地方性高校数字档案安全保障的技术问题与对策----以绍兴文理学院为例

绍兴文理学院档案馆 沈红雨

【摘要】在全省各高校大力推进数字档案馆建设的同时，加强数字档案的安全性保障日益受到重视。数字档案的自身特点决定了技术因素是其安全性保障的一个重要因素。本文以绍兴文理学院为例提出了一些技术层面上存在的典型性问题，并且结合其它地方性高校的校情提出了相应的对策。

【关键词】数字档案 安全 技术

自2005年国家档案局提出要建立一批数字档案馆起，浙江省各高校陆续开展了纸质档案数字化和电子档案收集工作，至2012年省内已有部分高校建成数字档案馆。然而，在这项工作得到飞速推进的同时，很多高校却忽视了数字档案（在本文中指从纸质档案数字化而来的档案和在数字设备中直接产生、形成的电子档案）安全保障的重要性。2014年中共中央办公厅国务院办公厅发布了《关于加强和改进新形势下档案工作的意见》，意见中提出建立健全确保档案安全保密的档案安全体系，如何保障数字档案的安全性成为高校档案信息化建设的重要课题。

数字档案的管理建立在计算机网络技术的基础上，因此技术性保障是其安全性保障的一个重要方面。绍兴文理学院（以下简称“该校”）历经4年多的数字档案馆建设，取得了阶段性的成绩，也发现了一些安全保障上的问题，其中部分问题是笔者考察了其它地方性高校后，在技术层面上发现的共性问题，本文针对这些典型性问题作了如下探讨。

一、该校数字档案安全保障技术问题分析

1. 文、档管理两段分离

绍兴文理学院正式运行中国电信开发的OA办公系统至今，各类电子公文陆续产生，在电子公文的起草、签发、会签、审核等环节中产生的背景信息，系统对此作了捕获、封装，在文件归档后，相关用户可以在系统里浏览到文件内容及其相关背景信息。但是OA系统没有与该校的“南大之星”档案系统进行对接，OA里的电子档案只能导出成PDF，通过别的媒介上传到档案系统里，与档案文件相关联的背景信息无法输入到档案系统，也就是说只能传输文件内容，背景信息与文件内容不绑定。

该校电子档案的前端控制在文档接口处断裂，使得电子档案由于背景信息的缺失，完整性和真实性的保障受到很大的威胁。首先，内容信息以实际接受到的文件内容为准，在文件发出之前可以任意修改，无法确保上传到档案系统的文件是否为原始文件，无法确保原始电子档案后期有否被替换、篡改。其次，档案文件是在实际事务中形成的，档案文件之间具有相互联系性，相关的文件必须齐全。电子档案的背景信息是指电子文件形成的缘由、流转的痕迹、相关性文件、批办情况及参考材料等。所以，背景信息几乎包括了档案内容信息之外的所有其它相关信息，内容复杂，具有即时性，对电子档案的鉴定、价值考证具有直接的影响力。

2.内、外网亟需隔离

该校档案馆网站目前只在校园网范围里开放，校外人员无法访问到该校档案资源。高校是高科技成果和重要信息的聚集地，地方性高校为地方经济提供人才和智力支持，与地方合作密切，地方对高校的档案信息需求越来越大。但是，档案对外开放会带来一些安全上的问题，例如，病毒的入侵，人为的删除、篡改信息，机要信息的外泄等。基于保守的考虑，该校数字档案信息目前只在校园网范围里开放，这在一定程度上牺牲了可开放信息的利用率。

 在校园网内部，该校的档案工作环境与师生阅览环境没有隔离。档案系统的工作环境具有输入、上传、删改、记录日志等写权限和涉密信息的读权限。该校只在档案管理系统里对具有写操作权限和读取涉密信息权限的用户名设置了密码保护，没有作其它隔离措施，为内部网络攻击、病毒入侵，利用系统漏洞有意篡改信息、读取机要信息等非法行为留下了隐患。

3. 灾难恢复计划尚未制定

“凡事预则立，不预则废”。安全工作只能建设得相对安全，不可能无尽止的建设到十全十美。当今社会，各种突发事件频繁发生，该校的数字档案未必就能幸免于难。尤其是数字档案具有媒介脆弱性、信息脆弱性、无原件等特性，使得它比传统纸质档案面临更多的安全风险。

据统计，导致数字系统灾难的原因比例如图1：

从图中可知硬件故障原因占44%，依据该校情况，此类故障修复时间依零部件调配时间不同，为1天至1周，如果硬盘报废，系统需重装，海量文件数据从备份硬盘里拷回去，需时3天左右。人为错误原因占32%,此类故障最易发生，如果操作不当，误删文件，或者系统文件配置不当，病毒原因占7%，此两类故障恢复时间依信息技术员技术水平和经验不一而足。自然灾难占3%，此种灾难发生的可能性很低，但是天有不测风云，不应抱侥幸心理。

