电子文件归档与管理规范

年5月29日电子文件归档与管理规范文档仅供参考<电子文件归档与管理规范>

<电子公文归档管理暂行办法>(6号令)

讲解国家档案局科研所邱晓威1、背景办公自动化、电子政务等技术的不断发展和普遍应用,电子文件已经和正在大量产生,并将进一步成为新产生文件的主体,做好电子文件归档与管理工作,已经成为新时期档案工作者面临的最大挑战和难题。对电子文件的产生和运行特性,已经有了基本的认识;对电子文件的归档与管理,已经研究制定了一些管理法规和技术标准,一些地方和单位已经开始进行电子文件归档与管理的具体工作;专门用于电子文件归档与管理的软件系统已经投入使用。中国的国内、国外的多项研究有了多项成果。能够说,对于电子文件我们已经不再陌生,电子文件归档与管理已经成为许多档案室工作的重要组成部分2、事例缅典巴甘的3900个佛塔历经1000多年可根据档案恢复原东德电子文件不能读取1985年美国的李教授宣布:1949年”哈弗马克3”计算机中的电子文件不能恢复1985年神户地震丢失部分电子文件1998年南京法庭认定电子文件为复印件不能作为直接证据1996年中国某部门OA系统中的电子邮件丢失1996年加拿大调查委员会宣布因管理不善,该国索马里驻军的电子文件失去凭证作用中国某银行每天将50万张单据电子化,但原件仍须保留只因每年有100余件法庭要求原件1997年美国GRS20规定可不保留电子文件,引发司法纠纷3、电子文件涉及的领域从中央到地方甚至村镇从内部办公到电子政务的窗口服务从单位运转到个人生活从行政管理到经济建设4、电子文件形式变化文字图形(光栅、矢量、三维、图形更迭动画、矢量图动画)音频视频多种媒体(网页、人员表格示例)人员登记表姓名:邱菲性别:女出生年月:1977.8相貌(照片)健康状况:(影像)文化程度:大学本科专长:软件制作、电脑美工简历:。。。。。。。。5、定义国家标准<电子文件归档与管理规范>中,电子文件的定义为:”电子文件指在数字设备及环境中生成,以数码形式存储于磁带、磁盘、光盘等载体,依赖计算机等数字设备阅读、处理,并可在通信网络上传送的文件。”6、电子文件定义及其包含的要素数字设备要素、数码信息要素、信息载体要素、网络环境要素、文件属性要素等。这些要素基本概括了电子文件的属性,能比较好的为档案工作者理解和接受,同时也有利于以此为依据指导工作。7、电子文件的基本特征对硬件和软件的依赖性。非直读性。信息与载体的相对分离性。结构复杂性、对背景信息和元数据的依赖性。信息共享的便利性和安全维护的复杂性。8、电子文件的产生和运行过程发文的产生和运行过程一般为:起草文件→处室领导意见(修改)→报送部门领导签批(修改)→文秘部门、办公厅(室)登记、赋予发文号(文字或形式修改)→报主管领导审查→单位领导签发→文秘部门加电子印章下发文件→文件暂存→电子文件归档;收文的产生和运行过程为:文秘部门接收文件、登记→报办公厅(室)领导→批转有关部门或主管领导→有关部门提出处理意见→报主管领导→报单位领导→根据领导签批意见办理→文件暂存→电子文件归档。照片和图象信息的传递:分割成若干个小块,在不同的路径上传递。特点:处理过程的连续性增强,信息本身在空间和时间上被分割。电子文件在收、发过程中,有内容与模版(格式)分离的方式例:发文方只发文件内容(文头、文尾);收文方预先存有模版(文头、文尾);收文后拼装成文件(文头、文尾)9、电子文件从生成到归档存在管理方法和制度上存在着不少问题管理不严,存在被删改的可能;电子文件处于文秘部门和档案部门分段管理状态,造成归档时背景信息不全;有的单位产生的电子文件不得不覆盖旧的电子文件,造成电子文件的不完整;有些部门的电子邮件形式的电子文件未明确收、发单位中谁负责归档,致使这类电子文件处于管理混乱的状态;有的电子文件存储过于分散,未实现集中脱机保管;还有的单位未考虑电子文件与纸质文件共同归档管理的适当办法;少数单位已采用了”无纸化”办公方式,对电子文件管理存在隐患;在部门内部的封闭网络中,电子文件的法律地位一般是处于被内部”默认”的状态,而一旦面向社会的法律效力仍难以被认可;载体随意;设备更新太快;信息格式混杂;身份识别漏洞;版本管理混乱;安全隐患多等。10、保证电子文件真实性的措施(1)保证电子文件的原始性。(2)保证原始性的基础上,建立真实性的认定方法和手续。(3)建立符合法律要求的电子文件真实性鉴定规则和程序。(4)明确电子文件真实性鉴定的执行部门和责任者。11、保证电子文件的完整性的要求(1)建立电子文件的收集和积累制度。(2)在电子文件管理系统中设立电子文件暂存空间。(3)在电子文件的处理过程中对必要的背景信息的项目作出规范化的要求,并随时进行登记。(4)制定电子文件元数据管理规范,并在电子文件归档或移交时按要求对元数据进行登录和说明。12、融入办公自动化的系统设计电子文件的产生和运行完全是由相关系统来实现的,不是文秘部门或档案部门采取手工干预来实现的,因此,在单位办公自动化系统功能设计之初,档案部门应该协同相关部门参与到整个办公自动化系统设计之中,提出相关要求,才能避免应系统设计缺陷造成归档电子文件的不完整、不真实和不可靠。13、电子文件归档的程序(1)确定电子文件是经过审批的最终”版本”;(2)积累和积累整理;(3)编制目录;(4)整理归档的电子文件;(5)鉴定归档的电子文件;(6)检测归档的电子文件;(7)编制归档说明;(8)存入磁光记录介质;(9)复制备份,确定保存方法和地址;(10)确定载体标识。14、电子文件的收集范围电子文件的收集范围,按照国家有关公文的收集范围规定执行。注意:草稿文件、起辅助作用或正式作用的电子文件、”无纸化”系统生成的电子文件,收集方法不同。对不同信息类型的电子文件,由于其技术特性不同,存储载体和记录信息的标准、压缩算法也不同,因此应分别采取措施保证其原始性、真实性、完整性。与纸质文件不同,电子文件的读取、还原,离不开其生成的软硬件环境和元数据等,因此电子文件收集、积累还必须包括这些内容。15、电子文件的积累方法与程序积累工作必须从电子文件形成阶段就开始。电子文件的积累是一项经常性、且必须按有关规定和标准进行的工作。电子文件的积累中不但应保证电子文件的原始性、真实性、完整性,同时,也应防止存有电子文件信息的载体丢失、损毁,为电子文件的归档打下坚实的基础。16、电子文件的积累范围按形成电子文件的形式分有:文本文件、数据文件、图形文件、图象文件等;按电子文件的功能分有:各种公文、文本文件(含检查、检测、鉴定文件)、设计文件、研究试验文件等。按归档要求应接收归档的电子文件。对未列入应接收归档的电子文件,有的也要收集,因为有时需要对一些项目做补充归档或扩大归档。17、电子文件的整理与归档电子文件的整理,是指按照一定原则和方法,将电子文件分门别类组成电子档案的一项工作。电子文件整理工作包括两个层次:一是对分类、排序的组织,二是对建立数据库的组织。18、归档范围确定电子文件的归档范围应遵守以下原则:按现行公文、科技等文件的有关归档范围执行;另外要考虑电子文件的特殊性,根据电子文件的形成规律,尽量具体列出阶段的、系统的、权威性的电子文件组合,保证电子文件的完整性;电子计算机的软硬件环境,表示电子文件内容的基本格式及有关元数据等也必须列入归档范围。19、归档时间电子文件的归档一般在年度或任务完成后,或一个阶段之后的一段时间内进行归档(称为阶段归档),实时归档亦可。因涉及到电子文件的技术环境条件,记录介质的质量、寿命等问题,一般以不超过2～3个月为宜。20、归档份数一般拷贝三套。两套异地保存,另一套提供借阅。不但要注意归档的份数,还要注意保存的方法和环境。21、电子文件的鉴定工作电子文件归档时的鉴定工作,主要是指鉴别它的档案价值,确定其保管期限,并据此删除已积累但无保存价值的电子文件,并予以销毁。也能够说,是保证归档的电子文件准确、完整、系统,确定档案属性的工作。第一、确定归档电子文件的原始性、真实性、系统性、完整性。第二、确定电子文件的价值和保管期限。22、电子文件归档载体的选择磁带是最早出现的磁记录介质,其标准化程度高。磁带作为存储介质宜用在:数据存储按顺序进行处理,而且在每次处理过程中几乎对文件的全部记录都要读取,数据存储量大而读取次数较少,适于作硬磁盘的备份载体。