報刊集萃

數字化檔案建設中網站的安全漏洞解析與預警

卞咸杰在2009年第一期《檔案》上撰文指出，檔案網站作為檔案館室在互聯網公共信息網上建立的站點，以主頁的形式提供相關信息和服務，構成公共信息網絡的一個節點。但是，由于主客觀因素的影響，檔案網站建設存在著七個漏洞，即：①軟件系統漏洞，包括操作漏洞和病毒威脅；②默認設置漏洞，很多網站系統在開發的時候都會默認設置一些系統相關的信息，比如管理員賬號密碼、網站系統數據庫位置、系統后臺位置等，很多檔案網站在正常運作后，并沒有進行相關內容的更改，于是黑客就可以通過默認的位置進入系統；③登陸驗證漏洞，這個漏洞一般是在編寫程序驗證賬號時由于程序不嚴謹而造成的；④SQL注入漏洞，用戶提交一段數據查詢代碼，根據程序返回的結果可以獲得某些想得到的數據；⑤桌面數據庫被下載漏洞，Access數據庫擴展名是mdb，如果獲得存儲路徑和數據庫名，則該數據庫可以被下載到本地，攻擊者可以輕松得到保存在數據庫后臺的密碼和其他信息；⑥文件上傳漏洞，用戶上傳文件時參數缺少充分過濾，以至遠程攻擊者利用這個漏洞可以上傳惡意文件，甚至造成系統數據庫破壞或以Web權限在系統上執行任意命令；⑦特殊字符漏洞。

作者指出，檔案網站建設中安全漏洞的預警有以下幾個措施：①及時裝好安全補丁；②更改系統的默認設置；③提高賬號秘密的安全強度；④對ASP頁面進行加密；⑤網絡隔離；⑥防火墻的使用；⑦入侵檢測系統；⑧日志分析；⑨屏蔽掉特殊字符；⑩使用專用服務器。

我國家庭建檔若干問題的思考

2009年第一期《檔案管理》沙菲的文章，就家庭建檔中的四個主要問題進行了比較深入的探討，并提出了相應的改革意見和建議。

（一）對于家庭建檔，各級檔案行政管理部門該不該管？作者認為，檔案部門自身應當充分認識當前開展家庭檔案工作的意義，堅信對于從事檔案工作的人員來說，群眾的需要就是我們的工作目標，我們有義務幫助老百姓建立家庭檔案，事實上，許多檔案部門也已經介入了這項工作。（二）如何處理家庭檔案中的隱私問題？作者指出，檔案部門在指導家庭建檔、推廣示范戶的時候，要注意對家庭個人隱私的保護，指導家庭建檔時不要對各個家庭的隱私充滿好奇，進行實物展覽時必須征得示范戶同意，介紹示范戶的做法時重點介紹具體做法和意義，盡量不設計對方的具體家庭地址或姓名等隱私。（三）家庭建檔要不要立法？目前國內尚無有關家庭檔案的立法，許多情況下只能援引檔案法或檔案法實施辦法中的一些原則性規定來指導家庭檔案和家庭建檔工作，這樣容易出現矛盾。作者認為，隨著家庭檔案的不斷發展，總有一天會出現有關家庭檔案的專門法律。（四）家庭檔案是該藏于官還是藏于民？作者認為，在今天政治民主發展的情況下，家庭檔案的保管應實行“官藏”與“民藏”并舉的保管方式，吸取兩種保管方式的優勢。

國外檔案機構應對突發事件的主要做法及其借鑒意義

如何即時采取措施有效應對突發事件，決定了檔案機構能否為人類文化和記憶的留存盡到應有的責任。楊安蓮在2009年第一期《檔案學通訊》上撰文，對國外檔案機構應對突發事件的主要做法進行了總結，如注重預防、及時搶救、人員培訓、資金保障、重點突出、探討新型載體防災技術。作者在此基礎上提出了一些思考和建議，如成立專門機構，加強組織與制度保障；制定應急防災預案，強化人員培訓；抓緊檔案分級工作，有重點地進行災后搶救；完善異地備份制度，有效預防災害。

