電子政務檔案管理系統安全研究

前言：想要寫出一篇引人入勝的文章？我們特意為您整理了電子政務檔案管理系統安全研究范文，希望能給你帶來靈感和參考，敬請閱讀。

電子檔案管理系統作為電子政務系統中相對獨立的子系統，發揮著承前啟后的重要作用。它既要維護歸檔文件的原始性，也要保障所移交檔案的可讀性，這一定位決定了它具有不同于其他信息系統的安全需求。電子檔案管理系統接收歸檔文件后，集中化的檔案資源存量及其利用權限都有所改變，需要對具有復雜來源的檔案進行真實性和長期性管理。面對歸檔、移交的流程需求，如何在異構環境中維持并兼顧檔案安全與檔案管理的連續性，是本刊連載電子政務系統中檔案安全保障的基本問題。因此，只著眼于一般意義上的信息安全保障體系來探討電子檔案的安全保障問題，顯然缺乏針對性。應該結合檔案工作實際和管理流程，面向保管和利用，明晰安全需求，提出切實可行的安全保障措施。

1電子檔案安全保障的主要內容

1.1電子檔案安全保障的范疇

信息安全理論體系為電子檔案安全保障搭建了技術視角的基本框架，但從實踐情況看來，現有的安全保障體系還需與檔案管理流程深度結合，否則，電子檔案安全保障的特有需求容易被模糊和忽略。綜觀目前電子檔案安全保障的相關研究，較為流行的觀點是將電子檔案安全目標歸納為保障信息的真實性、機密性、完整性和可用性，［1-2］以及可追究性、不可否認性、可控性［3］等。從根本上而言，在信息安全的大背景下，上述目標往往是共性的要求。不僅是檔案管理系統，所有業務系統如辦公自動化系統、人事管理系統、財務管理系統等，都以維護上述屬性作為基本的安全保障目標。從流程上看，電子檔案管理系統具有特殊的管理定位與職責權限，除基礎性安全保障以外，它還具有不同于其他業務系統的安全需求，這些特殊的專業性需求是檔案界應予關注的重點。因此，我們認為，除了要關注共性要求之外，更關鍵的是要結合檔案管理的特點和需求來探討電子檔案的安全保障問題。應當根據電子檔案管理過程中的不同職能，有所側重地明晰安全需求，賦予電子檔案安全保障更加具體的內涵。在紙質檔案管理中，一般將安全管理分為實體安全與信息安全。但由于檔案信息內容與紙質載體相對穩定合一，檔案實體安全實際表現為檔案載體安全，二者在實踐中幾乎是等同的；信息安全在一定程度上依賴于載體安全。因此，對于紙質檔案而言，安全保障通常以檔案載體安全管理為主，載體管理在很大程度上決定了檔案的信息安全。電子檔案信息內容與物理載體的可分離性，導致檔案信息安全的管理需求較之以往有所不同，檔案實體安全也不再等同于物理載體安全。對于電子檔案安全管理而言，可以更為明確地區分出信息安全、實體安全和載體安全三個層面。其中，信息安全主要針對電子檔案的信息內容而言，指電子檔案內容不被泄露或違規擴散；實體安全主要指電子檔案實體（包括電子檔案及其元數據、憑證信息等）不被丟失、刪改、損壞而導致不可讀、不可用；載體安全則主要指電子檔案存儲載體和軟硬件系統等運行環境穩定、存續，不被盜取、破壞，可以支持電子檔案存儲和讀取。載體安全是實體安全和信息安全的基礎前提，如果載體遭到破壞，也意味著檔案實體會遭到損壞，信息安全則更無從談起；但僅僅保障載體安全，并不等同于檔案實體和信息內容得到妥善管理。比如，在電子檔案管理系統運行良好的情況下，也會因人為誤操作而刪除電子檔案，導致電子檔案實體丟失；又或是在電子檔案實體未遭損壞的情況下，檔案信息內容被非法訪問和拷貝，導致電子檔案信息內容泄漏。因此，信息安全以實體安全為前提，實體安全又以載體安全為前提，電子檔案管理應對三個層面的安全都予以重視。具體而言，無論是紙質檔案還是電子檔案管理，檔案部門對于檔案載體安全的管理主要都是通過制定保存管理策略來彌補技術本身固有的局限。因為載體的壽命在客觀上是由技術發展的程度決定的，檔案部門無法決定文件形成部門選用何種載體存儲文件，檔案部門的主要責任在于文件歸檔后為其提供穩定、防磁的庫房環境，做好防盜、防損工作，并結合長期保存需求，選擇適宜的載體與技術實施復制遷移。對于電子檔案的信息安全與實體安全而言，其保障管理需求則有所不同。在信息安全方面，由于數字化信息內容易于復制和傳播，對電子檔案信息內容的利用控制不再依賴于載體安全來實現，相對于紙質條件而言具有更加獨立的安全要求，因此需要在檔案利用過程中加以控制。在實體安全方面，在檔案保管過程中是對電子檔案實體的真實性和長期可讀性進行管理；在檔案利用過程中則是維護電子檔案原件的實體安全。據此，基于檔案管理流程與需求的視角，我們將以檔案保管和利用兩個檔案管理流程中的不同階段為框架，將電子政務系統中的檔案安全保障置于這一框架中，結合檔案管理理論與實際的要求，對電子檔案安全保障的管理策略與技術措施進行梳理與分析。

