電子政務(wù)檔案管理系統(tǒng)安全研究

前言：想要寫出一篇引人入勝的文章？我們特意為您整理了電子政務(wù)檔案管理系統(tǒng)安全研究范文，希望能給你帶來靈感和參考，敬請閱讀。

電子檔案管理系統(tǒng)作為電子政務(wù)系統(tǒng)中相對獨(dú)立的子系統(tǒng)，發(fā)揮著承前啟后的重要作用。它既要維護(hù)歸檔文件的原始性，也要保障所移交檔案的可讀性，這一定位決定了它具有不同于其他信息系統(tǒng)的安全需求。電子檔案管理系統(tǒng)接收歸檔文件后，集中化的檔案資源存量及其利用權(quán)限都有所改變，需要對具有復(fù)雜來源的檔案進(jìn)行真實性和長期性管理。面對歸檔、移交的流程需求，如何在異構(gòu)環(huán)境中維持并兼顧檔案安全與檔案管理的連續(xù)性，是本刊連載電子政務(wù)系統(tǒng)中檔案安全保障的基本問題。因此，只著眼于一般意義上的信息安全保障體系來探討電子檔案的安全保障問題，顯然缺乏針對性。應(yīng)該結(jié)合檔案工作實際和管理流程，面向保管和利用，明晰安全需求，提出切實可行的安全保障措施。

1電子檔案安全保障的主要內(nèi)容

1.1電子檔案安全保障的范疇

信息安全理論體系為電子檔案安全保障搭建了技術(shù)視角的基本框架，但從實踐情況看來，現(xiàn)有的安全保障體系還需與檔案管理流程深度結(jié)合，否則，電子檔案安全保障的特有需求容易被模糊和忽略。綜觀目前電子檔案安全保障的相關(guān)研究，較為流行的觀點(diǎn)是將電子檔案安全目標(biāo)歸納為保障信息的真實性、機(jī)密性、完整性和可用性，［1-2］以及可追究性、不可否認(rèn)性、可控性［3］等。從根本上而言，在信息安全的大背景下，上述目標(biāo)往往是共性的要求。不僅是檔案管理系統(tǒng)，所有業(yè)務(wù)系統(tǒng)如辦公自動化系統(tǒng)、人事管理系統(tǒng)、財務(wù)管理系統(tǒng)等，都以維護(hù)上述屬性作為基本的安全保障目標(biāo)。從流程上看，電子檔案管理系統(tǒng)具有特殊的管理定位與職責(zé)權(quán)限，除基礎(chǔ)性安全保障以外，它還具有不同于其他業(yè)務(wù)系統(tǒng)的安全需求，這些特殊的專業(yè)性需求是檔案界應(yīng)予關(guān)注的重點(diǎn)。因此，我們認(rèn)為，除了要關(guān)注共性要求之外，更關(guān)鍵的是要結(jié)合檔案管理的特點(diǎn)和需求來探討電子檔案的安全保障問題。應(yīng)當(dāng)根據(jù)電子檔案管理過程中的不同職能，有所側(cè)重地明晰安全需求，賦予電子檔案安全保障更加具體的內(nèi)涵。在紙質(zhì)檔案管理中，一般將安全管理分為實體安全與信息安全。但由于檔案信息內(nèi)容與紙質(zhì)載體相對穩(wěn)定合一，檔案實體安全實際表現(xiàn)為檔案載體安全，二者在實踐中幾乎是等同的；信息安全在一定程度上依賴于載體安全。因此，對于紙質(zhì)檔案而言，安全保障通常以檔案載體安全管理為主，載體管理在很大程度上決定了檔案的信息安全。電子檔案信息內(nèi)容與物理載體的可分離性，導(dǎo)致檔案信息安全的管理需求較之以往有所不同，檔案實體安全也不再等同于物理載體安全。對于電子檔案安全管理而言，可以更為明確地區(qū)分出信息安全、實體安全和載體安全三個層面。其中，信息安全主要針對電子檔案的信息內(nèi)容而言，指電子檔案內(nèi)容不被泄露或違規(guī)擴(kuò)散；實體安全主要指電子檔案實體（包括電子檔案及其元數(shù)據(jù)、憑證信息等）不被丟失、刪改、損壞而導(dǎo)致不可讀、不可用；載體安全則主要指電子檔案存儲載體和軟硬件系統(tǒng)等運(yùn)行環(huán)境穩(wěn)定、存續(xù)，不被盜取、破壞，可以支持電子檔案存儲和讀取。載體安全是實體安全和信息安全的基礎(chǔ)前提，如果載體遭到破壞，也意味著檔案實體會遭到損壞，信息安全則更無從談起；但僅僅保障載體安全，并不等同于檔案實體和信息內(nèi)容得到妥善管理。比如，在電子檔案管理系統(tǒng)運(yùn)行良好的情況下，也會因人為誤操作而刪除電子檔案，導(dǎo)致電子檔案實體丟失；又或是在電子檔案實體未遭損壞的情況下，檔案信息內(nèi)容被非法訪問和拷貝，導(dǎo)致電子檔案信息內(nèi)容泄漏。因此，信息安全以實體安全為前提，實體安全又以載體安全為前提，電子檔案管理應(yīng)對三個層面的安全都予以重視。具體而言，無論是紙質(zhì)檔案還是電子檔案管理，檔案部門對于檔案載體安全的管理主要都是通過制定保存管理策略來彌補(bǔ)技術(shù)本身固有的局限。因為載體的壽命在客觀上是由技術(shù)發(fā)展的程度決定的，檔案部門無法決定文件形成部門選用何種載體存儲文件，檔案部門的主要責(zé)任在于文件歸檔后為其提供穩(wěn)定、防磁的庫房環(huán)境，做好防盜、防損工作，并結(jié)合長期保存需求，選擇適宜的載體與技術(shù)實施復(fù)制遷移。對于電子檔案的信息安全與實體安全而言，其保障管理需求則有所不同。在信息安全方面，由于數(shù)字化信息內(nèi)容易于復(fù)制和傳播，對電子檔案信息內(nèi)容的利用控制不再依賴于載體安全來實現(xiàn)，相對于紙質(zhì)條件而言具有更加獨(dú)立的安全要求，因此需要在檔案利用過程中加以控制。在實體安全方面，在檔案保管過程中是對電子檔案實體的真實性和長期可讀性進(jìn)行管理；在檔案利用過程中則是維護(hù)電子檔案原件的實體安全。據(jù)此，基于檔案管理流程與需求的視角，我們將以檔案保管和利用兩個檔案管理流程中的不同階段為框架，將電子政務(wù)系統(tǒng)中的檔案安全保障置于這一框架中，結(jié)合檔案管理理論與實際的要求，對電子檔案安全保障的管理策略與技術(shù)措施進(jìn)行梳理與分析。

