高安全性數(shù)字化檔案管理系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)

原方圓，馬書南，雷 偉，鄔 俊

?

高安全性數(shù)字化檔案管理系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)

原方圓1，馬書南2，雷 偉3，鄔 俊1

（1. 北京交通大學(xué)計(jì)算機(jī)與信息技術(shù)學(xué)院，北京 100011；2. 中國(guó)科學(xué)院信息工程研究所，北京 100093；3. 某中央國(guó)家機(jī)關(guān)，北京）

數(shù)字化檔案不僅具有更高的使用效率，還有利于紙質(zhì)檔案文檔的保存保護(hù)，是一種更先進(jìn)、環(huán)保的信息利用方式。檔案管理系統(tǒng)軟件是支撐檔案數(shù)字化的必備基礎(chǔ)。然而目前的檔案管理系統(tǒng)很少具備信息安全防護(hù)功能，存在著權(quán)限濫用和信息泄露的風(fēng)險(xiǎn)。文章全面分析數(shù)字化檔案管理中面臨的安全風(fēng)險(xiǎn)，提出相應(yīng)的應(yīng)對(duì)措施，并組合使用雙因子認(rèn)證、權(quán)限分離、數(shù)據(jù)加密、密文檢索等信息技術(shù)，設(shè)計(jì)實(shí)現(xiàn)了一套高安全性的數(shù)字化檔案管理軟件。目前，該系統(tǒng)已在某中央國(guó)家機(jī)關(guān)投入實(shí)際應(yīng)用，并取得了良好的應(yīng)用效果。

系統(tǒng)安全；數(shù)字化檔案；全文加密；雙因子認(rèn)證

0 引言

2017年12月，國(guó)家檔案局局長(zhǎng)李明華在全國(guó)檔案局長(zhǎng)館長(zhǎng)會(huì)議上的工作報(bào)告中提出：檔案工作正在經(jīng)歷一個(gè)從接收保管紙質(zhì)檔案到接收保管電子檔案，從管檔案實(shí)體到管檔案數(shù)據(jù)，從手工操作到信息化智能化操作，從檔案資源分散利用到聯(lián)網(wǎng)共享的變革過程。對(duì)此，我們要應(yīng)勢(shì)而動(dòng)、乘勢(shì)而為，加快推進(jìn)檔案工作的轉(zhuǎn)型升級(jí)，逐步實(shí)現(xiàn)以信息化為核心的檔案管理現(xiàn)代化?？梢钥吹?，隨著信息技術(shù)的發(fā)展，檔案電子化是時(shí)代的趨勢(shì)、也是檔案交互共享的前提，而數(shù)字化檔案又需要進(jìn)行相應(yīng)的數(shù)字化系統(tǒng)管理。為此，很多人開展了數(shù)字化檔案管理系統(tǒng)相關(guān)的研究和工作，數(shù)字化檔案管理系統(tǒng)的關(guān)鍵技術(shù)已經(jīng)成為相關(guān)領(lǐng)域的研究熱點(diǎn)。

數(shù)字化檔案管理系統(tǒng)的設(shè)計(jì)方面已經(jīng)有了很多成果，例如：石俊萍等提出了一種基于用戶自定義結(jié)構(gòu)的數(shù)字化檔案管理系統(tǒng)的設(shè)計(jì)方法[2]，指出了該系統(tǒng)的功能和結(jié)構(gòu)，并對(duì)系統(tǒng)進(jìn)行了實(shí)現(xiàn)。梁靜等提出了一種基于web技術(shù)的數(shù)字化檔案管理系統(tǒng)的設(shè)計(jì)方法，并給出了相關(guān)設(shè)計(jì)方案[3]。與此同時(shí)，數(shù)字化檔案的安全性問題也引起了大家的關(guān)注。李明華提出了當(dāng)前數(shù)字化檔案安全應(yīng)注意的幾個(gè)問題，提出應(yīng)該充分發(fā)揮人的能動(dòng)性并不斷完善檔案安全體系建設(shè)[6]；張健提出了一種數(shù)字化檔案全文加密的安全保護(hù)研究方法，這個(gè)方法可以為數(shù)字化檔案提供一種更為有效的安全保密措施[7]。從目前調(diào)研來看，數(shù)字化檔案的安全管理已經(jīng)引起了學(xué)術(shù)界和產(chǎn)業(yè)界的廣泛關(guān)注，但投入實(shí)用的方案還比較少，特別系統(tǒng)化的研究成果還比較少。

