紹興文理學(xué)院檔案館 沈紅雨

【摘要】在全省各高校大力推進(jìn)數(shù)字檔案館建設(shè)的同時(shí)，加強(qiáng)數(shù)字檔案的安全性保障日益受到重視。數(shù)字檔案的自身特點(diǎn)決定了技術(shù)因素是其安全性保障的一個(gè)重要因素。本文以紹興文理學(xué)院為例提出了一些技術(shù)層面上存在的典型性問題，并且結(jié)合其它地方性高校的校情提出了相應(yīng)的對(duì)策。

【關(guān)鍵詞】數(shù)字檔案 安全 技術(shù)

自2005年國家檔案局提出要建立一批數(shù)字檔案館起，浙江省各高校陸續(xù)開展了紙質(zhì)檔案數(shù)字化和電子檔案收集工作，至2012年省內(nèi)已有部分高校建成數(shù)字檔案館。然而，在這項(xiàng)工作得到飛速推進(jìn)的同時(shí)，很多高校卻忽視了數(shù)字檔案（在本文中指從紙質(zhì)檔案數(shù)字化而來的檔案和在數(shù)字設(shè)備中直接產(chǎn)生、形成的電子檔案）安全保障的重要性。2014年中共中央辦公廳國務(wù)院辦公廳發(fā)布了《關(guān)于加強(qiáng)和改進(jìn)新形勢(shì)下檔案工作的意見》，意見中提出建立健全確保檔案安全保密的檔案安全體系，如何保障數(shù)字檔案的安全性成為高校檔案信息化建設(shè)的重要課題。

數(shù)字檔案的管理建立在計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的基礎(chǔ)上，因此技術(shù)性保障是其安全性保障的一個(gè)重要方面。紹興文理學(xué)院（以下簡稱“該校”）歷經(jīng)4年多的數(shù)字檔案館建設(shè)，取得了階段性的成績，也發(fā)現(xiàn)了一些安全保障上的問題，其中部分問題是筆者考察了其它地方性高校后，在技術(shù)層面上發(fā)現(xiàn)的共性問題，本文針對(duì)這些典型性問題作了如下探討。

一、該校數(shù)字檔案安全保障技術(shù)問題分析

1. 文、檔管理兩段分離

紹興文理學(xué)院正式運(yùn)行中國電信開發(fā)的OA辦公系統(tǒng)至今，各類電子公文陸續(xù)產(chǎn)生，在電子公文的起草、簽發(fā)、會(huì)簽、審核等環(huán)節(jié)中產(chǎn)生的背景信息，系統(tǒng)對(duì)此作了捕獲、封裝，在文件歸檔后，相關(guān)用戶可以在系統(tǒng)里瀏覽到文件內(nèi)容及其相關(guān)背景信息。但是OA系統(tǒng)沒有與該校的“南大之星”檔案系統(tǒng)進(jìn)行對(duì)接，OA里的電子檔案只能導(dǎo)出成PDF，通過別的媒介上傳到檔案系統(tǒng)里，與檔案文件相關(guān)聯(lián)的背景信息無法輸入到檔案系統(tǒng)，也就是說只能傳輸文件內(nèi)容，背景信息與文件內(nèi)容不綁定。

該校電子檔案的前端控制在文檔接口處斷裂，使得電子檔案由于背景信息的缺失，完整性和真實(shí)性的保障受到很大的威脅。首先，內(nèi)容信息以實(shí)際接受到的文件內(nèi)容為準(zhǔn)，在文件發(fā)出之前可以任意修改，無法確保上傳到檔案系統(tǒng)的文件是否為原始文件，無法確保原始電子檔案后期有否被替換、篡改。其次，檔案文件是在實(shí)際事務(wù)中形成的，檔案文件之間具有相互聯(lián)系性，相關(guān)的文件必須齊全。電子檔案的背景信息是指電子文件形成的緣由、流轉(zhuǎn)的痕跡、相關(guān)性文件、批辦情況及參考材料等。所以，背景信息幾乎包括了檔案內(nèi)容信息之外的所有其它相關(guān)信息，內(nèi)容復(fù)雜，具有即時(shí)性，對(duì)電子檔案的鑒定、價(jià)值考證具有直接的影響力。