1.2理論層面的關(guān)注

電子檔案安全保障實踐面臨許多亟待解決的問題，這些問題依賴于理論研究發(fā)揮更好的指導(dǎo)作用。從電子檔案安全保障的影響因素看，首先，技術(shù)狀況對電子檔案安全具有很大影響，例如軟硬件漏洞、病毒風(fēng)險、黑客攻擊、設(shè)備與系統(tǒng)風(fēng)險等都會造成電子檔案信息的損壞與丟失。其次，自然因素與社會因素共同影響著電子檔案的安全，例如保管場所的條件、天災(zāi)人禍等因素。再次，一些管理問題如管理規(guī)范缺失、管理權(quán)限混亂、管理人員疏漏等都危及著電子檔案的安全。［4］由于電子檔案安全受到多重因素的影響，電子檔案安全保障需立足全方位進(jìn)行規(guī)劃與統(tǒng)籌。對此，許多學(xué)者提出從實體安全、軟件安全、信息內(nèi)容安全以及網(wǎng)絡(luò)安全等多方面著手，［5］提倡通過建立安全保障體系來保障電子檔案信息的安全性、完整性和可用性。［6-9］具體而言，包括對技術(shù)、管理與法規(guī)三方面進(jìn)行完善。在技術(shù)方面，主要提倡自主研發(fā)管理系統(tǒng)，對歸檔電子檔案采取殺毒、加密、隔離、備份等技術(shù)性保障措施；在管理方面，強(qiáng)調(diào)增強(qiáng)管理人員安全意識，完善管理與監(jiān)督機(jī)制，加強(qiáng)專業(yè)人員培養(yǎng)等；在法規(guī)方面，要求從法律層面明確電子檔案的憑證性，不斷完善法規(guī)標(biāo)準(zhǔn)，以實現(xiàn)電子檔案安全管理規(guī)范化。一些學(xué)者將整個安全體系分為應(yīng)用層、系統(tǒng)層、網(wǎng)絡(luò)層、物理層、管理層，根據(jù)不同層的安全需求提供管理與技術(shù)保障，以構(gòu)建多層次的安全保障體系。［10］以信息安全的共性規(guī)律為基礎(chǔ)，在應(yīng)用于不同領(lǐng)域的安全保障體系之間，同一層次大體上都采取相同的安全保障措施。對于檔案安全而言，還需進(jìn)一步與實際需求緊密結(jié)合，才能構(gòu)建與檔案管理相契合的安全保障體系。除此之外，另一種視角是通過風(fēng)險管理完善電子檔案的安全保障。［11-12］信息的風(fēng)險管理強(qiáng)調(diào)對信息系統(tǒng)生命周期的全過程管理，包括完整的風(fēng)險管理過程：風(fēng)險管理計劃的制定、風(fēng)險識別、風(fēng)險評估、風(fēng)險應(yīng)對、風(fēng)險監(jiān)控，從不同方面采取相應(yīng)措施以應(yīng)對可能發(fā)生的風(fēng)險。從宏觀上看，目前我國不同地區(qū)、不同單位的電子政務(wù)建設(shè)水平參差不齊，遠(yuǎn)未達(dá)到一體化、平均化的建設(shè)效果，具體的風(fēng)險評估與管理需要因地制宜地規(guī)劃和實施。從微觀上看，基于風(fēng)險管理的電子檔案安全保障要求構(gòu)建一個體系化的實施方案，風(fēng)險的多樣性和動態(tài)性也要求檔案人員更加全面地掌握廣泛的管理、技術(shù)、法規(guī)知識，總體的實現(xiàn)要求較高。因此，要達(dá)到理想的實踐效果，還需結(jié)合實際進(jìn)一步研究。主要從信息安全保障體系和風(fēng)險管理視角出發(fā)的現(xiàn)有電子檔案安全保障研究及其成果，已經(jīng)在事實上為進(jìn)一步深化研究奠定了一定的基礎(chǔ)。為了更好地適應(yīng)我國電子政務(wù)環(huán)境下的檔案信息化實際情況，有必要從檔案管理的視角出發(fā)，立足于檔案管理流程以及檔案部門的職責(zé)與實際要求，對電子檔案安全保障需求進(jìn)行梳理與分析，總結(jié)檔案部門在安全管理中應(yīng)予關(guān)注、亟待解決的基本問題，如檔案部門應(yīng)該如何透過檔案安全保障需求選用適當(dāng)技術(shù)，現(xiàn)有技術(shù)策略的實施依據(jù)和目的，以及檔案安全管理策略與技術(shù)之間的關(guān)系等。

1.3實踐工作的需求

檔案管理具有自身的業(yè)務(wù)特點(diǎn)，除基礎(chǔ)性的信息、系統(tǒng)與網(wǎng)絡(luò)安全保障外，電子檔案安全保障具有不同于其他電子政務(wù)業(yè)務(wù)系統(tǒng)的安全需求。第一，電子檔案管理系統(tǒng)所存儲的檔案信息數(shù)據(jù)來源于其他業(yè)務(wù)系統(tǒng)，并要在規(guī)定時間、按照一定要求向檔案館移交，檔案資源數(shù)據(jù)在異構(gòu)系統(tǒng)間傳遞、交接，如何維持電子檔案安全保障的連續(xù)性，同時滿足檔案管理的業(yè)務(wù)需要，是檔案保管安全需要解決的重要問題。第二，電子檔案管理系統(tǒng)中存儲的數(shù)據(jù)相對集中而復(fù)雜，就檔案利用而言，歸檔前，文件形成部門對文件具有完整的處理和利用權(quán)限；歸檔后，文件轉(zhuǎn)化為檔案，其管理權(quán)限則歸檔案部門所有，由檔案部門管理檔案利用權(quán)限，業(yè)務(wù)部門之間通過檔案部門相互共享檔案。這些變化相應(yīng)地對利用權(quán)限的管理提出更多要求，如何確保電子檔案實體安全和檔案規(guī)范利用，是電子檔案利用安全需要解決的重要問題。可見，以信息安全保障的一般要求來指導(dǎo)電子檔案安全保障的實踐具有一定的局限性。面向檔案實踐工作的需要，應(yīng)當(dāng)思考電子檔案管理系統(tǒng)與其他信息管理系統(tǒng)在安全保障上的區(qū)別，結(jié)合檔案部門的管理職責(zé)與管理流程，提煉安全保障的核心目標(biāo)以及相對而言更加突出的安全需求。

（1）檔案保管安全的核心要求

本文所指的“檔案保管”具有較為寬泛的內(nèi)涵，主要指電子文件歸檔后、電子檔案移交前對檔案進(jìn)行維護(hù)性保管的過程。電子檔案的真實性與長期可讀性是電子檔案保管階段安全保障最核心的要求，安全保護(hù)的根本目標(biāo)是防止電子檔案失真、失效、丟失、缺損、不可讀。電子檔案的真實性有兩層涵義：一是電子文件的形成過程可靠，即形成過程被認(rèn)可，具體要求包括發(fā)文與收文雙方的合法身份得到確認(rèn)，行文正當(dāng)，并在可靠的文件系統(tǒng)中形成與傳遞；二是電子檔案內(nèi)容、背景和結(jié)構(gòu)信息真實，具體要求包括上述三要素得到固化，并在傳輸、保管、遷移過程中繼續(xù)保持原有的固化形式，信息完整，信息不被篡改。［13］從上述兩個層面看，雖然文件階段的真實性本刊連載不由檔案部門決定，但檔案真實性的維護(hù)卻是檔案部門的重要責(zé)任。電子檔案的真實性程度來源于多項要求的疊加，滿足要求項越多，其真實性程度就越高，即被認(rèn)為具有更高的憑證性價值，以及更高的司法可采性。因此，我們認(rèn)為，維護(hù)檔案的真實性是電子檔案保管過程中安全保障的一項根本目標(biāo)。長期可讀包括長期性與可讀性兩個方面：長期性意味著電子檔案實體在長久的時間內(nèi)不被損壞、丟失；可讀性意味著電子檔案信息內(nèi)容在長久的時間內(nèi)都可以被讀取和解析。長期性與可讀性應(yīng)該統(tǒng)一為一體的保管要求，單一的長期性或可讀性都無法滿足檔案管理與利用的需要。與傳統(tǒng)檔案管理相一致，長期可讀性也與載體安全有著密切關(guān)系，物理載體的安全情況影響著電子檔案的長期可讀。電子檔案長期可讀性的其他影響因素還包括歸檔文件的格式和自然因素等，這些因素主要體現(xiàn)在檔案保管工作中。電子檔案管理系統(tǒng)肩負(fù)著將檔案移交至檔案館的責(zé)任，因此，對于電子檔案保管而言，保障電子檔案長期可讀是面向檔案永久保存與未來利用的根本要求。

（2）檔案利用安全的核心要求

電子檔案利用過程中的安全保障，關(guān)鍵在于防止實體損害和越權(quán)利用，原件維護(hù)和利用控制是檔案利用過程中的核心安全保障需求。在紙質(zhì)檔案管理中，為了防止損壞原件，在某種情況下會通過提供復(fù)制件的方式滿足檔案利用需要。對于電子檔案管理而言，出于對電子檔案實體的維護(hù)，同樣可以采取副本利用的安全措施。所不同的是，基于電子檔案管理系統(tǒng)的檔案副本存儲與利用面臨更為復(fù)雜的情況。因為紙質(zhì)檔案的副本主要以復(fù)印件或縮微方式形成，副本利用對原件管理幾乎不造成影響；而基于副本利用的電子檔案安全保障則與電子檔案原件管理模式具有密切關(guān)系。因此，電子檔案原件維護(hù)是利用過程中安全保障的關(guān)鍵問題之一。電子檔案利用需要通過權(quán)限控制來保障信息內(nèi)容安全。在電子檔案管理中，檔案管理者與利用者之間增加了電子檔案管理系統(tǒng)這一中間平臺，使得檔案利用權(quán)限必須通過系統(tǒng)平臺加以控制和管理，這是電子檔案利用與紙質(zhì)檔案利用的不同。除此之外，在電子政務(wù)環(huán)境下，電子檔案管理系統(tǒng)存儲的檔案資源集中而復(fù)雜，檔案利用權(quán)限的管理問題更為突出，需要與傳統(tǒng)利用審批制度相結(jié)合，從技術(shù)和管理上規(guī)范電子檔案利用，這是電子檔案利用與其他信息資源利用的不同。因此，電子檔案的利用控制是檔案利用安全保障的重要目標(biāo)。我們認(rèn)為，檔案工作強(qiáng)調(diào)連貫性和流程性，安全保障的措施也具有連續(xù)性，然而某些安全保障要點(diǎn)在特定的管理環(huán)節(jié)中會顯得尤為突出和重要。因此，我們提煉出重要的安全需求與根本的安全目標(biāo)，并放置于檔案保管和利用的流程背景下進(jìn)行分析，旨在更好地結(jié)合檔案管理實際進(jìn)行探討。

