淺談電子文件的信息安全問題

隋欣

（哈爾濱哈投投資股份有限公司供熱公司 黑龍江 哈爾濱 150001）

隨著計(jì)算機(jī)技術(shù)的不斷發(fā)展和整個(gè)社會(huì)信息化程度的不斷提高，電子文件作為一個(gè)新興產(chǎn)物應(yīng)運(yùn)而生，大量應(yīng)用于日常生活、商業(yè)活動(dòng)、政務(wù)管理、信息交流等領(lǐng)域。電子文件給人們工作、生活、學(xué)習(xí)帶來極大便利的同時(shí)，電子文件的大量出現(xiàn)對檔案管理產(chǎn)生了沖擊，使其管理對象和工作內(nèi)容發(fā)生了改變。電子文件的出現(xiàn)給檔案工作提出了新的要求。因此，研究如何保障電子文件信息的安全也就迫在眉睫。

一、電子文件信息安全的概念與內(nèi)涵

電子文件信息安全是指電子文件信息在其生成、保存和利用過程中受到保護(hù)，不因偶然和惡意的原因而遭到破壞、更改和泄露，確保其真實(shí)性、完整性、系統(tǒng)性、原始性、可讀性和可靠性，并確保電子文件信息網(wǎng)絡(luò)系統(tǒng)連續(xù)正常運(yùn)行。

根據(jù)電子文件和電子文件信息安全的定義，電子文件信息安全在總體上應(yīng)包含兩項(xiàng)基本要求：網(wǎng)絡(luò)系統(tǒng)安全和電子文件信息內(nèi)容安全。

（一）網(wǎng)絡(luò)系統(tǒng)安全

網(wǎng)絡(luò)系統(tǒng)安全是指電子文件信息網(wǎng)絡(luò)的軟、硬件系統(tǒng)設(shè)計(jì)合理，運(yùn)行正常，網(wǎng)絡(luò)人員操作規(guī)范、管理嚴(yán)密，整個(gè)網(wǎng)絡(luò)系統(tǒng)能夠按照設(shè)定的要求正常運(yùn)轉(zhuǎn)，發(fā)揮預(yù)定的各項(xiàng)功能。網(wǎng)絡(luò)系統(tǒng)安全是電子文件信息安全的基礎(chǔ)。

（二）信息內(nèi)容安全

電子文件信息內(nèi)容安全是電子文件信息安全的核心，它包括電子文件信息的存儲(chǔ)安全和傳輸安全，即在保管利用電子文件信息的過程中維護(hù)電子文件信息的真實(shí)性、完整性、系統(tǒng)性、原始性、可讀性和可靠性。

二、電子文件自身特點(diǎn)引發(fā)的信息安全問題

電子文件信息內(nèi)容安全應(yīng)該從電子文件自身特點(diǎn)引發(fā)的信息安全問題和電子文件管理引發(fā)的信息安全問題兩個(gè)方面進(jìn)行闡述。

（一）電子文件自身特點(diǎn)引發(fā)的信息安全問題

1.電子文件對系統(tǒng)的依賴性

電子文件的制作、處理，以至歸檔后的全部管理活動(dòng)都必須借助于計(jì)算機(jī)系統(tǒng)才能實(shí)現(xiàn)，離開了電子計(jì)算機(jī)軟、硬件平臺(tái)的支持，電子文件將不復(fù)存在。一般說來，不兼容的計(jì)算機(jī)和應(yīng)用軟件所生成的電子文件之間是難以互換使用的，而隨著科學(xué)技術(shù)的不斷發(fā)展，計(jì)算機(jī)及其軟件更新速度不斷加快，就可能會(huì)出現(xiàn)：作為電子文件載體之一的光盤保存完好，但其中存貯的電子文件信息已難以完整準(zhǔn)確地讀出。

