电子文件信息安全管理
2015-04-11安徽大学管理学院王琪
文/安徽大学管理学院 王琪
一、引言
随着现代信息技术的迅猛发展,互联网已然走进了生活中的各个领域,商业、金融、政府工作等都离不开现代网络技术,电子文件的利用也成为时代的热潮,然而电子文件在带给人们诸多便利的同时,由于其自身所具有的信息与特定载体可分离、系统依赖性等特性,使得电子文件的信息安全难以得到保障。因此,有必要对电子文件的信息安全进行相应的管理,采取一定的管理手段、技术措施、法律法规等以保证电子文件信息的完整性不被篡改,机密性不被泄露,并同时保证其可用性。
二、电子文件信息安全管理概述
国际标准化组织(ISO)对信息安全的定义是:“在技术上和管理上为数据处理系统建立的安全保护,保护计算机硬件、软件和数据不因偶然和恶意的原因而遭到破坏、更改和泄露。”相应地,信息安全管理就是指对组织所有的信息资产进行管理和保护,对维护信息完整性、机密性、可用性的活动进行指导和规范。从以上两个概念出发,结合电子文件的特性和定义及其与管理相关的概念,可以得到电子文件信息安全是指保证电子文件信息的完整性、机密性和可用性,电子文件信息安全管理则是电子文件的管理者通过采取一定的制度手段和技术措施等,对电子文件流转各环节中可能产生的风险或漏洞进行控制以实现保证电子文件信息的完整性、机密性和可用性的目标。
三、电子文件信息安全现状及挑战
(一)电子文件信息安全现状。在当今世界,电子文件已经成为沟通联系不可或缺的一种工具,人与人之间的私密、企业之间的商业秘密甚至国家的机密都可能借助电子文件这种工具进行传递,这对电子文件的安全性、可靠性提出了更高的要求。然而,近几年来,电子文件信息安全现状却不容乐观,入侵条件越来越简单,攻击技术越来越复杂,给电子文件信息安全带来了日益增长的威胁。有关电子文件信息泄密的事件数量逐年增长且破坏性不断增强。笔者搜集了2010年—2014年间具有重大社会影响力和代表性的信息泄密事件,经过对这些泄密事件的分析比较,认为可根据泄密原因将其分为三类,分别是:1、恶意外来侵害导致的信息泄密,如黑客攻击等;2、内部泄密导致的信息损失,代表性事件如小米论坛用户资料泄露,范围涉及800万注册用户;3、软件漏洞,代表性事件如搜狗手机输入法漏洞导致大量用户信息泄露等。这些信息泄密事件对于电子文件具有重大的影响和警示意义,电子文件的产生、运行和传递等多个环节都是在网络环境中进行的,在当今网络环境纷繁复杂的背景下,电子文件面临着诸多威胁,存在着诸多安全问题,笔者认为在电子文件与人类日常生活的联系日益密切的情况下,对电子文件信息安全进行管理以尽可能减少信息泄密事件无论是对于国家、政府机关、企事业单位还是个人都具有重大而深远的意义。
(二)电子文件信息安全存在问题的原因。关于电子文件的信息安全,可以从两个层面加以考虑,首先是电子文件的物理安全,比如电子文件载体的安全,其次是电子文件自身内容的安全和保密。从这两个层面出发进行考虑,可将电子文件信息安全存在问题的原因主要归结为环境因素和人为因素,同时要结合电子文件自身所具有的特性来进行分析。
1.环境因素。环境因素主要是指存放电子文件的外界环境的不利变化,如突然的断电、静电、灰尘、湿度、温度、鼠蚁虫害、电磁干扰的损害和洪灾、火灾、地震等不可抗力的危害,以及软件、硬件、数据、通讯线路等方面的故障。所有的电子文件都存放在一定的环境中,电子文件的安全与周围环境的关系可谓息息相关,良好的环境能够为电子文件的长久保存和安全保管提供有力的支持,相反,如果出现不利的环境因素或保存电子文件的环境本身存在很多安全上的漏洞,那么,无论是以上列举的哪一种不利因素发生,都会给电子文件带来毁灭性的打击,电子文件内的信息就很可能缺损甚至丢失,若不采取一定的保护措施,电子文件的信息安全很难得到保证。
