楊茜雅 趙勇剛

（中國聯(lián)合網(wǎng)絡(luò)通信集團有限公司，北京，100033）

檔案管理工作需要采取一系列措施來保證檔案的真實性、完整性、憑證性和安全性?？尚械拇胧┗蚍桨敢延卸喾N，有的依賴于復(fù)雜的監(jiān)控過程，有的依賴于繁復(fù)的信息跟蹤處理，有的只能間接認定，還有的方法雖簡便但不夠嚴密?？尚艜r間戳服務(wù)是從國家授時中心聯(lián)合信任可信時間戳的技術(shù)原理和使用機制入手，對其在電子檔案管理中的作用和應(yīng)用特點進行分析和研究，力求設(shè)計出一套可行的應(yīng)用模式、便捷而又符合法規(guī)要求的方案。

中國聯(lián)合網(wǎng)絡(luò)通信集團有限公司（以下簡稱“中國聯(lián)通公司”）在企業(yè)數(shù)字檔案館建設(shè)過程中得出，使用可信時間戳可以構(gòu)筑電子文件和電子檔案的安全堡壘。以下結(jié)合檔案管理工作實際分析介紹一下對可信時間戳的認識和應(yīng)用。

1.可信時間戳及其作用

1.1 什么是可信時間戳

可信時間戳是由國家授時中心聯(lián)合信任時間戳服務(wù)中心簽發(fā)的一個能證明數(shù)據(jù)電文（各種電子文件和電子數(shù)據(jù)）在一個時間點是已經(jīng)存在的、完整的、可驗證的、具備法律效力的電子憑證（以下簡稱TSA），是解決《中華人民共和國電子簽名法》中對數(shù)據(jù)電文原件形式要求的必要技術(shù)保障。中國聯(lián)通公司原本的網(wǎng)絡(luò)系統(tǒng)是按照無紙化設(shè)計的，但運行時仍需采用紙和電子并存的雙軌制，效率不能充分發(fā)揮，人力物力資源消耗很大。利用可信時間戳可以確定符合法律要求的電子文件的原件，從而使我們的辦公網(wǎng)絡(luò)系統(tǒng)產(chǎn)生的電子公文或業(yè)務(wù)信息系統(tǒng)產(chǎn)生的電子數(shù)據(jù)文件具有了法定的原件屬性。

1.2 可信時間戳產(chǎn)生原理

根據(jù)國際時間戳標準《RFC3161》，可信時間戳是將用戶的電子數(shù)據(jù)的單向散列函數(shù)，即Hash值封裝成可信時間戳請求發(fā)送到時間戳服務(wù)中心，在此基礎(chǔ)上綁定由國家權(quán)威時間機構(gòu)保障、不可更改的時間信息并通過時間戳服務(wù)中心簽發(fā)，產(chǎn)生不可偽造的時間戳文件。通過電子數(shù)據(jù)及對應(yīng)可信時間戳文件有效證明電子數(shù)據(jù)的完整性及產(chǎn)生時間，具體流程見圖1。可信時間戳在申請、簽發(fā)和檢驗過程中可以不傳遞和顯露原件，因此對電子文件的安全和保密十分有利。這對解決我公司信息系統(tǒng)中涉及的敏感信息和業(yè)務(wù)數(shù)據(jù)的安全問題很有益處。

1.3 可信時間戳的法律效力

圖1 可信時間戳產(chǎn)生原理

可信時間戳由國家法定時間機構(gòu)，即國家授時中心建設(shè)的時間戳服務(wù)中心簽發(fā)，以國家授時中心在時間上的法定地位來保障其簽發(fā)的時間戳能證明數(shù)據(jù)電文存在的時間和內(nèi)容的完整。區(qū)別于用戶自建時間戳系統(tǒng)或其他機構(gòu)產(chǎn)生的時間戳，這些時間戳，因其存在時間被篡改或重新簽發(fā)時間戳等可能性，會導(dǎo)致法律瑕疵。數(shù)據(jù)電文經(jīng)過國家授時中心時間戳認證，滿足其符合《中華人民共和國電子簽名法》規(guī)定的數(shù)據(jù)電文原件形式的要求。

