王晨 李锁雷

电子文档密级标识用于标明信息的秘密等级，做好电子文档密级标识的管理，能对涉密文档和敏感信息进行有效防护和管理。本文根据保密标准对密级标识的概念、研究方向、技术策略以及应用可能进行了研究。

随着信息化的高速发展，安全保密技术要求越来越高，如何实现大数据时代的信息保密问题成为我国保密行政管理部门关注的重点。党政机关和国家重要行业、部门的信息系统和设施一般部署于业务内网，网络内部存在着大量的关键信息、敏感数据，随着国际间的窃密和反窃密斗争越演越烈，信息安全事件的主谋已经不再单纯是网络黑客和恶意程序，更多的来自于内部员工对重要数据信息的无意泄密和恶意窃密，因对此类信息的处理不当，所造成的国家秘密和关键信息、敏感数据的泄漏事件时有发生，由此可见，在信息化的大背景下，信息点泄密途径众多，急需一种技术手段，从信息本身入手加强管理。

由于电子文档易更改和易传播的特性，在涉密信息系统以及业务内网中，电子文档加密存储、文档主体和密级标识不被分离，非授权的访问，以及文档流转过程成为了此类电子文档管理的重点问题。通过对电子文档密级标识的管理，可以实现提高涉密文档和敏感信息的安全保密管理水平，文中提出了实现的思路和方法。

一、密级标识的概念和研究方向

在《涉及国家秘密的信息系统分级保护技术要求》（BMB17-2006）中明确提出，密级标识，即用于标明信息秘密等级的数字化信息，并指出应保证密级标识与信息主体不可分离，以及其自身不可篡改的要求。

针对党政机关、重要行业部门等涉密及敏感信息集中的单位对于电子文档处理的需求，一旦电子文档设定了的密级，必须根据密级，将文件使用范围、访问权限等属性进行划分，并需要保证标明密级的电子文档在脱离了安全环境后，无法查看内容并进行编辑。利用电子文档的密级标识对文件的交换、使用、编辑等进行跟踪审计，便于在开展保密安全检查以及失窃密事件发生后的追踪审计，因此，电子文档密级标识是此类电子文档的管理和安全控制措施的基础。

二、密级标识管理的技术策略

由于电子文档的数字化表现方式具有易修改、易删除、易复制的特点，因此涉及国家秘密和敏感信息的电子文档管理需要实现对文档标密、加密存储、流转记录，以及其访问控制权限进行管理。

（一）电子文档的加密过程中的技术策略

对电子文档的加密存储技术应采用国家密码管理机构认定的标准加密算法，随机产生密钥，通过密钥与加密文档分别隔离存储的手段，密钥的下发和解密由系统控制。在工作环境内，合法用户可以自动从服务器端获取密钥，为加密文档解密；而一旦脱离工作环境，因为无法获取密钥，密文文档将不能使用。客户端密钥每次保存都应重新产生以保证其安全性，服务器端密钥不传输到任何地方。

（二）密级标识在访问控制过程中的技术策略

采用强制访问控制来管理用户对文档访问的一系列规则，将用户所需要的访问权限按照最小化的原则进行分配，根据文档的重要程度以及标密情况，按照业务工作需求和知悉范围设定文档的访问控制权限，包括文档的操作权限（读、写、打印、刻录），并对用户（以人和组为单位）进行管理，系统需要对用户身份进行鉴别，形成审计事件。

（三）密级标识在文档流转过程中的技术策略

电子文档的生成、处理到最后的办结归档是一个系统性的过程，一旦在整个流转过程中的任意一个环节出现问题，都会对电子文档的安全性产生影响，发生失泄密事件。因此电子文档的操作和流转过程应当记录在文件属性中，细化审计日志的细粒度，以全面保证电子文档的安全性。

三、密级标识技术实现

（一）电子文档的标密

按照标密要求，一般是在文档的首行左侧进行标识，其在文档头部存储，通过文件数据流层面，将文档分隔成多个碎片，每个碎片都會加上密标信息，分段进行密级标识，而不是通过文档属性信息进行标记，并通过授权方可修改的控制方式实现密级标识的强制性和不可分离。

（二）电子文档的加密存储

在电子文档每次存盘的时候都会在客户端随机的生成一个加密密钥，然后把文档数据的md5码、密钥等等信息传递给服务端，服务端对这些信息加密之后返回给客户端，客户端把这些信息写盘。

在电子文档编辑完成存储时，以原本的格式写到内存中，随机生成文档加密密钥ClientKey，并利用ClientKey进行SHA散列得到加密信息块。利用加密信息块数据，使用改进的AES算法将内存中的文件明文进行分块加密，得到内存中的密文，计算加密密文的MD5校验值，将当前登录用户的ID信息，以及ClientKey，MD5校验值使用加密传输协议传输到文档安全文档服务器，服务器从数据库中获取GUID指定的文件的服务器加密密钥ServerKey，将客户端上传到服务器的ClientKey，Md5使用改进的AES算法进行加密，得到加密数据块，同时将加密数据块与文件GUID回传给客户端。

（三）身份认证和访问控制权限

用户在客户端所做的操作，包括打开，编辑，保存，另存，打印等在真实发生前，都需要请求服务器查询是否有相应的执行权限，如果有相应的权限，客户端才会执行真实的操作。如果没有，客户端会拒绝此次操作。同时，无论是否有相应权限，该请求操作都会记录日志，以备审计。

打开文档和对文档进行操作都会受到权限限制，拥有阅读权限的用户在登录后通过服务器鉴权才可以打开安全文档进行浏览，其他编辑、复制、打印、另存、截屏、授权操作都会受到相应的权限管控，只有有权限的用户才能进行这些操作，没有权限的用户无法进行该操作。

（四）电子文档的流转

文档结束编辑和浏览关闭时写入文件流转轨迹信息（包括：IP地址、MAC、磁盘信息、用户名、用户单位、部门），并记录文档的编辑、打印、复制、另存等常规操作，实现记录文档流转过哪些主机，进行过哪些操作，并存储在文档属性的记录日志内。在记录前，判断是否与最后一条记录相同，防止重复记录。

四、密级标识技术的应用

（一）在保密检查过程中的应用

对涉密文档及敏感信息应用安全电子文档进行标密后，可根据信息系统的的特点和保密检查工作的需要，能够快速实现对内网及外网终端中的是否存有非授权文档的需要。

基于文档密级标识检查：通过识别密级标识，检查发现非密或低密级用户的终端上是否存有高密级文档，防止文档的非授权使用造成的失泄密事件。

检查结果的记录取证：对于保密检查中发现的问题，可直接调用文件属性内记录的文件流转信息，跟踪标密文件的移动，可追根溯源，可用于失窃密事件的调查取证工作。

（二）对涉密电子文档管理中的应用

在涉密文档的加密过程中，可将标密文档的文件名上传至服务器端，通过制定文档命名规则，对系统内的涉密文档进行集中管理，特别是对于存档的涉密文档，还可生成系统内涉密电子文档的存档台账。

五、结束语

随着党政机关和重要行业部门信息化的发展，如何充分发挥电子文档的优势，减少涉密电子文档与敏感信息被窃取的风险是当前亟待解决的首要任务。本文从电子文档密级标识的管理和技术实现上提出了一些策略和应用可能性。