數(shù)字化檔案建設(shè)中網(wǎng)站的安全漏洞解析與預(yù)警

卞咸杰在2009年第一期《檔案》上撰文指出，檔案網(wǎng)站作為檔案館室在互聯(lián)網(wǎng)公共信息網(wǎng)上建立的站點(diǎn)，以主頁(yè)的形式提供相關(guān)信息和服務(wù)，構(gòu)成公共信息網(wǎng)絡(luò)的一個(gè)節(jié)點(diǎn)。但是，由于主客觀因素的影響，檔案網(wǎng)站建設(shè)存在著七個(gè)漏洞，即：①軟件系統(tǒng)漏洞，包括操作漏洞和病毒威脅；②默認(rèn)設(shè)置漏洞，很多網(wǎng)站系統(tǒng)在開(kāi)發(fā)的時(shí)候都會(huì)默認(rèn)設(shè)置一些系統(tǒng)相關(guān)的信息，比如管理員賬號(hào)密碼、網(wǎng)站系統(tǒng)數(shù)據(jù)庫(kù)位置、系統(tǒng)后臺(tái)位置等，很多檔案網(wǎng)站在正常運(yùn)作后，并沒(méi)有進(jìn)行相關(guān)內(nèi)容的更改，于是黑客就可以通過(guò)默認(rèn)的位置進(jìn)入系統(tǒng)；③登陸驗(yàn)證漏洞，這個(gè)漏洞一般是在編寫程序驗(yàn)證賬號(hào)時(shí)由于程序不嚴(yán)謹(jǐn)而造成的；④SQL注入漏洞，用戶提交一段數(shù)據(jù)查詢代碼，根據(jù)程序返回的結(jié)果可以獲得某些想得到的數(shù)據(jù)；⑤桌面數(shù)據(jù)庫(kù)被下載漏洞，Access數(shù)據(jù)庫(kù)擴(kuò)展名是mdb，如果獲得存儲(chǔ)路徑和數(shù)據(jù)庫(kù)名，則該數(shù)據(jù)庫(kù)可以被下載到本地，攻擊者可以輕松得到保存在數(shù)據(jù)庫(kù)后臺(tái)的密碼和其他信息；⑥文件上傳漏洞，用戶上傳文件時(shí)參數(shù)缺少充分過(guò)濾，以至遠(yuǎn)程攻擊者利用這個(gè)漏洞可以上傳惡意文件，甚至造成系統(tǒng)數(shù)據(jù)庫(kù)破壞或以Web權(quán)限在系統(tǒng)上執(zhí)行任意命令；⑦特殊字符漏洞。

作者指出，檔案網(wǎng)站建設(shè)中安全漏洞的預(yù)警有以下幾個(gè)措施：①及時(shí)裝好安全補(bǔ)丁；②更改系統(tǒng)的默認(rèn)設(shè)置；③提高賬號(hào)秘密的安全強(qiáng)度；④對(duì)ASP頁(yè)面進(jìn)行加密；⑤網(wǎng)絡(luò)隔離；⑥防火墻的使用；⑦入侵檢測(cè)系統(tǒng)；⑧日志分析；⑨屏蔽掉特殊字符；⑩使用專用服務(wù)器。

我國(guó)家庭建檔若干問(wèn)題的思考

2009年第一期《檔案管理》沙菲的文章，就家庭建檔中的四個(gè)主要問(wèn)題進(jìn)行了比較深入的探討，并提出了相應(yīng)的改革意見(jiàn)和建議。

（一）對(duì)于家庭建檔，各級(jí)檔案行政管理部門該不該管？作者認(rèn)為，檔案部門自身應(yīng)當(dāng)充分認(rèn)識(shí)當(dāng)前開(kāi)展家庭檔案工作的意義，堅(jiān)信對(duì)于從事檔案工作的人員來(lái)說(shuō)，群眾的需要就是我們的工作目標(biāo)，我們有義務(wù)幫助老百姓建立家庭檔案，事實(shí)上，許多檔案部門也已經(jīng)介入了這項(xiàng)工作。（二）如何處理家庭檔案中的隱私問(wèn)題？作者指出，檔案部門在指導(dǎo)家庭建檔、推廣示范戶的時(shí)候，要注意對(duì)家庭個(gè)人隱私的保護(hù)，指導(dǎo)家庭建檔時(shí)不要對(duì)各個(gè)家庭的隱私充滿好奇，進(jìn)行實(shí)物展覽時(shí)必須征得示范戶同意，介紹示范戶的做法時(shí)重點(diǎn)介紹具體做法和意義，盡量不設(shè)計(jì)對(duì)方的具體家庭地址或姓名等隱私。（三）家庭建檔要不要立法？目前國(guó)內(nèi)尚無(wú)有關(guān)家庭檔案的立法，許多情況下只能援引檔案法或檔案法實(shí)施辦法中的一些原則性規(guī)定來(lái)指導(dǎo)家庭檔案和家庭建檔工作，這樣容易出現(xiàn)矛盾。作者認(rèn)為，隨著家庭檔案的不斷發(fā)展，總有一天會(huì)出現(xiàn)有關(guān)家庭檔案的專門法律。（四）家庭檔案是該藏于官還是藏于民？作者認(rèn)為，在今天政治民主發(fā)展的情況下，家庭檔案的保管應(yīng)實(shí)行“官藏”與“民藏”并舉的保管方式，吸取兩種保管方式的優(yōu)勢(shì)。

