数字档案馆系统档案安全技术实操指南 零门槛构建安全防护体系

前置准备

本次实操适配所有基于Linux部署的数字档案馆系统，无额外付费软件依赖，执行以下命令一键安装所需依赖：

``` apt update && apt install -y openssl libpam-google-authenticator auditd rsync -y ```

执行完成后所有依赖安装完成，接下来按顺序完成4步安全配置，全部操作可在30分钟内完成。

第一步：配置身份鉴别与访问控制加固

这一步是防止非授权访问的核心，需要完成内网限制加二次身份认证双重防护，操作步骤如下：

1.1 生成二次验证密钥

以管理员身份运行以下命令，生成当前用户的二次验证密钥：

``` google-authenticator ```

命令执行过程中，所有交互问题都输入y回车，最后会生成一个二维码和应急备用码，将备用码截图保存在本地安全位置，用于手机丢失时应急登录。

1.2 修改服务配置

新建PAM配置文件/etc/pam.d/nginx，写入以下完整内容，可直接复制：

``` auth required pam_google_authenticator.so nullok account required pam_permit.so ```

修改Nginx中数字档案馆的站点配置，在location根节点添加以下配置，替换其中的内网网段为你单位实际的内网网段：

``` location / { auth_pam "数字档案馆身份验证"; auth_pam_service_name "nginx"; satisfy any; allow 192.168.1.0/24; 替换为你的内网网段 deny all; } ```

重启Nginx让配置生效，执行命令：

``` systemctl reload nginx ```

第二步：实现静态档案存储加密

所有入库的档案文件都需要加密存储，避免硬盘丢失或者服务器被攻破后档案泄露，我们编写了自动加密脚本，可直接复制使用：

新建脚本文件/opt/archive_encrypt.sh，替换其中的存储路径和32位加密密钥后复制以下内容：

``` !/bin/bash 数字档案馆档案自动加密脚本 ARCHIVE_DIR="/data/numarch/uploads" 替换为你的原始档案存储目录 ENCRYPTED_DIR="/data/numarch/encrypted" 加密档案存储目录 SECRET_KEY="你的自定义32位加密密钥这里替换" 必须是32位随机字符串 mkdir -p $ENCRYPTED_DIR for file in $ARCHIVE_DIR/; do if [ -f "$file" ]; then openssl enc -aes-256-cbc -salt -in "$file" -out "$ENCRYPTED_DIR/$(basename "$file").enc" -k $SECRET_KEY rm -f "$file" fi done ```

给脚本添加执行权限，配置定时任务每天凌晨自动加密新上传的档案，执行以下命令：

``` chmod +x /opt/archive_encrypt.sh (crontab -l ; echo "0 1 /bin/bash /opt/archive_encrypt.sh >> /var/log/archive_encrypt.log 2>&1") | crontab - ```

调阅档案时解密命令如下，替换对应参数即可使用：

``` openssl enc -d -aes-256-cbc -in /path/to/encrypted/file.enc -out /path/to/output/file -k 你的32位密钥 ```

第三步：配置全链路安全审计

所有对档案和配置的修改、访问都需要留痕，符合档案安全合规要求，操作如下：

打开auditd配置文件/etc/audit/rules.d/audit.rules，在文件末尾添加以下规则：

``` -w /data/numarch/encrypted -p rwxa -k archive_access -w /etc/nginx/sites-enabled/numarch -p rwxa -k archive_config_change -w /etc/pam.d/nginx -p rwxa -k auth_config_change ```

重启auditd并设置开机自启，执行命令：

``` systemctl restart auditd && systemctl enable auditd ```

需要查询档案访问记录时，执行以下命令即可导出所有访问日志：

``` ausearch -k archive_access -i --output text > /root/archive_access_log.txt ```

第四步：配置自动异地灾备

灾备是档案安全的最后一道防线，操作如下：

新建备份脚本/opt/archive_backup.sh，替换其中的灾备服务器信息，内容如下：

``` !/bin/bash 数字档案馆档案异地备份脚本 LOCAL_DIR="/data/numarch/encrypted" REMOTE_USER="backup" REMOTE_IP="192.168.xxx.xxx" 替换为你的灾备服务器IP REMOTE_DIR="/backup/numarch_archive" mkdir -p $REMOTE_DIR rsync -avz -e ssh $LOCAL_DIR/ $REMOTE_USER@$REMOTE_IP:$REMOTE_DIR >> /var/log/archive_backup.log 2>&1 ```

添加执行权限，配置每周日凌晨自动备份，执行命令：

``` chmod +x /opt/archive_backup.sh (crontab -l ; echo "0 2 0 /bin/bash /opt/archive_backup.sh") | crontab - ```

需要恢复时，直接从灾备服务器拉取加密文件，按第二步的解密命令操作即可。

安全配置验证

完成所有操作后，执行以下验证确认配置生效：

• 使用非内网IP访问系统，验证系统返回403拒绝访问
• 使用未绑定二次验证的账号登录，验证无法通过身份校验
• 检查加密存储目录，确认所有档案都以.enc格式存储
• 访问一份测试档案后执行查询日志命令，确认能查到对应的访问记录
• 从灾备服务器拉取测试文件，验证可以正常解密打开