密级体系解决“谁能看什么等级的文件”,密钥体系解决“哪个部门/子公司能看哪些文件”。两者结合,才是真正的立体管控。
在前三篇中,我们构建了一套完整的纵向文档安全体系:
- 分类分级+密级标识(第一篇):给文档定“身份”。
- 手动+自动标密(第二篇):让每份文档都有“密级”。
- 人员密级匹配+审批流程(第三篇):控制“谁能看、谁能降、谁能发”。
然而,实践中还有一个更头疼的问题:跨部门、跨分子公司、跨集团总部的文档共享与隔离。
- 技术部的敏感三级文档,销售部应该能看吗?不能。
- 子公司A的财务数据,子公司B能随便打开吗?不能。
- 集团领导要查看全集团所有密文,怎么实现?
光有密级体系不够。密级体系定义的是“安全等级”(从对外公开到敏感一级),但同一个安全等级的文件,可能只属于某个部门或子公司。我们需要另一把“横向的锁”——密钥体系。
背景:为什么需要密钥体系?
很多集团型企业在文档安全管理中遇到过这些窘境:
- 共享难,隔离更难:用同一套密钥,子公司A的文件子公司B全能看到,毫无隔离;用不同密钥,又无法实现集团统一发文和领导查阅。
- 权限过粗:只能按“部门”粗暴隔离,但部门内部的敏感三级和敏感二级文件无法进一步区分。
- 管理混乱:每个部门自己管自己的加密密钥,员工离职、密钥丢失后,文件成为“死档”。
解决思路:
- 密级体系:纵向维度,控制不同安全等级的文档访问范围(谁可以看敏感二级文件)。
- 密钥体系:横向维度,控制不同业务单元/部门的文档访问范围(哪个部门可以看技术部的文件)。
两者结合,实现横纵立体化的文档安全管理。
最佳实践:密钥分配与集团权限归集
1.密钥分配设计方案
我们将集团内的所有成员单位(总部、分子公司、各部门)进行统一密钥规划,核心原则是:公共密钥保协作,独立密钥保隔离,总部密钥保统管。
说明:
- 每个独立单位(如技术研发中心、华东分公司、财务部)都有自己的独立密钥,彼此不互通。
- 集团总部掌握所有独立密钥+公共密钥A,具备全域访问能力,实现集团领导对全集团密文的统一查阅、管理与审计。
2. 文档防护与使用效果
基于上述密钥分配,不同场景下的文档共享行为被精确控制:
集团领导与总部发文
- 集团领导:由于总部拥有所有密钥,集团领导可以直接查阅、使用全集团任意密文(前提是其用户安全等级也满足)。
- 集团发文:可以选择两种方式:
- o 转换为公共密钥A:让全集团所有员工都能打开(适用于内部公开级别)。
- o 保持授权控制:仅限特定单位或人员查看(适用于敏感级别)。
实践价值:横纵立体,各得其所
将“密级体系 + 密钥体系”结合落地后,集团型企业在文档安全管理上获得以下核心价值:
1. 横向隔离:部门/子公司之间互不干扰
- 技术部的核心数据不会因为“同密级”就被财务部看到。
- 子公司A的商业秘密不会泄露给子公司B。
- 密钥就是“墙”,不同单位之间天然隔离。
2. 纵向分级:密级体系仍发挥核心作用
- 即使在同一部门内部,敏感二级和敏感三级依然通过用户安全等级控制访问。
- 密钥体系不替代密级体系,而是补充。
3. 总部统管:看得见、管得住
- 集团领导无需向各部门索要密钥,即可审计所有密文。
- 总部发文可以灵活选择“公开到全员”或“定向授权”,兼顾效率与安全。
4. 安全外发与协作:密钥转换机制
- 当需要跨部门协作时(如技术部向生产部移交配方文档),可发起审批流程,将独立密钥X加密的文档转换为生产部密钥Z加密,从而授权给目标部门。
- 整个过程留痕,可追溯。
场景串联回顾
总结
- 密级体系(纵向):解决“安全等级”问题。低等级用户不能看高等级文档,确保权限与风险匹配。
- 密钥体系(横向):解决“业务归属”问题。不同部门/子公司使用独立密钥,实现横向隔离,总部掌握所有密钥实现统管。
- 两者结合:构成了横纵立体化的文档安全管控体系,既支持集团统一管理,又尊重分子公司的数据主权,同时兼顾协作与隔离的平衡。
电子文档安全管理系统(CDG)是一款市场领先的终端数据泄露防护产品,聚焦非结构化文档的全生命周期管控,构建企业文档防泄密体系,实现敏感文件带不走、读不懂、可追溯。CDG采用一体化平台架构设计,融合数据防泄漏、文档加密、终端桌面管理等终端安全能力,提供终端一体化安全解决方案。
