付正剛 秦荊華

（湖北大學(xué)歷史文化學(xué)院，湖北武漢，430062）

1 電子文件安全的含義

在《電子文件管理暫行辦法》（中辦國(guó)辦［2009］39 號(hào)）中，將“安全”與“真實(shí)、完整、可用”并列，被人們簡(jiǎn)稱為電子文件“四性”。筆者結(jié)合文件與信息的關(guān)系，對(duì)比信息安全學(xué)中信息安全“五性”的定義［1］后認(rèn)為：用“電子文件安全”統(tǒng)率電子文件的真實(shí)性、完整性、可用性、可靠性、長(zhǎng)期可讀性等屬性，可與相關(guān)學(xué)科在概念上保持一致，也使術(shù)語(yǔ)表達(dá)統(tǒng)一。

筆者認(rèn)為，電子文件安全是指電子文件的“真實(shí)性、完整性、有效性”［2］在客觀上不受到威脅，在主觀上能獲得信任。沒(méi)有絕對(duì)的安全，只有一定環(huán)境下的相對(duì)安全。“不受到威脅”并不意味著“不存在威脅”，受到的安全威脅風(fēng)險(xiǎn)只要在人們可接受范圍內(nèi)，即是：電子文件安全的可信度處于人們能接受范圍，則電子文件就可被認(rèn)為是安全的，可被信任的。進(jìn)一步結(jié)合《電子文件歸檔與管理規(guī)范》（GB/T18894-2002）中對(duì)“真實(shí)性、完整性、有效性”的定義分析：電子文件安全應(yīng)包括電子文件內(nèi)容安全、電子文件元數(shù)據(jù)安全、電子文件載體安全等層次。在此界定下，電子文件安全技術(shù)應(yīng)該指一切能保護(hù)電子文件內(nèi)容、元數(shù)據(jù)、載體等安全的信息技術(shù)。

本文對(duì)常用電子文件安全技術(shù)進(jìn)行分類梳理，從中窺探它們?cè)陔娮游募湃谓⒅械淖饔茫醪椒治隽薈DP（continuous data protection：連續(xù)數(shù)據(jù)保護(hù)）和CAS（content addressed storage：固定內(nèi)容尋址存儲(chǔ)）技術(shù)（下簡(jiǎn)稱“雙C”技術(shù)）在電子文件安全管理中的應(yīng)用。

2 電子文件安全技術(shù)對(duì)電子文件安全管理的意義

電子文件現(xiàn)階段管理中，“雙套制”依然是人們所認(rèn)可的安全管理模式。究其緣由，主因之一是人們對(duì)現(xiàn)有電子文件安全技術(shù)的不信任，以至于不得不依靠硬拷貝來(lái)保證電子文件安全。不可否認(rèn)地是，“雙套制”不僅有局限性，且與信息化發(fā)展趨勢(shì)不相協(xié)調(diào)，也在一定程度上阻礙了原生電子文件純數(shù)字化管理進(jìn)程。

電子文件安全依賴于電子文件管理體系的整體安全。在管理體系中涉及的人、電子文件載體/內(nèi)容/元數(shù)據(jù)、處理電子文件的軟硬件、管理人文環(huán)境（包含制度、規(guī)范、標(biāo)準(zhǔn)、法律等）等系統(tǒng)組成要素，均能對(duì)電子文件安全形成不同程度威脅。其中“處理電子文件的軟硬件”則是技術(shù)要素的集中體現(xiàn)。電子文件的本質(zhì)屬性與特點(diǎn)決定了技術(shù)要素是整個(gè)管理體系中不可或缺的基礎(chǔ)性要素，它是實(shí)現(xiàn)電子文件安全管理的重要基礎(chǔ)，其意義表現(xiàn)為以下三方面。

首先，電子文件安全技術(shù)是電子文件安全管理措施有效實(shí)施的基礎(chǔ)。電子文件是信息技術(shù)的產(chǎn)物，其產(chǎn)生、利用與消亡的整個(gè)生命周期過(guò)程都是在現(xiàn)代信息技術(shù)環(huán)境中演繹的，因此，人們基于電子文件管理理論和安全管理目標(biāo)所制定的管理措施，都必須依托可信的電子文件安全技術(shù)方能有效實(shí)施。

其次，電子文件安全技術(shù)能夠激發(fā)管理方式、管理模式的不斷創(chuàng)新。當(dāng)今信息技術(shù)正處于高速發(fā)展，滲透期、新技術(shù)的出現(xiàn)將會(huì)激發(fā)解決電子文件安全問(wèn)題的新思路和新方法，也會(huì)提供新的技術(shù)手段更好地進(jìn)行電子文件安全管理，從而使電子文件管理方式、管理模式進(jìn)一步創(chuàng)新。

