◆王琦

電子文件密級標(biāo)志技術(shù)在涉密信息系統(tǒng)中的應(yīng)用與實現(xiàn)

◆王琦

（中核四0四有限公司 甘肅 735100）

軍工企業(yè)涉密信息系統(tǒng)內(nèi)的電子文件越來越多，如何較好保護這些電子文件，如何有效避免和防止出現(xiàn)惡意“降密”與“脫密”、非授權(quán)訪問，甚至涉密信息泄露，已經(jīng)成為各軍工企業(yè)信息化建設(shè)過程中的現(xiàn)實問題。本文通過對涉密信息系統(tǒng)中電子文件存在的問題，分析了合規(guī)、業(yè)務(wù)和安全方面的需求，介紹了電子標(biāo)密系統(tǒng)的建設(shè)思路和部署架構(gòu)，并探討了密級標(biāo)志在涉密信息系統(tǒng)內(nèi)的應(yīng)用場景，為電子密級標(biāo)志技術(shù)在涉密信息系統(tǒng)中的推廣和應(yīng)用提供了實踐依據(jù)。

電子標(biāo)密；安全保密；密級標(biāo)識

隨著網(wǎng)絡(luò)與信息技術(shù)的迅猛發(fā)展，促進軍工企業(yè)信息化快速推進，實現(xiàn)信息管理現(xiàn)代化已成為軍工企業(yè)發(fā)展的必由之路。軍工企業(yè)依據(jù)國家分級保護要求，建設(shè)符合企業(yè)業(yè)務(wù)發(fā)展需要的涉密信息系統(tǒng)，給工作帶來便利的同時，也給安全保密工作帶來了新的問題，防止涉密信息系統(tǒng)的泄密，已經(jīng)成為保密工作中一項重要任務(wù)與挑戰(zhàn)。

在涉密信息系統(tǒng)環(huán)境中，越來越多的國家秘密以電子文件的形式存在。為了進一步加強涉密電子文件的管理，電子文件的管理人員希望能夠參照紙質(zhì)文件的管理方式，通過信息化手段，以一種直觀、可靠的方式反映出電子文件秘密等級、保密期限等涉密屬性，為使用人員瀏覽涉密電子文件提供必要的警示標(biāo)志。隨著管理信息化逐步深入，各類應(yīng)用深入推廣和應(yīng)用，對涉密電子文件進行標(biāo)記的需求也越來越迫切。

1 系統(tǒng)現(xiàn)狀與存在問題

按照國家保密法和分級保護標(biāo)準(zhǔn)，針對涉密信息系統(tǒng)中的結(jié)構(gòu)化和非結(jié)構(gòu)化數(shù)據(jù)的密級標(biāo)識進行電子化處理和管理，基本滿足安全保密管理需要，但仍存在一些問題，尤其在非結(jié)構(gòu)的電子文件密級標(biāo)識和管理方面，在密級標(biāo)識方面仍采用傳統(tǒng)紙質(zhì)文件的封面、首頁、目錄“標(biāo)密”的方法，在全生命周期管理方面，與電子文件無法有效綁定，無法有效生命周期安全保密管理，主要表現(xiàn)在以下幾方面，具體如下：

（1）電子文件的“密級信息”易分離，可篡改，缺乏有效技術(shù)防護手段，容易出現(xiàn)惡意“降密”、“脫密”等現(xiàn)象；

（2）電子文件全生命周期的“定密、變更、解密”等方面，缺乏統(tǒng)一、有效管理措施；

（3）電子文件的“內(nèi)部流轉(zhuǎn)與使用”，缺乏強制訪問控制手段，無法阻止“非授權(quán)”訪問和使用；

（4）電子文件的“意外流出”，缺乏有效的技術(shù)控制措施，可能造成涉密信息泄露。

2 需求分析

2.1 合規(guī)性需求

在涉密電子文件的“定密”、“標(biāo)密”等方面，國家相關(guān)的法律法規(guī)和標(biāo)準(zhǔn)規(guī)范等中已經(jīng)做了明確的規(guī)定，涉密電子文件的密級標(biāo)識應(yīng)實現(xiàn)以下合規(guī)性需求，如下：

