浅谈电子文件的信息安全问题
开篇:润墨网以专业的文秘视角,为您筛选了一篇浅谈电子文件的信息安全问题范文,如需获取更多写作素材,在线客服老师一对一协助。欢迎您的阅读与分享!
随着计算机技术的不断发展和整个社会信息化程度的不断提高,电子文件作为一个新兴产物应运而生,大量应用于日常生活、商业活动、政务管理、信息交流等领域。电子文件给人们工作、生活、学习带来极大便利的同时,电子文件的大量出现对档案管理产生了冲击,使其管理对象和工作内容发生了改变。电子文件的出现给档案工作提出了新的要求。因此,研究如何保障电子文件信息的安全也就迫在眉睫。
一、电子文件信息安全的概念与内涵
电子文件信息安全是指电子文件信息在其生成、保存和利用过程中受到保护,不因偶然和恶意的原因而遭到破坏、更改和泄露,确保其真实性、完整性、系统性、原始性、可读性和可靠性,并确保电子文件信息网络系统连续正常运行。
根据电子文件和电子文件信息安全的定义,电子文件信息安全在总体上应包含两项基本要求:网络系统安全和电子文件信息内容安全。
(一)网络系统安全
网络系统安全是指电子文件信息网络的软、硬件系统设计合理,运行正常,网络人员操作规范、管理严密,整个网络系统能够按照设定的要求正常运转,发挥预定的各项功能。网络系统安全是电子文件信息安全的基础。
(二)信息内容安全
电子文件信息内容安全是电子文件信息安全的核心,它包括电子文件信息的存储安全和传输安全,即在保管利用电子文件信息的过程中维护电子文件信息的真实性、完整性、系统性、原始性、可读性和可靠性。
二、电子文件自身特点引发的信息安全问题
电子文件信息内容安全应该从电子文件自身特点引发的信息安全问题和电子文件管理引发的信息安全问题两个方面进行阐述。
(一)电子文件自身特点引发的信息安全问题
1.电子文件对系统的依赖性
电子文件的制作、处理,以至归档后的全部管理活动都必须借助于计算机系统才能实现,离开了电子计算机软、硬件平台的支持,电子文件将不复存在。一般说来,不兼容的计算机和应用软件所生成的电子文件之间是难以互换使用的,而随着科学技术的不断发展,计算机及其软件更新速度不断加快,就可能会出现:作为电子文件载体之一的光盘保存完好,但其中存贮的电子文件信息已难以完整准确地读出。
2.电子文件信息与特定载体之间的可分离性
在电子文件产生之前的任何一种文件,都是信息与载体的统一体,即信息与载体密不可分,一旦分离,其原始性则发生改变。电子文件中的信息是可流动的,具有相对独立性。因此,传统文件内容信息的泄露、更改或丢失往往总能从载体上寻找“蛛丝马迹”,而电子文件的信息安全与否却远不能仅从载体上加以判别。对电子文件信息安全构成威胁的因素可能来自两方面:通过载体危害信息以及直接针对信息本身的危害,且尤以后者为甚。因为直接针对信息本身的危害往往是无形的,让人防不胜防。
3.电子文件信息的易变性
电子文件信息的易变性主要表现在信息容易被修改、丢失与毁坏。第一,有与电子文件信息与特定载体之间的可分离性,信息可以脱离特定载体而存在,载体对信息的束缚就没有了,计算机系统中信息的相对独立性使人们对信息的增删更改十分方便,动态文档中的数据不断被自动更新或补充。第二,电子信息技术的发展,新的信息编码方案、存储格式、系统软件的不断出现更是对电子文件信息稳定性的巨大冲击,从而要求将文件迁移到新的技术环境之中,迁移过程中信息的损失、变异也是不可避免的。
4.电子文件信息的可操作性
电子文件信息不是静态、固定、消极的,而是动态、可变、积极的信息。电子文件信息的可操作性主要表现在两个方面:第一,电子文件信息的可转换性在为电子文件信息的多种利用和数据迁移带来极大方便的同时,也带来了复合文件、复杂文件在数据迁移中许多尚未解决的难题。第二,电子文件信息的易复制性在为电子文件的利用、提高工作效率带来好处的同时,也可能导致电子文件信息被修改或被巧妙地不留痕迹地处置,被修改的拷贝广泛传播之后,从而出现多个难辨真伪的版本,给电子文件信息的管理带来极大麻烦。
(二)电子文件管理引发的信息安全问题
在整个电子文件及电子文件的管理过程中,其周转比较复杂,经历的人员也比较多,因此,经常会有一些管理上的漏洞,导致信息被盗、泄密或丢失。一般来说,泄密或丢失的原因主要有以下几种。
1.无意泄露
电子文件相关软件管理混乱,对软件不进行保密或随便借出拷贝,都会造成电子文件信息的泄露,由于无意泄露往往不被人注意,一些重要的、秘密的电子文件信息在不知不觉中被窃取、篡改。
2.有意泄露
对电子文件信息缺乏监督管理,对密码、口令的保密管理不严格,对电子文件的制作人员的责任划分不明确或者某一个人长期主持保密性的电子文件的制作和管理等,有时处于某种利益或责任心不强,某些知情者会对熟人、朋友、客户等说出口令或密码。
总之,上述这些情况发生,一般是由于管理人员的保密意识或责任心不强造成的。