2電子檔案保管階段的安全保障

電子政務(wù)系統(tǒng)中的電子檔案保管承接自業(yè)務(wù)系統(tǒng)的電子文件歸檔，并承擔(dān)向檔案館移交的責(zé)任。這一階段的安全保障以維護(hù)檔案的真實性、長期可讀性為核心目標(biāo)，檔案保管需采取專業(yè)性的管理措施和技術(shù)手段，防止電子檔案受損、失真、不可讀，保障電子檔案與歸檔時的狀態(tài)一致。

2.1建立憑證信息，維護(hù)真實性

在歸檔環(huán)節(jié)，為保障管理權(quán)限交接和管理責(zé)任明晰，檔案部門需對接收到的電子檔案進(jìn)行真實性確認(rèn)；在后續(xù)檔案管理工作中，檔案部門則需對文件歸檔時的真實性進(jìn)行維護(hù)。［14-15］根據(jù)InterPARES的研究成果，檔案部門保障電子檔案真實性具有兩層含義：一是能夠證明電子檔案歸檔時的可靠性得以維護(hù)，即檔案來源身份與原始狀態(tài)可證；二是能夠證明電子檔案保管鏈的完整性，即保管過程可追溯、可審計。［16-17］在理論層面，電子檔案真實性的內(nèi)涵實際包含了檔案要素完整和檔案內(nèi)容可靠的要求；在實踐層面，這種真實性則表現(xiàn)為電子檔案具有憑證性作用。針對電子檔案的真實性保障與真實性認(rèn)定，檔案界已經(jīng)開展了多方面的探索。按照實施對象與保障目標(biāo)的不同，目前電子檔案管理系統(tǒng)中主要的檔案真實性保障策略可以歸納為三類：

（1）使用數(shù)字簽名、時間戳技術(shù)。這是信息安全保障中普遍使用的技術(shù)手段，是針對電子檔案內(nèi)容和來源（即檔案實體）的真實性保障措施，其目的是確保電子檔案內(nèi)容無損、未篡改、非偽造。其基本原理都是利用了哈希（Hash）算法、數(shù)字摘要技術(shù)和非對稱加密技術(shù)，通過第三方認(rèn)證，用以確認(rèn)電子檔案狀態(tài)如初、來源可信。本質(zhì)上而言，時間戳是數(shù)字簽名技術(shù)的另一種應(yīng)用形式，可以證明某份數(shù)字文件在某一時間起就已存在。二者都滿足我國《電子簽名法》對于原件屬性的要求，具有司法層面的可靠性。在技術(shù)上，二者都基于數(shù)字摘要對電子檔案的真實性進(jìn)行驗證，但實現(xiàn)機(jī)制各有特點(diǎn)：基于PKI（公鑰基礎(chǔ)設(shè)施）體系的數(shù)字簽名技術(shù)由檔案形成者采用私鑰加密自行簽名，驗證者向第三方認(rèn)證機(jī)構(gòu)（由國家授權(quán)的CA認(rèn)證機(jī)構(gòu)）求證；［18］可信時間戳技術(shù)則由第三方機(jī)構(gòu)（國家授時中心建設(shè)的時間戳服務(wù)機(jī)構(gòu)）采用私鑰加密簽名，包含時間戳的生成日期和時間，用戶自行驗證。［19］然而，數(shù)字簽名技術(shù)被認(rèn)為具有一定的局限性，數(shù)字證書的有效期、私鑰的安全性等問題使其難以滿足電子檔案管理的需求。［20］加入時間戳的數(shù)字簽名則可以在一定程度上解決數(shù)字證書的有效性問題，使得電子檔案在數(shù)字簽名失效后仍具備原件屬性。［21］對于電子檔案真實性保障而言，它們在技術(shù)上通過加密算法來發(fā)揮作用，在機(jī)制上依賴于電子檔案應(yīng)用主體對第三方機(jī)構(gòu)的信任，主要應(yīng)用于電子檔案真實性認(rèn)定，屬于確認(rèn)性措施，并不能對電子檔案受損、失真防范于未然。

（2）建立電子檔案元數(shù)據(jù)管理機(jī)制。一般認(rèn)為，完善的元數(shù)據(jù)記錄有利于追溯電子檔案的管理過程，從而確保檔案管理過程的規(guī)范性。元數(shù)據(jù)管理機(jī)制旨在通過全面記錄電子檔案全生命周期來固化管理過程，形成連續(xù)、完整、可證的檔案保管鏈，是針對檔案管理過程采取的保障措施。電子檔案元數(shù)據(jù)管理的核心機(jī)制包括兩個方面：一是分類管理，即根據(jù)電子檔案元數(shù)據(jù)的收集過程及其是否可變，區(qū)分靜態(tài)元數(shù)據(jù)和動態(tài)元數(shù)據(jù)。［22］其中靜態(tài)元數(shù)據(jù)指反映電子檔案自然屬性、來源與信息內(nèi)容的元數(shù)據(jù)，一經(jīng)著錄不得更改；動態(tài)元數(shù)據(jù)指電子檔案管理過程中形成的元數(shù)據(jù)，隨著管理過程的推進(jìn)不斷新增或更新。針對動態(tài)元數(shù)據(jù)，應(yīng)該進(jìn)行動態(tài)管理或?qū)嵤└?。?3-24］二是元數(shù)據(jù)封裝，根據(jù)電子檔案元數(shù)據(jù)的分類，電子檔案及其元數(shù)據(jù)的封裝方式可以采取不同策略，既可以按照電子檔案生命周期進(jìn)行多次封裝，每次封裝納入不同的元數(shù)據(jù)；［25］也可以只封裝與電子檔案真實性有關(guān)的元數(shù)據(jù)。［26］

（3）構(gòu)建復(fù)合型電子檔案身份標(biāo)識。綜合上述基礎(chǔ)技術(shù)與策略，檔案界提出利用非對稱加密算法為電子檔案構(gòu)建唯一的憑證性身份標(biāo)識。相較而言，構(gòu)建復(fù)合型的電子檔案身份標(biāo)識是一種綜合的真實性安全保障策略，基本涵蓋了電子檔案實體與管理過程的保障需求。這一策略的基本原理是利用特定的語義算法，抽取電子檔案的來源性元數(shù)據(jù)（“有效元數(shù)據(jù)集”）進(jìn)行計算，生成電子檔案的憑證性編碼，并與相應(yīng)的元數(shù)據(jù)集、來源單位及其數(shù)字簽名共同構(gòu)成一個電子檔案憑證（“電子檔案身份證”），通過憑證庫管理機(jī)制實現(xiàn)電子檔案身份的驗證。［27］憑證信息可以在電子文件歸檔時就生成，便于在后續(xù)的保管與利用過程中進(jìn)行驗證，并為檔案移交奠定基礎(chǔ)。本質(zhì)上，構(gòu)建電子檔案身份標(biāo)識是綜合了數(shù)字簽名技術(shù)、語義算法、元數(shù)據(jù)管理等手段的復(fù)合型策略，其實現(xiàn)機(jī)理與數(shù)字摘要技術(shù)相似，并且因納入憑證庫管理機(jī)制而更加具有可靠性。然而，電子檔案憑證信息本身的長期保存仍然是有待解決的問題。［28］綜上，在電子檔案管理系統(tǒng)中，電子檔案真實性的保障措施主要針對檔案實體和管理過程兩個方面制定，這與檔案部門對真實性保障的兩個職責(zé)相對應(yīng)，即確保檔案來源身份與原始狀態(tài)可證，以及保管過程可追溯、可審計。在保障策略方面，前者離不開基于PKI體系的數(shù)字簽名技術(shù)及其實現(xiàn)原理，后者則離不開元數(shù)據(jù)管理。電子檔案管理系統(tǒng)從業(yè)務(wù)系統(tǒng)接收電子檔案，來自業(yè)務(wù)部門的數(shù)字簽名與原生元數(shù)據(jù)都必須受到保護(hù)和一定程度的固化，從而明確電子文件歸檔前后的狀態(tài)與責(zé)任。在檔案保管過程中，通過對數(shù)字簽名、元數(shù)據(jù)與檔案本體的封裝與再簽名，集成并關(guān)聯(lián)電子檔案的憑證要素，建立起連續(xù)可溯的檔案保管鏈。從管理層面上看，現(xiàn)有的電子檔案真實性保障策略強(qiáng)調(diào)檔案保管過程與責(zé)任主體密切關(guān)聯(lián)，并納入第三方機(jī)構(gòu)來鞏固這種保管責(zé)任的可溯性與可靠性；從技術(shù)層面上看，現(xiàn)有策略實質(zhì)上將電子檔案“中心化”，即強(qiáng)調(diào)采用多種方法形成電子檔案的附屬性、憑證性信息，利用憑證信息支撐電子檔案的真實性，并通過比對憑證信息來證明電子檔案真實可靠。因此，在電子政務(wù)系統(tǒng)環(huán)境下，電子檔案真實性保障的關(guān)鍵在于憑證信息的管理與維護(hù)。

