原方圆，马书南，雷 伟，邬 俊



高安全性数字化档案管理系统的设计与实现

原方圆1，马书南2，雷 伟3，邬 俊1

（1. 北京交通大学计算机与信息技术学院，北京 100011；2. 中国科学院信息工程研究所，北京 100093；3. 某中央国家机关，北京）

数字化档案不仅具有更高的使用效率，还有利于纸质档案文档的保存保护，是一种更先进、环保的信息利用方式。档案管理系统软件是支撑档案数字化的必备基础。然而目前的档案管理系统很少具备信息安全防护功能，存在着权限滥用和信息泄露的风险。文章全面分析数字化档案管理中面临的安全风险，提出相应的应对措施，并组合使用双因子认证、权限分离、数据加密、密文检索等信息技术，设计实现了一套高安全性的数字化档案管理软件。目前，该系统已在某中央国家机关投入实际应用，并取得了良好的应用效果。

系统安全；数字化档案；全文加密；双因子认证

0 引言

2017年12月，国家档案局局长李明华在全国档案局长馆长会议上的工作报告中提出：档案工作正在经历一个从接收保管纸质档案到接收保管电子档案，从管档案实体到管档案数据，从手工操作到信息化智能化操作，从档案资源分散利用到联网共享的变革过程。对此，我们要应势而动、乘势而为，加快推进档案工作的转型升级，逐步实现以信息化为核心的档案管理现代化。可以看到，随着信息技术的发展，档案电子化是时代的趋势、也是档案交互共享的前提，而数字化档案又需要进行相应的数字化系统管理。为此，很多人开展了数字化档案管理系统相关的研究和工作，数字化档案管理系统的关键技术已经成为相关领域的研究热点。

数字化档案管理系统的设计方面已经有了很多成果，例如：石俊萍等提出了一种基于用户自定义结构的数字化档案管理系统的设计方法[2]，指出了该系统的功能和结构，并对系统进行了实现。梁静等提出了一种基于web技术的数字化档案管理系统的设计方法，并给出了相关设计方案[3]。与此同时，数字化档案的安全性问题也引起了大家的关注。李明华提出了当前数字化档案安全应注意的几个问题，提出应该充分发挥人的能动性并不断完善档案安全体系建设[6]；张健提出了一种数字化档案全文加密的安全保护研究方法，这个方法可以为数字化档案提供一种更为有效的安全保密措施[7]。从目前调研来看，数字化档案的安全管理已经引起了学术界和产业界的广泛关注，但投入实用的方案还比较少，特别系统化的研究成果还比较少。

本文提出了一种加密数字化档案管理系统的设计方法，分析了对敏感档案的安全性和管理方面的需求，应用了USB-Key认证、数据库加密、全文加密等技术，设计实现了一个操作简单、界面美观且具有高安全性的数字化档案管理系统，该系统在某国家机关投入使用，为其他单位的敏感档案管理工作提供了有益的参考。

1 数字化档案系统的安全需求分析

通过对目前市面上主流的数字化档案系统的分析，我们发现其存在以下的安全风险：一是数字化档案系统载体遗失或被盗造成的失密泄密风险。数字化档案系统的载体一般为计算机、服务器等。一旦载体不慎遗失或被他人盗窃，由于目前数字化档案系统内部普遍采用明文存储，技术人员便可轻易获取存储在载体中的档案信息。二是数字化档案管理系统的用户管理风险。如果用户无意间将账号和密码泄露出去，其他人便可轻易登录该系统查看操作档案。三是黑客攻击、暴力破解系统造成的档案安全风险。四是用户误操作导致档案受损或丢失风险。

针对上述风险并结合某国家机关对档案安全的需求，我们部署了以下安全措施：

1.1 档案导入落盘加密及数据库加密

数字化档案导入时通过调用加解密插件进行落盘加密存储，数字化档案不以明文形式存储于磁盘中。数字化档案的文件元信息和用户信息存储于数据库中，数据库也经过加密处理，只有通过该系统才能对档案和数据库进行查看操作，否则无法获取档案信息。

1.2 用户管理三权分立

该系统区分用户身份，并采用三权分立的用户管理权限设置，包含系统管理员，数据管理员和普通用户三种角色。特定的用户只能进行特定用户的操作，不能越级操作。本系统的用户管理对用户权限进行了详细划分，不同用户各司其职，完成各自职责，不会发生越级操作事件。

1.3 双因子认证

该系统采用口令认证和USB-Key双因子认证。只有持有USB-Key并且输入正确的口令才可以进入系统。且为了防止暴力破解口令，输错三次口令用户将被锁定。

1.4 操作审计

系统管理员可以查看数据管理员和普通用户的操作日志。系统会对数据管理员和普通用户的操作进行审计，审计内容包括用户登入登出、文件元信息和文件的增删查改、档案调阅、档案检索、系统事件、用户访问等关键操作信息。该审计信息由系统自动生成且不可被修改删除。

