地方性高校數字檔案安全保障的技術問題與對策----以紹興文理學院為例

紹興文理學院檔案館 沈紅雨

【摘要】在全省各高校大力推進數字檔案館建設的同時，加強數字檔案的安全性保障日益受到重視。數字檔案的自身特點決定了技術因素是其安全性保障的一個重要因素。本文以紹興文理學院為例提出了一些技術層面上存在的典型性問題，并且結合其它地方性高校的校情提出了相應的對策。

【關鍵詞】數字檔案 安全 技術

自2005年國家檔案局提出要建立一批數字檔案館起，浙江省各高校陸續開展了紙質檔案數字化和電子檔案收集工作，至2012年省內已有部分高校建成數字檔案館。然而，在這項工作得到飛速推進的同時，很多高校卻忽視了數字檔案（在本文中指從紙質檔案數字化而來的檔案和在數字設備中直接產生、形成的電子檔案）安全保障的重要性。2014年中共中央辦公廳國務院辦公廳發布了《關于加強和改進新形勢下檔案工作的意見》，意見中提出建立健全確保檔案安全保密的檔案安全體系，如何保障數字檔案的安全性成為高校檔案信息化建設的重要課題。

數字檔案的管理建立在計算機網絡技術的基礎上，因此技術性保障是其安全性保障的一個重要方面。紹興文理學院（以下簡稱“該?！保v經4年多的數字檔案館建設，取得了階段性的成績，也發現了一些安全保障上的問題，其中部分問題是筆者考察了其它地方性高校后，在技術層面上發現的共性問題，本文針對這些典型性問題作了如下探討。

一、該校數字檔案安全保障技術問題分析

1. 文、檔管理兩段分離

紹興文理學院正式運行中國電信開發的OA辦公系統至今，各類電子公文陸續產生，在電子公文的起草、簽發、會簽、審核等環節中產生的背景信息，系統對此作了捕獲、封裝，在文件歸檔后，相關用戶可以在系統里瀏覽到文件內容及其相關背景信息。但是OA系統沒有與該校的“南大之星”檔案系統進行對接，OA里的電子檔案只能導出成PDF，通過別的媒介上傳到檔案系統里，與檔案文件相關聯的背景信息無法輸入到檔案系統，也就是說只能傳輸文件內容，背景信息與文件內容不綁定。

該校電子檔案的前端控制在文檔接口處斷裂，使得電子檔案由于背景信息的缺失，完整性和真實性的保障受到很大的威脅。首先，內容信息以實際接受到的文件內容為準，在文件發出之前可以任意修改，無法確保上傳到檔案系統的文件是否為原始文件，無法確保原始電子檔案后期有否被替換、篡改。其次，檔案文件是在實際事務中形成的，檔案文件之間具有相互聯系性，相關的文件必須齊全。電子檔案的背景信息是指電子文件形成的緣由、流轉的痕跡、相關性文件、批辦情況及參考材料等。所以，背景信息幾乎包括了檔案內容信息之外的所有其它相關信息，內容復雜，具有即時性，對電子檔案的鑒定、價值考證具有直接的影響力。

2.內、外網亟需隔離

該校檔案館網站目前只在校園網范圍里開放，校外人員無法訪問到該校檔案資源。高校是高科技成果和重要信息的聚集地，地方性高校為地方經濟提供人才和智力支持，與地方合作密切，地方對高校的檔案信息需求越來越大。但是，檔案對外開放會帶來一些安全上的問題，例如，病毒的入侵，人為的刪除、篡改信息，機要信息的外泄等?；诒Ｊ氐目紤]，該校數字檔案信息目前只在校園網范圍里開放，這在一定程度上犧牲了可開放信息的利用率。

 在校園網內部，該校的檔案工作環境與師生閱覽環境沒有隔離。檔案系統的工作環境具有輸入、上傳、刪改、記錄日志等寫權限和涉密信息的讀權限。該校只在檔案管理系統里對具有寫操作權限和讀取涉密信息權限的用戶名設置了密碼保護，沒有作其它隔離措施，為內部網絡攻擊、病毒入侵，利用系統漏洞有意篡改信息、讀取機要信息等非法行為留下了隱患。

