電子文件信息安全管理評估體系研究

戚昊軼

摘 要：構(gòu)建完備的電子文件信息安全保障體系，確立科學的安全保障策略，是電子文件信息安全和組織業(yè)務(wù)持續(xù)發(fā)展的重要保證。論文在分析影響電子文件信息安全因素的基礎(chǔ)上，提出了電子文件信息安全保障體系框架，該框架包括管理策略和技術(shù)措施兩模塊，從不同角度、不同側(cè)重點為電子文件提供安全保障。

關(guān)鍵詞：電子文件；信息安全；評估體系

引言

隨著信息技術(shù)的發(fā)展，電子文件的 數(shù)量不斷增長，并逐步取代傳統(tǒng)紙質(zhì)文件。但電子文件的數(shù)字信息特點也帶來了不同于紙質(zhì)文件的信息安全風險。在電子文件的整個生命周期中，如何科學地整合各種計算機信息安全技術(shù)，構(gòu)建完整的技術(shù)體系以確保電子文件的信息安全，是電子文件管理工作中需要研究的重要問題。

一、影響電子文件信息安全的主要因素

1、電子文件的不穩(wěn)定性

電子文件具有一定的不穩(wěn)定性，主要體現(xiàn)在：第一，存儲電子文件的設(shè)備和電子文件是可以相互分離的。就電子文件信息而言，它對存儲載體沒有什么特別的要求，人們完全可以將信息存儲在不同的載體上。但是，需要注意的是，當信息從一個載體轉(zhuǎn)移到另一個載體時，信息的完整性有可能無法得到保證，有時還可能丟失一部分信息。和紙質(zhì)的文件相比，這是電子文件的劣勢。第二，人們可以非常容易的對電子文件執(zhí)行一定的操作，如修改、刪除等。這個特性的優(yōu)勢在于：人們可以比較簡單的對電子文件進行管理，如更新相關(guān)數(shù)據(jù)等。同時，該特性也使得電子信息具有一定的劣勢，那就是任何人員都可以對電子文件信息開展一定的操作，這不利于保障電子信息的安全。

2、電子文件對系統(tǒng)的依賴性

電子文件的制作、處理，以至歸檔后的全部管理活動都必須借助于計算機系統(tǒng)才能實現(xiàn)，離開了電子計算機軟、硬件平臺的支持，電子文件將不復(fù)存在。一般說來，不兼容的計算機和應(yīng)用軟件所生成的電子文件之間是難以互換使用的，而隨著科學技術(shù)的不斷發(fā)展，計算機及其軟件更新速度不斷加快，就可能會出現(xiàn)：作為電子文件載體之一的光盤保存完好，但其中存貯的電子文件信息已難以完整準確地讀出。

3、不安全網(wǎng)絡(luò)

不安全的網(wǎng)絡(luò)也同樣會讓政府和社會擔憂，因為網(wǎng)絡(luò)存在許多不確定因素，網(wǎng)絡(luò)的安全問題一直是困擾網(wǎng)絡(luò)發(fā)展的最重要的問題，網(wǎng)絡(luò)在發(fā)展的過程中常常會伴隨各種各樣的安全問題，而且很多安全問題是不可避免的，因為安全技術(shù)的有限，一些違法犯罪分子容易利用黑客竊取國家和社會的重要機密文件，給社會和國家造成一定的困擾，而且網(wǎng)絡(luò)上還有許多莫名的病毒等等，這些都是網(wǎng)絡(luò)安全隱患。

4、技術(shù)障礙

在電子文件信息的產(chǎn)生和存儲過程中，操作人員起著關(guān)鍵作用。筆者認為電子文件信息面臨的技術(shù)障礙主要包括：第一，“黑客 ”攻擊。在黑客的蓄意攻擊之下，電子文件信息很有可能出現(xiàn)泄露現(xiàn)象，或者信息遭到惡意篡改等；第二，計算機病毒。計算機病毒可以為系統(tǒng)帶來一定的破壞，如毀壞文件的原有分區(qū)結(jié)構(gòu)、刪除數(shù)據(jù)等；第三，設(shè)備故障和失效。如果相關(guān)設(shè)備出現(xiàn)了一定的故障，如電源損壞等，此時電子文件信息就非常有可能出現(xiàn)丟失現(xiàn)象；第四，計算機操作平臺漏洞。操作系統(tǒng)的存在對于電子文件是非常關(guān)鍵的，如果操作系統(tǒng)出現(xiàn)了問題，那么電子文件信息也就會受到影響。

二、電子文件信息安全管理評估體系框架

1、管理策略

1.1建立健全電子文件安全保護管理規(guī)范

電子文件安全保護管理規(guī)范包含很多方面，其中擺在首位便是崗位職責制，有了崗位分工，能有效避免職能錯位，無論對電子文件的查閱，利用，還是對它的安全管理來說，都可以做到從源頭上保證電子文件的使用權(quán)限，從而也能有效避免電子文件遭受惡意破壞與利用；第二，施行電子文件利用比占，實時記錄電子文件整個管理過程，做到何時何地都確保利用文件的權(quán)限，這樣能及時跟蹤電子文件，做到“心中有數(shù)”；第三，及時完善電子文件的背景信息，也是做好電子文件安全的一項重要措施。通過背景信息，可以通過計算機內(nèi)容的磁盤記錄來查看，這樣對電子文件管理情況則更加準確。

