近年来, 电子文件管理系统 (Electronic Records Management Systems, ERMS) 的研发逐渐成为软件工程的一个新课题, 越来越多的软件厂商开始从事ERMS应用系统的研发工作。但是, 电子文件管理理论来自于另一个学科——档案学。两种学科在理念、理论和方法等方面的鸿沟成为ERMS研发项目成败的关键问题之一。目前, 软件工程领域还是按照普通管理信息系统 (Management Information System, MIS) 的研发思路和经验开发ERMS, 没有很好地理解ERMS的本质特征。下文用MIS特指除ERMS以外的其他常用管理信息系统。
ERMS的主要理论源自档案学, 涉及文档一体化理论、电子文件生命周期理论、前端控制思想、来源原则、全程控制原则、双重鉴定思想、文件连续体理论、集成管理与集成服务理论等。国内外学者进一步研究了ERMS的建设模式[ 1]、元数据方案[ 2]、需求分析[ 3]、体系结构[ 4]、安全保护等级[ 5]、案例分析[ 6, 7, 8]、问题与对策[ 9]、标准化[ 10]、风险管理[ 11]等。但是, 有关ERMS技术特征的系统研究仍为空白。ERMS研发目的可分为三种:
(1) 电子文件的控制力保障。电子文件与纸质文件的主要区别在于电子文件的管理更容易失控。电子文件的全生命周期控制和管理是ERMS研发的主要目的, 包括捕获、分类、登记、处置、跟踪、审计等环节的有效控制。控制力保障是电子文件的证据力和服务力保障的前提。
(2) 电子文件的证据力保障。电子文件与电子文档的主要区别在于它具有法律证据性, 因此, 证据力保障是ERMS的主要目的之一, 必须保证电子文件的法律证据、业务凭证和社会记忆作用。电子文件的证据力源自ERMS对电子文件的控制力保障, 只有有效控制下的电子文件才有证据力。
(3) 电子文件的服务力保障。电子文件的直接利用和深度挖掘是电子文件管理系统的第三个主要目的, 涉及电子文件的检索、显示、分析和挖掘。电子文件的服务力源自其证据力, 即是否具备法律证据、业务凭证和社会记忆是判断电子文件是否有利用价值的最重要指标。电子文件的服务与其生成之间并不是同步的, 往往严重滞后于其生成时间。因此, 电子文件的服务力保障不仅需要考虑用户的当前业务需求, 而且还应重视未来需求和运行环境变更以及潜在风险的识别。
ERMS与MIS在基本术语上的鸿沟导致很多ERMS研发项目的失败, 比较有代表性的术语有:
(1) 文件。在ERMS领域, “文件”对应的英文是Record, 与MIS领域的“文件” (File) 不同。电子文件 (Electronic Record) 的定义方法有很多, 不同标准, 如GB/T 29194-2012/3“GB/T29194-2012”为标准号, “/”之后的“3”为该内容在标准中的章节编号, 下文采用同样方法标出对应内容的出处。、DOD5015.2/DL1.99、ISO5489/3.15和Moreq2/13.1中的定义有所不同, 软件工程师很难理解其本质特征。其实, 在ERMS领域, 电子文件的本质是一种聚合体, 由组件、聚合关系、分类方案、保管期限与处置计划、组合关系、展示方式、访问权限、校验码、跟踪日志以及其他元数据组成。
(2) 案卷。在ERMS领域, File指的是一种特殊的概念——“案卷”, 即同一主题、活动或事务的相互关联的文件 (Records) 集合。以DOD505.2/DL1.61为例, 案卷就是“文件的组织方式”。
(3) 处置。在ERMS领域, 处置 (Disposition) 的含义与MIS领域不同, 是指进行捕获、等级、分类后, 对Record的移交、销毁和续存的操作。
(4) ERMS。目前, 多数软件工程师并没有正确理解电子文件管理系统、业务系统和电子档案系统的关系, 而且混淆电子文件系统和电子档案系统之间的边界。三者之间的联系与区别如下[ 12]:业务系统更加注重业务流程、版本控制等, 不太重视文件固化后的管理;ERMS需要维护恰当的背景信息, 将文件与其证据支持相联系;电子档案管理系统的核心功能是长久保存馆藏数字资源。可见, 电子文件产生在业务系统中, 由ERMS统一管理, 如果符合长久保存的要求, 则移交到电子档案管理系统进一步馆藏。