2.2完善檔案封裝，確保長期可讀

保障電子檔案長期可讀是一項連續(xù)性的工作，從電子文件歸檔開始便要對其采取措施。對于電子檔案管理系統(tǒng)而言，保障電子檔案長期可讀的主要任務(wù)是對電子檔案實體進(jìn)行一定的處理，使之滿足長期可讀的格式和存儲要求，維持電子檔案的可讀性，防止其丟失、失效，這是提供檔案服務(wù)利用、向檔案館移交和延續(xù)至永久保存的前提。OAIS模型是目前電子檔案長期保存普遍使用的基本策略，它所描述的功能模型、信息對象與信息包結(jié)構(gòu)模型、本刊連載信息包轉(zhuǎn)換過程、遷移模型都是現(xiàn)有長期保管策略的主要依據(jù)。具體而言，保障電子檔案長期可讀是要確保電子檔案在長期甚至永久的保管時間內(nèi)可以被讀取，并可以被理解。目前電子檔案管理系統(tǒng)中主要的檔案長期可讀保障策略可以歸納為以下兩類：

（1）格式管理。格式管理是針對電子檔案實體數(shù)據(jù)的一種基礎(chǔ)性保障策略，通過對電子檔案進(jìn)行標(biāo)準(zhǔn)化、可持續(xù)的管理，防止電子檔案因保管環(huán)境的變化而受損，導(dǎo)致無法讀取、無法理解。一般認(rèn)為，長期保存格式應(yīng)當(dāng)具有開放性、標(biāo)準(zhǔn)性和穩(wěn)定性；［29］在實踐層面，行業(yè)標(biāo)準(zhǔn)《DA/T47-2009版式電子文件長期保存格式需求》更加具體地明確了長期保存格式應(yīng)當(dāng)滿足的11點(diǎn)要求，包括格式開放、不綁定軟硬件、文件自包含、格式自描述、顯示一致性、持續(xù)可解釋、穩(wěn)健、可轉(zhuǎn)換、利于存儲、支持技術(shù)認(rèn)證機(jī)制和易于利用。［30］圍繞電子檔案的長期保存格式，主要的保障策略包括格式注冊和格式轉(zhuǎn)換。格式注冊主要是記錄電子檔案格式的描述信息和軟硬件要求等，以便于對電子檔案進(jìn)行解析和恢復(fù)。［31］格式轉(zhuǎn)換則是將電子文件或電子檔案統(tǒng)一轉(zhuǎn)換成有利于長期保存的標(biāo)準(zhǔn)格式，［32］這種轉(zhuǎn)換包含兩種情況：一是電子文件歸檔時的格式固化，如將文件固化為PDF版式文件；二是電子檔案信息包的格式轉(zhuǎn)換，如OAIS模型下提交信息包轉(zhuǎn)換為歸檔信息包。對于電子檔案管理系統(tǒng)而言，格式轉(zhuǎn)換往往通過標(biāo)準(zhǔn)規(guī)范、統(tǒng)一接口或?qū)ｉT的格式轉(zhuǎn)換平臺實現(xiàn)。

（2）基于封裝包的數(shù)字遷移。這是針對電子檔案實體數(shù)據(jù)及其運(yùn)行環(huán)境的保障策略，目的是使電子檔案夠穩(wěn)定地應(yīng)對長期保管中可能面臨的環(huán)境條件變化。一方面，采用開放性描述語言對電子檔案及其元數(shù)據(jù)進(jìn)行描述和封裝可以保障電子檔案信息內(nèi)容在長時間內(nèi)穩(wěn)定、可解析。OAIS模型認(rèn)為，要達(dá)到信息長期保存的目的，必須要存儲比數(shù)字對象內(nèi)容更多的其他信息要素（元數(shù)據(jù)等），［33］因此，電子檔案應(yīng)該以封裝信息包的形式保管和提供利用?！禗A/T48-2009基于XML的電子文件封裝規(guī)范》中規(guī)定的基于XML的VEO結(jié)構(gòu)封裝包能夠滿足資源自包含、自描述、自證明的長期保存要求，［34］是目前普遍應(yīng)用于電子政務(wù)環(huán)境中的檔案保管策略。另一方面，數(shù)字遷移是指在必要的情況下將電子檔案從某一軟硬件環(huán)境向另一種軟硬件環(huán)境轉(zhuǎn)移的過程。OAIS模型中的數(shù)字遷移是基于電子檔案封裝包進(jìn)行的，包括更新（refreshment）、復(fù)制（replication）、重新封裝（repackaging）、轉(zhuǎn)化（trans－formation）4種具體方式，其中后兩者會改變比特序列，前兩者則不會，后兩者還可能涉及電子檔案存儲格式轉(zhuǎn)換。［35］“遷移是對付技術(shù)過時的最佳良策，它應(yīng)是數(shù)字資料完成定期轉(zhuǎn)換的一系列有組織的工作，包括維護(hù)數(shù)字對象的真實性、用戶的再檢索、顯示與其他利用的能力。”實踐也表明，遷移是目前維護(hù)電子檔案長期可讀的最佳方法。［36］對于電子政務(wù)系統(tǒng)中的檔案保管而言，電子檔案長期可讀性的保障措施主要針對電子檔案實體和運(yùn)行保存環(huán)境兩個方面制定。從現(xiàn)有的相關(guān)保障策略看，一方面，電子檔案的存儲格式和存儲形式必須滿足開放性、不依賴軟硬件環(huán)境、可解析等要求；另一方面，對電子檔案存儲軟硬件環(huán)境和平臺的管理也是必須的，這種管理主要體現(xiàn)在為電子檔案選擇穩(wěn)定性高、依賴性低的保管載體和運(yùn)行環(huán)境，并在必要時候開展基于檔案封裝包的遷移，這與紙質(zhì)條件下為紙質(zhì)檔案構(gòu)建安全保管環(huán)境的做法相同。在電子檔案管理系統(tǒng)中，現(xiàn)有的電子檔案長期可讀性保障措施具有兩個特點(diǎn)：一是在管理層面強(qiáng)調(diào)電子檔案數(shù)據(jù)結(jié)構(gòu)與信息描述的標(biāo)準(zhǔn)化，維持對保存環(huán)境較低的依賴性，并要求保存環(huán)境具有較高的穩(wěn)定性；二是在技術(shù)層面，其基本理念是將電子檔案及其元數(shù)據(jù)要素“解構(gòu)重組”，從而形成易于解析的電子檔案封裝包，并通過適當(dāng)?shù)霓D(zhuǎn)移維持檔案的保存與運(yùn)行條件。因此，在電子檔案管理系統(tǒng)中，檔案長期可讀性保障的關(guān)鍵在于解決電子檔案及其元數(shù)據(jù)集成封裝與拆封解析的穩(wěn)定性、獨(dú)立性（即不依賴軟硬件環(huán)境）。

2.3電子檔案保管階段的安全保障要點(diǎn)

