電子文件、電子檔案知識講座(二)
三 保證電子文件信息安全的技術措施電子文件是高科技的產物,信息安全技術對于維護電子文件的原始性、真實性至關重要。目前這方面的技術主要有:
1.簽署技術。對電子文件進行簽署的目的在于證實該份文件確實出自作者,其內容沒有被他人進行任何改動。電子文件的簽署技術一般包括證書式數字簽名和手寫式數字簽名。證書式數字簽名的原理是,發方利用自己的不公開的密鑰對發出文件進行加密處理,生成一個字母數字串,與文件一起發出,同時還帶走一個可使其生效的公開密鑰。收方用發方的公開密鑰運用特定的計算方法解碼檢驗數字簽名,是將專門的軟件模塊嵌入文字處理軟件中,作者使用光筆在計算機屏幕上簽名,或使用一種壓敏筆在手寫輸入板上簽名,顯示出來的“筆跡”如同在紙質文件上的親筆簽名一樣。計算機數字轉換器來捕獲手寫簽名,同時對電子文件的內容、結構等進行打包處理。
采用證書式數字簽名者需要向專門的技術管理機構注冊登記,這種機構通常稱為“安全電子郵件認證站點”、“數字證書服務中心”、“數字標識授權機構”等。它的職能是在其管轄的數字協議下對用戶的有效身份進行認證,向用戶發放有限期的密鑰和數字證書等。
2.加密技術。采用加密技術可以確保電子文件內容的非公開性。電子文件的加密方法有很多種。在傳輸過程中通常采用“雙密鑰碼”進行加密。網絡中的每一個加密通信者擁有一對密鑰:一個是可以公開的加密密鑰,一個是嚴格保密的解密密鑰,發方使用收方的公開密鑰發文,收方只用自己知道的解密密鑰解密。這樣任何人都可以利用公開密鑰向收方發文,而只有收方才能獲得這些加密的文件。由于加密和解密使用不同的密鑰,因此第三者很難從截獲的密文中解出原文來,這對于傳輸中的電子文件具有很好的保護效果。
3.身份驗證。為了防止無關人員進入系統對文件或數據訪問,有些系統需要對用戶進行身份驗證,如銀行系統使用用戶密碼驗證,文件管理系統使用管理員代碼驗證等。最常用的方法是給每個合法用戶一個由數字、字母或特定符號組成的“通行字”(password),代表該用戶身份。當用戶要求進入系統訪問時,首先輸入自己的通行字,計算機自動將這個通行字與存儲在機器中有關該用戶的其它資料進行比較驗證,如果驗明他為合法用戶,可接受他進入系統對相關的業務訪問,如果驗證不合格,該用戶就會被拒之系統門外。
4.防火墻。這也是一種訪問控制技術,它是在某個機構的網絡和外界風格之間設置障礙,阻止對本機構信息資源的非法訪問,也可以阻止機要信息、專利信息從該機構的網絡上非法輸出。防火墻好象是網絡上的一道關卡,它可以控制進、出兩個方向的通信。防火墻的安全保障能力僅限于網絡邊界,它通過網絡通信臨控系統監測所有通過防火墻的數據流,凡符合事先制定的網絡安全規定的信息允許通過,不符合的就拒之墻外,使被保護網絡的信息和結構不受侵犯。
5.防寫措施。目前在許多軟件中可以將文件設置為“只讀”狀態,在這種狀態下,用戶只能從計算機上讀取信息,而不能對其做任何修改在計算機外存儲器中,只讀光盤(CD—ROM)只能供使用者讀出信息而不能追加或擦除信息,一次寫入式光盤(WORM)可供使用者一次寫入多次讀出,可以追加記錄但不能擦除原來的信息。這種不可逆式記錄介質可以有效地防止用戶更改電子文件內容,保持電子文件的原始性和真實性。