电子文件的组成要素如图1所示:
.此外, ERMS领域具有一些特有的概念, 在MIS中很少出现, 如全宗 (Fond) 、组合文件 (Combined) 、复合文件 (Compound) 、双套制文件 (Dual) 、混合文件 (Hybrid) 、保管期限与处置计划、捕获、登记等。因此, 正确理解电子文件管理领域的基本概念是软件工程师从事ERMS研发的第一步。
从软件工程视角看, 数据模型是信息系统设计与开发的核心, 一般涉及数据结构、数据操作和完整约束性条件。ERMS具有其独特的数据模型。后文将详细讨论数据操作和完整约束条件, 此处重点探讨其数据结构。
ERMS的数据模型在概念层次上与常见MIS不同, 如图2所示。
根据MoReq2/2.3的要求, ERMS的数据模型自顶向下可分为:全宗 (Fond) →类目 (Class) →子类 (Sub Class) →案卷 (File) →子案卷 (Sub File) →文件 (Record) →文档 (Document) →组件 (Component) 。此外, MoReq2/13.1中还提出一个特殊的文件管理单位, 即分卷 (Volume) 的概念, 指子案卷 (Sub File) 进一步分解后的子集。
从图2可以看出, ERMS数据模型的特殊性体现在:
(1) 分类方案的层级结构:每个ERMS应包含一个 (或多个) “分类方案”, 每个“分类方案”至少一个“类目”;每个“类目”可以进一步分解成多个 (含0个) “案卷”;每个“案卷”可以进一步分解成多个 (含0个) “子案卷”或 “卷”;“子案卷”可以进一步分解成多个 (含0个) “卷”;一份“文件”应包含一个以上的“组件”, “组件”是该信息模型的最小单位。
(2) 文件的存放位置。文件可以直接存放在“类目”、“案卷”、“子案卷”和 (或) “卷”之中。ERMS中允许空的“类目”、“案卷”、“子案卷”和 (或) “卷”的存在。
(3) 保管期限和处置计划的重要地位。ERMS数据模型中的层级结构中, 除了最小的单位——“组件”之外, 其他的节点, 包括“类目”、“案卷”、“子案卷”和 “卷”均可以应用自己的保管期限和处置计划。
(4) 文件类型的重要作用。ERMS中每个文件可以对应一个或多个“文件类型”模板, 同时针对“文件类型”模板可以设置保管期限和处置计划, 以便对电子文件的进一步控制。
具体介绍如下:
(1) 保管期限与处置计划。是指“类目”、“案卷”、“子案卷”和 (或) “卷”的保管期限和处置方案。ERMS中保管期限与处置计划的重点在于三个方面:
①保管期限和处置计划表的内容:文件集合对象、保管期限、处置日期、处置行为、触发条件、描述、法规要求等;
②处置操作的自动触发和处置操作的复杂性, 如审核流程、日志生成和冲突处理等;
③冲突检测与处理。处置计划可对应在信息模型的不同层次, 且同一个对象可以配有多个保管期限和处置计划。
(2) 分类方案。分类方案是ERMS的重要组成部分, 其特殊性在于导入导出操作。根据GB/T 29194-2012/ 5.1.1、MoReq2/3.4 和DOD5015.2/C3.1.10标准, ERMS分类方案的管理应满足以下条件:
①分类方案的导出 (或导入) 不仅能够支持全部和部分导出 (或导入) , 而且应支持对应的元数据、保管与处置计划、跟踪日志等信息的同步封装导出 (或导入) ;
②同一个ERMS应能够支持多个分类方案的同时定义和同步应用;
③合并两种分类方案的过程要有事务性, 还涉及关闭/打开和日志操作。Moreq2/3.4.2要求合并操作必须有事务性, 即在一次事务中完成;
④分类方案的导入导出过程应支持错误管理功能;
⑤分类方案应受文件管理流程的控制。
(3) 元数据方案。元数据方案也是ERMS的重要组成部分, 其特殊性主要体现在5个方面:
①ERMS元数据方案必须集中存储、管理和维护;