國家授時中心權(quán)威簽發(fā)的時間戳已經(jīng)得到了司法的認可，是具有法律效力的第三方可信時間戳。中國聯(lián)通公司的網(wǎng)絡(luò)信息系統(tǒng)具備無紙功能，但由于原生電子文件的法律地位一直處于不確定狀態(tài)，所以歸檔時還須將紙質(zhì)形式作為歸檔原件?？尚艜r間戳應(yīng)用為無紙化管理模式提供法律基礎(chǔ)，可以使公司的信息系統(tǒng)真正按無紙方式運行，從大幅度節(jié)約資源。

2.檔案管理工作中的時間戳應(yīng)用模式

2.1 應(yīng)用時間戳需要解決的問題

電子文件和電子檔案是按照一套標準規(guī)范和相關(guān)流程進行管理的，同時又依托于特定的網(wǎng)絡(luò)系統(tǒng)及各類操作人員等組成的復(fù)雜環(huán)境。因此電子文件和電子檔案管理過程中使用可信時間戳必須周密深入地進行分析研究，明確時間戳的使用要求、規(guī)律，優(yōu)化整個管理流程中的時間戳作用點，申請對象的信息單元的大?。此^的“顆粒度”）的選取原則，以及如何按照安全管理的規(guī)定操作使用等問題。

2.2 可信時間戳應(yīng)用檔案管理系統(tǒng)的原則和要求

2.2.1 時間戳申請認證不降低網(wǎng)絡(luò)及信息系統(tǒng)安全等級

根據(jù)網(wǎng)絡(luò)的安全等級，可以選擇相應(yīng)的時間戳加蓋模式（參見后面多種模式的使用說明等內(nèi)容），以保證安全等級不受影響。例如檔案信息網(wǎng)絡(luò)要求與互聯(lián)網(wǎng)物理隔離，則可采取將HASH值脫機申請模式進行處理。我公司可以采用可信時間戳專用服務(wù)器的方式在電子文件生成時申請時間戳，安全、及時且方便。

2.2.2 時間戳申請認證節(jié)點選擇采取“先急后全”的策略

“先急”是指把握好電子文件電子檔案管理流程中的急需的關(guān)鍵環(huán)節(jié)，如涉及部門之間管理權(quán)限的轉(zhuǎn)移點、涉及法定職責認定的簽字點、涉及憑證保證的處理環(huán)節(jié)等可以先實現(xiàn)時間戳管理。

“后全”是指管理流程中逐步做到應(yīng)加則加，避免疏漏，從最為關(guān)鍵的環(huán)節(jié)逐步擴展至其他的節(jié)點。

可以參考的節(jié)點有：電子檔案生成、歸檔、登記、存儲備份、數(shù)據(jù)遷移、提供利用等。

目前，中國聯(lián)通公司首先選擇在電子文件生成時和歸檔移交環(huán)節(jié)辦理交接手續(xù)是申請時間戳。前一環(huán)節(jié)確定電子文件的原件，后一環(huán)節(jié)確定歸檔前后的責任且利于電子檔案的安全長久保存。

2.2.3 申請時間戳認證對象的選擇

申請時間戳認證的對象選擇為：正式登記的電子文件、備份歸檔的電子檔案、對憑證作用有要求的紙質(zhì)檔案或其他傳統(tǒng)形式的數(shù)字化加工獲得的圖像，以及其他需要保證真實性的多種媒體形式的數(shù)字檔案。

我公司的時間戳應(yīng)用對象初步確定為具有查考價值的電子公文、對法律效力要求高的電子合同、需保證準確可靠的業(yè)務(wù)數(shù)據(jù)文件等。