（1）國家制定的與保密相關(guān)法律和法規(guī)中，從“定密”、“標(biāo)密”和應(yīng)用等方面，對定密責(zé)任人、定密流程等方面都做了明確規(guī)定，對如何標(biāo)注、標(biāo)注哪些內(nèi)容、在哪些方面需要標(biāo)注等也有相應(yīng)規(guī)范要求。

（2）國家分級保護中對電子文件標(biāo)識也有明確的要求，信息應(yīng)有相應(yīng)的密級標(biāo)志并保證與信息主體不可分離，以及其自身不可篡改。

（3）保密資格審查認證及評分標(biāo)準(zhǔn)中，也將密級標(biāo)志為基本測評項，并要求涉密信息需標(biāo)注相應(yīng)的密級標(biāo)志。

2.2 業(yè)務(wù)需求

涉密電子文件時，其密級標(biāo)識應(yīng)實現(xiàn)以下業(yè)務(wù)需求，如下：

（1）對涉密電子文件的“定密、變更、解密”等方面，進行統(tǒng)一、有效管理局面，實現(xiàn)電子文件全生命周期的管理。

（2）實現(xiàn)與OA、郵件等業(yè)務(wù)應(yīng)用系統(tǒng)進行無縫集成，以保障涉密電子文件在內(nèi)部流轉(zhuǎn)與使用過程中，兼顧保密管理和用戶使用便捷性。

（3）技術(shù)與管理有機融合，一方面提升日常使用、運行維護的效率，另一方面，有效推動管理模式的變革、調(diào)整和更新規(guī)范與制度，以制度保證技術(shù)落地，以技術(shù)推動制度執(zhí)行。

2.3 安全需求

在涉密電子文件的安全保密與管理方面，應(yīng)滿足以下的全安全管理需求，如下：

（1）身份標(biāo)識：保證涉密電子文件的標(biāo)識唯一性，能夠體現(xiàn)文件的重要程度，且保證密級標(biāo)識與電子文件不可分離和篡改。

（2）訪問控制：符合國家相關(guān)標(biāo)準(zhǔn)對涉密電子文件加密防護的要求，實現(xiàn)細顆粒度的訪問控制，嚴(yán)格控制知悉范圍和訪問權(quán)限。

（3）流轉(zhuǎn)管理：確保涉密電子文件在用戶終端和應(yīng)用系統(tǒng)中流轉(zhuǎn)時攜帶密標(biāo)，做到文件的生成、使用、流轉(zhuǎn)、輸出等各個環(huán)節(jié)安全與可控。

（4）審計追溯：能夠記錄涉密電子文件全生命周期過程中文件定密、密級變更和文件簽發(fā)等管理性操作，記錄內(nèi)容應(yīng)準(zhǔn)確和完整，能夠做到事后追溯與審計。

3 解決方案

3.1 建設(shè)思路

在保密局測評中心的產(chǎn)品名錄選擇合規(guī)的、成型的電子文檔“標(biāo)密”產(chǎn)品，立足公司的業(yè)務(wù)需求、管理要求等實際，一方面，依據(jù)企業(yè)管理需求，定制開發(fā)與標(biāo)密、定密、密級變更、解密等相關(guān)的管理流程；另一方面，以接口集成形式與已部署OA、郵件、打印、刻錄等業(yè)務(wù)應(yīng)用和安全管理系統(tǒng)進行對接，為打印、刻錄、移動存儲介質(zhì)管理系統(tǒng)等輸入、輸出管控，提供密級標(biāo)志服務(wù)，從而實現(xiàn)公司涉密信息系統(tǒng)中所有電子文檔的全生命周期管理。

圖1 建設(shè)思路

3.2 系統(tǒng)部署架構(gòu)

