电子文件安全技术刍析*

付正刚 秦荆华

（湖北大学历史文化学院，湖北武汉，430062）

1 电子文件安全的含义

在《电子文件管理暂行办法》（中办国办［2009］39 号）中，将“安全”与“真实、完整、可用”并列，被人们简称为电子文件“四性”。笔者结合文件与信息的关系，对比信息安全学中信息安全“五性”的定义［1］后认为：用“电子文件安全”统率电子文件的真实性、完整性、可用性、可靠性、长期可读性等属性，可与相关学科在概念上保持一致，也使术语表达统一。

笔者认为，电子文件安全是指电子文件的“真实性、完整性、有效性”［2］在客观上不受到威胁，在主观上能获得信任。没有绝对的安全，只有一定环境下的相对安全。“不受到威胁”并不意味着“不存在威胁”，受到的安全威胁风险只要在人们可接受范围内，即是：电子文件安全的可信度处于人们能接受范围，则电子文件就可被认为是安全的，可被信任的。进一步结合《电子文件归档与管理规范》（GB/T18894-2002）中对“真实性、完整性、有效性”的定义分析：电子文件安全应包括电子文件内容安全、电子文件元数据安全、电子文件载体安全等层次。在此界定下，电子文件安全技术应该指一切能保护电子文件内容、元数据、载体等安全的信息技术。

本文对常用电子文件安全技术进行分类梳理，从中窥探它们在电子文件信任建立中的作用，初步分析了CDP（continuous data protection：连续数据保护）和CAS（content addressed storage：固定内容寻址存储）技术（下简称“双C”技术）在电子文件安全管理中的应用。

2 电子文件安全技术对电子文件安全管理的意义

电子文件现阶段管理中，“双套制”依然是人们所认可的安全管理模式。究其缘由，主因之一是人们对现有电子文件安全技术的不信任，以至于不得不依靠硬拷贝来保证电子文件安全。不可否认地是，“双套制”不仅有局限性，且与信息化发展趋势不相协调，也在一定程度上阻碍了原生电子文件纯数字化管理进程。

电子文件安全依赖于电子文件管理体系的整体安全。在管理体系中涉及的人、电子文件载体/内容/元数据、处理电子文件的软硬件、管理人文环境（包含制度、规范、标准、法律等）等系统组成要素，均能对电子文件安全形成不同程度威胁。其中“处理电子文件的软硬件”则是技术要素的集中体现。电子文件的本质属性与特点决定了技术要素是整个管理体系中不可或缺的基础性要素，它是实现电子文件安全管理的重要基础，其意义表现为以下三方面。

首先，电子文件安全技术是电子文件安全管理措施有效实施的基础。电子文件是信息技术的产物，其产生、利用与消亡的整个生命周期过程都是在现代信息技术环境中演绎的，因此，人们基于电子文件管理理论和安全管理目标所制定的管理措施，都必须依托可信的电子文件安全技术方能有效实施。

其次，电子文件安全技术能够激发管理方式、管理模式的不断创新。当今信息技术正处于高速发展，渗透期、新技术的出现将会激发解决电子文件安全问题的新思路和新方法，也会提供新的技术手段更好地进行电子文件安全管理，从而使电子文件管理方式、管理模式进一步创新。

最后，安全不是静止的，它是一个动态的过程。信息技术的更新换代使得电子文件将会面临更多的、更新的安全问题，电子文件管理者必须对电子文件安全技术吐故纳新，以安全技术之盾防攻击技术之矛，使电子文件始终处于一种相对安全的状态。

3 电子文件安全技术分类和特征分析

电子文件是否安全应从它所依赖的电子文件管理体系是否安全的角度来判断，反映在管理体系技术元素上，就是考量所用信息技术是否能维护电子文件安全。

“信息安全必须从这三个方面分析信息安全系统：信息、处理信息的软件、硬件的安全问题”、“针对信息本身的安全技术有密码技术……，针对软件的安全技术有身份鉴别、访问控制、安全审计、客体安全重用、备份与恢复、隐蔽信道分析、恶意代码防范、网络边界隔离与防护和可信路径等技术”［3］。这些信息安全技术中，常用于电子文件安全管理的技术有数字签名、数字水印、访问控制、特征固化、安全标志等［4］-［10］。张健将电子文件信息安全技术体系模型分为电子文件信息内容安全、电子文件管理系统安全、系统软件平台安全、物理安全等四个层级，并指出“加密技术、数字签名、安全协议、数字水印、访问控制和数据备份等是用来维护电子文件信息安全的主要技术。”［11］笔者依据上述思路，将常用电子文件安全技术作简单分类梳理如表1。

