蔣余芬（江蘇省檔案局，江蘇南京，210008）

?

可信環(huán)境下電子檔案歸檔研究*

蔣余芬
（江蘇省檔案局，江蘇南京，210008）

［摘要］隨著數(shù)字檔案館建設(shè)的逐步深入，可信問題益發(fā)凸顯。以可信環(huán)境、可信電子檔案、可信管理、國家標準、公共服務(wù)為基礎(chǔ)的整條可信鏈研究尤為重要。文章對可信性概念模型進行思考，分析了電子檔案可信鏈的傳遞機制，可信環(huán)境體系模型的構(gòu)建方法，以及如何實現(xiàn)在可信環(huán)境下電子檔案的歸檔問題。

［關(guān)鍵詞］可信環(huán)境電子檔案可信鏈歸檔

［分類號］G271

可信的電子檔案是數(shù)字檔案館建設(shè)的基礎(chǔ)。很多機關(guān)單位已逐步建立起各自的可信電子文件體系，這些系統(tǒng)所形成的可信電子文件按法定要求都將歸檔到各自的數(shù)字檔案室系統(tǒng)并最終移交到數(shù)字檔案館進行長期保管和利用。隨著數(shù)字檔案館建設(shè)的逐步深入，可信問題益發(fā)凸顯。以可信環(huán)境、可信電子檔案、可信管理、國家標準、公共服務(wù)為基礎(chǔ)的整條可信鏈研究尤為重要。本文旨在研究可信性概念模型，分析電子檔案可信鏈的傳遞機制、構(gòu)建可信環(huán)境體系模型及探討如何實現(xiàn)在可信環(huán)境下電子檔案的歸檔。

1　可信性概念模型研究

可信性是在真實性、完整性、有效性、安全性、可靠性、可預(yù)測性、可控性等眾多概念上發(fā)展起來的新概念，是客觀對象諸多屬性在人們心目中的一個綜合反映。對于電子檔案的可信性認識需要在實踐中不斷認識和把握，一般認為“可信”是指一個實體在實現(xiàn)既定目標的過程中，行為及結(jié)果可以預(yù)期，強調(diào)目標與現(xiàn)實相符，強調(diào)行為和結(jié)果的可預(yù)測性和可控制性［1］。

電子檔案的可信性研究首先要明確網(wǎng)絡(luò)環(huán)境下電子檔案的可信性內(nèi)涵及其綜合化的屬性概念；其次是研究電子檔案實現(xiàn)價值目標的過程，即電子檔案可信任鏈的傳遞模式，并將其管理的全過程置于全方位的信任鏈傳遞模型中，可信性概念研究模型如圖1。

2　電子檔案可信鏈的傳遞機制［2］

可信性的概念模型圖描述了電子檔案在可信環(huán)境中，電子檔案數(shù)據(jù)與電子檔案傳遞機制、電子檔案的效能目標之間的依存關(guān)系。

可信鏈是電子檔案的傳遞機制，可描述為從電子檔案初始生成作為“可信根”出發(fā)，在每一次動態(tài)變化時，將這種信任狀態(tài)通過傳遞的方式進行保持和維護，并在每個動態(tài)變化的節(jié)點進行可信任行為控制并記錄控制狀態(tài)信息，這種傳遞過程就是信任鏈的傳遞機制。

電子檔案數(shù)據(jù)所依賴的數(shù)據(jù)屬性和環(huán)境屬性是保證電子檔案數(shù)據(jù)質(zhì)量的關(guān)鍵要素。在可信鏈的傳遞過程中約束和規(guī)范電子檔案主體的數(shù)據(jù)結(jié)構(gòu)和性質(zhì)，約束和規(guī)范客體對電子檔案的行為處置，支撐電子檔案在可控使用條件下的效能作用。

圖1　可信性概念研究模型

圖2　電子檔案歸檔前進行身份驗證和CA驗證

3　可信環(huán)境體系構(gòu)建

可信環(huán)境主要是指可信的網(wǎng)絡(luò)環(huán)境、可信的操作、可信的管理等一整套誠信體系?？尚怒h(huán)境提供的安全功能有：用戶身份認證、檔案信息真實性與完整性的校驗、端口控制與管理、檔案信息加密傳輸與存儲、重要信息的硬件保護等。

