立电子文件安全管理的组织机构，完善管理制度，建立起多层次的防范机制。更为重要的是，要对电子文件管理人员进行信息安全教育，提高其信息安全意识和信息安全素养。这是因为，电子文件安全管理，归根结底还是对人的管理，还要依靠人的管理。

4.3 提高档案馆电子文件安全管理的技术。技术在电子文件安全管理中的作用是非常重要的，也是必不可少的。面对越来越多的信息安全风险，要从技术上提高电子文件的安全管理性能，做好主动防御。例如，可以利用防火墙技术、入侵检测技术、先进的数据加密技术、数字签名技术、数字证书技术和信息隐藏技术，在电子文件的产生、传输、访问、存储等阶段进行技术防控，以降低安全风险。

4.4 建立档案馆电子文件管理的安全评估机制和应急管理策略。电子文件安全管理要常态化，应当建立起定期的安全评估机制。笔者认为，应当定期地对档案馆电子文件管理机构进行安全评估，识别电子文件风险，评估风险，并在此基础上制定出风险控制策略和应急管理措施。可以通过对风险漏洞进行安全控制和防护，避免风险；也可以通过把部分电子文件管理业务外包给第三方、与技术供应商签署合同等方式转移风险。

档案馆电子文件应急管理策略应当包括如下方面：电子文件信息安全风险发生后，应当立即做出响应；风险升级为灾难后，应当迅速对丢失的数据进行恢复、对丢失的服务进行重建；当信息安全事故影响了机构的持续运行时，应当启动下级数据中心或者在远程服务位置建立热站点等确保业务持续性等措施。