电子文件密级标志技术在涉密信息系统中的应用与实现

2020-05-11王琦

网络安全技术与应用 2020年5期

◆王琦

◆王琦

（中核四0四有限公司甘肃 735100）

军工企业涉密信息系统内的电子文件越来越多，如何较好保护这些电子文件，如何有效避免和防止出现恶意“降密”与“脱密”、非授权访问，甚至涉密信息泄露，已经成为各军工企业信息化建设过程中的现实问题。本文通过对涉密信息系统中电子文件存在的问题，分析了合规、业务和安全方面的需求，介绍了电子标密系统的建设思路和部署架构，并探讨了密级标志在涉密信息系统内的应用场景，为电子密级标志技术在涉密信息系统中的推广和应用提供了实践依据。

电子标密；安全保密；密级标识

随着网络与信息技术的迅猛发展，促进军工企业信息化快速推进，实现信息管理现代化已成为军工企业发展的必由之路。军工企业依据国家分级保护要求，建设符合企业业务发展需要的涉密信息系统，给工作带来便利的同时，也给安全保密工作带来了新的问题，防止涉密信息系统的泄密，已经成为保密工作中一项重要任务与挑战。

在涉密信息系统环境中，越来越多的国家秘密以电子文件的形式存在。为了进一步加强涉密电子文件的管理，电子文件的管理人员希望能够参照纸质文件的管理方式，通过信息化手段，以一种直观、可靠的方式反映出电子文件秘密等级、保密期限等涉密属性，为使用人员浏览涉密电子文件提供必要的警示标志。随着管理信息化逐步深入，各类应用深入推广和应用，对涉密电子文件进行标记的需求也越来越迫切。

1 系统现状与存在问题

按照国家保密法和分级保护标准，针对涉密信息系统中的结构化和非结构化数据的密级标识进行电子化处理和管理，基本满足安全保密管理需要，但仍存在一些问题，尤其在非结构的电子文件密级标识和管理方面，在密级标识方面仍采用传统纸质文件的封面、首页、目录“标密”的方法，在全生命周期管理方面，与电子文件无法有效绑定，无法有效生命周期安全保密管理，主要表现在以下几方面，具体如下：

（1）电子文件的“密级信息”易分离，可篡改，缺乏有效技术防护手段，容易出现恶意“降密”、“脱密”等现象；

（2）电子文件全生命周期的“定密、变更、解密”等方面，缺乏统一、有效管理措施；

（3）电子文件的“内部流转与使用”，缺乏强制访问控制手段，无法阻止“非授权”访问和使用；

（4）电子文件的“意外流出”，缺乏有效的技术控制措施，可能造成涉密信息泄露。

2 需求分析

2.1 合规性需求

在涉密电子文件的“定密”、“标密”等方面，国家相关的法律法规和标准规范等中已经做了明确的规定，涉密电子文件的密级标识应实现以下合规性需求，如下：

（1）国家制定的与保密相关法律和法规中，从“定密”、“标密”和应用等方面，对定密责任人、定密流程等方面都做了明确规定，对如何标注、标注哪些内容、在哪些方面需要标注等也有相应规范要求。

