美国如何借助“安全标志”实现涉密信息共享

世界上最庞大情报系统的信息共享需求

为了收集各类信息，美国建立了世界上最复杂、最庞大的情报系统，涉及七个独立机构共16个部门，由国家情报总监办公室(ONDI：Office of the Director of National Intelligence)负责协调各情报机构的工作，实施国家情报计划。“911”之后，对情报部门进行了整合，成立了情报联盟(IC：Intelligence Community)，收集和分析有关构建国际关系和国家安全行动的情报。据称，仅中央情报局(CIA)就有员工85万人以上，每天获取情报17亿条。因此，安全可靠的信息共享是美国情报联盟一直追求的目标。

如何在IC成员间实现信息安全共享?首先需要对信息在共享中用到的安全特征进行统一描述，例如等级、来源、类型、知悉范围、访问控制、解密限制等，这便是信息 “安全标志”(Security Label) 的作用。

安全标志发展过程

为了方便机器处理，从早期的纸质文件到现在的电子文件，“密级标志/标识”及其标记和识别也得到了较快发展。在计算机系统，给虚拟的主客体添加属性“标签”是安全系统的通用做法。安全标志的发展起始于上世纪70年代，先后经历了理论模型、准则标准、系统产品的阶段，至今仍在不断发展。其中著名的BLP、Biba等安全模型作为经典理论，成为多级安全的核心思想。之后陆续出台的计算机和网络安全国际标准中，诸如TCSEC、CTCPEC、FIPS188等，都针对安全标志作出了明确要求。美国军方、北约、法国、加拿大等国家和组织也开展了安全标志产品的研制，并得到了较好的应用。

美国总统令关于标志的要求

安全标志的基本内容包括等级和范畴，据此建立不同的访问控制策略。美国经过数十年的发展和积累，将安全标志扩展为更为丰富的表达，称为“标记”(Marking)。正是由于认识到了标记在国家信息安全防护中的基础地位和重要作用，美国从国家层面制定了政策，并专门成立机构指导相应工作落实。

2009年12月，奥巴马政府发布总统令13526：涉密国家安全信息(Executive Order 13526 – Classified National Security Information)。该总统令描述了一个用于国家安全信息定密、安全防护和解密的统一体系，共分为6大部分31章节，主要讲述了“原始定密”、“派生定密”、“解密与降密”、“防护”和“实施与审查”等内容，涉及标志定义、定密管理流程、防护机制、责任机构和职责、跨组织协同、政策规范、实施指南等细则，成为美国对国家安全信息进行等级划分和防护的依据。

[[193212]]

挂靠在国家档案局(NARA)的信息安全监督办公室(ISOO – Information Security Oversight Office)负责提出有关安全标志的需求， ONDI下属的控制访问程序合作办公室 (CAPCO – Controlled Access Program Coordination Office)负责情报联盟安全标志的管理、应用和技术解决方案。

CAPCO落实总统令的具体应用

依据总统令13526， CAPCO专门为美国情报机关制定标志术语标准，为所有涉密信息提供了统一的安全分级和控制标志，以保证跨机构应用的一致性，包括9个部分：

1.美国密级(US Classification)：包括4个等级。

2.非美国密级(Non-US Classification)：包含其他国家和国际组织使用的标志。

3.联合密级(Joint Classification)：表示由多个国家共同所有或制定的信息密级。

4.敏感隔离信息控制系统(SCI Control System)：规范引导由中央情报局核心长官确定的每个程序设置敏感隔离信息。

5.特殊访问程序标志(Special Access Program)。

6.国外政府信息(Foreign Government Information)：美国控制的文档中国外政府的受控信息。

7.分发控制(Dissemination Controls)：一组用来识别传播的信息可发布还是受限的标志。

8.非情报部门标志(Non-ICs Dissemination Controls)：一组由情报部门以外部门使用的标志。

9.文档说明：包括解密日期或人为说明，如解密条件。

CAPCO指南只给出了术语定义，并没有描述如何标记以及在哪里使用标志。情报联盟(IC)在其技术规格中包含3个与标记相关的说明书，分别为《Information Security Marking Access》《Information Security Marking Country》《Information Security Marking Metadata》，对标记的使用给出技术层面的指导。

有关标志的产品

TITUS是一家标志系统及配套解决方案的供应商，提供了系列产品。其产品系列包含：邮件分级系统、数据发现系统、微软Office分级系统、移动环境分级系统、桌面分级系统以及与微软Outlook Web App结合的邮件分级系统。该公司宣称基于该产品套件能够实现：识别非构化数据、保护云端数据、提升安全感知、提高终端用户参与度、优化DLP/CASB和其他安全投入、改善数据管理以及降低移动环境风险。

TITUS标志产品支持在云端海量数据中自动发现敏感数据，并依据信息属性及上下文生成标记元数据，实现信息自动标记。同时支持三种方式的手动标记：一是与微软Office编辑软件合作，采用工具栏插件方式，并参照CAPCO格式规范在文件内显示;二是适用于桌面各类型的电子文件，采用右键弹出方式;三是对电子邮件进行标记，采用与特定应用(如微软Outlook等)联合开发的方式。通常借助微软自身的密码功能实现对标记文件的加密。通过与其他应用系统集成开发，如企业权力管理系统(ERM)、数据泄漏防护系统(DLP)、云访问安全代理(CASB)等，实现基于标记的管控。此外，还将标记扩展到移动环境(如智能手机、IPad等)下，实现桌面安全办公与移动安全办公的自然衔接。

“安全标志”应用的最大挑战不是技术

涉密信息的“安全标志”是发给客体的数字身份或属性，无论是添加“密级标志”还是发放“数字身份”，技术不是最重要的挑战，而是管理和应用的复杂性和不确定性。如果能跨过关键的第一步，解决标志使用需求的必要性和真实性问题，后续的流程和技术解决方案相信会越来越完善。 

【本文为专栏作者“中国保密协会科学技术分会”原创稿件，转载请联系原作者】

戳这里，看该作者更多好文