對于電子政務(wù)系統(tǒng)中的檔案保管而言，真實性與長期可讀性是安全保障的雙重目標(biāo)，針對二者的策略也應(yīng)該相互支撐，形成協(xié)同一致、自成一體的檔案安全保管方案。然而，目前所采取的保障措施和提倡的保障策略難以很好地兼顧真實性和長期可讀的雙重要求，甚至在具體策略之間具有目前未能解決的矛盾，導(dǎo)致電子檔案保管的安全保障工作難以高效開展。電子檔案真實性與長期保存面對電子檔案實體、憑證信息和檔案保管過程記錄三類對象。后兩者相對于檔案實體而言都屬于冗余信息。電子檔案實體本身的長期可讀可以通過格式管理、規(guī)范化封裝以及數(shù)字遷移得到較好解決，而憑證信息和保管過程記錄則增加了長期保存策略實施的復(fù)雜性。對于上述三類對象，是否應(yīng)當(dāng)實施統(tǒng)一的對象化管理，以及如何進(jìn)行管理是解決電子檔案“長期真實性”保障需要考慮的問題。從目前主要的真實性和長期可讀性保障策略看，較為突出的矛盾有以下兩點(diǎn)：

（1）憑證信息的應(yīng)用與長期保存之間的矛盾

無論是數(shù)字簽名、時間戳還是電子檔案身份標(biāo)識，這些措施中所使用的技術(shù)背后都有較為復(fù)雜的實現(xiàn)機(jī)制，離不開第三方機(jī)構(gòu)提供的信任認(rèn)證。由于這些技術(shù)的應(yīng)用本不是以長期保存為目標(biāo)，因此并不能保證具備長期生效的能力。具體而言，電子檔案真實性的根本在于信任，檔案保管的長期性則要求維持這種信任。在真實性方面，現(xiàn)有策略中，電子檔案真實性保障的關(guān)鍵依賴于憑證信息；在長期可讀方面，最為理想的策略則要求檔案信息數(shù)據(jù)不依賴于特定的軟硬件，能夠做到自我解析。然而問題在于，目前憑證信息的外部驗證機(jī)制難以達(dá)到長期保存對于電子檔案信息數(shù)據(jù)“獨(dú)立性”的要求，因而難以做到長期保存和長期有效。一方面，在目前普遍應(yīng)用的基于PKI體系的數(shù)字簽名技術(shù)中，離不開以數(shù)字證書為基礎(chǔ)的公鑰信任，而數(shù)字證書具有時效性，數(shù)字證書過期失效意味著數(shù)字簽名無法被認(rèn)證。盡管增加使用時間戳可以證明數(shù)字簽名在證書過期之前是有效的，彌補(bǔ)了數(shù)字證書時效性的局限，同時可以證明電子檔案未被篡改。但數(shù)字簽名和時間戳的應(yīng)用是零散性的，即每一個責(zé)任主體在執(zhí)行一項重要行為后，如在歸檔、鑒定、處置、移交等環(huán)節(jié)，可能都需要使用數(shù)字簽名和時間戳。因此，在電子檔案的保管過程中，為了明確責(zé)任主體和形成完整保管鏈，可能會形成多個數(shù)字簽名與時間戳，電子檔案會具有多個形成于不同主體和不同時間的憑證信息。如何對多套憑證信息進(jìn)行管理是需要解決的問題。另一方面，電子檔案身份標(biāo)識的特點(diǎn)在于，標(biāo)識作為憑證信息具有唯一性，可用于電子檔案原始內(nèi)容的反復(fù)驗證，并主要通過元數(shù)據(jù)分類管理來實現(xiàn)保管過程的記錄。［37］但電子檔案身份標(biāo)識的長期保存以及管理性元數(shù)據(jù)的封裝問題仍然有待進(jìn)一步解決。

（2）元數(shù)據(jù)更新與檔案封裝之間的矛盾

在電子檔案管理過程中，為了確保檔案保管鏈完整，管理性的動態(tài)元數(shù)據(jù)需要被不斷添加到電子檔案元數(shù)據(jù)中，而電子檔案長期可讀的策略主張將電子檔案及其元數(shù)據(jù)進(jìn)行封裝。因此，如果需要對電子檔案元數(shù)據(jù)進(jìn)行整體封裝，元數(shù)據(jù)更新會使得檔案信息包面臨反復(fù)封裝。協(xié)調(diào)電子檔案真實性與長期可讀性的保障需求，需要進(jìn)一步完善元數(shù)據(jù)管理與封裝方案。實際上，電子檔案長期可讀所要求的可解析性主要是針對檔案內(nèi)容和自然屬性元數(shù)據(jù)而言的。從微觀層面上看，目前的電子檔案元數(shù)據(jù)項目紛繁復(fù)雜，實踐中并非所有元數(shù)據(jù)都具有長期保存的必要性。因此，一方面，對電子檔案元數(shù)據(jù)進(jìn)行區(qū)別分類是必要的，應(yīng)該明確不同元數(shù)據(jù)對于真實性管理和長期可讀的作用，據(jù)此優(yōu)化電子檔案的信息封裝方式與長期保存方法。另一方面，還應(yīng)進(jìn)一步完善電子檔案的封裝方式，在元數(shù)據(jù)管理的基礎(chǔ)上，尋求滿足元數(shù)據(jù)更新需求的封裝方法，兼顧基于元數(shù)據(jù)的真實性管理和基于封裝的長期保存要求。在電子檔案管理系統(tǒng)中，電子檔案保管階段主要存在真實性與長期可讀性保障需求難以協(xié)調(diào)的問題，導(dǎo)致電子檔案的安全保障仍然面臨許多內(nèi)在的漏洞和風(fēng)險。要真正實現(xiàn)電子檔案的“長期真實性”保管，應(yīng)進(jìn)一步明確電子檔案實體、憑證信息和保管過程元數(shù)據(jù)三類對象的保存與應(yīng)用需求，兼顧電子文件歸檔和電子檔案移交的現(xiàn)實需要，完善保管階段的安全保障策略。

3電子檔案利用階段的安全保障

電子檔案復(fù)制傳遞的高保真性、信息與載體的可分離性等特點(diǎn)，在給檔案管理者和利用者帶來方便的同時，也存在容易泄密、復(fù)制、擴(kuò)散和損壞等安全隱患。因此，在電子檔案提供利用的過程中，既要保護(hù)檔案原件不受損壞，也要控制檔案信息的利用范圍，防止泄密。

3.1副本利用，保障實體安全

在紙質(zhì)條件下，對于一個檔案室而言，要形成一套完整的、同質(zhì)載體的紙質(zhì)檔案副本，幾乎是不可能實現(xiàn)的。因為這樣做意味著要建立一個與已有室藏規(guī)模相當(dāng)?shù)膸旆?，并且需要投入大量時間進(jìn)行復(fù)制，時間、管理與經(jīng)費(fèi)的投入幾乎都是翻倍的。但對于電子檔案管理系統(tǒng)而言，形成一套完整的電子檔案副本則相對容易許多。《電子公文歸檔管理暫行辦法》等法規(guī)標(biāo)準(zhǔn)中都要求，區(qū)別于封存保管的電子檔案，應(yīng)拷貝形成一套電子檔案專門提供查閱利用?？紤]到業(yè)務(wù)部門對電子檔案的經(jīng)常性利用多以查閱信息解決問題為主要目的，相對而言對其憑證性要求并不突出，為了避免電子檔案原件在利用過程中遭到損壞或篡改，可以抽取電子檔案內(nèi)容信息形成電子檔案副本以供查詢和利用。電子檔案副本的內(nèi)容與電子檔案完全一致，可以滿足業(yè)務(wù)部門一般的信息利用需求。［38］在生成電子檔案副本以供利用時，可以根據(jù)實際情況采用不同方式。第一種是在歸檔時，系統(tǒng)自動抽取電子檔案內(nèi)容信息形成一份電子檔案副本并加以保管，在查詢與利用時直接調(diào)取電子檔案副本。采用這種方式，電子檔案管理系統(tǒng)中可以建立單獨(dú)的利用數(shù)據(jù)庫，用以存放所有電子檔案副本，電子檔案原件及其元數(shù)據(jù)則打包封存于保存數(shù)據(jù)庫中，兩個數(shù)據(jù)庫分開管理。在進(jìn)行檔案編研、提供利用等活動時只需調(diào)取利用數(shù)據(jù)庫中的檔案副本，有利于維護(hù)檔案實體安全。電子檔案被移交到檔案館之后，電子檔案副本仍然可以保留在電子檔案管理系統(tǒng)中，以備提供日常利用。第二種是在利用者發(fā)出檔案利用請求時，系統(tǒng)根據(jù)請求自動抽取相應(yīng)的電子檔案生成副本后提供利用，利用結(jié)束之后，電子檔案副本被自動清除，這種方式被稱為根據(jù)利用需求“動態(tài)打包”。這種方式可以大大節(jié)省系統(tǒng)的存儲空間，節(jié)省存儲成本，但對系統(tǒng)性能要求較高。綜合而言，第一種方式要求電子檔案管理系統(tǒng)具有較大的存儲空間，但對于當(dāng)下還未真正與數(shù)字檔案館實現(xiàn)互聯(lián)互通的電子檔案管理系統(tǒng)而言，可以相對完整地保留本單位形成的檔案信息資源，為前端業(yè)務(wù)部門的檔案利用提供便利。在真正實現(xiàn)了數(shù)字檔案室與數(shù)字檔案館互聯(lián)互通的情況下，電子檔案移交到數(shù)字檔案館后，前端業(yè)務(wù)部門利用電子檔案時可以直接從數(shù)字檔案館獲取，此時數(shù)字檔案室也無需再保留已移交的電子檔案副本了，這將極大地節(jié)省數(shù)字檔案室的系統(tǒng)存儲空間與成本，大大提高資源的利用效率。

