熱門論文
最新論文
總體國家安全觀視角下政府涉密信息管理研究
發布時間:2023-07-09 10:52
第一章 緒論
1.1研究背景
21 世紀,全球格局加快調整,戰略形勢深入變化,全球治理制度呈現出新的特征。在這 一背景下,大國之間的競爭和合作是并存的,但競爭與對抗力進一步加強。特別是在中國加 快崛起的過程中,一些國家通過多種手段對我國政權的穩定和安全造成了長期破壞。立足于 全球化、信息化和國家整體安全戰略,2014 年 4 月 15 日,習近平總書記正式提出“總體國 家安全觀”,將信息安全納入總體國家安全,成為總體國家安全的十一個重要方面之一。對 于地方而言,做好政府涉密信息管理是政府信息安全管理的重要一環,也是維護國家安全的 必要途徑。
綜觀國際國內局勢,一方面,境外情報機構對我開展無孔不入的竊密活動,令人防不勝 防。另一方面,長期的和平環境讓我政府內部部分工作人員安而忘危,保密意識淡薄。近幾 年來,隨著社會信息化水平的迅速提高,我國政府涉密信息的數量呈現指數級增長,但由于 理念、科技和管理等因素的交叉作用,政府在涉密信息管理的真實度、完整度、可用度等方 面面臨著安全威脅。因此,在當前形勢下,進一步提升涉密信息管理的戰略地位,制定、完 善相關管理制度勢在必行。
1.2研究意義
當前,我國經濟呈現高速發展態勢,無論是綜合國力,亦或是國際地位都取得了長足進 步,已逐漸躋身世界強國行列,在國際上,中國威脅論的論調始終此起彼伏,一些國家和敵 對組織通過各種方式遏制我國的崛起,給我國的強國之路設置種種障礙。就當今局勢而言, 大規模爆發戰爭是每個國家不希望看到的,由此出現了另一種非現實主義,但其威力卻不可 小覷的信息戰爭。基于此,各國紛紛意識到信息的重要意義,信息的竊取是其中最為直接有 效亦是極為關鍵的一環。國家秘密關系到國家安全和利益,凡是涉及國家安全和利益的領域 和行業,都有需要保護的國際秘密。由于我國經濟發展起步較晚,對于保密管理方面的科學 技術的應用,相較西方等發達國家尚有諸多不足,有著一定的差距,尤其是某些關乎國家命 運及命脈的機關單位其涉密信息管理體系尚未健全,很容易受到網絡黑客或是敵對國家、組 織的攻擊,對我國經濟民生政治等多領域有著極大的安全隱患。基于此,著眼安全問題,以 政府黨政機關入手,研究涉密信息管理如何進一步優化提升,是本論文的意義所在。
1.3研究內容 本文以習近平同志為核心的黨中央提出的“總體國家安全觀”為背景基礎,以保密行政 管理部門為著手點,通過結合當前工作經驗,利用行政管理相關理論及國內外文獻中所闡述 的諸多理論,闡明了新形勢下做好政府涉密信息管理工作的重要意義,結合 M 市政府涉密信 息管理的工作現狀,針對政府涉密信息管理工作存在的問題,分析其產生原因,就目前的政 府涉密信息管理工作做出客觀評價。科學運用系統管理理論從加強組織領導、健全機構設置、 依法治密、加強保密宣傳教育與文化建設等方面入手,以期為政府涉密信息管理工作的改善 提供建設性的對策。
1.4研究方法 案例分析法。聯系涉密信息管理實際情況,對 M 市典型的失竊、泄密案件進行分析,找 出了政府在涉密信息管理中存在的缺陷和問題,并深入分析了問題的原因,進而提出了相應 的對策建議。
調查訪談法。走訪省、市兩級保密單位和 M 市國家安全局以及其他政府部門,更廣泛地 搜集政府涉密信息管理工作的真實情況。
歸納總結法。在借鑒國內外關于本課題的研究成果的基礎上,結合 M 市實際情況和自身 工作體會,歸納和總結了政府涉密信息管理的問題及原因,并進一步提出了切實有效的對策 建議。
1.5國內外研究現狀
1.5.1國內研究現狀 由于我國經濟社會發展起步較晚,在涉密信息管理方面的發展較之發達國家的研究更是 緩慢。直至上世紀 90 年代初期,隨著互聯網科技的不斷深入及頻繁發生的泄密事件,至此國 內相關專家學者及政府才對泄密信息管理提起足夠重視,并對其進行了深入研究。
