海委檔案管理系統安全加固體系淺析

王津琳，王 凡，董 辰，劉燕飛

（水利部海河水利委員會，天津 300170）

推進數字孿生流域建設，是貫徹習近平總書記重要指示批示精神和黨中央、國務院決策部署的明確要求，是適應現代信息技術發展形勢的必然要求，是強化流域治理管理的迫切要求。以數字孿生流域建設帶動智慧水利建設，通過數字化、網絡化、智能化的思維、戰略、資源和方法去提升水利決策與管理的科學化、精準化、高效化能力和水平。

水利檔案是為水利事業發展服務的重要資源支撐，水利部海河水利委員會（以下簡稱海委）檔案信息化建設和現代化數字檔案館室建設也將成為數字孿生海河建設的一環［1-3］。作為海委檔案信息化應用平臺的檔案管理系統自2008 年投入運行至今已超過10 a，隨著數字化工作的開展，系統數據量逐年增長，管理維護難度日漸增大，對電子檔案數據存儲的安全性提出了巨大挑戰。結合目前網絡安全形勢，按照國家對信息安全的總體要求，對現行海委檔案管理系統多層次安全加固體系淺析如下。

1 海委檔案管理系統概況

海委檔案管理系統以海委檔案現行業務為基礎，結合委機關及各直屬管理局的業務管理應用現狀和相關管理需求，按照電子政務平臺建設的總體要求，整合完善現有業務管理系統和基于業務資源建成的水利電子政務平臺，與綜合辦公系統緊密結合，使其具有水利系統特點，形成科學管理流程的檔案管理軟件［4］。

1.1 總體框架和特點

1.1.1 技術特點

系統具有顯著的水利特點，滿足水利系統業務需要；系統構架靈活，滿足業務處理多樣性和靈活性要求，用戶能通過系統設計定制自己的業務；系統設計時充分考慮了使用者的需要，操作界面簡單，能保證用戶在盡量短的時間內掌握并靈活應用系統完成檔案管理日常工作；系統采用按“卷”和按“件”結合的方式對各門類檔案進行管理；系統能夠按需求進行動態調整，完全適應業務的擴展和管理機制的轉變，與綜合辦公系統實現無縫鏈接，可實現電子公文流順暢的歸檔入庫。

1.1.2 系統結構和流程規劃

海委下屬4 個直屬管理局，包括海委漳衛南運河管理局（以下簡稱漳衛南局）、海委引灤工程管理局（以下簡稱引灤局）、海委海河下游管理局（以下簡稱海河下游局）、海委漳河上游管理局（以下簡稱漳河上游局）。海委檔案管理系統主體結構為自上而下分級管理、互聯互通。海委檔案管理系統結構，如圖1所示。

圖1 海委檔案管理系統結構示意

海委檔案管理數據流程結合實體檔案管理現狀，主要分為檔案專職人員和各部門、單位檔案兼職人員的日常應用，非檔案人員的信息查詢和直屬各管理局的上報移交三部分。海委檔案管理應用數據流程規劃，如圖2所示。

圖2 海委檔案管理應用數據流程規劃

1.2 主要功能簡述

系統根據國家檔案局和水利部關于檔案工作的相關規定，能夠按照檔案業務流程分別對文書檔案、科技檔案、會計檔案、音像檔案、實物檔案以及其他類檔案進行管理和維護。

1.2.1 檔案采集

系統能夠完成專兼職檔案人員對多種類型檔案信息的采集，包括各類紙質檔案、電子檔案及照片、音像、實物檔案等。紙質檔案按來源包括館藏各類紙質檔案和實時移交歸檔的往來公文、多種類型的報告、圖紙、會計賬簿、憑單等。電子檔案歸檔來源則主要是各立檔單位的兼職檔案人員從綜合辦公系統導入的應歸檔的各類電子公文。系統能夠接收多格式、多介質載體的電子檔案，并支持生成檔案模板，作為檔案統一管理之用。

1.2.2 檔案管理

專職檔案人員能按照自定義的檔案管理樹型結構對包括文書、科技、會計、音像、實物、干部等多類型、多媒體格式檔案信息進行存儲、管理，實現檔案著錄、檔案統計、打印輸出等業務操作。

1.2.3 檔案利用

系統能夠實現全文檢索、多字段多條件查詢檢索等多種方式的檢索，能夠對所需要的檔案信息進行跨庫與跨類的檢索，方便抽調出與鍵入的檢索內容相符合的檔案信息。系統可憑權限對檔案進行借閱，實現包括在線瀏覽、下載、打印在內的諸多功能。系統能夠提供檔案原件的掛接并實現與編輯軟件的無縫鏈接，便于大事記、專題、年鑒及組織沿革等的編寫。

1.2.4 系統維護

系統支持方便快捷的維護，包括基礎數據維護、權限管理、日志管理、數據備份及輸入輸出維護等，實現與平臺的無縫鏈接，從而保證系統的正常運行和檔案的安全。

海委檔案管理系統功能模塊區劃，如圖3所示。

圖3 海委檔案管理系統功能模塊

2 海委檔案管理系統安全體系概述

2.1 安全需求

海委檔案管理系統安全需求主要包括信息內容安全、系統安全和網絡安全三方面。網絡安全可以依托網絡環境，借助防火墻技術、VPN 技術等來實現，暫不在本文中討論。從目前業界信息安全的整體環境而言，保障信息內容安全和系統安全主要圍繞解決以下5個問題展開：①身份鑒別問題：需要確認系統中用戶身份的真實性與合法性；②授權控制問題：根據經過鑒別的真實身份確定對信息內容和系統應用的訪問權限；③機密性問題：確保信息內容在存貯和傳輸過程中的機密性，必須不能被非授權用戶訪問；④完整性問題：確保信息內容不能夠被非授權用戶惡意或無意修改或刪除；⑤抗否認性問題：建立責任機制，使任何用戶對其所進行的操作不可否認。