（2）国家分级保护中对电子文件标识也有明确的要求，信息应有相应的密级标志并保证与信息主体不可分离，以及其自身不可篡改。

（3）保密资格审查认证及评分标准中，也将密级标志为基本测评项，并要求涉密信息需标注相应的密级标志。

2.2 业务需求

涉密电子文件时，其密级标识应实现以下业务需求，如下：

（1）对涉密电子文件的“定密、变更、解密”等方面，进行统一、有效管理局面，实现电子文件全生命周期的管理。

（2）实现与OA、邮件等业务应用系统进行无缝集成，以保障涉密电子文件在内部流转与使用过程中，兼顾保密管理和用户使用便捷性。

（3）技术与管理有机融合，一方面提升日常使用、运行维护的效率，另一方面，有效推动管理模式的变革、调整和更新规范与制度，以制度保证技术落地，以技术推动制度执行。

2.3 安全需求

在涉密电子文件的安全保密与管理方面，应满足以下的全安全管理需求，如下：

（1）身份标识：保证涉密电子文件的标识唯一性，能够体现文件的重要程度，且保证密级标识与电子文件不可分离和篡改。

（2）访问控制：符合国家相关标准对涉密电子文件加密防护的要求，实现细颗粒度的访问控制，严格控制知悉范围和访问权限。

（3）流转管理：确保涉密电子文件在用户终端和应用系统中流转时携带密标，做到文件的生成、使用、流转、输出等各个环节安全与可控。

（4）审计追溯：能够记录涉密电子文件全生命周期过程中文件定密、密级变更和文件签发等管理性操作，记录内容应准确和完整，能够做到事后追溯与审计。

3 解决方案

3.1 建设思路

在保密局测评中心的产品名录选择合规的、成型的电子文档“标密”产品，立足公司的业务需求、管理要求等实际，一方面，依据企业管理需求，定制开发与标密、定密、密级变更、解密等相关的管理流程；另一方面，以接口集成形式与已部署OA、邮件、打印、刻录等业务应用和安全管理系统进行对接，为打印、刻录、移动存储介质管理系统等输入、输出管控，提供密级标志服务，从而实现公司涉密信息系统中所有电子文档的全生命周期管理。

图1 建设思路

3.2 系统部署架构

电子文档“标密”标识系统采用C/S方式架构，由两部分组成：控制中心和客户端程序，两部分部署在涉密信息系统内，其中控制中心部署在安全管理域的一台服务器上，负责对系统管理和控制。客户程序部署在所有用户终端上，客户端程序部署在所有用户终端上，负责终端电子文件的强制标密，实现文件的定密、密级变更、解密等操作。

在涉密单机上单机版的客户端程序，实现涉密单机上电子文件的强制“标密”及文件定密、密级变更、解密等操作。

图2 系统部署架构

电子文档“标密”标识系统提供标准密级标志集成接口，实现OA系统涉密公文的“标密”与“定密”，邮件系统添加附件时的密级流向控制，打印刻录管控系统对标密文件输出的密级流向控制，防止“降密”输出。

3.3 应用场景

3.3.1文件“标密”与“定密”

（1）文件标密

电子文档“标密”标识系统通过文件“标密”模块，有效解决了传统方式，存在的支持文件类型有限、文件属性不全、“标密”不准确、方式不灵活等问题。同时，为能够满足实际需要，对该模块进行定制化，并结合国家保密相关政策和公司秘密事项目录，实现了以下功能，如下：

①能够对多种文件格式进行标密，支持多种常见的办公文档格式、图纸格式、图片格式和媒体文件格式，满足了员工日常电子办公的需要。

②支持电子文件的密级信息量大，包括文件密级、定密依据、保密期限、知悉范围等信息，且实现密级标志信息与电子文件不可分离，不可非授权修改。

③“标密”方式更灵活，支持智能密级提示、强制标密、批量”标密“和离岗代办等。

（2）文件定密

电子文件一般定密流程是由普通员工在电子文档密级标识系统发起预定密，定密责任人和授权定密责任人通过“标密”系统的客户程序对电子文件正式定密，即可完成文件定密。

为实现电子文件全生命周期的定密管理，电子文档密级标识设置多种标志状态，包括：预定密、正式定密、文件签发、文件解密和去“标密”等，各状态的含义，具体如下：

预定密：电子文件由其起草人拟定密级标志信息后所处状态。

正式定密：电子文件由定密责任人审核批准密级标志信息后所处状态。

文件签发：电子文件由签发人审核批准密级标志信息后所处状态。

文件解密：电子文件由定密责任人审核批准解密条件后所处状态。

去除密标：电子文件由定密责任人审核批准解除密级标志绑定后所处状态。

3.3.2文件访问控制

在文件访问控制方面，主要通过与系统内部署的CA系统进行集成，将数字证书和文件“标密”技术结合，通过“标密”系统提供文件访问控制功能，防止“低密”级用户使用高密级文档，配合知悉范围控制功能，进一步限制文档使用范围，确保文档内容的安全性，最终使非授权的用户无法获取企业内部的电子文件，以杜绝电子文件及其内容的外泄。