2.內(nèi)、外網(wǎng)亟需隔離

該校檔案館網(wǎng)站目前只在校園網(wǎng)范圍里開放，校外人員無法訪問到該校檔案資源。高校是高科技成果和重要信息的聚集地，地方性高校為地方經(jīng)濟(jì)提供人才和智力支持，與地方合作密切，地方對(duì)高校的檔案信息需求越來越大。但是，檔案對(duì)外開放會(huì)帶來一些安全上的問題，例如，病毒的入侵，人為的刪除、篡改信息，機(jī)要信息的外泄等。基于保守的考慮，該校數(shù)字檔案信息目前只在校園網(wǎng)范圍里開放，這在一定程度上犧牲了可開放信息的利用率。

 在校園網(wǎng)內(nèi)部，該校的檔案工作環(huán)境與師生閱覽環(huán)境沒有隔離。檔案系統(tǒng)的工作環(huán)境具有輸入、上傳、刪改、記錄日志等寫權(quán)限和涉密信息的讀權(quán)限。該校只在檔案管理系統(tǒng)里對(duì)具有寫操作權(quán)限和讀取涉密信息權(quán)限的用戶名設(shè)置了密碼保護(hù)，沒有作其它隔離措施，為內(nèi)部網(wǎng)絡(luò)攻擊、病毒入侵，利用系統(tǒng)漏洞有意篡改信息、讀取機(jī)要信息等非法行為留下了隱患。

3. 災(zāi)難恢復(fù)計(jì)劃尚未制定

“凡事預(yù)則立，不預(yù)則廢”。安全工作只能建設(shè)得相對(duì)安全，不可能無盡止的建設(shè)到十全十美。當(dāng)今社會(huì)，各種突發(fā)事件頻繁發(fā)生，該校的數(shù)字檔案未必就能幸免于難。尤其是數(shù)字檔案具有媒介脆弱性、信息脆弱性、無原件等特性，使得它比傳統(tǒng)紙質(zhì)檔案面臨更多的安全風(fēng)險(xiǎn)。

據(jù)統(tǒng)計(jì)，導(dǎo)致數(shù)字系統(tǒng)災(zāi)難的原因比例如圖1：

從圖中可知硬件故障原因占44%，依據(jù)該校情況，此類故障修復(fù)時(shí)間依零部件調(diào)配時(shí)間不同，為1天至1周，如果硬盤報(bào)廢，系統(tǒng)需重裝，海量文件數(shù)據(jù)從備份硬盤里拷回去，需時(shí)3天左右。人為錯(cuò)誤原因占32%,此類故障最易發(fā)生，如果操作不當(dāng)，誤刪文件，或者系統(tǒng)文件配置不當(dāng)，病毒原因占7%，此兩類故障恢復(fù)時(shí)間依信息技術(shù)員技術(shù)水平和經(jīng)驗(yàn)不一而足。自然災(zāi)難占3%，此種災(zāi)難發(fā)生的可能性很低，但是天有不測(cè)風(fēng)云，不應(yīng)抱僥幸心理。

圖1 災(zāi)難成因比例圖

該校目前只對(duì)數(shù)據(jù)作了必要的備份，尚未作過災(zāi)難恢復(fù)的計(jì)劃和演練。遇到事故發(fā)生，將手忙腳亂，影響系統(tǒng)恢復(fù)正常的及時(shí)性和恢復(fù)后數(shù)據(jù)的真實(shí)性。

二、我校數(shù)字檔案安全保障技術(shù)問題解決對(duì)策

1. 文、檔系統(tǒng)實(shí)現(xiàn)對(duì)接

文、檔系統(tǒng)對(duì)接的目標(biāo)是：將OA系統(tǒng)產(chǎn)生的電子公文的標(biāo)題、文號(hào)、發(fā)文日期、發(fā)文單位等著錄信息以及電子公文流轉(zhuǎn)過程中產(chǎn)生的背景信息通過歸檔操作，存儲(chǔ)到檔案管理系統(tǒng)的數(shù)據(jù)庫里，歸檔后的電子文件存放到檔案管理系統(tǒng)指定的文件夾下。為了實(shí)現(xiàn)文、檔數(shù)據(jù)“一次輸入、多次使用”的功能，OA系統(tǒng)里產(chǎn)生的數(shù)據(jù)應(yīng)一一導(dǎo)入到檔案系統(tǒng)對(duì)應(yīng)的檔案表里，如行政類文件導(dǎo)入到行政類檔案表里，黨群類文件導(dǎo)入到黨群類檔案表里。