本文提出了一種加密數(shù)字化檔案管理系統(tǒng)的設(shè)計(jì)方法，分析了對(duì)敏感檔案的安全性和管理方面的需求，應(yīng)用了USB-Key認(rèn)證、數(shù)據(jù)庫加密、全文加密等技術(shù)，設(shè)計(jì)實(shí)現(xiàn)了一個(gè)操作簡(jiǎn)單、界面美觀且具有高安全性的數(shù)字化檔案管理系統(tǒng)，該系統(tǒng)在某國(guó)家機(jī)關(guān)投入使用，為其他單位的敏感檔案管理工作提供了有益的參考。

1 數(shù)字化檔案系統(tǒng)的安全需求分析

通過對(duì)目前市面上主流的數(shù)字化檔案系統(tǒng)的分析，我們發(fā)現(xiàn)其存在以下的安全風(fēng)險(xiǎn)：一是數(shù)字化檔案系統(tǒng)載體遺失或被盜造成的失密泄密風(fēng)險(xiǎn)。數(shù)字化檔案系統(tǒng)的載體一般為計(jì)算機(jī)、服務(wù)器等。一旦載體不慎遺失或被他人盜竊，由于目前數(shù)字化檔案系統(tǒng)內(nèi)部普遍采用明文存儲(chǔ)，技術(shù)人員便可輕易獲取存儲(chǔ)在載體中的檔案信息。二是數(shù)字化檔案管理系統(tǒng)的用戶管理風(fēng)險(xiǎn)。如果用戶無意間將賬號(hào)和密碼泄露出去，其他人便可輕易登錄該系統(tǒng)查看操作檔案。三是黑客攻擊、暴力破解系統(tǒng)造成的檔案安全風(fēng)險(xiǎn)。四是用戶誤操作導(dǎo)致檔案受損或丟失風(fēng)險(xiǎn)。

針對(duì)上述風(fēng)險(xiǎn)并結(jié)合某國(guó)家機(jī)關(guān)對(duì)檔案安全的需求，我們部署了以下安全措施：

1.1 檔案導(dǎo)入落盤加密及數(shù)據(jù)庫加密

數(shù)字化檔案導(dǎo)入時(shí)通過調(diào)用加解密插件進(jìn)行落盤加密存儲(chǔ)，數(shù)字化檔案不以明文形式存儲(chǔ)于磁盤中。數(shù)字化檔案的文件元信息和用戶信息存儲(chǔ)于數(shù)據(jù)庫中，數(shù)據(jù)庫也經(jīng)過加密處理，只有通過該系統(tǒng)才能對(duì)檔案和數(shù)據(jù)庫進(jìn)行查看操作，否則無法獲取檔案信息。

1.2 用戶管理三權(quán)分立

該系統(tǒng)區(qū)分用戶身份，并采用三權(quán)分立的用戶管理權(quán)限設(shè)置，包含系統(tǒng)管理員，數(shù)據(jù)管理員和普通用戶三種角色。特定的用戶只能進(jìn)行特定用戶的操作，不能越級(jí)操作。本系統(tǒng)的用戶管理對(duì)用戶權(quán)限進(jìn)行了詳細(xì)劃分，不同用戶各司其職，完成各自職責(zé)，不會(huì)發(fā)生越級(jí)操作事件。

1.3 雙因子認(rèn)證

該系統(tǒng)采用口令認(rèn)證和USB-Key雙因子認(rèn)證。只有持有USB-Key并且輸入正確的口令才可以進(jìn)入系統(tǒng)。且為了防止暴力破解口令，輸錯(cuò)三次口令用戶將被鎖定。

1.4 操作審計(jì)