②ERMS元数据方案是多维度的, 包括信息模型层次维度、文件格式维度、文件处理过程维度等;
③元数据方案必须是动态、灵活、可变的, 可任意改动元数据的定义。由于元数据方案是动态的, 导致界面设计、有效性验证成为难点;
④ERMS应支持元数据方案版本的更新;
⑤ERMS元数据方案应支持定义元数据的语法和语义规则。电子文件管理元数据相关的国际标准有:ISO8601, ISO23081, ISO2788 和MoReq2。
电子文件的控制技术是保障ERMS中的电子文件控制力的支撑技术。ERMS应实现以下几种关键技术。
电子文件是ERMS中特有的概念, 也是ERMS与MIS的根本区别之一。因此, ERMS必须在文件层次上有其独到之处。
(1) 电子文件对象建模技术。ERMS功能要求标准一般不对文件的封装与建模给出特殊要求, 但从软件工程角度看还是需要解决一个不可回避的关键问题, 即对象建模。如何将电子文件的内容、元数据、保管期限与处置计划、访问权限、操作日志、有效性验证规则和审批流程等组成要素封装成一种可用于软件工程的数据对象是ERMS研发的主要任务之一。
(2) 电子文件变更技术。ERMS中原则上不允许对文件进行变更操作。但是, 当文件变更确实有必要时, 所有的变更操作必须在严格的权限控制和审查流程下进行, 并需要产生详尽的、不可更改的跟踪日志。
(3) 电子文件摘录技术。ERMS中复制一份电子文件的部分内容来形成新文件时, 需要产生记录, 并自动记录摘录和原文件之间的关联、创建日期和创建人。
(4) 文件冗余与替换技术。ERMS中的替换操作要求不能替换文件本身, 而是通过创建指向替代文件的链接的方式实现。
(5) 电子文件比对技术和完整性判断技术。
(6) 非电子文件部分的控制技术。根据GB/T 29194-2012/6.2、MoReq2/10.1 和DOD5015.2/C6.2.8.2标准, 非电子部分的控制可以进一步分为三个方面:
①如果一份电子文件是通过对非电子文件进行数字化而得到的, 那么系统中必须标注该电子文件的来源;
②如果一份文件同时存在电子版本和非电子版本, 系统中必须记录非电子部分的存放位置和状态;
③如果ERMS将电子文件输出为非电子文件, 如打印成纸质文件, 那么在非电子部分中必须记录其对应的电子文件的标记、来源系统、打印人和打印时间。
ERMS中的“捕获”是指自动捕获来自业务系统中的电子文件和手动捕获线下提交的电子文件。“登记”是ERMS中特有的概念, 对应的英文单词不是Registering, 而是Declaring, 是“电子文档”变成为“电子文件”的标志性操作。从技术实现角度看, 主要难点在于:
(1) 组合或复合电子文件的捕获。组合或复合文件的捕获涉及文件 (或组件) 和文件 (或组件) 之间的关联关系。因此, 在捕获组合或复合文件时, ERMS需要事先定义一些特定的捕获规则。ERMS的文件捕获操作不仅需要确保捕获对象的完整性, 而且还需要同步记录各组成部分之间的关联。
(2) 自动捕获与手动捕获的结合。ERMS“捕获”操作分为两种:自动捕获和手工捕获。前者是ERMS捕获活动的主要表现形式, 而后者作为前者的补充形式, 主要应用于离线形式提交的电子文件的捕获操作。此外, ERMS应支持元数据的自动捕获, 从业务系统中自动捕获文件时需要自动抽取和验证元数据项。
(3) 相同文件的重复捕获或不完整文件的捕获。当试图捕获相同文件或不完整文件时, ERMS应自动给出提示信息, 这需要电子文件比对技术和完整性判断技术的支持。
(4) 主动批量捕获和被动批量捕获。ERMS必须支持电子文件的批量捕获, 包括主动批量捕获和被动批量捕获, 例如GB/T29194-2012/5.2.1要求“ERMS应提供主动的批量捕获功能和被动的批量接受功能”。
“处置”在ERMS领域中有特殊含义, 是指电子文件的保管期限已到或预定义的处置条件激发后, 对电子文件进行的移交、销毁和续存操作。从技术实现角度看, ERMS中的处置技术应支持:
(1) 处置行为的自动触发。ERMS应允许文件管理员设置电子文件的自动触发条件和处理方式, 尽量减少人为干预。ERMS中的处置行为的触发必须是人机协同过程, 在自动触发处置操作之前需提醒文件管理员进行确认。ERMS还应支持定义和维护处置行为的触发条件, 如时间触发或事件触发等。同时, 对于触发处置行为的文件, ERMS应支持处置程序的预定义功能, 如通知文件管理员或其他授权用户、审查处置行为和经确认后实施相关处置行为。MoReq2/5.1中还要求处置过程应支持冲突处理功能。
(2) 处置过程的自动记录。在ERMS中, 处置过程的记录有两个特殊要求:
①处置行为必须以处置对象的元数据形式记录。MIS中可以通过日志技术来记录相关处置行为, 但是ERMS中仅以日志方式记录处置行为是不够的, 必须通过具体元数据来记录电子文件的处置触发条件、过程、原因和责任人。
②处置过程可以由时间或事件的形式自动触发, 但必须经过人工审核后才能进行处置行为。ERMS应支持通知文件管理员或其他授权用户、审查处置行为和确认后实施相关处置行为, 并支持处置活动的持续性。但是, MIS中类似操作, 如删除和移交, 一般不需要人工审查。
(3) 移交对象的完整性。ERMS对移交对象的完整性保障的要求比MIS更复杂。在移交文件时, 不仅要求移交该文件的所有成分, 而且还要求保留它们之间的正确联系。MoReq 2/5.3规定在电子文件的移交过程中, 移交对象的组件、分类方案、聚合关系、组合关系、日志信息、保管期限与处置计划、访问权限等内容要素及其相互关系不能被破坏, 以便在目标系统中重建联系。同时, 为了确保移交过程的可审计性, ERMS还必须支持自动生成移交过程报告, 包括移交案卷和文件的数量、移交时间、移交方式、移交人/接收人、移交状态、移交错误、未被成功移交的文件、未成功移交的原因等。
(4) 销毁操作的规范性。ERMS应通过完整的工作流程对销毁行为进行审批, 只有在收到确认通知后才能执行销毁操作。例如, MoReq2/5.3要求Metadata Stub定义审批过程。ERMS中的销毁操作与MIS中的删除操作的主要区别体现在以下两方面:
①ERMS的销毁操作要有彻底性。
1) 如果一份电子文件已被授权销毁, 则其所有备份和相关版本都应被销毁, 但应确保文件销毁时留存文件相应的元数据, 并将销毁状态添加至文件管理元数据中;
2) ERMS应保证物理销毁的结果是对所有授权对象的彻底删除;
3) ERMS应采用谨慎的方法避免可使用恢复技术进行数据恢复;
4) ERMS应支持在销毁对象集合内电子部分销毁时, 要求文件管理员或授权用户确认同一组合的非电子部分也要销毁。
②ERMS的销毁操作要有可跟踪性, 至少生成关于销毁的过程报告和跟踪日志。前者包括销毁文件和案卷的数量、销毁时间、销毁人、监销人、销毁错误、未被成功销毁的文件、未成功销毁的原因等;后者包括销毁的日期、文件标识符、文件标题、负责销毁的用户、销毁原因等。
格式转换是ERMS控制电子文件的重要技术手段。在实际应用中, 业务系统提交的电子文件的格式类型很多, 并且在不断变化和发展之中。因此, ERMS的电子文件管理需要解决两个问题:如何保证不同格式的电子文件的长久保存和再利用问题;如何面对不断变化中的电子文件格式, 统一控制不同格式的电子文件。因此, ERMS中一般采用格式转换技术, 将所有文件转换成统一格式后进行统一管理。
(1) 电子文件的长久保存格式。ERMS中需要重视电子文件的长久保存和长久可读性, 因此, 保存格式的选择尤为重要。目前, ERMS中长久保存格式的选择策略有两种, 一种是转换成为统一的标准格式, 如PDF等;另一种是保留电子文件的原始格式, 并保留对应阅读器。
(2) 电子文件的版本控制技术。在多种格式并存的情形下, ERMS应以原始格式与长期保存格式保存电子文件, 并应记录格式转换的相关元数据信息, 包括原始格式、新格式和转换时间等。ERMS应能够报告文件及其组件的格式和版本, 并支持格式监控, 控制格式过时导致的风险。
(3) 电子文件的格式转换技术。根据GB/T 29194-2012/5.2.5.2和DOD5015.2/C.2.2.12.3标准, ERMS应保证格式转换过程中文件信息不丢失, 且应确保格式转换过程及时记入元数据和日志文件。