文、檔系統(tǒng)對(duì)接當(dāng)抽取、利用OA中原有的數(shù)據(jù)，通過重新組合生成為檔案系統(tǒng)里新的檔案數(shù)據(jù)，確保電子檔案的完整性和真實(shí)性。同時(shí)，確保數(shù)據(jù)傳輸不影響兩套系統(tǒng)原有數(shù)據(jù)的安全，數(shù)據(jù)的傳輸不影響數(shù)據(jù)庫數(shù)據(jù)的保存和利用。確保信息傳輸過程的安全，避免傳播過程中數(shù)據(jù)被刪除、添加和篡改，保證歸檔信息的參考與憑證價(jià)值。1

該校的OA系統(tǒng)和檔案管理系統(tǒng)均為關(guān)系型數(shù)據(jù)庫，采用SQL平臺(tái)。兩個(gè)系統(tǒng)可采用Web Service技術(shù)建立程序接口進(jìn)行數(shù)據(jù)傳遞。Web Service的基礎(chǔ)是XML(可擴(kuò)展標(biāo)識(shí)語言)及基于其上的簡單訪問協(xié)議SOAP（Simple Object Access Protocol）,它可以允許用任何語言編寫的任何類型的對(duì)象，在不同操作系統(tǒng)之間、不同平臺(tái)之間、不同程序之間相互通信。因此可以適用于不同編程語言開發(fā)的文、檔系統(tǒng)之間的聯(lián)機(jī)傳輸。SOAP是一種輕量級(jí)協(xié)議，通過HTTP協(xié)議傳輸數(shù)據(jù)，因此Web Service的調(diào)用請(qǐng)求和回應(yīng)消息可以透過校園網(wǎng)中的防火墻和網(wǎng)閘，避免了通過特殊端口進(jìn)行通信而無法穿越防火墻和網(wǎng)閘導(dǎo)致的技術(shù)障礙。2

在檔案系統(tǒng)里開放一個(gè)接口程序供OA系統(tǒng)調(diào)用，通過OA用戶點(diǎn)擊“歸檔”按鈕后，驅(qū)動(dòng)OA系統(tǒng)抽取數(shù)據(jù)庫目標(biāo)數(shù)據(jù)，將其導(dǎo)出成xml文件，與PDF電子文件一起經(jīng)過加密后通過接口程序?qū)?shù)據(jù)信息和密鑰傳遞到檔案系統(tǒng)接口，由檔案系統(tǒng)接口對(duì)數(shù)據(jù)進(jìn)行解密后導(dǎo)入到本系統(tǒng)數(shù)據(jù)庫中。平臺(tái)中所使用的公鑰與私鑰，可以通過導(dǎo)入X.509數(shù)字證書來獲得，也可通過開發(fā)專用的證書Wed服務(wù)組件，并部署在檔案系統(tǒng)和OA系統(tǒng)平臺(tái)上，供兩邊的接口獲取公鑰和相應(yīng)的私鑰。3檔案管理系統(tǒng)將文件背景信息寫入PDF格式的電子文件內(nèi)，完成電子文件封裝。

圖2　文、檔系統(tǒng)對(duì)接模型

2. 內(nèi)、外網(wǎng)實(shí)施隔離

該校檔案系統(tǒng)運(yùn)行環(huán)境主要有互聯(lián)網(wǎng)、校園網(wǎng)和檔案館內(nèi)部工作網(wǎng)三個(gè)級(jí)別的網(wǎng)絡(luò)。關(guān)于學(xué)校的涉密信息可以放在一臺(tái)不聯(lián)網(wǎng)的主機(jī)上，由工作人員進(jìn)行涉密信息的上傳和查閱，學(xué)校查閱涉密信息的機(jī)會(huì)不多，為了安全性的考慮，不應(yīng)該上網(wǎng)。