1.5 档案备份和恢复

该数字化档案管理系统设置定时备份和手动备份功能，如果档案信息受损，便可一键恢复到之前的档案状态。

通过以上安全措施，解决了当前的数字化档案管理系统普遍存在的安全风险，满足了某国家机关对敏感档案管理的需求。

2 系统的架构设计

高安全性数字化档案管理系统主要为敏感档案提供数字化文件导入、用户管理、档案查询和综合管理等功能，其整体结构如图1所示。

纸质文件经过文件扫描和元信息提取后生产文件元信息和数字化文件。文件元信息和数字化文件经过通过该加密数字化档案管理进行导入，文件元信息存储于本地数据库中，数字化文件加密存储于本地文件库中。该系统包括以下四个模块：系统管理、数字化档案信息导入、档案管理和档案检索查阅（如图2）。数字化档案信息导入主要是指文件元信息和数字化文件的导入。档案管理是指当前系统中存在的文件元信息以及数字化文件的管理操作，主要包括定义档案类别目录、增加、修改、删除档案操作等。档案利用是指档案检索和档案调阅，系统定义四种检索策略：一体化检索、浏览检索、高级检索和在检索结果中再检索，从而提高检索效率和准确度。

2.1 系统管理

系统管理主要包括用户认证、用户管理和操作审计功能。

图1 系统整体结构

图2 系统主要模块

该系统具有基于口令和USB Key的双因子身份认证功能。基于口令的身份认证是一种比较常见的方式，通过用户名和口令来确认用户的身份。但这是一种低安全性的身份认证方式。本系统在此基础上，增加了基于USB Key的身份认证方式。基于USB Key的身份认证方式是近几年发展起来的一种方便、安全、可靠的身份认证技术。采用一次一密的强双因子认证模式，很好地解决了身份认证的安全可靠问题，并提供了 USB 接口与现今的电脑通用连接。

该系统区分用户身份，采用三权分立的用户管理权限设置，包含系统管理员，数据管理员和普通用户三种角色。系统管理员主要负责管理其他用户，主要功能包括数据管理员的创建、授权管理、属性管理、登录控制、更新、注销和删除等；包括普通用户的创建、授权管理、属性管理、登录控制、更新、注销和删除等。系统管理员同时具备用户操作审计功能。数据管理员主要负责数字档案的文件元信息和文件的导入、元信息和数字档案对应、数字档案校对等数据管理操作。普通用户可以对加密档案进行查看以及检索等。同时，系统提供用户全生命周期管理。包括：用户创建、属性管理、登录控制、注销、删除等功能。

系统管理员可以查看数据管理员和普通用户的操作日志。系统会对数据管理员和普通用户的操作进行审计，审计内容包括用户登入登出、文件元信息和文件的增删查改、档案调阅、档案检索、系统事件、用户访问等关键操作信息。该审计信息由系统自动生成且不可被修改删除。

2.2 数字化档案信息导入

系统支持数字文件元信息单个或者批量导入，对重复数据、冗余数据进行处理，元信息被加密保存在了数据库中。支持数字档案文件单个或者批量导入，文件被加密保存在客户端本地，落盘即为密文。数据导入流程如下图所示。

图3 数据导入流程图

只有数据管理员才能对数据进行导入，系统提供文件元信息和数字文件单个或者批量导入方法，首先进行文件元信息导入，系统对文件元信息格式、类型、长度进行有效控制，对文件元信息的冗余信息进行提示，只有正确的文件元信息才能成功导入，对错误的文件元信息进行错误提醒，可防止错误数据产生。接着进行数字文件导入，数字文件和文件元信息进行关联，确保文件元信息和数字档案文件一一对应，二者缺一不可，数字化档案在进行导入时，通过调用加解密插件进行加密处理，文件落盘加密。档案数字文件在加密导入时确保数据可以被解密。

加解密插件对上层应用提供开放接口调用，主要作用就是对数字文档进行加解密操作。数字化档案导入时通过调用加解密插件进行加密存储，数字档案不以明文形式存储于磁盘中。加解密插件示意图如下图所示。

图4 加解密插件示意图

加解密插件提供密钥管理模块，加解密引擎模块，算法扩展模块，密文信息管理模块等。

2.3 档案管理

系统对数据管理员提供档案管理功能，数据管理员可对档案的元信息和档案文件进行增删查改等操作。普通用户没有增加、删除、修改档案的权限，普通用户如果发现档案数据错误，需要提交申请由数据管理员确定是否需要修改或者删除。

2.4 档案利用

档案利用主要包括档案检索和档案调阅。

档案检索对档案管理来说非常重要，可以显著提高用户的工作效率。由于该系统导入的数字化档案全部为落盘加密，因此使用了密文检索技术对其加密部分进行检索。该系统提供四种检索方式：

2.4.1 一体化检索

软件支持一体化检索，类似百度的检索方式，能够按照文件名、数字档案的文件元信息要素进行检索，只要元信息包含检索字段就可以查到。

2.4.2 浏览检索

将时间、类别、案卷、文件按照层级关系罗列在界面上，逐层深入直到找到记录，同时支持文件元信息（条目数据）树状结构组织，向导式检索，即提供探索式检索手段，由向导一步一步引导用户快速检索

