English | 中文

产品资料

Contact Us

  • Contact:北京炼石网络技术有限公司
  • Phone:010-88459460
  • Address:北京市海淀区北三环西路32号楼7层0710-1
  • Zip Code:100097

Position: product white paper»Technical Article

看懂电子文件密码应用指南

以密码技术为核心的数据保护技术,其核心在于确保信息的机密性、完整性、真实性和不可否认性。当前,随着信息处理系统的发展与无纸化办公的推行,越来越多的信息以电子文件的形式呈现。同时,《电子签名法》、《密码法》等相关法律法规相继出台,电子文件的法律效力被进一步认可,促进了电子文件的法制化管理。在提供便捷性的同时,党务政务以及企事业单位经营管理活动的各类应用,也为电子文件带来了数据泄露的安全风险。

利用密码技术等为电子文件提供安全保护,近年来受到各行各业的加倍重视。然而,密码应用本身的技术门槛、与电子文件系统相关的业务流程复杂性以及数据全生命周期管理,也为电子文件的安全防护带来巨大的挑战。
基于电子文件安全的重要性,2020年03月06日国家市场监督管理总局、国家标准委批准发布的“中华人民共和国国家标准 GB/T 38541-2020 信息安全技术电子文件密码应用指南”,为完成前述的安全目标提供了理论与技术指导。该标准将于2020年10月01日开始实施。


电子文件的内涵与构成要素


在具体讨论电子文件的安全防护之前,首先需要明确电子文件的含义与构成要素。电子文件包括文件内容和文件属性两个部分。

文件内容是电子文件真正承载的信息,而文件属性则包含了关于文件标识、元数据、安全、签批、印章、水印、权限、日志等各个维度的属性。其中,文件标识应在电子文件创建时确定,且在电子文件的全生命周期中保持不变。安全属性定义了针对文件进行密码操作的算法、数字证书和签名结果等信息。其余属性的含义比较明显,不再一一讨论。文件属性可遵循GM/T 0055-2018以标签的方式组织,也可以由应用系统以自维护的方式组织。


以密码技术为驱动保护电子文件安全



对电子文件的保护是指利用密码技术,保证电子文件的文件内容和文件属性的机密性、完整性、真实性和不可否认性。当需要同时保证文件的机密性和完整性时,宜先进行完整性保护再进行机密性保护。

1)对文件内容和文件属性的机密性保护,均可以采用数字信封技术对文件内容和各类文件属性进行加密,用于加密的对称密钥应当随机生成,并保证一文一密。另外,具体的密码操作应当由密码服务中间件完成,防止应用系统直接获取明文形式的对称密钥。
2)文件内容的完整性保护,通过数字签名技术来完成。
3)电子文件的真实性由文件的签批属性、 印章属性和水印属性来保证,这是因为每一个属性都需要相应的操作人员对适当的数据进行数字签名。例如:印章属性对签章数据进行数字签名形成电子印章, 而印章数据包含了签章人信息、签章时间、文件内容等信息,即:印章属性中的数字签名将电子文件内容与签章人、签章时间等绑定到一起。这些属性中的签名信息同时保证了文件内容与文件属性的真实性。
4)对电子文件操作的不可否认性,既可以由签批属性、印章属性以及水印属性中的数字签名来保证,也可以由业务操作日志来保证。


电子文件的全生命周期安全防护


根据GB/T 31913-2015中的描述,电子文件的全生命周期会涉及到3种类型系统:业务系统、电子文件管理系统和电子文件长期保存系统。业务系统也称为电子文件形成办理系统,是产生新的电子文件的地方。电子文件管理系统负责从业务系统中收集整理电子文件,维护文件之间、文件与业务之间的联系。用户可通过该系统进行电子文件的查询使用,该系统会跟踪记录用户的操作,为日后的审计准备相应的日志记录。电子文件的长期保存则由电子文件长期保存系统负责。对于前面提到的用户(包括业务操作者及系统管理员)来说,业务操作者创建电子文件,并执行修改、授权、阅读等具体操作,而系统管理员则维护管理应用系统。

1.业务系统与用户管理的配合

基于前面对电子文件的含义、安全目标、具体的密码技术、电子文件全生命周期的讨论,结合应用系统、应用以及密码算法与密码服务中间件,容易理解标准中给出的密码应用技术框架。为了在电子文件全生命周期过程中保证机密性、完整性、真实性和不可否认性,需要业务系统与用户管理相互配合。

应用系统应当对用户进行身份鉴别,可以基于数字证书的鉴别模式实现用户与系统之间的单向或双向认证,以保证用户、系统身份的真实性。通过认证之后,仍要基于最小权限集原则建立用户权限表,确保没有用户同时拥有系统管理员和审计管理员角色,以便于隔离系统管理操作与审计操作。具体的授权操作应由保密管理员,通过使用签名技术对授权内容进行数字签名,保证授权内容的真实性、完整性。授权操作的不可否认通过文件属性中各类属性的数字签名,确保各种操作的真实性、完整性和不可否性。而文件本身的存储安全,则可以结合数字信封技术和数字签名技术来达成安全目标。
2.电子文件的多方安全交换

由于应用系统本身的业务要求,电子文件需要在业务系统内部、业务系统之间、业务系统与电子文件管理系统、电子文件管理系统与电子文件长期保存系统之间进行交换。业务系统内部与业务系统之间交换时,文件发送者需使用自己或系统的签名私钥和接收者的公钥对文件进行签名和签名保护。在业务系统之间交换文件,还需考虑保留文件属性中的标识。元数据、安全、批签、权限和数字水印等属性、日志属性以及权限属性则可按需保留。业务系统与电子文件管理系统、电子文件管理系统与电子文件长期保存系统之间进行交换时,宜遵循多文件整体一次性交换原则,需在保证文件内容和属性关联的情况下,对文件包进行机密性、完整性、真实性保护,而对其中的单个电子文件仅保留真实性和完整性即可,其中每个文件的文件属性可按需保留。

3.建立完善的审计跟踪机制

另外,应用系统还需建立完善的审计跟踪机制,在电子文件全生命周期的各个环节跟踪文件的运转和利用,即利用对文件的各种操作。具体的审计操作由审计管理员负责,该管理员的审计行为可以记录在系统管理员日志中,以便于相互监督。所有的日志都需采用数字签名技术保证日志的真实性、完整性、不可否认性。此外,可以使用应用系统私钥对日志整体内容进行数字签名,签名周期可灵活配置。如:基于时间周期一小时一签或者一天一签;也可以基于数量的原则,当日志达到预设长度后进行签名。
“中华人民共和国国家标准 GB/T 38541-2020 信息安全技术电子文件密码应用指南”抽象了业务系统、电子文件等各种概念,为各类应用系统适当采纳密码技术进行电子文件全生命周期的安全防护给出了具体可行的执行框架。