三 保证电子文件信息安全的技术措施
电子文件是高科技的产物,信息安全技术对于维护电子文件的原始性、真实性至关重要。目前这方面的技术主要有:
1.签署技术。对电子文件进行签署的目的在于证实该份文件确实出自作者,其内容没有被他人进行任何改动。电子文件的签署技术一般包括证书式数字签名和手写式数字签名。证书式数字签名的原理是,发方利用自己的不公开的密钥对发出文件进行加密处理,生成一个字母数字串,与文件一起发出,同时还带走一个可使其生效的公开密钥。收方用发方的公开密钥运用特定的计算方法解码检验数字签名,是将专门的软件模块嵌入文字处理软件中,作者使用光笔在计算机屏幕上签名,或使用一种压敏笔在手写输入板上签名,显示出来的“笔迹”如同在纸质文件上的亲笔签名一样。计算机数字转换器来捕获手写签名,同时对电子文件的内容、结构等进行打包处理。
采用证书式数字签名者需要向专门的技术管理机构注册登记,这种机构通常称为“安全电子邮件认证站点”、“数字证书服务中心”、“数字标识授权机构”等。它的职能是在其管辖的数字协议下对用户的有效身份进行认证,向用户发放有限期的密钥和数字证书等。
2.加密技术。采用加密技术可以确保电子文件内容的非公开性。电子文件的加密方法有很多种。在传输过程中通常采用“双密钥码”进行加密。网络中的每一个加密通信者拥有一对密钥:一个是可以公开的加密密钥,一个是严格保密的解密密钥,发方使用收方的公开密钥发文,收方只用自己知道的解密密钥解密。这样任何人都可以利用公开密钥向收方发文,而只有收方才能获得这些加密的文件。由于加密和解密使用不同的密钥,因此第三者很难从截获的密文中解出原文来,这对于传输中的电子文件具有很好的保护效果。
3.身份验证。为了防止无关人员进入系统对文件或数据访问,有些系统需要对用户进行身份验证,如银行系统使用用户密码验证,文件管理系统使用管理员代码验证等。最常用的方法是给每个合法用户一个由数字、字母或特定符号组成的“通行字”(password),代表该用户身份。当用户要求进入系统访问时,首先输入自己的通行字,计算机自动将这个通行字与存储在机器中有关该用户的其它资料进行比较验证,如果验明他为合法用户,可接受他进入系统对相关的业务访问,如果验证不合格,该用户就会被拒之系统门外。
4.防火墙。这也是一种访问控制技术,它是在某个机构的网络和外界风格之间设置障碍,阻止对本机构信息资源的非法访问,也可以阻止机要信息、专利信息从该机构的网络上非法输出。防火墙好象是网络上的一道关卡,它可以控制进、出两个方向的通信。防火墙的安全保障能力仅限于网络边界,它通过网络通信临控系统监测所有通过防火墙的数据流,凡符合事先制定的网络安全规定的信息允许通过,不符合的就拒之墙外,使被保护网络的信息和结构不受侵犯。
5.防写措施。目前在许多软件中可以将文件设置为“只读”状态,在这种状态下,用户只能从计算机上读取信息,而不能对其做任何修改在计算机外存储器中,只读光盘(CD—ROM)只能供使用者读出信息而不能追加或擦除信息,一次写入式光盘(WORM)可供使用者一次写入多次读出,可以追加记录但不能擦除原来的信息。这种不可逆式记录介质可以有效地防止用户更改电子文件内容,保持电子文件的原始性和真实性。
上述技术措施对于证实电子文件内容的真实、可靠,保证电子文件在存储、传输过程中的安全、保密,防范对电子文件的非法访问和随意改动,都具有很好的效果。随着这些技术的成熟、普及和新技术的出现,电子文件的原始性和真实性可以得到更加可靠的认定和更为有效的保障。
四 保证电子文件信息安全的管理措施
电子文件的形成、处理、收集、积累、整理、归档、保管和利用等各个环节,都有信息更改、丢失的可能性,建立并执行一整套科学、合理、严密的管理制度,从每一个环节节堵塞信息失真的隐患,对于维护电子文件的原始性、真实性十分重要。维护电子文件真实性的管理措施涉及从电子文件形成、处理、收集、积累、整理、归档,到电子档案的保管、利用的全过程,可以称之为“电子文件全过程管理”。电子文件、的管理不仅注重每个阶段的结果,也要重视每项工作的具体过程,井把这些过程一一记录下来。其中有关维护其信息安全方面的主要要求是:
1、电子文件的制作过程要责任分明。制作人员应该对其制作的文件负有全责,在合作制作的文件或大型设计项目中,要注意划清参与人员的责任范围。一般来说,不相关人员不能进入其他人的责任范围,需要时可以允许用只读形式调阅,以防由于误操作、有意删改等原因造成文件信息的改变。
2、电子文件形成后应及时进行积累,以防在分散状态下发生信息损失和变动。机关办公活动中形成的公文性电子文件一经定稿就不得进行任何修改,CAD电子文件的更改要经过必要的批准手续。收集积累过程中的一切变更都应记录在案。对收集积累起来的电子文件要有备份。
3、建立和执行科学的归档制度。归档时应对电子文件进行全面、认真的检查,在内容方面检查归档的电子文件是否齐全完整,真实可靠;相应的机读目录、伺服软件、其它说明是否一同归档;归档的电子文件是否最终稿本,CAD电子文件是否反映产品定型技术状态的版本或本阶段产品技术状态的最终版本;电子文件与相应的纸质或其它载体文件的内容及相关说明是否一致,软件产品的源程序与文本是否一致等。在技术方面应检查归档电子文件载体的物理状态,有无病毒,读出信息的准确性等。
