電子檔案移交一體機(jī)安全技術(shù)措施設(shè)計(jì)

文/陳 勇 程 知 楊安榮

電子檔案移交一體機(jī)結(jié)構(gòu)圖

電子檔案移交一體機(jī)設(shè)計(jì)采用身份認(rèn)證、數(shù)據(jù)冗余、數(shù)據(jù)加密、磁盤隱藏等技術(shù)防護(hù)手段，從物理安全、系統(tǒng)安全、應(yīng)用安全和數(shù)據(jù)安全等方面實(shí)現(xiàn)了電子檔案的安全保障。該設(shè)計(jì)將控制軟件和應(yīng)用軟件固化在硬件中，具有便于安裝、操作便捷、免于維護(hù)的突出優(yōu)勢，對于促進(jìn)立檔單位電子檔案移交工作具有重要意義

一、電子檔案移交安全問題分析

根據(jù)《電子檔案移交與接收辦法》的規(guī)定，立檔單位須將電子檔案“自形成之日起5年內(nèi)向同級國家綜合檔案館移交”，同時在移交和接收過程中要“確保電子檔案的真實(shí)、完整、可用和安全”。但結(jié)合當(dāng)前電子檔案的管理現(xiàn)狀，移交接收過程中存在諸多安全隱患。

首先，各立檔單位將待移交數(shù)據(jù)集中存儲在一臺服務(wù)器上就存在安全隱患。目前大部分單位的數(shù)據(jù)都是明文存儲，未進(jìn)行加密保護(hù)，一旦服務(wù)器被攻破，入侵者可以方便地竊取數(shù)據(jù)。

其次，電子檔案數(shù)據(jù)在移交準(zhǔn)備階段各個環(huán)節(jié)（比如收集、整理、封裝、檢測等）的流轉(zhuǎn)處理過程中未進(jìn)行有效的安全防護(hù)，數(shù)據(jù)存在被篡改、被惡意下載的可能性。

最后，在移交接收的交接過程中，同樣存在較大的安全隱患。一方面操作雙方?jīng)]有進(jìn)行嚴(yán)格的身份認(rèn)證，存在假冒身份的可能性；另一方面在線移交時，數(shù)據(jù)傳輸過程未進(jìn)行加密處理；離線移交時，載體未進(jìn)行安全保護(hù)；這些都存在數(shù)據(jù)泄密的安全隱患。

二、電子檔案移交一體機(jī)的提出和設(shè)計(jì)

電子檔案移交過程中存在的安全隱患很大一部分原因是由于運(yùn)行移交軟件的服務(wù)器和存儲數(shù)據(jù)的服務(wù)器分離以及存儲數(shù)據(jù)的服務(wù)器和移交載體分離造成的，為此，我們提出了電子檔案移交軟硬件一體機(jī)的設(shè)計(jì)思路。該一體機(jī)采用USB插拔式專用硬件盒，并將應(yīng)用軟件固化在硬盤盒中，是一個集電子檔案收集、整理、移交于一體的有效工具，并且對移動硬盤盒作嚴(yán)格的安全防護(hù)處理，使得移動硬盤只有在授權(quán)情況下可訪問，任何非法途徑的訪問都是不被允許的。

說明如下：

1.對硬盤進(jìn)行分區(qū)處理，包括程序區(qū)和數(shù)據(jù)區(qū)，前者為只讀區(qū)域，根據(jù)存儲內(nèi)容的不同又可以分為應(yīng)用程序區(qū)和控制程序區(qū)，分別存儲應(yīng)用程序和控制程序；后者為隱藏區(qū)域，存放待移交電子檔案數(shù)據(jù)（以下統(tǒng)稱為只讀區(qū)和隱藏區(qū)）。

2.提供隱藏區(qū)加載的訪問控制功能，只有用戶身份通過認(rèn)證后才能加載；提供隱藏區(qū)進(jìn)程訪問控制功能，只有一體機(jī)自身的合法進(jìn)程能夠訪問隱藏區(qū)。