最后，安全不是靜止的，它是一個(gè)動(dòng)態(tài)的過(guò)程。信息技術(shù)的更新?lián)Q代使得電子文件將會(huì)面臨更多的、更新的安全問(wèn)題，電子文件管理者必須對(duì)電子文件安全技術(shù)吐故納新，以安全技術(shù)之盾防攻擊技術(shù)之矛，使電子文件始終處于一種相對(duì)安全的狀態(tài)。

3 電子文件安全技術(shù)分類和特征分析

電子文件是否安全應(yīng)從它所依賴的電子文件管理體系是否安全的角度來(lái)判斷，反映在管理體系技術(shù)元素上，就是考量所用信息技術(shù)是否能維護(hù)電子文件安全。

“信息安全必須從這三個(gè)方面分析信息安全系統(tǒng)：信息、處理信息的軟件、硬件的安全問(wèn)題”、“針對(duì)信息本身的安全技術(shù)有密碼技術(shù)……，針對(duì)軟件的安全技術(shù)有身份鑒別、訪問(wèn)控制、安全審計(jì)、客體安全重用、備份與恢復(fù)、隱蔽信道分析、惡意代碼防范、網(wǎng)絡(luò)邊界隔離與防護(hù)和可信路徑等技術(shù)”［3］。這些信息安全技術(shù)中，常用于電子文件安全管理的技術(shù)有數(shù)字簽名、數(shù)字水印、訪問(wèn)控制、特征固化、安全標(biāo)志等［4］-［10］。張健將電子文件信息安全技術(shù)體系模型分為電子文件信息內(nèi)容安全、電子文件管理系統(tǒng)安全、系統(tǒng)軟件平臺(tái)安全、物理安全等四個(gè)層級(jí)，并指出“加密技術(shù)、數(shù)字簽名、安全協(xié)議、數(shù)字水印、訪問(wèn)控制和數(shù)據(jù)備份等是用來(lái)維護(hù)電子文件信息安全的主要技術(shù)。”［11］筆者依據(jù)上述思路，將常用電子文件安全技術(shù)作簡(jiǎn)單分類梳理如表1。

針對(duì)電子文件管理軟件的安全技術(shù)與其它類管理信息系統(tǒng)別無(wú)二致，其目的是通過(guò)阻止非法用戶和合法用戶的非合法操作，達(dá)到維護(hù)電子文件安全之目的，而不是直接作用于電子文件內(nèi)容/元數(shù)據(jù)本身，屬于間接性保護(hù)，對(duì)電子文件信任的建立作用有限。而針對(duì)電子文件內(nèi)容/元數(shù)據(jù)的安全技術(shù)對(duì)提高電子文件可信度有直接影響。如數(shù)字簽名（數(shù)字水印、電子簽/印章）技術(shù)會(huì)給電子文件附加一些標(biāo)識(shí)性的信息，用戶能通過(guò)專門的驗(yàn)證軟件或人工識(shí)別對(duì)文件來(lái)源、文件是否被非法篡改等作出甄別；數(shù)字紙張、特征固化技術(shù)則是模擬傳統(tǒng)紙張信息被紙張固定的特點(diǎn)，使用戶更易于對(duì)被固定的電子文件產(chǎn)生信任；雙套制通過(guò)可信的傳統(tǒng)檔案管理體系將電子文件價(jià)值固定；數(shù)據(jù)備份則依據(jù)備份介質(zhì)、備份管理管理主體的可信程度使備份件能產(chǎn)生不同程序的信任。筆者認(rèn)為上述多數(shù)電子文件安全技術(shù)在維護(hù)電子文件安全中主要存在三點(diǎn)不足。

3.1 著眼“關(guān)鍵節(jié)點(diǎn)”控制而非全過(guò)程控制

所謂關(guān)鍵節(jié)點(diǎn)是指管理流程中對(duì)電子文件安全能產(chǎn)生威脅的環(huán)節(jié)或時(shí)間點(diǎn)。例如文件定稿、文件版本更新、文件歸檔等時(shí)刻。數(shù)字簽名（數(shù)字水印、電子簽/印章）技術(shù)就是在文件定稿時(shí)介入，對(duì)定稿文件加蓋簽名、水印或印章；特征固化技術(shù)同樣是在文件定稿或修改之后就進(jìn)行特征信息的采集、固化和更新，控制行為均是在關(guān)鍵節(jié)點(diǎn)完成。

這類技術(shù)思想的主要優(yōu)點(diǎn)是效費(fèi)比高，即集中力量控制關(guān)鍵節(jié)點(diǎn)，一旦成功實(shí)施，電子文件安全就處于受控狀態(tài)。然而關(guān)鍵節(jié)點(diǎn)控制的方式是“點(diǎn)控制”，兩個(gè)控制點(diǎn)之間是不受控制的區(qū)段，從而留下安全隱患。以數(shù)字簽名技術(shù)為例，文件從生成之時(shí)到進(jìn)行簽名之間的時(shí)段對(duì)于各種安全威脅在技術(shù)上是裸露的，被篡改的風(fēng)險(xiǎn)很大，文件形成者可能會(huì)在沒(méi)有察覺(jué)文件被修改的情況下對(duì)其進(jìn)行了數(shù)字簽名，從而引發(fā)電子文件安全事故。

