档案软件单机版部署与劳务派遣资质数据安全配置指南

一、 系统环境准备

本节将完成单机版档案软件运行所需的基础环境搭建，确保系统稳定。

1.1 硬件与操作系统要求

最低硬件配置：Intel i5 或同等级CPU，8GB内存，500GB可用硬盘空间（用于存储档案文件及数据库）。推荐使用Windows 10/11专业版或Windows Server 2019/2022操作系统。

1.2 数据库安装与配置

单机版档案软件通常使用SQLite或MySQL。以MySQL 8.0为例，操作步骤如下：

步骤一：下载并安装MySQL

访问MySQL官方社区版下载页面：https://dev.mysql.com/downloads/mysql/。选择“MySQL Installer for Windows”下载。运行安装程序，选择“Server only”安装类型。

步骤二：配置MySQL实例

安装过程中，在“Type and Networking”步骤，选择“Standalone MySQL Server”。在“Authentication Method”步骤，选择“Use Strong Password Encryption”。

设置root用户密码，例如：Archive@2024（请记录此密码）。后续步骤保持默认，完成安装。

步骤三：验证安装

打开命令提示符（CMD），输入以下命令登录数据库：

``` mysql -u root -p ```

输入之前设置的密码，若出现“mysql>”提示符，则安装成功。

二、 档案软件单机版部署

本节以一款开源档案管理软件“OpenArchive”为例，演示从获取到安装的全过程。

2.1 软件获取与解压

访问GitHub发布页：https://github.com/example/openarchive/releases（此为示例地址，请替换为实际软件官网）。下载最新稳定版的压缩包，如“openarchive-win64-v2.1.0.zip”。

在D盘（或你规划的数据盘）新建文件夹“D:\ArchiveSystem”。将下载的压缩包解压至此目录。

2.2 数据库初始化

进入解压后的目录“D:\ArchiveSystem”，找到数据库初始化脚本“init_database.sql”。在MySQL中执行此脚本以创建数据库和表结构。

在CMD中使用以下命令：

``` mysql -u root -p < D:\ArchiveSystem\init_database.sql ```

输入root密码。执行成功后，使用命令登录MySQL并检查数据库：

``` mysql -u root -p ```

输入密码后，执行：

``` SHOW DATABASES; ```

列表中应出现名为“employee_archive”的数据库。

2.3 应用配置文件修改

找到软件目录下的配置文件“config.properties”，用记事本或代码编辑器打开。修改以下关键配置项，使其与你的数据库连接信息匹配：

``` 数据库连接配置 db.driver=com.mysql.cj.jdbc.Driver db.url=jdbc:mysql://localhost:3306/employee_archive?useUnicode=true&characterEncoding=UTF-8&serverTimezone=UTC db.username=root db.password=Archive@2024 文件存储路径（确保此路径存在且有写入权限） file.storage.path=D:\ArchiveData\Files ```

注意：请确保“D:\ArchiveData\Files”文件夹已手动创建。

2.4 启动与验证

在“D:\ArchiveSystem”目录下，找到启动脚本“startup.bat”，双击运行。等待命令行窗口显示“Server started on port 8080”字样。

打开浏览器，访问 http://localhost:8080。应能看到档案软件登录界面。使用默认管理员账号（admin / admin123）登录，并立即在系统设置中修改密码。

三、 劳务派遣资质数据安全专项配置

劳务派遣人员档案涉及身份证、合同、资格证书等敏感信息，必须进行严格的安全加固。

3.1 数据库访问安全加固

步骤一：创建专用数据库用户

使用root账户登录MySQL，执行以下命令，为档案软件创建一个权限受限的专用用户，替代root用户进行连接。

``` CREATE USER 'archive_app'@'localhost' IDENTIFIED BY 'StrongAppPass!2024'; GRANT SELECT, INSERT, UPDATE, DELETE ON employee_archive. TO 'archive_app'@'localhost'; FLUSH PRIVILEGES; ```

随后，将上文“config.properties”文件中的“db.username”和“db.password”分别修改为“archive_app”和“StrongAppPass!2024”。