3.提供數(shù)據(jù)透明加解密技術(shù)，對隱藏區(qū)數(shù)據(jù)進(jìn)行加密保護(hù)；同時保護(hù)隱藏區(qū)加密密鑰，將密鑰存放在USB-HID中。

一體機(jī)在出廠的時候，在只讀區(qū)內(nèi)置了“一體機(jī)管理安裝程序”和“電子檔案移交應(yīng)用軟件”，這部分區(qū)域內(nèi)容不可修改，同時對“電子檔案移交軟件”進(jìn)行了隱藏及加密保護(hù)。隱藏區(qū)進(jìn)行了隱藏和加密處理，在終端機(jī)操作系統(tǒng)加載一體機(jī)之后，隱藏區(qū)自動隱藏，只允許“電子檔案移交應(yīng)用軟件”操作，不允許其他任何軟件（包括操作系統(tǒng)，除授權(quán)進(jìn)程外）操作。

三、信息安全防護(hù)技術(shù)措施設(shè)計(jì)

從以上的描述中可以看出，電子檔案移交一體機(jī)在設(shè)計(jì)上采取了非常嚴(yán)密的信息安全防護(hù)技術(shù)措施來確保電子檔案的安全性。具體地說，信息安全防護(hù)技術(shù)措施包括身份認(rèn)證、數(shù)據(jù)冗余、數(shù)據(jù)加密、磁盤隱藏等幾個方面，下面對這些技術(shù)措施分別進(jìn)行介紹。

1.身份認(rèn)證

要正常加載一體機(jī)并啟動應(yīng)用程序必須首先通過身份認(rèn)證。用戶的身份信息和隱藏區(qū)加密密鑰都存放在特制的USB-HID鑰匙盤中，確保身份信息和密鑰信息只能被驗(yàn)證程序正常訪問，不會被非法竊取。在一體機(jī)加載時控制模塊會自動驗(yàn)證鑰匙盤中的身份信息，只有通過身份認(rèn)證后才進(jìn)行磁盤的掛接。

在一體機(jī)加載之后，控制模塊還會隨時檢測鑰匙盤的狀態(tài)，一旦鑰匙盤被拔出或者其他原因?qū)е聽顟B(tài)失效，一體機(jī)所有進(jìn)程立即中斷，一體機(jī)被強(qiáng)制卸載。同時，為了進(jìn)一步保護(hù)隱藏區(qū)中的數(shù)據(jù)安全，對所有訪問隱藏區(qū)的進(jìn)程均進(jìn)行驗(yàn)證，只有授權(quán)程序才可對隱藏區(qū)進(jìn)行讀寫。

2.數(shù)據(jù)冗余

作為存儲待移交電子檔案數(shù)據(jù)的重要設(shè)備，一體機(jī)的數(shù)據(jù)安全性保障至關(guān)重要，一旦由于磁盤損壞等原因?qū)е聰?shù)據(jù)丟失，后果不堪設(shè)想。因此，一體機(jī)采用兩塊大小、型號一致的大容量、高密度磁盤組成RAID1[3]磁盤陣列。其原理是在主硬盤上寫數(shù)據(jù)的同時也在鏡像硬盤上寫一樣的數(shù)據(jù)，當(dāng)其中一塊硬盤物理損壞時，另一塊鏡像硬盤立即代替損壞硬盤的工作繼續(xù)提供存儲服務(wù)。因?yàn)橛戌R像硬盤做數(shù)據(jù)備份，就為一體機(jī)的數(shù)據(jù)安全存儲提供了有力保障。

3.數(shù)據(jù)加密

只讀區(qū)中的“電子檔案移交應(yīng)用軟件”及隱藏區(qū)中的數(shù)據(jù)均采用512位AES[4]加密算法進(jìn)行動態(tài)加密，實(shí)現(xiàn)數(shù)據(jù)安全性保護(hù)。為了進(jìn)一步提高安全性，同時使用了RIPEMD-160[5]散列算法對隱藏區(qū)中的數(shù)據(jù)進(jìn)行完整性校驗(yàn)。