2.電子文件信息與特定載體之間的可分離性在電子文件產(chǎn)生之前的任何一種文件，都是信息與載體的統(tǒng)一體，即信息與載體密不可分，一旦分離，其原始性則發(fā)生改變。電子文件中的信息是可流動(dòng)的，具有相對獨(dú)立性。因此，傳統(tǒng)文件內(nèi)容信息的泄露、更改或丟失往往總能從載體上尋找“蛛絲馬跡”，而電子文件的信息安全與否卻遠(yuǎn)不能僅從載體上加以判別。對電子文件信息安全構(gòu)成威脅的因素可能來自兩方面：通過載體危害信息以及直接針對信息本身的危害，且尤以后者為甚。因?yàn)橹苯俞槍π畔⒈旧淼奈：ν菬o形的，讓人防不勝防。

3.電子文件信息的易變性

電子文件信息的易變性主要表現(xiàn)在信息容易被修改、丟失與毀壞。第一，有與電子文件信息與特定載體之間的可分離性，信息可以脫離特定載體而存在，載體對信息的束縛就沒有了，計(jì)算機(jī)系統(tǒng)中信息的相對獨(dú)立性使人們對信息的增刪更改十分方便，動(dòng)態(tài)文檔中的數(shù)據(jù)不斷被自動(dòng)更新或補(bǔ)充。第二，電子信息技術(shù)的發(fā)展，新的信息編碼方案、存儲(chǔ)格式、系統(tǒng)軟件的不斷出現(xiàn)更是對電子文件信息穩(wěn)定性的巨大沖擊，從而要求將文件遷移到新的技術(shù)環(huán)境之中，遷移過程中信息的損失、變異也是不可避免的。

4.電子文件信息的可操作性

電子文件信息不是靜態(tài)、固定、消極的，而是動(dòng)態(tài)、可變、積極的信息。電子文件信息的可操作性主要表現(xiàn)在兩個(gè)方面：第一，電子文件信息的可轉(zhuǎn)換性在為電子文件信息的多種利用和數(shù)據(jù)遷移帶來極大方便的同時(shí)，也帶來了復(fù)合文件、復(fù)雜文件在數(shù)據(jù)遷移中許多尚未解決的難題。第二，電子文件信息的易復(fù)制性在為電子文件的利用、提高工作效率帶來好處的同時(shí)，也可能導(dǎo)致電子文件信息被修改或被巧妙地不留痕跡地處置，被修改的拷貝廣泛傳播之后，從而出現(xiàn)多個(gè)難辨真?zhèn)蔚陌姹?，給電子文件信息的管理帶來極大麻煩。

（二）電子文件管理引發(fā)的信息安全問題

在整個(gè)電子文件及電子文件的管理過程中，其周轉(zhuǎn)比較復(fù)雜，經(jīng)歷的人員也比較多，因此，經(jīng)常會(huì)有一些管理上的漏洞，導(dǎo)致信息被盜、泄密或丟失。一般來說，泄密或丟失的原因主要有以下幾種。

1.無意泄露

電子文件相關(guān)軟件管理混亂，對軟件不進(jìn)行保密或隨便借出拷貝，都會(huì)造成電子文件信息的泄露，由于無意泄露往往不被人注意，一些重要的、秘密的電子文件信息在不知不覺中被竊取、篡改。

2.有意泄露

對電子文件信息缺乏監(jiān)督管理，對密碼、口令的保密管理不嚴(yán)格，對電子文件的制作人員的責(zé)任劃分不明確或者某一個(gè)人長期主持保密性的電子文件的制作和管理等，有時(shí)處于某種利益或責(zé)任心不強(qiáng)，某些知情者會(huì)對熟人、朋友、客戶等說出口令或密碼。

總之，上述這些情況發(fā)生，一般是由于管理人員的保密意識(shí)或責(zé)任心不強(qiáng)造成的。

三、保證電子文件信息安全的防護(hù)措施

（一）技術(shù)措施

電子文件是高科技的產(chǎn)物，信息安全技術(shù)對于維護(hù)電子文件信息的安全具有至關(guān)重要的作用。目前這方面的技術(shù)主要有：

1．網(wǎng)絡(luò)安全技術(shù)

（1）訪問控制技術(shù)。訪問控制可以說是保證網(wǎng)絡(luò)安全最重要的核心策略之一。訪問控制策略主要包括入網(wǎng)訪問控制、網(wǎng)絡(luò)的權(quán)限控制和客戶端安全防護(hù)策略。

