蔣余芬（江蘇省檔案局，江蘇南京，210008）

?

可信環(huán)境下電子檔案歸檔研究*

蔣余芬
（江蘇省檔案局，江蘇南京，210008）

［摘要］隨著數(shù)字檔案館建設(shè)的逐步深入，可信問題益發(fā)凸顯。以可信環(huán)境、可信電子檔案、可信管理、國家標(biāo)準(zhǔn)、公共服務(wù)為基礎(chǔ)的整條可信鏈研究尤為重要。文章對(duì)可信性概念模型進(jìn)行思考，分析了電子檔案可信鏈的傳遞機(jī)制，可信環(huán)境體系模型的構(gòu)建方法，以及如何實(shí)現(xiàn)在可信環(huán)境下電子檔案的歸檔問題。

［關(guān)鍵詞］可信環(huán)境電子檔案可信鏈歸檔

［分類號(hào)］G271

可信的電子檔案是數(shù)字檔案館建設(shè)的基礎(chǔ)。很多機(jī)關(guān)單位已逐步建立起各自的可信電子文件體系，這些系統(tǒng)所形成的可信電子文件按法定要求都將歸檔到各自的數(shù)字檔案室系統(tǒng)并最終移交到數(shù)字檔案館進(jìn)行長(zhǎng)期保管和利用。隨著數(shù)字檔案館建設(shè)的逐步深入，可信問題益發(fā)凸顯。以可信環(huán)境、可信電子檔案、可信管理、國家標(biāo)準(zhǔn)、公共服務(wù)為基礎(chǔ)的整條可信鏈研究尤為重要。本文旨在研究可信性概念模型，分析電子檔案可信鏈的傳遞機(jī)制、構(gòu)建可信環(huán)境體系模型及探討如何實(shí)現(xiàn)在可信環(huán)境下電子檔案的歸檔。

1　可信性概念模型研究

可信性是在真實(shí)性、完整性、有效性、安全性、可靠性、可預(yù)測(cè)性、可控性等眾多概念上發(fā)展起來的新概念，是客觀對(duì)象諸多屬性在人們心目中的一個(gè)綜合反映。對(duì)于電子檔案的可信性認(rèn)識(shí)需要在實(shí)踐中不斷認(rèn)識(shí)和把握，一般認(rèn)為“可信”是指一個(gè)實(shí)體在實(shí)現(xiàn)既定目標(biāo)的過程中，行為及結(jié)果可以預(yù)期，強(qiáng)調(diào)目標(biāo)與現(xiàn)實(shí)相符，強(qiáng)調(diào)行為和結(jié)果的可預(yù)測(cè)性和可控制性［1］。

電子檔案的可信性研究首先要明確網(wǎng)絡(luò)環(huán)境下電子檔案的可信性內(nèi)涵及其綜合化的屬性概念；其次是研究電子檔案實(shí)現(xiàn)價(jià)值目標(biāo)的過程，即電子檔案可信任鏈的傳遞模式，并將其管理的全過程置于全方位的信任鏈傳遞模型中，可信性概念研究模型如圖1。

2　電子檔案可信鏈的傳遞機(jī)制［2］

可信性的概念模型圖描述了電子檔案在可信環(huán)境中，電子檔案數(shù)據(jù)與電子檔案?jìng)鬟f機(jī)制、電子檔案的效能目標(biāo)之間的依存關(guān)系。

可信鏈?zhǔn)请娮訖n案的傳遞機(jī)制，可描述為從電子檔案初始生成作為“可信根”出發(fā)，在每一次動(dòng)態(tài)變化時(shí)，將這種信任狀態(tài)通過傳遞的方式進(jìn)行保持和維護(hù)，并在每個(gè)動(dòng)態(tài)變化的節(jié)點(diǎn)進(jìn)行可信任行為控制并記錄控制狀態(tài)信息，這種傳遞過程就是信任鏈的傳遞機(jī)制。

電子檔案數(shù)據(jù)所依賴的數(shù)據(jù)屬性和環(huán)境屬性是保證電子檔案數(shù)據(jù)質(zhì)量的關(guān)鍵要素。在可信鏈的傳遞過程中約束和規(guī)范電子檔案主體的數(shù)據(jù)結(jié)構(gòu)和性質(zhì)，約束和規(guī)范客體對(duì)電子檔案的行為處置，支撐電子檔案在可控使用條件下的效能作用。

圖1　可信性概念研究模型

圖2　電子檔案歸檔前進(jìn)行身份驗(yàn)證和CA驗(yàn)證

3　可信環(huán)境體系構(gòu)建

可信環(huán)境主要是指可信的網(wǎng)絡(luò)環(huán)境、可信的操作、可信的管理等一整套誠信體系?？尚怒h(huán)境提供的安全功能有：用戶身份認(rèn)證、檔案信息真實(shí)性與完整性的校驗(yàn)、端口控制與管理、檔案信息加密傳輸與存儲(chǔ)、重要信息的硬件保護(hù)等。

