涉密文书档案存储全流程实操指南 从环境部署到合规校验全步骤

一、前置准备要求

1.1 硬件准备

必须使用国密认证的物理存储服务器，禁止使用公云云存储、外接移动硬盘/U盘等非受控存储介质，硬件配置需满足以下要求：

• CPU不低于Xeon E5-2620 v4，内存≥32G
• 存储介质采用国密认证的SSD/HDD，单节点可用容量≥10TB
• 配备物理隔离卡，存储节点全程断开公网，仅接入内部涉密专网
• 配套国密认证硬件密码机，用于存储加密密钥

1.2 软件准备

所有软件必须采用合规国产化版本，具体获取方式如下：

• 操作系统：统信UOS服务器版V20（1050update3），下载地址：https://www.chinauos.com/resource/download/server（仅涉密专网内下载部署）
• 存储管理工具：MinIO国密改造版，安装命令：wget https://dl.min.io/server/minio/release/linux-amd64/minio && chmod +x minio
• 国密工具包：gmssl，安装命令：apt install gmssl -y（统信UOS默认源可直接安装）

1.3 合规前置校验

部署前需确认存储系统符合对应涉密等级（秘密/机密/绝密）的分级保护要求，已取得保密行政管理部门出具的测评合格意见书，禁止未测评先投入使用。

二、存储环境部署步骤

2.1 存储节点搭建

所有操作需在涉密专网内完成，全程双人在场记录：

• 步骤1：创建存储专用目录，执行命令：mkdir -p /data/minio/secure /data/minio/config
• 步骤2：创建配置文件minio.conf，完整内容可直接复制修改： ``` MINIO_ROOT_USER=涉密管理员账号（长度≥16位，含大小写、数字、特殊字符） MINIO_ROOT_PASSWORD=涉密管理员密码（长度≥20位，含大小写、数字、特殊字符） MINIO_SSE_AUTO_ENCRYPTION=on MINIO_SSE_SECRET_KEY=从硬件密码机中导出的SM4加密密钥 MINIO_DOMAIN=内部涉密专用域名（仅内网解析） ```
• 步骤3：加载配置并启动服务，执行命令：nohup ./minio server --config-dir /data/minio/config --address 0.0.0.0:9000 --console-address 0.0.0.0:9001 /data/minio/secure > /var/log/minio.log 2>&1 &
• 步骤4：验证服务状态，执行命令：curl http://127.0.0.1:9000/minio/health/live，返回200状态码则部署成功

2.2 访问权限配置

所有账号必须实名制，一人一号，禁止共用账号、禁止超权限分配：

• 步骤1：登录管理控制台，地址为http://存储节点内网IP:9001，输入管理员账号密码登录
• 步骤2：创建4个固定权限组：管理员组（全权限）、录入组（仅上传、查询）、查阅组（仅下载、查询）、审计组（仅日志查询）
• 步骤3：为每个人员绑定对应权限组，所有账号启用国密动态令牌双因子认证，禁止使用短信、微信等公网认证方式
• 步骤4：配置IP白名单，创建ipwhitelist.json文件，内容如下，修改对应内网IP段后执行命令：./mc admin policy create myminio ipwhitelist ./ipwhitelist.json ``` { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": "", "Action": "s3:", "Resource": ["arn:aws:s3:::/"], "Condition": { "IpAddress": { "aws:SourceIp": ["192.168.1.0/24", "10.0.0.0/16"] } } } ] } ```

三、涉密文书档案入库流程

3.1 档案预处理

所有入库档案必须先经保密审查，出具书面审查合格证明后方可处理：

• 步骤1：纸质文书扫描为PDF格式，分辨率≥300DPI，文件命名规则：涉密等级_年度_档案编号_档案名称，例：机密_2024_0012_XX项目立项批复.pdf
• 步骤2：生成文件SM3哈希值，执行命令：gmssl sm3 待入库文件.pdf，将哈希值同步记录到电子台账和纸质台账
• 步骤3：用SM4算法加密文件，执行命令：gmssl sms4 -e -in 待入库文件.pdf -out 加密后文件名.sm4 -k 硬件密码机导出的SM4密钥

3.2 入库操作

• 步骤1：录入组账号登录控制台，创建对应涉密等级的存储桶，命名规则：涉密等级_年度_存储桶编号，例：机密_2024_bucket001
• 步骤2：上传加密后的档案文件，上传完成后重新计算文件SM3哈希值，与预处理阶段记录的哈希值比对，完全一致则入库成功，不一致则重新上传
• 步骤3：将档案元数据（档案编号、名称、涉密等级、上传人、上传时间、哈希值）录入涉密档案管理系统，同步更新纸质台账

四、日常运维与合规校验

4.1 日常运维操作

所有运维操作必须双人在场，全程录像，操作日志留存不少于5年：

• 每日检查：执行df -h /data/minio/secure查看磁盘使用率，超过80%及时扩容；执行curl http://127.0.0.1:9000/minio/health/live检查服务状态
• 每周备份：全量备份存储数据到国密认证离线磁带，备份完成后校验所有文件哈希值，备份介质存放在物理保险柜，双人双锁管理
• 每月演练：随机抽取3份档案从备份介质恢复，校验哈希值确认数据完整性，演练记录报保密委员会存档

4.2 合规校验

每季度按照《涉及国家秘密的信息系统分级保护技术要求》开展校验，重点检查：系统是否完全断开公网、账号权限是否符合最小权限原则、加密算法是否全部采用国密算法、操作日志是否完整、数据备份是否合规，校验完成后出具书面报告存档。

五、应急处置操作规范

发生存储异常、数据泄露等事件时，第一时间断开存储节点网络，禁止任何人员操作设备，立即上报单位保密委员会：

• 数据损坏处置：从最近的备份介质恢复数据，恢复完成后校验所有恢复文件的哈希值，确认无误后方可重新上线
• 疑似泄露处置：配合保密行政管理部门开展溯源，禁止私自删除、修改任何日志、数据
• 故障排查完成后，必须重新开展分级保护测评，合格后方可重新投入使用