备份与恢复是电子文件控制力保障的另一种重要技术手段, 其特殊性体现在以下几个方面:
(1) 电子文件的备份技术。电子文件是由组件、聚合关系、分类方案、保管期限与处置计划、组合关系、展现方式、访问权限、校验码、跟踪日志以及其他元数据组成的聚合体。因此, 相对于MIS, ERMS中文件备份操作变得复杂。例如, MoReq2/4.3规定“电子文件的备份不仅涉及电子文件的内容, 而且还需要备份对应的操作日志、访问权限等其他组成部分”。
(2) 重要备份 (Vital Backup) 。在ERMS中, 除了采用MIS中的海量备份和增量备份策略之外, 还需要一种特殊的策略技术——重要备份。MoReq2/4.4中提出全部备份 (Full Backup) 和重要备份的理念, 并要求对重要文件进行专门的备份操作。
(3) 人机协同的文件备份和恢复。从实现角度看, GB/T 29194-2012/ 5.2.5.4、DOD5015.2/C2.2.9和Moreq2/4.3中的文件备份和恢复要求具有一个共性, 即通过人机协同形式实现。如GB/T 29194-2012/ 5.2.5.4标准要求“ERMS应能发现恢复过程中的问题, 并告知系统管理员”。因此, ERMS中的文件备份和恢复不完全由计算机自动完成, 需要文件管理人员的设置、审查和监控。
除了上述关键技术之外, ERMS中还需要实现其他的文件控制技术, 如权限控制、文件打开与关闭、非电子文件管理、密级管理、流程控制等。自动触发“打开”与“关闭”以及对应的处理行为是ERMS实现的难点之一。GB/T 29194-2012/6.2、DOD5015.2/C6.2.8.2和MoReq2/10.1还对非电子文件和数字化文件的管理、电子文件的导入/导出技术、电子文件的密级及访问控制技术和电子文件管理的流程控制技术提出功能性要求。此外, ERMS需要通过活动定义、权限判断和活动排序等方式定义工作流, 并支持对工作流的启动、暂停、取消、报告、显示等操作。
电子文件的证据性主要通过电子文件内容的相对固化和电子文件元数据的单向性增加技术来实现。在一般情况下, ERMS中不允许对电子文件内容和元数据进行修改或更新操作, 只允许不断增加元数据项来记录电子文件管理全过程, 保证电子文件内容的固化和元数据变化的单向性。
ERMS元数据依据其服务对象分为两种:面向人类阅读的元数据和面向计算机读取的元数据。需要注意的是, 后者是电子证据保障的ERMS的电子证据的主要来源, 也是ERMS技术实现的重点。从技术角度看, ERMS元数据管理的主要内容有:
(1) 基本元数据和扩展元数据的管理。一般情况下, ISO23081[ 14]是ERMS元数据管理需遵循的基本标准。从元数据的应用看, ERMS中的元数据还可以分为两类:一种是基本元数据, 是所有ERMS系统均支持的元数据集, 一般由相关法律法规和标准规范决定;另一种是扩展性元数据, 可由当前特定业务、潜在风险和未来需求决定, ERMS系统必须支持扩展性元数据的新增和配置功能。
(2) 元数据定义方法。在ERMS中每个元数据项必须配有唯一标识和名称之外, 还应支持约束性、可重复性、元素类型、编码规则、定义域、值域、缺省值以及与其他元素的关联关系的配置。
(3) 元数据管理与ERMS功能之间的同步。在ERMS系统中新增 (或修改) 元数据时, 输入/输出界面、检索功能、跟踪日志、保管期限和处置计划功能也应同步更新。
审计跟踪技术是电子证据的可靠性判断技术之一。ERMS中的审计与跟踪的要求比一般的MIS严格很多, 主要体现在以下三个方面:
(1) 跟踪日志的灵活性。ERMS应支持所有操作 (包括手动和自动操作) 应自动生成任意类型的跟踪日志的功能。ERMS应支持日志参数的配置功能, 用户可以根据需要选择日志数据项。一般情况下, 日志内容至少包含操作者、操作时间、操作对象、操作类型等。日志信息是电子文件证据力的主要来源之一, 因此, ERMS必须保证日志信息的不可更改性, 防止日志的篡改导致电子文件的证据力丢失。
