第一步:前置条件准备
1.1 明确保密资格等级需求
先梳理本单位档案软件涉及的涉密内容:
- 存储/处理秘密级国家秘密 → 申请乙级涉密信息系统集成资质(档案数字化子类中必须含软件配套要求)
- 仅处理内部敏感信息 → 参照《档案数字化保密管理办法》配置即可,无需国家保密资质
注:本文针对乙级资质配套的档案软件保密条件,内部敏感版可简化权限、加密部分操作。
1.2 软硬件环境合规准备
必须采购并部署符合《国家保密标准汇编(分级保护)》的设备:
- 服务器:浪潮NF5280M6(涉密版),下载地址为国家保密局定点供应商名录:http://www.bsj.gov.cn/n2264106/n2264132/index.html
- 存储:华为OceanStor Dorado 5300V6(涉密版)
- 防火墙:天融信NGFW4000-UF-SG(涉密二级专用)
- 客户端:国产统信UOS V20专业版(涉密版)
第二步:档案软件基础功能配置
2.1 安装涉密版档案管理系统
这里以国内常用的、列入定点名录的量子伟业量子档案涉密版为例:
- 向供应商索要安装介质(仅限U盘、移动硬盘物理传输,禁止网络下载)
- 在统信UOS涉密服务器终端执行以下安装脚本:
```bash
挂载物理安装介质(假设设备号为/dev/sdb1)
sudo mkdir /mnt/archives
sudo mount /dev/sdb1 /mnt/archives
进入安装目录并执行主程序
cd /mnt/archives
sudo chmod +x ./qda_install.sh
sudo ./qda_install.sh
```
- 安装时需输入供应商提供的涉密授权码,绑定服务器MAC地址
2.2 配置身份认证系统
必须启用双因素认证(UKey+密码):
- 在系统后台“用户管理-认证配置”中,勾选“USB Key强制认证”
- 导入国家密码管理局认可的UKey驱动包(路径:/opt/qda/drivers/sm2_ukey.rpm)
- 为每个用户分配SM2算法的UKey,设置8位以上含大小写字母、数字、特殊字符的密码
- 配置密码策略:
- 密码有效期:90天
- 错误锁定次数:3次
- 解锁时长:30分钟
2.3 设置三权分立权限体系

严格配置系统管理员、安全管理员、安全审计员三类独立账号:
- 系统管理员(sysadmin):仅负责系统基础配置(如硬盘扩容、用户账号创建),无法查看档案内容
- 安全管理员(secadmin):仅负责权限分配、安全策略设置,无法修改系统配置
- 安全审计员(audadmin):仅负责审计日志查询、导出、备份,无法操作业务和配置
权限分配配置文件(/opt/qda/conf/privilege.xml)完整可复制内容如下:
```xml
sys_config
user_create
user_delete
role_assign
auth_config
encrypt_config
log_view
log_export
log_backup
```
第三步:核心保密技术配置
3.1 启用SM4国密算法存储加密
所有电子档案文件(含元数据)必须加密存储:
- 在安全管理员账号下进入“安全管理-加密配置”
- 勾选“SM4数据库加密”“SM4文件加密”
- 生成并备份SM4主密钥,要求分2份存入不同密码保险柜,由2名安全管理员分别保管
- 配置加密规则:
- 档案入库时自动加密
- 仅授权用户打开时自动解密
- 解密后缓存时间:5分钟
3.2 设置全链路审计日志
审计日志必须覆盖所有操作,且无法删除、修改:
- 在安全审计员账号下进入“审计配置-日志范围”,全选所有选项(如登录/登出、档案查看/下载/修改/删除、权限变更等)
- 配置日志存储周期:至少6个月
- 配置日志备份:每天凌晨2点自动备份到涉密离线存储设备
3.3 配置数据防泄露(DLP)规则
- 禁止电子档案文件通过USB口、网络接口(仅保留涉密内网固定IP段)外发
- 禁止截图、打印涉密档案(如需打印,需提交申请经安全管理员审批,打印件标注密级和编号)
- DLP规则配置文件(/opt/qda/conf/dlp.xml)完整可复制内容如下:
```xml
true
192.168.1.0/24
10.0.0.0/8
true
true
```
第四步:资质申请辅助材料整理
整理软件部分的辅助材料,提交给当地国家保密局:
- 软件定点供应商资质证书复印件
- 软件涉密授权书原件
- 身份认证、三权分立、加密存储、审计日志、DLP规则的截图及配置文件打印件
- 安全管理员、系统管理员、安全审计员的保密培训合格证书复印件(培训地址:当地国家保密局官网培训专栏)