文/安徽大學(xué)管理學(xué)院 王琪

一、引言

隨著現(xiàn)代信息技術(shù)的迅猛發(fā)展，互聯(lián)網(wǎng)已然走進(jìn)了生活中的各個領(lǐng)域，商業(yè)、金融、政府工作等都離不開現(xiàn)代網(wǎng)絡(luò)技術(shù)，電子文件的利用也成為時代的熱潮，然而電子文件在帶給人們諸多便利的同時，由于其自身所具有的信息與特定載體可分離、系統(tǒng)依賴性等特性，使得電子文件的信息安全難以得到保障。因此，有必要對電子文件的信息安全進(jìn)行相應(yīng)的管理，采取一定的管理手段、技術(shù)措施、法律法規(guī)等以保證電子文件信息的完整性不被篡改，機密性不被泄露，并同時保證其可用性。

二、電子文件信息安全管理概述

國際標(biāo)準(zhǔn)化組織(ISO)對信息安全的定義是：“在技術(shù)上和管理上為數(shù)據(jù)處理系統(tǒng)建立的安全保護(hù)，保護(hù)計算機硬件、軟件和數(shù)據(jù)不因偶然和惡意的原因而遭到破壞、更改和泄露。”相應(yīng)地，信息安全管理就是指對組織所有的信息資產(chǎn)進(jìn)行管理和保護(hù)，對維護(hù)信息完整性、機密性、可用性的活動進(jìn)行指導(dǎo)和規(guī)范。從以上兩個概念出發(fā)，結(jié)合電子文件的特性和定義及其與管理相關(guān)的概念，可以得到電子文件信息安全是指保證電子文件信息的完整性、機密性和可用性，電子文件信息安全管理則是電子文件的管理者通過采取一定的制度手段和技術(shù)措施等，對電子文件流轉(zhuǎn)各環(huán)節(jié)中可能產(chǎn)生的風(fēng)險或漏洞進(jìn)行控制以實現(xiàn)保證電子文件信息的完整性、機密性和可用性的目標(biāo)。

三、電子文件信息安全現(xiàn)狀及挑戰(zhàn)

（一）電子文件信息安全現(xiàn)狀。在當(dāng)今世界，電子文件已經(jīng)成為溝通聯(lián)系不可或缺的一種工具，人與人之間的私密、企業(yè)之間的商業(yè)秘密甚至國家的機密都可能借助電子文件這種工具進(jìn)行傳遞，這對電子文件的安全性、可靠性提出了更高的要求。然而，近幾年來，電子文件信息安全現(xiàn)狀卻不容樂觀，入侵條件越來越簡單，攻擊技術(shù)越來越復(fù)雜，給電子文件信息安全帶來了日益增長的威脅。有關(guān)電子文件信息泄密的事件數(shù)量逐年增長且破壞性不斷增強。筆者搜集了2010年—2014年間具有重大社會影響力和代表性的信息泄密事件，經(jīng)過對這些泄密事件的分析比較，認(rèn)為可根據(jù)泄密原因?qū)⑵浞譃槿?，分別是：1、惡意外來侵害導(dǎo)致的信息泄密，如黑客攻擊等；2、內(nèi)部泄密導(dǎo)致的信息損失，代表性事件如小米論壇用戶資料泄露，范圍涉及800萬注冊用戶；3、軟件漏洞，代表性事件如搜狗手機輸入法漏洞導(dǎo)致大量用戶信息泄露等。這些信息泄密事件對于電子文件具有重大的影響和警示意義，電子文件的產(chǎn)生、運行和傳遞等多個環(huán)節(jié)都是在網(wǎng)絡(luò)環(huán)境中進(jìn)行的，在當(dāng)今網(wǎng)絡(luò)環(huán)境紛繁復(fù)雜的背景下，電子文件面臨著諸多威脅，存在著諸多安全問題，筆者認(rèn)為在電子文件與人類日常生活的聯(lián)系日益密切的情況下，對電子文件信息安全進(jìn)行管理以盡可能減少信息泄密事件無論是對于國家、政府機關(guān)、企事業(yè)單位還是個人都具有重大而深遠(yuǎn)的意義。

