电子文件防护机制建立初探

2021-04-14常州纺织服装职业技术学院江苏常州213164

卷宗 2021年12期

（常州纺织服装职业技术学院，江苏常州 213164）

郭笑红

传统纸质办公已逐步被办公自动化所取代。然而，由于目前的技术限制及其自身脆弱的特性，电子文件产生之后不能够像纸质文件那样保存很长的时间。在这一过渡阶段，档案界提出的“双套归档制”，这是文件载体转换时期不可避免的一种现象，只要电子文件管理中的关键问题得不到根本解决，“双套制”就有其存在的合理性和必要性[1]，同时也增加管理人员的工作量和档案机构的管理成本。管理学中的一个定式：三分靠技术，七分靠管理。我们在努力研发新技术,以解决电子文件的长期保管问题，建立电子文件防护机制也是十分必要的。

1 电子文件防护机制及其建立的必要性

电子文件防护机制，即分析识别电子文件长久保存的软硬件环境威胁、人为威胁及管理的漏洞，以保证电子文件内容信息与载体安全为目的，为电子文件的安全保管制定一系列防护机制和电子文件安全危机处理办法。

1.1 建立电子文件防护机制是保护国家档案安全的需要

档案信息是国家的重要的信息资源，是维护国家安定，社会协调发展的重要保证。无论哪种形式的档案信息被恶意窃取或无意泄露，都将会严重威胁到国家、企业或个人的安全利益。

1.2 电子文件面临多重安全威胁

电子文件信息具有可操作性，这一特性在方便文书工作人员工作的同时，也给文件的安全留下一个技术漏洞。电子文件不再像纸质文件那样必须依附于一定载体，文件信息只是一些计算机代码，可以在任意的一个计算机设备上存储、修改。虽然技术人员会给文件做一些技术处理来限制非法操作，但是技术无法做到滴水不漏。受限于技术和保管材质，电子文件载体暂无法达到能保存几十年甚至百年千年标准，载体极易损害；文件生成的系统环境与软件版本也不断更迭，适用环境会导致早期的文件信息不可读。这就需要建立有效的防护机制来弥补技术造成的安全漏洞。

2 档案防护机制建立的原则

电子文件安全问题已经迫在眉睫，从保障我国档案安全与电子文件真实完整性出发，建立防护机制必须遵循以下原则。

2.1 突出重点原则

在保护过程中，我们需全面考量，确定哪些部分的电子文件需进行重点保护，有所侧重；通过给电子文件管理系统进行安全定级，安全级别越高的文件系统越要重点保护，确保真正重要的文件信息得到妥善保护。

2.2 可持续发展原则

建立电子文件防护机制是一个循序渐进、不断完善的过程。电子文件防护机制中具体操作，应该建立在档案管理实践基础、电子文件保护实践与理论研究之上，积极采用成熟的防护与管理理念，运用当前先进的技术、设备及保护方法，使整个防护机制有一定的危机处理能力和文件保护能力。

2.3 实事求是原则

电子文件防护机制关系到国家电子文件发展全局，也关系到国家档案遗产，其机制的建立需依据我国电子文件安全保护现状，也要视具体地区、具体单位的情况而定，切忌“本本主义”，不切实际，那么防护机制就不能起到保护作用，还可能造成破坏。

2.4 防管结合

电子文件防护机制的建立重点在于管理，而不是防护。科学的管理就是有效的防护，电子文件管理的每一个流程可能有安全漏洞，所以防护机制应嵌入到电子文件管理的各个流程，以过程控制实现结果控制，而不是仅仅注重结果的安全。

3 电子文件防护机制的构建

3.1 电子文件防护系统构建

电子文件防护系统的构建应纳入电子文件的管理平台中去。电子文件具有易于修改、传播迅速等特点，这也导致文件安全无法具体控制，只能通过在文件管理系统的每一环节进行安全控制，最终确保文件的安全：