3.2三權(quán)分立，保障信息安全

針對電子檔案的利用，要求電子檔案能夠在檔案管理系統(tǒng)中安全運(yùn)行和流轉(zhuǎn)，保證合法用戶的合理使用以及禁止非法用戶的訪問，使電子檔案信息免遭破壞、更改或非法拷貝等。［39］要實現(xiàn)利用過程的安全保障，就要確保訪問合法、利用合理、全程記錄。具體而言，要做到以下三點(diǎn)：一是劃分訪問與利用權(quán)限，通過訪問控制技術(shù)避免權(quán)限擴(kuò)散；［40］二是控制利用行為，通過文件保護(hù)技術(shù)、版權(quán)保護(hù)技術(shù)等控制用戶對電子檔案內(nèi)容的非法篡改、傳播、偽造、侵權(quán)等不合理利用行為；［41］三是對電子檔案利用全過程實行跟蹤記錄，利用審計跟蹤技術(shù)進(jìn)行全程監(jiān)控，提供事后對非法行為的追溯回查。［42］這三點(diǎn)要求實質(zhì)上對應(yīng)了利用系統(tǒng)中的三個角色———系統(tǒng)管理員、安全管理員和安全審計員。依據(jù)國家保密標(biāo)準(zhǔn)BMB20-2007《涉及國家秘密的信息系統(tǒng)分級保護(hù)管理規(guī)范》的有關(guān)規(guī)定，電子檔案利用系統(tǒng)應(yīng)該配備系統(tǒng)管理員、安全管理員和安全審計員三類安全保密管理人員，分別負(fù)責(zé)系統(tǒng)運(yùn)行、安全管理和安全審計工作。三類人員之間相互獨(dú)立、相互制約，實現(xiàn)三權(quán)分立，以保障電子檔案利用系統(tǒng)的安全。［43］（1）系統(tǒng)管理員系統(tǒng)管理員負(fù)責(zé)對訪問利用的角色和用戶進(jìn)行設(shè)置。具體而言，系統(tǒng)管理員根據(jù)本單位情況，設(shè)置相應(yīng)的用戶角色，指定其功能權(quán)限，即為不同的利用者創(chuàng)建不同的利用賬號。利用者根據(jù)所分配的賬號登錄電子檔案利用系統(tǒng)進(jìn)行查詢與利用。（2）安全管理員安全管理員負(fù)責(zé)對角色和用戶進(jìn)行授權(quán)，將角色權(quán)限與數(shù)據(jù)對象關(guān)聯(lián)起來，并進(jìn)行數(shù)據(jù)的備份。具體而言，即根據(jù)用戶角色的權(quán)限，配置其所能操作的相應(yīng)數(shù)據(jù)對象。當(dāng)利用者發(fā)起查詢與利用操作時，系統(tǒng)自動根據(jù)利用者的身份及其所匹配的權(quán)限級別返回結(jié)果，不在利用者的權(quán)限范圍內(nèi)的信息內(nèi)容則不予顯示。同時，可以利用數(shù)字水印、網(wǎng)頁控件技術(shù)等，對電子檔案的瀏覽權(quán)限、打印權(quán)限、下載權(quán)限等分別進(jìn)行嚴(yán)格的控制，［44］做到定點(diǎn)———只能在某臺機(jī)器上打開，定人———只能由某個用戶使用自己的口令打開，定時———只能在固定的時間段內(nèi)打開，定次———只能打開固定的次數(shù)。同時，還可以實行防復(fù)制、防下載、防打印等。［45］（3）安全審計員安全審計員負(fù)責(zé)全程審計跟蹤電子檔案利用過程。具體而言，一是對系統(tǒng)管理員和安全管理員的行為進(jìn)行審計跟蹤，確認(rèn)系統(tǒng)管理員和安全管理員的操作行為合法、合規(guī)；二是對安全管理活動的相關(guān)信息進(jìn)行識別、記錄、存儲和分析，記錄、存儲用戶的利用行為，并對惡意攻擊行為進(jìn)行識別和處理，及時發(fā)現(xiàn)和阻止各種來自外部的非法入侵行為以及內(nèi)部用戶的非授權(quán)活動。檔案利用系統(tǒng)中三類管理員與利用流程的對應(yīng)關(guān)系如圖1所示。

3.3全程記錄，維護(hù)元數(shù)據(jù)完整

ISO23081-2中指出，檔案管理元數(shù)據(jù)必須具備:（1）檔案本身的元數(shù)據(jù)；（2）業(yè)務(wù)規(guī)則或政策及授權(quán)元數(shù)據(jù)；（3）責(zé)任者元數(shù)據(jù)；（4）業(yè)務(wù)活動或過程元數(shù)據(jù)；（5）檔案管理過程元數(shù)據(jù)；（6）有關(guān)元數(shù)據(jù)的元數(shù)據(jù)。［46］凡是用來描述電子檔案管理的元數(shù)據(jù)，沒有全部覆蓋以上范圍者，對于電子檔案管理的描述是欠缺完整的。［47］在副本利用方式下，電子檔案副本的形成、利用和管理是檔案利用過程元數(shù)據(jù)積累的主要來源，盡管這些元數(shù)據(jù)圍繞電子檔案副本而形成，但卻是電子檔案利用過程的重要記錄，應(yīng)該與電子檔案原件關(guān)聯(lián)，作為電子檔案利用情況的全程記錄。具體而言，一方面，在生成電子檔案副本的過程中，涉及責(zé)任主體和復(fù)制過程的相關(guān)信息十分重要，需要被保存下來，具體包括：檔案復(fù)制的日期及責(zé)任人，從生成者那里獲得的檔案與由保管者產(chǎn)生的拷貝之間的關(guān)系，復(fù)制過程對其形式內(nèi)容、可存取性及使用的影響等。另一方面，在副本的利用與管理過程中，所積累的元數(shù)據(jù)和檔案管理過程的元數(shù)據(jù)一起，共同組成電子檔案管理系統(tǒng)（檔案室）階段的管理過程元數(shù)據(jù)。也就是說，業(yè)務(wù)部門在利用檔案副本時會積累各種利用信息，檔案部門在管理檔案副本時也會積累各種保管信息，針對檔案副本形成的這些記錄需要被妥善保管，作為電子檔案利用與副本管理的元數(shù)據(jù)。這部分元數(shù)據(jù)主要包括利用權(quán)限、密級劃分、利用對象、利用時間、利用頻率等信息，它們以動態(tài)元數(shù)據(jù)的形式積累，反映了電子檔案的利用情況，可以為后續(xù)電子檔案的管理與利用提供依據(jù)。除此之外，電子檔案副本管理中產(chǎn)生的利用日志元數(shù)據(jù)，與電子檔案管理過程中產(chǎn)生的管理日志元數(shù)據(jù)一樣，［48］都是電子檔案“從其生成時就已遭受的各種變化的信息”，［49］應(yīng)該得到妥善保管。在電子檔案移交給檔案館時，副本管理的利用日志元數(shù)據(jù)可以與電子檔案封裝包關(guān)聯(lián)，提供給檔案館以作參考，輔助管理。