2.2 安全策略

鑒于此，海委檔案管理系統通過建立相應的安全策略來保障檔案信息內容和系統的安全性。安全策略主要包含檔案信息對象訪問控制策略、用戶訪問控制策略、系統日志管理策略和檔案信息對象存儲備份策略4 個方面。要根據相應的管理規范，通過一定的技術手段對檔案管理系統服務器的操作系統、網絡、應用程序、數據庫服務和文件服務進行加固，從而保證檔案的安全。海委檔案管理系統安全策略，如圖4所示。

圖4 海委檔案管理系統安全策略

2.3 技術路線

海委檔案管理系統構建7 級防護加固體系，從傳輸層、磁盤層、文件層、文件題名層、文件擴展名層、文件實體對象軟加密層、文件實體對象硬加密層切入，由訪問、傳輸、尋址、存儲環節逐步深入，確保電子檔案絕對安全。海委檔案管理系統安全加固體系，如圖5所示。

圖5 海委檔案管理系統安全加固體系

3 海委檔案管理系統安全技術實現

3.1 傳輸層（第一層）

通用系統采用HTTP 協議進行數據訪問和傳輸，容易在鏈路、傳輸過程中發生信息安全事故，要利用加密傳輸的HTTPS 協議來進行加固，通過HTTPS 的安全層（TSL、SSL）來加密傳輸數據，結合數字證書確保請求和服務器之間信息傳遞的真實和完整，達到“獲取卻看不明白”效果。HTTP 協議與HTTPS協議區別，如圖6所示。

圖6 HTTP協議與HTTPS協議區別

3.2 磁盤層（第二層）

檔案管理系統的非結構化數據存儲在物理磁盤上，對磁盤的安全控制采取分級實施策略。首先通過操作系統本身制定安全策略，其次還要開發單獨的磁盤加密手段進行二次加固，對扇區和磁盤進行整體加密，確保電子數據安全，從磁盤的硬環境達到“沒有密碼進不去”效果。

3.3 文件層（第三層）

檔案管理系統的電子檔案數據按照一定的命名策略和規則存貯在服務器各個文件夾內，通過深度開發對文件夾的加密防護功能從文件夾的軟環境達到“沒有密碼進不去”效果。

磁盤層和文件層防護體系流程，如圖7所示。

圖7 磁盤層、文件層防護體系流程

3.4 文件題名層（第四層）

檔案管理系統非結構化數據中的電子文件常以文件題名或檔號命名，擁有其實際的業務屬性，有讓非法侵入者輕易通過文件名辨別是否有利用價值的風險，通過建立多位數規則算法，開發文件題名混淆功能模塊，將文件的BaseName修改為規則性的獨立代碼，達到“看到找不到”效果。

3.5 文件擴展名層（第五層）

在文件題名層文件名混淆功能實現的基礎上，開發能夠實現遍歷、比對功能的文件擴展名混淆模塊，將文件的ExtName 進行多數位、規則化加密，達到“找到打不開”效果。

文件題名和擴展名層加固手段能夠針對混淆算法做規范約束，生成規則能夠按照規范要求進行解密和利用，實現效果如圖8所示。

圖8 文件題名和擴展名層防護體系實現效果

3.6 文件實體對象軟加密層（第六層）

借鑒金融、軍工系統中非結構化數據保護機制，利用軟件加密由公鑰、私鑰組成對稱算法實現安全加固，達到“文件在手卻無法利用”效果。

3.7 文件實體對象硬加密層（第七層）

在文件實體對象軟加密實現的基礎上，可采購加密機，由硬件直接進行加解密工作，從而更好地提高安全性和利用效率。由于檔案業務規范約束及加密機采購的政策性限制，本文只作技術性探討，實現層面暫不論述。

4 海委檔案管理系統安全輔助措施

通過服務器加固、數據和應用分離及非結構化數據實時監測對安全體系進行輔助性強化。

4.1 服務器加固

對檔案管理系統應用容器進行加固，升級至最新版本，減少漏洞出現概率。

4.2 數據和應用分離

對數據庫和ftp白名單機制進行安全控制，把應用和數據進行分離，即使應用服務受到威脅，也可以在一定程度上保證數據的安全。

4.3 非結構化數據實時監測、預警

對檔案管理系統的每個電子文件進行MD5 值計算并保存。后臺啟動檢測系統輪轉檢測被調用文件的MD5 值，并驗證是否與初始值相同，后臺調度采用定期掃描和手動掃描兩種方式。及時發現文件唯一編碼異常并向檔案管理員預警，可以利用短信或者郵件的方式進行提醒，防止文件被非法用戶篡改和病毒侵襲。

5 結語

海委檔案信息化建設工作任重而道遠，要按照數字孿生流域建設要求，以智慧檔案信息化為驅動，加快實現以檔案信息化為核心的檔案管理現代化。進一步探索海委電子檔案數據資源整合和電子檔案安全加固相結合的新思路，大力推進檔案資源信息化、檔案信息管理標準化、檔案信息服務網絡化進程，為海委水利事業發展助力。