電子文檔“標(biāo)密”標(biāo)識系統(tǒng)采用C/S方式架構(gòu)，由兩部分組成：控制中心和客戶端程序，兩部分部署在涉密信息系統(tǒng)內(nèi)，其中控制中心部署在安全管理域的一臺服務(wù)器上，負責(zé)對系統(tǒng)管理和控制。客戶程序部署在所有用戶終端上，客戶端程序部署在所有用戶終端上，負責(zé)終端電子文件的強制標(biāo)密，實現(xiàn)文件的定密、密級變更、解密等操作。

在涉密單機上單機版的客戶端程序，實現(xiàn)涉密單機上電子文件的強制“標(biāo)密”及文件定密、密級變更、解密等操作。

圖2 系統(tǒng)部署架構(gòu)

電子文檔“標(biāo)密”標(biāo)識系統(tǒng)提供標(biāo)準(zhǔn)密級標(biāo)志集成接口，實現(xiàn)OA系統(tǒng)涉密公文的“標(biāo)密”與“定密”，郵件系統(tǒng)添加附件時的密級流向控制，打印刻錄管控系統(tǒng)對標(biāo)密文件輸出的密級流向控制，防止“降密”輸出。

3.3 應(yīng)用場景

3.3.1文件“標(biāo)密”與“定密”

（1）文件標(biāo)密

電子文檔“標(biāo)密”標(biāo)識系統(tǒng)通過文件“標(biāo)密”模塊，有效解決了傳統(tǒng)方式，存在的支持文件類型有限、文件屬性不全、“標(biāo)密”不準(zhǔn)確、方式不靈活等問題。同時，為能夠滿足實際需要，對該模塊進行定制化，并結(jié)合國家保密相關(guān)政策和公司秘密事項目錄，實現(xiàn)了以下功能，如下：

①能夠?qū)Χ喾N文件格式進行標(biāo)密，支持多種常見的辦公文檔格式、圖紙格式、圖片格式和媒體文件格式，滿足了員工日常電子辦公的需要。

②支持電子文件的密級信息量大，包括文件密級、定密依據(jù)、保密期限、知悉范圍等信息，且實現(xiàn)密級標(biāo)志信息與電子文件不可分離，不可非授權(quán)修改。

③“標(biāo)密”方式更靈活，支持智能密級提示、強制標(biāo)密、批量”標(biāo)密“和離崗代辦等。

（2）文件定密

電子文件一般定密流程是由普通員工在電子文檔密級標(biāo)識系統(tǒng)發(fā)起預(yù)定密，定密責(zé)任人和授權(quán)定密責(zé)任人通過“標(biāo)密”系統(tǒng)的客戶程序?qū)﹄娮游募蕉埽纯赏瓿晌募堋?/p>

為實現(xiàn)電子文件全生命周期的定密管理，電子文檔密級標(biāo)識設(shè)置多種標(biāo)志狀態(tài)，包括：預(yù)定密、正式定密、文件簽發(fā)、文件解密和去“標(biāo)密”等，各狀態(tài)的含義，具體如下：

預(yù)定密：電子文件由其起草人擬定密級標(biāo)志信息后所處狀態(tài)。

正式定密：電子文件由定密責(zé)任人審核批準(zhǔn)密級標(biāo)志信息后所處狀態(tài)。

文件簽發(fā)：電子文件由簽發(fā)人審核批準(zhǔn)密級標(biāo)志信息后所處狀態(tài)。

文件解密：電子文件由定密責(zé)任人審核批準(zhǔn)解密條件后所處狀態(tài)。

去除密標(biāo)：電子文件由定密責(zé)任人審核批準(zhǔn)解除密級標(biāo)志綁定后所處狀態(tài)。

3.3.2文件訪問控制

在文件訪問控制方面，主要通過與系統(tǒng)內(nèi)部署的CA系統(tǒng)進行集成，將數(shù)字證書和文件“標(biāo)密”技術(shù)結(jié)合，通過“標(biāo)密”系統(tǒng)提供文件訪問控制功能，防止“低密”級用戶使用高密級文檔，配合知悉范圍控制功能，進一步限制文檔使用范圍，確保文檔內(nèi)容的安全性，最終使非授權(quán)的用戶無法獲取企業(yè)內(nèi)部的電子文件，以杜絕電子文件及其內(nèi)容的外泄。

