档案管理系统通过保密产品认证的实操落地全指南

一、前期准备工作

1. 明确认证覆盖范围

需锁定档案管理系统的核心模块：档案采集、本地存储、跨端查阅、物理销毁，所有模块需完整纳入本次保密认证适配，不得遗漏边缘模块（如系统后台监控）。

2. 准备必备工具与材料

• 商用密码产品：SM2签名证书、SM4加密卡（需来自国家密码管理局认证的厂商）
• 已通过等保2.0三级测评的报告副本
• 系统源码完整备份包（需包含所有配置文件、模块源码）
• 近6个月的用户操作日志压缩包
• 保密服务器网络连通性测试脚本（可直接复制执行）

二、核心配置实操步骤

1. 档案存储层加密配置

以MySQL 8.0为例，修改数据库配置文件/etc/my.cnf，填入以下完整内容：

``` [mysqld] plugin-load-add=rsa_smp.so plugin-load-add=aes_smp.so default_storage_engine=InnoDB innodb_file_per_table=1 启用国密SM4存储加密 innodb_default_encryption_algorithm=SM4 innodb_encryption_threads=4 innodb_encryption_key_rotation_period=30 ```

操作验证：执行命令systemctl restart mysqld重启服务后，进入数据库执行USE 档案库; SELECT TABLE_NAME, ENCRYPTION FROM INFORMATION_SCHEMA.INNODB_TABLES WHERE TABLE_NAME='归档表';，若返回ENCRYPTION列为'SM4'，则加密配置生效。

2. 档案访问权限管控配置

以Spring Boot架构的系统为例，修改项目配置文件application.yml，填入以下内容：

``` security: jwt: secret-key: SM2@2024_Archive@KeySecure expiration: 86400000 signature-algorithm: SM2 archive: access-control: sm2-sign-enabled: true audit-log-path: /var/log/archive/access.log unauthorized-redirect: /error/no-permission ```

操作步骤：将获取的SM2签名公钥放入项目的resources/certs目录，替换默认的test_sm2_pub.cer；重新打包系统（执行命令mvn clean package -DskipTests）；部署至服务器后，执行systemctl restart archive-server；测试：用未授权账号访问档案页面，应返回403错误码；用授权账号访问，应生成带SM2签名的访问日志。

3. 操作日志审计适配配置

若系统未安装rsyslog，先执行命令yum install rsyslog -y完成安装；修改系统日志服务配置/etc/rsyslog.conf，添加以下规则：

``` 同步档案系统日志至保密专用服务器 if $programname == 'archive' then @@192.168.1.100:514 & stop ```

操作命令：执行systemctl restart rsyslog重启日志服务；在档案系统创建一条测试档案，执行tail -f /var/log/syslog | grep "测试档案"，若能查询到带时间戳的操作日志，则适配生效；需确保日志保留周期不低于6个月，可执行echo "0 0 root logrotate /etc/logrotate.d/archive" >> /etc/crontab配置定时轮转。

三、认证自查与材料提交

1. 合规性自查

逐一核查以下项，全部符合则可进入提交环节：

• 所有加密算法为SM2/SM3/SM4国密算法，无第三方算法混用
• 权限管控覆盖所有角色（管理员、普通用户、档案管理员、访客），无权限越界
• 操作日志完整保留，无缺失或篡改痕迹
• 源码扫描无高危漏洞（执行grep -r "exec\|eval\|system" /opt/archive/src --include=".java" | grep -v "test"，若有返回需删除对应代码）

2. 提交认证材料

登录国家密码管理局商用密码应用安全性评估平台，依次提交以下材料（均需加盖SM2签名的电子签章）：

• 档案管理系统保密认证需求说明书
• 数据库加密配置截图、权限模块测试报告
• 日志审计配置截图、源码扫描漏洞报告
• 保密服务器网络连通性测试报告（执行ping 192.168.1.100 -c 10 | grep "packets transmitted"，丢包率需为0）

注意：提交时需确保所有文件格式为PDF，单个文件大小不超过500MB，避免上传失败。

四、现场核验准备

核验前24小时完成以下准备：

• 系统运维账号设置为强密码（包含大小写字母、数字、特殊字符，长度≥12位），并设置操作日志有效期
• 将SM2加密卡授权证书、国密算法使用证明打印件，放置于服务器机柜指定位置
• 关闭所有非必要服务，执行firewall-cmd --set-default-zone=public --add-port=80/tcp --add-port=443/tcp --add-port=514/tcp --permanent && firewall-cmd --reload，确保仅开放档案系统所需端口
• 准备核验人员的身份授权证明，确保现场核验全程有专人陪同