1.2理論層面的關注

電子檔案安全保障實踐面臨許多亟待解決的問題，這些問題依賴于理論研究發揮更好的指導作用。從電子檔案安全保障的影響因素看，首先，技術狀況對電子檔案安全具有很大影響，例如軟硬件漏洞、病毒風險、黑客攻擊、設備與系統風險等都會造成電子檔案信息的損壞與丟失。其次，自然因素與社會因素共同影響著電子檔案的安全，例如保管場所的條件、天災人禍等因素。再次，一些管理問題如管理規范缺失、管理權限混亂、管理人員疏漏等都危及著電子檔案的安全。［4］由于電子檔案安全受到多重因素的影響，電子檔案安全保障需立足全方位進行規劃與統籌。對此，許多學者提出從實體安全、軟件安全、信息內容安全以及網絡安全等多方面著手，［5］提倡通過建立安全保障體系來保障電子檔案信息的安全性、完整性和可用性。［6-9］具體而言，包括對技術、管理與法規三方面進行完善。在技術方面，主要提倡自主研發管理系統，對歸檔電子檔案采取殺毒、加密、隔離、備份等技術性保障措施；在管理方面，強調增強管理人員安全意識，完善管理與監督機制，加強專業人員培養等；在法規方面，要求從法律層面明確電子檔案的憑證性，不斷完善法規標準，以實現電子檔案安全管理規范化。一些學者將整個安全體系分為應用層、系統層、網絡層、物理層、管理層，根據不同層的安全需求提供管理與技術保障，以構建多層次的安全保障體系。［10］以信息安全的共性規律為基礎，在應用于不同領域的安全保障體系之間，同一層次大體上都采取相同的安全保障措施。對于檔案安全而言，還需進一步與實際需求緊密結合，才能構建與檔案管理相契合的安全保障體系。除此之外，另一種視角是通過風險管理完善電子檔案的安全保障。［11-12］信息的風險管理強調對信息系統生命周期的全過程管理，包括完整的風險管理過程：風險管理計劃的制定、風險識別、風險評估、風險應對、風險監控，從不同方面采取相應措施以應對可能發生的風險。從宏觀上看，目前我國不同地區、不同單位的電子政務建設水平參差不齊，遠未達到一體化、平均化的建設效果，具體的風險評估與管理需要因地制宜地規劃和實施。從微觀上看，基于風險管理的電子檔案安全保障要求構建一個體系化的實施方案，風險的多樣性和動態性也要求檔案人員更加全面地掌握廣泛的管理、技術、法規知識，總體的實現要求較高。因此，要達到理想的實踐效果，還需結合實際進一步研究。主要從信息安全保障體系和風險管理視角出發的現有電子檔案安全保障研究及其成果，已經在事實上為進一步深化研究奠定了一定的基礎。為了更好地適應我國電子政務環境下的檔案信息化實際情況，有必要從檔案管理的視角出發，立足于檔案管理流程以及檔案部門的職責與實際要求，對電子檔案安全保障需求進行梳理與分析，總結檔案部門在安全管理中應予關注、亟待解決的基本問題，如檔案部門應該如何透過檔案安全保障需求選用適當技術，現有技術策略的實施依據和目的，以及檔案安全管理策略與技術之間的關系等。

1.3實踐工作的需求

檔案管理具有自身的業務特點，除基礎性的信息、系統與網絡安全保障外，電子檔案安全保障具有不同于其他電子政務業務系統的安全需求。第一，電子檔案管理系統所存儲的檔案信息數據來源于其他業務系統，并要在規定時間、按照一定要求向檔案館移交，檔案資源數據在異構系統間傳遞、交接，如何維持電子檔案安全保障的連續性，同時滿足檔案管理的業務需要，是檔案保管安全需要解決的重要問題。第二，電子檔案管理系統中存儲的數據相對集中而復雜，就檔案利用而言，歸檔前，文件形成部門對文件具有完整的處理和利用權限；歸檔后，文件轉化為檔案，其管理權限則歸檔案部門所有，由檔案部門管理檔案利用權限，業務部門之間通過檔案部門相互共享檔案。這些變化相應地對利用權限的管理提出更多要求，如何確保電子檔案實體安全和檔案規范利用，是電子檔案利用安全需要解決的重要問題。可見，以信息安全保障的一般要求來指導電子檔案安全保障的實踐具有一定的局限性。面向檔案實踐工作的需要，應當思考電子檔案管理系統與其他信息管理系統在安全保障上的區別，結合檔案部門的管理職責與管理流程，提煉安全保障的核心目標以及相對而言更加突出的安全需求。

（1）檔案保管安全的核心要求

本文所指的“檔案保管”具有較為寬泛的內涵，主要指電子文件歸檔后、電子檔案移交前對檔案進行維護性保管的過程。電子檔案的真實性與長期可讀性是電子檔案保管階段安全保障最核心的要求，安全保護的根本目標是防止電子檔案失真、失效、丟失、缺損、不可讀。電子檔案的真實性有兩層涵義：一是電子文件的形成過程可靠，即形成過程被認可，具體要求包括發文與收文雙方的合法身份得到確認，行文正當，并在可靠的文件系統中形成與傳遞；二是電子檔案內容、背景和結構信息真實，具體要求包括上述三要素得到固化，并在傳輸、保管、遷移過程中繼續保持原有的固化形式，信息完整，信息不被篡改。［13］從上述兩個層面看，雖然文件階段的真實性本刊連載不由檔案部門決定，但檔案真實性的維護卻是檔案部門的重要責任。電子檔案的真實性程度來源于多項要求的疊加，滿足要求項越多，其真實性程度就越高，即被認為具有更高的憑證性價值，以及更高的司法可采性。因此，我們認為，維護檔案的真實性是電子檔案保管過程中安全保障的一項根本目標。長期可讀包括長期性與可讀性兩個方面：長期性意味著電子檔案實體在長久的時間內不被損壞、丟失；可讀性意味著電子檔案信息內容在長久的時間內都可以被讀取和解析。長期性與可讀性應該統一為一體的保管要求，單一的長期性或可讀性都無法滿足檔案管理與利用的需要。與傳統檔案管理相一致，長期可讀性也與載體安全有著密切關系，物理載體的安全情況影響著電子檔案的長期可讀。電子檔案長期可讀性的其他影響因素還包括歸檔文件的格式和自然因素等，這些因素主要體現在檔案保管工作中。電子檔案管理系統肩負著將檔案移交至檔案館的責任，因此，對于電子檔案保管而言，保障電子檔案長期可讀是面向檔案永久保存與未來利用的根本要求。

