文/陈 勇 程 知 杨安荣

电子档案移交一体机结构图

电子档案移交一体机设计采用身份认证、数据冗余、数据加密、磁盘隐藏等技术防护手段，从物理安全、系统安全、应用安全和数据安全等方面实现了电子档案的安全保障。该设计将控制软件和应用软件固化在硬件中，具有便于安装、操作便捷、免于维护的突出优势，对于促进立档单位电子档案移交工作具有重要意义

一、电子档案移交安全问题分析

根据《电子档案移交与接收办法》的规定，立档单位须将电子档案“自形成之日起5年内向同级国家综合档案馆移交”，同时在移交和接收过程中要“确保电子档案的真实、完整、可用和安全”。但结合当前电子档案的管理现状，移交接收过程中存在诸多安全隐患。

首先，各立档单位将待移交数据集中存储在一台服务器上就存在安全隐患。目前大部分单位的数据都是明文存储，未进行加密保护，一旦服务器被攻破，入侵者可以方便地窃取数据。

其次，电子档案数据在移交准备阶段各个环节（比如收集、整理、封装、检测等）的流转处理过程中未进行有效的安全防护，数据存在被篡改、被恶意下载的可能性。

最后，在移交接收的交接过程中，同样存在较大的安全隐患。一方面操作双方没有进行严格的身份认证，存在假冒身份的可能性；另一方面在线移交时，数据传输过程未进行加密处理；离线移交时，载体未进行安全保护；这些都存在数据泄密的安全隐患。

二、电子档案移交一体机的提出和设计

电子档案移交过程中存在的安全隐患很大一部分原因是由于运行移交软件的服务器和存储数据的服务器分离以及存储数据的服务器和移交载体分离造成的，为此，我们提出了电子档案移交软硬件一体机的设计思路。该一体机采用USB插拔式专用硬件盒，并将应用软件固化在硬盘盒中，是一个集电子档案收集、整理、移交于一体的有效工具，并且对移动硬盘盒作严格的安全防护处理，使得移动硬盘只有在授权情况下可访问，任何非法途径的访问都是不被允许的。

说明如下：

1.对硬盘进行分区处理，包括程序区和数据区，前者为只读区域，根据存储内容的不同又可以分为应用程序区和控制程序区，分别存储应用程序和控制程序；后者为隐藏区域，存放待移交电子档案数据（以下统称为只读区和隐藏区）。

2.提供隐藏区加载的访问控制功能，只有用户身份通过认证后才能加载；提供隐藏区进程访问控制功能，只有一体机自身的合法进程能够访问隐藏区。

3.提供数据透明加解密技术，对隐藏区数据进行加密保护；同时保护隐藏区加密密钥，将密钥存放在USB-HID中。

一体机在出厂的时候，在只读区内置了“一体机管理安装程序”和“电子档案移交应用软件”，这部分区域内容不可修改，同时对“电子档案移交软件”进行了隐藏及加密保护。隐藏区进行了隐藏和加密处理，在终端机操作系统加载一体机之后，隐藏区自动隐藏，只允许“电子档案移交应用软件”操作，不允许其他任何软件（包括操作系统，除授权进程外）操作。

三、信息安全防护技术措施设计

从以上的描述中可以看出，电子档案移交一体机在设计上采取了非常严密的信息安全防护技术措施来确保电子档案的安全性。具体地说，信息安全防护技术措施包括身份认证、数据冗余、数据加密、磁盘隐藏等几个方面，下面对这些技术措施分别进行介绍。

1.身份认证

要正常加载一体机并启动应用程序必须首先通过身份认证。用户的身份信息和隐藏区加密密钥都存放在特制的USB-HID钥匙盘中，确保身份信息和密钥信息只能被验证程序正常访问，不会被非法窃取。在一体机加载时控制模块会自动验证钥匙盘中的身份信息，只有通过身份认证后才进行磁盘的挂接。

在一体机加载之后，控制模块还会随时检测钥匙盘的状态，一旦钥匙盘被拔出或者其他原因导致状态失效，一体机所有进程立即中断，一体机被强制卸载。同时，为了进一步保护隐藏区中的数据安全，对所有访问隐藏区的进程均进行验证，只有授权程序才可对隐藏区进行读写。

2.数据冗余

作为存储待移交电子档案数据的重要设备，一体机的数据安全性保障至关重要，一旦由于磁盘损坏等原因导致数据丢失，后果不堪设想。因此，一体机采用两块大小、型号一致的大容量、高密度磁盘组成RAID1[3]磁盘阵列。其原理是在主硬盘上写数据的同时也在镜像硬盘上写一样的数据，当其中一块硬盘物理损坏时，另一块镜像硬盘立即代替损坏硬盘的工作继续提供存储服务。因为有镜像硬盘做数据备份，就为一体机的数据安全存储提供了有力保障。

3.数据加密

只读区中的“电子档案移交应用软件”及隐藏区中的数据均采用512位AES[4]加密算法进行动态加密，实现数据安全性保护。为了进一步提高安全性，同时使用了RIPEMD-160[5]散列算法对隐藏区中的数据进行完整性校验。

4.磁盘隐藏

磁盘隐藏对于进一步保护磁盘中的数据安全具有重要辅助作用，终端用户根本看不到数据的存储路径。一体机采用特殊的文件系统格式对磁盘分区进行格式化操作，使常规的操作系统（比如WindowsXP、Windows7、Windows8、Linux等）无法识别该磁盘分区从而实现磁盘隐藏。磁盘一旦被隐藏，操作系统将无法识别和查看，即使使用专业的磁盘工具能够识别磁盘分区也无法窃取其中的数据，因为数据都是经过加密的。

四、操作流程

一体机接入终端机后，执行过程如图所示。

过程描述如下：

1.一体机接入终端机，如果是首次接入，需要人工运行只读区（控制程序区）中的“一体机初始化程序”来安装控制模块以及相关的驱动程序；如果不是首次接入，系统自动执行后续步骤；

2.控制程序就绪后，自动监测USB端口的设备变动。如果此时终端机上存在钥匙盘及一体机设备，那么控制程序将从钥匙盘中验证身份并获取只读区和隐藏区密钥，首先将只读区切换至应用程序区（隐藏控制程序区），进一步加载隐藏区；

3.启动访问控制管理，监控隐藏区的访问进程，对所有访问隐藏区的进程均进行验证，只有授权程序才可对其进行访问；

4.接着会在终端机操作系统屏幕右下方出现一个浮动快捷入口，同时调用“电子档案移交应用软件”，进行应用软件和数据库的加载；

5.用户使用应用软件进行电子档案的管理工作（主要是完成移交前的准备工作），电子档案的条目数据和内容数据将经过加密后存储在一体机的隐藏区中；

6.用户使用完毕后，可直接拔出钥匙盘，控制程序将自动关闭应用软件并终止所有进程，卸载一体机。

电子档案移交一体机采用软硬件结合的设计方式，将控制软件和应用软件固化在硬件中，便于安装、操作便捷、免于维护。更为重要的是，一体机在设计时充分考虑到信息安全防护的重要性，采用身份认证、数据冗余、数据加密、磁盘隐藏等技术防护手段，从物理安全、系统安全、应用安全和数据安全等方面实现了电子档案的安全保障。因此，电子档案移交一体机兼具了便捷性和安全性，具有良好的应用推广价值。

一体机执行流程图