图3 文件“标密”与“定密”

3.3.3文件输出控制

（1）文件内部输出管控

在电子文件输出控制方面，涉密信息系统中已部署了打印、刻录、三合一等系统，实现了对文件输出严格管控。

①打印输出

在打印输出方面，部署的打印监控与审计系统，已实现了文件打印的监控、申请审批和打印日志记录，与电子文档“标密”系统对接采取标准接口方式。

当用户选择与邮件系统集成文件打印时，打印监控与审计系统截获打印请求，同时调用电子文档“标密”系统集成接口，获取当前文件的密级标志信息，从而可对文件密级、用户密级、打印机密级进行匹配，防止“降密”输出。

②刻录输出

在打印输出方面，部署的刻录监控与审计系统，已实现了文件刻录的监控、申请审批和打印日志记录，与电子文档“标密”系统对接采取标准接口方式。具体实现分为三种情况，如下：

直接刻录：刻录管控系统将标密文件直接刻录到光盘上，光盘使用者必须安装密级标志客户端，且密级和知悉范围符合才能打开使用。

去除密标刻录：刻录管控系统调用密级标志集成接口，将标密文件去除“标密”后刻录到光盘上，光盘使用者可以直接使用，但不受管控。

外发包刻录：刻录管控系统调用密级标志集成接口，将标密文件制作为外发包后刻录到光盘上，光盘使用者受控使用。

③三合一输出

在移动存储介质使用方面，部署的三合一系统，对移动存储介质进行管理，对终端使用移动存储介质进行日志记录，与电子文档“标密”系统对接采取标准接口方式。

当用户复制标密文件到移动存储介质时，三合一系统截获复制请求，同时调用电子文档“标密”系统集成接口，获取当前文件的密级标志信息，从而可对文件密级、用户密级、移动存储介质密级进行匹配，防止“降密”输出。

（2）文件外部输出管控

在日常工作中需要与外部单位进行频繁的文件交互，主要通过电子文档“标密”系统提供对外输出的管控功能，确保涉密文件输出的安全。

用户可将标密文件制作为外发包，外发文档具有密码或硬件绑定保护，可设置外发文档的使用次数、使用期限、操作权限（如：阅读、复制、打印、截屏等权限），经审批后方可外发。外部单位无须安装客户端即可使用外发文档。

3.3.4与应用系统集成

（1）与OA系统集成

电子“标密”水印系统提供客户端COM组件、服务器端Web Service、Jar两种类型三种形式接口，实现与OA系统的密级标志服务集成。

图4 与OA系统集成

OA系统在其拟稿阶段调用电子“标密”水印系统的标密接口，确保公文在起草时进行预定密。在领导审批等核稿阶段调用定密接口，实现对公文的定密。在签发阶段调用签发接口，实现对公文的签发。同时，在各个阶段调用密级标志读取接口，获得公文的密级标志信息，从而进行密级控制和知悉范围控制，防止非授权人员获取涉密公文内容。

（2）与邮件系统集成

电子文件密级标志系统提供客户端控件接口，实现与邮件系统的密级标志服务集成。

图5 与邮件系统集成

邮件系统在其上传附件时调用电子“标密”水印系统的判断接口，确保附件必须是“标密”的文件，否则禁止上传。如果是“标密”文件则调用验证接口，确保附件的密级标志信息完整，未经过篡改。通过读取接口获取附件密级，从而实现附件密级与邮件密级的匹配。

3.4 后期计划

为了解决涉密载体（即纸质和光盘等）在日常使用和管理过程中，存在涉密文件，有保密柜不放、放到保密柜不登记、有借不还的问题，将立项开展智能涉密载体柜建设项目，考虑到“数字世界”与“现实世界”仍缺少内在联系，因此，计划将“标密”系统中打印和刻录的输出文件的记录数据同步到智能涉密载体柜系统，建立起“虚拟”与“现实”联系和纽带，实现涉密文件从电子到纸质到销毁全生命周期的管理。