圖3 文件“標(biāo)密”與“定密”

3.3.3文件輸出控制

（1）文件內(nèi)部輸出管控

在電子文件輸出控制方面，涉密信息系統(tǒng)中已部署了打印、刻錄、三合一等系統(tǒng)，實現(xiàn)了對文件輸出嚴(yán)格管控。

①打印輸出

在打印輸出方面，部署的打印監(jiān)控與審計系統(tǒng)，已實現(xiàn)了文件打印的監(jiān)控、申請審批和打印日志記錄，與電子文檔“標(biāo)密”系統(tǒng)對接采取標(biāo)準(zhǔn)接口方式。

當(dāng)用戶選擇與郵件系統(tǒng)集成文件打印時，打印監(jiān)控與審計系統(tǒng)截獲打印請求，同時調(diào)用電子文檔“標(biāo)密”系統(tǒng)集成接口，獲取當(dāng)前文件的密級標(biāo)志信息，從而可對文件密級、用戶密級、打印機密級進行匹配，防止“降密”輸出。

②刻錄輸出

在打印輸出方面，部署的刻錄監(jiān)控與審計系統(tǒng)，已實現(xiàn)了文件刻錄的監(jiān)控、申請審批和打印日志記錄，與電子文檔“標(biāo)密”系統(tǒng)對接采取標(biāo)準(zhǔn)接口方式。具體實現(xiàn)分為三種情況，如下：

直接刻錄：刻錄管控系統(tǒng)將標(biāo)密文件直接刻錄到光盤上，光盤使用者必須安裝密級標(biāo)志客戶端，且密級和知悉范圍符合才能打開使用。

去除密標(biāo)刻錄：刻錄管控系統(tǒng)調(diào)用密級標(biāo)志集成接口，將標(biāo)密文件去除“標(biāo)密”后刻錄到光盤上，光盤使用者可以直接使用，但不受管控。

外發(fā)包刻錄：刻錄管控系統(tǒng)調(diào)用密級標(biāo)志集成接口，將標(biāo)密文件制作為外發(fā)包后刻錄到光盤上，光盤使用者受控使用。

③三合一輸出

在移動存儲介質(zhì)使用方面，部署的三合一系統(tǒng)，對移動存儲介質(zhì)進行管理，對終端使用移動存儲介質(zhì)進行日志記錄，與電子文檔“標(biāo)密”系統(tǒng)對接采取標(biāo)準(zhǔn)接口方式。

當(dāng)用戶復(fù)制標(biāo)密文件到移動存儲介質(zhì)時，三合一系統(tǒng)截獲復(fù)制請求，同時調(diào)用電子文檔“標(biāo)密”系統(tǒng)集成接口，獲取當(dāng)前文件的密級標(biāo)志信息，從而可對文件密級、用戶密級、移動存儲介質(zhì)密級進行匹配，防止“降密”輸出。

（2）文件外部輸出管控

在日常工作中需要與外部單位進行頻繁的文件交互，主要通過電子文檔“標(biāo)密”系統(tǒng)提供對外輸出的管控功能，確保涉密文件輸出的安全。

用戶可將標(biāo)密文件制作為外發(fā)包，外發(fā)文檔具有密碼或硬件綁定保護，可設(shè)置外發(fā)文檔的使用次數(shù)、使用期限、操作權(quán)限（如：閱讀、復(fù)制、打印、截屏等權(quán)限），經(jīng)審批后方可外發(fā)。外部單位無須安裝客戶端即可使用外發(fā)文檔。