3.2 必須依賴第三方認(rèn)證或技術(shù)支持

在數(shù)字化環(huán)境中，第三方認(rèn)證是信任建立的一種常見(jiàn)模式。如電子商務(wù)中，先交易的一方（客戶）將承擔(dān)更多的風(fēng)險(xiǎn)，故需要維護(hù)客戶利益的外力來(lái)抵御風(fēng)險(xiǎn)，而第三方——支付寶平臺(tái)的存在，為客戶退款提供了保障，使客戶可放心與賣家交易。類似地是，數(shù)字簽名等需要符合《電子簽名法》中規(guī)定要求的第三方機(jī)構(gòu)來(lái)提供簽名及簽名驗(yàn)證技術(shù)、特征固化中也需要第三方軟件來(lái)實(shí)施。誠(chéng)然，第三方是數(shù)字化環(huán)境中建立信任的可行模式，但過(guò)于依賴第三方不但存在被第三方“鎖定”的可能，還存在因第三方無(wú)法自律或無(wú)法長(zhǎng)期存活所產(chǎn)生的風(fēng)險(xiǎn)。

雙方信任關(guān)系通過(guò)第三方認(rèn)證機(jī)構(gòu)才能建立的原因是虛擬世界中一方對(duì)另一方真實(shí)身份及信譽(yù)的不信任。就電子文件利用過(guò)程來(lái)講，管理者與利用者在電子文件安全的態(tài)度上是不同的：管理者往往不會(huì)懷疑所提供電子文件的真實(shí)完整性，因?yàn)樗私庹麄€(gè)文件管理體系及各個(gè)管理環(huán)節(jié)為維護(hù)電子文件真實(shí)完整性所做出的一系列控制動(dòng)作；而利用者因缺乏所利用電子文件生成及管理的任何信息，選擇懷疑理所當(dāng)然，兩種不同態(tài)度源自雙方對(duì)電子文件生成及管理的信息不對(duì)稱。

3.3 缺乏對(duì)電子文件元數(shù)據(jù)的有效保護(hù)

元數(shù)據(jù)保護(hù)的難點(diǎn)在于它是不斷更新變化的。電子文件生成以后，正文內(nèi)容多是固定不變的，但是元數(shù)據(jù)卻會(huì)隨著文件的流轉(zhuǎn)不斷發(fā)生變化，內(nèi)容會(huì)增加，使用時(shí)間會(huì)更新，甚至文件格式也會(huì)按需轉(zhuǎn)換等。但由于待采集元數(shù)據(jù)的多樣性、復(fù)雜性，元數(shù)據(jù)的持續(xù)跟蹤與自動(dòng)捕獲存在問(wèn)題，一旦涉及人工捕獲的元數(shù)據(jù)，就可能存在捕獲不及時(shí)、不準(zhǔn)確等風(fēng)險(xiǎn)。此外，在系統(tǒng)之外的元數(shù)據(jù)也不易自動(dòng)捕獲。若元數(shù)據(jù)的真實(shí)完整性無(wú)法得到保障，則元數(shù)據(jù)對(duì)電子文件真實(shí)完整性地維護(hù)就失去了意義。

4 “雙C”技術(shù)在電子文件安全管理中的新認(rèn)識(shí)

CAS 技術(shù)是指對(duì)生成以后不可更改的且具有長(zhǎng)期保存價(jià)值的非結(jié)構(gòu)化數(shù)字對(duì)象進(jìn)行存儲(chǔ)的技術(shù)，存儲(chǔ)以后對(duì)固定內(nèi)容信息的訪問(wèn)依據(jù)的是數(shù)據(jù)內(nèi)容，而與物理地址無(wú)關(guān)。該技術(shù)所滿足的需求就是維護(hù)數(shù)據(jù)的真實(shí)性、完整性和長(zhǎng)期保存，這同電子文件安全管理的目標(biāo)是一致的。CDP 技術(shù)是一種數(shù)據(jù)持續(xù)保護(hù)方法，它能夠?qū)⒂脖P的每一次寫入操作都忠實(shí)記錄下來(lái)，并存儲(chǔ)于專門的設(shè)備之中，藉此提高數(shù)據(jù)的恢復(fù)能力。相較于傳統(tǒng)數(shù)據(jù)保護(hù)所采取的時(shí)間點(diǎn)備份方式，該技術(shù)通過(guò)無(wú)縫恢復(fù)技術(shù)實(shí)現(xiàn)在故障瞬間完成對(duì)任何時(shí)間點(diǎn)數(shù)據(jù)的快速恢復(fù)，在提高恢復(fù)精度的同時(shí)保證業(yè)務(wù)的連續(xù)性，這同電子文件全程管理理論、文件連續(xù)體理論的思想內(nèi)涵是一致的?！半pC”技術(shù)在電子文件安全管理中的主要運(yùn)用方式就是實(shí)現(xiàn)電子文件內(nèi)容及其元數(shù)據(jù)之全部歷史版本的持續(xù)記錄和固化保存。重新認(rèn)識(shí)兩種技術(shù)在電子文件安全管理中的作用，對(duì)彌補(bǔ)現(xiàn)有電子文件安全管理體系的不足，提升安全管理的可信度有積極意義。