4.磁盤隱藏

磁盤隱藏對于進(jìn)一步保護(hù)磁盤中的數(shù)據(jù)安全具有重要輔助作用，終端用戶根本看不到數(shù)據(jù)的存儲路徑。一體機(jī)采用特殊的文件系統(tǒng)格式對磁盤分區(qū)進(jìn)行格式化操作，使常規(guī)的操作系統(tǒng)（比如WindowsXP、Windows7、Windows8、Linux等）無法識別該磁盤分區(qū)從而實(shí)現(xiàn)磁盤隱藏。磁盤一旦被隱藏，操作系統(tǒng)將無法識別和查看，即使使用專業(yè)的磁盤工具能夠識別磁盤分區(qū)也無法竊取其中的數(shù)據(jù)，因?yàn)閿?shù)據(jù)都是經(jīng)過加密的。

四、操作流程

一體機(jī)接入終端機(jī)后，執(zhí)行過程如圖所示。

過程描述如下：

1.一體機(jī)接入終端機(jī)，如果是首次接入，需要人工運(yùn)行只讀區(qū)（控制程序區(qū)）中的“一體機(jī)初始化程序”來安裝控制模塊以及相關(guān)的驅(qū)動程序；如果不是首次接入，系統(tǒng)自動執(zhí)行后續(xù)步驟；

2.控制程序就緒后，自動監(jiān)測USB端口的設(shè)備變動。如果此時終端機(jī)上存在鑰匙盤及一體機(jī)設(shè)備，那么控制程序?qū)蔫€匙盤中驗(yàn)證身份并獲取只讀區(qū)和隱藏區(qū)密鑰，首先將只讀區(qū)切換至應(yīng)用程序區(qū)（隱藏控制程序區(qū)），進(jìn)一步加載隱藏區(qū)；

3.啟動訪問控制管理，監(jiān)控隱藏區(qū)的訪問進(jìn)程，對所有訪問隱藏區(qū)的進(jìn)程均進(jìn)行驗(yàn)證，只有授權(quán)程序才可對其進(jìn)行訪問；

4.接著會在終端機(jī)操作系統(tǒng)屏幕右下方出現(xiàn)一個浮動快捷入口，同時調(diào)用“電子檔案移交應(yīng)用軟件”，進(jìn)行應(yīng)用軟件和數(shù)據(jù)庫的加載；

5.用戶使用應(yīng)用軟件進(jìn)行電子檔案的管理工作（主要是完成移交前的準(zhǔn)備工作），電子檔案的條目數(shù)據(jù)和內(nèi)容數(shù)據(jù)將經(jīng)過加密后存儲在一體機(jī)的隱藏區(qū)中；

6.用戶使用完畢后，可直接拔出鑰匙盤，控制程序?qū)⒆詣雨P(guān)閉應(yīng)用軟件并終止所有進(jìn)程，卸載一體機(jī)。

電子檔案移交一體機(jī)采用軟硬件結(jié)合的設(shè)計(jì)方式，將控制軟件和應(yīng)用軟件固化在硬件中，便于安裝、操作便捷、免于維護(hù)。更為重要的是，一體機(jī)在設(shè)計(jì)時充分考慮到信息安全防護(hù)的重要性，采用身份認(rèn)證、數(shù)據(jù)冗余、數(shù)據(jù)加密、磁盤隱藏等技術(shù)防護(hù)手段，從物理安全、系統(tǒng)安全、應(yīng)用安全和數(shù)據(jù)安全等方面實(shí)現(xiàn)了電子檔案的安全保障。因此，電子檔案移交一體機(jī)兼具了便捷性和安全性，具有良好的應(yīng)用推廣價值。

一體機(jī)執(zhí)行流程圖