安全技术体系

目前，档案信息安全在技术方面主要采用信息加密技术、信息确认技术、访问控制技术、病毒防治技术、审计技术、防写技术等。

（一）信息加密技术

加密是保障信息安全最基本、最经济的技术措施，也是大多数信息防护措施的技术基础。加密的作用是防止敏感的或有密级限制的信息在传输过程中泄密。

文件加密所采取的加密算法形形色色。据不完全统计，目前已经公开发表的加密算法多达数百种。电子文件加密的基本过程是：存储或传输前将原先借助相应的软件可以识读的数码序列（称为明文）通过数学变换（加密运算）变成无法识读的“乱码”（称为密文或密码）；利用时再通过数学变换（解密运算）将“乱码”还原成可以识读的数码序列。其中，加密运算和解密运算都是在一组密钥控制下进行的，密钥是控制加密算法和解密算法实现的关键数据。

电子文件的加密、解密机制如图6-2所示。

图6-2　电子文件加密技术示意图

密钥对非授权者是保密的，因此，可防止非法用户破解密钥而窃获文件内容。根据文件加密和解密时所使用的密钥是否相同，加密算法可以分为对称加密解密法和非对称加密解密法两种。

在对称加密解密法中，加密密钥和解密密钥是相同的，或者知道其中一个密码就可以方便地推算出另外一个密码，因此密钥必须绝对保密。问题是，在发送加密文件之前首先通过安全渠道将密钥分发到双方手中，其传递中很容易造成秘钥泄漏。而且，如果某涉密文件分发的单位多，密钥的安全控制会有很大的难度。这种方法在对涉密文件进行静态管理时比较有效，如自己撰写的保密文件给自己使用，防止被人偷看。目前，Word、Excel文件的加密就是采用对称加密解密法。然而，如果涉密文件需要传输，特别在大范围传播时，就需要用下面的方法。

非对称（又称双钥）加密解密法中，加密方和解密方使用的密钥是不相同的，密件经办人需预先准备两把钥匙，一把公钥，一把私钥。当发送密文时，发送者使用收文者的公钥，将文件加密后发给收文者，收文者收到密文后，用自己的私钥解密文件。由于只有拥有该私钥的收文者才能解密这份文件，所以文件的传递过程是安全的。

（二）信息确认技术

对于纸质文件，以往用书面签署或签印的形式将责任者名或责任者特征（如指纹）固化到文件载体上，借助纸质文件载体与内容的不可分离性来证明文件内容的原始性和真实性，使文件具备法律效用。这种方法显然不适于不具有恒定载体的电子文件。对于虚拟流动的电子文件，信息确认技术起到了相当于签署纸质文件的作用。

信息确认技术是通过一定的技术手段防止文件的内容被非法伪造、篡改和假冒，同时用来确认文件的发出、接收过程及利用者身份和权限的合法性。完善的信息确认方案应能实现以下四个目标：

第一，合法的文件接收者能够验证其收到的档案文件是否真实；

第二，发文者无法抵赖自己发出了所发的文件；

第三，合法发文者以外的人无法伪造文件；

第四，发生争执时，具有仲裁的依据。

实现上述目标需要综合采用多种技术手段，目前，常用的有数字摘要技术、数字签名技术和数字水印技术。

1.数字摘要技术

文件的发送者采用某种特定算法（摘要函数算法）对发文进行运算，获得相应的摘要（即验证码），摘要具有这样的性质：如果改变发送文件的内容，即便只是其中一个比特，获得的摘要将发生不可预测的改变。摘要将作为发送文件的一部分附加在文件后一起发出，接收者则利用双方事先约定好的摘要算法对收到的文件作同样运算，并比较运算所得的摘要与随文件发送来的摘要是否一致，以此鉴定收到的文件是否在发送过程中受到篡改。如果摘要函数（相当于前面的密钥）仅为收发文件的双方所知，通过上述报文认证即可达到信息确认的上述四个目标。这种方法的缺点是：因收发文双方使用相同的摘要函数，因而，摘要函数本身的安全保密性是一个很大的问题，多次使用的摘要函数一旦被第三者窃获，报文认证便不再安全。

2.数字签名技术

随着我国《电子签名法》的生效，数字签名在法律与技术上走向成熟。数字签名是指数据电文中以电子形式所含、所附用于识别签名人身份并表明签名人认可其中内容的数据，而数据电文是指以电子、光学、磁或者类似手段生成、发送、接收或者储存的信息。

