[提 要]隨著信息化時代的到來，企業(yè)的保密管理工作尤為重要。通過分析保密管理中存在的問題，并制定相關(guān)措施，對強(qiáng)化網(wǎng)絡(luò)信息化條件下的保密工作具有重要意義。

[關(guān)鍵詞]信息化;保密管理;措施

[作者簡介]黃秋萍（1978—），女，核工業(yè)二七○研究所保密專干，研究方向?yàn)樾畔⒒瘲l件下的保密管理。（江西南昌 330200）

隨著計算機(jī)技術(shù)的普及，信息進(jìn)行安全保密管理的范圍、對象和方式等都發(fā)生了變化，安全保密工作的難度更是逐漸增高，保密工作中存在很多深層次的矛盾以及問題，管理上更加復(fù)雜，使保密工作面臨更加嚴(yán)峻的挑戰(zhàn)。

一、當(dāng)前保密管理中存在的問題

（一）保密意識隱患

現(xiàn)階段，有些人認(rèn)為保密就是單位保密部門的事情，跟自己沒有多大關(guān)系;有的人還抱著僥幸心理，認(rèn)為在單位上網(wǎng)很多年，并沒有被攻擊，采不采取防范都無所謂;有的人覺得沒有必要對計算機(jī)進(jìn)行保密，就算是受到了攻擊，也可以重裝系統(tǒng)。諸如此類的想法都會造成信息的泄露，有的甚至導(dǎo)致違法行為。

（二）上網(wǎng)行為隱患

網(wǎng)絡(luò)安全隱患主要體現(xiàn)在上網(wǎng)審批責(zé)任制和用戶上網(wǎng)行為技術(shù)防護(hù)上，上網(wǎng)沒有審批程序和相應(yīng)的監(jiān)管等手段，日常管理的職責(zé)不明確;用戶上網(wǎng)行為審計與管理系統(tǒng)不健全。

（三）技術(shù)防范隱患

很多計算機(jī)不設(shè)定密碼，這就給有心者可乘之機(jī)。有的筆記本電腦里面存儲了涉密信息，卻還在介入互聯(lián)網(wǎng)時采用插拔的方式，造成了很嚴(yán)重的泄密漏洞;單位的涉密信息設(shè)備、涉密載體沒有生命周期設(shè)計及管控，使用過程中無法閉環(huán)管理。

二、強(qiáng)化網(wǎng)絡(luò)信息化條件下保密工作的幾點(diǎn)措施

（一）提高保密意識

管理是以人為本的活動，因此加強(qiáng)對涉密人員的管理是健全完善機(jī)構(gòu)保密管理體系的重要保證。首先，必須加大保密提醒和保密教育的頻率及深度，讓保密防范的理念逐漸深入人心。同時，經(jīng)常舉辦各種實(shí)用的專項(xiàng)保密培訓(xùn)，切實(shí)增強(qiáng)涉密人員的保密防范技能。針對部分人員對保密工作認(rèn)識缺乏的實(shí)際情況，可以指派專人對涉密人員開展一對一的培訓(xùn)，把強(qiáng)化安全保密教育，提高計算機(jī)網(wǎng)絡(luò)知識和防御技術(shù)作為一項(xiàng)重要內(nèi)容來抓。按照統(tǒng)一要求，指導(dǎo)各部門做到專機(jī)專用，專人管理，對能否上網(wǎng)的信息作出明確規(guī)定，強(qiáng)化落實(shí)保密審批流程。單位沒有編制的非正式員工，流動性較大，對其進(jìn)行保密管控應(yīng)更謹(jǐn)慎和嚴(yán)格。嚴(yán)格獎懲，筑牢保密警戒防線，建立量化考核和職級晉升相掛鉤的保密工作績效考核制度，對保密工作優(yōu)秀的部門和個人應(yīng)給予精神和物質(zhì)獎勵，對違反保密紀(jì)律和規(guī)章制度的應(yīng)處罰或處分，對于因違規(guī)操作導(dǎo)致泄密的，要堅決予以紀(jì)律處分直至追究刑事責(zé)任，筑起一道保密工作“警戒線”。

對于保密管理人員而言，僅具有保密意識還不夠，還需要在幾個方面狠下功夫：第一，基礎(chǔ)知識的掌握。通過認(rèn)真研讀《新保密法》、《保密法實(shí)施條例解讀》等，提高對保密法規(guī)的理解水平;第二，精確掌握定密依據(jù)，提高事項(xiàng)的定密準(zhǔn)確性;第三，保密檢查能力的增強(qiáng)，熟練掌握各類檢查工具，如計算機(jī)硬件檢測工具、信息搜索工具等，提高保密檢查的準(zhǔn)確性和有效性，及時發(fā)現(xiàn)保密工作中存在的問題，及時整改，防止問題擴(kuò)大化。