數字影像的真偽鑒辨

張美芳在2009年第二期《檔案管理》上撰文，分析了數字影像造假的可能性和實施的措施，介紹了數字影像鑒辨的依據和常用方法。作者指出，由于操作者水平、經驗和細心程度的差異以及操作者占有圖像資料的豐富與否，一般可以從以下方面考慮數字影像的鑒辨：光線角度的一致性，同一幅數字影像中，當影像中某景物出現無法解釋的明暗變化或陰影時，可以判斷其圖像有變造的可能；虛實變化的合理性，對于靜止物體，當圖像中景深范圍以外的某一物的清晰程度超過景深范圍內景物的清晰時應屬添加、替換或合成的變造圖像；主體與背景的真實性，主體與背景在大多情況下都有相關性，一旦這種關聯被打破，影像的本身的真實性也就不復存在了；透視關系的比例性，當觀察或拍攝的視點和視向確定以后，影像中的透視關系是固定不變的；設備、軟件的可利用性，相機指紋數字修改或潤飾極少留下明顯痕跡，可以利用相機的共性來鑒辨數字影像的真偽。

作者介紹了在數字影像鑒辨中的常用工具，如證據獲取工具、證據歸檔工具和元數據。鑒定數字影像時不得使用原始軟件或者數據，防止造成原始數據的損壞。需要對所有原始軟件、查獲的介質采取寫保護措施，制作多個備份。對于惡意入侵者入侵后刪除自己留在計算機系統中的“痕跡”的情況，鑒定人員可以用Unrm等工具把被刪除的關鍵信息恢復出來；在數字影像證據取證過程中，為了保全證據通常會使用數據簽名和數字時間戳技術；在取證調查過程中，正確識別反常文件，留心一些細節特征也是十分必要的，比如那些有著與他們真實數據類型不相符擴展名的文件。證據歸檔工具比較典型的是NTI公司的軟件NTI-DOC，它可用于自動記錄電子數據產生的時間、日期及文件屬性。元數據則是完整記錄電子文件的形成過程、技術措施（如各種加密手段）和管理過程等，在鑒辨中的功能主要體現在靜態映射和動態跟蹤兩方面。

議檔案目錄中心建設的幾個基本問題

周銘、王晉、淑芳在《山西檔案》2008年第四期撰文，論述了以下幾個問題。

（1）檔案目錄中心的概念。檔案目錄中心是指以某一檔案館為依托，匯集若干檔案館的特定檔案目錄信息并能開展檢索服務的一種專門檔案信息管理機構。它可以是全國性的或地區性的，也可以是專業性的。

（2）檔案目錄中心建設的原則有四個：一是權威性原則，上級主管部門賦予檔案目錄中心以指揮、協調的權力；二是標準化原則，主要包括目錄中心工作規范化、目錄中心術語標準化、檔案著錄標引和檢索語言標準化、目錄中心數據庫標準化等；三是需求為中心（亦即用戶中心）的原則；四是依托現有檔案館的原則。

（3）檔案目錄中心建設的現實意義：一是它從根本上打破了檔案信息資源按館藏進行檢索的慣有模式，有利于實現檔案信息資源共享和館際之間的協作交流；二是國家檔案館網業務建設的重要組成部分和合理延伸；三是成員館可以從檔案目錄中心汲取與自身館藏相關的檔案目錄信息，以彌補自身館藏檔案的不足；四是可以提高檔案信息資源的開發利用水平。

（4）檔案目錄中心的組織機構和主要職能。組織機構，可以設協調委員會（各成員館參加）和采集、編目、利用三個工作小組。主要職能，一是對各成員館的檔案目錄報送工作進行管理和業務指導；二是加工編輯聯合目錄及其他形式的目錄并印發各成員館；三是建立科學的檔案目錄體系，提供多種檢索途徑；四是組織協調館際之間的目錄交換；五是組織協調館際間檔案復制或原件的交換；六是向社會公眾提供檔案目錄信息服務，包括一般查詢、咨詢、目錄出版、定題信息服務等。

音樂無國界

在西方的音樂傳統中，對情感的表達一直被認為是音樂的基本要素和終極使命。可是在其他文化中，比如非洲，音樂的作用是在部落儀式中協調眾人的行動，并不強調情感色彩。然而，根據德國馬克思·普朗克研究所大腦認知專家托馬斯·弗里茨最新公布的對喀麥隆瑪法部落的研究結果，雖然此前從未聽過西方音樂，但處于另一音樂體系中的瑪法人卻可以敏銳識別出西方音樂中表達的喜悅、悲傷和恐懼，與那些自幼接受古典音樂熏陶的西方聽眾并無差別。研究者指出，音樂或許與面部表情類似，不分種族，不分地域，均可引發共鳴，而這也可以解釋為什么源自西方的音樂可以在不同的國度中都能獲得成功。

《三聯生活周刊》2009.11