（2）檔案利用安全的核心要求

電子檔案利用過程中的安全保障，關鍵在于防止實體損害和越權利用，原件維護和利用控制是檔案利用過程中的核心安全保障需求。在紙質檔案管理中，為了防止損壞原件，在某種情況下會通過提供復制件的方式滿足檔案利用需要。對于電子檔案管理而言，出于對電子檔案實體的維護，同樣可以采取副本利用的安全措施。所不同的是，基于電子檔案管理系統的檔案副本存儲與利用面臨更為復雜的情況。因為紙質檔案的副本主要以復印件或縮微方式形成，副本利用對原件管理幾乎不造成影響；而基于副本利用的電子檔案安全保障則與電子檔案原件管理模式具有密切關系。因此，電子檔案原件維護是利用過程中安全保障的關鍵問題之一。電子檔案利用需要通過權限控制來保障信息內容安全。在電子檔案管理中，檔案管理者與利用者之間增加了電子檔案管理系統這一中間平臺，使得檔案利用權限必須通過系統平臺加以控制和管理，這是電子檔案利用與紙質檔案利用的不同。除此之外，在電子政務環境下，電子檔案管理系統存儲的檔案資源集中而復雜，檔案利用權限的管理問題更為突出，需要與傳統利用審批制度相結合，從技術和管理上規范電子檔案利用，這是電子檔案利用與其他信息資源利用的不同。因此，電子檔案的利用控制是檔案利用安全保障的重要目標。我們認為，檔案工作強調連貫性和流程性，安全保障的措施也具有連續性，然而某些安全保障要點在特定的管理環節中會顯得尤為突出和重要。因此，我們提煉出重要的安全需求與根本的安全目標，并放置于檔案保管和利用的流程背景下進行分析，旨在更好地結合檔案管理實際進行探討。

2電子檔案保管階段的安全保障

電子政務系統中的電子檔案保管承接自業務系統的電子文件歸檔，并承擔向檔案館移交的責任。這一階段的安全保障以維護檔案的真實性、長期可讀性為核心目標，檔案保管需采取專業性的管理措施和技術手段，防止電子檔案受損、失真、不可讀，保障電子檔案與歸檔時的狀態一致。

2.1建立憑證信息，維護真實性

在歸檔環節，為保障管理權限交接和管理責任明晰，檔案部門需對接收到的電子檔案進行真實性確認；在后續檔案管理工作中，檔案部門則需對文件歸檔時的真實性進行維護。［14-15］根據InterPARES的研究成果，檔案部門保障電子檔案真實性具有兩層含義：一是能夠證明電子檔案歸檔時的可靠性得以維護，即檔案來源身份與原始狀態可證；二是能夠證明電子檔案保管鏈的完整性，即保管過程可追溯、可審計。［16-17］在理論層面，電子檔案真實性的內涵實際包含了檔案要素完整和檔案內容可靠的要求；在實踐層面，這種真實性則表現為電子檔案具有憑證性作用。針對電子檔案的真實性保障與真實性認定，檔案界已經開展了多方面的探索。按照實施對象與保障目標的不同，目前電子檔案管理系統中主要的檔案真實性保障策略可以歸納為三類：

（1）使用數字簽名、時間戳技術。這是信息安全保障中普遍使用的技術手段，是針對電子檔案內容和來源（即檔案實體）的真實性保障措施，其目的是確保電子檔案內容無損、未篡改、非偽造。其基本原理都是利用了哈希（Hash）算法、數字摘要技術和非對稱加密技術，通過第三方認證，用以確認電子檔案狀態如初、來源可信。本質上而言，時間戳是數字簽名技術的另一種應用形式，可以證明某份數字文件在某一時間起就已存在。二者都滿足我國《電子簽名法》對于原件屬性的要求，具有司法層面的可靠性。在技術上，二者都基于數字摘要對電子檔案的真實性進行驗證，但實現機制各有特點：基于PKI（公鑰基礎設施）體系的數字簽名技術由檔案形成者采用私鑰加密自行簽名，驗證者向第三方認證機構（由國家授權的CA認證機構）求證；［18］可信時間戳技術則由第三方機構（國家授時中心建設的時間戳服務機構）采用私鑰加密簽名，包含時間戳的生成日期和時間，用戶自行驗證。［19］然而，數字簽名技術被認為具有一定的局限性，數字證書的有效期、私鑰的安全性等問題使其難以滿足電子檔案管理的需求。［20］加入時間戳的數字簽名則可以在一定程度上解決數字證書的有效性問題，使得電子檔案在數字簽名失效后仍具備原件屬性。［21］對于電子檔案真實性保障而言，它們在技術上通過加密算法來發揮作用，在機制上依賴于電子檔案應用主體對第三方機構的信任，主要應用于電子檔案真實性認定，屬于確認性措施，并不能對電子檔案受損、失真防范于未然。

（2）建立電子檔案元數據管理機制。一般認為，完善的元數據記錄有利于追溯電子檔案的管理過程，從而確保檔案管理過程的規范性。元數據管理機制旨在通過全面記錄電子檔案全生命周期來固化管理過程，形成連續、完整、可證的檔案保管鏈，是針對檔案管理過程采取的保障措施。電子檔案元數據管理的核心機制包括兩個方面：一是分類管理，即根據電子檔案元數據的收集過程及其是否可變，區分靜態元數據和動態元數據。［22］其中靜態元數據指反映電子檔案自然屬性、來源與信息內容的元數據，一經著錄不得更改；動態元數據指電子檔案管理過程中形成的元數據，隨著管理過程的推進不斷新增或更新。針對動態元數據，應該進行動態管理或實施跟蹤。［23-24］二是元數據封裝，根據電子檔案元數據的分類，電子檔案及其元數據的封裝方式可以采取不同策略，既可以按照電子檔案生命周期進行多次封裝，每次封裝納入不同的元數據；［25］也可以只封裝與電子檔案真實性有關的元數據。［26］