2.人为因素。对人为因素可进一步细分为恶意人为因素和非恶意人为因素。笔者认为,这二者都可最终归结为技术上的障碍以及管理上的疏漏。
表1 电子文件信息安全存在问题的人为因素
3.内在因素。内在因素是指电子文件由于其自身具备一些不利于保证其完整、准确、可读的特性,从而使其在长期的保管和利用过程中安全性很难得到保障。根据冯惠玲老师的观点,电子文件具有信息的非人工识读性、系统依赖性、信息与特定载体之间的可分离性、信息的易变性、信息存储的高密度性、多种信息媒体的集成性、信息的可操作性等七大特性,这些特性也是电子文件在信息安全方面存在隐患的重要原因。
众所周知,在传统纸质文件中,内容与载体之间的联系非常紧密,文件内容不能脱离载体而单独存在。没有了特定的载体,文件内容将无所依附,也就无法呈现出来供人们识读从而获取其中的信息,同样的,若只有载体而没有内容信息,这份文件同样是没有价值的,并且,当内容信息固定在某一特定载体之后,就不会发生改变和迁移。也就是说,传统纸质文件中,内容与载体之间是密切联系的有机整体,缺一不可,二者共同构成一份完整的纸质文件。然而电子文件在这一方面与纸质文件存在着极大的不同,电子文件的信息与特定载体之间的联系没有那么密切,二者可以相互分离,彼此独立存在,这也是电子文件的一个重要特性——信息与特定载体之间的可分离性。也就是说,电子文件的信息可以从某一特定载体转移到另一载体,在这种转移的过程中,由于电子文件信息脱离了载体的束缚,这种独立性使得电子文件信息更改容易且不易察觉,因此电子文件的原始性、完整性、真实性很难得到保障。
其次,电子文件与纸质文件相比,还有一个明显的不足,即保存电子文件信息的载体寿命远远短于纸张,因而具有相当大的不稳定性,不能保证电子文件信息的长期可存取。古代产生的纸质文件历经几百年甚至上千年的时间考验仍有许多留存至今,而电子文件往往会随着电子载体、信息技术等的更新换代出现完整性难以保证甚至不可读等方面的问题,因此,电子文件在经过一段时间的保管后,须及时对其可读性以及保存环境等各方面进行检验,适时采取仿真、迁移、载体转换保护技术等对信息进行维护,以保证电子文件信息没有在新旧转换中丢失并保证其可被人们获取。
电子文件的系统依赖性主要体现在两个方面。首先,电子文件的产生、处置以及归档等各项活动等都必须借助计算机系统才能够实现。如果没有计算机系统,电子文件就失去了存在的依附,人们不能够获取电子文件中的信息,同时也不能够对电子文件进行任何的操作,这样,电子文件对人们的利用价值就无从谈起。其次,随着现代科学技术的迅猛发展,计算机系统和应用软件的更新换代周期越来越短,这也就不可避免地导致了计算机和应用软件出现不兼容的情况,在这种情况下,电子文件信息的获取以及对电子文件的管理就会非常棘手。如果不及时适应新的系统做一系列的转换,电子文件的可读性和可管理性便很难得到保障。
四、增强电子文件信息安全的对策
(一)从技术上采取相关措施。在互联网高度发达的今天,如果不对电子文件进行任何措施的保护,则其信息安全很难得到保障,在电子文件管理领域,常见的用以保障电子文件信息安全的技术措施有信息加密技术、备份技术等。
信息加密技术是保证电子文件信息安全的有效手段之一,它将电子文件原始信息作为明文,通过一定的加密算法,将其转变为密文。加密体制根据加密密钥和解密密钥是否相同,可分为对称加密体制和非对称加密体制。其中,对称加密体制中,因加密和解密过程使用的是同一个密钥,从而计算量较小,效率较高;而在非对称加密体制中,两个过程使用的则是不同的密钥:公用密钥和私有密钥。顾名思义,公用密钥是公开的,所有发送者都可通过公用密钥对信息进行加密,而私有密钥是非公开的,由收方进行严格保密和妥善保管,并可对来文进行解密,从中获取信息,这样,无关人员就很难有途径从中读出、获取重要信息,从而保证了电子文件的信息安全。