一般硬磁盘与驱动器装在一起,构成一个密闭系统,不易受周围环境影响,因此工作稳定性好、可靠性高;硬磁盘宜作为网络中联机存储与管理的电子文件载体。软磁盘不宜作档案的保存载体。因为软磁盘的存储容量低,要用若干张软磁盘去存储一盘磁带或一张光盘存放的信息,这不便于保管且易丢失;同时,软磁盘受环境影响易变形,而发生读写错误,从而使数据丢失,因此软磁盘不宜作为长期保存记录的载体。光盘有许多种分类,但最常见的是按光盘的固有特性和功能分类。光盘适用于存储大容量和利用率高的电子文件,也适合作多媒体系统的记录介质。23、标准对档案工作者所起作用(1)提供规范的管理模式;(2)提供超前管理的(从档案角度介入文件生成阶段工作)的依据;(3)提供具体的工作方法;(4)提供扩展和细化电子文件管理工作规范的基础。24、标准的应用范围及所针正确电子文件管理模式本标准以纸质文件和电子文件并存的”双轨制”中,纸质文件为主的文件管理应用阶段为重点,兼顾以电子文件为主,或”无纸”状态的一些管理情况,以求有较大的覆盖面和对发展的适应性。25、标准中以”电子文件”作为电子文件和电子档案的总称一是强调电子文件管理全过程控制的连续性和处理过程的一体化,实际管理过程中也很难参照传统的档案管理模式,以某个环节截然分成”文件”和”档案”;二是国际上的一些类似规范和相关文献中,一般不特意区分电子文件和电子档案;三是”电子档案”的概念具有多样性,例如包括了磁带中的模拟音像档案、纸质档案的数字化转换信息等;四是中国”无纸”电子文件归档保存还相对较少,电子文件大规模进入档案馆还有一段时间,标准可按今后发展情况进行修改。26、电子文件的构成要素内容、背景和结构。内容是指与电子文件行文目的有关的主题信息,包括正文、附件等。背景是指描述生成电子文件的职能活动、电子文件的作用、办理过程、结果、上下文关系以及对其产生影响的历史环境等信息。结构是指电子文件内容排列、各构成部分之间的连接方式、相关文件之间的关系以及在存储器中的构成。27、对元数据的认识元数据是指描述电子文件数据属性的数据,包括文件的格式、编排结构、硬件和软件环境、文件处理软件、字处理和图形工具软件、字符集等数据。(随着保管过程的延续,元数据会不断地变化或补充)在此定义中特意将表述分为两个部分。前一部分所谓”数据属性的数据”,主要就是指”数据的数据”。之因此强调了”属性”,是因为元数据与数据是映射关系。元数据与电子文件是函数关系。电子文件为变量(各个文件之间存在差别),元数据为函变量。这与<现代科学技术词典>关于属性的解释一致:”属性是包含有关某变量的信息的一种数据项”。电子文件管理的着眼点应当是对电子文件产生全过程的控制和一体化的管理。解决电子文件法律地位的关键问题不是对单个电子文件和与其相关的元数据如何处理,而是针对产生电子文件的系统和过程进行管理和控制,电子文件法律地位的确定也主要是针对系统和文件生成过程的合法性认定。换言之,符合要求的系统和生成过程产生的电子文件,法律上即能够认定其具有法律效力。这是国际上的惯例和共识。澳大利亚”网络环境下管理和存储信息资源的文件管理元数据标准”(简称SPIRT)中的元数据框架包扩4个实体类型(载体、外部特征、内部元素、附加说明等),下含51个元素。加拿大不列颠哥伦比亚大学和美国国防部文件管理特别工作组”保证电子文件的完整性”的研究项目中确定的元数据项目有5个方面(外在特征、内在特征、附加信息、背景信息、载体等)26个元素。VERS(维多利亚电子档案战略)元数据标准中最多可4层,子集封装实体,实体封装元素,包含2个子集,139个实体和元素。ISO/TC211元数据标准草案确定了两级元数据,其中一级元数据包括55个元数据实体和元素,二级元数据包括8个子集和3个可重复使用的实体,共452个实体和元素。中国国家社科基金支持的重点项目”电子文件真实性、完整性安全性保证及其法律地位的认定研究”所制作的示范系统中,对元数据的选取有8类(标识、背景、内容、结构、期限与条件、处理、保存历程、附注等),含52个元素。28、对逻辑归档的认识逻辑归档是指在计算机网络上进行,不改变原存储方式和位置而实现的将电子文件的管理权限向档案部门移交的过程。适合与按阶段或短期内临时采取的实时归档的操作,应注意它不是最终的归档操作。29、对物理归档的认识物理归档是指把电子文件集中下载到可脱机保存的载体上,向档案部门移交的过程。其核心是将电子文件脱机保存,从而完成对电子文件的归档工作。30、对真实性的认识指对电子文件的内容、结构和背景信息进行鉴定后,确认其与形成时的原始状况一致。这一认识强化了鉴定和认证的过程与结果,为解决电子文件的法律地位进行了准备。31、对完整性的认识完整性是指电子文件的内容、结构、背景信息和元数据等无缺损。应当说完整性是保证电子文件真实性的基础,只有确认了完整性才能够确定其真实性。32、对有效性(可用性)的认识这里的有效性实际上指的是电子文件的可用性,即电子文件应具备的可理解性和可被利用性,包括信息的可识别性、存储系统的可靠性、载体的完好性和兼容性等。它是保存电子文件过程中必须随时关注的问题,一旦在这方面出了问题,即使电子文件的载体保存的很完好也将失去意义。33、对”捕获”的认识捕获是指对电子文件进行实时收集和存储的方法与过程。它强调了对电子文件的主动采集,避免因电子文件及相关各类信息暂时不能固定存储位置而出现的种种问题。由此可见,电子文件的收集与一般文件的被动积累方式确有很大的差别。34、对”迁移”的认识迁移是指将源系统中的电子文件向目的系统进行转移存储的方法与过程。这里强调了对电子文件转存时信息处理的规模,及系统设备的更新等环境情况发生变化时必须进行的操作。35、关于电子文件归档管理的总则(1)关于制度和技术措施两种管理手段的结合管理(2)体现管理的超前性和连续性(3)保证电子文件的管理质量(4)双轨制应注意的问题(5)对需永久保存的电子文件采取的措施(6)对保证有效凭证的要求36、对保证真实性、完整性的要求出发点是为实现电子文件的法律效力创造条件,做管理方法上的准备。法律效力要求的因素有:生成目的明确、按合法程序产生、凭证信息有效、来龙去脉清楚、与其它相关文件关系完整、未经非法改动或没有訛误。在上述要求基础上建立相关法律体系。37、保证完整性的要素文件内容、背景、结构信息齐全;相关文件无短缺;文件描述和与其它文件的关系等信息无缺损。强调了单分文件构成信息的完整,也强调了文件之间关系信息的完整。38、保证真实性的要素全过程连续监控或管理;操作者身份鉴别;处理权限匹配;文件流程控;文件部件防错漏;传输渠道安全;存储管理可靠;检验手段完备。39、保证有效性的要素设备更新后的信息迁移;信息设备的兼容性管理;载体的妥善保管。40、真实性完整性和有效性保证的要求和措施(1)要求建立规范的制度和工作程序并结合相应的技术措施,从电子文件形成开始不间断地对有关处理操作进行管理登记,保证电子文件的产生、处理过程符合规范。措施包括:登记处理过程中相互衔接的各类责任者(如起草者、修改者、审核者、签发者等)。登记处理过程中的各类操作者(打字者、发文者、收文者、存储管理者等)。登记处理过程中产生的责任凭证信息(批示、签名、印章、代码等)。登记电子文件传递、交接过程中的其它标识。(2)要求采取可靠的安全防护技术措施,保证电子文件的真实性。措施包括:建立对电子文件的操作者可靠的身份识别与权限控制。设置符合安全要求的操作日志,随时自动记录实施操作的人员、时间、设备、项目、内容等。对电子文件采用防错漏和防调换的标记。对电子印章、数字签署等采取防止非法使用的措施。(3)要求建立电子文件完整性管理制度并采取相应的技术措施采集背景信息和元数据。(4)应建立电子文件有效性管理制度并采取相应的技术保证措施。(5)要求电子文件的处理和保存符合国家的安全保密规定,针对自然灾害、非法访问、非法操作、病毒侵害等采取与系统安全和保密等级要求相符的防范对策,主要有:网络设备安全保证;数据安全保证;操作安全保证;身份识别方法等。41、电子文件的登记(1)每份电子文件均应在表A.1<电子文件登记表>中登记,见附录A。(2)电子文件登记表应与电子文件同时保存。