單位應(yīng)加大保密工作督導(dǎo)檢查力度，突出日常管理不定期檢查和重大節(jié)假日或重要任務(wù)的專項(xiàng)檢查，及時堵塞消除泄密隱患。針對檢查出的隱患和苗頭，要組織相關(guān)人員認(rèn)真查找根源，深究原因，查問責(zé)任，增強(qiáng)安全工作的緊迫感和責(zé)任感。

（二）上網(wǎng)行為管控

互聯(lián)網(wǎng)信息設(shè)備主要用于處理來自于外部資源的普通信息。單位互聯(lián)網(wǎng)應(yīng)統(tǒng)一部署上網(wǎng)行為審計與管理系統(tǒng)，對計算機(jī)的IP地址與MAC地址進(jìn)行綁定，同時，上網(wǎng)賬號與用戶實(shí)名進(jìn)行綁定。互聯(lián)網(wǎng)的訪問采用“用戶實(shí)名+密碼”的方式，通過對用戶上網(wǎng)行為的管理，進(jìn)一步加強(qiáng)信息安全防護(hù)。

（三）加強(qiáng)技術(shù)防范

信息化背景下，采集、處理傳輸國家秘密信息的設(shè)備由電話機(jī)、打字機(jī)等傳統(tǒng)設(shè)備擴(kuò)展到各類計算機(jī)終端設(shè)備及網(wǎng)絡(luò)設(shè)備，存儲國家秘密信息的載體也由傳統(tǒng)的紙質(zhì)載體擴(kuò)展到光、磁、電等介質(zhì)載體。因此，信息保密的涉及領(lǐng)域有了巨大的拓展。必須制定有效的安全防護(hù)策略，確定流程，明確規(guī)定程序和具體步驟。

三、建立信息設(shè)備安全策略

（一）涉密信息設(shè)備的全生命周期管理及操作按照信息安全操作規(guī)程相關(guān)規(guī)定進(jìn)行管理

首先，涉密計算機(jī)使用人需提出申請，審批通過后與涉密機(jī)責(zé)任人簽訂保密承諾書，由計算機(jī)系統(tǒng)管理員負(fù)責(zé)涉密計算機(jī)操作系統(tǒng)的安裝，經(jīng)保密辦審核后安裝安全保密產(chǎn)品，部署安全策略，制定信息系統(tǒng)軟件白名單。涉密計算機(jī)的重要業(yè)務(wù)數(shù)據(jù)需要采取數(shù)據(jù)備份技術(shù)，實(shí)現(xiàn)對重要數(shù)據(jù)的備份，以確保數(shù)據(jù)完整性。

（二）涉密計算機(jī)維修

涉密計算機(jī)需要維修時，由責(zé)任人履行維修審批手續(xù)，通過填寫《涉密設(shè)備及介質(zhì)維修審批單》，與維修單位簽訂保密協(xié)議，經(jīng)審批后方可進(jìn)行維修，維修單位應(yīng)具有涉密維修相關(guān)資質(zhì)。具體流程圖見圖1：

（1）信息設(shè)備需要維修時，需履行維修審批手續(xù)，涉密設(shè)備維修需經(jīng)相關(guān)部門審核及主管領(lǐng)導(dǎo)審批。信息化管理部門記錄維修情況。

（2）請外單位進(jìn)行維修，應(yīng)具備相應(yīng)的保密資質(zhì)，維修人員須經(jīng)審批并簽訂保密承諾書。進(jìn)入保密要害部門、部位應(yīng)履行登記手續(xù)，由責(zé)任人全程旁站陪同，并采取必要的保密措施。

（3）涉密信息設(shè)備和涉密存儲設(shè)備損壞后不進(jìn)行維修的，按照涉密信息設(shè)備和存儲設(shè)備銷毀要求予以銷毀。

（三）涉密計算機(jī)報廢

涉密計算機(jī)的報廢及清退需要履行審批手續(xù)涉密設(shè)備清退流程見圖2：

（1）維修報廢中應(yīng)對存儲過涉密信息的硬件和固件采取有效的管控措施，拆下待報廢的涉密存儲部件由信息化管理部門專人管理，建立臺帳，存放在密碼文件柜或密碼保險柜中。如果待報廢的涉密存儲部件的存放數(shù)量超過20塊，則密碼文件柜或密碼保險柜應(yīng)當(dāng)存放在保密要害部位中。

（2）維修或報廢設(shè)備中的涉密信息由責(zé)任人按照本單位信息交換的保密要求進(jìn)行轉(zhuǎn)儲，確保轉(zhuǎn)儲的信息安全可控。

（3）維修報廢過程中的各種登記和記錄應(yīng)真實(shí)完整。

（四）涉密打印輸出設(shè)備

對涉密計算機(jī)輸出管理辦法采取以下輸出策略：

（1）涉密計算機(jī)的打印機(jī)信息輸出采用集中打印控制方式;（2）輸出打印機(jī)放置于機(jī)房，對設(shè)備實(shí)行專人管理，防止輸出結(jié)果被非授權(quán)查看和獲取;（3）涉密計算機(jī)信息的打印輸出采取審批方式監(jiān)管，履行審批、登記手續(xù)方可打印。