3.4電子檔案利用階段的安全保障要點(diǎn)

在電子檔案利用的過程中，應(yīng)該保護(hù)檔案的完整性和真實性，并確保涉密檔案信息不受侵害。［50］具體到電子檔案的管理中，其核心要點(diǎn)可以概括為以下兩個方面：（1）保護(hù)電子檔案實體與信息安全電子檔案管理系統(tǒng)作為檔案流動的“中部樞紐”，確保所接收的檔案完整、真實、可用是基本的業(yè)務(wù)要求，有此基礎(chǔ)，才能為前端業(yè)務(wù)部門提供真實有效的檔案信息資源，并為后端檔案館輸送真實、完整的檔案。因此，在提供利用的過程中，仍然應(yīng)該把確保電子檔案的真實性、完整性、安全性作為第一要務(wù)。這就包含兩個方面的內(nèi)容：一是保證電子檔案實體安全，使其不被破壞、不被丟失；二是保證電子檔案信息安全，使其不被越權(quán)利用、不被違規(guī)擴(kuò)散。同時，通過全程審計跟蹤記錄用戶的利用行為、系統(tǒng)管理員的操作行為，作為工作查證的依據(jù)，以供事后審核。目前在具體的操作中，提供電子檔案副本利用，可以確保電子檔案的實體安全。在檔案信息安全方面，則可以通過利用系統(tǒng)三權(quán)分立監(jiān)管檔案利用行為，從授權(quán)登錄、利用過程到全程審計對用戶的利用行為進(jìn)行監(jiān)控；結(jié)合使用身份認(rèn)證、審計跟蹤、文件保護(hù)、數(shù)字水印等技術(shù)，可以防止檔案信息的越權(quán)利用；還需根據(jù)利用者的利用請求與權(quán)限情況，只將權(quán)限范圍內(nèi)允許的檔案信息打包傳輸?shù)浇K端予以顯示，并嚴(yán)格監(jiān)控其利用行為。（2）保存完整的元數(shù)據(jù)加拿大律師肯•薩斯認(rèn)為：“電子檔案成為證據(jù)必須具備三個條件：一是記錄或存儲電子檔案的系統(tǒng)的完整性，二是電子檔案的真實性，三是電子檔案是在通常的、正常的業(yè)務(wù)過程中產(chǎn)生、處理和保存的?！保?1］簡單地說，就是要注重系統(tǒng)、電子檔案、形成過程這三個要素。［52］在電子檔案提供利用的過程中，保存利用過程中的元數(shù)據(jù)，記錄電子檔案信息資源的利用者、利用時間、利用頻率等具體的利用過程信息，一方面可以對電子檔案信息安全進(jìn)行跟蹤記錄，以備查考；另一方面也能夠為移交進(jìn)館之后的電子檔案管理活動提供參考依據(jù)。在電子檔案提供利用的過程中，同樣可以參考紙質(zhì)檔案利用的安全保障對策：一是副本利用，紙質(zhì)檔案利用在不要求憑證性的情況下會提供復(fù)制件以滿足一般的信息利用需求；在電子檔案利用中，則可以抽取電子檔案的內(nèi)容信息形成電子檔案副本以供查詢和利用，維護(hù)電子檔案原件實體。二是完整的元數(shù)據(jù)記錄，紙質(zhì)檔案利用中使用檔案利用登記表用以記錄檔案的利用情況；在電子檔案利用中，則需要對電子檔案副本的利用過程進(jìn)行全程審計跟蹤，并保存利用過程的元數(shù)據(jù)。除此之外，與紙質(zhì)檔案管理所不同的一點(diǎn)在于，在電子檔案管理系統(tǒng)中，需要以安全管理的三權(quán)分立為基礎(chǔ)來實現(xiàn)電子檔案的利用控制，設(shè)置系統(tǒng)管理員、安全管理員和安全審計員三類角色，對其安全管理權(quán)限進(jìn)行互相制約，以保證從用戶授權(quán)登錄、查詢利用和全程監(jiān)督審查的整個利用過程都處于可控范圍內(nèi)，防止對檔案信息資源的越權(quán)獲取、越權(quán)使用。

4電子檔案管理全流程的支撐性安全保障

電子檔案管理系統(tǒng)離不開面向檔案管理全流程的支撐性安全保障措施，用以鞏固電子檔案管理系統(tǒng)的安全管理。貫穿于檔案管理全流程的支撐性安全保障措施主要包括四性檢驗和檔案備份，二者與保管和利用中的階段性保障策略相輔相成，在電子檔案管理系統(tǒng)中共同保障電子檔案安全可控。

4.1四性檢驗，實現(xiàn)檔案質(zhì)量跟蹤

確保電子檔案真實、完整、可用、安全是電子檔案管理的核心要求。《電子文件管理暫行辦法》和《電子檔案移交與接收辦法》分別要求，在電子文件歸檔和電子檔案移交時，應(yīng)對電子文件和電子檔案的真實性（也稱“準(zhǔn)確性”）、完整性、可用性、安全性進(jìn)行檢測，這四點(diǎn)要求統(tǒng)稱為電子檔案“四性”。就其實質(zhì)內(nèi)容而言，實踐中的四性檢驗等同于檔案管理理論上的技術(shù)鑒定，貫穿于檔案管理全流程。四性檢驗的意義主要體現(xiàn)在兩個方面：一是控制檔案質(zhì)量，在歸檔、移交等工作中，以及在需要對電子檔案進(jìn)行遷移、格式轉(zhuǎn)換或傳輸?shù)那闆r下，都意味著存儲狀態(tài)、存儲系統(tǒng)和管理環(huán)境將發(fā)生變化，對檔案進(jìn)行四性檢驗可以使檔案接收方或新的保管環(huán)境掌握檔案質(zhì)量情況，對于不符合質(zhì)量要求的檔案，可以及時采取措施保障檔案安全可控，避免檔案質(zhì)量的進(jìn)一步損害；二是明晰交接責(zé)任，歸檔和移交都意味著檔案管理責(zé)任主體將發(fā)生變化，規(guī)范化的四性檢驗可以避免缺損檔案處理中的主體模糊，有利于明確處置職責(zé)，及時維護(hù)檔案安全。對于電子政務(wù)系統(tǒng)中的檔案管理而言，貫穿管理全程的四性檢驗實質(zhì)上是以動態(tài)的形式保障電子檔案安全。具體來說，真實性檢驗要求檔案目錄信息、內(nèi)容信息及相關(guān)數(shù)據(jù)信息準(zhǔn)確，及數(shù)據(jù)包規(guī)范；完整性檢驗要求數(shù)量和數(shù)據(jù)兩個方面的完整；可用性檢驗要求數(shù)據(jù)、內(nèi)容可讀，以及軟硬件環(huán)境滿足長期保存需求；安全性檢驗則要求檔案安全標(biāo)識規(guī)范，并要進(jìn)行病毒檢測、漏洞篩查等。四性檢驗在電子檔案整個生命周期中具有不同的應(yīng)用需求，在不同情況下，四性檢驗的側(cè)重點(diǎn)也有所區(qū)別。在具體操作中，可以根據(jù)管理主體和保管環(huán)境是否變化，通過檢驗功能組配，選擇必要的檢驗項目，達(dá)到情境化、高效率的檢驗效果。在電子檔案管理系統(tǒng)中，主要的四性檢驗節(jié)點(diǎn)有三個，分別是文件歸檔、檔案保管與檔案移交。在文件歸檔和檔案移交階段，因管理主體和保管環(huán)境都將發(fā)生變化，要對電子檔案進(jìn)行全面的四性檢驗。在檔案保管過程中，一方面，應(yīng)著重開展周期性的真實性、可用性檢驗，防止檔案被更改、不可讀；另一方面，在檔案利用、檔案遷移等情況下，則應(yīng)該著重開展完整性、安全性檢驗，防止檔案缺損或感染病毒。四性檢驗具有零散性的特點(diǎn)，在檔案管理全流程中，應(yīng)該根據(jù)具體環(huán)節(jié)中檔案內(nèi)容、檔案載體、系統(tǒng)環(huán)境、管理主體變化情況，選擇具有針對性的檢驗內(nèi)容，并及時執(zhí)行檢驗。四性檢驗也具有系統(tǒng)性的特點(diǎn)，在檔案管理全流程中，不同環(huán)節(jié)的四性檢驗具有不同的側(cè)重點(diǎn)，與不同階段的檔案管理工作需求相契合，可以對電子檔案全生命周期的質(zhì)量控制進(jìn)行全程保障。