(2) ERMS跟踪日志信息的导出粒度。ERMS要求跟踪日志的导出粒度可以有多种, 不仅需要支持系统所有日志的导出操作, 而且还应支持特定操作对象 (包括类、子类、文件和元数据等) 跟踪日志的有选择性的导出功能。
(3) ERMS跟踪日志与审计操作的关系。ERMS中的跟踪日志应支持电子文件审计员的审计操作。文件审计员是ERMS系统中的特有的角色类型之一。ERMS还要求对跟踪日志动态生成报表功能, 以便文件审计员的审计工作。ERMS的跟踪日志及其统计信息的管理应满足文件审计员的业务需要。
ERMS中的比对技术是判断两份电子文件的相似性的关键技术。ERMS常用的比对技术有三种:
(1) 元数据层次上的比对技术, 即通过元数据的相似性来计算电子文件的相似性, 此类方法较好地避免了内容分析的复杂性, 实现方法比较简单, 但比对效果有限。
(2) 内容层次上的比对技术, 即通过判断内容是否相似来判断两个文件的相似度, 例如MoReq2/6.1.37建议如果准备捕获的E-mail文件的内容与已捕获过的文件内容相同时, ERMS应给出提示信息。相对于元数据层次的比对技术, 内容层次上的比对技术的实现比较复杂, 但有一定的应用前景。
(3) 文件对象层次上的比对技术, 即文件相似性的计算需要同时考虑两个变量, 即文件内容和元数据。此类方法的比对效果更好, 但是其应用范围受限。
电子文件的审查是ERMS中特有的功能之一。ERMS中的文件管理操作, 如文件的移交、销毁、续存等需要经过审查后才能执行。审查工作的重点之一是审查文件处置行为及其触发条件是否符合本文提及的相关法律、法规、标准、规范的要求和用户需求。
(1) 审查对象。ERMS的审查对象可以为很多种, 如文件、元数据、权限分配、保管期限、日志信息是否符合相关要求、是否符合系统配置、是否存在相互矛盾等问题。
(2) 审查流程及审查日志。ERMS一般支持用户自定义审查流程, 并需要自动记录审查对象、审查原因、审查决定、审查者、审查时间等日志信息。对于审查不通过项, ERMS可以要求相关人员进行修正和再审查。
(3) 完整性验证。完整性验证是ERMS审查技术的难点之一。在传输、移交、续存、导入和导出文件或元数据过程中可能出现文件或元数据的丢失或恶意篡改现象。因此, ERMS需要判断文件和元数据的完整性的技术, 具体实现方式可以有多种, 比较常见的是数字摘要方法。
除了上述技术之外, ERMS还需要其他证据支持技术, 包括数据加密、数字签名、消息鉴别、访问控制、可信第三方、事件检测和安全审计等。由于这些技术也在MIS中被广泛应用, 在此不再赘述。
电子文件的服务技术是ERMS中电子文件服务保障力的主要支撑技术, 可以分5类:
与MIS相比, ERMS对检索利用有一些特殊要求, 主要体现在以下三个方面:
(1) 检索对象。ERMS检索对象可以是元数据、文件、类目、案卷、全宗等多个层次, 而且需要同时兼顾访问权限、密级要求、保管期限和检索对象的关闭/打开状态。
(2) 检索结果的处理。ERMS应在支持对检索结果的基础上, 继续进行电子文件处理操作, 如移交、销毁、续存、分类等。因此, ERMS的检索操作需要与其他文件管理操作进行关联。
(3) 检索结果的导出、另存、下载与打印。ERMS应支持对检索结果的授权导出 (另存、下载和打印) 操作。但是, 在所导出 (另存、下载和打印) 的电子文件中, 需要嵌入必要的文件管理元数据及导出 (另存、下载和打印) 系统名称、操作人和操作时间。另外, 已导出 (另存、下载和打印) 到终端的电子文件也由ERMS控制。
ERMS中对统计利用给出很多具体的规定, 且提出比MIS更高的要求:
(1) 报表生成技术。ERMS系统能够支持报表内容项的自定义、报表上报和审核流程的自定义和图形化显示功能。以MoReq2/9.2 为例, ERMS系统应支持系统管理员按照时间范围或周期定义周期性报表。ERMS应支持按照这些周期性报表要求自动生成报表, 而且还应支持报表被登记成独立的电子文件。