上述技術措施對于證實電子文件內容的真實、可靠,保證電子文件在存儲、傳輸過程中的安全、保密,防范對電子文件的非法訪問和隨意改動,都具有很好的效果。隨著這些技術的成熟、普及和新技術的出現,電子文件的原始性和真實性可以得到更加可靠的認定和更為有效的保障。
四 保證電子文件信息安全的管理措施
電子文件的形成、處理、收集、積累、整理、歸檔、保管和利用等各個環節,都有信息更改、丟失的可能性,建立并執行一整套科學、合理、嚴密的管理制度,從每一個環節節堵塞信息失真的隱患,對于維護電子文件的原始性、真實性十分重要。維護電子文件真實性的管理措施涉及從電子文件形成、處理、收集、積累、整理、歸檔,到電子檔案的保管、利用的全過程,可以稱之為“電子文件全過程管理”。電子文件、的管理不僅注重每個階段的結果,也要重視每項工作的具體過程,井把這些過程一一記錄下來。其中有關維護其信息安全方面的主要要求是:
1、電子文件的制作過程要責任分明。制作人員應該對其制作的文件負有全責,在合作制作的文件或大型設計項目中,要注意劃清參與人員的責任范圍。一般來說,不相關人員不能進入其他人的責任范圍,需要時可以允許用只讀形式調閱,以防由于誤操作、有意刪改等原因造成文件信息的改變。
2、電子文件形成后應及時進行積累,以防在分散狀態下發生信息損失和變動。機關辦公活動中形成的公文性電子文件一經定稿就不得進行任何修改,CAD電子文件的更改要經過必要的批準手續。收集積累過程中的一切變更都應記錄在案。對收集積累起來的電子文件要有備份。
3、建立和執行科學的歸檔制度。歸檔時應對電子文件進行全面、認真的檢查,在內容方面檢查歸檔的電子文件是否齊全完整,真實可靠;相應的機讀目錄、伺服軟件、其它說明是否一同歸檔;歸檔的電子文件是否最終稿本,CAD電子文件是否反映產品定型技術狀態的版本或本階段產品技術狀態的最終版本;電子文件與相應的紙質或其它載體文件的內容及相關說明是否一致,軟件產品的源程序與文本是否一致等。在技術方面應檢查歸檔電子文件載體的物理狀態,有無病毒,讀出信息的準確性等。
4、建立和執行嚴格的保管制度。歸檔電子文件應使用光盤作為存儲介質,對所有歸檔的電子文件應作寫保護處理,使之置于只讀狀態。在對電子文件進行整理和因軟硬件平臺發生改變而對電子文件實行格式轉換時,要特別注意防止轉換過程中的信息失真。對電子文件要定期進行安全性、有效性檢查,發現載體或信息有損傷時,及時采取維護措施,進行修復或拷貝。
5、加強對電子文件利用活動的管理。電子文件入庫載體不得外借,只能以拷貝的形式提供利用。對電子文件的利用著實行利用權限控制,防止無關人員對電子文件系統的非法訪問,防止利用過程中的泄密和損傷信息。
6、建立電子文件管理的記錄系統。電子文件形成后因載體轉換和格式轉換而不斷改變自身的存在形式,如果沒有相關信息可以證實文件的內容沒有發生任何變化,人們是無法確認它的真實性。因此,應該為每一份電子文件建立必要的記錄,記載文件的形成、管理和使用情況,用這些記錄來證實電子文件內容的真實性。
國際檔案理事會電子文件委員會制訂的《電子文件管理指南》中指出,有兩類相關信息應當記錄和保存。一類是“元數據”,即關于電子文件的技術數據。元數據有助于說明電子文件的內容、結構和上下文關系。另一類是“背景信息”,即關于電子文件業務和行政背景方面的數據。背景信息有助于說明文件的真實性,并能幫助文件使用者理解文件的內容。