系統(tǒng)管理員可以查看數(shù)據(jù)管理員和普通用戶的操作日志。系統(tǒng)會(huì)對(duì)數(shù)據(jù)管理員和普通用戶的操作進(jìn)行審計(jì)，審計(jì)內(nèi)容包括用戶登入登出、文件元信息和文件的增刪查改、檔案調(diào)閱、檔案檢索、系統(tǒng)事件、用戶訪問等關(guān)鍵操作信息。該審計(jì)信息由系統(tǒng)自動(dòng)生成且不可被修改刪除。

1.5 檔案?jìng)浞莺突謴?fù)

該數(shù)字化檔案管理系統(tǒng)設(shè)置定時(shí)備份和手動(dòng)備份功能，如果檔案信息受損，便可一鍵恢復(fù)到之前的檔案狀態(tài)。

通過以上安全措施，解決了當(dāng)前的數(shù)字化檔案管理系統(tǒng)普遍存在的安全風(fēng)險(xiǎn)，滿足了某國(guó)家機(jī)關(guān)對(duì)敏感檔案管理的需求。

2 系統(tǒng)的架構(gòu)設(shè)計(jì)

高安全性數(shù)字化檔案管理系統(tǒng)主要為敏感檔案提供數(shù)字化文件導(dǎo)入、用戶管理、檔案查詢和綜合管理等功能，其整體結(jié)構(gòu)如圖1所示。

紙質(zhì)文件經(jīng)過文件掃描和元信息提取后生產(chǎn)文件元信息和數(shù)字化文件。文件元信息和數(shù)字化文件經(jīng)過通過該加密數(shù)字化檔案管理進(jìn)行導(dǎo)入，文件元信息存儲(chǔ)于本地?cái)?shù)據(jù)庫中，數(shù)字化文件加密存儲(chǔ)于本地文件庫中。該系統(tǒng)包括以下四個(gè)模塊：系統(tǒng)管理、數(shù)字化檔案信息導(dǎo)入、檔案管理和檔案檢索查閱（如圖2）。數(shù)字化檔案信息導(dǎo)入主要是指文件元信息和數(shù)字化文件的導(dǎo)入。檔案管理是指當(dāng)前系統(tǒng)中存在的文件元信息以及數(shù)字化文件的管理操作，主要包括定義檔案類別目錄、增加、修改、刪除檔案操作等。檔案利用是指檔案檢索和檔案調(diào)閱，系統(tǒng)定義四種檢索策略：一體化檢索、瀏覽檢索、高級(jí)檢索和在檢索結(jié)果中再檢索，從而提高檢索效率和準(zhǔn)確度。

2.1 系統(tǒng)管理

系統(tǒng)管理主要包括用戶認(rèn)證、用戶管理和操作審計(jì)功能。

圖1 系統(tǒng)整體結(jié)構(gòu)

圖2 系統(tǒng)主要模塊

該系統(tǒng)具有基于口令和USB Key的雙因子身份認(rèn)證功能?；诳诹畹纳矸菡J(rèn)證是一種比較常見的方式，通過用戶名和口令來確認(rèn)用戶的身份。但這是一種低安全性的身份認(rèn)證方式。本系統(tǒng)在此基礎(chǔ)上，增加了基于USB Key的身份認(rèn)證方式。基于USB Key的身份認(rèn)證方式是近幾年發(fā)展起來的一種方便、安全、可靠的身份認(rèn)證技術(shù)。采用一次一密的強(qiáng)雙因子認(rèn)證模式，很好地解決了身份認(rèn)證的安全可靠問題，并提供了 USB 接口與現(xiàn)今的電腦通用連接。

該系統(tǒng)區(qū)分用戶身份，采用三權(quán)分立的用戶管理權(quán)限設(shè)置，包含系統(tǒng)管理員，數(shù)據(jù)管理員和普通用戶三種角色。系統(tǒng)管理員主要負(fù)責(zé)管理其他用戶，主要功能包括數(shù)據(jù)管理員的創(chuàng)建、授權(quán)管理、屬性管理、登錄控制、更新、注銷和刪除等；包括普通用戶的創(chuàng)建、授權(quán)管理、屬性管理、登錄控制、更新、注銷和刪除等。系統(tǒng)管理員同時(shí)具備用戶操作審計(jì)功能。數(shù)據(jù)管理員主要負(fù)責(zé)數(shù)字檔案的文件元信息和文件的導(dǎo)入、元信息和數(shù)字檔案對(duì)應(yīng)、數(shù)字檔案校對(duì)等數(shù)據(jù)管理操作。普通用戶可以對(duì)加密檔案進(jìn)行查看以及檢索等。同時(shí)，系統(tǒng)提供用戶全生命周期管理。包括：用戶創(chuàng)建、屬性管理、登錄控制、注銷、刪除等功能。