檔案系統(tǒng)由內(nèi)部查閱系統(tǒng)和信息發(fā)布系統(tǒng)兩部分組成。內(nèi)部查閱系統(tǒng)面向校園網(wǎng)用戶，賦予每個(gè)部門檔案查閱的用戶名和密碼，發(fā)布內(nèi)容的密級(jí)為“公開”和“內(nèi)部”。發(fā)布系統(tǒng)面向校園網(wǎng)和互聯(lián)網(wǎng)用戶，發(fā)布內(nèi)容密級(jí)為“公開”，無需密碼登錄可查閱。為了便于訪問控制，可將這兩個(gè)系統(tǒng)賦予兩個(gè)獨(dú)立的網(wǎng)絡(luò)地址。

校園網(wǎng)和檔案館內(nèi)部用物理隔離，互聯(lián)網(wǎng)和校園網(wǎng)用邏輯隔離。物理隔離與邏輯隔離有很大的差別，物理隔離在兩網(wǎng)分離的前提下，對(duì)數(shù)據(jù)進(jìn)行判斷后，對(duì)符合條件的數(shù)據(jù)進(jìn)行傳遞。邏輯隔離在兩網(wǎng)連通的前提下，對(duì)數(shù)據(jù)進(jìn)行判斷后，對(duì)有威脅的數(shù)據(jù)進(jìn)行阻擋。學(xué)校內(nèi)、外網(wǎng)隔離方案如圖3所示。

圖3 學(xué)校網(wǎng)絡(luò)隔離模型

第一層為檔案館工作內(nèi)網(wǎng)，工作內(nèi)網(wǎng)對(duì)檔案數(shù)據(jù)整理加工和存儲(chǔ)管理，對(duì)檔案系統(tǒng)進(jìn)行備份、遠(yuǎn)程控制等寫入操作。工作內(nèi)網(wǎng)應(yīng)與檔案系統(tǒng)單獨(dú)連接，不與任何其它公共網(wǎng)絡(luò)連接。

第二層為校園網(wǎng)，檔案系統(tǒng)面向校園網(wǎng)開放密級(jí)為“公開”和“內(nèi)部”的檔案信息，如，學(xué)校各部門的收發(fā)文、在學(xué)校各類行政事務(wù)中產(chǎn)生的文件材料、學(xué)校的歷史照片、學(xué)校的年鑒和大事記等。此類信息開放對(duì)象為全校師生，不適宜被校外人員查閱到。

檔案系統(tǒng)與校園網(wǎng)通過網(wǎng)閘相連。工作原理是：當(dāng)校園網(wǎng)有訪問請(qǐng)求時(shí)，網(wǎng)閘與檔案系統(tǒng)斷開，校園網(wǎng)將請(qǐng)求發(fā)送到與之相連的網(wǎng)閘，網(wǎng)閘控制臺(tái)剝離請(qǐng)求數(shù)據(jù)的所有協(xié)議，將原始數(shù)據(jù)寫入“數(shù)據(jù)交換池”，寫入完畢與校園網(wǎng)斷開，與檔案系統(tǒng)立連接，將剝離干凈的數(shù)據(jù)送到檔案系統(tǒng)，檔案系統(tǒng)接到訪問請(qǐng)求后，將用戶需要的數(shù)據(jù)發(fā)到“數(shù)據(jù)交換池”，網(wǎng)閘控制臺(tái)剝離檔案系統(tǒng)發(fā)送過來的數(shù)據(jù)的所有協(xié)議，剝離完畢，與檔案系統(tǒng)斷開，與校園網(wǎng)建立連接，將數(shù)據(jù)發(fā)送到校園網(wǎng)用戶。每一次數(shù)據(jù)訪問，網(wǎng)閘都經(jīng)歷這樣的接受數(shù)據(jù)、存儲(chǔ)剝離數(shù)據(jù)、發(fā)送數(shù)據(jù)的過程。

網(wǎng)閘從物理上將具有威脅性的數(shù)據(jù)連接進(jìn)行阻斷，它具有以下優(yōu)點(diǎn)：

1．不用TCP/IP協(xié)議，防止“黑客”利用TCP/IP漏洞進(jìn)行攻擊或越權(quán)訪問，特別是木馬病毒的植入。

2．采用雙主機(jī)系統(tǒng)，兩者交錯(cuò)連接，即使外網(wǎng)情況再惡劣，即使癱瘓，也不會(huì)影響到被保護(hù)的檔案系統(tǒng)。