数据备份技术也是保障电子文件信息安全的重要手段之一,是有效地应对文件、数据丢失或损坏等意外情况的方法,当前流行于电子文件管理的备份制度主要是异地备份和双套制,前者是指对同一份电子文件进行异地保管以及保存相应的纸质文件,而双套制则要求归档电子文件一式两套,即电子文件对应的纸质文件备份两套,一套提供利用,一份封存保管,有时甚至要求一式三套,用于异地保存。当出现地震、火灾等意外灾害或遭受“黑客”攻击、病毒入侵等情况时,数据备份技术显得尤为重要,特别是在当前计算机网络迅猛发展和电子文件利用日趋频繁的背景下,它可以尽快恢复受损甚至崩溃的信息系统,最大限度减少损失,提供良好的数据恢复手段和灾难恢复机制,从而保证电子文件的信息安全。
(二)从管理上保障电子文件信息安全。电子文件问世时间较短,管理人员相应地缺少管理电子文件的经验,在很多方面都不能满足电子文件的要求,电子文件的各个特性使其更加与众不同,管理上也具有一定的困难,针对这种情况,管理人员更应积极寻找方法,完善管理制度以及相应的管理人员配备等来更好地对电子文件进行管理。
首先,从人员方面来看,一方面应当加强相关人员的安全防范意识和保密意识。为了达到这个目的,可定期对电子文件管理人员展开培训,并加大宣传力度,让他们充分地认识到电子文件信息安全管理的重要性,建立明确的责任机制,把责任分配到个人,真正使组织中的每个人树立保护电子文件信息安全的意识,使电子文件安全得到更好的保障。另一方面,在我国电子文件管理人员专业素质水平不高的背景下,应当对电子文件安全工作人员进行专业技术培训,使他们在理论上对电子文件信息安全有更加深入的认识,在实践上能够及时准确地解决在电子文件信息安全方面存在的一些问题。
其次,应当建立健全电子文件信息安全管理制度和电子文件信息安全管理体系。可仿照信息安全管理体系模型——PDCA模型,建立一个有关电子文件的信息安全管理体系。PDCA分别是英语单词Plan(计划)、Do(执行)、Check(检查)和Act(行动)的第一个字母,PDCA循环就是按照该顺序进行管理,循环不止,持续进行。下图为电子文件信息安全管理的PDCA过程。
只有在健全的电子文件信息安全管理制度和管理体系的指导下,并结合电子文件有关的管理原则,如全程管理、前端控制原则,对电子文件从产生到销毁或永久保存整个生命周期进行有效的管理,才能有效地保证电子文件的完整、真实和可用。
(三)建立完善的电子文件安全法律法规体系。当前,我国已制定和引进了一些相关的法律法规和信息安全管理标准,如《计算机信息系统安全保护等级划分准则》《信息安全管理体系实施规范》《商用密码管理条例》《计算机信息网络国际联网安全保护管理办法》等等,也初步形成了国际信息安全组织保障体系。但总体而言,这些法律法规或标准还是比较宏观,基本上都属于原则性的规范,应当更加细化,出台相应的实施细则,从微观上对电子文件信息安全管理进行更加细致的指导,并与时俱进,结合当今时代特点,真正使电子文件的完整性、真实性和可用性得到保障。
[1]金波,丁华东.电子文件管理学[M].上海:上海大学出版社,2007.
[2]冯惠玲.电子文件管理教程[M].北京:中国人民大学出版社,2001.
[3]戴旸.政务背景下电子文件信息安全挑战与对策研究[J].云南档案,2009(11).
[4]金波,宋屏.电子政务中电子文件信息安全探析[J].上海大学学报(社会科学版),2009(3).
[5]杨安莲.电子文件信息安全管理研究[J].档案学通讯,2009(4).
[6]戴旸.电子政务背景下电子文件信息安全现状调查与分析[J].科技情报开发与经济,2009(29).