國(guó)外檔案機(jī)構(gòu)應(yīng)對(duì)突發(fā)事件的主要做法及其借鑒意義

如何即時(shí)采取措施有效應(yīng)對(duì)突發(fā)事件，決定了檔案機(jī)構(gòu)能否為人類文化和記憶的留存盡到應(yīng)有的責(zé)任。楊安蓮在2009年第一期《檔案學(xué)通訊》上撰文，對(duì)國(guó)外檔案機(jī)構(gòu)應(yīng)對(duì)突發(fā)事件的主要做法進(jìn)行了總結(jié)，如注重預(yù)防、及時(shí)搶救、人員培訓(xùn)、資金保障、重點(diǎn)突出、探討新型載體防災(zāi)技術(shù)。作者在此基礎(chǔ)上提出了一些思考和建議，如成立專門機(jī)構(gòu)，加強(qiáng)組織與制度保障；制定應(yīng)急防災(zāi)預(yù)案，強(qiáng)化人員培訓(xùn)；抓緊檔案分級(jí)工作，有重點(diǎn)地進(jìn)行災(zāi)后搶救；完善異地備份制度，有效預(yù)防災(zāi)害。

數(shù)字影像的真?zhèn)舞b辨

張美芳在2009年第二期《檔案管理》上撰文，分析了數(shù)字影像造假的可能性和實(shí)施的措施，介紹了數(shù)字影像鑒辨的依據(jù)和常用方法。作者指出，由于操作者水平、經(jīng)驗(yàn)和細(xì)心程度的差異以及操作者占有圖像資料的豐富與否，一般可以從以下方面考慮數(shù)字影像的鑒辨：光線角度的一致性，同一幅數(shù)字影像中，當(dāng)影像中某景物出現(xiàn)無(wú)法解釋的明暗變化或陰影時(shí)，可以判斷其圖像有變?cè)斓目赡?；虛?shí)變化的合理性，對(duì)于靜止物體，當(dāng)圖像中景深范圍以外的某一物的清晰程度超過(guò)景深范圍內(nèi)景物的清晰時(shí)應(yīng)屬添加、替換或合成的變?cè)靾D像；主體與背景的真實(shí)性，主體與背景在大多情況下都有相關(guān)性，一旦這種關(guān)聯(lián)被打破，影像的本身的真實(shí)性也就不復(fù)存在了；透視關(guān)系的比例性，當(dāng)觀察或拍攝的視點(diǎn)和視向確定以后，影像中的透視關(guān)系是固定不變的；設(shè)備、軟件的可利用性，相機(jī)指紋數(shù)字修改或潤(rùn)飾極少留下明顯痕跡，可以利用相機(jī)的共性來(lái)鑒辨數(shù)字影像的真?zhèn)巍?/p>

作者介紹了在數(shù)字影像鑒辨中的常用工具，如證據(jù)獲取工具、證據(jù)歸檔工具和元數(shù)據(jù)。鑒定數(shù)字影像時(shí)不得使用原始軟件或者數(shù)據(jù)，防止造成原始數(shù)據(jù)的損壞。需要對(duì)所有原始軟件、查獲的介質(zhì)采取寫保護(hù)措施，制作多個(gè)備份。對(duì)于惡意入侵者入侵后刪除自己留在計(jì)算機(jī)系統(tǒng)中的“痕跡”的情況，鑒定人員可以用Unrm等工具把被刪除的關(guān)鍵信息恢復(fù)出來(lái)；在數(shù)字影像證據(jù)取證過(guò)程中，為了保全證據(jù)通常會(huì)使用數(shù)據(jù)簽名和數(shù)字時(shí)間戳技術(shù)；在取證調(diào)查過(guò)程中，正確識(shí)別反常文件，留心一些細(xì)節(jié)特征也是十分必要的，比如那些有著與他們真實(shí)數(shù)據(jù)類型不相符擴(kuò)展名的文件。證據(jù)歸檔工具比較典型的是NTI公司的軟件NTI-DOC，它可用于自動(dòng)記錄電子數(shù)據(jù)產(chǎn)生的時(shí)間、日期及文件屬性。元數(shù)據(jù)則是完整記錄電子文件的形成過(guò)程、技術(shù)措施（如各種加密手段）和管理過(guò)程等，在鑒辨中的功能主要體現(xiàn)在靜態(tài)映射和動(dòng)態(tài)跟蹤兩方面。

