電子文件密級標志技術在涉密信息系統中的應用與實現

◆王琦

電子文件密級標志技術在涉密信息系統中的應用與實現

◆王琦

（中核四0四有限公司 甘肅 735100）

軍工企業涉密信息系統內的電子文件越來越多，如何較好保護這些電子文件，如何有效避免和防止出現惡意“降密”與“脫密”、非授權訪問，甚至涉密信息泄露，已經成為各軍工企業信息化建設過程中的現實問題。本文通過對涉密信息系統中電子文件存在的問題，分析了合規、業務和安全方面的需求，介紹了電子標密系統的建設思路和部署架構，并探討了密級標志在涉密信息系統內的應用場景，為電子密級標志技術在涉密信息系統中的推廣和應用提供了實踐依據。

電子標密；安全保密；密級標識

隨著網絡與信息技術的迅猛發展，促進軍工企業信息化快速推進，實現信息管理現代化已成為軍工企業發展的必由之路。軍工企業依據國家分級保護要求，建設符合企業業務發展需要的涉密信息系統，給工作帶來便利的同時，也給安全保密工作帶來了新的問題，防止涉密信息系統的泄密，已經成為保密工作中一項重要任務與挑戰。

在涉密信息系統環境中，越來越多的國家秘密以電子文件的形式存在。為了進一步加強涉密電子文件的管理，電子文件的管理人員希望能夠參照紙質文件的管理方式，通過信息化手段，以一種直觀、可靠的方式反映出電子文件秘密等級、保密期限等涉密屬性，為使用人員瀏覽涉密電子文件提供必要的警示標志。隨著管理信息化逐步深入，各類應用深入推廣和應用，對涉密電子文件進行標記的需求也越來越迫切。

1 系統現狀與存在問題

按照國家保密法和分級保護標準，針對涉密信息系統中的結構化和非結構化數據的密級標識進行電子化處理和管理，基本滿足安全保密管理需要，但仍存在一些問題，尤其在非結構的電子文件密級標識和管理方面，在密級標識方面仍采用傳統紙質文件的封面、首頁、目錄“標密”的方法，在全生命周期管理方面，與電子文件無法有效綁定，無法有效生命周期安全保密管理，主要表現在以下幾方面，具體如下：

（1）電子文件的“密級信息”易分離，可篡改，缺乏有效技術防護手段，容易出現惡意“降密”、“脫密”等現象；

（2）電子文件全生命周期的“定密、變更、解密”等方面，缺乏統一、有效管理措施；

（3）電子文件的“內部流轉與使用”，缺乏強制訪問控制手段，無法阻止“非授權”訪問和使用；

（4）電子文件的“意外流出”，缺乏有效的技術控制措施，可能造成涉密信息泄露。

2 需求分析

2.1 合規性需求

在涉密電子文件的“定密”、“標密”等方面，國家相關的法律法規和標準規范等中已經做了明確的規定，涉密電子文件的密級標識應實現以下合規性需求，如下：

（1）國家制定的與保密相關法律和法規中，從“定密”、“標密”和應用等方面，對定密責任人、定密流程等方面都做了明確規定，對如何標注、標注哪些內容、在哪些方面需要標注等也有相應規范要求。