（二）電子文件信息安全存在問題的原因。關(guān)于電子文件的信息安全，可以從兩個層面加以考慮，首先是電子文件的物理安全，比如電子文件載體的安全，其次是電子文件自身內(nèi)容的安全和保密。從這兩個層面出發(fā)進(jìn)行考慮，可將電子文件信息安全存在問題的原因主要歸結(jié)為環(huán)境因素和人為因素，同時要結(jié)合電子文件自身所具有的特性來進(jìn)行分析。

1.環(huán)境因素。環(huán)境因素主要是指存放電子文件的外界環(huán)境的不利變化，如突然的斷電、靜電、灰塵、濕度、溫度、鼠蟻蟲害、電磁干擾的損害和洪災(zāi)、火災(zāi)、地震等不可抗力的危害，以及軟件、硬件、數(shù)據(jù)、通訊線路等方面的故障。所有的電子文件都存放在一定的環(huán)境中，電子文件的安全與周圍環(huán)境的關(guān)系可謂息息相關(guān)，良好的環(huán)境能夠為電子文件的長久保存和安全保管提供有力的支持，相反，如果出現(xiàn)不利的環(huán)境因素或保存電子文件的環(huán)境本身存在很多安全上的漏洞，那么，無論是以上列舉的哪一種不利因素發(fā)生，都會給電子文件帶來毀滅性的打擊，電子文件內(nèi)的信息就很可能缺損甚至丟失，若不采取一定的保護(hù)措施，電子文件的信息安全很難得到保證。

2.人為因素。對人為因素可進(jìn)一步細(xì)分為惡意人為因素和非惡意人為因素。筆者認(rèn)為，這二者都可最終歸結(jié)為技術(shù)上的障礙以及管理上的疏漏。

表1 電子文件信息安全存在問題的人為因素

3.內(nèi)在因素。內(nèi)在因素是指電子文件由于其自身具備一些不利于保證其完整、準(zhǔn)確、可讀的特性，從而使其在長期的保管和利用過程中安全性很難得到保障。根據(jù)馮惠玲老師的觀點，電子文件具有信息的非人工識讀性、系統(tǒng)依賴性、信息與特定載體之間的可分離性、信息的易變性、信息存儲的高密度性、多種信息媒體的集成性、信息的可操作性等七大特性，這些特性也是電子文件在信息安全方面存在隱患的重要原因。

眾所周知，在傳統(tǒng)紙質(zhì)文件中，內(nèi)容與載體之間的聯(lián)系非常緊密，文件內(nèi)容不能脫離載體而單獨存在。沒有了特定的載體，文件內(nèi)容將無所依附，也就無法呈現(xiàn)出來供人們識讀從而獲取其中的信息，同樣的，若只有載體而沒有內(nèi)容信息，這份文件同樣是沒有價值的，并且，當(dāng)內(nèi)容信息固定在某一特定載體之后，就不會發(fā)生改變和遷移。也就是說，傳統(tǒng)紙質(zhì)文件中，內(nèi)容與載體之間是密切聯(lián)系的有機整體，缺一不可，二者共同構(gòu)成一份完整的紙質(zhì)文件。然而電子文件在這一方面與紙質(zhì)文件存在著極大的不同，電子文件的信息與特定載體之間的聯(lián)系沒有那么密切，二者可以相互分離，彼此獨立存在，這也是電子文件的一個重要特性——信息與特定載體之間的可分離性。也就是說，電子文件的信息可以從某一特定載體轉(zhuǎn)移到另一載體，在這種轉(zhuǎn)移的過程中，由于電子文件信息脫離了載體的束縛，這種獨立性使得電子文件信息更改容易且不易察覺，因此電子文件的原始性、完整性、真實性很難得到保障。