（2）網(wǎng)絡(luò)安全檢測技術(shù)。安全檢測技術(shù)是近年出現(xiàn)的新型網(wǎng)絡(luò)安全技術(shù)，目的是實(shí)時(shí)地入侵檢測及采取相應(yīng)的防護(hù)手段。網(wǎng)絡(luò)入侵檢測和監(jiān)控不僅能夠?qū)Ω秮碜詢?nèi)部網(wǎng)絡(luò)的攻擊，而且它能夠阻止外部黑客的入侵。網(wǎng)絡(luò)監(jiān)控，是對網(wǎng)絡(luò)攻擊入侵行為提供最后一級(jí)的安全保護(hù)。

（3）網(wǎng)絡(luò)防病毒技術(shù)。在網(wǎng)絡(luò)環(huán)境下，計(jì)算機(jī)病毒具有不可估量的威脅性和破壞力，計(jì)算機(jī)病毒的防范是網(wǎng)絡(luò)安全技術(shù)中重要的一環(huán)。在病毒防治上，要靈活運(yùn)用各種軟硬件技術(shù)，確定查殺方案，經(jīng)常使用殺毒軟件查殺病毒，不斷更新殺毒軟件，小心防范未知病毒的破壞。

2．簽署技術(shù)

對電子文件進(jìn)行簽署的目的在于證實(shí)該份文件確實(shí)出自作者，其內(nèi)容沒有被他人進(jìn)行任何改動(dòng)。電子文件的簽署技術(shù)一般包括證書式數(shù)字簽名和手寫式數(shù)字簽名。

采用證書式數(shù)字簽名者需要向?qū)ｉT的技術(shù)管理機(jī)構(gòu)注冊登記，這種機(jī)構(gòu)通常稱為“安全電子郵件認(rèn)證站點(diǎn)”、“數(shù)字證書服務(wù)中心”、“數(shù)字標(biāo)識(shí)授權(quán)機(jī)構(gòu)”等。它的職能是在其管轄的數(shù)字協(xié)議下對用戶的有效身份進(jìn)行認(rèn)證，向用戶發(fā)放有限期的密鑰和數(shù)字證書等。

3．加密技術(shù)

采用加密技術(shù)可以確保電子文件內(nèi)容的非公開性。由于加密和解密使用不同的密鑰，因此第三者很難從截獲的密文中解出原文來，這對于傳輸中的電子文件具有很好的保護(hù)效果。

4．身份驗(yàn)證技術(shù)

為了防止無關(guān)人員進(jìn)入系統(tǒng)對文件或數(shù)據(jù)訪問，有些系統(tǒng)需要對用戶進(jìn)行身份驗(yàn)證。當(dāng)用戶要求進(jìn)入系統(tǒng)訪問時(shí)，首先輸入自己的通行字，計(jì)算機(jī)自動(dòng)將這個(gè)通行字與存儲(chǔ)在機(jī)器中有關(guān)該用戶的其它資料進(jìn)行比較驗(yàn)證，如果驗(yàn)明他為合法用戶，可接受他進(jìn)入系統(tǒng)對相關(guān)的業(yè)務(wù)訪問，如果驗(yàn)證不合格，該用戶就會(huì)被拒之系統(tǒng)門外。

5．防火墻技術(shù)

這也是一種訪問控制技術(shù)，它是在某個(gè)機(jī)構(gòu)的網(wǎng)絡(luò)和外界風(fēng)格之間設(shè)置障礙，阻止對本機(jī)構(gòu)信息資源的非法訪問，也可以阻止機(jī)要信息、專利信息從該機(jī)構(gòu)的網(wǎng)絡(luò)上非法輸出。

6．防寫技術(shù)

目前在許多軟件中可以將文件設(shè)置為“只讀”狀態(tài)，在這種狀態(tài)下，用戶只能從計(jì)算機(jī)上讀取信息，而不能對其做任何修改在計(jì)算機(jī)外存儲(chǔ)器中，這種不可逆式記錄介質(zhì)可以有效地防止用戶更改電子文件內(nèi)容，保持電子文件的原始性和真實(shí)性。

7．備份技術(shù)