3. 災難恢復計劃尚未制定

“凡事預則立，不預則廢”。安全工作只能建設得相對安全，不可能無盡止的建設到十全十美。當今社會，各種突發事件頻繁發生，該校的數字檔案未必就能幸免于難。尤其是數字檔案具有媒介脆弱性、信息脆弱性、無原件等特性，使得它比傳統紙質檔案面臨更多的安全風險。

據統計，導致數字系統災難的原因比例如圖1：

從圖中可知硬件故障原因占44%，依據該校情況，此類故障修復時間依零部件調配時間不同，為1天至1周，如果硬盤報廢，系統需重裝，海量文件數據從備份硬盤里拷回去，需時3天左右。人為錯誤原因占32%,此類故障最易發生，如果操作不當，誤刪文件，或者系統文件配置不當，病毒原因占7%，此兩類故障恢復時間依信息技術員技術水平和經驗不一而足。自然災難占3%，此種災難發生的可能性很低，但是天有不測風云，不應抱僥幸心理。

圖1 災難成因比例圖

該校目前只對數據作了必要的備份，尚未作過災難恢復的計劃和演練。遇到事故發生，將手忙腳亂，影響系統恢復正常的及時性和恢復后數據的真實性。

二、我校數字檔案安全保障技術問題解決對策

1. 文、檔系統實現對接

文、檔系統對接的目標是：將OA系統產生的電子公文的標題、文號、發文日期、發文單位等著錄信息以及電子公文流轉過程中產生的背景信息通過歸檔操作，存儲到檔案管理系統的數據庫里，歸檔后的電子文件存放到檔案管理系統指定的文件夾下。為了實現文、檔數據“一次輸入、多次使用”的功能，OA系統里產生的數據應一一導入到檔案系統對應的檔案表里，如行政類文件導入到行政類檔案表里，黨群類文件導入到黨群類檔案表里。

文、檔系統對接當抽取、利用OA中原有的數據，通過重新組合生成為檔案系統里新的檔案數據，確保電子檔案的完整性和真實性。同時，確保數據傳輸不影響兩套系統原有數據的安全，數據的傳輸不影響數據庫數據的保存和利用。確保信息傳輸過程的安全，避免傳播過程中數據被刪除、添加和篡改，保證歸檔信息的參考與憑證價值。1

該校的OA系統和檔案管理系統均為關系型數據庫，采用SQL平臺。兩個系統可采用Web Service技術建立程序接口進行數據傳遞。Web Service的基礎是XML(可擴展標識語言)及基于其上的簡單訪問協議SOAP（Simple Object Access Protocol）,它可以允許用任何語言編寫的任何類型的對象，在不同操作系統之間、不同平臺之間、不同程序之間相互通信。因此可以適用于不同編程語言開發的文、檔系統之間的聯機傳輸。SOAP是一種輕量級協議，通過HTTP協議傳輸數據，因此Web Service的調用請求和回應消息可以透過校園網中的防火墻和網閘，避免了通過特殊端口進行通信而無法穿越防火墻和網閘導致的技術障礙。2

在檔案系統里開放一個接口程序供OA系統調用，通過OA用戶點擊“歸檔”按鈕后，驅動OA系統抽取數據庫目標數據，將其導出成xml文件，與PDF電子文件一起經過加密后通過接口程序將數據信息和密鑰傳遞到檔案系統接口，由檔案系統接口對數據進行解密后導入到本系統數據庫中。平臺中所使用的公鑰與私鑰，可以通過導入X.509數字證書來獲得，也可通過開發專用的證書Wed服務組件，并部署在檔案系統和OA系統平臺上，供兩邊的接口獲取公鑰和相應的私鑰。3檔案管理系統將文件背景信息寫入PDF格式的電子文件內，完成電子文件封裝。

