从零搭建符合保密要求的政府机关文书档案系统实操指南

一、前期环境准备

1.1 基础环境要求与依赖安装

准备一台2核4G以上的内网服务器，系统使用政府机关通用的CentOS 7.9，执行以下命令一键安装所有依赖：

``` yum update -y && yum install -y java-11-openjdk-devel postgresql12 postgresql12-contrib nginx git wget crontabs maven -y systemctl enable --now crond ```

1.2 初始化业务数据库

执行以下命令创建数据库和专用账号，密码请替换为你自定义的强密码：

``` systemctl enable --now postgresql-12 su - postgres psql ``` 进入PostgreSQL交互终端后执行以下SQL： ```sql CREATE USER zfda_admin WITH PASSWORD '替换为你的自定义强密码'; CREATE DATABASE zf_wsda OWNER zfda_admin; \q exit ```

二、项目部署与核心配置

2.1 拉取项目代码

执行以下命令拉取适配政府档案管理规范的开源项目代码：

``` cd /root git clone https://gitee.com/opensource4gov/government-document-archive.git cd government-document-archive ```

2.2 修改配置文件

打开项目核心配置文件src/main/resources/application.yml，替换为以下完整可复制内容，注意修改密码和存储路径：

```yaml spring: datasource: driver-class-name: org.postgresql.Driver url: jdbc:postgresql://127.0.0.1:5432/zf_wsda username: zfda_admin password: 替换为你之前设置的数据库密码 servlet: multipart: max-file-size: 100MB max-request-size: 100MB file: base-path: /opt/zf-wsda/files/ server: port: 8080 ```

执行以下命令创建档案存储目录并赋权：

``` mkdir -p /opt/zf-wsda/files/ chmod 755 /opt/zf-wsda/files/ ```

2.3 打包启动项目

执行以下命令打包项目，打包完成后配置系统服务实现开机自启：

``` mvn clean package -DskipTests ``` 创建系统服务文件/usr/lib/systemd/system/zf-wsda.service，写入以下内容： ``` [Unit] Description=政府机关文书档案系统 After=network.target postgresql.service [Service] Type=simple ExecStart=/usr/bin/java -jar /root/government-document-archive/target/zf-wsda-1.0.0.jar Restart=always RestartSec=10 [Install] WantedBy=multi-user.target ```

执行以下命令启动服务：

``` systemctl daemon-reload systemctl enable --now zf-wsda ```

2.4 配置Nginx反向代理与访问控制

创建Nginx配置文件/etc/nginx/conf.d/zf-wsda.conf，写入以下内容，请将下方IP段替换为你单位实际内网IP段：

``` server { listen 80; server_name _; 限制仅单位内网访问，符合保密要求 allow 192.168.0.0/16; allow 10.0.0.0/8; deny all; location / { proxy_pass http://127.0.0.1:8080; proxy_set_header Host $host; proxy_set_header X-Real-IP $remote_addr; } } ```

执行以下命令重启Nginx生效：

``` systemctl reload nginx ```

三、系统初始化与合规配置

在单位内网浏览器访问http://你的服务器内网IP，使用默认账号admin，默认密码123456登录，第一次登录必须立即修改管理员密码，然后完成以下核心配置：

3.1 档案分类配置

• 进入后台【档案管理】-【分类管理】，点击【新增一级分类】
• 按照《机关文书档案处理工作条例》预设一级分类：决议、决定、命令、公报、公告、通告、意见、通知、通报、报告、请示、批复、函、纪要
• 新增二级分类，对应本单位各部门，例如办公室、人事处、业务一处，保存即可

3.2 权限配置（符合保密要求）

• 进入【系统管理】-【角色管理】，创建三个基础角色：档案管理员、部门经办人、普通查阅人
• 分配权限：档案管理员开通全权限，部门经办人仅可上传管理本部门档案，普通查阅人仅可查阅非密级公开档案
• 进入【用户管理】添加本单位人员账号，绑定对应角色，涉密档案单独开通授权访问权限

3.3 自动备份配置

创建备份脚本/opt/zf-wsda/backup.sh，写入以下内容，实现每天自动备份、保留30天备份的要求：

```bash !/bin/bash BACKUP_DIR=/opt/zf-wsda/backup DATE=$(date +%Y%m%d_%H%M%S) mkdir -p $BACKUP_DIR su - postgres -c "pg_dump zf_wsda > $BACKUP_DIR/zf_wsda_$DATE.sql" gzip $BACKUP_DIR/zf_wsda_$DATE.sql find $BACKUP_DIR -name ".sql.gz" -mtime +30 -delete ```

执行以下命令添加定时任务：

``` chmod +x /opt/zf-wsda/backup.sh (crontab -l ; echo "0 2 /opt/zf-wsda/backup.sh") | crontab - ```

四、落地前合规检查

• 访问控制检查：确认外网无法访问系统，仅内网指定IP段可正常访问
• 密码强度检查：强制要求所有用户设置8位以上包含大小写、数字和特殊字符的强密码
• 备份恢复测试：手动执行一次备份，验证备份文件可正常恢复数据
• 涉密存储检查：确认系统存储服务器未接入互联网，所有涉密档案存储在内网环境

完成以上所有步骤后，系统即可正式投入使用，完全符合政府机关文书档案管理的合规要求。