（3）構建復合型電子檔案身份標識。綜合上述基礎技術與策略，檔案界提出利用非對稱加密算法為電子檔案構建唯一的憑證性身份標識。相較而言，構建復合型的電子檔案身份標識是一種綜合的真實性安全保障策略，基本涵蓋了電子檔案實體與管理過程的保障需求。這一策略的基本原理是利用特定的語義算法，抽取電子檔案的來源性元數據（“有效元數據集”）進行計算，生成電子檔案的憑證性編碼，并與相應的元數據集、來源單位及其數字簽名共同構成一個電子檔案憑證（“電子檔案身份證”），通過憑證庫管理機制實現電子檔案身份的驗證。［27］憑證信息可以在電子文件歸檔時就生成，便于在后續的保管與利用過程中進行驗證，并為檔案移交奠定基礎。本質上，構建電子檔案身份標識是綜合了數字簽名技術、語義算法、元數據管理等手段的復合型策略，其實現機理與數字摘要技術相似，并且因納入憑證庫管理機制而更加具有可靠性。然而，電子檔案憑證信息本身的長期保存仍然是有待解決的問題。［28］綜上，在電子檔案管理系統中，電子檔案真實性的保障措施主要針對檔案實體和管理過程兩個方面制定，這與檔案部門對真實性保障的兩個職責相對應，即確保檔案來源身份與原始狀態可證，以及保管過程可追溯、可審計。在保障策略方面，前者離不開基于PKI體系的數字簽名技術及其實現原理，后者則離不開元數據管理。電子檔案管理系統從業務系統接收電子檔案，來自業務部門的數字簽名與原生元數據都必須受到保護和一定程度的固化，從而明確電子文件歸檔前后的狀態與責任。在檔案保管過程中，通過對數字簽名、元數據與檔案本體的封裝與再簽名，集成并關聯電子檔案的憑證要素，建立起連續可溯的檔案保管鏈。從管理層面上看，現有的電子檔案真實性保障策略強調檔案保管過程與責任主體密切關聯，并納入第三方機構來鞏固這種保管責任的可溯性與可靠性；從技術層面上看，現有策略實質上將電子檔案“中心化”，即強調采用多種方法形成電子檔案的附屬性、憑證性信息，利用憑證信息支撐電子檔案的真實性，并通過比對憑證信息來證明電子檔案真實可靠。因此，在電子政務系統環境下，電子檔案真實性保障的關鍵在于憑證信息的管理與維護。

2.2完善檔案封裝，確保長期可讀

保障電子檔案長期可讀是一項連續性的工作，從電子文件歸檔開始便要對其采取措施。對于電子檔案管理系統而言，保障電子檔案長期可讀的主要任務是對電子檔案實體進行一定的處理，使之滿足長期可讀的格式和存儲要求，維持電子檔案的可讀性，防止其丟失、失效，這是提供檔案服務利用、向檔案館移交和延續至永久保存的前提。OAIS模型是目前電子檔案長期保存普遍使用的基本策略，它所描述的功能模型、信息對象與信息包結構模型、本刊連載信息包轉換過程、遷移模型都是現有長期保管策略的主要依據。具體而言，保障電子檔案長期可讀是要確保電子檔案在長期甚至永久的保管時間內可以被讀取，并可以被理解。目前電子檔案管理系統中主要的檔案長期可讀保障策略可以歸納為以下兩類：

（1）格式管理。格式管理是針對電子檔案實體數據的一種基礎性保障策略，通過對電子檔案進行標準化、可持續的管理，防止電子檔案因保管環境的變化而受損，導致無法讀取、無法理解。一般認為，長期保存格式應當具有開放性、標準性和穩定性；［29］在實踐層面，行業標準《DA/T47-2009版式電子文件長期保存格式需求》更加具體地明確了長期保存格式應當滿足的11點要求，包括格式開放、不綁定軟硬件、文件自包含、格式自描述、顯示一致性、持續可解釋、穩健、可轉換、利于存儲、支持技術認證機制和易于利用。［30］圍繞電子檔案的長期保存格式，主要的保障策略包括格式注冊和格式轉換。格式注冊主要是記錄電子檔案格式的描述信息和軟硬件要求等，以便于對電子檔案進行解析和恢復。［31］格式轉換則是將電子文件或電子檔案統一轉換成有利于長期保存的標準格式，［32］這種轉換包含兩種情況：一是電子文件歸檔時的格式固化，如將文件固化為PDF版式文件；二是電子檔案信息包的格式轉換，如OAIS模型下提交信息包轉換為歸檔信息包。對于電子檔案管理系統而言，格式轉換往往通過標準規范、統一接口或專門的格式轉換平臺實現。

（2）基于封裝包的數字遷移。這是針對電子檔案實體數據及其運行環境的保障策略，目的是使電子檔案夠穩定地應對長期保管中可能面臨的環境條件變化。一方面，采用開放性描述語言對電子檔案及其元數據進行描述和封裝可以保障電子檔案信息內容在長時間內穩定、可解析。OAIS模型認為，要達到信息長期保存的目的，必須要存儲比數字對象內容更多的其他信息要素（元數據等），［33］因此，電子檔案應該以封裝信息包的形式保管和提供利用。《DA/T48-2009基于XML的電子文件封裝規范》中規定的基于XML的VEO結構封裝包能夠滿足資源自包含、自描述、自證明的長期保存要求，［34］是目前普遍應用于電子政務環境中的檔案保管策略。另一方面，數字遷移是指在必要的情況下將電子檔案從某一軟硬件環境向另一種軟硬件環境轉移的過程。OAIS模型中的數字遷移是基于電子檔案封裝包進行的，包括更新（refreshment）、復制（replication）、重新封裝（repackaging）、轉化（trans－formation）4種具體方式，其中后兩者會改變比特序列，前兩者則不會，后兩者還可能涉及電子檔案存儲格式轉換。［35］“遷移是對付技術過時的最佳良策，它應是數字資料完成定期轉換的一系列有組織的工作，包括維護數字對象的真實性、用戶的再檢索、顯示與其他利用的能力。”實踐也表明，遷移是目前維護電子檔案長期可讀的最佳方法。［36］對于電子政務系統中的檔案保管而言，電子檔案長期可讀性的保障措施主要針對電子檔案實體和運行保存環境兩個方面制定。從現有的相關保障策略看，一方面，電子檔案的存儲格式和存儲形式必須滿足開放性、不依賴軟硬件環境、可解析等要求；另一方面，對電子檔案存儲軟硬件環境和平臺的管理也是必須的，這種管理主要體現在為電子檔案選擇穩定性高、依賴性低的保管載體和運行環境，并在必要時候開展基于檔案封裝包的遷移，這與紙質條件下為紙質檔案構建安全保管環境的做法相同。在電子檔案管理系統中，現有的電子檔案長期可讀性保障措施具有兩個特點：一是在管理層面強調電子檔案數據結構與信息描述的標準化，維持對保存環境較低的依賴性，并要求保存環境具有較高的穩定性；二是在技術層面，其基本理念是將電子檔案及其元數據要素“解構重組”，從而形成易于解析的電子檔案封裝包，并通過適當的轉移維持檔案的保存與運行條件。因此，在電子檔案管理系統中，檔案長期可讀性保障的關鍵在于解決電子檔案及其元數據集成封裝與拆封解析的穩定性、獨立性（即不依賴軟硬件環境）。