（2）國家分級保護中對電子文件標識也有明確的要求，信息應有相應的密級標志并保證與信息主體不可分離，以及其自身不可篡改。

（3）保密資格審查認證及評分標準中，也將密級標志為基本測評項，并要求涉密信息需標注相應的密級標志。

2.2 業務需求

涉密電子文件時，其密級標識應實現以下業務需求，如下：

（1）對涉密電子文件的“定密、變更、解密”等方面，進行統一、有效管理局面，實現電子文件全生命周期的管理。

（2）實現與OA、郵件等業務應用系統進行無縫集成，以保障涉密電子文件在內部流轉與使用過程中，兼顧保密管理和用戶使用便捷性。

（3）技術與管理有機融合，一方面提升日常使用、運行維護的效率，另一方面，有效推動管理模式的變革、調整和更新規范與制度，以制度保證技術落地，以技術推動制度執行。

2.3 安全需求

在涉密電子文件的安全保密與管理方面，應滿足以下的全安全管理需求，如下：

（1）身份標識：保證涉密電子文件的標識唯一性，能夠體現文件的重要程度，且保證密級標識與電子文件不可分離和篡改。

（2）訪問控制：符合國家相關標準對涉密電子文件加密防護的要求，實現細顆粒度的訪問控制，嚴格控制知悉范圍和訪問權限。

（3）流轉管理：確保涉密電子文件在用戶終端和應用系統中流轉時攜帶密標，做到文件的生成、使用、流轉、輸出等各個環節安全與可控。

（4）審計追溯：能夠記錄涉密電子文件全生命周期過程中文件定密、密級變更和文件簽發等管理性操作，記錄內容應準確和完整，能夠做到事后追溯與審計。

3 解決方案

3.1 建設思路

在保密局測評中心的產品名錄選擇合規的、成型的電子文檔“標密”產品，立足公司的業務需求、管理要求等實際，一方面，依據企業管理需求，定制開發與標密、定密、密級變更、解密等相關的管理流程；另一方面，以接口集成形式與已部署OA、郵件、打印、刻錄等業務應用和安全管理系統進行對接，為打印、刻錄、移動存儲介質管理系統等輸入、輸出管控，提供密級標志服務，從而實現公司涉密信息系統中所有電子文檔的全生命周期管理。

圖1 建設思路

3.2 系統部署架構

電子文檔“標密”標識系統采用C/S方式架構，由兩部分組成：控制中心和客戶端程序，兩部分部署在涉密信息系統內，其中控制中心部署在安全管理域的一臺服務器上，負責對系統管理和控制?？蛻舫绦虿渴鹪谒杏脩艚K端上，客戶端程序部署在所有用戶終端上，負責終端電子文件的強制標密，實現文件的定密、密級變更、解密等操作。

在涉密單機上單機版的客戶端程序，實現涉密單機上電子文件的強制“標密”及文件定密、密級變更、解密等操作。

圖2 系統部署架構

電子文檔“標密”標識系統提供標準密級標志集成接口，實現OA系統涉密公文的“標密”與“定密”，郵件系統添加附件時的密級流向控制，打印刻錄管控系統對標密文件輸出的密級流向控制，防止“降密”輸出。

3.3 應用場景

3.3.1文件“標密”與“定密”

（1）文件標密

電子文檔“標密”標識系統通過文件“標密”模塊，有效解決了傳統方式，存在的支持文件類型有限、文件屬性不全、“標密”不準確、方式不靈活等問題。同時，為能夠滿足實際需要，對該模塊進行定制化，并結合國家保密相關政策和公司秘密事項目錄，實現了以下功能，如下：

①能夠對多種文件格式進行標密，支持多種常見的辦公文檔格式、圖紙格式、圖片格式和媒體文件格式，滿足了員工日常電子辦公的需要。

②支持電子文件的密級信息量大，包括文件密級、定密依據、保密期限、知悉范圍等信息，且實現密級標志信息與電子文件不可分離，不可非授權修改。

③“標密”方式更靈活，支持智能密級提示、強制標密、批量”標密“和離崗代辦等。

（2）文件定密

電子文件一般定密流程是由普通員工在電子文檔密級標識系統發起預定密，定密責任人和授權定密責任人通過“標密”系統的客戶程序對電子文件正式定密，即可完成文件定密。

為實現電子文件全生命周期的定密管理，電子文檔密級標識設置多種標志狀態，包括：預定密、正式定密、文件簽發、文件解密和去“標密”等，各狀態的含義，具體如下：

預定密：電子文件由其起草人擬定密級標志信息后所處狀態。

正式定密：電子文件由定密責任人審核批準密級標志信息后所處狀態。

文件簽發：電子文件由簽發人審核批準密級標志信息后所處狀態。

文件解密：電子文件由定密責任人審核批準解密條件后所處狀態。

去除密標：電子文件由定密責任人審核批準解除密級標志綁定后所處狀態。

3.3.2文件訪問控制

在文件訪問控制方面，主要通過與系統內部署的CA系統進行集成，將數字證書和文件“標密”技術結合，通過“標密”系統提供文件訪問控制功能，防止“低密”級用戶使用高密級文檔，配合知悉范圍控制功能，進一步限制文檔使用范圍，確保文檔內容的安全性，最終使非授權的用戶無法獲取企業內部的電子文件，以杜絕電子文件及其內容的外泄。

圖3 文件“標密”與“定密”

3.3.3文件輸出控制

（1）文件內部輸出管控

在電子文件輸出控制方面，涉密信息系統中已部署了打印、刻錄、三合一等系統，實現了對文件輸出嚴格管控。

①打印輸出

在打印輸出方面，部署的打印監控與審計系統，已實現了文件打印的監控、申請審批和打印日志記錄，與電子文檔“標密”系統對接采取標準接口方式。

當用戶選擇與郵件系統集成文件打印時，打印監控與審計系統截獲打印請求，同時調用電子文檔“標密”系統集成接口，獲取當前文件的密級標志信息，從而可對文件密級、用戶密級、打印機密級進行匹配，防止“降密”輸出。