（五）涉密顯示輸出設(shè)備

為防止涉密計算機(jī)的顯示器、投影儀等顯示輸出設(shè)備其輸出內(nèi)容被非授權(quán)獲取，顯示設(shè)備不面對門窗擺放。

四、存儲設(shè)備安全策略

（一）存儲設(shè)備標(biāo)識

涉密計算機(jī)中的硬盤、光盤、U盤等涉密信息存儲設(shè)備應(yīng)按所存儲和處理信息的最高密級標(biāo)識密級;非密存儲設(shè)備根據(jù)商網(wǎng)用、互聯(lián)網(wǎng)用、工作用等不同用途進(jìn)行標(biāo)識，并粘貼標(biāo)簽。

（二）存儲設(shè)備的收發(fā)與傳遞

（1）收發(fā)涉密信息存儲設(shè)備，應(yīng)嚴(yán)格履行清點(diǎn)、登記、編號、簽收等手續(xù);（2）傳遞涉密信息存儲設(shè)備，應(yīng)按有關(guān)規(guī)定封裝，標(biāo)明密級、編號和收發(fā)件單位名稱，指派專人專車或者通過機(jī)要交通、機(jī)要通信、機(jī)要交換等方法傳遞存儲設(shè)備。

（三）存儲設(shè)備使用

（1）涉密信息存儲設(shè)備不應(yīng)在非涉密的信息系統(tǒng)內(nèi)或單機(jī)上使用;（2）涉密信息存儲設(shè)備在其他信息系統(tǒng)內(nèi)重新使用或利用前，應(yīng)進(jìn)行信息消除處理;（3）攜帶涉密信息存儲設(shè)備外出時，須辦理相關(guān)審批手續(xù)，并按照有關(guān)保密規(guī)定采取保護(hù)措施，使涉密信息存儲設(shè)備始終處于攜帶人的有效控制之下;（4）涉密信息存儲設(shè)備的復(fù)制及制作應(yīng)在本單位或國家保密行政管理部門批準(zhǔn)的單位進(jìn)行，并標(biāo)明密級和保密期限，注明發(fā)放范圍及制作數(shù)量，編排順序號;（5）涉密存儲設(shè)備中存儲的涉密文件須“一用一清”，避免知悉范圍擴(kuò)大。

（四）存儲設(shè)備保存

（1）機(jī)密級（含）以下涉密移動存儲設(shè)備存放在密碼鐵皮柜中;（2）信息化管理部門每年組織對涉密移動存儲設(shè)備進(jìn)行清查、核對;（3）非密存儲設(shè)備由各設(shè)備責(zé)任人負(fù)責(zé)保管。

（五）存儲設(shè)備維修

（1）原則上不對涉密存儲設(shè)備進(jìn)行維修;（2）特殊情況必須維修時，如現(xiàn)場維修，應(yīng)有相關(guān)人員進(jìn)行全程旁站陪同;需要將涉密信息存儲設(shè)備帶離現(xiàn)場維修時，須履行審批手續(xù)，應(yīng)將維修情況記錄備案;（3）存儲設(shè)備維修時應(yīng)簽訂相應(yīng)的安全保密協(xié)議;（4）非密存儲設(shè)備確需送外維修的，責(zé)任人須徹底清除設(shè)備內(nèi)所有工作數(shù)據(jù)，并經(jīng)部門兼職保密工作人員確認(rèn)后送修。

（六）存儲設(shè)備報廢

（1）不再使用或無法使用的涉密硬盤在進(jìn)行報廢處理時，履行批準(zhǔn)、清點(diǎn)和登記等手續(xù)后，進(jìn)行集中統(tǒng)一銷毀;（2）其他涉密信息存儲設(shè)備報廢按照有關(guān)保密規(guī)定辦理批準(zhǔn)、清點(diǎn)和登記等手續(xù)后，送銷毀點(diǎn)統(tǒng)一銷毀。

綜上所述，國家保密工作直接體現(xiàn)了國家對信息的掌控、國家安全的保障以及綜合管理的體現(xiàn)，只有高度重視保密工作，才能夠使得信息化背景下的保密工作更加專業(yè)化和現(xiàn)代化。

[參考文獻(xiàn)]

[1]孫險峰，路明鴿，雷欣.涉密載體全生命周期信息化管控系統(tǒng)設(shè)計與實(shí)現(xiàn)[J].保密科學(xué)技術(shù)，2014，（8）.

[2]田星原，鄒欣云，文芳，胡吉舟.信息化背景下的保密管理研究[J].科研，2015，（18）.

[責(zé)任編輯：熊文瑾]