2.4.3 高级检索

支持多重逻辑多条件高级检索，高级检索条件中用户可以自定义与或等逻辑条件，只要是元信息中包含的条件都支持与或逻辑检索。

2.4.4 在检索结果中再检索

支持对检索结果中再检索。

各种检索方式最终会转换成统一数据库语句，对数据库进行查询，最后将查询结果展示在界面上。

系统支持密文文件档案调阅。数据管理员和普通用户都可以对数字档案进行调阅，软件提供数字档案调阅界面，数字档案按照特定方式进行分类分级，通过调阅界面，数字档案的文件元信息以列表或者图标等方式进行展示，用户可以很方便地对各数字档案进行调阅，用户可对加密的数字档案进行解密查看，加密档案在系统运行时解密，退出时清除明文缓存。

3 系统的实现

按照以上的设计方案，我们开发了一个操作简单、界面美观的高安全性数字化档案管理系统。用户操作流程如图5。

图5 用户操作流程

用户认证界面如图6：

图6 用户认证界面

系统管理员通过认证后进入系统管理界面（如图7），可进行用户管理和操作审计。

图7 系统管理界面

数据管理员通过认证后进入档案管理界面（如图8），可进行档案管理和档案检索。

图8 数据管理员界面

普通用户通过认证后，进入档案检索界面。（如图9）。

该系统的功能设计严格按照国家档案局办公室2017年12月印发的《数字化档案管理系统基本功能规定》，导入的数字化档案文件为pdf格式，元信息存储在excel表格中，和数字化文件同时导入。通过认证之后，所有操作在系统内都有详细说明，且系统的基本操作符合用户习惯。在保证档案安全性的同时，最大化的满足用户的使用体验。该系统在某国家机关获得了用户的一致认可。

图9 普通用户界面

4 结语

本文提出了一个高安全性数字化档案管理系统的设计方案，采用usb-key认证、数据库加密、文件加密等技术，在该设计方案的指导下研制了高安全性数字化档案管理系统。该系统的设计充分考虑了某国家机关对敏感档案的管理使用需求，确保了敏感档案的安全性。目前该系统已开始在某国家机关进行实际应用，极大的提高了办公效率，由此可见，该系统具有巨大的应用参考价值。

[1] 国家档案局. 电子档案管理基本术语(征求意见稿)[S]. 2012.4.

[2] 石俊萍, 李必云. 基于用户自定义结构的电子档案管理系统设计与实现[J]. 计算机与现代化, 2010(2): 127-129.

[3] 梁静, 任㛃. 基于web技术的电子档案管理系统开发与设计[J]. 电子设计工程, 2017(24): 38-41.

[4] 杨鑫瑶. 一种可复用电子档案管理系统设计与实现[J]. 数字技术与应用, 2016(1): 200-201.

[5] 王亚军. 医德医风电子档案管理系统设计[J]. 解放军医院管理杂志, 2016(4): 325-327.

[6] 张健. 电子档案全文加密安全保护研究[J]. 上海档案, 2013(7): 19-22.

[7] 李明华. 当前电子档案安全应注意的几个问题[J]. 中国档案, 2018(2): 38-39.

[8] 崔贵芳. 浅谈电子档案信息安全措施[J]. 山西档案, 2013(S1): 97-98, 106.

[9] 李成东, 徐飞. 一种基于USBKEY的文件保险箱设计与实现[J]. 软件, 2013, 34(5): 21-24.

[10] 刘芳. 一种数据库加密系统的设计与实现[J]. 软件, 2012(11): 97-98.

[11] 国家档案局. 电子档案管理系统基本功能[S]. 2017.12.

Design and Implementation of High Security Digital Archives Management System

YUAN Fang-yuan1, MA Shu-nan2, LEI Wei3, WU Jun1

(1. School of Computer and Information Technology, Beijing jiaotong university, Beijing 100011, China; 2. Institute of Information Engineering, Chinese Academy of Sciences, Beijing 100093, China; 3. A Central State Organs, Beijing, China)

Digital archives not only have a higher efficiency of use but are also conducive to the preservation and preservation of paper archives. It is a more advanced and environmentally friendly method of information utilization. The archives management system software is the necessary foundation to support the digitalization of archives. However, the current archives management system rarely has the information security protection function, and there is a risk of abuse of authority and information leakage. The article comprehensively analyzes the security risks faced in digital archives management, proposes corresponding countermeasures, and uses a combination of two-factor authentication, permission separation, data encryption, ciphertext retrieval and other information technologies to design and implement a set of high security digital archives management system. At present, the system has been put into practical use in a Central State Organs and has achieved good results.

System security; Digital archives;Full-text encryption; Two-factor authentication

TP315

A

10.3969/j.issn.1003-6970.2018.07.020

原方圆(1997-)，女，本科生，信息安全、云计算安全。

邬俊，副教授，主要研究方向：计算机技术、机器学习与认知计算。

本文著录格式：原方圆，马书南，雷伟，等. 高安全性数字化档案管理系统的设计与实现[J]. 软件，2018，39（7）：98-102