系統(tǒng)管理員可以查看數(shù)據(jù)管理員和普通用戶的操作日志。系統(tǒng)會(huì)對(duì)數(shù)據(jù)管理員和普通用戶的操作進(jìn)行審計(jì)，審計(jì)內(nèi)容包括用戶登入登出、文件元信息和文件的增刪查改、檔案調(diào)閱、檔案檢索、系統(tǒng)事件、用戶訪問等關(guān)鍵操作信息。該審計(jì)信息由系統(tǒng)自動(dòng)生成且不可被修改刪除。

2.2 數(shù)字化檔案信息導(dǎo)入

系統(tǒng)支持?jǐn)?shù)字文件元信息單個(gè)或者批量導(dǎo)入，對(duì)重復(fù)數(shù)據(jù)、冗余數(shù)據(jù)進(jìn)行處理，元信息被加密保存在了數(shù)據(jù)庫中。支持?jǐn)?shù)字檔案文件單個(gè)或者批量導(dǎo)入，文件被加密保存在客戶端本地，落盤即為密文。數(shù)據(jù)導(dǎo)入流程如下圖所示。

圖3 數(shù)據(jù)導(dǎo)入流程圖

只有數(shù)據(jù)管理員才能對(duì)數(shù)據(jù)進(jìn)行導(dǎo)入，系統(tǒng)提供文件元信息和數(shù)字文件單個(gè)或者批量導(dǎo)入方法，首先進(jìn)行文件元信息導(dǎo)入，系統(tǒng)對(duì)文件元信息格式、類型、長(zhǎng)度進(jìn)行有效控制，對(duì)文件元信息的冗余信息進(jìn)行提示，只有正確的文件元信息才能成功導(dǎo)入，對(duì)錯(cuò)誤的文件元信息進(jìn)行錯(cuò)誤提醒，可防止錯(cuò)誤數(shù)據(jù)產(chǎn)生。接著進(jìn)行數(shù)字文件導(dǎo)入，數(shù)字文件和文件元信息進(jìn)行關(guān)聯(lián)，確保文件元信息和數(shù)字檔案文件一一對(duì)應(yīng)，二者缺一不可，數(shù)字化檔案在進(jìn)行導(dǎo)入時(shí)，通過調(diào)用加解密插件進(jìn)行加密處理，文件落盤加密。檔案數(shù)字文件在加密導(dǎo)入時(shí)確保數(shù)據(jù)可以被解密。

加解密插件對(duì)上層應(yīng)用提供開放接口調(diào)用，主要作用就是對(duì)數(shù)字文檔進(jìn)行加解密操作。數(shù)字化檔案導(dǎo)入時(shí)通過調(diào)用加解密插件進(jìn)行加密存儲(chǔ)，數(shù)字檔案不以明文形式存儲(chǔ)于磁盤中。加解密插件示意圖如下圖所示。

圖4 加解密插件示意圖

加解密插件提供密鑰管理模塊，加解密引擎模塊，算法擴(kuò)展模塊，密文信息管理模塊等。

2.3 檔案管理

系統(tǒng)對(duì)數(shù)據(jù)管理員提供檔案管理功能，數(shù)據(jù)管理員可對(duì)檔案的元信息和檔案文件進(jìn)行增刪查改等操作。普通用戶沒有增加、刪除、修改檔案的權(quán)限，普通用戶如果發(fā)現(xiàn)檔案數(shù)據(jù)錯(cuò)誤，需要提交申請(qǐng)由數(shù)據(jù)管理員確定是否需要修改或者刪除。

