企事业单位电子档案核心五步基础保密技术落地实操指南

第一步：电子档案基础介质全生命周期物理隔离操作

操作环境要求

准备两套物理完全独立的设备组：

• 内部涉密组：至少1台物理涉密终端（Windows Server/Win10专业工作站版带涉密认证贴标，无Wi-Fi、蓝牙模块，或者已硬件拆除/BIOS永久禁用）、1台物理打印机（无网络接口）、2个以上全新未拆封的涉密专用U盘（防拷贝防复制，有国家保密局涉密信息系统产品检测证书编号）
• 外部非涉密组：日常办公设备、普通网络打印机、普通U盘

操作步骤

1. 永久禁用/拆除涉密终端无线模块： 硬件拆除：拧开后盖，拔掉Wi-Fi/蓝牙天线和PCIe/M.2接口的无线网卡； BIOS永久禁用（备用方案）：重启按Del/F2/F10进入BIOS，找到「Wireless LAN」「Bluetooth」「NFC」「WWAN」，全部设置为「Disabled」，设置BIOS启动密码+管理员密码（密码至少8位，混合大小写字母+数字+特殊字符，禁用生日手机号等弱密码），保存退出。

2. 涉密介质单独存放管理： 购置带机械密码锁+指纹锁的保密柜，密码锁和指纹锁分由2人保管； 建立纸质《涉密电子档案介质使用登记本》，每次使用必须登记介质编号、使用人、使用时间、归还时间、档案用途、审核人签字。

第二步：电子档案终端本地防泄漏配置

前置准备

确认涉密终端是Windows Server 2019/2022或Win10 22H2专业工作站版以上系统，系统自带BitLocker驱动器加密功能，无需额外下载软件。

操作步骤

1. 开启BitLocker全磁盘加密： 打开「此电脑」，右键点击安装系统的C盘、存储电子档案的D盘，选择「启用BitLocker」； 勾选「使用密码解锁驱动器」，设置至少12位的解锁密码（同BIOS密码要求）； 选择「保存到USB闪存驱动器」（用全新未拆封的普通U盘，单独存放不联网），点击「下一步」→「开始加密」，等待进度条走完（约1-2小时，1TB硬盘）。

2. 禁用终端USB存储只读以外的功能： 按下Win+R组合键，输入「regedit」回车，打开注册表编辑器； 依次展开路径：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR； 双击右侧「Start」，将数值数据改为「4」（禁用USB存储）→「确定」； 如需临时开启只读功能（仅用于导入导出，导入导出必须通过涉密专用U盘），按下Win+R，输入「gpedit.msc」回车，展开「计算机配置→管理模板→系统→可移动存储访问」； 双击「可移动磁盘：拒绝写入权限」，选择「已启用」→「确定」； 临时使用后务必将「Start」改回「4」、「可移动磁盘：拒绝写入权限」改回「未配置」。

第三步：电子档案文件格式加密操作

前置准备

无需额外下载软件，使用系统自带的EFS加密文件系统（仅NTFS格式分区有效，BitLocker加密的分区默认是NTFS）。

操作步骤

1. 设置EFS加密证书： 按下Win+R，输入「certmgr.msc」回车，打开证书管理器； 依次展开「个人→证书」，右键点击空白处，选择「所有任务→请求新证书」→「下一步」→「Active Directory 注册策略（如果有的话）/本地计算机注册」→「下一步」； 勾选「加密文件系统」，点击「注册」→「完成」。

2. 加密单个/批量电子档案文件： 单个文件：右键点击文件，选择「属性→高级」，勾选「加密内容以便保护数据」→「确定」→「确定」； 批量文件：选中所有需要加密的文件/文件夹，右键点击，选择「属性→高级」，勾选「加密内容以便保护数据」→「确定」→「应用更改到此文件夹、子文件夹和文件」→「确定」→「确定」； 右键点击已加密文件/文件夹，文件名如果变成绿色，说明加密成功。

3. 备份EFS加密证书： 按下Win+R，输入「certmgr.msc」回车，展开「个人→证书」，找到带有「加密文件系统」字样的证书； 右键点击证书，选择「所有任务→导出」→「下一步」→「是，导出私钥」→「下一步」； 勾选「个人信息交换 - PKCS 12 (.PFX)」「如果可能，包括证书路径中的所有证书」「删除私钥（如果导出成功）」→「下一步」； 设置至少12位的PFX文件密码，选择保存路径（用全新未拆封的普通U盘，单独存放不联网）→「下一步」→「完成」。

第四步：电子档案权限分级管理操作

前置准备

无需额外下载软件，使用Windows Server自带的NTFS权限（如果用Windows 10专业工作站版作为临时服务器，也可以设置，但不建议长期保存档案）。

操作步骤

1. 创建不同权限的本地用户组： 按下Win+X，选择「计算机管理」，展开「系统工具→本地用户和组→组」； 右键点击空白处，选择「新建组」，依次创建：

• 档案管理员组：成员只有档案管理员
• 档案查阅组：成员是有查阅权限的员工
• 档案编辑组：成员是有编辑权限的员工

2. 设置存储电子档案的D盘权限： 右键点击D盘，选择「属性→安全」，点击「编辑」→「添加」→「高级」→「立即查找」； 找到刚才创建的三个用户组，按住Ctrl键依次选中，点击「确定」→「确定」； 设置各用户组权限：

• 档案管理员组：勾选「完全控制」→「允许」
• 档案查阅组：只勾选「读取和执行」「列出文件夹内容」「读取」→「允许」
• 档案编辑组：只勾选「读取和执行」「列出文件夹内容」「读取」「写入」→「允许」

第五步：电子档案本地备份操作

前置准备

无需额外下载软件，使用Windows Server自带的Windows Server Backup（Windows 10专业工作站版用「备份和还原(Windows 7)」），准备2个以上全新未拆封的1TB以上机械硬盘（离线备份，不联网）。

操作步骤（Windows Server 2019/2022为例）

1. 安装Windows Server Backup功能： 打开「服务器管理器」，点击「添加角色和功能」→「下一步」→「下一步」→「下一步」； 勾选「Windows Server Backup」→「下一步」→「安装」，等待安装完成后点击「关闭」。

2. 设置每周定期离线备份： 打开「服务器管理器」，点击「工具→Windows Server Backup」； 点击右侧「备份计划」→「下一步」→「自定义」→「下一步」； 点击「添加项目」，勾选存储电子档案的D盘→「确定」→「下一步」； 选择「每周」，设置备份时间（比如每周五下班前1小时），勾选所有工作日→「下一步」； 选择「备份到卷」→「下一步」→「添加」，插入第一个离线备份机械硬盘，选择该硬盘→「确定」→「下一步」； 点击「备份计划」→「下一步」→「完成」。

3. 更换备份硬盘操作： 每月更换一次备份硬盘，更换前先打开「Windows Server Backup」，点击右侧「备份计划」→「修改备份计划」→「下一步」→「下一步」→「下一步」； 点击「删除卷」，删除旧的备份硬盘→「添加」，插入新的备份硬盘→「确定」→「下一步」→「下一步」→「完成」； 旧的备份硬盘单独存放到另一个保密柜（和使用中的备份硬盘、电子档案介质不在同一保密柜）。