3.3.4與應(yīng)用系統(tǒng)集成

（1）與OA系統(tǒng)集成

電子“標(biāo)密”水印系統(tǒng)提供客戶端COM組件、服務(wù)器端Web Service、Jar兩種類型三種形式接口，實現(xiàn)與OA系統(tǒng)的密級標(biāo)志服務(wù)集成。

圖4 與OA系統(tǒng)集成

OA系統(tǒng)在其擬稿階段調(diào)用電子“標(biāo)密”水印系統(tǒng)的標(biāo)密接口，確保公文在起草時進行預(yù)定密。在領(lǐng)導(dǎo)審批等核稿階段調(diào)用定密接口，實現(xiàn)對公文的定密。在簽發(fā)階段調(diào)用簽發(fā)接口，實現(xiàn)對公文的簽發(fā)。同時，在各個階段調(diào)用密級標(biāo)志讀取接口，獲得公文的密級標(biāo)志信息，從而進行密級控制和知悉范圍控制，防止非授權(quán)人員獲取涉密公文內(nèi)容。

（2）與郵件系統(tǒng)集成

電子文件密級標(biāo)志系統(tǒng)提供客戶端控件接口，實現(xiàn)與郵件系統(tǒng)的密級標(biāo)志服務(wù)集成。

圖5 與郵件系統(tǒng)集成

郵件系統(tǒng)在其上傳附件時調(diào)用電子“標(biāo)密”水印系統(tǒng)的判斷接口，確保附件必須是“標(biāo)密”的文件，否則禁止上傳。如果是“標(biāo)密”文件則調(diào)用驗證接口，確保附件的密級標(biāo)志信息完整，未經(jīng)過篡改。通過讀取接口獲取附件密級，從而實現(xiàn)附件密級與郵件密級的匹配。

3.4 后期計劃

為了解決涉密載體（即紙質(zhì)和光盤等）在日常使用和管理過程中，存在涉密文件，有保密柜不放、放到保密柜不登記、有借不還的問題，將立項開展智能涉密載體柜建設(shè)項目，考慮到“數(shù)字世界”與“現(xiàn)實世界”仍缺少內(nèi)在聯(lián)系，因此，計劃將“標(biāo)密”系統(tǒng)中打印和刻錄的輸出文件的記錄數(shù)據(jù)同步到智能涉密載體柜系統(tǒng)，建立起“虛擬”與“現(xiàn)實”聯(lián)系和紐帶，實現(xiàn)涉密文件從電子到紙質(zhì)到銷毀全生命周期的管理。

4 總結(jié)

電子文件密級標(biāo)識是保障涉密信息系統(tǒng)內(nèi)電子文件安全的重要舉措，也是按照涉密信息密級的不同進行相應(yīng)進行保護的前提條件，通過明確涉密信息的基本屬性，有效地控制了涉密信息的流向及知悉范圍，建立基于電子密級標(biāo)志的防控體系。

建設(shè)過程中，電子文件密級標(biāo)識系統(tǒng)與部分安全保密產(chǎn)品進行有機結(jié)合，已最大化地發(fā)揮密級標(biāo)志的作用，對現(xiàn)有安全保護防護體系進行了完善和補充，但密級標(biāo)志不是萬能的，它不能解決電子文件的兼容使用問題，也不能替代保密管理解決所有的保密問題，后續(xù)還要通過技術(shù)和管理手段相結(jié)合的方式，對其不斷進行優(yōu)化和完善。

[1]叢肖為，陳曉斌.電子文檔數(shù)字化密級標(biāo)志實現(xiàn)與管控應(yīng)用. 保密科學(xué)技術(shù)，2013.

[2]耿偉.涉密信息系統(tǒng)內(nèi)電子文件密級標(biāo)志的需求與應(yīng)用分析. 保密科學(xué)技術(shù)，2011.

[3]武器裝備科研生產(chǎn)單位保密資格審查認證及評分標(biāo)準(zhǔn)[M].金城出版社，2017.

[4]《涉及國家秘密的信息系統(tǒng)分級保護技術(shù)要求》（BMB17-2006）.