王晨 李鎖雷

電子文檔密級(jí)標(biāo)識(shí)用于標(biāo)明信息的秘密等級(jí)，做好電子文檔密級(jí)標(biāo)識(shí)的管理，能對(duì)涉密文檔和敏感信息進(jìn)行有效防護(hù)和管理。本文根據(jù)保密標(biāo)準(zhǔn)對(duì)密級(jí)標(biāo)識(shí)的概念、研究方向、技術(shù)策略以及應(yīng)用可能進(jìn)行了研究。

隨著信息化的高速發(fā)展，安全保密技術(shù)要求越來(lái)越高，如何實(shí)現(xiàn)大數(shù)據(jù)時(shí)代的信息保密問(wèn)題成為我國(guó)保密行政管理部門關(guān)注的重點(diǎn)。黨政機(jī)關(guān)和國(guó)家重要行業(yè)、部門的信息系統(tǒng)和設(shè)施一般部署于業(yè)務(wù)內(nèi)網(wǎng)，網(wǎng)絡(luò)內(nèi)部存在著大量的關(guān)鍵信息、敏感數(shù)據(jù)，隨著國(guó)際間的竊密和反竊密斗爭(zhēng)越演越烈，信息安全事件的主謀已經(jīng)不再單純是網(wǎng)絡(luò)黑客和惡意程序，更多的來(lái)自于內(nèi)部員工對(duì)重要數(shù)據(jù)信息的無(wú)意泄密和惡意竊密，因?qū)Υ祟愋畔⒌奶幚聿划?dāng)，所造成的國(guó)家秘密和關(guān)鍵信息、敏感數(shù)據(jù)的泄漏事件時(shí)有發(fā)生，由此可見，在信息化的大背景下，信息點(diǎn)泄密途徑眾多，急需一種技術(shù)手段，從信息本身入手加強(qiáng)管理。

由于電子文檔易更改和易傳播的特性，在涉密信息系統(tǒng)以及業(yè)務(wù)內(nèi)網(wǎng)中，電子文檔加密存儲(chǔ)、文檔主體和密級(jí)標(biāo)識(shí)不被分離，非授權(quán)的訪問(wèn)，以及文檔流轉(zhuǎn)過(guò)程成為了此類電子文檔管理的重點(diǎn)問(wèn)題。通過(guò)對(duì)電子文檔密級(jí)標(biāo)識(shí)的管理，可以實(shí)現(xiàn)提高涉密文檔和敏感信息的安全保密管理水平，文中提出了實(shí)現(xiàn)的思路和方法。

一、密級(jí)標(biāo)識(shí)的概念和研究方向

在《涉及國(guó)家秘密的信息系統(tǒng)分級(jí)保護(hù)技術(shù)要求》（BMB17-2006）中明確提出，密級(jí)標(biāo)識(shí)，即用于標(biāo)明信息秘密等級(jí)的數(shù)字化信息，并指出應(yīng)保證密級(jí)標(biāo)識(shí)與信息主體不可分離，以及其自身不可篡改的要求。

針對(duì)黨政機(jī)關(guān)、重要行業(yè)部門等涉密及敏感信息集中的單位對(duì)于電子文檔處理的需求，一旦電子文檔設(shè)定了的密級(jí)，必須根據(jù)密級(jí)，將文件使用范圍、訪問(wèn)權(quán)限等屬性進(jìn)行劃分，并需要保證標(biāo)明密級(jí)的電子文檔在脫離了安全環(huán)境后，無(wú)法查看內(nèi)容并進(jìn)行編輯。利用電子文檔的密級(jí)標(biāo)識(shí)對(duì)文件的交換、使用、編輯等進(jìn)行跟蹤審計(jì)，便于在開展保密安全檢查以及失竊密事件發(fā)生后的追蹤審計(jì)，因此，電子文檔密級(jí)標(biāo)識(shí)是此類電子文檔的管理和安全控制措施的基礎(chǔ)。

二、密級(jí)標(biāo)識(shí)管理的技術(shù)策略

由于電子文檔的數(shù)字化表現(xiàn)方式具有易修改、易刪除、易復(fù)制的特點(diǎn)，因此涉及國(guó)家秘密和敏感信息的電子文檔管理需要實(shí)現(xiàn)對(duì)文檔標(biāo)密、加密存儲(chǔ)、流轉(zhuǎn)記錄，以及其訪問(wèn)控制權(quán)限進(jìn)行管理。