現(xiàn)有的電子政務(wù)網(wǎng)絡(luò)在基礎(chǔ)設(shè)施支撐能力、業(yè)務(wù)信息化、信息資源開發(fā)與共享、信息安全保障能力等方面均取得了一定成效，但也普遍存在諸多的問題。如電子政務(wù)在信息共享和協(xié)同方面發(fā)展緩慢，很多部門都在建設(shè)自己的系統(tǒng)、開發(fā)自己的標(biāo)準(zhǔn)，而部門之間的信息很難共享，在這種情況下，電子政務(wù)的發(fā)展異化為基礎(chǔ)設(shè)施建設(shè)，投資雖大但發(fā)展有限，電子政務(wù)系統(tǒng)利用率偏低。另外，電子政務(wù)信息安全問題也十分突出，系統(tǒng)癱瘓、數(shù)據(jù)丟失、數(shù)據(jù)篡改、信息竊取等問題直接影響了經(jīng)濟(jì)發(fā)展、社會(huì)穩(wěn)定和國家安全［3］。

為了解決目前比較嚴(yán)重的信息安全問題，文章提出可信環(huán)境體系的總體架構(gòu)，同時(shí)把訪問控制設(shè)為不同層級(jí)，分別為網(wǎng)絡(luò)級(jí)、用戶級(jí)和系統(tǒng)級(jí)，對(duì)每個(gè)層級(jí)的關(guān)鍵安全機(jī)制進(jìn)行設(shè)置，并利用審計(jì)系統(tǒng)對(duì)可信環(huán)境的安全情況進(jìn)行評(píng)估，構(gòu)成一個(gè)系統(tǒng)的安全防御體系［4］。

總體架構(gòu)設(shè)計(jì)：有機(jī)集成了多層訪問控制關(guān)口，在網(wǎng)絡(luò)接入處檢查終端完整性；在用戶訪問處進(jìn)行身份認(rèn)證；在系統(tǒng)資源訪問處評(píng)估信任并授權(quán)使用。另外，該架構(gòu)還對(duì)網(wǎng)絡(luò)整體安全狀況進(jìn)行監(jiān)控和審計(jì)，提供了全面有效的網(wǎng)絡(luò)安全保障?？紤]到數(shù)據(jù)傳輸和存儲(chǔ)的安全性，利用密碼學(xué)方法（如RSA，SSL等）加密和簽名重要的信息和消息。

網(wǎng)絡(luò)級(jí)訪問控制：在系統(tǒng)中設(shè)置一個(gè)可信任的安全證書權(quán)威機(jī)構(gòu)，由它頒發(fā)安全證書以驗(yàn)證和存儲(chǔ)終端的安全狀態(tài)信息，可以通過查詢和驗(yàn)證證書有效性來決策是否授權(quán)終端的訪問。該模型能夠有效限制惡意或非法終端的連接，提高網(wǎng)絡(luò)安全防御能力。用戶級(jí)訪問控制：采用身份管理機(jī)制、密鑰管理機(jī)制、應(yīng)用管理機(jī)制和不同安全域的管理機(jī)制進(jìn)行訪問控制。

系統(tǒng)級(jí)訪問控制：根據(jù)安全等級(jí)為用戶分配訪問角色和權(quán)限進(jìn)行授權(quán)訪問。

通過把訪問控制分為不同層級(jí)，能夠有效、靈活地使各種終端以可控安全的方式訪問可信網(wǎng)絡(luò)，實(shí)現(xiàn)了統(tǒng)一認(rèn)證和使用授權(quán)，具有良好的安全性、完整性、可用性和可擴(kuò)展性。

4　可信環(huán)境下電子檔案歸檔

電子檔案歸檔［5］面對(duì)多種網(wǎng)絡(luò)環(huán)境、多個(gè)形成系統(tǒng)、統(tǒng)一整理規(guī)則等環(huán)境，現(xiàn)實(shí)情況下電子檔案的歸檔存在較多的不安全性。采用雙重簽名、身份驗(yàn)證、CA認(rèn)證、全程可信管理等策略確保電子檔案歸檔的安全。

根據(jù)電子簽名法，電子檔案采用有國家認(rèn)可資質(zhì)的CA簽發(fā)的數(shù)字證書，進(jìn)行“數(shù)字簽名”后具備紙質(zhì)文檔同等效力。“數(shù)字簽名”對(duì)數(shù)據(jù)傳輸?shù)耐暾赃M(jìn)行保護(hù)，一旦數(shù)據(jù)信息遭到任何形式的篡改，篡改后的數(shù)據(jù)必然與“數(shù)字簽名”不符，可以立即檢驗(yàn)出原始的數(shù)據(jù)信息已經(jīng)被他人篡改，這樣就確保了數(shù)據(jù)的完整性。同時(shí)數(shù)字簽名不對(duì)原文進(jìn)行不可逆操作，符合檔案永久保存要求。為確保電子檔案形成之初的可信，在業(yè)務(wù)系統(tǒng)形成可信電子文件后再加上檔案館的數(shù)字簽名及可信電子簽章。這樣經(jīng)過雙重簽名后的電子檔案在可信環(huán)境中移交到機(jī)關(guān)單位數(shù)字檔案室，實(shí)現(xiàn)可信鏈的第一步“可信根”。