三、保证电子文件信息安全的防护措施
(一)技术措施
电子文件是高科技的产物,信息安全技术对于维护电子文件信息的安全具有至关重要的作用。目前这方面的技术主要有:
1.网络安全技术
(1)访问控制技术。访问控制可以说是保证网络安全最重要的核心策略之一。访问控制策略主要包括入网访问控制、网络的权限控制和客户端安全防护策略。
(2)网络安全检测技术。安全检测技术是近年出现的新型网络安全技术,目的是实时地入侵检测及采取相应的防护手段。网络入侵检测和监控不仅能够对付来自内部网络的攻击,而且它能够阻止外部黑客的入侵。网络监控,是对网络攻击入侵行为提供最后一级的安全保护。
(3)网络防病毒技术。在网络环境下,计算机病毒具有不可估量的威胁性和破坏力,计算机病毒的防范是网络安全技术中重要的一环。在病毒防治上,要灵活运用各种软硬件技术,确定查杀方案,经常使用杀毒软件查杀病毒,不断更新杀毒软件,小心防范未知病毒的破坏。
2.签署技术
对电子文件进行签署的目的在于证实该份文件确实出自作者,其内容没有被他人进行任何改动。电子文件的签署技术一般包括证书式数字签名和手写式数字签名。
采用证书式数字签名者需要向专门的技术(下转第33页)(上接第27页)管理机构注册登记,这种机构通常称为“安全电子邮件认证站点”、“数字证书服务中心”、“数字标识授权机构”等。它的职能是在其管辖的数字协议下对用户的有效身份进行认证,向用户发放有限期的密钥和数字证书等。
3.加密技术
采用加密技术可以确保电子文件内容的非公开性。由于加密和解密使用不同的密钥,因此第三者很难从截获的密文中解出原文来,这对于传输中的电子文件具有很好的保护效果。
4.身份验证技术
为了防止无关人员进入系统对文件或数据访问,有些系统需要对用户进行身份验证。当用户要求进入系统访问时,首先输入自己的通行字,计算机自动将这个通行字与存储在机器中有关该用户的其它资料进行比较验证,如果验明他为合法用户,可接受他进入系统对相关的业务访问,如果验证不合格,该用户就会被拒之系统门外。
5.防火墙技术
这也是一种访问控制技术,它是在某个机构的网络和外界风格之间设置障碍,阻止对本机构信息资源的非法访问,也可以阻止机要信息、专利信息从该机构的网络上非法输出。
6.防写技术
目前在许多软件中可以将文件设置为“只读”状态,在这种状态下,用户只能从计算机上读取信息,而不能对其做任何修改在计算机外存储器中,这种不可逆式记录介质可以有效地防止用户更改电子文件内容,保持电子文件的原始性和真实性。
7.备份技术
建立电子文件备份系统是保障电子文件安全最根本的技术措施之一。电子文件的备份系统分三个层次:(1)硬件级备份,即利用多余硬件来保证系统在出现故障时连续运行。(2)软件级备份,即将系统数据保存到其它介质上,当系统出错时可以将系统恢复到备份时的状态。(3)人工级备份,即用手工操作实现备份。
上述技术措施对于证实电子文件内容的真实、可靠、完整、系统,保证电子文件在存储、传输过程中的安全、保密,防范对电子文件的非法访问和随意改动,都具有很好的效果。随着这些技术的成熟、普及和新技术的出现,电子文件信息安全将会得到更加可靠的认定和更为有效的保障。
(二)管理措施
科学的管理措施是建立在正确的管理思想的基础上的。在制定和落实电子文件信息安全管理策略的时候必须贯彻以下相关的管理思想:
1.风险管理思想
风险指的是由于某些不可预知的因素引发问题的可能性,风险管理就是识别风险并采取措施控制风险的过程。确立风险管理思想,实施风险管理策略,可有效降低威胁电子文件信息安全的风险。
2.前端控制思想
前端控制是现代档案管理理念的重要内容,以文件生命周期理论为基础,它把文件从形成到永久保存或销毁的不同阶段看作一个完整的过程。前端控制是对整个电子文件管理过程的目标、要求和规则进行系统分析、科学整合,把需要和可能在文件形成阶段实现或部分实现的管理功能尽量在这一阶段实现。在已经建立了电子文件管理系统的地区和机构,电子文件是在系统中生成和运转的,电子文件管理过程的前端就延伸到了系统设计阶段,前端控制的形式也部分转移到系统功能的设计之中,尽可能把文件生命周期各个阶段的管理要求设计在系统之中,以功能合理的文件管理系统作为管好电子文件的先决条件。
3.全程管理思想
电子文件的全程管理是一种全面、系统、动态的过程管理,不仅涉及到电子文件的流程、管理规则、管理方法以及质量要求的完整管理,还要求整个管理体系的无缝连接,通过对电子文件生成、流转、利用、保管等每一项管理内容实施具体的过程监控,以便及时发现与纠正问题。
4.危机管理思想
危机管理思想是风险管理思想的补充,传统档案保护讲究的“预防为主,防治结合”的思想在现代电子文件安全管理中也是适用的。尽管我们尽最大努力保证电子文件信息的安全,但灾难还时有发生,因此,我们不得不对可能发生的灾难做必要的预防以及灾后的应急和补救。