(3)电子文件登记表如果制成电子表格,应与电子文件一同保存,永久保存的电子表格应附有纸质等拷贝件并与相应的电子文件拷贝一起保存。42、鉴定(1)电子文件的鉴定工作,应包括对电子文件的真实性、完整性、有效性的鉴定及确定密级、归档范围和划定保管期限。(2)归档前应由文件形成单位按照规定的项目对电子文件的真实性、完整性和有效性进行检验,并由负责人签署审核意见,检验和审核结果填入表A.3<归档电子文件移交、接收检验登记表>,见附录A。如果文件形成单位采用了某些技术方法保证电子文件的真实性、完整性和有效性,则应把其技术方法和相关软件一同移交给接收单位。”(3)电子文件的归档范围参照国家关于纸质文件材料归档的有关规定执行,并应包括相应的背景信息和元数据。(4)电子文件保管期限和密级的划分工作,参照国家关于纸质文件材料密级和保管期限的有关规定执行。电子文件的背景信息和元数据的保管期限应当与内容信息的保管期限一致。应在电子文件的机读目录上逐件标注保管期限的标识。43、归档时间逻辑归档可实时进行,物理归档应按照纸质文件的规定定期完成。44、检测在进行电子文件归档工作时,应对归档电子文件的基本技术条件进行检测,检测内容包括:硬件环境的有效性,软件环境的有效性及其信息记录格式、有无病毒感染等。45、归档电子文件的归档,按照鉴定标识进行。电子文件的归档可分两步进行,对实时进行的归档先做逻辑归档,然后定期完成物理归档。归档时,应充分考虑电子文件的技术环境、相关软件、版本、数据类型、格式、被操作数据、检测数据等技术因素。(1)逻辑归档将电子文件的管理权从网络上转移至档案部门,在归档工作中,存储格式和位置暂时保持不变。(2)物理归档凡在网络中予以逻辑归档的电子文件,均应定期完成物理归档。把带有归档标识的电子文件集中,拷贝至耐久性好的载体上,一式3套,一套封存保管,一套供查阅使用,一套异地保存。对于加密电子文件,则应在解密后再制作拷贝。46、归档电子文件的整理(1)归档电子文件的整理按DA/T22规定的要求进行。(2)归档电子文件以件为单位整理。(3)同一全宗内的电子文件按照年度—保管期限—机构(问题)或保管期限—年度—机构(问题),等分类方案进行分类。(4)电子文件类别代码相对集中组织存储载体。(5)电子文件的著录应参照DA/T18进行著录,同时按照保证其真实性、完整性和有效性的要求补充电子文件特有的著录项目和其它标识(参见标准中的”5电子文件的真实性、完整性和有效性保证”中列举的责任者、操作者、背景信息、元数据等)。(6)将著录结果制成机读目录和纸质目录。47、移交、接收与保管对归档电子文件,应按有关规定进行认真检验。在检验合格后将其如期移交至档案馆等档案保管部门,进行集中保管。在已联网的情况下,归档电子文件的移交和接收工作可在网络上进行,但仍需履行相应的手续。48、保管要求归档电子文件的保管除应符合纸质档案的要求外,还应符合下列条件。(1)归档载体应作防写处理。避免擦、划、触摸记录涂层。(2)单片载体应装盒,竖立存放,且避免挤压。(3)存放时应远离强磁场、强热源,并与有害气体隔离。(4)环境温度选定范围:17℃～20℃;相对湿度选定范围:35%～45%。(5)归档电子文件在形成单位的保管,也应参照上述条件。49、迁移随着系统设备更新或系统扩充,应及时对归档电子文件进行迁移操作,并填写表A.7<归档电子文件迁移登记表>,见附录A。50、利用(1)归档电子文件的封存载体不应外借。未经批准任何单位或人员不允许擅自复制电子文件。(2)利用时应使用拷贝件。(3)利用时应遵守保密规定。对具有保密要求的归档电子文件采用联网的方式利用时,应遵守国家或部门有关保密的规定,有稳妥的安全保密措施。(4)利用者对归档电子文件的使用应在权限规定范围之内。51、归档电子文件的鉴定销毁(1)归档电子文件的鉴定销毁,参照国家关于档案鉴定销毁的有关规定执行,且应在办理审批手续后实施。(2)属于保密范围的归档电子文件,如存储在不可擦除载体上,应连同存储载体一起销毁,并在网络中彻底清除。不属于保密范围的归档电子文件可进行逻辑删除。52、本标准与其它标准的关系(1)本标准是电子文件标准体系中的一个。(2)与其相关的标准涉及各个工作环节、信息标识、设备使用、信息传输、信息存储、安全、保密、法律效力等。(3)本标准与其它国家标准(GB)、行业标准(DA)、地方或部门标准,直至基层规定等构成综合规范化体系。53、与国家档案局6号令的关系(1)原则要求一致;(2)6号令为强制性规定,对象主要为国务院办公厅统一配置的电子公文传输系统处理后形成的规范格式的公文的电子数据”全国政府系统办公业务资源网电子邮件系统”平台上的电子公文;(3)本标准为非强制性标准,对象为公务活动生成的所有电子文件;(4)6号令的未尽事宜,参照本标准54、根据本标准制定地方和部门的电子文件管理规范细则应采取的原则(1)地方标准的制定应建立在国家标准原则基础上,做到兼容,不产生原则冲突。(2)优先考虑制订或完善相关制度,其次是采取配套的技术措施。(3)掌握本地(部门)信息化管理的工作模式,综合考虑电子政务、数字档案馆建设等要求。(4)明确人员、设备环境、信息管理等方面上可能出现的问题和漏洞,采取针对措施。(5)与国家标准衔接,进一步深化措施,形成符合本地(部门)要求,而且操作性强的规范细则。55、对电子文件各种表格的管理标准规定的表格能够是以电子表格为基础设计的,只要在程序设计时提出要求,其中的项目和内容绝大部分能够由计算机自动在电子文件管理过程中采集,只要在管理软件系统设计时提出设计需求,就能做到基本不增加人工管理的工作量。56、电子文件归档后有些信息才能到位或信息仍有变化的应对办法标准中对背景信息和元数据的管理中考虑到这种情况。一般要求背景信息在归档时必须完整,如暂时不全就应适当推迟归档。归档后的元数据还可能变化,需要在保管过程中随时维护,如遇到系统更新,格式转换等情况时须随时进行变更。57、电子文件归档时的签署标准规定为保证电子文件的凭证作用,在归档时应有法人的签署。为便于操作或减轻领导的工作量,一些单位采取的做法可供参考:领导正式授权由档案部门在归档鉴定时替法人进行签署;如果电子文件归档前法人有变更,由现任法人签署。58、关于对归档电子文件的”异地”保存的理解确定”异地”方式时,应综合考虑电子文件的保管安全等级或重要程度。可从不在一个建筑物、不在一个街区、不在一个城市、跨越多个省市等范围进行选择。一般情况是安全等级越高,”异地”相隔距离越远。59、担心电子文件的真实性、完整性等要求会增加工作量,使人难以接受实际上,根据一些单位的实践,所有要求应在办公自动化系统或电子公务系统设计时提出,将规定包含在系统功能之中,可不增加或尽量减少人工干预。结束联系电话:E-mail:地址:北京西城区丰盛胡同21号国家档案局科研所邱晓威邮政编码:100032再见电子签名法及其应用国家档案局科研所邱晓威一、背景高层启动快速出台:3月24日,在温家宝总理主持的国务院常务会议上,<电子签名法(草案)>获得原则经过,随即被提交全国人大讨论。4月2日,十届全国人大常委会第八次会议第一次对该法进行的审议,6月21日,十届全国人大常委会第十次会议又再次对该草案进行了审议,8月28日第十届全国人民代表大会常务委员会第十一次会议经过<电子签名法>,4月1日实施。电子签名也称作”数字签名”,是指用符号及代码组成电子密码进行”签名”来代替书写签名或印章,它采用规范化的程序和科学化的方法,用于鉴定签名人的身份以及对一项数据电文内容信息的认可。”电子密钥”,是电子签名的工具,是网络环境中的一个”公共安全设施”和”安全认证机构”支持下的技术产品,里面包含的”数字证书”证明您的唯一身份;相当于您的网络身份证;在网络上进行电子签名,保障了电子交易的安全。8月28日十届全国人大常委会第十一次会议表决经过了<电子签名法>,国家主席胡锦涛签署第十八号主席令予以公布,4月1日电子签名法重点解决五个方面的问题(一)确立了电子签名的法律效力;(二)规范了电子签名行为;(三)明确了认证机构的法律地位及认证程序;(四)规定了电子签名的安全保障措施;(五)明确了电子认证服务行政许可的实施机关。信息产业部关于贯彻电子签名法四方面意见第一、要把贯彻实施<电子签名法>当作推进信息化和依法行政的一件大事来抓。