現(xiàn)有的電子政務(wù)網(wǎng)絡(luò)在基礎(chǔ)設(shè)施支撐能力、業(yè)務(wù)信息化、信息資源開發(fā)與共享、信息安全保障能力等方面均取得了一定成效，但也普遍存在諸多的問題。如電子政務(wù)在信息共享和協(xié)同方面發(fā)展緩慢，很多部門都在建設(shè)自己的系統(tǒng)、開發(fā)自己的標準，而部門之間的信息很難共享，在這種情況下，電子政務(wù)的發(fā)展異化為基礎(chǔ)設(shè)施建設(shè)，投資雖大但發(fā)展有限，電子政務(wù)系統(tǒng)利用率偏低。另外，電子政務(wù)信息安全問題也十分突出，系統(tǒng)癱瘓、數(shù)據(jù)丟失、數(shù)據(jù)篡改、信息竊取等問題直接影響了經(jīng)濟發(fā)展、社會穩(wěn)定和國家安全［3］。

為了解決目前比較嚴重的信息安全問題，文章提出可信環(huán)境體系的總體架構(gòu)，同時把訪問控制設(shè)為不同層級，分別為網(wǎng)絡(luò)級、用戶級和系統(tǒng)級，對每個層級的關(guān)鍵安全機制進行設(shè)置，并利用審計系統(tǒng)對可信環(huán)境的安全情況進行評估，構(gòu)成一個系統(tǒng)的安全防御體系［4］。

總體架構(gòu)設(shè)計：有機集成了多層訪問控制關(guān)口，在網(wǎng)絡(luò)接入處檢查終端完整性；在用戶訪問處進行身份認證；在系統(tǒng)資源訪問處評估信任并授權(quán)使用。另外，該架構(gòu)還對網(wǎng)絡(luò)整體安全狀況進行監(jiān)控和審計，提供了全面有效的網(wǎng)絡(luò)安全保障。考慮到數(shù)據(jù)傳輸和存儲的安全性，利用密碼學方法（如RSA，SSL等）加密和簽名重要的信息和消息。

網(wǎng)絡(luò)級訪問控制：在系統(tǒng)中設(shè)置一個可信任的安全證書權(quán)威機構(gòu)，由它頒發(fā)安全證書以驗證和存儲終端的安全狀態(tài)信息，可以通過查詢和驗證證書有效性來決策是否授權(quán)終端的訪問。該模型能夠有效限制惡意或非法終端的連接，提高網(wǎng)絡(luò)安全防御能力。用戶級訪問控制：采用身份管理機制、密鑰管理機制、應(yīng)用管理機制和不同安全域的管理機制進行訪問控制。

系統(tǒng)級訪問控制：根據(jù)安全等級為用戶分配訪問角色和權(quán)限進行授權(quán)訪問。

通過把訪問控制分為不同層級，能夠有效、靈活地使各種終端以可控安全的方式訪問可信網(wǎng)絡(luò)，實現(xiàn)了統(tǒng)一認證和使用授權(quán)，具有良好的安全性、完整性、可用性和可擴展性。

4　可信環(huán)境下電子檔案歸檔

電子檔案歸檔［5］面對多種網(wǎng)絡(luò)環(huán)境、多個形成系統(tǒng)、統(tǒng)一整理規(guī)則等環(huán)境，現(xiàn)實情況下電子檔案的歸檔存在較多的不安全性。采用雙重簽名、身份驗證、CA認證、全程可信管理等策略確保電子檔案歸檔的安全。

根據(jù)電子簽名法，電子檔案采用有國家認可資質(zhì)的CA簽發(fā)的數(shù)字證書，進行“數(shù)字簽名”后具備紙質(zhì)文檔同等效力?！皵?shù)字簽名”對數(shù)據(jù)傳輸?shù)耐暾赃M行保護，一旦數(shù)據(jù)信息遭到任何形式的篡改，篡改后的數(shù)據(jù)必然與“數(shù)字簽名”不符，可以立即檢驗出原始的數(shù)據(jù)信息已經(jīng)被他人篡改，這樣就確保了數(shù)據(jù)的完整性。同時數(shù)字簽名不對原文進行不可逆操作，符合檔案永久保存要求。為確保電子檔案形成之初的可信，在業(yè)務(wù)系統(tǒng)形成可信電子文件后再加上檔案館的數(shù)字簽名及可信電子簽章。這樣經(jīng)過雙重簽名后的電子檔案在可信環(huán)境中移交到機關(guān)單位數(shù)字檔案室，實現(xiàn)可信鏈的第一步“可信根”。