3．可實(shí)現(xiàn)單向數(shù)據(jù)傳輸，經(jīng)網(wǎng)閘隔離后，拒絕任何對(duì)檔案系統(tǒng)的寫入操作，防止惡意刪除、篡改。

4．對(duì)訪客地址范圍進(jìn)行判斷，對(duì)不同地址范圍的用戶，傳輸相對(duì)應(yīng)的可訪數(shù)據(jù)，防止越權(quán)查閱。4

網(wǎng)閘安全性高，但不適合傳輸復(fù)雜的應(yīng)用任務(wù)。檔案系統(tǒng)傳輸?shù)臄?shù)據(jù)類型主要有PDF文件、視頻文件和圖片文件，類型比較簡單，應(yīng)用任務(wù)單一，運(yùn)用網(wǎng)閘作為其與公共網(wǎng)的隔離手段是一種比較合適的選擇。它在實(shí)現(xiàn)內(nèi)、外網(wǎng)必要數(shù)據(jù)交換的同時(shí)，拒絕了其他沒有必要的傳輸。

在校園網(wǎng)和互聯(lián)網(wǎng)之間則不合適用網(wǎng)閘這樣的物理手段相隔，因?yàn)檫@兩個(gè)網(wǎng)絡(luò)之間傳輸?shù)膽?yīng)用復(fù)雜，數(shù)據(jù)傳輸量大，網(wǎng)閘限制太多，影響通訊能力。用防火墻相隔較為合適。一般高校的校園網(wǎng)和互聯(lián)網(wǎng)之間均已實(shí)現(xiàn)防火墻隔離。

第三層為互聯(lián)網(wǎng)，信息發(fā)布系統(tǒng)面向互聯(lián)網(wǎng)用戶，內(nèi)容包括密級(jí)為“公開”的檔案信息，如檔案館工作動(dòng)態(tài)、學(xué)校新聞視頻、學(xué)術(shù)講座、部分面向社會(huì)開放的科研檔案等。無需用戶名登錄。通過防火墻允許互聯(lián)網(wǎng)用戶訪問發(fā)布系統(tǒng)數(shù)據(jù)，隔斷互聯(lián)網(wǎng)用戶訪問內(nèi)部查閱系統(tǒng)，從而達(dá)到兩網(wǎng)數(shù)據(jù)訪問隔離的目的。

防火墻是現(xiàn)今普遍應(yīng)用的安全工具，防火墻是在保證網(wǎng)絡(luò)連接的情況下阻止?jié)撛诘奈ｋU(xiǎn)信息，支持的應(yīng)用類型多，通訊效率高。安全性不如網(wǎng)閘。防火墻是互聯(lián)網(wǎng)到檔案系統(tǒng)的第一道安全屏障，網(wǎng)閘是“深度防護(hù)”的第二道屏障，兩者作用不同，互相彌補(bǔ)。

3.建立和演練災(zāi)難恢復(fù)方案

制定一個(gè)災(zāi)難恢復(fù)計(jì)劃，需要以下一些步驟：

(1)獲得校級(jí)管理層的支持

這一點(diǎn)非常重要，因?yàn)樗械馁Y金投入和相關(guān)部門的人員協(xié)調(diào)都必須得到校級(jí)管理層的通過和支持。校級(jí)管理層的介入可以確保災(zāi)難發(fā)生時(shí)能夠從他們那里得到精神和財(cái)務(wù)上的支持。

安全事故屬于小概率事件，在經(jīng)費(fèi)和精力有限的情況下，管理層往往會(huì)對(duì)小概率事件存有賭博心理，如果他們對(duì)于安全事故的影響沒有充分的認(rèn)識(shí)，此種情況會(huì)顯得尤其明顯。因此，對(duì)管理層加強(qiáng)溝通和宣傳,引起他們的重視是必不可少的。

(2)選定負(fù)責(zé)人

負(fù)責(zé)人承擔(dān)著組織召集跨部門小組的重要任務(wù)，組織評(píng)估災(zāi)難影響、數(shù)據(jù)恢復(fù)次序，恢復(fù)策略，指導(dǎo)測(cè)試過程。所以負(fù)責(zé)人是整個(gè)災(zāi)難恢復(fù)方案的領(lǐng)頭羊，是災(zāi)難恢復(fù)方案的關(guān)鍵人物。