2.4 檔案利用

檔案利用主要包括檔案檢索和檔案調(diào)閱。

檔案檢索對(duì)檔案管理來說非常重要，可以顯著提高用戶的工作效率。由于該系統(tǒng)導(dǎo)入的數(shù)字化檔案全部為落盤加密，因此使用了密文檢索技術(shù)對(duì)其加密部分進(jìn)行檢索。該系統(tǒng)提供四種檢索方式：

2.4.1 一體化檢索

軟件支持一體化檢索，類似百度的檢索方式，能夠按照文件名、數(shù)字檔案的文件元信息要素進(jìn)行檢索，只要元信息包含檢索字段就可以查到。

2.4.2 瀏覽檢索

將時(shí)間、類別、案卷、文件按照層級(jí)關(guān)系羅列在界面上，逐層深入直到找到記錄，同時(shí)支持文件元信息（條目數(shù)據(jù)）樹狀結(jié)構(gòu)組織，向?qū)綑z索，即提供探索式檢索手段，由向?qū)б徊揭徊揭龑?dǎo)用戶快速檢索

2.4.3 高級(jí)檢索

支持多重邏輯多條件高級(jí)檢索，高級(jí)檢索條件中用戶可以自定義與或等邏輯條件，只要是元信息中包含的條件都支持與或邏輯檢索。

2.4.4 在檢索結(jié)果中再檢索

支持對(duì)檢索結(jié)果中再檢索。

各種檢索方式最終會(huì)轉(zhuǎn)換成統(tǒng)一數(shù)據(jù)庫語句，對(duì)數(shù)據(jù)庫進(jìn)行查詢，最后將查詢結(jié)果展示在界面上。

系統(tǒng)支持密文文件檔案調(diào)閱。數(shù)據(jù)管理員和普通用戶都可以對(duì)數(shù)字檔案進(jìn)行調(diào)閱，軟件提供數(shù)字檔案調(diào)閱界面，數(shù)字檔案按照特定方式進(jìn)行分類分級(jí)，通過調(diào)閱界面，數(shù)字檔案的文件元信息以列表或者圖標(biāo)等方式進(jìn)行展示，用戶可以很方便地對(duì)各數(shù)字檔案進(jìn)行調(diào)閱，用戶可對(duì)加密的數(shù)字檔案進(jìn)行解密查看，加密檔案在系統(tǒng)運(yùn)行時(shí)解密，退出時(shí)清除明文緩存。

3 系統(tǒng)的實(shí)現(xiàn)

按照以上的設(shè)計(jì)方案，我們開發(fā)了一個(gè)操作簡(jiǎn)單、界面美觀的高安全性數(shù)字化檔案管理系統(tǒng)。用戶操作流程如圖5。

圖5 用戶操作流程

用戶認(rèn)證界面如圖6：

圖6 用戶認(rèn)證界面

系統(tǒng)管理員通過認(rèn)證后進(jìn)入系統(tǒng)管理界面（如圖7），可進(jìn)行用戶管理和操作審計(jì)。

圖7 系統(tǒng)管理界面

數(shù)據(jù)管理員通過認(rèn)證后進(jìn)入檔案管理界面（如圖8），可進(jìn)行檔案管理和檔案檢索。

圖8 數(shù)據(jù)管理員界面

普通用戶通過認(rèn)證后，進(jìn)入檔案檢索界面。（如圖9）。

該系統(tǒng)的功能設(shè)計(jì)嚴(yán)格按照國(guó)家檔案局辦公室2017年12月印發(fā)的《數(shù)字化檔案管理系統(tǒng)基本功能規(guī)定》，導(dǎo)入的數(shù)字化檔案文件為pdf格式，元信息存儲(chǔ)在excel表格中，和數(shù)字化文件同時(shí)導(dǎo)入。通過認(rèn)證之后，所有操作在系統(tǒng)內(nèi)都有詳細(xì)說明，且系統(tǒng)的基本操作符合用戶習(xí)慣。在保證檔案安全性的同時(shí)，最大化的滿足用戶的使用體驗(yàn)。該系統(tǒng)在某國(guó)家機(jī)關(guān)獲得了用戶的一致認(rèn)可。