2.3電子檔案保管階段的安全保障要點

對于電子政務系統中的檔案保管而言，真實性與長期可讀性是安全保障的雙重目標，針對二者的策略也應該相互支撐，形成協同一致、自成一體的檔案安全保管方案。然而，目前所采取的保障措施和提倡的保障策略難以很好地兼顧真實性和長期可讀的雙重要求，甚至在具體策略之間具有目前未能解決的矛盾，導致電子檔案保管的安全保障工作難以高效開展。電子檔案真實性與長期保存面對電子檔案實體、憑證信息和檔案保管過程記錄三類對象。后兩者相對于檔案實體而言都屬于冗余信息。電子檔案實體本身的長期可讀可以通過格式管理、規范化封裝以及數字遷移得到較好解決，而憑證信息和保管過程記錄則增加了長期保存策略實施的復雜性。對于上述三類對象，是否應當實施統一的對象化管理，以及如何進行管理是解決電子檔案“長期真實性”保障需要考慮的問題。從目前主要的真實性和長期可讀性保障策略看，較為突出的矛盾有以下兩點：

（1）憑證信息的應用與長期保存之間的矛盾

無論是數字簽名、時間戳還是電子檔案身份標識，這些措施中所使用的技術背后都有較為復雜的實現機制，離不開第三方機構提供的信任認證。由于這些技術的應用本不是以長期保存為目標，因此并不能保證具備長期生效的能力。具體而言，電子檔案真實性的根本在于信任，檔案保管的長期性則要求維持這種信任。在真實性方面，現有策略中，電子檔案真實性保障的關鍵依賴于憑證信息；在長期可讀方面，最為理想的策略則要求檔案信息數據不依賴于特定的軟硬件，能夠做到自我解析。然而問題在于，目前憑證信息的外部驗證機制難以達到長期保存對于電子檔案信息數據“獨立性”的要求，因而難以做到長期保存和長期有效。一方面，在目前普遍應用的基于PKI體系的數字簽名技術中，離不開以數字證書為基礎的公鑰信任，而數字證書具有時效性，數字證書過期失效意味著數字簽名無法被認證。盡管增加使用時間戳可以證明數字簽名在證書過期之前是有效的，彌補了數字證書時效性的局限，同時可以證明電子檔案未被篡改。但數字簽名和時間戳的應用是零散性的，即每一個責任主體在執行一項重要行為后，如在歸檔、鑒定、處置、移交等環節，可能都需要使用數字簽名和時間戳。因此，在電子檔案的保管過程中，為了明確責任主體和形成完整保管鏈，可能會形成多個數字簽名與時間戳，電子檔案會具有多個形成于不同主體和不同時間的憑證信息。如何對多套憑證信息進行管理是需要解決的問題。另一方面，電子檔案身份標識的特點在于，標識作為憑證信息具有唯一性，可用于電子檔案原始內容的反復驗證，并主要通過元數據分類管理來實現保管過程的記錄。［37］但電子檔案身份標識的長期保存以及管理性元數據的封裝問題仍然有待進一步解決。

（2）元數據更新與檔案封裝之間的矛盾

在電子檔案管理過程中，為了確保檔案保管鏈完整，管理性的動態元數據需要被不斷添加到電子檔案元數據中，而電子檔案長期可讀的策略主張將電子檔案及其元數據進行封裝。因此，如果需要對電子檔案元數據進行整體封裝，元數據更新會使得檔案信息包面臨反復封裝。協調電子檔案真實性與長期可讀性的保障需求，需要進一步完善元數據管理與封裝方案。實際上，電子檔案長期可讀所要求的可解析性主要是針對檔案內容和自然屬性元數據而言的。從微觀層面上看，目前的電子檔案元數據項目紛繁復雜，實踐中并非所有元數據都具有長期保存的必要性。因此，一方面，對電子檔案元數據進行區別分類是必要的，應該明確不同元數據對于真實性管理和長期可讀的作用，據此優化電子檔案的信息封裝方式與長期保存方法。另一方面，還應進一步完善電子檔案的封裝方式，在元數據管理的基礎上，尋求滿足元數據更新需求的封裝方法，兼顧基于元數據的真實性管理和基于封裝的長期保存要求。在電子檔案管理系統中，電子檔案保管階段主要存在真實性與長期可讀性保障需求難以協調的問題，導致電子檔案的安全保障仍然面臨許多內在的漏洞和風險。要真正實現電子檔案的“長期真實性”保管，應進一步明確電子檔案實體、憑證信息和保管過程元數據三類對象的保存與應用需求，兼顧電子文件歸檔和電子檔案移交的現實需要，完善保管階段的安全保障策略。

3電子檔案利用階段的安全保障

電子檔案復制傳遞的高保真性、信息與載體的可分離性等特點，在給檔案管理者和利用者帶來方便的同時，也存在容易泄密、復制、擴散和損壞等安全隱患。因此，在電子檔案提供利用的過程中，既要保護檔案原件不受損壞，也要控制檔案信息的利用范圍，防止泄密。

3.1副本利用，保障實體安全

在紙質條件下，對于一個檔案室而言，要形成一套完整的、同質載體的紙質檔案副本，幾乎是不可能實現的。因為這樣做意味著要建立一個與已有室藏規模相當的庫房，并且需要投入大量時間進行復制，時間、管理與經費的投入幾乎都是翻倍的。但對于電子檔案管理系統而言，形成一套完整的電子檔案副本則相對容易許多。《電子公文歸檔管理暫行辦法》等法規標準中都要求，區別于封存保管的電子檔案，應拷貝形成一套電子檔案專門提供查閱利用。考慮到業務部門對電子檔案的經常性利用多以查閱信息解決問題為主要目的，相對而言對其憑證性要求并不突出，為了避免電子檔案原件在利用過程中遭到損壞或篡改，可以抽取電子檔案內容信息形成電子檔案副本以供查詢和利用。電子檔案副本的內容與電子檔案完全一致，可以滿足業務部門一般的信息利用需求。［38］在生成電子檔案副本以供利用時，可以根據實際情況采用不同方式。第一種是在歸檔時，系統自動抽取電子檔案內容信息形成一份電子檔案副本并加以保管，在查詢與利用時直接調取電子檔案副本。采用這種方式，電子檔案管理系統中可以建立單獨的利用數據庫，用以存放所有電子檔案副本，電子檔案原件及其元數據則打包封存于保存數據庫中，兩個數據庫分開管理。在進行檔案編研、提供利用等活動時只需調取利用數據庫中的檔案副本，有利于維護檔案實體安全。電子檔案被移交到檔案館之后，電子檔案副本仍然可以保留在電子檔案管理系統中，以備提供日常利用。第二種是在利用者發出檔案利用請求時，系統根據請求自動抽取相應的電子檔案生成副本后提供利用，利用結束之后，電子檔案副本被自動清除，這種方式被稱為根據利用需求“動態打包”。這種方式可以大大節省系統的存儲空間，節省存儲成本，但對系統性能要求較高。綜合而言，第一種方式要求電子檔案管理系統具有較大的存儲空間，但對于當下還未真正與數字檔案館實現互聯互通的電子檔案管理系統而言，可以相對完整地保留本單位形成的檔案信息資源，為前端業務部門的檔案利用提供便利。在真正實現了數字檔案室與數字檔案館互聯互通的情況下，電子檔案移交到數字檔案館后，前端業務部門利用電子檔案時可以直接從數字檔案館獲取，此時數字檔案室也無需再保留已移交的電子檔案副本了，這將極大地節省數字檔案室的系統存儲空間與成本，大大提高資源的利用效率。

