电子文档分类标记技术
根据国家档案法和保护要求标准,对涉密信息系统中的文本数据进行非结构化和分类标识的无纸化处理和管理,可以满足保密管理的需要,但仍存在一些问题,尤其是在非结构化电子文件的分类标识和管理方面。在涉密识别方面,仍采用人工文档的封面、首页、目录等对涉密信息进行标注,在全生命周期服务方面,无法与数字文档有效绑定。
(1)电子图片的涉密信息容易被分离和篡改,缺乏有效的技术保护措施,可能导致恶意“减密”和“撤密”。
(2)电子图片全生命周期在“加密、更改、解密”等方面缺乏统一和管理措施;
(3)“内部流通和使用”纸质文件,缺乏强制入侵检测手段,不可避免地“未经授权”获取和使用;
(4)纸质文件“意外流出”,缺乏有效控制措施,可能导致机密文件泄露。
2需求分析
1.合规要求和要求
国家相关法律、法规、标准、规范等已有明确规定。分类电子图片的分类识别应满足以下合规生理要求,如下:
(1)在国家制定的有关保密的法律法规中,从“保密认定”、“保密标识”和适用等方面对保密认定的主要责任人和程序作出了具体规定,对如何标注、标注什么、标注什么有相应的国家规范。
(2)国家保护要求对数字文件的识别也有非常明确的要求。信息应有相应的分类标识,并保证不与信息使用者互换,不能自行篡改。
(3)在保密资格审查、认证和评分细则中,分类标识也是基本评价项目,分类数据需要标注相应的分类标识。
2.业务需求
当涉及涉密电子图片时,分类识别应实现以下业务场景,如下:
(1)统一管理涉密纸质文件的“保密、变更、解密”等方面,实现电子图片的全生命周期管理。
(2)与OA、邮件等应用架构系统充分融合,保证涉密电子图片的内部流通和运行,兼顾安全性和用户便利性。
(3)工程技术的有机融合,一方面提高了日常使用、操作和维护的效率;另一方面,有效推动管理模式变革、调整、更新的标准和制度,以制度支撑产业落地,以技术指导制度实施。
电子文档该“密标”标志采用C/S架构,由几部分组成:控制中心和服务器,部分部署在涉密信息系统中,其中控制中心部署在安全管理域的一台主服务器上,负责系统监管和控制。客户端程序部署在所有客户端,客户端软件部署在部分用户终端,负责终端纸质文件的强制标记,实现文档标记、分类更改、解密等操作。
3.安全要求
在机密管理和机密纸质文件管理中,应满足以下完整安全管理要求,如下所示:
(1)识别标志:保证机密纸质文件识别的唯一性和功能性。
现在文件的重要性,并确保分类识别和电子文件不被部分分离和篡改。
(2)数据加密:满足涉密电子保护国家标准文件加密要求,实现细粒度的安全策略,严格限制知识范围和访问权限。
(3)流转管理:确保涉密电子文件在用户终端和应用服务中流转时携带保密标签,确保文件生成、使用、流转、输出等核心环节的安全可控。
(4)审核追溯:可以记录涉密数字文档全生命周期的文档分类、分类变更、文档发放等管理操作,记录要准确、完整。能做的就是事后回顾和审核。
3方案解决方案
1.建设理念基于公司业务需求、管控要求等现实情况,在保密局评估中心品牌名称目录中选择合规、成型的电子文档“保密”产品。一方面,根据企业管理要求,进行软件定制及保密、机要、机要变更、解密等相关管理流程;另一方面,它以接口集成的形式与已部署的OA、邮件、打印、刻录等应用服务和安全管理系统对接,为打印、刻录、闪存盘介质管理系统的输入输出控制提供分类清洗服务,实现企业分类信息系统中所有电子文档的全集成管理。
2.文件“标记”和“确定”
(1)文件标记
电子文档该“阅卷密”标识牌通过文档“阅卷密”模块,有效解决了传统方法存在的其他文档类型有限、文件属性不完整、阅卷密不准确、方法不灵活等问题。同时,为了满足实际需求,对模块进行了定制,结合绝密配套政策和公司秘密权责清单,实现了以下功能:
(1)可标注各种视频格式,支持多种常见的办公文档格式、绘图格式、图片格式和视频文件格式,满足员工日常电子办公需求。
(2)支持电子图片的分类信息内容,包括文档分类、分类依据、密级、知识范围等信息。,实现了涉密标志信息不可与纸质文件互换,未经授权不得修改。
③“秘密阅卷”方式非常灵活,支持智能秘密分类提示、强制秘密阅卷、批量“秘密阅卷”、脱产代办。
(2)文件加密
电子图片的一般加密流程是普通员工在电子文档分类标志上发起预定的加密,加密负责人和授权加密负责人通过“MarkingEncryption”系统的客户端程序对数字文件进行正式加密,只需对文件进行加密即可。
为了实现电子文件全生命周期的分类管理,电子文档分类标识设置了多种标志状态,包括:预定秘密、正式秘密、文件签发、文件解密和解除分类等。每个状态的含义如下:
保密性:电子文本参与涉密标志信息起草后的状态。正式分类:分类标识信息由分类管理责任人审核归档后纸质文件的状态。
文件发行:发行人审核并批准分类标志信息后数字文件的状态。
文件解密:解密条件通过后的电子文本状态,由负责保密判定的人员批准归档。
去除分类标签:电子图片经分类负责人审核通过后去除分类标签的状态。
3.文件安全策略
在文件数据访问方面,主要是通过与系统内部署的CA系统集成,完善数字证书和文件“密标”技术,“密标”装置提供文件权限控制功能,防止“低密”用户使用高密度文档,进一步限制文档的使用范围,保证文档内容的安全性,*终使未经授权的用户无法获取企业各部门的电子文本,从而控制电子文档的输出。