機(jī)關(guān)單位數(shù)字檔案室向同級(jí)檔案館移交可信電子檔案時(shí)，首先要使用檔案館簽發(fā)的U-key進(jìn)行身份驗(yàn)證，CA驗(yàn)證。采用數(shù)字證書登陸方式后，對(duì)于合法用戶的身份認(rèn)證依靠基于“公鑰密碼體制”的數(shù)字證書認(rèn)證機(jī)制進(jìn)行驗(yàn)證。服務(wù)方對(duì)用戶的數(shù)字證書進(jìn)行檢驗(yàn)，全部通過以后，才對(duì)此用戶的身份予以承認(rèn)。用戶唯一身份標(biāo)識(shí)采用國家認(rèn)可的權(quán)威數(shù)字認(rèn)證機(jī)構(gòu)所頒發(fā)的數(shù)字證書，用戶的具體信息都記錄在證書中，確保身份認(rèn)證的安全可靠。具體可見圖2（圖中檔案館部分為基于OAIS的業(yè)務(wù)分解）。

驗(yàn)證通過后，在進(jìn)行歸檔前需要先提交歸檔可信電子檔案的表單。該表單記錄所遞交電子檔案的數(shù)量、類型、格式、數(shù)字簽名等內(nèi)容，通過檔案室的ERMS系統(tǒng)向同級(jí)檔案館發(fā)送認(rèn)證信息，從API接口獲取由檔案館的移交接收系統(tǒng)生成的token碼，移交接收系統(tǒng)對(duì)表單進(jìn)行在線審核，通過后，再進(jìn)行數(shù)據(jù)移交，再通過接口，對(duì)移交的數(shù)據(jù)按照國家標(biāo)準(zhǔn)GB/T 18894-2002《電子文件歸檔與管理規(guī)范》進(jìn)行審核，包括元數(shù)據(jù)驗(yàn)證等，不符合標(biāo)準(zhǔn)的電子檔案返回，通過驗(yàn)證后，進(jìn)行數(shù)據(jù)接收，數(shù)據(jù)存儲(chǔ)到檔案館的云存儲(chǔ)系統(tǒng)。此時(shí)，由云存儲(chǔ)系統(tǒng)進(jìn)行消息進(jìn)行返回，直到歸檔單位的ERMS系統(tǒng)。歸檔驗(yàn)證調(diào)用流程見圖3。

圖3　歸檔驗(yàn)證調(diào)用流程

5　結(jié)論

可信環(huán)境下電子檔案的歸檔研究在江蘇省電子檔案中心項(xiàng)目中有了很好的應(yīng)用，就目前幾個(gè)試點(diǎn)單位歸檔的應(yīng)用情況來看，其應(yīng)用達(dá)到了預(yù)期的效果。由于電子檔案歸檔涉及的因素很多，存在較多的安全隱患。電子檔案的可信、環(huán)境的可信、管理的可信、國家標(biāo)準(zhǔn)、公共服務(wù)等整條的可信鏈研究尤為重要。因此，本文的研究對(duì)于目前數(shù)字檔案館建設(shè)及相應(yīng)規(guī)范的制定有比較實(shí)用的價(jià)值。

*本文系國家檔案局科技項(xiàng)目“以數(shù)字檔案館（室）為中心的可信電子檔案體系建設(shè)研究”的部分研究成果。

參考文獻(xiàn)

［1］田俊峰，杜瑞忠等.可信計(jì)算與信任管理［M］.科學(xué)出版社，2014.

［2］張帆，徐明迪等.《可信鏈度量與測(cè)評(píng)》［M］.西安電子科技大學(xué)出版社，2011.

［3］趙暉.云計(jì)算環(huán)境下電子政務(wù)發(fā)展問題研究［J］.檔案學(xué)通訊，2014（1）：65-68.

［4］吳琨.可信網(wǎng)絡(luò)訪問控制關(guān)鍵技術(shù)研究［D］.北京郵電大學(xué)，2012:1-10.

［5］李學(xué)廣.在線歸檔與利用的難題探索［J］.中國檔案，2014（1）：58.

蔣余芬，江蘇省檔案館館員，主要研究方向?yàn)闄n案信息化。

Study on Electronic Archives Filing in a Trusted Envivonment

Jiang Yufen
（Jiangsu Archives，Nanjing，Jiangsu，210008）

Abstract:With the acceleration development of the construction of digital archives，trusted problem becomes increasingly prominent. The research of the whole trusted chain is parti-cularly important，Which contains trusted environment、trusted electronic archives、trusted management、national standards、the public service etc. In this paper，we think of trusted concept model，analyze the transmission mechanism of electronic archives trusted chain，build a trusted environment system model，and solve the electronic archives filing problem in a trusted environment.

Keywords:Trusted Environment；Electronic Archives；Trusted Chain；Filing

［作者簡(jiǎn)介］