2.2.4 申請時間戳認證應(yīng)用對象的信息單元大小選取原則

時間戳對信息單元大小原則上沒有限制，但在使用中應(yīng)根據(jù)檔案管理的特點根據(jù)以下因素確定適當大小的信息單元申請時間戳認證。

選取便于歸檔保存和利用的信息單元，如關(guān)聯(lián)密切的文件組合，同一事件的案卷等；便于計算HASH值的適當大小的信息單元，如果信息單元太大，造成計算時間過長（同時驗證時間亦會過長）不利于操作，如果過小會造成認證操作過于頻繁。信息單元的數(shù)據(jù)量一般控制在100MB內(nèi)為宜，最大不宜超過4.5GB。根據(jù)實際操作，100MB大小的文件HASH值獲取不超過5秒鐘，一張滿信息的DVD光盤HASH值獲取大約需數(shù)10秒鐘（取決于本地計算機處理速度），時間戳認定證書簽發(fā)能力很強時間可忽略，回傳證書的時間主要取決于網(wǎng)絡(luò)。

2.3 電子檔案可行的時間戳應(yīng)用模式

2.3.1 實時模式

該模式是指可連接外網(wǎng)的時間戳申請操作模式。適用于可連接外網(wǎng)的檔案信息網(wǎng)絡(luò)，通過時間戳專用接入服務(wù)器連接至國家授時中心申請時間戳。由于采取專用服務(wù)器，只能連接時間戳中心，傳遞HASH值數(shù)據(jù)獲取時間戳證書，保證了對原文信息的嚴格保密。

2.3.2 網(wǎng)關(guān)、網(wǎng)閘（物理隔離）模式

該模式是指在物理隔離的網(wǎng)絡(luò)之間通過網(wǎng)關(guān)單向傳遞HASH值和回傳時間戳證書。適用于要求物理隔離的檔案網(wǎng)絡(luò)。做到在物理隔離的情況下，仍能以較高的效率完成時間戳操作。

2.3.3 脫機模式

該模式是指，將文件的HASH值下載到可脫機的保密介質(zhì)上，然后通過該介質(zhì)及脫離檔案網(wǎng)絡(luò)的專用終端設(shè)備進行時間戳認證申請，這種模式適用于要求完全物理隔離的檔案管理網(wǎng)絡(luò)?？刹扇《ㄆ?、批量的申請認證方式。

中國聯(lián)通公司選擇以專用服務(wù)器為主要應(yīng)用模式，即符合安全要求，又方便及時。

3.可信時間戳在檔案管理中的作用

3.1 電子檔案的真實性、原始性、完整性的保證和認定

電子檔案的真實性、原始性、完整性的保證和認定一直是較難解決的問題。普遍的方法是通過對電子文件元數(shù)據(jù)的捕獲、監(jiān)控來間接地保證和認定其真實性、完整性。

這種方法有一些缺陷：一是不能直接檢驗電子文件和電子檔案本身的真實性和完整性，會產(chǎn)生誤差；二是繁瑣，元數(shù)據(jù)的捕獲和管理十分復(fù)雜，難免有疏漏；三是資源消耗大、成本高，為滿足電子文件真實性、完整性、可用性的要求，需采集和留存大量的元數(shù)據(jù)，而且它們會伴隨著文件和檔案的流轉(zhuǎn)像滾雪球一樣增加，加上信息屬性多樣，造成管理不易、花費很高的情況。

而采用可信時間戳，其獲取的HASH值是電子文件或電子檔案的全息計算結(jié)果。通過HASH值與其唯一對應(yīng)的時間戳證書可直接驗證原文的真實性和完整性。

我們對元數(shù)據(jù)的捕獲和使用管理感覺很難把握，管理起來也很不方便。使用可信實踐戳后可以大大簡化元數(shù)據(jù)的管理。

3.2 電子檔案移交電子化

電子檔案是信息網(wǎng)絡(luò)的產(chǎn)物，對其管理亦應(yīng)網(wǎng)絡(luò)化、電子化。目前在登記接收過程中，履行手續(xù)使用的電子簽名往往只是在本部門的系統(tǒng)內(nèi)部有效，又由于簽名證書失效后無法認證簽名有效性及有效簽署時間可人為修改等問題，導(dǎo)致電子簽名不可信，所以存在對外難以被認可的法律缺陷。在這種情況下，還需在紙上簽章辦理手續(xù)，這種情況顯然與網(wǎng)絡(luò)化和電子化的環(huán)境不配套。