①打印机输出
在打印结果方面,部署的打印监控与财务系统全面实现了文档打印的监控、审批流程和打印日志记录,采用设备接口方式与电子文档“标密”业务对接。
当用户选择用电子邮件系统集成文档打印时,打印监控和财务系统拦截打印请求,调用电子文档“标记秘密”系统集成界面获取当前文档的分类标记信息,以匹配文档分类、用户分类和使用打印分类,防止“分类”输出。
②燃烧输出
在输出打印方面,部署的烧写监控和财务系统可以实现文件烧写的监控、审批和打印日志记录,并采用具有电子文档“标准秘密”技术的标准接口。实施原则分为三种情况,具体如下:
直接刻录:刻录管理系统直接刻录光盘上的机密文件。光盘用户必须安装保密标志客户端,且保密级别和知识范围一致后才能打开使用。
移除密标并刻录:刻录的智能控制调用密标的集成接口,在移除密标文件后,将其刻录到顶部。光盘可以根据用户随时使用,但不受控制。
外包刻录:刻录控制实现代码分类标识集成接口,外包后将分类文件制作成数据光盘,光盘用于受控使用。
③三合一输出
在移动存储的数据制造中,部署的三合一系统管理闪盘介质,记录终端使用的移动存储数据,并与电子文档“标准机密”平台兼容对接。
当用户将分类文件复制到闪存盘介质时,三合一系统拦截复制请求,调用电子文档“分类”系统集成界面,获取当前文件的分类标识信息,从而实现文件分类、用户分类和移动存储设备分类的匹配,防止“分类”输出。
4.文件的外部输出控制
工作中需要与外部单位进行频繁的文件交互。电子文档“密标”系统主要支持对外输出的控制功能,确保机密信息输出的安全。
用户可以制作机密文档进行外包,传出的文档有密码或硬件绑定保护。他们可以自行设置外发文档的使用时间、使用日期和权限控制(如:阅读、复制、打印、截屏等权限),审批通过后才能发出。外部组织可以在没有客户端程序的情况下使用传出文档。
5.及应用系统集成和OA系统集成电子“密标”水印设备提供三种形式的接口,即客户端COM组件、远程服务器WebService和Jar,实现密清服务与OA系统的融合。
6.后期规划
为解决保密信息(即纸质和光盘等)在系统日常使用中存在的保密信息、保密柜保管、在保密柜登记、借用或归还等问题,我们将立项开展智能保密人员柜建设。鉴于“数字空间”与“世界”之间缺乏逻辑联系,计划将“机密”系统中打印、刻录的输出文件的记录分析同步到智能机密电脑机柜系统。
电子图片分类标识是保证涉密信息系统中纸质文件*安全的具体措施,也是根据涉密计算机的不同分类进行相应保护的必要前提。通过明确涉密数据的物理属性,有效控制涉密文件的流向和知识范围,建立基于电子分类标识的防控。
在建设过程中,纸质文件分类标识与一些涉密管理产品紧密结合,*大限度地发挥了分类标识的作用,完善和补充了现有的安全综合防护。但是,涉密标志并不是万能的,不能解决电子文本的兼容位置问题,也不能代替机密信息解决几乎机密的问题。后续要通过企业技术手段的相互结合,不断优化完善。
库房综合智能
管理系统
本系统严格按照“严格、合理、可靠、经济、完善”和“无人值班、少人值守”的要求进行设计,具体原则如下:
Ø 系统选型高起点:
★ 技术**性:选用新的专业技术与产品;
★ 系统高可靠性:系统的硬件和软件均采用技术成熟的产品,平均无故障时间均在20万小时以上;
★ 系统运行管理方便:软件系统中文化,操作方便;
★ 设计架构**:系统采用真正的B/S+C/S架构,业内唯一全程WEB支持的监控平台
★ 技术支持能力强:承建单位技术实力强,服务完善;
★ 系统集成度高:系统完美整合了设备实时监控、运行状态、数据查询、深度分析、信息告警等等;
★ 系统交互性好:用户可通过PC及移动终端实时查询系统设备的各种参数与状态,掌握主动权;
★ 系统可扩展性能强:模块化结构有利于扩容与扩展。
★ 高可靠性保证:系统支持双机/多机热备方案,特殊应用没有后顾之忧;
Ø 投资少: 系统选型具有高性能价格比。
Ø 建设时间短:在较短的时间内完成系统的安装调试。
Ø 优质的服务:本着“用户**、服务至上”的原则。
库房恒温恒湿智能控制系统:
★ 温湿度:监测档案库房内重要区域的温度、湿度数值及变化情况。
★ 空调: 监测空调的运行状态,并可实现远程开关机启停控制模式并调节温度阈值及联动等。
★ 除湿加湿一体机: 自动设定一体机湿度,并对一体机运行状态及内部模块实时监测。
库房自动防火防盗报警系统:
★ 门禁管理: 采用进门人脸识别+掌纹识别+刷卡+出门按按钮的验证方式,实现对人员出入情况的管理。
★ 视频图像: 监视库房的实时图像,并进行视频录像。
★ 防盗: 红外探测器,监测档案库房人员活动情况。
★ 防火: 烟雾报警测器,监测档案库房内的火警情况。
库房自动消毒灭菌系统:
★ 臭氧消毒机 监测臭氧消毒机的运行状态及参数,并可实现远程开关机启停控制。
库房环境监测系统:
★ 漏水监测: 区域式漏水, 米漏水感应绳,监测库房内除湿一体机以及墙壁四周有无漏水发生。
★ 毒害气体: 监测库房内部气体是否毒气及空气质量是否超标,并联动消毒机进行空气消毒。