其次，電子文件與紙質(zhì)文件相比，還有一個明顯的不足，即保存電子文件信息的載體壽命遠(yuǎn)遠(yuǎn)短于紙張，因而具有相當(dāng)大的不穩(wěn)定性，不能保證電子文件信息的長期可存取。古代產(chǎn)生的紙質(zhì)文件歷經(jīng)幾百年甚至上千年的時間考驗仍有許多留存至今，而電子文件往往會隨著電子載體、信息技術(shù)等的更新?lián)Q代出現(xiàn)完整性難以保證甚至不可讀等方面的問題，因此，電子文件在經(jīng)過一段時間的保管后，須及時對其可讀性以及保存環(huán)境等各方面進(jìn)行檢驗，適時采取仿真、遷移、載體轉(zhuǎn)換保護(hù)技術(shù)等對信息進(jìn)行維護(hù)，以保證電子文件信息沒有在新舊轉(zhuǎn)換中丟失并保證其可被人們獲取。

電子文件的系統(tǒng)依賴性主要體現(xiàn)在兩個方面。首先，電子文件的產(chǎn)生、處置以及歸檔等各項活動等都必須借助計算機系統(tǒng)才能夠?qū)崿F(xiàn)。如果沒有計算機系統(tǒng)，電子文件就失去了存在的依附，人們不能夠獲取電子文件中的信息，同時也不能夠?qū)﹄娮游募M(jìn)行任何的操作，這樣，電子文件對人們的利用價值就無從談起。其次，隨著現(xiàn)代科學(xué)技術(shù)的迅猛發(fā)展，計算機系統(tǒng)和應(yīng)用軟件的更新?lián)Q代周期越來越短，這也就不可避免地導(dǎo)致了計算機和應(yīng)用軟件出現(xiàn)不兼容的情況，在這種情況下，電子文件信息的獲取以及對電子文件的管理就會非常棘手。如果不及時適應(yīng)新的系統(tǒng)做一系列的轉(zhuǎn)換，電子文件的可讀性和可管理性便很難得到保障。

四、增強電子文件信息安全的對策

（一）從技術(shù)上采取相關(guān)措施。在互聯(lián)網(wǎng)高度發(fā)達(dá)的今天，如果不對電子文件進(jìn)行任何措施的保護(hù)，則其信息安全很難得到保障，在電子文件管理領(lǐng)域，常見的用以保障電子文件信息安全的技術(shù)措施有信息加密技術(shù)、備份技術(shù)等。

信息加密技術(shù)是保證電子文件信息安全的有效手段之一，它將電子文件原始信息作為明文，通過一定的加密算法，將其轉(zhuǎn)變?yōu)槊芪?。加密體制根據(jù)加密密鑰和解密密鑰是否相同，可分為對稱加密體制和非對稱加密體制。其中，對稱加密體制中，因加密和解密過程使用的是同一個密鑰，從而計算量較小，效率較高；而在非對稱加密體制中，兩個過程使用的則是不同的密鑰：公用密鑰和私有密鑰。顧名思義，公用密鑰是公開的，所有發(fā)送者都可通過公用密鑰對信息進(jìn)行加密，而私有密鑰是非公開的，由收方進(jìn)行嚴(yán)格保密和妥善保管，并可對來文進(jìn)行解密，從中獲取信息，這樣，無關(guān)人員就很難有途徑從中讀出、獲取重要信息，從而保證了電子文件的信息安全。

數(shù)據(jù)備份技術(shù)也是保障電子文件信息安全的重要手段之一，是有效地應(yīng)對文件、數(shù)據(jù)丟失或損壞等意外情況的方法，當(dāng)前流行于電子文件管理的備份制度主要是異地備份和雙套制，前者是指對同一份電子文件進(jìn)行異地保管以及保存相應(yīng)的紙質(zhì)文件，而雙套制則要求歸檔電子文件一式兩套，即電子文件對應(yīng)的紙質(zhì)文件備份兩套，一套提供利用，一份封存保管，有時甚至要求一式三套，用于異地保存。當(dāng)出現(xiàn)地震、火災(zāi)等意外災(zāi)害或遭受“黑客”攻擊、病毒入侵等情況時，數(shù)據(jù)備份技術(shù)顯得尤為重要，特別是在當(dāng)前計算機網(wǎng)絡(luò)迅猛發(fā)展和電子文件利用日趨頻繁的背景下，它可以盡快恢復(fù)受損甚至崩潰的信息系統(tǒng)，最大限度減少損失，提供良好的數(shù)據(jù)恢復(fù)手段和災(zāi)難恢復(fù)機制，從而保證電子文件的信息安全。