(2) 数据挖掘和知识发现技术。ERMS数据挖掘和知识发现的要求比报表功能更高, 需要借助数据挖掘和知识发现的技术实现。ERMS数据分析的前提条件有两种:原始文件和统计报表。前者建立在ERMS原始文件的基础上, 需要对原始文件进行直接分析和挖掘操作;后者则建立在其他初步统计利用, 如报表功能的基础上, 一般涉及已有统计结果进行重新排序、筛选和二次统计等操作。
ERMS与MIS的主要区别之一是ERMS中的文件利用是严格受限的, 主要体现在以下几个方面:
(1) 权限控制技术。ERMS中的权限管理是多维的, 并要求比MIS更严格的方式控制。从授权时间维度看, 每个权限的有效期必须有明确的起止时间和触发条件;从授权客体维度看, 授权客体可以是ERMS信息模型中的任何一个层次;从授权主体看, 授权主体可以是文件管理员、系统管理员、审计员等;从授权内容看, 授权可以分为阅读权限、下载权限、打印权限、导出权限、元数据管理权限和内容管理权限等。因此, ERMS一般采用所有权限的交集中的最小集合作为该文件的操作权限。
(2) 摘录技术。为了满足利用电子文件的部分内容, ERMS中提出摘录技术。但是, 很多MIS工程师错误地认为“摘录就是摘要”。其实, 摘录是ERMS中特有的概念, 是指复制一份电子文件的部分内容后形成的另一份独立的电子文件。ERMS系统一般不允许对文件本身进行变更操作。但是, 摘录是一种比较常用的文件变更操作, 但需要注意4个基本问题:摘录不能直接改变原始电子文件, 而是在原始电子文件的副本上进行处理, 并另存放为一份电子文件;摘录操作必须预定义审查流程;摘录操作必须记入操作日志;摘录需要登记为一份新文件, 并与原始文件之间设置语义关联。
除了上述两种有限利用之外, ERMS中还有文件密级管理、核心文件管理等其他技术, 考虑到篇幅所限, 在此不展开讨论。
ERMS应支持与三类相关系统之间的编程接口, 接口的实现形式可以有多种, 如API或Web服务等。ERMS提供的接口参数和接口函数有特殊要求。
(1) 面向业务系统的接口, 即ERMS与电子邮件、业务系统、内容管理系统、自动化办公系统、传真系统等的接口。不同接口需要遵循所在地区内的相关领域的标准或协议, 例如, 我国ERMS与电子邮件系统的接口可遵循DA/T32的要求。MoReq2/10.12还强调ERMS与内容管理系统和传真系统之间接口的实现。
(2) 面向其他ERMS的接口, 即ERMS需要向其他ERMS提供的编程接口, 主要目的是支持电子文件在不同ERMS之间的调阅、共享或流动。但是, ERMS之间的集成需要有明确的接口定义和共享协议。
(3) 面向电子档案系统的接口, 即ERMS给电子档案管理系统提供编程接口, 以便支持电子文件从ERMS到电子档案管理系统的移交操作。ERMS一般需要保留已移交的电子文件的副本, 直到电子档案管理系统确认已成功接收为止。
离线利用是ERMS系统的难点技术之一。GB/T 29194-2012/6.3、MoReq2/10.11 和DOD5015.2/C6.2.17中对电子文件的离线利用提出具体要求, 主要体现在以下三个方面:
(1) 离线操作的控制。ERMS离线利用需要有严格的审批流程, 一般需要授权特定角色对离线利用范围和对象进行设置和审核操作;所有下载、导出、备份等导致离线文件的需要有日志记录;对于一些密级较高的文件, ERMS应防止一切形式的离线利用。
(2) 离线文件的控制。ERMS不能对离线文件, 如已下载到其他位置的电子文件失去控制。因此, 当电子文件从ERMS以下载、导出、备份等形式离开系统时, 需要在电子文件中记入必要的自描述数据和脚本代码, 以便ERMS能够关联到和控制离线电子文件。离线文件的操作权限、保管期限、处置计划等应受ERMS的控制, 响应操作应自动计入ERMS日志中。
(3) 档案专用设备的读写。ERMS中电子文件的离线利用可能涉及到从档案专用设备中读取文件。所有离线设备需要符合相关法律、法规、标准、规范和用户需求, 并在ERMS中进行登记。