（一）電子文檔的加密過(guò)程中的技術(shù)策略

對(duì)電子文檔的加密存儲(chǔ)技術(shù)應(yīng)采用國(guó)家密碼管理機(jī)構(gòu)認(rèn)定的標(biāo)準(zhǔn)加密算法，隨機(jī)產(chǎn)生密鑰，通過(guò)密鑰與加密文檔分別隔離存儲(chǔ)的手段，密鑰的下發(fā)和解密由系統(tǒng)控制。在工作環(huán)境內(nèi)，合法用戶可以自動(dòng)從服務(wù)器端獲取密鑰，為加密文檔解密；而一旦脫離工作環(huán)境，因?yàn)闊o(wú)法獲取密鑰，密文文檔將不能使用?？蛻舳嗣荑€每次保存都應(yīng)重新產(chǎn)生以保證其安全性，服務(wù)器端密鑰不傳輸?shù)饺魏蔚胤健?/p>

（二）密級(jí)標(biāo)識(shí)在訪問(wèn)控制過(guò)程中的技術(shù)策略

采用強(qiáng)制訪問(wèn)控制來(lái)管理用戶對(duì)文檔訪問(wèn)的一系列規(guī)則，將用戶所需要的訪問(wèn)權(quán)限按照最小化的原則進(jìn)行分配，根據(jù)文檔的重要程度以及標(biāo)密情況，按照業(yè)務(wù)工作需求和知悉范圍設(shè)定文檔的訪問(wèn)控制權(quán)限，包括文檔的操作權(quán)限（讀、寫、打印、刻錄），并對(duì)用戶（以人和組為單位）進(jìn)行管理，系統(tǒng)需要對(duì)用戶身份進(jìn)行鑒別，形成審計(jì)事件。

（三）密級(jí)標(biāo)識(shí)在文檔流轉(zhuǎn)過(guò)程中的技術(shù)策略

電子文檔的生成、處理到最后的辦結(jié)歸檔是一個(gè)系統(tǒng)性的過(guò)程，一旦在整個(gè)流轉(zhuǎn)過(guò)程中的任意一個(gè)環(huán)節(jié)出現(xiàn)問(wèn)題，都會(huì)對(duì)電子文檔的安全性產(chǎn)生影響，發(fā)生失泄密事件。因此電子文檔的操作和流轉(zhuǎn)過(guò)程應(yīng)當(dāng)記錄在文件屬性中，細(xì)化審計(jì)日志的細(xì)粒度，以全面保證電子文檔的安全性。

三、密級(jí)標(biāo)識(shí)技術(shù)實(shí)現(xiàn)

（一）電子文檔的標(biāo)密

按照標(biāo)密要求，一般是在文檔的首行左側(cè)進(jìn)行標(biāo)識(shí)，其在文檔頭部存儲(chǔ)，通過(guò)文件數(shù)據(jù)流層面，將文檔分隔成多個(gè)碎片，每個(gè)碎片都會(huì)加上密標(biāo)信息，分段進(jìn)行密級(jí)標(biāo)識(shí)，而不是通過(guò)文檔屬性信息進(jìn)行標(biāo)記，并通過(guò)授權(quán)方可修改的控制方式實(shí)現(xiàn)密級(jí)標(biāo)識(shí)的強(qiáng)制性和不可分離。

（二）電子文檔的加密存儲(chǔ)

在電子文檔每次存盤的時(shí)候都會(huì)在客戶端隨機(jī)的生成一個(gè)加密密鑰，然后把文檔數(shù)據(jù)的md5碼、密鑰等等信息傳遞給服務(wù)端，服務(wù)端對(duì)這些信息加密之后返回給客戶端，客戶端把這些信息寫盤。

在電子文檔編輯完成存儲(chǔ)時(shí)，以原本的格式寫到內(nèi)存中，隨機(jī)生成文檔加密密鑰ClientKey，并利用ClientKey進(jìn)行SHA散列得到加密信息塊。利用加密信息塊數(shù)據(jù)，使用改進(jìn)的AES算法將內(nèi)存中的文件明文進(jìn)行分塊加密，得到內(nèi)存中的密文，計(jì)算加密密文的MD5校驗(yàn)值，將當(dāng)前登錄用戶的ID信息，以及ClientKey，MD5校驗(yàn)值使用加密傳輸協(xié)議傳輸?shù)轿臋n安全文檔服務(wù)器，服務(wù)器從數(shù)據(jù)庫(kù)中獲取GUID指定的文件的服務(wù)器加密密鑰ServerKey，將客戶端上傳到服務(wù)器的ClientKey，Md5使用改進(jìn)的AES算法進(jìn)行加密，得到加密數(shù)據(jù)塊，同時(shí)將加密數(shù)據(jù)塊與文件GUID回傳給客戶端。