第二、充分认识<电子签名法>必要性和重要意义。

第三、加强和完善电子认证服务业管理,为<电子签名法>实施提供坚实保证。

第四、严格依法行政,认真履行管理职责。虚拟成为现实:从上世纪八十年代至今,以互联网和电子商务为代表的信息产业获得了飞速发展,世界也随之迈入网络时代。起初,人们认为网络是虚拟的时空,其上所发生的一切行为都与现实世界无涉,但这一认识很快就被各种因数据交换和互联网而频繁发生的纠纷所否定——从电子商务的交易安全问题到域名争端,从版权革命到隐私权的保障,事实证明,网络其实是与现实世界紧密连结的整体,而绝非虚幻。

电子商务发展迅速:据瑞士信贷银行发表的报告显示,世界电子贸易从开始,将以每年翻一番的速度增长,全球经过互联网进行的贸易总额预计达到1.24万亿美元。

,全球电子商务贸易总额已达1.48万亿美元。中国全年电子商务交易额达2700多亿元人民币;预计到,中国全年电子商务交易额将超过一万亿元人民币。

到底,中国电子商务网站总量为4200多个;

互联网用户达7900多万,其中宽带用户达1200多万。

另据不完全统计,当前全国从事电子认证的机构已有70多家。技术基础深厚:由于电子商务的交易各方不再像过去一样面对面磋商,为了证明交易人的真实性,确保交易安全,先后出现了多种不同的技术,如对称或非对称密钥、指纹识别、声波识别等等。能够说,如果仅从技术角度考虑的话,以非对称密钥为代表电子签名技术已经完全能够满足商业交易过程中的”签章”需求,其防伪能力大大高于纸面文件上的传统手写签名——如果经过穷举的方法破解现有数字签名技术所产生的密钥,需要集中全世界现有的计算机并行计算上百年的时间。急需法律认可:仅靠技术手段不能解决涉及法律的现实问题。以电子签名技术本身的为例,在众多的方案中,究竟什么样的签名技术才能受到法律的承认?什么样的数据电文才能作为证据在法庭上使用?消费者的隐私权和交易者的商业秘密如何保障?谁能够作为认证电子签名的权威机构?电子签名失效后仍被使用的法律责任由谁来承担?等等诸多问题均不是能够单纯依靠技术解决的。要真正保障交易安全,使业已成熟的技术发挥其应有的作用,相应的法律制度是不可或缺的条件。国际社会相继解决:上世纪八十年代,联合国贸法会为代表的国际组织,制定有关计算机上的数据认证和电子签名的法律文件,形成了以<电子商务示范法>和<统一电子签名规则>为代表的一系列示范性文本供各国立法参考。美国的尤她州于1995年颁布的<数字签名法>是全世界范围内第一部全面规范电子签名的法律。欧盟和欧洲各国也很快出台了相关法律。以印度、新加坡、马来西亚为代表的一批发展中国家,为了在信息网络时代的竞争中取得优势,也早已颁布了规范电子签名和电子商务运行的法律。至今世界上已有数十个国家出台了与之相关的实质性规范。中国已有行动:广东、上海等地较早完成了与数字签名有关的地方性法规和规章的建设,并出现了一些电子签章的认证机构。中央一级的立法从开始,当时国务院信息办委托有关单位开始起草<中华人民共和国电子签章条例>,最初的定位是行政法规,但在网络经济和数据电讯事业迅猛发展的背景下,国务院决定直接将该立法的层级提高为法律。在对原来起草的条例内容进行了较大幅度的修改后,形成了<中华人民共和国电子签名法>。二、主要内容和意义解决司法实践中亟待回答的问题,扫清网络交易行为的障碍

在中国,关于计算机储存和传输的数据的证明效力问题,一直没有实证法意义上的答案。很重要的原因,在于人们的惯性思维中,对计算机数据的安全性和原始性一直存在疑虑,认为凡是计算机上的数据都很容易被篡改,因而很难起到有力的证明作用。1999年中国新颁布的合同法中,才开始将数据电文(包括电报、电传、传真、电子数据交换和电子邮件等)纳入”书面形式”的范畴,当时曾被作为立法中的一个创新。可是,网络时代的发展常常比人们预想的还要快,合同法中的简单规定实际上并不能适应形势的发展。明确界定了数据电文的概念及其法律效力。将以电子、光学、磁或者类似手段生成、发送、接收或者储存的信息,包括电子数据交换、电子邮件、电报、电传或者传真等都纳入到其中,较为完整地定义了电子签名过程中的这一关键概念。同时,专门对数据电文的法律效力,数据电文的发送和接受地点的认定等内容进行了规定。借鉴联合国电子商务示范法等立法例规定不得仅仅以是数据电文本身为理由,拒绝将其作为证据使用,并具体阐明了司法机构在审查数据电文真实性时所依据的标准,从而在法律上清楚地肯定了数据电文的证明效力。这一点,在电子签名法乃至整个网络时代的法律制度中都非常重要——只有承认数据电文的证明力,才可能使参与到电子商务中的交易各方受到法律的保护,扫清电子商务、电子政务运行过程中的法律障碍。为互联网从单纯的媒体时代过渡到全面应用时代奠定基础

作为一种新兴的媒体,互联网的力量已经为世人所共知。但实际上,网络的数据传输和信息交换作用远不只限于媒体领域。只要有完整的法律制度和成熟的市场,网络完全能够为人们生产生活的各个部分提供帮助。

电子签名法就是这一完整的法律制度中的重要一环。电子签名获得法律效力,意味着互联网上用户的身份确定成为可能。使用电子签名业务的用户将不再对与其交流信息的对方一无所知,在这个基础上,网络才有可能真正跃出媒体之外,充分运用到政务、商业、科学研究、日常生活等诸多方面,从而使”虚拟空间”真正全面地与现实世界接轨。规范网上行为,保障用户的各项权利