1.2管理密鑰

為使合法用戶得到有效地驗明，避免無關(guān)人員進入，就需要充分的結(jié)合技術(shù)措施和管理策略以及法律制度，使三者融合為一體，在系統(tǒng)中搭建安全系統(tǒng)，訪問電子文件或數(shù)據(jù)，構(gòu)建系統(tǒng)驗證用戶身份保障體系，是電子文件信息安全得到根本保證的必要手段。運用用戶密碼驗證等方面，確保使用者的文件安全，最常用的方法就是成立安全組織機構(gòu)。為確保計算機信息系統(tǒng)安全，對其合法用戶組成由數(shù)字或字母或特定符號形成的“通行字”小組，有專職或兼職安全員對網(wǎng)絡(luò)的安全保護進行負責，這樣有利于驗證用戶的身份。并有利于把本部門安全組織工作情況定期通報給安全管理機關(guān)。

2、技術(shù)措施

2.1技術(shù)保護

對于電子文件信息來說，能夠維護其原始性和真實性以及安全性，發(fā)揮至關(guān)重要作用的就是信息安全技術(shù)。這方面的信息安全技術(shù)目前主要有：1）簽署技術(shù)。為使電子文件信息能夠確保真實性和安全性，自2005年4月1日《電子簽名法》在我國開始被實施，“數(shù)字簽名密鑰技術(shù)”屬于通用技術(shù)。具有證書式和手寫式兩種數(shù)字簽名。目的是對電子文件進行證實，所屬權(quán)確實歸作者所有，他人不能任意改動其內(nèi)容。不能非法變更電子文件數(shù)字信息。2）加密技術(shù)。為使電子文件內(nèi)容得到保密，采用加密讀性。為使“可讀性”問題被解決，采用備份電子文件信息技術(shù)也極為必要。加密電子文件具有多種方法，通常在傳輸過程中內(nèi)容的遷移更新是以信息媒體的更新為依據(jù)的，以避免未來的不可讀取。加密往往運用“雙密鑰碼”，就是每一個加密通信者設(shè)置兩個密碼

2.2身份驗證技術(shù)

為了防止無關(guān)人員進入系統(tǒng)對文件或數(shù)據(jù)訪問，有些系統(tǒng)需要對用戶進行身份驗證。當用戶要求進入系統(tǒng)訪問時，首先輸入自己的通行字，計算機自動將這個通行字與存儲在機器中有關(guān)該用戶的其它資料進行比較驗證，如果驗明他為合法用戶，可接受他進入系統(tǒng)對相關(guān)的業(yè)務(wù)訪問，如果驗證不合格，該用戶就會被拒之系統(tǒng)門外。

2.3備份技術(shù)

建立電子文件備份系統(tǒng)是保障電子文件安全最根本的技術(shù)措施之一。電子文件的備份系統(tǒng)分三個層次：（1）硬件級備份，即利用多余硬件來保證系統(tǒng)在出現(xiàn)故障時連續(xù)運行。（2）軟件級備份，即將系統(tǒng)數(shù)據(jù)保存到其它介質(zhì)上，當系統(tǒng)出錯時可以將系統(tǒng)恢復(fù)到備份時的狀態(tài)。（3）人工級備份，即用手工操作實現(xiàn)備份。

2.4訪問控制

訪問控制的目的是杜絕電子文件的非法利用和蓄意破壞，從而對信息的安全起了保護的作用，可以用身份驗證、防火墻等方式來控制。身份驗證是為防止未授權(quán)者進入系統(tǒng)對文件或數(shù)據(jù)訪問，在用戶登錄或?qū)嵤┠稠棽僮髦?，系統(tǒng)將對某身份進行驗證，并根據(jù)實現(xiàn)的設(shè)定來決定是否許可。通常給每一個合法的用戶通行證，如果驗明身份合法，可接受他進入系統(tǒng)對相關(guān)的業(yè)務(wù)訪問，否則就被拒之門外。防火墻是單位與網(wǎng)絡(luò)群體之間有效的安全防范體系，在局域網(wǎng)和外界網(wǎng)絡(luò)連接的通道之間設(shè)置障礙，阻止其他系統(tǒng)的網(wǎng)上用戶對局域網(wǎng)內(nèi)的信息非法訪問，也阻止內(nèi)部信息從網(wǎng)絡(luò)上非法輸出，保護電子文件的原始性和真實性。

三、結(jié)語

信息社會的需求就是信息量極大。為了適應(yīng)這種需求，電子文件應(yīng)運而生。本文在詳細分析了電子文件的特點及使用狀況的基礎(chǔ)上針對檔案館的實際情況，指出了目前檔案館電子文件存在的安全問題，并根據(jù)實際情況提出了一些電子文件信息安全的保障措施。

參考文獻：

[1]張智慧.我國電子政務(wù)信息安全存在的問題及對策研究[D].湘潭大學，2016.

[2]洪茹.電子政務(wù)信息安全存在的問題及應(yīng)對策略[J].通訊世界，2016，（07）：284-285.