（三）身份認(rèn)證和訪問(wèn)控制權(quán)限

用戶在客戶端所做的操作，包括打開，編輯，保存，另存，打印等在真實(shí)發(fā)生前，都需要請(qǐng)求服務(wù)器查詢是否有相應(yīng)的執(zhí)行權(quán)限，如果有相應(yīng)的權(quán)限，客戶端才會(huì)執(zhí)行真實(shí)的操作。如果沒(méi)有，客戶端會(huì)拒絕此次操作。同時(shí)，無(wú)論是否有相應(yīng)權(quán)限，該請(qǐng)求操作都會(huì)記錄日志，以備審計(jì)。

打開文檔和對(duì)文檔進(jìn)行操作都會(huì)受到權(quán)限限制，擁有閱讀權(quán)限的用戶在登錄后通過(guò)服務(wù)器鑒權(quán)才可以打開安全文檔進(jìn)行瀏覽，其他編輯、復(fù)制、打印、另存、截屏、授權(quán)操作都會(huì)受到相應(yīng)的權(quán)限管控，只有有權(quán)限的用戶才能進(jìn)行這些操作，沒(méi)有權(quán)限的用戶無(wú)法進(jìn)行該操作。

（四）電子文檔的流轉(zhuǎn)

文檔結(jié)束編輯和瀏覽關(guān)閉時(shí)寫入文件流轉(zhuǎn)軌跡信息（包括：IP地址、MAC、磁盤信息、用戶名、用戶單位、部門），并記錄文檔的編輯、打印、復(fù)制、另存等常規(guī)操作，實(shí)現(xiàn)記錄文檔流轉(zhuǎn)過(guò)哪些主機(jī)，進(jìn)行過(guò)哪些操作，并存儲(chǔ)在文檔屬性的記錄日志內(nèi)。在記錄前，判斷是否與最后一條記錄相同，防止重復(fù)記錄。

四、密級(jí)標(biāo)識(shí)技術(shù)的應(yīng)用

（一）在保密檢查過(guò)程中的應(yīng)用

對(duì)涉密文檔及敏感信息應(yīng)用安全電子文檔進(jìn)行標(biāo)密后，可根據(jù)信息系統(tǒng)的的特點(diǎn)和保密檢查工作的需要，能夠快速實(shí)現(xiàn)對(duì)內(nèi)網(wǎng)及外網(wǎng)終端中的是否存有非授權(quán)文檔的需要。

基于文檔密級(jí)標(biāo)識(shí)檢查：通過(guò)識(shí)別密級(jí)標(biāo)識(shí)，檢查發(fā)現(xiàn)非密或低密級(jí)用戶的終端上是否存有高密級(jí)文檔，防止文檔的非授權(quán)使用造成的失泄密事件。

檢查結(jié)果的記錄取證：對(duì)于保密檢查中發(fā)現(xiàn)的問(wèn)題，可直接調(diào)用文件屬性內(nèi)記錄的文件流轉(zhuǎn)信息，跟蹤標(biāo)密文件的移動(dòng)，可追根溯源，可用于失竊密事件的調(diào)查取證工作。

（二）對(duì)涉密電子文檔管理中的應(yīng)用

在涉密文檔的加密過(guò)程中，可將標(biāo)密文檔的文件名上傳至服務(wù)器端，通過(guò)制定文檔命名規(guī)則，對(duì)系統(tǒng)內(nèi)的涉密文檔進(jìn)行集中管理，特別是對(duì)于存檔的涉密文檔，還可生成系統(tǒng)內(nèi)涉密電子文檔的存檔臺(tái)賬。

五、結(jié)束語(yǔ)

隨著黨政機(jī)關(guān)和重要行業(yè)部門信息化的發(fā)展，如何充分發(fā)揮電子文檔的優(yōu)勢(shì)，減少涉密電子文檔與敏感信息被竊取的風(fēng)險(xiǎn)是當(dāng)前亟待解決的首要任務(wù)。本文從電子文檔密級(jí)標(biāo)識(shí)的管理和技術(shù)實(shí)現(xiàn)上提出了一些策略和應(yīng)用可能性。