尽管电子签名技术本身已能够确保其真实性,但由于网络时代的随机性和选择空间的同时增大,加之有相对复杂的技术原理。普通人很难确知其所采用的电子签名的可靠程度。因此,法律中有必要对电子签名的认证过程、数据电文的传输规则、电子签名服务者的责任等问题作出规范,以保障人们的各项权利不受侵害。规定了认证机构的资质条件和认证机构的责任。明确提到:电子认证服务提供者应当保证电子签名证书内容在有效期内完整、准确,并保证电子签名依赖方能够证实或者了解有关事项。在举证责任上,草案采严格责任主义,规定电子签名人或者电子签名依赖方在电子签名活动中依据电子认证服务提供者提供的服务从事商务活动,遭受损失的,电子认证服务提供者不能证明自己无过错时,应当依法承担相应的民事责任。将签名的认证机构暂停或终止认证业务时其业务的承担问题做了规定,从而保障了用户的利益。另外,还具体界定了”安全电子签名”条件,只要符合这些条件的电子签名,就具有与手写签名或者盖章同等的效力,等等。这些规范的意义在于,确保电子签名的效力持久性,降低了用户的权益受损害的可能性。在确保与中国法律体制相容的前提下,初步完成与世界的衔接,并具有一定的开放性

互联网之因此能够普及,一个关键的因素就在于其采用的是全球统一的技术协议。同样的,对于电子签名法律制度而言,也必须最大可能地做到全球的统一协调。这就是为什么联邦制的美国、国家间的联盟、欧盟乃至国际组织联合国都较快地制订出统一的法律或示范条款的原因。同样的,中国的电子签章制度也必须在总的原则上与国外的规则相一致。在一定程度上强调了立法本身的可扩展性。例如,它没有具体指定必须确立哪一种电子签名技术,而只是对安全电子签名及其认证机构所需达到的条件作出要求,为未来网络产业的发展提供了较宽广的空间。另外,其并非完全是强行性的规范,它允许电子签名的使用者自主协商确定数据电文发送和接收的标准,这实际上也为未来技术的进一步发展提供了制度上的可能性。待完善之处:有以下几个方面还需要进一步完善:一是关于电子签名的适用范围问题,当前的草案仅将其限制在电子商务为主,关照到电子政务,未能涵盖电子签名更广泛的应用;二是对交易主体的民事责任的规范较少,存在偏重行政责任,忽视民事责任的问题;三是关于用户隐私和商业秘密的保护方面的内容也还有待补充;四是电子签名认证机构的条件过于笼统,可能引起行政自由裁量权过大的问题,多个认证机构间的交叉认证等行为也未纳入草案视野。三、应用涉及的问题什么是电子签名?是指数据电文中所含用于识别签名人身份并表明签名人认可其中内容的程序或者符号、声音等数据。也就是经过密码技术对电子文档的电子形式的签名,并非是书面签名的数字图像化,它类似于手写签名或印章,也能够说它就是电子印章。电子签名与传统的手写签名和盖章具有了同等法律效力。当事人需约定使用。电子签名法规定,民事活动中的合同或者其它文件、单证等文书,当事人能够约定使用或者不使用电子签名、数据电文。当事人约定使用电子签名、数据电文的文书,不得仅因为其采用电子签名、数据电文的形式而否定其法律效力。法律规定,电子签名必须同时符合”电子签名制作数据用于电子签名时,属于电子签名人专有”、”签署时电子签名制作数据仅由电子签名人控制”、”签署后对电子签名的任何改动能够被发现”、”签署后对数据电文内容和形式的任何改动能够被发现”等几种条件,才能被视为可靠的电子签名。法律还规定,当事人也能够选择使用符合其约定的可靠条件的电子签名。伪造冒用盗用可判刑。不用亲临现场,仅出具双方的”电子版”公章,也能使合同即时生效。<电子签名法>规定,可靠的电子签名与手写签名或者盖章具有同等的法律效力。届时,消费者可用手写签名、公章的”电子版”、秘密代号、密码或人们的指纹、声音、视网膜结构等安全地在网上支付、交易及转账。电子印章去哪儿”刻”?几乎在<电子签名法>生效的同时,国内首家对公众提供电子印章商业服务的机构。”书生电子印章中心”3月30日在北京挂牌成立。该中心将面向政府机构、企业及个人提供电子印章的制作、发放、用章、验证、管理以及书面证据、原件证据、存档证据的生成与验证等技术和服务。电子印章技术的创造人书生公司董事长王东临介绍说,”电子印章技术有效地消除了电子签名的应用障碍,该技术将数字证书、CA、数字签名、PKI这些艰深的技术和概念完全隐藏在电子印章的后面,使人们就像在白纸黑字上签字盖章一样使用电子签名,凭日常经验就能使用,无须额外学习理解。电子签名法生效瑞星潘石屹签首份电子合同久经商场的潘石屹虽然签署过无数合同,但这却是她第一次签署电子合同,潘也随即成为中国电子签名第一人。随后,瑞星公司的代表马刚在与SOHO中国的<瑞星杀毒软件中小企业版销售合同>上盖上电子印章,使瑞星公司成为中国第一个进行电子签名的企业。在签约现场我们看到,潘石屹和马刚在签约前仅仅用短短的5分钟时间就学会并掌握了用电子印章进行电子签名的方法,这表明了普通老百姓都能够很容易地用书生电子印章签署有法律效力的电子文件。电子签名到底是不是安全可靠?电子签名过程中要”加密”、”解密”,当事人双方使用的”密钥”是随机产生的,由1024位乱码组成,实际破译的概率是零,要经过10的19次方次的运算才能破译,这个运算量需要集中全世界现有的计算机计算上百年才能完成。可见,电子签名安全、可靠,只要自己不失密就万无一失。说到安全性,人们更担心如何阻止”造假者”进行电子签名。对此,明确规定,电子签名人向电子认证服务机构申请电子签名证书,应当提供真实、完整和准确的信息,电子认证服务机构应当对申请人的身份进行查验,并对有关材料进行审查,做出是否签发电子签名证书的决定。根据CNNIC的统计,全国9000多万名网民中,有四成以上曾进行过网上交易。但网上主要的”货币流通”方式存在着很大的安全隐患。眼下一般的支付方式是用户登录网页,选择自己需要的服务和商品后,根据提示信息转到另一个支付的网页,输入自己的银行卡账号和由数字、字母组成的传统密码,来完成金额支付。<电子签名法>的出台将有助于解决上述问题。使用电子签名之后,按照当前的技术手段,其加密技术极难破解,无法伪造,因而黑客很难破译。即便黑客知道了你的网络银行账号,也没办法从你的账户取走一分钱。业内人士认为,要破解数字证书的密码,靠几百台计算机需要几个月的计算时间。