表1 常用電子文件安全技術(shù)分類

首先，對(duì)歷史版本持續(xù)全面地記錄切中電子文件生命周期理論之肯綮，使人們不僅能回溯電子文件整個(gè)生命過(guò)程，還能直觀精確地知曉電子文件內(nèi)容及元數(shù)據(jù)在其任一生命時(shí)刻的狀態(tài)，為人們?cè)u(píng)估電子文件管理過(guò)程的合規(guī)性、合法性及真實(shí)完整性保護(hù)地有效性提供了最為詳盡的歷史資料，能真正做到對(duì)電子文件全過(guò)程監(jiān)護(hù)與控制。

其次，通過(guò)不同歷史版本對(duì)比，人們不僅能夠發(fā)現(xiàn)文件是否被非法篡改，而且還能準(zhǔn)確找出被篡改的具體內(nèi)容，甚至能夠捕捉不法分子入侵系統(tǒng)和篡改文件的軌跡，為電子文件非法篡改案件的偵破和被篡改文件的恢復(fù)提供依據(jù)。

再次，固化保存可以使所有版本的電子文件一經(jīng)記錄便無(wú)法更改，避免因記錄被篡改而導(dǎo)致版本回溯的失敗。

最后，完整的歷史版本記錄不僅能夠?yàn)槲募烧吆凸芾碚咚?，還能夠成為文件利用者判斷文件真實(shí)完整性的有力依據(jù)，并改善二者之間的信息不對(duì)稱，使后者能依賴自身能力與經(jīng)驗(yàn)對(duì)電子文件真實(shí)完整性作鑒別，而無(wú)需依賴第三方認(rèn)證或技術(shù)支持。

總之，電子文件安全管理是基于人們?cè)诂F(xiàn)有條件下對(duì)安全威脅的認(rèn)識(shí)、對(duì)電子文件管理安全技術(shù)的認(rèn)識(shí)以及對(duì)電子文件管理體系自身不足和管理能力認(rèn)識(shí)。應(yīng)用了安全技術(shù)、采取了安全措施也并不意味著電子文件安全從此無(wú)憂。充分發(fā)揮各種安全技術(shù)特點(diǎn)，有機(jī)整合、綜合運(yùn)用，從不同方面發(fā)揮建立電子文件信任的作用，對(duì)于提升電子文件安全管理水平，促進(jìn)原生電子文件純數(shù)字化管理不無(wú)益處。

［1］杜彥輝著譯.信息安全技術(shù)教程［M］.清華大學(xué)出版社.2012年，第4-5頁(yè).將“保密性、完整性、可用性、可控性、不可否認(rèn)性”.

［2］國(guó)家檔案局.電子文件歸檔與管理規(guī)范（GBT18894-2002）.2002年.

［3］王斌君，增瑞.信息安全技術(shù)體系研究［J］.計(jì)算機(jī)應(yīng)用.2009年第6期.

［4］易豐.電子文件的簽署技術(shù)［J］.檔案學(xué)通訊.1999（3）.

［5］陳全.電子文件加密識(shí)別技術(shù)研究［J］.檔案學(xué)研究.2002（2）

［6］董信君.保證電子文件信息安全的技術(shù)措施［J］.蘭臺(tái)世界.2005（9）.

［7］朱道勇.基于數(shù)字水印的電子文件信息安全技術(shù)［J］.四川檔案，2007（2）．

［8］陳勇.關(guān)于電子文件管理相關(guān)技術(shù)的探討［J］.檔案與建設(shè).2008（10）．

［9］孫德剛，王妍，毛銳.國(guó)外電子文件安全標(biāo)志技術(shù)標(biāo)準(zhǔn)與應(yīng)用［J］.保密科學(xué)技術(shù).2010（7）．

［10］姜志偉.談數(shù)字簽名技術(shù)在電子文件真實(shí)性保障中的應(yīng)用［J］.檔案與建設(shè)．2010（5）．

［11］張健.電子文件信息安全技術(shù)體系研究［J］.檔案與建設(shè).2013年第2期．