发布时间:2024-03-04 13:39:09被阅览数:309 次信息来源:《中国档案》
文/戴星星
2016年,广东省佛山市档案馆搬入新档案馆后,项目建设方向市档案馆移交了门禁、视频监控、空调、消防等独立运作的配套系统,为了将这些分散的系统进行集成,市档案馆于2019年开始,从库房物理环境安全保护、网络安全保护、数字档案馆系统安全保护、档案数据安全保护4个方面进行深入研究,融合大数据、人工智能等技术,开展了佛山市档案馆智慧平台(以下简称“智慧平台”)的建设工作。2022年,智慧平台建设完成,实现了数字档案馆系统、视频监控系统、RFID系统、档案保管环境管理系统、门禁系统等系统数据的互联互通,能够智慧感知协同处置各种事件,使档案安全管理更加便捷化、智能化、科技化。
库房物理环境智慧保护
智慧平台以档案安全为前提,实时远程监控管理实体档案库房及各类设备,调度相关智能系统,如RFID系统、门禁系统、高压细水雾系统、智慧消防系统、温湿度智能控制系统、视频监控系统、档案库房环境智能管理系统、档案库房安防检测报警系统等,配备专门的感应探测装置、自动调节装置、升级软件系统、授权更新等以保证档案库房物理环境安全。
1.利用RFID系统,做好档案实体实时监测
智慧平台借助RFID系统,实现了对库房内实体档案的定位和实时监管,未经系统审批的档案出入库立即报警,并形成实体档案出入库相关日志;利用RFID系统实现了档案精准定位,对实体档案在架、错架或离架信息进行实时显示、报警;利用RFID系统对库房档案进行盘点,也极大地提高了工作效率。
2.整合门禁、监控系统,做好档案库房保护
引入人工智能技术,设置移动智慧摄像头,在获取所有视频摄像头的实时监控画面的同时,自动抓取库房非正常情况的视频;赋予门禁系统智慧,如有异常出入,视频监控配合门禁系统调取画面,进行实时报警,并将报警信息实时传输至智慧平台,通过平台进行设备联动和自动应急处理。
3.实现温湿度控制智慧保护
整合中央空调BA系统,智慧平台根据库房内传感器的信息、运行状态、架体温湿度,设定相关参数,智慧平台24小时自动适时调节库房温湿度,确保档案实体始终处于舒适安全环境中;智慧平台与库房大型抽湿机端口对接,遇有极端天气,根据传感器命令,可以协助中央空调BA系统快速进行温湿度调节。
政务网、局域网的智慧保护
政务网、局域网的智慧保护主要是针对智慧平台实现网络安全结构、同安全域间的访问控制、网络安全审计、边界完整性检查、网络非法入侵防范和恶意代码防范、网络设备防护等。
1.政务网安全保护
配备态势感知平台和终端安全管理等系统,能够检测接入政务网的终端及云服务器是否存在安全风险;在机房政务网入口部署上网行为管理与安全审计系统,用于行为管理、入侵防御、安全审计等。对从外部网络进出机房的信息内容进行过滤,实现对应用层HTTP、FTP、TELNET、SMTP、POP3等协议命令级的控制。
2.局域网络安全保护
在档案馆局域网部署防火墙,用于病毒防护、深度入侵防御、网络安全审计等,从而避免内部网络的信息被外部非授权用户访问,并对不良信息进行过滤;部署IPS入侵防护系统防范端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等,一旦发生攻击,主动切段攻击源,并立即报警。
3.加强访问控制
主要包括:加强入网访问控制、网络权限控制、目录级安全控制、属性安全控制、网络监测和锁定控制、网络节点和端口的安全控制等;基于AI技术,构造分类分级、增强防御能力规则库、关联关系库、黑名单等5G安全能力关键知识库,基于知识库设计和训练系列化AI算法,如漏洞检测法、关联关系分析法等,实现智能5G安全感知与检测事件关联等。
4.加强网络内生安全体系建设
内生安全能力伴随着档案业务的增长而持续提升,持续保证档案业务安全。内生安全主要表现为自适应、自主、自生长。内生安全如同免疫系统,面对网络攻击能自我发现、自我修复、自我平衡、自动预测、自动告警和应急响应,从而实现安全检测处置闭环。
数字档案馆系统的智慧保护
为确保数字档案资源安全,数字档案馆系统设置三类用户,三类用户权限分散、相互制约,并建立多模块、多重防护盾协同机制,形成有效联动,确保各类档案数字资源安全可靠。
1.数据加密技术
数字档案馆系统设置MD5数据加密,通过加密技术将数据转变为不能直接解读的加密数据进行传输和存储,有效保障档案数据资源传输、存储和共享安全。MD5加密是一种不可逆的加密算法,在加密过程中不需要使用密钥,输入明文后由系统直接经过加密算法处理成密文,这种加密后的数据无法被解密,只有重新输入明文,并再次经过同样不可逆的加密算法处理,得到相同的加密密文并被系统重新识别后,才能真正解密。通过以上任一方式,将存入系统的电子文件进行加密,即使数据丢失,脱离系统也将无法打开。