因此我们能够说<电子签名法>的实施将大大增强电子交易的安全性,保障网上交易者的信心,从而吸引更多社会力量和网民的参与。计世网消息短短半年的时间,数字签名加密算法的两座大厦先后倒塌——MD5和SHA-1这两种应用最为广泛的数字签名加密算法都被山东大学的王小云教授破解,业界为这次数字签名遭遇的”9.11”事件感到震惊的同时,也开始对今天广泛应用的数字签名算法体系进行反思,中国于4月1日开始实施的<电子签名法>也开始承受各种压力。在参加过国际密码学会议(Crypto’)的专家们看来,”一觉醒来,一切都变了”。来自中国山东大学的王小云教授在Crypto’上做的破译MD5、HAVAL-128、MD4和RIPEMD算法的报告,令在场的国际顶尖密码学专家都为之震惊。该次会议的总结报告中这样写道:”我们该怎么办?MD5被重创了;它即将从应用中淘汰。SHA-1依然活着,但也见到了它的末日。现在就得开始更换SHA-1了。”MD5算法是1991年发布的一项数字签名加密算法,它当时解决了MD4算法的安全性缺陷,成为应用非常广泛的一种算法。作为Hash函数的一个应用实例,MD5本身也存在漏洞,但在十多年的研究及应用过程中,人们一直没有找到能够在可接受的时间及计算能力范围内迅速破解该算法的技术,因而这种理论上的瑕疵并没有影响MD5的应用。事实上,以MD5为应用代表的Hash函数的研究在国际密码学界早已不是热门,因而,王小云在”Crypto’”上发布的报告令整个密码学界醍醐灌顶,国际同行们开始研究王小云的理论,希望能沿着这条新路找到更多宝藏。在MD5被王小云踩在脚下之后,世界密码学界依然认为SHA-1是安全的算法。2月7日,美国国家标准技术研究院(NIST)对外宣称,SHA-1还没有被攻破,而且也没有足够的理由怀疑它会很快被攻破。仅在一周之后,王小云教授再度令世界密码学界大跌眼镜——SHA-1也被她”碰撞”了。SHA-1的应用范围或许比MD5更加广泛,其安全性较MD5要高出很多。SHA-1是美国国家标准技术研究院(NIST)与美国国家安全局(NSA)共同设计的,一些重要的场合都选择SHA-1来做数字签名。美国政府更是早在1994年就开始采用了SHA-1算法。因此,SHA-1被破的消息一经传出,在国际社会的反响甚至超出半年前MD5被破时的情景。NIST表示,为配合先进的计算机技术,美国政府5年内将不再使用SHA-1,并计划在前改用先进的SHA-224、SHA-256、SHA-384及SHA-512的数字签名加密算法。在中国,MD5和SHA-1也是在实际应用中最广泛的两种数字签名算法,包括网上银行等金融业务在内的很多数字签名都采用SHA-1或MD5算法。在<电子签名法>实施后,数字签名算法的可靠性将提升到可影响司法取证结果的高度。王小云教授取得的成果之因此能引起全球密码学界的广泛关注,一方面是由于在实用密码体系中MD5和SHA-1确实是应用最为广泛的极为重要的两个算法,因而这个成果具有难以估量的实际意义;另一方面则是因为她创造了一种能够迅速而有效地验证一系列Hash函数算法健壮性的工具,从而令Hash函数的一些隐含弱点更快地暴露在人们眼前,这在学术研究上具有更大的理论价值。MD5和SHA-1就曾经被认为是足够安全的Hash算法。虽然早在1994年就有研究报告指出,如果用运算能力最强的机器,平均用24天就可能找到一个MD5的碰撞,但这个方法的效率和成本在现实中并不具备实际的意义。王小云在接受本报记者独家采访时透露,她独创的”模差分”算法能够用一般性能的计算机在两个小时内就找到MD5的碰撞,已经为实际应用提供了可能。<电子签名法>的主要适用范围是电子商务还是电子政务?原来曾经说<电子签名法>是开展电子政务亟需制定的两部法律之一(另一部是<政务公开法>)。正式出台的<电子签名法>主要还是面向电子商务应用需求的。<电子签名法>第一章第一条就明确说明,立法目的是为了保障电子商务交易安全,促进电子商务的发展,与电子政务基本上没有关系,仅在最后的附则中以”国务院或者国务院规定的部门能够制定政务活动和其它社会活动中使用电子签名、数据电文的具体办法”这样的条款为电子政务的应用开了一个口子。这是因为电子政务同民事活动的性质有所不同,为了尽快出台法律,<电子签名法>最终限定在电子商务领域。国家是否制定了有关的具体办法?8月24日国务院颁布了修订后的<国家行政机关公文处理办法>,其中第55条规定”公文处理中涉及电子文件的有关规定另行制定”。8月,国务院办公厅据此制定了<电子公文传输管理暂行办法>,其后于9月21日修订后颁布了<电子公文传输管理办法>,其中明确规定,电子公文与相同内容的纸质公文具有同等法定效力。该办法中也在概念上对电子公文作了明确界定,只有国务院办公厅统一配置的电子公文传输系统处理后形成的具有规范格式的公文的电子数据才具备上述法定效力。电子签名必须采用PKI/CA方式吗?很多人都以为只有采用PKI和CA才能进行电子签名,实际并不然。PKI和CA只是电子签名的众多技术中比较常见的一种。<电子签名法>本着技术中立的原则,并不指出哪种技术更为先进,哪种技术是安全的,只要求该技术满足本法的规定、或当事人自行选择的就能够。<电子签名法>规定只要能够满足以下四个条件的电子签名就被视为安全的电子签名:(一)电子签名生成数据用于电子签名时,属于电子签名人专有;(二)签署时电子签名生成数据由电子签名人控制;(三)签署后对电子签名的改动能够被发现;(四)签署后对数据电文内容和形式的改动能够被发现。<电子签名法>还规定了”当事人也能够选择使用符合其约定的安全条件的电子签名”。这是因为<电子签名法>遵循”最少干预、必要立法”的原则,制定<电子签名法>的主要是目的是为数据电文、电子签名的法律有效性消除法律障碍,至于具体方式方法充分尊重当事人自治,政府尽量少地干预。电子签名具有如下几个特征:1、确认电子记录签署者身份。在电子签名过程中,私钥只能为发文者独自拥有,正常情况下没有其它人能够拥有和使用。2、确认内容的完整性和准确性。原文资料在经过多次加密和解密,以及公共密钥与私人密钥的完全对应性特征,经电子签名的文件资料内容不能轻易被篡改。3、收付方验收证件过程是公开的。验证方在验证文件时是使用发件方提供的公共密钥,任何人都能够验证。PKI/CA认证能够满足电子签名的要求。