4、建立和执行严格的保管制度。归档电子文件应使用光盘作为存储介质,对所有归档的电子文件应作写保护处理,使之置于只读状态。在对电子文件进行整理和因软硬件平台发生改变而对电子文件实行格式转换时,要特别注意防止转换过程中的信息失真。对电子文件要定期进行安全性、有效性检查,发现载体或信息有损伤时,及时采取维护措施,进行修复或拷贝。
5、加强对电子文件利用活动的管理。电子文件入库载体不得外借,只能以拷贝的形式提供利用。对电子文件的利用着实行利用权限控制,防止无关人员对电子文件系统的非法访问,防止利用过程中的泄密和损伤信息。
6、建立电子文件管理的记录系统。电子文件形成后因载体转换和格式转换而不断改变自身的存在形式,如果没有相关信息可以证实文件的内容没有发生任何变化,人们是无法确认它的真实性。因此,应该为每一份电子文件建立必要的记录,记载文件的形成、管理和使用情况,用这些记录来证实电子文件内容的真实性。
国际档案理事会电子文件委员会制订的《电子文件管理指南》中指出,有两类相关信息应当记录和保存。一类是“元数据”,即关于电子文件的技术数据。元数据有助于说明电子文件的内容、结构和上下文关系。另一类是“背景信息”,即关于电子文件业务和行政背景方面的数据。背景信息有助于说明文件的真实性,并能帮助文件使用者理解文件的内容。
记录系统应该具有实时记录的功能,随时将需要保留的信息记录下来。由于这种“跟踪记录”具有原始性,它可以成为证实电子文件真实可靠的有效依据。对于从收集积累阶段就在网络系统上运行的电子文件,可通过自动记录系统记录有关信息;对于以介质方式收集积累的电子文件,还要辅之以必要的人工记录。
五 电子文件归档的组织管理
1、加强电子文件归档的组织领导,从电子文件的形成到归档,跨跃了多个部门。这些部门往往通过电子计算机网络联成一个有机的整体,有时工作互有交错,职责界界限难以区分清楚。所以,应加强组织管理,由主管部门或负责人统一协调,指定专门机构或专人负责。电子文件的形成、收集积累、整理和归档工作,应由形成者或承办者按照归档要求将形成的电子文件收集积累下来,进行整理归档,向档案部门移交。因为电子文件的形成、收集积累贯穿于公务、科技等工作的始终,只有电子文件的形成者或承办者最熟悉电子文件内容和电子文件之间的关系,由他们收集积累并整理归档,才能保证电子档案的质量。收集积累。整理归档又是档案工作的基础和首要环节,需要由档案部门进行指导和参与管理。对归档后形成电子档案的管理应由档案部门负责,电子文件形成部门要协助支持。各级档案行政管理部门,对电子文件归档要有明确的规章制度、标准和具体的规定。
2、明确电子文件归档的工作程序、内容和要求。电子文件的归档,应按归档工作程序和步骤进行,这样才能有效地保证归档的电子文件的真实性、完整性;有利于归档工作的全过程管理;有利于较好地执行有关的规范或标准。一般来说,电子文件的归档工作程序包括:一是电子文件形成签署、审批;二是收集积累;三是编制目录;四是整理需归档的电子文件;五是鉴定归档的电子文件,确定归档电子文件的档案属性;六是检测归档的电子文件;七是编制归档说明;八是存入磁、光介质(含压缩归档等方式);九是复制备份;十是确定载体标识。
电子文件的形成者或承办者要明了电子文件归档的具体工作内容和要求,如制定电子文件归档的工作步骤、归档制度和归档计划,明确电子文件形成、收集积累的质量要求。在电子文件形成阶段就要做好收集积累工作,建立必要的记录和登记。要求归档的电子文件必须真实、完整,要系统地反映工作的过程和结果,对一些研究成果的归档,还应要求其产品与实际的技术状态要保持一致。电子文件的归档应由形成者进行整理并编制归档说明,经有关领导审批后向档案部门移交。归档前,档案部门应协助电子文件形成者或承办者进行整理,同时对归档的电子文件进行检查、检测、验收。电子文件归档的时间视具体情况可分为阶段归档和任务完成后归档,公文处理周期长和周期长的工程项目可按阶段归档。
3、要采取措施,保证电子文件归档的质量要求,归档工作是由文件管理转换为档案管理的基础,它的质量关系到整个档案管理水平,因此必须有质量控制措施,以保证这项工作的正常进行。应当搞好档案部门和电子文件形成单位的协调工作,使电子文件管理和电子档案管理形成一个有机的整体,避免相互推诿扯皮。因为办公自动化系统(OA)和辅助设计(CAD)、辅助制造(CAM)系统不属档案部门内部的工作,而是外部环境,涉及许多部门,这就需要理顺档案管理工作与有关部门工作的关系,把归档工作列入有关部门计划,落实到人头,并按计划进行检查和考核。考虑电子文件产生的环境不尽相同,把归档工作“纳入有关管理制度”、“纳入有关人员的职责范围”,从根本上保证电子文件的形成与归档工作不脱节。要严格电子文件归档的检查、检测程序和制度等。
(张魁 转载自 http://daj.huojia.gov.cn/dazs/szhd/143/)