步骤二：启用数据库表字段加密

对于“身份证号”、“手机号”等核心敏感字段，应在应用层进行加密存储。修改软件的数据访问层代码（或使用支持加密的版本）。以下是使用AES加密算法在Java中的示例：

``` // 加密方法示例 import javax.crypto.Cipher; import javax.crypto.spec.SecretKeySpec; import java.util.Base64; public class DataEncryptor { private static final String ALGORITHM = "AES"; private static final String KEY = "Your16ByteKeyStr"; // 必须为16、24或32字节 public static String encrypt(String data) throws Exception { SecretKeySpec keySpec = new SecretKeySpec(KEY.getBytes(), ALGORITHM); Cipher cipher = Cipher.getInstance(ALGORITHM); cipher.init(Cipher.ENCRYPT_MODE, keySpec); byte[] encryptedBytes = cipher.doFinal(data.getBytes()); return Base64.getEncoder().encodeToString(encryptedBytes); } } ```

在数据入库前，调用encrypt方法处理敏感字段。查询时需对应解密。

3.2 本地文件存储安全

步骤一：设置NTFS文件系统权限

右键点击档案文件存储目录“D:\ArchiveData\Files”，选择“属性” -> “安全” -> “编辑”。移除“Users”组的写入权限。添加“SYSTEM”和当前运行档案软件的操作系统用户（如登录Windows的用户），并赋予“完全控制”权限。确保只有授权进程和用户能访问。

步骤二：配置文件服务器禁止目录浏览

如果软件内置文件服务，在其配置文件（如server.xml或nginx.conf）中，确保关闭目录列表功能。以Nginx为例，在对应location块中设置：

``` location /files/ { alias D:/ArchiveData/Files/; autoindex off; 关键：关闭目录浏览 } ```

3.3 软件应用层安全设置

步骤一：强制启用强密码策略

登录档案软件后台管理界面，找到“安全设置”或“用户管理”。开启“强制密码复杂度”选项，设置规则：密码长度至少8位，必须包含大小写字母、数字和特殊字符。

步骤二：启用操作日志审计

在系统设置中，确保“完整操作日志”功能已开启。关键审计项必须包括：用户登录/退出、档案的增删改查、文件的下载与预览。日志应记录操作时间、IP地址、用户ID和具体操作内容，并定期备份。

四、 数据备份与恢复实操

定期备份是应对数据丢失的最后防线。

4.1 自动化备份脚本配置

在“D:\BackupScripts”目录下创建“backup.bat”批处理文件，内容如下：

``` @echo off set BACKUP_PATH=D:\ArchiveBackup set DATE=%date:~0,4%%date:~5,2%%date:~8,2% set TIME=%time:~0,2%%time:~3,2% if not exist "%BACKUP_PATH%" mkdir "%BACKUP_PATH%" REM 备份MySQL数据库 mysqldump -u archive_app -pStrongAppPass!2024 employee_archive > "%BACKUP_PATH%\db_backup_%DATE%_%TIME%.sql" REM 备份上传的文件 7z a -tzip "%BACKUP_PATH%\files_backup_%DATE%_%TIME%.zip" "D:\ArchiveData\Files\" -mx5 REM 删除7天前的备份文件 forfiles /p "%BACKUP_PATH%" /s /m .sql /d -7 /c "cmd /c del @path" forfiles /p "%BACKUP_PATH%" /s /m .zip /d -7 /c "cmd /c del @path" ```

注意：此脚本使用了7-Zip命令行工具（7z），需预先安装。将脚本加入Windows“任务计划程序”，设置为每日凌晨2点自动执行。

4.2 数据恢复流程

当需要恢复数据时，按顺序执行：

1. 停止档案软件服务。关闭“startup.bat”运行窗口或对应的系统服务。

2. 恢复数据库。使用MySQL命令行：

``` mysql -u archive_app -pStrongAppPass!2024 employee_archive < D:\ArchiveBackup\db_backup_20240101_0200.sql ```

3. 恢复文件。将备份的ZIP文件（如files_backup_20240101_0200.zip）解压，并覆盖到“D:\ArchiveData\Files”目录。

4. 重启档案软件服务。运行“startup.bat”，验证数据是否完整恢复。

五、 部署后检查清单

完成所有部署与配置后，请逐项核对：

• 软件能通过 http://localhost:8080 正常访问。
• 使用创建的“archive_app”数据库账户，软件所有档案管理功能（增、删、改、查、上传、下载）运行正常。
• 在数据库中用SELECT语句查看“身份证号”等字段，确认存储的是加密后的密文，而非明文。
• 尝试在浏览器中直接输入一个已知的档案文件URL（如http://localhost:8080/files/xxx.pdf），应能正常下载或预览，但输入其上级目录地址（如http://localhost:8080/files/）应返回403禁止访问或404错误，而不是文件列表。
• 使用一个不符合复杂度要求的密码（如“123456”）尝试修改用户密码，系统应拒绝并提示。
• 在软件内进行任意操作（如查询一份档案），然后在操作日志页面中，能找到对应的、包含完整操作信息的日志记录。
• 手动执行一次“backup.bat”脚本，检查“D:\ArchiveBackup”目录下是否生成了新的.sql和.zip备份文件。