CA(Certificate

Authority)身份认证,能够对网上身份的合法性进行校验。但由于CA很难解决数据传输中的安全性和完整性,因此它一般都需与PIK技术一起进行应用(PKI/CA)。CA是受一个或多个用户信任,提供用户身份验证的第三方机构。证书一般包含拥有者的标识名称和公钥,而且由CA进行过数字签名。

CA的功能主要有:接收注册请求,处理、批准/拒绝请求,颁发证书。用户向CA提交自己的公共密钥和代表自己身份的信息(如身份证号码或E-mail地址),CA验证了用户的有效身份之后,向用户颁发一个经过CA私有密钥签名的证书。PKI(Public

Key

Infrastructure)是公钥基础设施。在网上身份认证过程中,各个用户经过公钥来传递数据,并使用掌握在自己手中的私钥来对信息和数据予以解密,从而解决CA认证问题。PKI是一种建立在公开密钥技术之上的信息安全体系结构,主要包括两方面的内容:一是数字签名,该技术能够保证所传输信息的完整性;另一内容是加密,用户在使用公开密钥法对信息进行加密后,在解密时使用的密钥无须在Internet上传输,这样就避免了密钥被人窃取后造成信息的暴露。但PKI又无法保证用户身份的确认,于是出现了PKI/CA这一完整的CA认证概念。PKI/CA在电子签名中的工作过程:采用公开密钥加密体制,即利用一对互相匹配的密钥进行加密、解密。每个用户自己设定一把特定的仅为本人所知的私有密钥(私钥),用它进行解密或签名;同时设定一把公共密钥(公钥)并由本人公开,为一组用户所共享,用于加密或验证签名。当发送一份保密文件时,发送方使用接收方的公钥对数据加密,而接收方则使用自己的私钥解密,这样信息就能够安全无误地到达目的地了。用户也能够采用自己的私钥对信息加以处理,由于密钥仅为本人所有,这样就产生了别人无法生成的文件,也就形成了数字签名。利用HASH算法,一份签过名的文件如有改动,就会导致数字签名验证过程的失败,这样就保证了文件的有效性。以数字证书为核心的数字签名、数字信封、安全传输等加密技术,使得在Internet网上数据传输的安全性、可靠性、保密性、真实性以及交易的不可抵赖性能够实现。中国诉讼证据学对证据的要求体现为:客观性、合法性、关联性。由于用户私钥匙唯一的,而且确认只有其本人才能使用自己的私钥,因而确定用户使用私钥产生的数字签名是其本人意思的真实表示,符合证据学关于客观性的要求。同时,由于摘要函数的不可逆性,任何对电子信息所做的微小改动都将导致不同的电子签名,从而确认用户所做的签名与该文件内容有客观联系,体现了关联性。取得合法地位的认证机构提供的电子签名为法律所承认,达到法律要求的标准,使用该技术形成的电子合同等电子证据则满足诉讼法关于证据合法性的要求。制约电子签名法实施的外部环境包括哪些因素呢?1.在中国,CA认证业务、CA认证技术、CA认证机构、CA认证机构的管理以及CA认证诚信系统的建立等问题当前还处于发展的初期,很多CA认证机构的认证业务和证书发放业务还处于探索阶段,有关CA认证方面的制度还没有建立和健全,因此,在未来的技术发展过程中,可能还会出现许多当前无法预料的情况。2.网上商务普遍需要客户用自己的”身份证号码”登录并取得”会员资格”以及相应的密码。可是,绝大多数网上交易由于双方信任度太低,因此至少有30％的身份证号码是网客按照身份证号码的编组规则伪造的。就中国当前政府职能转变的速度来说,这一问题绝非短期内能够解决,因为中国多数网站没有权力使用公安局的身份证资料来检验身份证号码的真伪。3.对于CA认证机构是管理还是不论理、要管理是采用资格准入制度还是采用审批制度等等问题,现在我们都还没有形成统一的认识,国家有关部门对于CA认证机构管理问题可能有不同的看法。4.网上购物的主要障碍还在于客户信用卡号码的保密问题。据抽样估计,个人信用卡号码由于一次网上购物而被非法滥用的案例不会少于网上交易次数的10％。这样高的泄密比率(特别是当泄密来自网络企业内部人员时)足以让全部潜在客户望而却步。5.网上交易的另一主要障碍是商品质量及售后服务问题。大多数消费者宁可支付高于网上商店的价格去本地商店挑选真实货品,而不愿陷入网上交易经常发生的”收到的货品与网上照片呈现的货品相差甚远”的令人进退两难的境地(退货的成本太高)。除了PKI和CA,是否还有其它的电子签名技术?采用PKI和CA技术来实现电子签名是最常见的方法。可是CA对应用环境的要求比较高,牵扯面比较,特别是在政务活动中应用时,还会受到内网外网划分等问题的困扰,因此尽管多年来各方面建设力度很大,但实际进展有限。<电子签名法>制定时考虑到了这样的情况,为其它的电子签名技术保留了足够的法律空间,使我们能够根据具体情况采用其它更实用的解决方案。例如,有时能够只用PKI不建CA,特别是对于只与上下级等特定对象打交道的应用,而如果采用了硬件加密方案,我们还能够将硬件加密设备中的唯一ID作为电子签名生成数据。<电子签名法>对电子签名生成数据的唯一要求是能将电子签名与电子签名人可靠地联系起来。很多类似的方案简便易行,与兴师动众大建CA相比,有其独特的优势。如果采用了国家有关定点单位研制的密码机,安全可靠度就更有保障了,因为装备每一台这样的密码机都是经过国家有关管理部门审批并备案的,严格的管理使其可靠性和可信赖程度远远超出了普通CA中心,能够利用这一点构建更可靠的电子签名技术。除传统的静态密码认证技术以外,还有动态密码认证技术、IC卡技术、数字证书、指纹识别认证技术、虹膜识别技术等。双因素身份认证系统是网络信息安全市场新一轮焦点和新的趋势。对用户而言,每个认证令牌拥有特定的种子值。基于这一种子值和功能强大的伪随机运算法则,在每分钟都会生成一个唯一与该认证令牌对应的不可预测的令牌码,用户个人码再与令牌码组合,形成双因素口令码,经过时间同步技术将认证服务器与每个认证令牌同步,只有服务器能够分辨该时刻的合法口令,确保了高度安全性。另外,其硬件和软件版本均具有防篡改能力。在常见的网络安全技术中,身份认证技术是其它安全技术的基础,经过与其它技术结合,也能出现提供更安全、更适合应用的解决方案。为落实<电子签名法>急需改变当前CA的处境:多头管理(公安部、保密局、国家机要局和国家安全部,好象谁都能管,好象谁又都说了不算);分散建立(行业系统、地方、非官方机构等已有70个);投入大,效益少(上海CA,5年投入万元,回收300万元);责任大、风险高(赔偿当事人损失);权威性、公正性、广泛性不足结束谢谢!再见数字档案馆的规划与建设国家档案局科研所邱晓威一、数字化档案馆提出的背景1、概念的出现数字档案馆的概念源于三种途径:一是随着计算机档案管理的普及,使档案馆的信息管理数字化,实现了从档案机读目录的管理到档案原文信息的数字化管理;二是随着办公自动化和生产科研的计算机化,直接产生了电子文件和电子档案,实现了档案进馆前的数字化;三是随着信息高速公路的建设与发展,国家基础数字信息工程建设中对档案馆、档案信息以及其它部门的各种信息的综合管理与使用模式提出了新的要求。数字档案馆的提出与数字图书馆的建设有密切的关系。能够说是由于包括中国在内的一些国家正在积极建设的数字图书馆工程,带动了档案馆对自身数字化建设的思考,于是出现了数字档案馆的提法。数字档案馆是信息时代的产物数字档案馆的规划和建设是信息技术对档案事业发展影响和要求的必然结果。数字档案馆建设过程中要充分运用先进的计算机和网络等信息技术,配置先进的软硬件设备,研制高性能的信息管理系统;数字档案馆要解决信息技术发展和应用给档案管理带来的复杂问题,要保证归档电子文件的真实、完整、长期可读。数字档案馆是电子政务、电子商务、单位办公自动化的一个必须的组成部分,是信息社会中档案管理新模式的集中体现,代表着新世纪档案馆工作的发展方向。2、国际上数字图书馆的建设1994至1995年,美国国家数字技术通讯指导办公室把数字图书馆列为9项重点项目的第一位,排在危机及应急处理、教育及终身学习、电子商务、能源管理、环境控制和废品最小化、保健、加工处理和产品、公众存取政府信息等重要项目之前。这项工程从1999年到为第一阶段,投资4亿美元,以后的第二阶段继续投资6000万美元。其它国家对数字图书馆建设的投资也十分可观,如英国投资4亿美元,俄罗斯每年投资2亿卢布。到为止已经宣布正式开始数字图书馆建设的国家有20多个。由此可见,数字图书馆受重视程度非同一般。国际数字档案馆建设的情况在美国,20世纪90年代中期,作为数字化图书馆建设项目的一个组成部分,美国国家档案与文件管理局就成立了数字档案馆特别工作组,开始数字档案馆的研究和筹建工作。