电子文件管理系统的服务对象有两种, 一种是电子文件管理相关的人类用户, 包括文件管理员、文件审计员、系统管理员、授权用户和普通用户;另一种是ERMS相关的软件系统, 主要包括业务系统、其他ERMS系统、档案系统、可信仓储系统等。前者主要通过人机交互形式实现, 主要理论依据是信息构建理论;后者主要通过API、Web服务等编程接口形式实现, 主要理论依据是软件接口技术。
ERMS与MIS的区别如表1所示:
相对于MIS系统, ERMS的技术特征主要体现在6个方面:
(1) 技术需求。从技术角度看, ERMS的技术需求要有超前性和风险意识, 在电子文件的格式选择和元数据项的配置上需要提前考虑未来需求和潜在风险;
(2) 数据建模技术。ERMS中采用一种特殊的数据建模技术, 即本文提出的ERMS信息模型;
(3) 电子文件的控制力保障技术。电子文件的控制力保障是ERMS的主要研发目的之一, 一般采用电子文件的建模、摘录、比对、捕获、登记、处置、格式转换、版本控制、冗余与替换、备份与恢复等技术来实现;
(4) 电子文件的证据力保障技术。电子文件的证据力保障是ERMS的第二个主要研发目的, 一般采用电子文件的元数据管理、审计跟踪、比对、审查等技术来实现;
(5) 电子文件的服务力保障技术。电子文件的服务力保障是ERMS研发的三大目标之一, 一般采用检索、统计、有限利用、编程利用、离线利用等技术来实现;
(6) 人机协同处理技术。ERMS的文件管理必须是一种人机协同的管理过程, 一般以人为主导, 计算机辅助的形式完成。
在以上分析的基础上, 进一步提炼出ERMS研发的6个基本原则:
(1) 跨学科协作研发原则。ERMS的专业性比较突出, 软件工程界与档案学在术语、理念、理论和方法上存在诸多差别。为此, ERMS设计必须遵循跨学科的协同原则, 需要融合档案学和软件工程领域的知识与经验。这种跨学科协同设计不能停留在来自两种学科领域的专家学者的临时交流, 而力应要求学科知识和经验的融合。
(2) 未来需求和风险意识导向的系统分析原则。ERMS的需求分析必须充分考虑潜在风险和未来需求, 通过电子文件的长久保存来保证电子文件的控制力、证据力和服务力。因此, ERMS的需求分析必须是超前的, 在文件保存格式、元数据项的选择等方面均需要充分考虑未来需求和潜在风险, 而不能停留在现有业务需求的调研。
(3) 数据层次的设计原则。从目前的ERMS建设现状看, 软件工程师只重视ERMS的功能层, 而忽略了其数据管理层, 导致ERMS的高风险性和低可扩展性。其实, ERMS与MIS的根本区别不在于功能, 而在于底层数据模型, 尤其是电子文件的信息模型。在功能层次上, 多数ERMS是相似的, 且差别不大。ERMS的核心竞争力来自于数据层技术。因此, ERMS的设计过程应关注数据层的处理需求, 重点放在数据模型的设计, 包括数据结构、数据操作和完整约束性条件的处理业务。
(4) 三力保障原则。ERMS研发的目的并不是满足具体的管理需求, 而是保证电子文件的控制力、证据力和服务力。其中, 控制力是证据力的前提, 而证据力是服务力的来源。为此, 在ERMS的设计中, 必须实现ERMS的三大技术, 即控制力保障技术、证据力保障技术和服务力保障技术。
(5) 单向证据链原则。ERMS中的数据操作往往是单向性的, 即不可撤销或篡改。为了保证电子文件的证据力, ERMS中电子文件的多数操作, 如捕获、登记、销毁、移交等必须是单向性的, 不可回改。如果有一些操作允许修改, 如电子文件的分类操作, 那么其跟踪日志的生成必须是单向的, 需要防止其修改或删除。
(6) 人机协同处理原则。MIS一般允许全自动化处理, 如系统可以根据某种算法和配置数据, 自动删除不必要的文件。但是, ERMS系统中, 所有的操作必须经文件管理员或系统管理员审核通过后才能执行对应操作。ERMS允许自动触发特定操作, 但是执行操作前必须通过人工审核。
[1] |
|
[2] |
|
[3] |
|
[4] |
|
[5] |
|
[6] |
|
[7] |
|
[8] |
|
[9] |
|
[10] |
|
[11] |
|
[12] |
|
[13] |
|
[14] |
|