1）文件从生成到归档保存，文件的每一环节和每一步骤都应记录下元数据，建立元数据库。

2）采用技术手段，通过设置访问权限，防止无关人员对文件信息进行阅读、拷贝或恶意修改。

3）对电子文件管理系统进行定级，集中力量保护重要的文件信息。

4）对文件管理系统所在计算机进行监测，脱机载体保存场所环境控制。

5）建立电子文件异地备份制度[2]。

3.2 人员安全管理机制

1）人事安全审查制[3]。业务部门和档案部门对于录用的人员需进行审查，并进行备案。审查工作需要对涉及电子文件各业务流程中的人员的责任意识和保密意识进审查，是否能够胜任，参与文件的安全防护工作。人员审查通过后，还应对其日常管理操作做有效的记录和权限控制。

2）档案安全知识技能教育。电子文件保护不同于纸质档案，需加强涉及计算机、文件系统等多方面知识的吸收。业务部门在管理过程中，要鼓励并支持业务人员参与专业课教育、短期培训等多种方式，培养懂得计算机技术和档案专业知识的“多方位”人才。

3）专职负责制。电子文件防护工作中，需确定每位管理人员的管理职责，联合多部门成立监督委员会。每个管理人员在各级岗位中，要权职分明，各司其职。另外，还需建立追责机制，在发生安全事故后，主管部门应尽快查明事故原因，并对事故中体现的人员失职、管理漏洞，追究相关管理人员的责任，强化责权意识。

3.3 风险管理机制

目前，许多行业的管理都存在风险管理思想。纸质档案有“八防”思想，电子文件管理面临着诸多风险，自然也应具有风险管理意识。电子文件的风险指电子文件质量缺损及其引发其他损失的不确定性[4]。电子文件风险管理即通过识别和评估电子文件风险、采用合理的技术、方法对风险加以防范和控制，以最小的成本实现电子文件风险所致损失降到最低程度的管理活动[5]。电子文件风险管理机制是电子文件防护工作的重要环节。

3.4 电子文件危机处理机制

电子文件的风险管理是侧重于预防，而危机处理则是对安全事故的处理，问题的解决，其有四个步骤：

1）危机原因分析。首先进行危机原因分析，分析其属于计算机硬件因素还是软件因素，抑或是人为因素，查出具体原因，以便采取对应措施进行弥补。

2）文件损害分析。进行文件损害情况分析，有两种方式：（1）以数据形式表示危机严重程度；（2）以恢复时间来衡量灾难的严重程度[6]。

3）数据备份恢复。建立数据备份制度，根据国家关于数据备份的要求，对重要的电子文件选取合适的备份地，备份方式可以选择定期备份或实时备份。

4）追责。建立追责制度，确定每个人的职责所在，相互监督。在出现问题后，要严肃处理责任人，绷紧电子文件安全防护这根弦。

4 构建电子文件防护机制面临的难题

电子文件防护机制的构建需要档案行政管理部门牵头，在进行调查研究之后，可在电子文件发展较发达地区进行试点，之后全国逐步进行推广。在构建防护机制时，需着重解决以下几个问题。

4.1 电子文件管理系统的安全定级问题

电子文件防护机制构建需要对电子文件管理系统进行定级，这当中涉及管理系统的鉴定问题。究竟由谁来进行定级，以及采用何种定级标准，对于不同等级之间文件数量的控制问题，这些都需要认真对待。鉴定工作耗费人力物力，笔者认为应向上级申请，由本单位上级主管部门、档案部门及计算机专家进行联合鉴定，可参考相关信息系统的定级指南。

4.2 文书部门与档案部门难协调

我国文书制度在文书阶段属于文书部门，即单位的综合办公室或秘书处负责起草文件、处理办理文件，而档案部门只负责管理档案及文件的后末端。虽然《档案法》规定：机关、团体、企事业单位应对本单位的档案工作进行监督、指导，但是这种监督、指导往往不被文书部门重视。档案部门缺乏强有力的监督职能，导致文件前端控制无力，不利于档案工作的开展。电子文件防护机制将建立在文件管理系统的基础上，这种文书部门与档案部门之间职能的难以协调，必将会限制电子文件安全防护工作的有效开展。