②刻錄輸出

在打印輸出方面，部署的刻錄監控與審計系統，已實現了文件刻錄的監控、申請審批和打印日志記錄，與電子文檔“標密”系統對接采取標準接口方式。具體實現分為三種情況，如下：

直接刻錄：刻錄管控系統將標密文件直接刻錄到光盤上，光盤使用者必須安裝密級標志客戶端，且密級和知悉范圍符合才能打開使用。

去除密標刻錄：刻錄管控系統調用密級標志集成接口，將標密文件去除“標密”后刻錄到光盤上，光盤使用者可以直接使用，但不受管控。

外發包刻錄：刻錄管控系統調用密級標志集成接口，將標密文件制作為外發包后刻錄到光盤上，光盤使用者受控使用。

③三合一輸出

在移動存儲介質使用方面，部署的三合一系統，對移動存儲介質進行管理，對終端使用移動存儲介質進行日志記錄，與電子文檔“標密”系統對接采取標準接口方式。

當用戶復制標密文件到移動存儲介質時，三合一系統截獲復制請求，同時調用電子文檔“標密”系統集成接口，獲取當前文件的密級標志信息，從而可對文件密級、用戶密級、移動存儲介質密級進行匹配，防止“降密”輸出。

（2）文件外部輸出管控

在日常工作中需要與外部單位進行頻繁的文件交互，主要通過電子文檔“標密”系統提供對外輸出的管控功能，確保涉密文件輸出的安全。

用戶可將標密文件制作為外發包，外發文檔具有密碼或硬件綁定保護，可設置外發文檔的使用次數、使用期限、操作權限（如：閱讀、復制、打印、截屏等權限），經審批后方可外發。外部單位無須安裝客戶端即可使用外發文檔。

3.3.4與應用系統集成

（1）與OA系統集成

電子“標密”水印系統提供客戶端COM組件、服務器端Web Service、Jar兩種類型三種形式接口，實現與OA系統的密級標志服務集成。

圖4 與OA系統集成

OA系統在其擬稿階段調用電子“標密”水印系統的標密接口，確保公文在起草時進行預定密。在領導審批等核稿階段調用定密接口，實現對公文的定密。在簽發階段調用簽發接口，實現對公文的簽發。同時，在各個階段調用密級標志讀取接口，獲得公文的密級標志信息，從而進行密級控制和知悉范圍控制，防止非授權人員獲取涉密公文內容。

（2）與郵件系統集成

電子文件密級標志系統提供客戶端控件接口，實現與郵件系統的密級標志服務集成。

圖5 與郵件系統集成

郵件系統在其上傳附件時調用電子“標密”水印系統的判斷接口，確保附件必須是“標密”的文件，否則禁止上傳。如果是“標密”文件則調用驗證接口，確保附件的密級標志信息完整，未經過篡改。通過讀取接口獲取附件密級，從而實現附件密級與郵件密級的匹配。

3.4 后期計劃

為了解決涉密載體（即紙質和光盤等）在日常使用和管理過程中，存在涉密文件，有保密柜不放、放到保密柜不登記、有借不還的問題，將立項開展智能涉密載體柜建設項目，考慮到“數字世界”與“現實世界”仍缺少內在聯系，因此，計劃將“標密”系統中打印和刻錄的輸出文件的記錄數據同步到智能涉密載體柜系統，建立起“虛擬”與“現實”聯系和紐帶，實現涉密文件從電子到紙質到銷毀全生命周期的管理。

4 總結

電子文件密級標識是保障涉密信息系統內電子文件安全的重要舉措，也是按照涉密信息密級的不同進行相應進行保護的前提條件，通過明確涉密信息的基本屬性，有效地控制了涉密信息的流向及知悉范圍，建立基于電子密級標志的防控體系。

建設過程中，電子文件密級標識系統與部分安全保密產品進行有機結合，已最大化地發揮密級標志的作用，對現有安全保護防護體系進行了完善和補充，但密級標志不是萬能的，它不能解決電子文件的兼容使用問題，也不能替代保密管理解決所有的保密問題，后續還要通過技術和管理手段相結合的方式，對其不斷進行優化和完善。

[1]叢肖為，陳曉斌.電子文檔數字化密級標志實現與管控應用. 保密科學技術，2013.

[2]耿偉.涉密信息系統內電子文件密級標志的需求與應用分析. 保密科學技術，2011.

[3]武器裝備科研生產單位保密資格審查認證及評分標準[M].金城出版社，2017.

[4]《涉及國家秘密的信息系統分級保護技術要求》（BMB17-2006）.