3.2三權分立，保障信息安全

針對電子檔案的利用，要求電子檔案能夠在檔案管理系統中安全運行和流轉，保證合法用戶的合理使用以及禁止非法用戶的訪問，使電子檔案信息免遭破壞、更改或非法拷貝等。［39］要實現利用過程的安全保障，就要確保訪問合法、利用合理、全程記錄。具體而言，要做到以下三點：一是劃分訪問與利用權限，通過訪問控制技術避免權限擴散；［40］二是控制利用行為，通過文件保護技術、版權保護技術等控制用戶對電子檔案內容的非法篡改、傳播、偽造、侵權等不合理利用行為；［41］三是對電子檔案利用全過程實行跟蹤記錄，利用審計跟蹤技術進行全程監控，提供事后對非法行為的追溯回查。［42］這三點要求實質上對應了利用系統中的三個角色———系統管理員、安全管理員和安全審計員。依據國家保密標準BMB20-2007《涉及國家秘密的信息系統分級保護管理規范》的有關規定，電子檔案利用系統應該配備系統管理員、安全管理員和安全審計員三類安全保密管理人員，分別負責系統運行、安全管理和安全審計工作。三類人員之間相互獨立、相互制約，實現三權分立，以保障電子檔案利用系統的安全。［43］（1）系統管理員系統管理員負責對訪問利用的角色和用戶進行設置。具體而言，系統管理員根據本單位情況，設置相應的用戶角色，指定其功能權限，即為不同的利用者創建不同的利用賬號。利用者根據所分配的賬號登錄電子檔案利用系統進行查詢與利用。（2）安全管理員安全管理員負責對角色和用戶進行授權，將角色權限與數據對象關聯起來，并進行數據的備份。具體而言，即根據用戶角色的權限，配置其所能操作的相應數據對象。當利用者發起查詢與利用操作時，系統自動根據利用者的身份及其所匹配的權限級別返回結果，不在利用者的權限范圍內的信息內容則不予顯示。同時，可以利用數字水印、網頁控件技術等，對電子檔案的瀏覽權限、打印權限、下載權限等分別進行嚴格的控制，［44］做到定點———只能在某臺機器上打開，定人———只能由某個用戶使用自己的口令打開，定時———只能在固定的時間段內打開，定次———只能打開固定的次數。同時，還可以實行防復制、防下載、防打印等。［45］（3）安全審計員安全審計員負責全程審計跟蹤電子檔案利用過程。具體而言，一是對系統管理員和安全管理員的行為進行審計跟蹤，確認系統管理員和安全管理員的操作行為合法、合規；二是對安全管理活動的相關信息進行識別、記錄、存儲和分析，記錄、存儲用戶的利用行為，并對惡意攻擊行為進行識別和處理，及時發現和阻止各種來自外部的非法入侵行為以及內部用戶的非授權活動。檔案利用系統中三類管理員與利用流程的對應關系如圖1所示。

3.3全程記錄，維護元數據完整

ISO23081-2中指出，檔案管理元數據必須具備:（1）檔案本身的元數據；（2）業務規則或政策及授權元數據；（3）責任者元數據；（4）業務活動或過程元數據；（5）檔案管理過程元數據；（6）有關元數據的元數據。［46］凡是用來描述電子檔案管理的元數據，沒有全部覆蓋以上范圍者，對于電子檔案管理的描述是欠缺完整的。［47］在副本利用方式下，電子檔案副本的形成、利用和管理是檔案利用過程元數據積累的主要來源，盡管這些元數據圍繞電子檔案副本而形成，但卻是電子檔案利用過程的重要記錄，應該與電子檔案原件關聯，作為電子檔案利用情況的全程記錄。具體而言，一方面，在生成電子檔案副本的過程中，涉及責任主體和復制過程的相關信息十分重要，需要被保存下來，具體包括：檔案復制的日期及責任人，從生成者那里獲得的檔案與由保管者產生的拷貝之間的關系，復制過程對其形式內容、可存取性及使用的影響等。另一方面，在副本的利用與管理過程中，所積累的元數據和檔案管理過程的元數據一起，共同組成電子檔案管理系統（檔案室）階段的管理過程元數據。也就是說，業務部門在利用檔案副本時會積累各種利用信息，檔案部門在管理檔案副本時也會積累各種保管信息，針對檔案副本形成的這些記錄需要被妥善保管，作為電子檔案利用與副本管理的元數據。這部分元數據主要包括利用權限、密級劃分、利用對象、利用時間、利用頻率等信息，它們以動態元數據的形式積累，反映了電子檔案的利用情況，可以為后續電子檔案的管理與利用提供依據。除此之外，電子檔案副本管理中產生的利用日志元數據，與電子檔案管理過程中產生的管理日志元數據一樣，［48］都是電子檔案“從其生成時就已遭受的各種變化的信息”，［49］應該得到妥善保管。在電子檔案移交給檔案館時，副本管理的利用日志元數據可以與電子檔案封裝包關聯，提供給檔案館以作參考，輔助管理。

