涉密资质单位文书档案电子系统合规搭建实操全流程指南

一、前置准备：资质合规基线核查

本环节为搭建涉密文书档案电子系统的第一道门槛，必须先完成，否则后续所有操作均无效。

1.1 核查涉密资质等级匹配系统承载密级

• 系统密级需≤单位涉密资质等级（如乙级资质仅能承载机密级及以下档案，丙级仅秘密级及以下）
• 纸质核查：复印《国家秘密载体印制资质证书》或《涉密信息系统集成资质证书》（系统集成需选“涉密档案数字化加工”“涉密信息系统集成总体”/“单项”中的档案管理类分项），核对密级、有效期、单位名称一致性

1.2 下载并对照国家保密标准清单

直接访问国家保密局官网保密科技栏目下载《BMB22-2007 涉及国家秘密的计算机信息系统分级保护管理规范》《BMB17-2006 涉及国家秘密的载体保密管理规定》《DA/T95-2021 电子档案管理系统安全要求》，重点提取：

• 分级保护等级对应配置（机密级对应三级保护，秘密级对应二级保护）
• 电子档案“收、管、存、用、销”全流程留痕要求

二、技术选型：零门槛合规开源/合规工具适配

仅使用国内合规、无境外代码后门嫌疑的开源工具或合规基础组件（无需采购商业软件的最小成本方案）

2.1 基础组件清单

• 操作系统：统信UOS服务器版（V20 1060 及以上，三级/二级分级保护预配置镜像）统信UOS服务器版预配置分级保护镜像下载
• 数据库：达梦数据库DM8（标准版以上，分级保护认证版）达梦DM8分级保护认证版申请下载
• 电子档案核心框架：Dspace-CN 3.0（中国科学院国家科学图书馆开源，适配DA/T标准）Dspace-CN Gitee仓库
• 安全增强组件：奇安信网神防火墙（预配置二级/三级规则包，测试可用30天免费试用版）奇安信网神防火墙二级/三级免费试用版

2.2 工具部署前置环境要求

• 服务器配置：二级保护需4核CPU、16G内存、1TB机械+512G SSD；三级保护需8核CPU、32G内存、2TB机械RAID5+1TB SSD
• 网络环境：断开互联网，仅保留内网涉密终端接入（内网网段需提前划分为终端区、应用服务区、数据库区，物理隔离或逻辑隔离使用DMZ区）

三、部署与配置：可直接复制的全流程步骤

3.1 预配置分级保护操作系统

• 安装镜像时，选择“涉密专用-分级保护预配置（机密级对应三级、秘密级对应二级）”模式
• 首次登录必须修改root密码为至少16位、含大小写字母+数字+特殊符号的强密码
• 创建管理员专用账户dspace_admin，权限设为sudo组，禁用root远程登录

3.2 安装达梦DM8分级保护认证版

• 上传DM8安装包到/opt/dm8_install目录，运行命令： ``` chmod +x /opt/dm8_install/DMInstall.bin sudo /opt/dm8_install/DMInstall.bin -i ```
• 全程按提示选择“涉密模式”，创建数据库实例dspace_db，设置实例密码至少16位强密码，端口默认5236
• 创建数据库用户dspace_user，授权dspace_db的所有权限： ``` --使用SYSDBA登录达梦数据库 DISQL conn SYSDBA/你的实例强密码@localhost:5236; CREATE USER dspace_user IDENTIFIED BY "数据库用户强密码"; GRANT ALL PRIVILEGES TO dspace_user; EXIT; ```

3.3 部署Dspace-CN 3.0

• 安装JDK11： ``` sudo apt update sudo apt install openjdk-11-jdk-headless -y ```
• 克隆Gitee仓库到/opt/dspace-cn： ``` cd /opt sudo git clone https://gitee.com/dspace-cn/dspace-cn.git sudo chown -R dspace_admin:dspace_admin /opt/dspace-cn ```
• 修改Dspace-CN配置文件/opt/dspace-cn/config/dspace.cfg（全文覆盖即可）： ``` dspace.dir=/opt/dspace-cn dspace.hostname=内网服务器IP dspace.baseUrl=http://内网服务器IP:8080 dspace.name=涉密资质单位文书档案电子系统 db.url=jdbc:dm://localhost:5236/dspace_db db.driver=dm.jdbc.driver.DmDriver db.username=dspace_user db.password=数据库用户强密码 db.schema=dspace_user ```
• 初始化数据库： ``` cd /opt/dspace-cn/bin sudo ./dspace database clean sudo ./dspace database migrate ```
• 启动Dspace-CN服务： ``` sudo ./dspace start ```
• 浏览器访问http://内网服务器IP:8080，首次登录创建系统管理员、档案管理员、安全审计员三员分立账户（必须严格三员分离，不能交叉兼任）

四、安全加固与合规留痕：满足BMB和DA/T标准

4.1 基础安全加固

• 安装奇安信网神防火墙，启用预配置的二级/三级分级保护规则包，仅允许内网终端区访问应用服务区的8080端口，应用服务区仅能访问数据库区的5236端口
• 在统信UOS服务器版中启用屏幕保护15分钟自动锁屏、USB设备禁用（仅授权U盘可通过管理员解锁挂载）： ``` 禁用普通USB存储 sudo echo "blacklist usb-storage" >> /etc/modprobe.d/blacklist-usb.conf 授权管理员可解锁（略，需通过统信UOS服务器版的涉密管理中心操作） ```

4.2 全流程留痕配置

• 在Dspace-CN中用系统管理员账户登录，进入“系统管理-安全设置-审计日志”，勾选“收文、归档、借阅、下载、删除、销毁”全流程操作审计，设置日志保留期为至少3年
• 配置数据库审计：在达梦DM8的SYSDBA账户下执行： ``` --启用全流程操作审计 SP_SET_PARA_VALUE(1,'AUDIT_LEVEL',3); --设置日志保留3年 SP_CREATE_AUDIT_JOB('AUDIT_RETENTION','DELETE FROM AUD$ WHERE TIMESTAMP < SYSDATE - 1095','0 0 1 '); ```

五、自测与验收准备：避免资质审核卡壳

5.1 核心合规项自测

• 三员分立：验证系统管理员无法删除档案、档案管理员无法修改安全设置、安全审计员无法查看档案内容
• 留痕验证：执行一次收文、归档、借阅、归还、删除操作，查看系统审计日志和数据库审计日志是否完整记录（含操作人、操作时间、操作内容、操作终端IP）
• 密级管控：创建一份机密级档案（仅三级资质可用），验证秘密级账户无法查看、下载

5.2 验收准备材料

• 系统部署记录截图（含操作系统、数据库、Dspace-CN启动页、三员账户创建页）
• 安全加固配置截图（含防火墙规则、统信UOS涉密设置、数据库审计设置）
• 全流程留痕日志截图（各操作至少1条）
• 纸质对照清单（BMB和DA/T标准的合规项勾选完成）