2.数据隐写技术
数据隐写技术是数据安全共享与传输过程中的重要基础保障,通过替换、叠加或者修改等方法,从而防止对数据的非法利用,隐写的档案信息源文件具有唯一性和可溯源性。数据隐写流程包括数据预处理(涉及格式转换、分块、压缩、加密等步骤)、数据隐写和数据提取3个主要环节,数据隐写技术具备不可感知性、完整性、有效性等特征。数字档案资源隐写是馆室、馆际数据安全共享与传输过程中的重要基础保障,进一步加强了数据传输过程中的安全保护。
3.敏感数据特征识别技术
人工智能已能准确识别档案数据相关特征,这对于档案敏感信息的标识、访问控制和共享交换都有非常重要的意义。可结合档案工作特点,开发用于数字档案资源敏感信息识别的辅助工具,如使用软件工具ePADD筛选档案信息中的敏感、涉密或内部信息,深入挖掘人工智能技术在档案安全保密中的应用,结合档案文件的来源、责任者、主题词、形成背景等信息,进行语意分析并作出精确的判断,可协助档案管理人员开展档案的辅助智能鉴定工作,从而有效地规避敏感信息数据泄露的风险,进一步确保档案信息安全。
档案数据安全保护
档案数据安全保护分为在线保护和离线保护,主要是利用现代技术手段对数字档案馆系统中电子文件条目及其电子档案数据在线浏览、下载、打印和传输等环节进行安全保护,从而达到数字档案资源保护的目的,防止数据损毁和丢失。
1.浏览工具控制
平台设置浏览控制工具,自动对具有浏览权限的用户进行控制,对浏览数字档案资源时在计算机上产生的临时文件进行安全保护,禁止其他应用程序对本地文件进行访问,防止用户非法复制和打印,从而保证系统数据的安全与保密性。比如,某工作人员只有浏览的权限,则其不能下载、打印,也无法在本机上浏览有关临时文件。
2.数字水印
数字水印技术是利用人的视觉感知系统的不敏感和数字信号的冗余,将单位名称、单位图标或其他特定符号等用于识别的信息以隐藏的方式嵌入图文、音视频数据中。智慧平台可通过专门算法将数字水印嵌入数字档案资源中,嵌入的数字水印数据、嵌入位置、嵌入算法、嵌入密钥,使得完全擦除水印或伪造水印是不可能的,并且在电子档案中隐藏的数字水印不能被感知,被嵌入电子档案中的数字水印还可以被提取出来进行验证,以判断电子档案是否有效、真实。在信息科学技术高速发展的今天,数字水印技术在数字档案资源的知识产权、档案内容认证等方面发挥着重要作用。
3.数据离线控制
上传到智慧平台中的档案需经过加密处理,当拥有下载权限的用户将文档下载到本地客户端PC之后,文档仍在智慧平台控制范围内。(1)脱机验证:智慧平台自动生成脱机访问的密码,在脱机环境下,须通过脱机密码验证。(2)次数验证:针对脱机文件的验证不仅提供密码验证,同时还可以对脱机文件的下载次数、查看次数进行控制,从而确保脱机数据的安全利用。(3)日期验证:在日期验证的条件下,管理员可以设置浏览期限,设置结束后将从下载后的第二天开始计算。浏览方式次数验证类似,逾期将无法打开,与次数验证超出类似,进一步确保脱机数据的安全利用。(4)联机检查:针对系统下载的档案资料,必要时可以进行联机验证,通过账号密码验证后,数据可以按照授权进行使用。
4.数据封装
按照《基于XML的电子文件封装规范》(DA/T48—2009)的规定进行数据封装,封装包的格式包括EATP包、EALP包、EAPP包和EAUP包等,包括电子档案元数据、电子档案和电子档案身份证。电子档案封装包含电子档案所有内容、信息,如档号、责任者、主题词、题名、件号、密级、拟稿人、审稿、核稿、签发、保管期限、归档年度、成文日期、打印、归档入库等,形成初始AIP包,后续的每次修改都需重新封装成修改型封装包,并对封装完毕资源包进行自动验证,若要解包封装,亦需按照档案数字资源包生成点规范,进行反流程解包,解包后的相关信息方可在数字档案系统里与其他模块共享。
5.局域网部署数据长久保全系统
佛山市档案馆电子档案数据长久保全系统可以实现对馆藏系统中的数据,包括对目录、原文等档案信息进行长久保全,确保在线应用数据的实时检测、实时预警、实时保全、实时修复,以数据保全系统为核心,运用动态备份方式取代大量传统静态备份方式,解决数据长期保管过程中存在的无法直观监测数据存在状态、备份数据丢失、无法及时发现异常、无法及时修复异常数据等问题,从而实现对档案数据的可视化监管、统计、分析,提升档案馆对馆藏海量数据的安全管理能力,实现更高效的数据安全保障。
作者单位:广东省佛山市档案中心
责任编辑:王辉