3.4電子檔案利用階段的安全保障要點

在電子檔案利用的過程中，應該保護檔案的完整性和真實性，并確保涉密檔案信息不受侵害。［50］具體到電子檔案的管理中，其核心要點可以概括為以下兩個方面：（1）保護電子檔案實體與信息安全電子檔案管理系統作為檔案流動的“中部樞紐”，確保所接收的檔案完整、真實、可用是基本的業務要求，有此基礎，才能為前端業務部門提供真實有效的檔案信息資源，并為后端檔案館輸送真實、完整的檔案。因此，在提供利用的過程中，仍然應該把確保電子檔案的真實性、完整性、安全性作為第一要務。這就包含兩個方面的內容：一是保證電子檔案實體安全，使其不被破壞、不被丟失；二是保證電子檔案信息安全，使其不被越權利用、不被違規擴散。同時，通過全程審計跟蹤記錄用戶的利用行為、系統管理員的操作行為，作為工作查證的依據，以供事后審核。目前在具體的操作中，提供電子檔案副本利用，可以確保電子檔案的實體安全。在檔案信息安全方面，則可以通過利用系統三權分立監管檔案利用行為，從授權登錄、利用過程到全程審計對用戶的利用行為進行監控；結合使用身份認證、審計跟蹤、文件保護、數字水印等技術，可以防止檔案信息的越權利用；還需根據利用者的利用請求與權限情況，只將權限范圍內允許的檔案信息打包傳輸到終端予以顯示，并嚴格監控其利用行為。（2）保存完整的元數據加拿大律師肯•薩斯認為：“電子檔案成為證據必須具備三個條件：一是記錄或存儲電子檔案的系統的完整性，二是電子檔案的真實性，三是電子檔案是在通常的、正常的業務過程中產生、處理和保存的。”［51］簡單地說，就是要注重系統、電子檔案、形成過程這三個要素。［52］在電子檔案提供利用的過程中，保存利用過程中的元數據，記錄電子檔案信息資源的利用者、利用時間、利用頻率等具體的利用過程信息，一方面可以對電子檔案信息安全進行跟蹤記錄，以備查考；另一方面也能夠為移交進館之后的電子檔案管理活動提供參考依據。在電子檔案提供利用的過程中，同樣可以參考紙質檔案利用的安全保障對策：一是副本利用，紙質檔案利用在不要求憑證性的情況下會提供復制件以滿足一般的信息利用需求；在電子檔案利用中，則可以抽取電子檔案的內容信息形成電子檔案副本以供查詢和利用，維護電子檔案原件實體。二是完整的元數據記錄，紙質檔案利用中使用檔案利用登記表用以記錄檔案的利用情況；在電子檔案利用中，則需要對電子檔案副本的利用過程進行全程審計跟蹤，并保存利用過程的元數據。除此之外，與紙質檔案管理所不同的一點在于，在電子檔案管理系統中，需要以安全管理的三權分立為基礎來實現電子檔案的利用控制，設置系統管理員、安全管理員和安全審計員三類角色，對其安全管理權限進行互相制約，以保證從用戶授權登錄、查詢利用和全程監督審查的整個利用過程都處于可控范圍內，防止對檔案信息資源的越權獲取、越權使用。

4電子檔案管理全流程的支撐性安全保障

電子檔案管理系統離不開面向檔案管理全流程的支撐性安全保障措施，用以鞏固電子檔案管理系統的安全管理。貫穿于檔案管理全流程的支撐性安全保障措施主要包括四性檢驗和檔案備份，二者與保管和利用中的階段性保障策略相輔相成，在電子檔案管理系統中共同保障電子檔案安全可控。

4.1四性檢驗，實現檔案質量跟蹤

確保電子檔案真實、完整、可用、安全是電子檔案管理的核心要求。《電子文件管理暫行辦法》和《電子檔案移交與接收辦法》分別要求，在電子文件歸檔和電子檔案移交時，應對電子文件和電子檔案的真實性（也稱“準確性”）、完整性、可用性、安全性進行檢測，這四點要求統稱為電子檔案“四性”。就其實質內容而言，實踐中的四性檢驗等同于檔案管理理論上的技術鑒定，貫穿于檔案管理全流程。四性檢驗的意義主要體現在兩個方面：一是控制檔案質量，在歸檔、移交等工作中，以及在需要對電子檔案進行遷移、格式轉換或傳輸的情況下，都意味著存儲狀態、存儲系統和管理環境將發生變化，對檔案進行四性檢驗可以使檔案接收方或新的保管環境掌握檔案質量情況，對于不符合質量要求的檔案，可以及時采取措施保障檔案安全可控，避免檔案質量的進一步損害；二是明晰交接責任，歸檔和移交都意味著檔案管理責任主體將發生變化，規范化的四性檢驗可以避免缺損檔案處理中的主體模糊，有利于明確處置職責，及時維護檔案安全。對于電子政務系統中的檔案管理而言，貫穿管理全程的四性檢驗實質上是以動態的形式保障電子檔案安全。具體來說，真實性檢驗要求檔案目錄信息、內容信息及相關數據信息準確，及數據包規范；完整性檢驗要求數量和數據兩個方面的完整；可用性檢驗要求數據、內容可讀，以及軟硬件環境滿足長期保存需求；安全性檢驗則要求檔案安全標識規范，并要進行病毒檢測、漏洞篩查等。四性檢驗在電子檔案整個生命周期中具有不同的應用需求，在不同情況下，四性檢驗的側重點也有所區別。在具體操作中，可以根據管理主體和保管環境是否變化，通過檢驗功能組配，選擇必要的檢驗項目，達到情境化、高效率的檢驗效果。在電子檔案管理系統中，主要的四性檢驗節點有三個，分別是文件歸檔、檔案保管與檔案移交。在文件歸檔和檔案移交階段，因管理主體和保管環境都將發生變化，要對電子檔案進行全面的四性檢驗。在檔案保管過程中，一方面，應著重開展周期性的真實性、可用性檢驗，防止檔案被更改、不可讀；另一方面，在檔案利用、檔案遷移等情況下，則應該著重開展完整性、安全性檢驗，防止檔案缺損或感染病毒。四性檢驗具有零散性的特點，在檔案管理全流程中，應該根據具體環節中檔案內容、檔案載體、系統環境、管理主體變化情況，選擇具有針對性的檢驗內容，并及時執行檢驗。四性檢驗也具有系統性的特點，在檔案管理全流程中，不同環節的四性檢驗具有不同的側重點，與不同階段的檔案管理工作需求相契合，可以對電子檔案全生命周期的質量控制進行全程保障。

