中共怀化市委党校 向群

最近几年，我国档案信息化建设已经初具规模，建成了以档案信息管理系统为支撑、以基础数据库和档案目录中心以及档案利用平台为基础的档案信息化体系，促进了档案管理工作效率的提高。而与此同时，档案信息安全问题也变得越发凸显。区块链技术的应用，能够对档案信息化管理中存在的风险和问题进行解决，提升档案信息管理的水平和效果。

一、区块链概述

区块链本身是一个比较新颖的概念，不过其并非新技术，也不是以单一的技术形式存在，而是多种现有技术的优化组合，其中包含的技术有分布式账本技术、点对点网络技术、密码学技术以及共识机制等，这些技术在独立存在的情况下，已经相当成熟，在经过组合后，形成了全新的去中心化分分布式数据库系统，其技术组件如图1所示。

图1 区块链技术组件

依照不同的应用场景和用户需求，可以将区块链分为几种不同类型。一是公有链，任何人都可以自由参与其中，也可以在任何时候退出，对于区块链中存在的所有数据可以随意读取；二是联盟链，由多个组织机构共同参与及维护，交易数据的记录由内部指定多个节点共同实现，其余节点可以参与到交易活动中，不过并不具备记账的权利；三是私有链，指由私有组织或企业定制读写权限的区块链。三种区块链各自的特点如表1所示。

表1 区块链技术特点

二、面向档案信息系统区块链支撑平台的构建

（一）平台设计

1.框架设计

平台应该包含四个基本的组成部分。一是客户端重点是面向档案管理人员，能够为管理人员提供直观可视化的操作界面，为平台操作提供便利；二是后台服务。后台服务的主要作用是为客户端用户操作的反馈提供支撑，也可以很好地对接本地数据库、区块链以及IPFS系统，是整个平台中数据流通的枢纽；三是区块链。负责档案信息的存储安全；四是IPFS系统。负责档案文件的分布式存储。

2.模块设计

（1）管理模块。管理模块在平台中发挥着非常重要的作用，其主要功能包括了用户管理、数据库配置以及审计策略配置，其中，用户管理主要是针对登录平台的用户的身份以及权限信息进行管理，避免用户出现误操作或者非法登录的情况，数据库配置可以范围主数据库配置和从数据库配置，能够分别针对主数据库和从数据库的连接参数进行设置，审计策略配置则能够面向用户或者主数据库中的表格添加相应的审计策略。

（2）抽取模块。针对数据库不同的数据提取需求，可以将抽取模块细分为实时数据抽取、档案文件抽取以及轮询数据抽取。

（3）安全存储模块。一是缓存队列，其能够实现对于数据库在短时间内发送的大量数据信息的有效接收；二是数据加密上链，能够就抽取到的档案数据进行相应的加密和上链操作；三是文件哈希计算，能够针对抽取到的档案文件进行分块，计算相应的字块哈希并且合成哈希表；四是分布式存储，主要是借助IPFS来针对档案文件进行分布式存储。

（4）安全访问模块。安全访问模块中包含了几个方面的内容，首先是安全访问控制，能够最大限度地保证档案文件访问的有效性；其次是操作行为查询，可以帮助管理人员对存在于区块链上的事务日志进行查找；然后是数据文件验证，主要是针对档案数据及电子文件真实性的验证，及时将其中存在的错位数据和伪造数据剔除；最后是数据文件还原，当档案数据库中的数据和文件遭到误删或者篡改时，借助该功能可以实现对数据文件的恢复。

（二）平台实现

1.实现环境

平台实现的基础为个人PC机，操作系统为Win10，以服务器承载区块链和IPFS，设置为4节点网络，选择Ubuntu18.04LTS操作系统，服务端内存为60GB，Xeon(R)E5-2630，40核，数据库选择Oracle11g。

2.流程实现

（1）审计日志上链及数据文件备份。用户在通过DML来对档案数据表进行操作的过程中，触发器能够从审计日志中，获取相应的SQL操作语句，经由Socket客户端，发动到相应的服务端，后台在接收到SQL操作语句后，需要对其进行分析，完成数据封装操作。如果操作需要增加新的原生档案，则可以通过抽取档案文件的方式，从相应的存储位置来获取档案。之后，需要将数据进行哈希处理，发布到区块链平台，加密后存储到IPFS集群。

（2）数据验证及数据文件还原。若档案数据库中的数据信息遭到破坏或者被删除，管理人员可以针对数据进行验证和还原。在实际操作中，一是应该对档案数据以及链上数据进行读取，对比数据的哈希值，就数据信息的真实性和准确性进行确认。

3.平台界面

（1）登录界面。平台的登录界面应该尽量简洁，避免对用户形成误导，如图2所示。

图2 平台登录界面

（2）初始化配置。在初次对平台进行使用和操作时，需要做好初始化配置，就主数据库对接参数进行合理设置，为主数据对接以及日志抽取提供便利。

（3）审计策略设置。管理人员需要结合实际情况来对审计策略进行合理设置，保证审计策略的灵活性和有效性。

（4）操作记录查找。可以通过设置表名的方式，对档案表中发生的所有的相关操作记录进行查找，而从保证数据操作日志真实性的角度，应该做好本地操作日志与链上操作日志的对比分析，将对比结果以直观的方式呈现出来。

（5）数据表重建。通过对从数据库参数的优化配置，能够有效恢复主库中档案表的数据信息。

（三）平台测试

对区块链平台的功能进行测试，主要目的是验证平台是否能够正常运行，分析区块链后台服务中的各个功能模块是否可以实现与数据库、区块链及IPFS系统的有效连通，平台的功能是否能够很好地满足档案管理人员及用户的现实需求。这里主要针对平台的几个核心功能进行测试：

（1）登录功能测试。测试环境为Windows系统，在登录界面，输入相应的账号密码，查看密码判断是否正确，如果失败，是否跳出提示信息，如果成功，是否能够正常实现页面挑战。

（2）初始化配置测试。测试环境为Windows系统，在初次登陆时，对软件进行初始化配置，设置需要对接的目标数据库的连接参数，同时启动相应的数据抽取服务，若页面能够正常显示，参数配置完成后可以进行数据抽取，则测试通过。

（3）添加审计策略测试。测试环境为Windows系统，点击相应的审计管理页面，于中间件加入用户，确保用户存在于目标数据库中，将用户下的所有表全部纳入审计范围内，然后取消审计功能，对用户进行删除操作，若所有操作都能够顺利实现，则测试通过。

（4）日志和文件抽取存储测试。测试环境为Windows系统，启动数据同步服务，于数据库中新增文件，看区块链是否能够对事务日志进行记录，如果可以找到事务日志，同时IPFS完成了对相应档案文件的存储，则测试通过。

（四）平台评价

经过功能测试，证明了平台的可行性。本文提出的基于区块链的档案信息系统平台可以实现对于档案事物日志、小尺寸档案文件以及大尺寸档案文件的分离存储，减轻系统的存储压力，同时也能够最大限度地保障数据存储的安全性。从简化操作的角度，研发出了相应的客户端软件，将平台功能模块封装后形成对应接口，方便用户的使用。

三、结语

总而言之，信息化时代背景下，伴随着档案信息化建设的持续深入，档案数据的规模不断扩大，具备保存价值的档案数据也在不断增长，档案信息管理系统得以出现。针对当前多数档案信息管理系统中存在的安全问题，提出了一种基于区块链技术的档案信息安全存储及可信管理方案，构建起了相应的区块链支撑平台，可以实现档案文件在不同需求场景下的安全访问，切实保障档案数据的有效性和安全性。