議檔案目錄中心建設(shè)的幾個(gè)基本問(wèn)題

周銘、王晉、淑芳在《山西檔案》2008年第四期撰文，論述了以下幾個(gè)問(wèn)題。

（1）檔案目錄中心的概念。檔案目錄中心是指以某一檔案館為依托，匯集若干檔案館的特定檔案目錄信息并能開(kāi)展檢索服務(wù)的一種專門檔案信息管理機(jī)構(gòu)。它可以是全國(guó)性的或地區(qū)性的，也可以是專業(yè)性的。

（2）檔案目錄中心建設(shè)的原則有四個(gè)：一是權(quán)威性原則，上級(jí)主管部門賦予檔案目錄中心以指揮、協(xié)調(diào)的權(quán)力；二是標(biāo)準(zhǔn)化原則，主要包括目錄中心工作規(guī)范化、目錄中心術(shù)語(yǔ)標(biāo)準(zhǔn)化、檔案著錄標(biāo)引和檢索語(yǔ)言標(biāo)準(zhǔn)化、目錄中心數(shù)據(jù)庫(kù)標(biāo)準(zhǔn)化等；三是需求為中心（亦即用戶中心）的原則；四是依托現(xiàn)有檔案館的原則。

（3）檔案目錄中心建設(shè)的現(xiàn)實(shí)意義：一是它從根本上打破了檔案信息資源按館藏進(jìn)行檢索的慣有模式，有利于實(shí)現(xiàn)檔案信息資源共享和館際之間的協(xié)作交流；二是國(guó)家檔案館網(wǎng)業(yè)務(wù)建設(shè)的重要組成部分和合理延伸；三是成員館可以從檔案目錄中心汲取與自身館藏相關(guān)的檔案目錄信息，以彌補(bǔ)自身館藏檔案的不足；四是可以提高檔案信息資源的開(kāi)發(fā)利用水平。

（4）檔案目錄中心的組織機(jī)構(gòu)和主要職能。組織機(jī)構(gòu)，可以設(shè)協(xié)調(diào)委員會(huì)（各成員館參加）和采集、編目、利用三個(gè)工作小組。主要職能，一是對(duì)各成員館的檔案目錄報(bào)送工作進(jìn)行管理和業(yè)務(wù)指導(dǎo)；二是加工編輯聯(lián)合目錄及其他形式的目錄并印發(fā)各成員館；三是建立科學(xué)的檔案目錄體系，提供多種檢索途徑；四是組織協(xié)調(diào)館際之間的目錄交換；五是組織協(xié)調(diào)館際間檔案復(fù)制或原件的交換；六是向社會(huì)公眾提供檔案目錄信息服務(wù)，包括一般查詢、咨詢、目錄出版、定題信息服務(wù)等。

音樂(lè)無(wú)國(guó)界

在西方的音樂(lè)傳統(tǒng)中，對(duì)情感的表達(dá)一直被認(rèn)為是音樂(lè)的基本要素和終極使命?？墒窃谄渌幕校热绶侵?，音樂(lè)的作用是在部落儀式中協(xié)調(diào)眾人的行動(dòng)，并不強(qiáng)調(diào)情感色彩。然而，根據(jù)德國(guó)馬克思·普朗克研究所大腦認(rèn)知專家托馬斯·弗里茨最新公布的對(duì)喀麥隆瑪法部落的研究結(jié)果，雖然此前從未聽(tīng)過(guò)西方音樂(lè)，但處于另一音樂(lè)體系中的瑪法人卻可以敏銳識(shí)別出西方音樂(lè)中表達(dá)的喜悅、悲傷和恐懼，與那些自幼接受古典音樂(lè)熏陶的西方聽(tīng)眾并無(wú)差別。研究者指出，音樂(lè)或許與面部表情類似，不分種族，不分地域，均可引發(fā)共鳴，而這也可以解釋為什么源自西方的音樂(lè)可以在不同的國(guó)度中都能獲得成功。

《三聯(lián)生活周刊》2009.11