機關(guān)單位數(shù)字檔案室向同級檔案館移交可信電子檔案時，首先要使用檔案館簽發(fā)的U-key進行身份驗證，CA驗證。采用數(shù)字證書登陸方式后，對于合法用戶的身份認證依靠基于“公鑰密碼體制”的數(shù)字證書認證機制進行驗證。服務(wù)方對用戶的數(shù)字證書進行檢驗，全部通過以后，才對此用戶的身份予以承認。用戶唯一身份標識采用國家認可的權(quán)威數(shù)字認證機構(gòu)所頒發(fā)的數(shù)字證書，用戶的具體信息都記錄在證書中，確保身份認證的安全可靠。具體可見圖2（圖中檔案館部分為基于OAIS的業(yè)務(wù)分解）。

驗證通過后，在進行歸檔前需要先提交歸檔可信電子檔案的表單。該表單記錄所遞交電子檔案的數(shù)量、類型、格式、數(shù)字簽名等內(nèi)容，通過檔案室的ERMS系統(tǒng)向同級檔案館發(fā)送認證信息，從API接口獲取由檔案館的移交接收系統(tǒng)生成的token碼，移交接收系統(tǒng)對表單進行在線審核，通過后，再進行數(shù)據(jù)移交，再通過接口，對移交的數(shù)據(jù)按照國家標準GB/T 18894-2002《電子文件歸檔與管理規(guī)范》進行審核，包括元數(shù)據(jù)驗證等，不符合標準的電子檔案返回，通過驗證后，進行數(shù)據(jù)接收，數(shù)據(jù)存儲到檔案館的云存儲系統(tǒng)。此時，由云存儲系統(tǒng)進行消息進行返回，直到歸檔單位的ERMS系統(tǒng)。歸檔驗證調(diào)用流程見圖3。

圖3　歸檔驗證調(diào)用流程

5　結(jié)論

可信環(huán)境下電子檔案的歸檔研究在江蘇省電子檔案中心項目中有了很好的應(yīng)用，就目前幾個試點單位歸檔的應(yīng)用情況來看，其應(yīng)用達到了預(yù)期的效果。由于電子檔案歸檔涉及的因素很多，存在較多的安全隱患。電子檔案的可信、環(huán)境的可信、管理的可信、國家標準、公共服務(wù)等整條的可信鏈研究尤為重要。因此，本文的研究對于目前數(shù)字檔案館建設(shè)及相應(yīng)規(guī)范的制定有比較實用的價值。

*本文系國家檔案局科技項目“以數(shù)字檔案館（室）為中心的可信電子檔案體系建設(shè)研究”的部分研究成果。

參考文獻

［1］田俊峰，杜瑞忠等.可信計算與信任管理［M］.科學出版社，2014.

［2］張帆，徐明迪等.《可信鏈度量與測評》［M］.西安電子科技大學出版社，2011.

［3］趙暉.云計算環(huán)境下電子政務(wù)發(fā)展問題研究［J］.檔案學通訊，2014（1）：65-68.

［4］吳琨.可信網(wǎng)絡(luò)訪問控制關(guān)鍵技術(shù)研究［D］.北京郵電大學，2012:1-10.

［5］李學廣.在線歸檔與利用的難題探索［J］.中國檔案，2014（1）：58.

蔣余芬，江蘇省檔案館館員，主要研究方向為檔案信息化。

Study on Electronic Archives Filing in a Trusted Envivonment

Jiang Yufen
（Jiangsu Archives，Nanjing，Jiangsu，210008）

Abstract:With the acceleration development of the construction of digital archives，trusted problem becomes increasingly prominent. The research of the whole trusted chain is parti-cularly important，Which contains trusted environment、trusted electronic archives、trusted management、national standards、the public service etc. In this paper，we think of trusted concept model，analyze the transmission mechanism of electronic archives trusted chain，build a trusted environment system model，and solve the electronic archives filing problem in a trusted environment.

Keywords:Trusted Environment；Electronic Archives；Trusted Chain；Filing

［作者簡介］