针对电子文件管理软件的安全技术与其它类管理信息系统别无二致，其目的是通过阻止非法用户和合法用户的非合法操作，达到维护电子文件安全之目的，而不是直接作用于电子文件内容/元数据本身，属于间接性保护，对电子文件信任的建立作用有限。而针对电子文件内容/元数据的安全技术对提高电子文件可信度有直接影响。如数字签名（数字水印、电子签/印章）技术会给电子文件附加一些标识性的信息，用户能通过专门的验证软件或人工识别对文件来源、文件是否被非法篡改等作出甄别；数字纸张、特征固化技术则是模拟传统纸张信息被纸张固定的特点，使用户更易于对被固定的电子文件产生信任；双套制通过可信的传统档案管理体系将电子文件价值固定；数据备份则依据备份介质、备份管理管理主体的可信程度使备份件能产生不同程序的信任。笔者认为上述多数电子文件安全技术在维护电子文件安全中主要存在三点不足。

3.1 着眼“关键节点”控制而非全过程控制

所谓关键节点是指管理流程中对电子文件安全能产生威胁的环节或时间点。例如文件定稿、文件版本更新、文件归档等时刻。数字签名（数字水印、电子签/印章）技术就是在文件定稿时介入，对定稿文件加盖签名、水印或印章；特征固化技术同样是在文件定稿或修改之后就进行特征信息的采集、固化和更新，控制行为均是在关键节点完成。

这类技术思想的主要优点是效费比高，即集中力量控制关键节点，一旦成功实施，电子文件安全就处于受控状态。然而关键节点控制的方式是“点控制”，两个控制点之间是不受控制的区段，从而留下安全隐患。以数字签名技术为例，文件从生成之时到进行签名之间的时段对于各种安全威胁在技术上是裸露的，被篡改的风险很大，文件形成者可能会在没有察觉文件被修改的情况下对其进行了数字签名，从而引发电子文件安全事故。

3.2 必须依赖第三方认证或技术支持

在数字化环境中，第三方认证是信任建立的一种常见模式。如电子商务中，先交易的一方（客户）将承担更多的风险，故需要维护客户利益的外力来抵御风险，而第三方——支付宝平台的存在，为客户退款提供了保障，使客户可放心与卖家交易。类似地是，数字签名等需要符合《电子签名法》中规定要求的第三方机构来提供签名及签名验证技术、特征固化中也需要第三方软件来实施。诚然，第三方是数字化环境中建立信任的可行模式，但过于依赖第三方不但存在被第三方“锁定”的可能，还存在因第三方无法自律或无法长期存活所产生的风险。

双方信任关系通过第三方认证机构才能建立的原因是虚拟世界中一方对另一方真实身份及信誉的不信任。就电子文件利用过程来讲，管理者与利用者在电子文件安全的态度上是不同的：管理者往往不会怀疑所提供电子文件的真实完整性，因为他了解整个文件管理体系及各个管理环节为维护电子文件真实完整性所做出的一系列控制动作；而利用者因缺乏所利用电子文件生成及管理的任何信息，选择怀疑理所当然，两种不同态度源自双方对电子文件生成及管理的信息不对称。

3.3 缺乏对电子文件元数据的有效保护

元数据保护的难点在于它是不断更新变化的。电子文件生成以后，正文内容多是固定不变的，但是元数据却会随着文件的流转不断发生变化，内容会增加，使用时间会更新，甚至文件格式也会按需转换等。但由于待采集元数据的多样性、复杂性，元数据的持续跟踪与自动捕获存在问题，一旦涉及人工捕获的元数据，就可能存在捕获不及时、不准确等风险。此外，在系统之外的元数据也不易自动捕获。若元数据的真实完整性无法得到保障，则元数据对电子文件真实完整性地维护就失去了意义。