記錄系統應該具有實時記錄的功能,隨時將需要保留的信息記錄下來。由于這種“跟蹤記錄”具有原始性,它可以成為證實電子文件真實可靠的有效依據。對于從收集積累階段就在網絡系統上運行的電子文件,可通過自動記錄系統記錄有關信息;對于以介質方式收集積累的電子文件,還要輔之以必要的人工記錄。
五 電子文件歸檔的組織管理
1、加強電子文件歸檔的組織領導,從電子文件的形成到歸檔,跨躍了多個部門。這些部門往往通過電子計算機網絡聯成一個有機的整體,有時工作互有交錯,職責界界限難以區分清楚。所以,應加強組織管理,由主管部門或負責人統一協調,指定專門機構或專人負責。電子文件的形成、收集積累、整理和歸檔工作,應由形成者或承辦者按照歸檔要求將形成的電子文件收集積累下來,進行整理歸檔,向檔案部門移交。因為電子文件的形成、收集積累貫穿于公務、科技等工作的始終,只有電子文件的形成者或承辦者最熟悉電子文件內容和電子文件之間的關系,由他們收集積累并整理歸檔,才能保證電子檔案的質量。收集積累。整理歸檔又是檔案工作的基礎和首要環節,需要由檔案部門進行指導和參與管理。對歸檔后形成電子檔案的管理應由檔案部門負責,電子文件形成部門要協助支持。各級檔案行政管理部門,對電子文件歸檔要有明確的規章制度、標準和具體的規定。
2、明確電子文件歸檔的工作程序、內容和要求。電子文件的歸檔,應按歸檔工作程序和步驟進行,這樣才能有效地保證歸檔的電子文件的真實性、完整性;有利于歸檔工作的全過程管理;有利于較好地執行有關的規范或標準。一般來說,電子文件的歸檔工作程序包括:一是電子文件形成簽署、審批;二是收集積累;三是編制目錄;四是整理需歸檔的電子文件;五是鑒定歸檔的電子文件,確定歸檔電子文件的檔案屬性;六是檢測歸檔的電子文件;七是編制歸檔說明;八是存入磁、光介質(含壓縮歸檔等方式);九是復制備份;十是確定載體標識。
電子文件的形成者或承辦者要明了電子文件歸檔的具體工作內容和要求,如制定電子文件歸檔的工作步驟、歸檔制度和歸檔計劃,明確電子文件形成、收集積累的質量要求。在電子文件形成階段就要做好收集積累工作,建立必要的記錄和登記。要求歸檔的電子文件必須真實、完整,要系統地反映工作的過程和結果,對一些研究成果的歸檔,還應要求其產品與實際的技術狀態要保持一致。電子文件的歸檔應由形成者進行整理并編制歸檔說明,經有關領導審批后向檔案部門移交。歸檔前,檔案部門應協助電子文件形成者或承辦者進行整理,同時對歸檔的電子文件進行檢查、檢測、驗收。電子文件歸檔的時間視具體情況可分為階段歸檔和任務完成后歸檔,公文處理周期長和周期長的工程項目可按階段歸檔。
3、要采取措施,保證電子文件歸檔的質量要求,歸檔工作是由文件管理轉換為檔案管理的基礎,它的質量關系到整個檔案管理水平,因此必須有質量控制措施,以保證這項工作的正常進行。應當搞好檔案部門和電子文件形成單位的協調工作,使電子文件管理和電子檔案管理形成一個有機的整體,避免相互推諉扯皮。因為辦公自動化系統(OA)和輔助設計(CAD)、輔助制造(CAM)系統不屬檔案部門內部的工作,而是外部環境,涉及許多部門,這就需要理順檔案管理工作與有關部門工作的關系,把歸檔工作列入有關部門計劃,落實到人頭,并按計劃進行檢查和考核。考慮電子文件產生的環境不盡相同,把歸檔工作“納入有關管理制度”、“納入有關人員的職責范圍”,從根本上保證電子文件的形成與歸檔工作不脫節。要嚴格電子文件歸檔的檢查、檢測程序和制度等。