图1 灾难成因比例图

该校目前只对数据作了必要的备份，尚未作过灾难恢复的计划和演练。遇到事故发生，将手忙脚乱，影响系统恢复正常的及时性和恢复后数据的真实性。

二、我校数字档案安全保障技术问题解决对策

1. 文、档系统实现对接

文、档系统对接的目标是：将OA系统产生的电子公文的标题、文号、发文日期、发文单位等著录信息以及电子公文流转过程中产生的背景信息通过归档操作，存储到档案管理系统的数据库里，归档后的电子文件存放到档案管理系统指定的文件夹下。为了实现文、档数据“一次输入、多次使用”的功能，OA系统里产生的数据应一一导入到档案系统对应的档案表里，如行政类文件导入到行政类档案表里，党群类文件导入到党群类档案表里。

文、档系统对接当抽取、利用OA中原有的数据，通过重新组合生成为档案系统里新的档案数据，确保电子档案的完整性和真实性。同时，确保数据传输不影响两套系统原有数据的安全，数据的传输不影响数据库数据的保存和利用。确保信息传输过程的安全，避免传播过程中数据被删除、添加和篡改，保证归档信息的参考与凭证价值。1

该校的OA系统和档案管理系统均为关系型数据库，采用SQL平台。两个系统可采用Web Service技术建立程序接口进行数据传递。Web Service的基础是XML(可扩展标识语言)及基于其上的简单访问协议SOAP（Simple Object Access Protocol）,它可以允许用任何语言编写的任何类型的对象，在不同操作系统之间、不同平台之间、不同程序之间相互通信。因此可以适用于不同编程语言开发的文、档系统之间的联机传输。SOAP是一种轻量级协议，通过HTTP协议传输数据，因此Web Service的调用请求和回应消息可以透过校园网中的防火墙和网闸，避免了通过特殊端口进行通信而无法穿越防火墙和网闸导致的技术障碍。2

在档案系统里开放一个接口程序供OA系统调用，通过OA用户点击“归档”按钮后，驱动OA系统抽取数据库目标数据，将其导出成xml文件，与PDF电子文件一起经过加密后通过接口程序将数据信息和密钥传递到档案系统接口，由档案系统接口对数据进行解密后导入到本系统数据库中。平台中所使用的公钥与私钥，可以通过导入X.509数字证书来获得，也可通过开发专用的证书Wed服务组件，并部署在档案系统和OA系统平台上，供两边的接口获取公钥和相应的私钥。3档案管理系统将文件背景信息写入PDF格式的电子文件内，完成电子文件封装。

图2　文、档系统对接模型

2. 内、外网实施隔离

该校档案系统运行环境主要有互联网、校园网和档案馆内部工作网三个级别的网络。关于学校的涉密信息可以放在一台不联网的主机上，由工作人员进行涉密信息的上传和查阅，学校查阅涉密信息的机会不多，为了安全性的考虑，不应该上网。

档案系统由内部查阅系统和信息发布系统两部分组成。内部查阅系统面向校园网用户，赋予每个部门档案查阅的用户名和密码，发布内容的密级为“公开”和“内部”。发布系统面向校园网和互联网用户，发布内容密级为“公开”，无需密码登录可查阅。为了便于访问控制，可将这两个系统赋予两个独立的网络地址。

校园网和档案馆内部用物理隔离，互联网和校园网用逻辑隔离。物理隔离与逻辑隔离有很大的差别，物理隔离在两网分离的前提下，对数据进行判断后，对符合条件的数据进行传递。逻辑隔离在两网连通的前提下，对数据进行判断后，对有威胁的数据进行阻挡。学校内、外网隔离方案如图3所示。

图3 学校网络隔离模型

第一层为档案馆工作内网，工作内网对档案数据整理加工和存储管理，对档案系统进行备份、远程控制等写入操作。工作内网应与档案系统单独连接，不与任何其它公共网络连接。

第二层为校园网，档案系统面向校园网开放密级为“公开”和“内部”的档案信息，如，学校各部门的收发文、在学校各类行政事务中产生的文件材料、学校的历史照片、学校的年鉴和大事记等。此类信息开放对象为全校师生，不适宜被校外人员查阅到。

档案系统与校园网通过网闸相连。工作原理是：当校园网有访问请求时，网闸与档案系统断开，校园网将请求发送到与之相连的网闸，网闸控制台剥离请求数据的所有协议，将原始数据写入“数据交换池”，写入完毕与校园网断开，与档案系统立连接，将剥离干净的数据送到档案系统，档案系统接到访问请求后，将用户需要的数据发到“数据交换池”，网闸控制台剥离档案系统发送过来的数据的所有协议，剥离完毕，与档案系统断开，与校园网建立连接，将数据发送到校园网用户。每一次数据访问，网闸都经历这样的接受数据、存储剥离数据、发送数据的过程。