圖2　文、檔系統對接模型

2. 內、外網實施隔離

該校檔案系統運行環境主要有互聯網、校園網和檔案館內部工作網三個級別的網絡。關于學校的涉密信息可以放在一臺不聯網的主機上，由工作人員進行涉密信息的上傳和查閱，學校查閱涉密信息的機會不多，為了安全性的考慮，不應該上網。

檔案系統由內部查閱系統和信息發布系統兩部分組成。內部查閱系統面向校園網用戶，賦予每個部門檔案查閱的用戶名和密碼，發布內容的密級為“公開”和“內部”。發布系統面向校園網和互聯網用戶，發布內容密級為“公開”，無需密碼登錄可查閱。為了便于訪問控制，可將這兩個系統賦予兩個獨立的網絡地址。

校園網和檔案館內部用物理隔離，互聯網和校園網用邏輯隔離。物理隔離與邏輯隔離有很大的差別，物理隔離在兩網分離的前提下，對數據進行判斷后，對符合條件的數據進行傳遞。邏輯隔離在兩網連通的前提下，對數據進行判斷后，對有威脅的數據進行阻擋。學校內、外網隔離方案如圖3所示。

圖3 學校網絡隔離模型

第一層為檔案館工作內網，工作內網對檔案數據整理加工和存儲管理，對檔案系統進行備份、遠程控制等寫入操作。工作內網應與檔案系統單獨連接，不與任何其它公共網絡連接。

第二層為校園網，檔案系統面向校園網開放密級為“公開”和“內部”的檔案信息，如，學校各部門的收發文、在學校各類行政事務中產生的文件材料、學校的歷史照片、學校的年鑒和大事記等。此類信息開放對象為全校師生，不適宜被校外人員查閱到。

檔案系統與校園網通過網閘相連。工作原理是：當校園網有訪問請求時，網閘與檔案系統斷開，校園網將請求發送到與之相連的網閘，網閘控制臺剝離請求數據的所有協議，將原始數據寫入“數據交換池”，寫入完畢與校園網斷開，與檔案系統立連接，將剝離干凈的數據送到檔案系統，檔案系統接到訪問請求后，將用戶需要的數據發到“數據交換池”，網閘控制臺剝離檔案系統發送過來的數據的所有協議，剝離完畢，與檔案系統斷開，與校園網建立連接，將數據發送到校園網用戶。每一次數據訪問，網閘都經歷這樣的接受數據、存儲剝離數據、發送數據的過程。

網閘從物理上將具有威脅性的數據連接進行阻斷，它具有以下優點：

1．不用TCP/IP協議，防止“黑客”利用TCP/IP漏洞進行攻擊或越權訪問，特別是木馬病毒的植入。

2．采用雙主機系統，兩者交錯連接，即使外網情況再惡劣，即使癱瘓，也不會影響到被保護的檔案系統。

3．可實現單向數據傳輸，經網閘隔離后，拒絕任何對檔案系統的寫入操作，防止惡意刪除、篡改。

4．對訪客地址范圍進行判斷，對不同地址范圍的用戶，傳輸相對應的可訪數據，防止越權查閱。4

網閘安全性高，但不適合傳輸復雜的應用任務。檔案系統傳輸的數據類型主要有PDF文件、視頻文件和圖片文件，類型比較簡單，應用任務單一，運用網閘作為其與公共網的隔離手段是一種比較合適的選擇。它在實現內、外網必要數據交換的同時，拒絕了其他沒有必要的傳輸。

在校園網和互聯網之間則不合適用網閘這樣的物理手段相隔，因為這兩個網絡之間傳輸的應用復雜，數據傳輸量大，網閘限制太多，影響通訊能力。用防火墻相隔較為合適。一般高校的校園網和互聯網之間均已實現防火墻隔離。