（二）從管理上保障電子文件信息安全。電子文件問世時間較短，管理人員相應(yīng)地缺少管理電子文件的經(jīng)驗，在很多方面都不能滿足電子文件的要求，電子文件的各個特性使其更加與眾不同，管理上也具有一定的困難，針對這種情況，管理人員更應(yīng)積極尋找方法，完善管理制度以及相應(yīng)的管理人員配備等來更好地對電子文件進(jìn)行管理。

首先，從人員方面來看，一方面應(yīng)當(dāng)加強相關(guān)人員的安全防范意識和保密意識。為了達(dá)到這個目的，可定期對電子文件管理人員展開培訓(xùn)，并加大宣傳力度，讓他們充分地認(rèn)識到電子文件信息安全管理的重要性，建立明確的責(zé)任機制，把責(zé)任分配到個人，真正使組織中的每個人樹立保護(hù)電子文件信息安全的意識，使電子文件安全得到更好的保障。另一方面，在我國電子文件管理人員專業(yè)素質(zhì)水平不高的背景下，應(yīng)當(dāng)對電子文件安全工作人員進(jìn)行專業(yè)技術(shù)培訓(xùn)，使他們在理論上對電子文件信息安全有更加深入的認(rèn)識，在實踐上能夠及時準(zhǔn)確地解決在電子文件信息安全方面存在的一些問題。

其次，應(yīng)當(dāng)建立健全電子文件信息安全管理制度和電子文件信息安全管理體系。可仿照信息安全管理體系模型——PDCA模型，建立一個有關(guān)電子文件的信息安全管理體系。PDCA分別是英語單詞Plan（計劃）、Do（執(zhí)行）、Check（檢查）和Act（行動）的第一個字母，PDCA循環(huán)就是按照該順序進(jìn)行管理，循環(huán)不止，持續(xù)進(jìn)行。下圖為電子文件信息安全管理的PDCA過程。

只有在健全的電子文件信息安全管理制度和管理體系的指導(dǎo)下，并結(jié)合電子文件有關(guān)的管理原則，如全程管理、前端控制原則，對電子文件從產(chǎn)生到銷毀或永久保存整個生命周期進(jìn)行有效的管理，才能有效地保證電子文件的完整、真實和可用。

（三）建立完善的電子文件安全法律法規(guī)體系。當(dāng)前，我國已制定和引進(jìn)了一些相關(guān)的法律法規(guī)和信息安全管理標(biāo)準(zhǔn)，如《計算機信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則》《信息安全管理體系實施規(guī)范》《商用密碼管理條例》《計算機信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)安全保護(hù)管理辦法》等等，也初步形成了國際信息安全組織保障體系。但總體而言，這些法律法規(guī)或標(biāo)準(zhǔn)還是比較宏觀，基本上都屬于原則性的規(guī)范，應(yīng)當(dāng)更加細(xì)化，出臺相應(yīng)的實施細(xì)則，從微觀上對電子文件信息安全管理進(jìn)行更加細(xì)致的指導(dǎo)，并與時俱進(jìn)，結(jié)合當(dāng)今時代特點，真正使電子文件的完整性、真實性和可用性得到保障。

[1]金波,丁華東.電子文件管理學(xué)[M].上海:上海大學(xué)出版社,2007.

[2]馮惠玲.電子文件管理教程[M].北京:中國人民大學(xué)出版社,2001.

[3]戴旸.政務(wù)背景下電子文件信息安全挑戰(zhàn)與對策研究[J].云南檔案,2009(11).

[4]金波,宋屏.電子政務(wù)中電子文件信息安全探析[J].上海大學(xué)學(xué)報(社會科學(xué)版),2009(3).

[5]楊安蓮.電子文件信息安全管理研究[J].檔案學(xué)通訊,2009(4).

[6]戴旸.電子政務(wù)背景下電子文件信息安全現(xiàn)狀調(diào)查與分析[J].科技情報開發(fā)與經(jīng)濟,2009(29).