4.2檔案備份，提供檔案全程保障

數據備份是信息安全保障重要的支撐性措施，在檢驗性、確認性安全措施的基礎上，數據備份可及時、有效地彌補數據缺損、數據失真和數據丟失等漏洞，甚至在面臨自然災害、系統故障等情況時，也可以通過備份數據的恢復重建信息資源。在傳統檔案管理中，異質、異地備份是檔案安全保障的重要措施，對電子政務系統中的檔案管理而言同樣如此。所不同的是，電子檔案備份不再僅以支持災難預案為目的，而更加突出檔案保管、檔案利用等環節的安全需求，以為電子檔案管理全流程“護航”為目的。電子檔案備份應伴隨電子檔案全生命周期而存在，與數字遷移、副本利用、四性檢驗等措施相結合，構建更為穩固的電子檔案安全保障。電子檔案備份工作越來越受到重視。在戰略規劃方面，《2006-2020國家信息化發展戰略》關于建設國家信息安全保障體系的要求中明確應重視備份建設；2009年全國檔案工作會議以及2009年、2010年全國局館長會議都強調檔案安全備份的重要性，提出對電子檔案實行異質、異地備份。在法規標準方面，《電子文件管理暫行辦法》、《電子公文歸檔管理暫行辦法》、《電子文件歸檔與管理規范》（GB/T18894-2002）、《CAD電子文件光盤存儲、歸檔與檔案管理要求》（GB/T17678.1-1999），都明確電子檔案管理應建立備份，要求電子檔案實行三套保管，一套封存保管，一套提供利用，一套異地保存。目前，以電子檔案安全保管為目的的備份主要采取異質、異地備份相結合的策略；以電子檔案安全利用為目的，則主要采取異質備份策略。電子檔案異地備份的實施策略與傳統條件下大體相同。對于電子檔案異質備份而言，從備份介質上看，包括磁盤陣列、磁帶機、光盤、硬盤等多種設備，應當結合實際情況加以選擇。然而，最為理想的做法是，對于適宜長期保存的載體，應對電子檔案進行同質、異地備份，這將更有利于電子檔案保真。電子檔案管理系統中的檔案備份與檔案館備份措施之間的關系需要進一步明確。

在傳統紙質檔案管理中，檔案備份并不是機關檔案室的主要工作內容，備份工作主要由檔案館承擔。在電子檔案管理中，由于電子檔案具有數字化信息的不穩定性特點，出于基本的信息安全考量，在電子檔案管理系統中也需要對電子檔案進行備份。與傳統紙質檔案管理相比，電子檔案的備份工作應該提前到歸檔后的檔案保管階段，并且備份應隨電子檔案一同移交至檔案館。在檔案室與檔案館之間，電子檔案的備份工作應該具有連續性。首先，電子檔案管理系統需要進行檔案備份，這是計算機網絡與信息系統管理條件下的基本要求，同時國家《數字檔案室建設指南》中也作了明確建議，因此電子檔案管理系統進行電子檔案備份是電子檔案管理的基礎性需要。其次，在實際工作中，一些電子檔案管理系統在向檔案館進行電子檔案移交時，往往是異質多載體、多套移交，在本質上已經實現了電子檔案及其備份的同時移交。再次，通過調研得知，對于檔案館而言，館藏電子檔案的數量往往是數百T級別甚至更大，完全由檔案館承擔從無至有的電子檔案備份，其工作量是巨大的，進行一次省級綜合檔案館館藏的完全備份有時需要一個月甚至更久。因此，基于高效率、集約化以及安全保障管理的綜合考量，我們認為，應當在電子文件歸檔后，對電子檔案進行備份，并在電子檔案管理系統內，實行科學的備份機制；在向檔案館移交電子檔案時，一并移交經過周期性維護的備份檔案，以及備份管理的日志記錄等。這不僅有利于電子檔案管理系統開展規范化的備份管理，在電子檔案交接后，也有利于檔案館對備份檔案開展連續性管理，避免不必要的重復備份，在一定程度上有助于提高檔案館的工作效率。電子檔案的四性檢驗與檔案備份對于電子檔案管理全流程的安全保障具有支撐性作用。保管與利用階段的安全保障措施側重對電子檔案進行階段性的直接保護和監管，而支撐性的安全保障措施則貫穿于電子檔案管理全程，提供面向全流程的保障。四性檢驗作為綜合性的檢測措施，可以實現檔案質量的跟蹤，并為管理結點與交接環節提供基礎而必要的安全保障；檔案備份則可以切實起到電子檔案的安全保障作用，尤其在發現檔案數據缺損或丟失時，完善的備份恢復機制是目前保障檔案實體安全的最佳對策。

5結語

研究檔案信息安全保障問題，是解決電子檔案“保得住”的關鍵，是開展檔案資源整合與利用、聯通與共享、移交與長期保存等后續工作的重要前提。電子檔案管理的安全保障應該在信息安全的基礎上，結合檔案管理的流程特點與業務需求，提煉安全保障的關鍵要點，尋求更加契合檔案管理實際的安全保障對策。本文以電子政務系統中的檔案保管與利用為框架，分別對這兩個階段以及電子檔案管理全流程的支撐性安全保障策略與要點進行了梳理和分析。電子檔案的安全保障應當具有連貫性，并與管理流程緊密結合。綜合而言，電子檔案保管階段應關注憑證信息的長期保存以及檔案封裝方式，協調真實性與長期可讀性的保障要求；電子檔案利用階段應關注電子檔案的副本利用及其元數據的管理；對于電子檔案管理全流程而言，則應關注四性檢驗的實施方案，以及電子檔案管理系統進行電子檔案備份及其移交的模式與方法。雖然不同的電子檔案管理系統需要根據實際情況采取不同的安全保障策略，但基于共性的檔案管理流程，梳理共性的安全保障需求與要點，可以充實檔案安全保障的實際內容，從而更好地有的放矢，根據實際需求選用適宜的技術和管理方法，完善電子檔案系統中的檔案管理安全保障。

作者：陳永生 蘇煥寧 楊茜茜 侯衡 單位：中山大學資訊管理學院大數據研究院 / 檔案科學技術研究院