从技术上看，数字签名是非对称加密技术的一种，其基本原理类似于上述报文摘要技术。首先，签名者使用签名软件对拟发送的数据电文（电子文件）进行散列函数运算，生成报文摘要；然后，由签名软件使用签名者的私钥对摘要进行加密，加密后的报文摘要附着在电子文件之后，连同签名者从认证机构处获得的认证证书（用以证明其签名来源的合法性和可靠性）一同传送给文件接收者。文件接收者在收到上述信息后，首先使用软件用同样的散列函数算法对传来的电子文件进行运算，生成报文摘要，同时，使用签名者的公钥对传送而来的报文摘要进行解密，将解密后的报文摘要和接收者运算生成的报文摘要进行比较，如果两个摘要一样，就表明接收者成功核实了数字签名。在核实数字签名的同时，接收者的软件还要验证签名者认证证书的真伪，以确保证书是由可信赖的认证机构颁发的。经核实的数字签名向文件的接收者保证了两点：第一，文件内容未经改动；第二，信息的确来自签名者。

签名者所用的数字签名制作工具（公钥、私钥、散列函数、软件等），不是由签名者自行制作的，而是由合法成立的第三方电子认证服务机构在充分验证发文者真实身份后提供的。电子认证服务机构颁发的数字签名制作数据及认证证书相当于网上身份证，帮助收文、发文者识别对方身份和表明自身的身份，具有真实性和防抵赖功能。与物理身份证不同的是认证证书还具有安全、保密、防篡改的特性，可对电子文件信息的传输提供有效的安全保护。

3.数字水印技术

数字水印类似于传统印刷品上的水印，用以鉴别电子文档的真伪。数字水印技术是日本电气公司于1997年投入使用的技术，它是在传输的文本、图像、音频、视频等电子文件中附加一个几乎抹不掉的印记，无论文件作何种格式变换或处理，其中水印不会变化。该印记在通常状态下隐匿不现，除非用特殊技术检测。一旦这种水印遭到损坏，文件数据也会受到破坏。

上述信息确认技术的实质是，文件发送者将签署信息（加密运算方法）以不可分离的方式与文件内容（而不是纸质文件的载体）“编织”一体，使他人无法在不改变签署信息的前提下改变文件内容，或者相反（就像无法不改变载体而改变纸质文件上的内容一样），而收文者则通过验证其信息内容中的签署信息来证实文件内容的原始性和发文者的原真性。

（三）访问控制技术

访问控制是信息系统安全防范和保护的主要策略，其任务是杜绝对系统内电子文件信息的非法利用和蓄意破坏。访问控制技术种类繁多，且相互交叉，目前主要有以下两类：

1.防火墙

防火墙是设置在被保护文件系统和外部网络之间的一道屏障，以防止发生不可预测的、潜在的、破坏性的侵入，它可通过监测、限制跨越防火墙的数据流，尽可能地对外屏蔽系统内部的信息、结构和运行状况，实现内部网络的安全保护。防火墙可分为外部防火墙和内部防火墙。前者在内部网络和外部网络之间建立一个保护层，以防止“黑客”的侵袭，挡住外来非法信息，并控制敏感信息被泄露；后者将内部网络分隔成多个局域网，以此控制越权访问。防火墙可以是一个路由器、一台主机，也可以是路由器、主机和相关软件的集合。

电子文件系统在选择、使用防火墙时，应对防火墙所采用的技术、种类、安全性能及不足之处有充分认识：

（1）认真权衡防火墙的安全性能和通信效率，在文件安全和方便利用两者之间将安全放在第一位。

（2）对于中小型的文件管理系统，如果系统内外交换的信息量不是很大，信息重要程度属于一般，可以采用数据包过滤和代理服务型防火墙；而对于大型文件管理系统或信息安全要求较高的系统，可以考虑采用复合型防火墙。在系统安全和投资费用之间应进行权衡，不可不计代价地追求超出可能风险的安全性。

（3）对防火墙进行管理时，除了解防火墙的益处之外，还应了解防火墙自身的局限与不足。

（4）使用防火墙对外隔离时，不能忽视防火墙内部的管理，因为许多攻击来自内部。必要时可设置第二道防火墙，使内部网络服务器对内也被隔离（但这样会大大降低系统的效率）。