到了20世纪90年代末期,随着对数字档案馆研究和认识的不断深入,特别是美国国家档案馆发现其收集的电子文件种类日益丰富,除了文本文件、数据库文件之外,还有电子邮件、地理空间数据、数字影像等结构复杂的数据,数字档案的种类和管理难度日益增加,公众也迫切希望能够经过在线方式获取国家档案馆中保存的数字档案。这些促使美国国家档案与文件管理局决定自起建立一个自动化程度很高的集成系统,在实现数字资源提供利用的同时,管理、维护各种类型电子文件,保证其真实、完整和长期可读。6月18日,美国数字档案馆新馆建筑在华盛顿破土动工,标志着美国国家数字档案馆实体开始建设,数字档案馆建设已经进入新的阶段。3、数字档案馆与数字图书馆的比较1)共同性档案和图书都是信息社会重要的数字资源,数字档案馆和数字图书馆的基础和管理对象都是数字化的信息资源。在建设数字档案馆的过程中,数字档案一方面来源于接收立档单位的归档电子文件,另一方面就是对现有馆藏档案中珍贵的、利用频率高的、易受损的档案进行数字化转换。数字图书的来源也有两个方面,就是新接收进馆的电子图书和对馆藏的珍本、善本等图书转换成电子形式。2)不同性第一,数字档案和数字图书的数据类型存在显著差异;第二,馆藏差异;第三,数字档案馆和数字图书馆的管理方式存在差异;第四,安全性要求不同。第五,数字档案馆在保证馆藏数字档案的真实性、完整性、长期可读性、法律凭证作用等方面也有特殊的要求二、数字档案馆的构成与作用数字档案馆的概念:首先所谓的数字档案馆不是一个档案馆,而是经过计算机网络连接在一起的档案馆群体。二是数字档案馆中的信息不但仅是档案,还应包括未归档的各类电子文件和图书、资料,甚至是采集于实物的信息,能够说是上述综合性的数字信息的完整集合。三是数字档案馆不是封闭的档案馆信息网络,而是包含在办公自动化系统、计算机辅助设计和管理系统、公共信息数据管理系统等更为广阔的大系统中的一部分。四是数字档案馆不是仅仅为档案管理服务,而是面向全社会提供服务。1、数字档案馆的构成1)以现代通信、计算机网络、多媒体信息技术设备为基础设施。这些基础设施不可能全部由档案部门自己建立,而必须依靠国家和社会的支持。2)以各个时期、各种类别的档案信息库及其它综合信息库为基础资源。这些信息库必须在严格的标准化和规范化的基础上由多个部门联合建立。3)以智能信息处理技术为主,将原有的数据库转变为知识库,使用自然语言,提供高度有序化的基本管理和应用。4)支持高层决策、司法凭证、大众教育等综合服务,形成立体应用体系。数字档案馆应成为国家基础信息资源的出入口。5)以优质快速的不间断服务满足社会需求。2、数字档案馆的建设遵循如下原则:1)公益性为主,该项工程由政府投资,目的是充分开发档案等信息资源,实现政府信息资源共享,更好地为经济建设、领导决策、社会公民服务;2)统一规范标准,工程的目的之一是实现资源共享,因此在建设过程中要统一标准规范,优先采用国际标准和国家标准,以保证工程设备环境兼容、数据统一、软件通用,达到科学、有序的要求;3)以资源建设为核心进行系统开发,工程建设的核心是建立各类信息资源库及开发应用系统,依靠国家建设的骨干通信网络为传输手段,集中力量建设各类数字资源库及应用系统的开发;4)开放建设、利益共享,工程实现建设与服务结合,坚持开放性,实行广泛的共建共享,调动各方积极性,为此要加强管理协调,避免重复和遗漏;5)开发与引进相结合,工程坚持采用国内已有的成熟技术与国外先进技术相结合的原则,开发具有自主版权的数字档案馆系列化软件系统。3、数字档案馆的作用使档案信息成为知识经济的基础信息资源组成部分,为现代化建设服务。用中国丰富的档案信息去参与解决国际信息环境的中、西文化比例失调问题。用翔实的档案信息支持决策、管理、政务公开等,为提高国力和国家的战略地位服务。为科学研究、知识普及等提供智能化服务,落实”科教兴国”,营造科研、教育的良好环境。改进档案管理工作,提高档案工作的社会地位。传统的档案自动化管理目标一般是提高工作效率和改进工作质量。三、数字档案馆的技术条件1、主管部门的组织协调与规划数字档案馆涉及的部门多,牵扯的范围广,必须由主管部门统一组织协调,进行很好的规划。组织协调的主要工作有:明确指导思想、提出建设原则、确定设计目标、制定建设规划、落实建设资金、指导工程管理、负责部门协调和人员配备等。其中最应当引起重视的是档案部门与办公或其它业务管理部门的纵向关系和档案管理部门与其它信息管理部门的横向联系,以及负责信息基础设施的国家或地方部门的协调。2、制度、标准等规范化体系的建立1)标准化管理与制度管理结合,形成数字档案馆所需的严密的规范化管理体系。2)首先考虑采用国际标准,其次是国家、行业及地方标准。标准和规范原则是:面向计算机和网络及信息平台的处理,直接采用国际和国家标准;面向综合性信息的处理优先采用国家标准;面向档案信息的处理以借鉴为主进行补充。由此形成完整的标准和规范体系。将充分借鉴国际上常见的文件生命周期管理方法,对数字档案馆涉及的各类文件或信息进行从始至终的连续管理,保证真实性、完整性、有效性。数字档案馆管理系统软件设计需要遵循的相关技术标准主要包括:<GB2312-1980信息交换用汉字编码字符集、基本集>、<GB18030-信息技术信息交换用汉字编码字符集、基本集的扩充>、<MARC/CNMARC机读目录格式>、<ISO/IEC11179元数据的规范和标准>、<可扩展置标语言(XML)>、<ISOZ39.50检索协议>、<标准置标著录(EAD)>、<资源描述框架标准(RDF)>等以及计算机程序设计通用标准、计算机网络安全等方面的标准。有关数字档案的标识、存储、交换、检索、管理等方面的标准主要包括:<中国档案机读目录格式>(国家标准)、<电子文件归档与管理规范>(国家标准)、<网站资源归档与管理规范>(正在研究制定)、<归档电子文件真实性鉴定规程>(已列入计划研究制定)、<纸质、缩微、录音、录像档案数字技术规范>(正在研究制定)、<档案管理网络安全测试规程>(已列入计划研究制定)、<数字档案元数据标准>(需要研究制定)等。3、计算机网络和通信基础设施的建设一般要求,内部应具备连通各个部门的计算机网络平台,外部应有支持高速信息通信的宽带公共通信网络。因此在经济较发达和技术条件好的地区起步建设数字档案馆是一种必然的选择。数字档案馆外部的公共网络通信基础设施建设必须依靠国家为主、地方和部门为辅的综合性投资。4、综合信息数据库的建设与充实数字档案馆的核心是综合信息数据库的建设。某数字档案馆工程设计规划中所包容的数据库有:来自多个档案馆(室)的由传统档案数字化转换后获得的数据库、办公自动化系统生成的电子档案数据库、来自政府机构和职能部门的各类信息库。5、智能性知识库的管理技术应用数字档案馆管理的数据种类多、数量大、结构复杂,普通数据库管理系统难以适应。某数字档案馆工程正在计划进行智能知识库管理技术的开发。负责系统研制的合作者具有系列档案管理商品化软件研制丰富经验,其初步设想是在多层网络结构和分布式数据库的基础上加设知识索引,同时为管理者到家庭的多种类用户开发独立于特定系统的产品化智能搜索引擎。6、适合于开放网络环境的档案信息安全保密管理手段数字档案馆必须采取一系列措施保证档案信息的使用与用户的权限相符。一般采取的措施可分为管理制度和技术保证两类。数字档案馆对此,应形成一套法规标准的管理制度体系,另外还需要有相应的技术措施进行自动控制,才能做到更为严密。7、各类相关人才的培养使用遵循如下原则:1)做到有提前量,使有关人员对新技术新设备提前了解;2)针对不同对象分层次培养,做到岗位与知识技能相吻合;3)充分依靠社会支持,吸引人才但不浪费人才,做到人员结构合理。四、数字档案馆建设遇到的问题1、规划问题国家档案局对于数字档案馆的建设很重视,已组织了若干相关课题推动这项工作。但全国统一规划尚未完成,当前国家级的数字档案馆的建设模式还没具体化,因此这项工作暂时处于自下而上的实验摸索状态,先行一步的地方,这项工作难度很大。特别是在缺少总体规划的情况下,很难向有关领导清晰描述和解释,同时与其它部门的协调也会困难重重。2、标准问题档案工作的标准化工作还处于逐步完善过程之中,而数字档案馆的建设能够说在很多方面带有开创性,标准化工作只能与其建设同步进行。其中有些标准规范要超出档案工作的范围,如文中举例的数字档案馆的综合数据处理格式就满足跨行业、跨部门的要求。还有些标准规范必须与其它法规配套,制定的程序复杂、要求很高,仅靠地方部门组织制定困难很多。3、技术开发问题数字档案馆的建设和运行需要解决一些特殊问题