4.2檔案備份，提供檔案全程保障

數(shù)據(jù)備份是信息安全保障重要的支撐性措施，在檢驗性、確認(rèn)性安全措施的基礎(chǔ)上，數(shù)據(jù)備份可及時、有效地彌補(bǔ)數(shù)據(jù)缺損、數(shù)據(jù)失真和數(shù)據(jù)丟失等漏洞，甚至在面臨自然災(zāi)害、系統(tǒng)故障等情況時，也可以通過備份數(shù)據(jù)的恢復(fù)重建信息資源。在傳統(tǒng)檔案管理中，異質(zhì)、異地備份是檔案安全保障的重要措施，對電子政務(wù)系統(tǒng)中的檔案管理而言同樣如此。所不同的是，電子檔案備份不再僅以支持災(zāi)難預(yù)案為目的，而更加突出檔案保管、檔案利用等環(huán)節(jié)的安全需求，以為電子檔案管理全流程“護(hù)航”為目的。電子檔案備份應(yīng)伴隨電子檔案全生命周期而存在，與數(shù)字遷移、副本利用、四性檢驗等措施相結(jié)合，構(gòu)建更為穩(wěn)固的電子檔案安全保障。電子檔案備份工作越來越受到重視。在戰(zhàn)略規(guī)劃方面，《2006-2020國家信息化發(fā)展戰(zhàn)略》關(guān)于建設(shè)國家信息安全保障體系的要求中明確應(yīng)重視備份建設(shè)；2009年全國檔案工作會議以及2009年、2010年全國局館長會議都強(qiáng)調(diào)檔案安全備份的重要性，提出對電子檔案實行異質(zhì)、異地備份。在法規(guī)標(biāo)準(zhǔn)方面，《電子文件管理暫行辦法》、《電子公文歸檔管理暫行辦法》、《電子文件歸檔與管理規(guī)范》（GB/T18894-2002）、《CAD電子文件光盤存儲、歸檔與檔案管理要求》（GB/T17678.1-1999），都明確電子檔案管理應(yīng)建立備份，要求電子檔案實行三套保管，一套封存保管，一套提供利用，一套異地保存。目前，以電子檔案安全保管為目的的備份主要采取異質(zhì)、異地備份相結(jié)合的策略；以電子檔案安全利用為目的，則主要采取異質(zhì)備份策略。電子檔案異地備份的實施策略與傳統(tǒng)條件下大體相同。對于電子檔案異質(zhì)備份而言，從備份介質(zhì)上看，包括磁盤陣列、磁帶機(jī)、光盤、硬盤等多種設(shè)備，應(yīng)當(dāng)結(jié)合實際情況加以選擇。然而，最為理想的做法是，對于適宜長期保存的載體，應(yīng)對電子檔案進(jìn)行同質(zhì)、異地備份，這將更有利于電子檔案保真。電子檔案管理系統(tǒng)中的檔案備份與檔案館備份措施之間的關(guān)系需要進(jìn)一步明確。

在傳統(tǒng)紙質(zhì)檔案管理中，檔案備份并不是機(jī)關(guān)檔案室的主要工作內(nèi)容，備份工作主要由檔案館承擔(dān)。在電子檔案管理中，由于電子檔案具有數(shù)字化信息的不穩(wěn)定性特點(diǎn)，出于基本的信息安全考量，在電子檔案管理系統(tǒng)中也需要對電子檔案進(jìn)行備份。與傳統(tǒng)紙質(zhì)檔案管理相比，電子檔案的備份工作應(yīng)該提前到歸檔后的檔案保管階段，并且備份應(yīng)隨電子檔案一同移交至檔案館。在檔案室與檔案館之間，電子檔案的備份工作應(yīng)該具有連續(xù)性。首先，電子檔案管理系統(tǒng)需要進(jìn)行檔案備份，這是計算機(jī)網(wǎng)絡(luò)與信息系統(tǒng)管理條件下的基本要求，同時國家《數(shù)字檔案室建設(shè)指南》中也作了明確建議，因此電子檔案管理系統(tǒng)進(jìn)行電子檔案備份是電子檔案管理的基礎(chǔ)性需要。其次，在實際工作中，一些電子檔案管理系統(tǒng)在向檔案館進(jìn)行電子檔案移交時，往往是異質(zhì)多載體、多套移交，在本質(zhì)上已經(jīng)實現(xiàn)了電子檔案及其備份的同時移交。再次，通過調(diào)研得知，對于檔案館而言，館藏電子檔案的數(shù)量往往是數(shù)百T級別甚至更大，完全由檔案館承擔(dān)從無至有的電子檔案備份，其工作量是巨大的，進(jìn)行一次省級綜合檔案館館藏的完全備份有時需要一個月甚至更久。因此，基于高效率、集約化以及安全保障管理的綜合考量，我們認(rèn)為，應(yīng)當(dāng)在電子文件歸檔后，對電子檔案進(jìn)行備份，并在電子檔案管理系統(tǒng)內(nèi)，實行科學(xué)的備份機(jī)制；在向檔案館移交電子檔案時，一并移交經(jīng)過周期性維護(hù)的備份檔案，以及備份管理的日志記錄等。這不僅有利于電子檔案管理系統(tǒng)開展規(guī)范化的備份管理，在電子檔案交接后，也有利于檔案館對備份檔案開展連續(xù)性管理，避免不必要的重復(fù)備份，在一定程度上有助于提高檔案館的工作效率。電子檔案的四性檢驗與檔案備份對于電子檔案管理全流程的安全保障具有支撐性作用。保管與利用階段的安全保障措施側(cè)重對電子檔案進(jìn)行階段性的直接保護(hù)和監(jiān)管，而支撐性的安全保障措施則貫穿于電子檔案管理全程，提供面向全流程的保障。四性檢驗作為綜合性的檢測措施，可以實現(xiàn)檔案質(zhì)量的跟蹤，并為管理結(jié)點(diǎn)與交接環(huán)節(jié)提供基礎(chǔ)而必要的安全保障；檔案備份則可以切實起到電子檔案的安全保障作用，尤其在發(fā)現(xiàn)檔案數(shù)據(jù)缺損或丟失時，完善的備份恢復(fù)機(jī)制是目前保障檔案實體安全的最佳對策。

5結(jié)語

研究檔案信息安全保障問題，是解決電子檔案“保得住”的關(guān)鍵，是開展檔案資源整合與利用、聯(lián)通與共享、移交與長期保存等后續(xù)工作的重要前提。電子檔案管理的安全保障應(yīng)該在信息安全的基礎(chǔ)上，結(jié)合檔案管理的流程特點(diǎn)與業(yè)務(wù)需求，提煉安全保障的關(guān)鍵要點(diǎn)，尋求更加契合檔案管理實際的安全保障對策。本文以電子政務(wù)系統(tǒng)中的檔案保管與利用為框架，分別對這兩個階段以及電子檔案管理全流程的支撐性安全保障策略與要點(diǎn)進(jìn)行了梳理和分析。電子檔案的安全保障應(yīng)當(dāng)具有連貫性，并與管理流程緊密結(jié)合。綜合而言，電子檔案保管階段應(yīng)關(guān)注憑證信息的長期保存以及檔案封裝方式，協(xié)調(diào)真實性與長期可讀性的保障要求；電子檔案利用階段應(yīng)關(guān)注電子檔案的副本利用及其元數(shù)據(jù)的管理；對于電子檔案管理全流程而言，則應(yīng)關(guān)注四性檢驗的實施方案，以及電子檔案管理系統(tǒng)進(jìn)行電子檔案備份及其移交的模式與方法。雖然不同的電子檔案管理系統(tǒng)需要根據(jù)實際情況采取不同的安全保障策略，但基于共性的檔案管理流程，梳理共性的安全保障需求與要點(diǎn)，可以充實檔案安全保障的實際內(nèi)容，從而更好地有的放矢，根據(jù)實際需求選用適宜的技術(shù)和管理方法，完善電子檔案系統(tǒng)中的檔案管理安全保障。

作者：陳永生 蘇煥寧 楊茜茜 侯衡 單位：中山大學(xué)資訊管理學(xué)院大數(shù)據(jù)研究院 / 檔案科學(xué)技術(shù)研究院