网闸从物理上将具有威胁性的数据连接进行阻断，它具有以下优点：

1．不用TCP/IP协议，防止“黑客”利用TCP/IP漏洞进行攻击或越权访问，特别是木马病毒的植入。

2．采用双主机系统，两者交错连接，即使外网情况再恶劣，即使瘫痪，也不会影响到被保护的档案系统。

3．可实现单向数据传输，经网闸隔离后，拒绝任何对档案系统的写入操作，防止恶意删除、篡改。

4．对访客地址范围进行判断，对不同地址范围的用户，传输相对应的可访数据，防止越权查阅。4

网闸安全性高，但不适合传输复杂的应用任务。档案系统传输的数据类型主要有PDF文件、视频文件和图片文件，类型比较简单，应用任务单一，运用网闸作为其与公共网的隔离手段是一种比较合适的选择。它在实现内、外网必要数据交换的同时，拒绝了其他没有必要的传输。

在校园网和互联网之间则不合适用网闸这样的物理手段相隔，因为这两个网络之间传输的应用复杂，数据传输量大，网闸限制太多，影响通讯能力。用防火墙相隔较为合适。一般高校的校园网和互联网之间均已实现防火墙隔离。

第三层为互联网，信息发布系统面向互联网用户，内容包括密级为“公开”的档案信息，如档案馆工作动态、学校新闻视频、学术讲座、部分面向社会开放的科研档案等。无需用户名登录。通过防火墙允许互联网用户访问发布系统数据，隔断互联网用户访问内部查阅系统，从而达到两网数据访问隔离的目的。

防火墙是现今普遍应用的安全工具，防火墙是在保证网络连接的情况下阻止潜在的危险信息，支持的应用类型多，通讯效率高。安全性不如网闸。防火墙是互联网到档案系统的第一道安全屏障，网闸是“深度防护”的第二道屏障，两者作用不同，互相弥补。

3.建立和演练灾难恢复方案

制定一个灾难恢复计划，需要以下一些步骤：

(1)获得校级管理层的支持

这一点非常重要，因为所有的资金投入和相关部门的人员协调都必须得到校级管理层的通过和支持。校级管理层的介入可以确保灾难发生时能够从他们那里得到精神和财务上的支持。

安全事故属于小概率事件，在经费和精力有限的情况下，管理层往往会对小概率事件存有赌博心理，如果他们对于安全事故的影响没有充分的认识，此种情况会显得尤其明显。因此，对管理层加强沟通和宣传,引起他们的重视是必不可少的。

(2)选定负责人

负责人承担着组织召集跨部门小组的重要任务，组织评估灾难影响、数据恢复次序，恢复策略，指导测试过程。所以负责人是整个灾难恢复方案的领头羊，是灾难恢复方案的关键人物。

(3)组成一个跨部门的小组

负责人召集跨部门小组，部门包括：档案馆、校信息中心、档案鉴别小组等。这个小组完成如下任务：进行业务影响分析、灾备设计实施、设计全面的恢复流程、明确先后次序、进行灾难恢复方案计划的测试与编写计划文档。

（4）进行业务影响分析、明确恢复顺序

在容灾热备运行正常的情况下，灾备中心顺利启用，对业务不会有较大的影响（关于我校数字档案的灾备方案择文再述）。在容灾中心启用失败的情况下，档案数据需要手动恢复，恢复档案系统所有的数据需要漫长的时间，因此必须根据档案内容的重要性依次确定恢复顺序，让最急用的最常用的档案先得到恢复，减少对业务的影响。

 (5)制定灾难恢复文档

制定与灾难恢复文档相关的硬件、软件和网络组件的最新配置图。

 (6)经常针对计划测试

该校各项工作的运行以学期为周期，测试以半年一次为宜。在测试期间记录每一个任务执行情况和持续时间。测试顺序：数据完整性测试，网络负荷内容和程度测试，网络连接情况测试，档案系统终端微机功能测试。

 (7)分段总结

测试结束后要对本次测试进行回顾和总结。验收哪部分运行正常，哪部分还需要改进，而需要改进部分当记入下一次测试计划中。5

三、结束语

 档案信息化建设的水平是高校档案现代化管理水平的重要标志,是一项资金投入大、技术含量高的工程，数字档案馆建设是此项工程的重要内容，同样需要大量的资金和技术支持。地方性高校经费有限，因此需要对档案价值和投入成本作一定的权衡，只有档案价值大于投入成本时，投入才可被认为“适度”，此文基于此原则,以绍兴文理学院为例，结合了其它地方性高校的校情提出了对策，期待这些对策能有一定的普适性和参考价值。

参考文献：

[1]张东.档案管理系统与OA系统的关联问题研究[J].广东档案,2011(8).

[2]杨梅.数字校园中基于Web Services数据交换平台的设计与实现[D].电子科技大学,2011.

[3]柳翠寅 韩敏 袁继敏,基于XML的跨平台数据安全交换[J].微计算机信息,2007(11).

[4]安全隔离网闸是什么.http://baike.sogou.com/v319394.htm.

[5]牛云,徐庆,辛阳等编著.数据备份与灾难恢复[M],北京:机械工业出版社,2004年 第58-60页.