第三層為互聯網，信息發布系統面向互聯網用戶，內容包括密級為“公開”的檔案信息，如檔案館工作動態、學校新聞視頻、學術講座、部分面向社會開放的科研檔案等。無需用戶名登錄。通過防火墻允許互聯網用戶訪問發布系統數據，隔斷互聯網用戶訪問內部查閱系統，從而達到兩網數據訪問隔離的目的。

防火墻是現今普遍應用的安全工具，防火墻是在保證網絡連接的情況下阻止潛在的危險信息，支持的應用類型多，通訊效率高。安全性不如網閘。防火墻是互聯網到檔案系統的第一道安全屏障，網閘是“深度防護”的第二道屏障，兩者作用不同，互相彌補。

3.建立和演練災難恢復方案

制定一個災難恢復計劃，需要以下一些步驟：

(1)獲得校級管理層的支持

這一點非常重要，因為所有的資金投入和相關部門的人員協調都必須得到校級管理層的通過和支持。校級管理層的介入可以確保災難發生時能夠從他們那里得到精神和財務上的支持。

安全事故屬于小概率事件，在經費和精力有限的情況下，管理層往往會對小概率事件存有賭博心理，如果他們對于安全事故的影響沒有充分的認識，此種情況會顯得尤其明顯。因此，對管理層加強溝通和宣傳,引起他們的重視是必不可少的。

(2)選定負責人

負責人承擔著組織召集跨部門小組的重要任務，組織評估災難影響、數據恢復次序，恢復策略，指導測試過程。所以負責人是整個災難恢復方案的領頭羊，是災難恢復方案的關鍵人物。

(3)組成一個跨部門的小組

負責人召集跨部門小組，部門包括：檔案館、校信息中心、檔案鑒別小組等。這個小組完成如下任務：進行業務影響分析、災備設計實施、設計全面的恢復流程、明確先后次序、進行災難恢復方案計劃的測試與編寫計劃文檔。

（4）進行業務影響分析、明確恢復順序

在容災熱備運行正常的情況下，災備中心順利啟用，對業務不會有較大的影響（關于我校數字檔案的災備方案擇文再述）。在容災中心啟用失敗的情況下，檔案數據需要手動恢復，恢復檔案系統所有的數據需要漫長的時間，因此必須根據檔案內容的重要性依次確定恢復順序，讓最急用的最常用的檔案先得到恢復，減少對業務的影響。

 (5)制定災難恢復文檔

制定與災難恢復文檔相關的硬件、軟件和網絡組件的最新配置圖。

 (6)經常針對計劃測試

該校各項工作的運行以學期為周期，測試以半年一次為宜。在測試期間記錄每一個任務執行情況和持續時間。測試順序：數據完整性測試，網絡負荷內容和程度測試，網絡連接情況測試，檔案系統終端微機功能測試。

 (7)分段總結

測試結束后要對本次測試進行回顧和總結。驗收哪部分運行正常，哪部分還需要改進，而需要改進部分當記入下一次測試計劃中。5

三、結束語

 檔案信息化建設的水平是高校檔案現代化管理水平的重要標志,是一項資金投入大、技術含量高的工程，數字檔案館建設是此項工程的重要內容，同樣需要大量的資金和技術支持。地方性高校經費有限，因此需要對檔案價值和投入成本作一定的權衡，只有檔案價值大于投入成本時，投入才可被認為“適度”，此文基于此原則,以紹興文理學院為例，結合了其它地方性高校的校情提出了對策，期待這些對策能有一定的普適性和參考價值。

參考文獻：

[1]張東.檔案管理系統與OA系統的關聯問題研究[J].廣東檔案,2011(8).

[2]楊梅.數字校園中基于Web Services數據交換平臺的設計與實現[D].電子科技大學,2011.

[3]柳翠寅 韓敏 袁繼敏,基于XML的跨平臺數據安全交換[J].微計算機信息,2007(11).

[4]安全隔離網閘是什么.http://baike.sogou.com/v319394.htm.

[5]牛云,徐慶,辛陽等編著.數據備份與災難恢復[M],北京:機械工業出版社,2004年 第58-60頁.