4 “双C”技术在电子文件安全管理中的新认识

CAS 技术是指对生成以后不可更改的且具有长期保存价值的非结构化数字对象进行存储的技术，存储以后对固定内容信息的访问依据的是数据内容，而与物理地址无关。该技术所满足的需求就是维护数据的真实性、完整性和长期保存，这同电子文件安全管理的目标是一致的。CDP 技术是一种数据持续保护方法，它能够将硬盘的每一次写入操作都忠实记录下来，并存储于专门的设备之中，藉此提高数据的恢复能力。相较于传统数据保护所采取的时间点备份方式，该技术通过无缝恢复技术实现在故障瞬间完成对任何时间点数据的快速恢复，在提高恢复精度的同时保证业务的连续性，这同电子文件全程管理理论、文件连续体理论的思想内涵是一致的。“双C”技术在电子文件安全管理中的主要运用方式就是实现电子文件内容及其元数据之全部历史版本的持续记录和固化保存。重新认识两种技术在电子文件安全管理中的作用，对弥补现有电子文件安全管理体系的不足，提升安全管理的可信度有积极意义。

表1 常用电子文件安全技术分类

首先，对历史版本持续全面地记录切中电子文件生命周期理论之肯綮，使人们不仅能回溯电子文件整个生命过程，还能直观精确地知晓电子文件内容及元数据在其任一生命时刻的状态，为人们评估电子文件管理过程的合规性、合法性及真实完整性保护地有效性提供了最为详尽的历史资料，能真正做到对电子文件全过程监护与控制。

其次，通过不同历史版本对比，人们不仅能够发现文件是否被非法篡改，而且还能准确找出被篡改的具体内容，甚至能够捕捉不法分子入侵系统和篡改文件的轨迹，为电子文件非法篡改案件的侦破和被篡改文件的恢复提供依据。

再次，固化保存可以使所有版本的电子文件一经记录便无法更改，避免因记录被篡改而导致版本回溯的失败。

最后，完整的历史版本记录不仅能够为文件生成者和管理者所用，还能够成为文件利用者判断文件真实完整性的有力依据，并改善二者之间的信息不对称，使后者能依赖自身能力与经验对电子文件真实完整性作鉴别，而无需依赖第三方认证或技术支持。

总之，电子文件安全管理是基于人们在现有条件下对安全威胁的认识、对电子文件管理安全技术的认识以及对电子文件管理体系自身不足和管理能力认识。应用了安全技术、采取了安全措施也并不意味着电子文件安全从此无忧。充分发挥各种安全技术特点，有机整合、综合运用，从不同方面发挥建立电子文件信任的作用，对于提升电子文件安全管理水平，促进原生电子文件纯数字化管理不无益处。

［1］杜彦辉著译.信息安全技术教程［M］.清华大学出版社.2012年，第4-5页.将“保密性、完整性、可用性、可控性、不可否认性”.

［2］国家档案局.电子文件归档与管理规范（GBT18894-2002）.2002年.

［3］王斌君，增瑞.信息安全技术体系研究［J］.计算机应用.2009年第6期.

［4］易丰.电子文件的签署技术［J］.档案学通讯.1999（3）.

［5］陈全.电子文件加密识别技术研究［J］.档案学研究.2002（2）

［6］董信君.保证电子文件信息安全的技术措施［J］.兰台世界.2005（9）.

［7］朱道勇.基于数字水印的电子文件信息安全技术［J］.四川档案，2007（2）．

［8］陈勇.关于电子文件管理相关技术的探讨［J］.档案与建设.2008（10）．

［9］孙德刚，王妍，毛锐.国外电子文件安全标志技术标准与应用［J］.保密科学技术.2010（7）．

［10］姜志伟.谈数字签名技术在电子文件真实性保障中的应用［J］.档案与建设．2010（5）．

［11］张健.电子文件信息安全技术体系研究［J］.档案与建设.2013年第2期．