在中國聯(lián)通公司的電子文件和電子檔案管理過程中采用了可信時間戳，電子簽名不僅具有了法律認可的可信屬性，而且使得被簽署的電子文件在電子簽名失效后仍可以認定原件屬性。使得電子文件的法律地位不斷延續(xù)，同時還可以實現(xiàn)登記電子檔案的自動化，簡化檢驗過程、大幅度提高效率，保證移交檔案的三性的完備。

3.3 紙質(zhì)檔案數(shù)字備份信息的憑證性

經(jīng)常困擾人們的問題是，如何才能使紙質(zhì)檔案的電子復(fù)制件能具有代替原件的憑證作用。采用可信時間戳可以破解這個問題。

采用可信時間戳后，可以使電子復(fù)制件的憑證地位提升，真實性獲得法律認可，使電子復(fù)制件具有與原件同等的法律效力。因而使得公司原有的紙質(zhì)檔案的數(shù)字化復(fù)制件不僅起到信息備份的作用，而且提升其其真實性和可靠性，具有了一定的法律效力。

4.可信時間戳在檔案管理中的應(yīng)用環(huán)節(jié)

可信時間戳是針對電子檔案的管理全過程中加入可信息時間戳認證的設(shè)計，從而實現(xiàn)對電子檔案的有效控制和維護，保障電子檔案的完整性、有效性、真實性及可用性，具體環(huán)節(jié)見圖2。

5.可信時間戳在檔案管理中應(yīng)用的意義

5.1進一步嚴格控制檔案管理工作全過程

采用可信時間戳后，電子文件和電子檔案的管理和控制會更加嚴密，強化對真實性、完整性、可用性的保證。

5.2保證電子文件和電子檔案的安全性

由于可信時間戳所依據(jù)的JASH值是40個字節(jié)的單向函數(shù)，它源于原件的全部信息，但是僅通過它又不可能獲知原文的任何內(nèi)容，加上合理選擇時間戳的應(yīng)用模式，所以對電子文件和電子檔案的安全和保密不會有任何不良影響。

5.3保證電子文件和電子檔案的安全性

采用可信時間戳后，由于操作便捷，且電子文件和電子檔案的真實性、完整性檢驗可自動進行，所以節(jié)約系統(tǒng)時間消耗。初步測算，如果一份電子文件或電子檔案節(jié)約100k容量，考慮到數(shù)據(jù)的冗余、遷移、備份、長期保存過程中各種費用的累加效應(yīng)等因素，中型數(shù)字檔案館可減少大量的綜合資源消耗，也使得數(shù)據(jù)的遷移量獲得壓縮，處理難度降低，會明顯減少系統(tǒng)的運行成本。按綜合因素進行估算每份檔案可降低的運行成本約為0.8元?？紤]到時間戳本身需要少量費用，按照一般的收費方式，平均一份檔案不超過0.1元。綜合計算，采用可信時間戳產(chǎn)生的效益是很明顯的。同時也為無紙化管理模式提供了法律基礎(chǔ)，可以大幅度節(jié)約資源。

可信時間戳以國家授時中心聯(lián)合信任時間戳服務(wù)中心提供的可信時間戳服務(wù)，結(jié)合中國聯(lián)通公司檔案工作實際情況，解決電子檔案在管理管理利用過中存在電子檔案真實性、完整性、可用性、安全性及責任認定的問題，提供了一種安全、簡便、高效、經(jīng)濟的檔案信息化管理手段，必將在檔案信息化行業(yè)得到廣泛應(yīng)用。