建立電子文件備份系統(tǒng)是保障電子文件安全最根本的技術(shù)措施之一。電子文件的備份系統(tǒng)分三個(gè)層次：（1）硬件級(jí)備份，即利用多余硬件來保證系統(tǒng)在出現(xiàn)故障時(shí)連續(xù)運(yùn)行。（2）軟件級(jí)備份，即將系統(tǒng)數(shù)據(jù)保存到其它介質(zhì)上，當(dāng)系統(tǒng)出錯(cuò)時(shí)可以將系統(tǒng)恢復(fù)到備份時(shí)的狀態(tài)。（3）人工級(jí)備份，即用手工操作實(shí)現(xiàn)備份。

上述技術(shù)措施對于證實(shí)電子文件內(nèi)容的真實(shí)、可靠、完整、系統(tǒng)，保證電子文件在存儲(chǔ)、傳輸過程中的安全、保密，防范對電子文件的非法訪問和隨意改動(dòng)，都具有很好的效果。隨著這些技術(shù)的成熟、普及和新技術(shù)的出現(xiàn)，電子文件信息安全將會(huì)得到更加可靠的認(rèn)定和更為有效的保障。

（二）管理措施

科學(xué)的管理措施是建立在正確的管理思想的基礎(chǔ)上的。在制定和落實(shí)電子文件信息安全管理策略的時(shí)候必須貫徹以下相關(guān)的管理思想：

1.風(fēng)險(xiǎn)管理思想

風(fēng)險(xiǎn)指的是由于某些不可預(yù)知的因素引發(fā)問題的可能性，風(fēng)險(xiǎn)管理就是識(shí)別風(fēng)險(xiǎn)并采取措施控制風(fēng)險(xiǎn)的過程。確立風(fēng)險(xiǎn)管理思想，實(shí)施風(fēng)險(xiǎn)管理策略，可有效降低威脅電子文件信息安全的風(fēng)險(xiǎn)。

2.前端控制思想

前端控制是現(xiàn)代檔案管理理念的重要內(nèi)容，以文件生命周期理論為基礎(chǔ)，它把文件從形成到永久保存或銷毀的不同階段看作一個(gè)完整的過程。前端控制是對整個(gè)電子文件管理過程的目標(biāo)、要求和規(guī)則進(jìn)行系統(tǒng)分析、科學(xué)整合，把需要和可能在文件形成階段實(shí)現(xiàn)或部分實(shí)現(xiàn)的管理功能盡量在這一階段實(shí)現(xiàn)。在已經(jīng)建立了電子文件管理系統(tǒng)的地區(qū)和機(jī)構(gòu)，電子文件是在系統(tǒng)中生成和運(yùn)轉(zhuǎn)的，電子文件管理過程的前端就延伸到了系統(tǒng)設(shè)計(jì)階段，前端控制的形式也部分轉(zhuǎn)移到系統(tǒng)功能的設(shè)計(jì)之中，盡可能把文件生命周期各個(gè)階段的管理要求設(shè)計(jì)在系統(tǒng)之中，以功能合理的文件管理系統(tǒng)作為管好電子文件的先決條件。

3.全程管理思想

電子文件的全程管理是一種全面、系統(tǒng)、動(dòng)態(tài)的過程管理，不僅涉及到電子文件的流程、管理規(guī)則、管理方法以及質(zhì)量要求的完整管理，還要求整個(gè)管理體系的無縫連接，通過對電子文件生成、流轉(zhuǎn)、利用、保管等每一項(xiàng)管理內(nèi)容實(shí)施具體的過程監(jiān)控，以便及時(shí)發(fā)現(xiàn)與糾正問題。

4.危機(jī)管理思想

危機(jī)管理思想是風(fēng)險(xiǎn)管理思想的補(bǔ)充，傳統(tǒng)檔案保護(hù)講究的“預(yù)防為主，防治結(jié)合”的思想在現(xiàn)代電子文件安全管理中也是適用的。盡管我們盡最大努力保證電子文件信息的安全，但災(zāi)難還時(shí)有發(fā)生，因此，我們不得不對可能發(fā)生的災(zāi)難做必要的預(yù)防以及災(zāi)后的應(yīng)急和補(bǔ)救。