（5）为更好地保护文件管理系统，尽量考虑采用国内自主开发的防火墙产品。

（6）防火墙属于信息安全产品，国家规定实行强制认证，在文件管理系统中使用的防火墙必须是经国家认证的产品。

2.身份验证

为防止未经授权的用户操作文件管理系统中的各类资源，通常在用户登录或实施某项操作之前，系统将对其身份进行验证，并根据事先的设定来决定是否允许其执行该项操作。验证过程对用户而言就是要提供其本人是谁的证明。身份验证的方法很多，并且不断发展。但其验证对象有三：所知信息（如口令）、所持实物（如智能卡）、所具特征（如指纹、视网膜血管图、语音等）。口令是最普通的手段，但可靠性不高，智能化的“口令”是系统向被验证者发问的一系列随机性问题，以其回答来验证身份。以指纹、视网膜血管图、声波纹进行识别的可靠性较高，但需要使用指纹机等特征采集设备，代价较大。智能卡技术将逐步成为身份验证技术的首选方案。智能卡是密钥的一种媒体，性状如信用卡，由授权用户持有并由该用户赋予其一个口令或密码字。该密码与内部网络服务器上注册的密码一致。为提高身份验证的可靠性，可将上述三种手段结合起来使用。

（四）病毒防治技术

即使采用防火墙、身份验证和加密技术，文件系统仍然可能遭到病毒的攻击。防治病毒包括两个方面：一是预防，在系统或载体未染毒之前采取有效措施，防止病毒感染；二是杀毒，在确认系统或载体已染毒后彻底将其清除。防毒是根本，杀毒则是补救措施，目前普遍使用的是以特征扫描为基础的杀毒软件。

文件网络环境下的防毒、杀毒需要注意以下几点：

1.从客户机和服务器两个方面采取杀毒防毒措施。电子文件管理系统有的采用客户机/服务器模式，客户机、服务器都可能遭受病毒侵害，因此，必须同时展开防毒杀毒工作。作为局域网入口的工作站，不仅受病毒攻击的可能性更大，而且数量较多，管理分散，往往是最薄弱的环节，必须重点设防。对于功能简单的工作站尽可能设置成无盘工作站，并在所有工作站上都安装防病毒卡或芯片。服务器是整个网络的“中枢神经”，是网络信息资源的集中地，是防毒工作的重点。防止服务器被病毒感染的主要措施是：尽量少设超级用户；将系统程序设置为只读属性，对其所在的目录不授予修改权和管理权等。

2.由于病毒不断变异，杀毒软件也不断升级，网络管理员与档案管理人员应注意及时更新杀毒软件的版本类型，选用最先进、可靠的防杀网络病毒软件。

3.加强对网上资源的访问控制，防止非法用户进入网络，充分利用网络操作系统和文件管理系统所具有的安全管理功能。

防毒杀毒是一项系统工程，必须从管理和技术两方面着手，采取综合措施建立起完善的病毒防治体系。

（五）审计技术

审计技术旨在记录电子文件运行处理的全部过程，抑制非法使用系统的行为。采用审计技术的电子文件管理系统将自动记录下系统运行的全部情况，形成系统日志。系统日志类似于飞机上的“黑匣子”，是系统运行的记录集，内容包括与数据、程序以及和系统资源相关的全部事件的记录，如机器的使用时间、敏感操作、违纪操作等。审计记录为电子文件真实性的认证提供了最基本的证据，借助系统日志，管理员可以分析出系统运行的情况，追踪事件过程，排除系统故障，侦察恶意事件，维护系统安全，优化对系统资源的使用。系统日志包括哪些内容必须根据文件系统的安全目标和操作环境个别设计。

（六）防写技术

防写技术是保障电子文件内容不被修改所采取的安全技术，其目的是通过技术手段来固定处于静态的电子文件的内容信息。大多数文件管理系统具有将运行其中的文件属性设置为“只读”状态的功能，在只读状态下，文件内容只能读取，不能更改，除非具有高级权限的用户来更改文件的“只读”属性。另一个简单的技术手段是将文件内容刻录到CD-R光盘、WORM磁盘等一次性写入存储介质上，这些不可逆式（无法改写已写入的内容）的存储载体有效防止了对静态电子文件内容的改动，保证了电子文件的真实性和完整性。