圖9 普通用戶界面

4 結(jié)語

本文提出了一個(gè)高安全性數(shù)字化檔案管理系統(tǒng)的設(shè)計(jì)方案，采用usb-key認(rèn)證、數(shù)據(jù)庫加密、文件加密等技術(shù)，在該設(shè)計(jì)方案的指導(dǎo)下研制了高安全性數(shù)字化檔案管理系統(tǒng)。該系統(tǒng)的設(shè)計(jì)充分考慮了某國(guó)家機(jī)關(guān)對(duì)敏感檔案的管理使用需求，確保了敏感檔案的安全性。目前該系統(tǒng)已開始在某國(guó)家機(jī)關(guān)進(jìn)行實(shí)際應(yīng)用，極大的提高了辦公效率，由此可見，該系統(tǒng)具有巨大的應(yīng)用參考價(jià)值。

[1] 國(guó)家檔案局. 電子檔案管理基本術(shù)語(征求意見稿)[S]. 2012.4.

[2] 石俊萍, 李必云. 基于用戶自定義結(jié)構(gòu)的電子檔案管理系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)[J]. 計(jì)算機(jī)與現(xiàn)代化, 2010(2): 127-129.

[3] 梁靜, 任?. 基于web技術(shù)的電子檔案管理系統(tǒng)開發(fā)與設(shè)計(jì)[J]. 電子設(shè)計(jì)工程, 2017(24): 38-41.

[4] 楊鑫瑤. 一種可復(fù)用電子檔案管理系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)[J]. 數(shù)字技術(shù)與應(yīng)用, 2016(1): 200-201.

[5] 王亞軍. 醫(yī)德醫(yī)風(fēng)電子檔案管理系統(tǒng)設(shè)計(jì)[J]. 解放軍醫(yī)院管理雜志, 2016(4): 325-327.

[6] 張健. 電子檔案全文加密安全保護(hù)研究[J]. 上海檔案, 2013(7): 19-22.

[7] 李明華. 當(dāng)前電子檔案安全應(yīng)注意的幾個(gè)問題[J]. 中國(guó)檔案, 2018(2): 38-39.

[8] 崔貴芳. 淺談電子檔案信息安全措施[J]. 山西檔案, 2013(S1): 97-98, 106.

[9] 李成東, 徐飛. 一種基于USBKEY的文件保險(xiǎn)箱設(shè)計(jì)與實(shí)現(xiàn)[J]. 軟件, 2013, 34(5): 21-24.

[10] 劉芳. 一種數(shù)據(jù)庫加密系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[J]. 軟件, 2012(11): 97-98.

[11] 國(guó)家檔案局. 電子檔案管理系統(tǒng)基本功能[S]. 2017.12.

Design and Implementation of High Security Digital Archives Management System

YUAN Fang-yuan1, MA Shu-nan2, LEI Wei3, WU Jun1

(1. School of Computer and Information Technology, Beijing jiaotong university, Beijing 100011, China; 2. Institute of Information Engineering, Chinese Academy of Sciences, Beijing 100093, China; 3. A Central State Organs, Beijing, China)

Digital archives not only have a higher efficiency of use but are also conducive to the preservation and preservation of paper archives. It is a more advanced and environmentally friendly method of information utilization. The archives management system software is the necessary foundation to support the digitalization of archives. However, the current archives management system rarely has the information security protection function, and there is a risk of abuse of authority and information leakage. The article comprehensively analyzes the security risks faced in digital archives management, proposes corresponding countermeasures, and uses a combination of two-factor authentication, permission separation, data encryption, ciphertext retrieval and other information technologies to design and implement a set of high security digital archives management system. At present, the system has been put into practical use in a Central State Organs and has achieved good results.

System security; Digital archives;Full-text encryption; Two-factor authentication

TP315

A

10.3969/j.issn.1003-6970.2018.07.020

原方圓(1997-)，女，本科生，信息安全、云計(jì)算安全。

鄔俊，副教授，主要研究方向：計(jì)算機(jī)技術(shù)、機(jī)器學(xué)習(xí)與認(rèn)知計(jì)算。

本文著錄格式：原方圓，馬書南，雷偉，等. 高安全性數(shù)字化檔案管理系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[J]. 軟件，2018，39（7）：98-102