(3)組成一個(gè)跨部門的小組

負(fù)責(zé)人召集跨部門小組，部門包括：檔案館、校信息中心、檔案鑒別小組等。這個(gè)小組完成如下任務(wù)：進(jìn)行業(yè)務(wù)影響分析、災(zāi)備設(shè)計(jì)實(shí)施、設(shè)計(jì)全面的恢復(fù)流程、明確先后次序、進(jìn)行災(zāi)難恢復(fù)方案計(jì)劃的測(cè)試與編寫計(jì)劃文檔。

（4）進(jìn)行業(yè)務(wù)影響分析、明確恢復(fù)順序

在容災(zāi)熱備運(yùn)行正常的情況下，災(zāi)備中心順利啟用，對(duì)業(yè)務(wù)不會(huì)有較大的影響（關(guān)于我校數(shù)字檔案的災(zāi)備方案擇文再述）。在容災(zāi)中心啟用失敗的情況下，檔案數(shù)據(jù)需要手動(dòng)恢復(fù)，恢復(fù)檔案系統(tǒng)所有的數(shù)據(jù)需要漫長的時(shí)間，因此必須根據(jù)檔案內(nèi)容的重要性依次確定恢復(fù)順序，讓最急用的最常用的檔案先得到恢復(fù)，減少對(duì)業(yè)務(wù)的影響。

 (5)制定災(zāi)難恢復(fù)文檔

制定與災(zāi)難恢復(fù)文檔相關(guān)的硬件、軟件和網(wǎng)絡(luò)組件的最新配置圖。

 (6)經(jīng)常針對(duì)計(jì)劃測(cè)試

該校各項(xiàng)工作的運(yùn)行以學(xué)期為周期，測(cè)試以半年一次為宜。在測(cè)試期間記錄每一個(gè)任務(wù)執(zhí)行情況和持續(xù)時(shí)間。測(cè)試順序：數(shù)據(jù)完整性測(cè)試，網(wǎng)絡(luò)負(fù)荷內(nèi)容和程度測(cè)試，網(wǎng)絡(luò)連接情況測(cè)試，檔案系統(tǒng)終端微機(jī)功能測(cè)試。

 (7)分段總結(jié)

測(cè)試結(jié)束后要對(duì)本次測(cè)試進(jìn)行回顧和總結(jié)。驗(yàn)收哪部分運(yùn)行正常，哪部分還需要改進(jìn)，而需要改進(jìn)部分當(dāng)記入下一次測(cè)試計(jì)劃中。5

三、結(jié)束語

 檔案信息化建設(shè)的水平是高校檔案現(xiàn)代化管理水平的重要標(biāo)志,是一項(xiàng)資金投入大、技術(shù)含量高的工程，數(shù)字檔案館建設(shè)是此項(xiàng)工程的重要內(nèi)容，同樣需要大量的資金和技術(shù)支持。地方性高校經(jīng)費(fèi)有限，因此需要對(duì)檔案價(jià)值和投入成本作一定的權(quán)衡，只有檔案價(jià)值大于投入成本時(shí)，投入才可被認(rèn)為“適度”，此文基于此原則,以紹興文理學(xué)院為例，結(jié)合了其它地方性高校的校情提出了對(duì)策，期待這些對(duì)策能有一定的普適性和參考價(jià)值。

參考文獻(xiàn)：

[1]張東.檔案管理系統(tǒng)與OA系統(tǒng)的關(guān)聯(lián)問題研究[J].廣東檔案,2011(8).

[2]楊梅.數(shù)字校園中基于Web Services數(shù)據(jù)交換平臺(tái)的設(shè)計(jì)與實(shí)現(xiàn)[D].電子科技大學(xué),2011.

[3]柳翠寅 韓敏 袁繼敏,基于XML的跨平臺(tái)數(shù)據(jù)安全交換[J].微計(jì)算機(jī)信息,2007(11).

[4]安全隔離網(wǎng)閘是什么.http://baike.sogou.com/v319394.htm.

[5]牛云,徐慶,辛陽等編著.數(shù)據(jù)備份與災(zāi)難恢復(fù)[M],北京:機(jī)械工業(yè)出版社,2004年 第58-60頁.