綜觀近年來針對涉密信息管理所進行的諸多研究,重點集中在兩方面:一方面是研究如 何進一步完善制度、確保制度得到有效的貫徹落實、嚴格落實制度來確保涉密信息的安全保 管。另一方面是研究如何針對涉密信息管理運用科學手段進行有效提升。如龍方欽基于基層 黨政機關單位的信息安全管理的現狀,認為黨政基層單位逐漸成為我國信息安全保密管理的" 短板",是當前發生失泄密事件的重災區,提出了基層保密行政管理機構和保密工作部門應發 揮政策導向和管理功能,加強信息安全保密宣傳教育,提高全民保密意識,加強防務機構及 人員的建設,不斷提高履職水平,加大信息安全保密工作投入力度等對策措施。[ 龍方欽;基層黨政機關信息安全保密管理問題研究[D];湖南大學;2012.7]宋繼偉對 美國“敏感信息”管理中存在的問題和管理機制進行分析,認為建設我國“敏感信息”管理 機制可以充分借鑒美國模式和美國經驗,由國家保密行政管理部門會同相關部委制定統一的 “敏感信息”管理制度。[ 宋繼偉.總體國家安全觀下的"敏感信息"管理機制芻議——美國經驗借鑒J].情報雜志,2018, 37(08):111-117.]姚斌認為,在信息化時代和大數據背景下,個人信息越來越與國 家安全高度關聯,個人信息的泄露也會對國家安全造成影響,通過梳理非涉密人員個人敏感 信息、涉密人員個人信息與國家安全的關聯性,以及個人泄露對國家政治安全、社會安全、 經濟安全等產生的影響,建議加強對個人信息的保護,完善個人信息保護機制。 [ 姚斌.總體國家安全觀視角下個人信息保護機制研究[J].保密科學技術,2019.]國內相關 機構亦針對泄密信息管理進行剖析研究,例如國家保密局的《涉密人員管理制度研究》、國 家保密科技測評中心資質審查部的《涉密信息系統集成資質保密標準》系列解讀等。[R]劉躍進,劉思偲.總體信息安全觀下的國家信息安全保障J].新疆警察學院學報,2018, 38(01):28-33.]諸如 沈逸提出可通過二維碼的應用來對泄密信息管理進行有效提升。[[5]沈逸.關于計算機網絡信息安全及防護策略探究J].保密工作,2016.]張繼虎就泄密信息管理的 系統框架做出深入剖析,,并以 Excel 作為支持平臺,針對諸如保密機構及制度、涉密會議等 做出有針對性剖析,籍此進行了相應模塊的設計分析,為泄密信息管理夯實了理論依據及實 踐支撐。[冏張繼虎.堅持總體國家安全觀打贏新時代保密戰[J].保密工作,2019(5).]孫瑞英、馬海群認為,面對當前局勢,無論是國家秘密的儲存介質,亦或是其傳 遞方式,較之前均有了明顯變化,面對日趨嚴峻的泄密事件,針對涉密人員所進行的管理, 其難度也在隨著不斷增加。基于泄密渠道的不斷擴展,其所造成的泄密隱患不僅控制起來難 度較大,同時會給國家秘密及信息安全造成惡劣影響,提升其抵御能力已刻不容緩。[ 孫瑞英,馬海群.總體國家安全觀視域下中國特色的國家情報工作安全體系構建研究[J].情報資料工作,2019, 40(001):33-43.]張海 波認為,基于國家秘密的重要性及其對國家安全的重要作用,提升對其所進行的培訓教育是 穩定國家政治及社會穩定的基石,并針對當前國內保密教育中的諸多缺陷及弊端進行分析, 找出其制約因素提出有針對性意見加以改善。[ 張海波.中國總體國家安全觀下的安全治理與應急管理[J].中國行政管理,2016, 000(004):126-132.]張家年對總體國家安全觀下情報工作中的涉 密信息攻防進行研究并提出合理化解決方案;[回張家年,馬費成.總體國家安全觀視角下新時代情報工作的新內涵、新挑戰、新機遇和新功效J].情報理論與實踐,2018, 041(007):1-6.]李安曜等探討在信息化時代,政府持有各項 信息的風險與防范;[李安曜,嚴奇峰.國家安全與個人隱私-數位時代的政府監控爭議J].中原企管評論,2016, 14(2):1-17.]保密工作、涉密信息管理工作作為黨和政府的一項重要工作,近年來 從理論研究到實踐部署方面愈發受到重視,相關理論成果越來越多。
1.5.2國外研究現狀
國外信息安全研究,隨著科技的發展而逐步開始,有以下幾項標志性的研究成果。第一 階段就是密碼技術保密研究,1948 年,香農在他的著作《噪聲下的通信》中提出了關于信息 熵的概念,為信息論和數字通訊奠定基礎,并提出密碼分析和搭線竊聽是信息安全保密所面 臨的一種主要安全威脅,最有效的防密方法是加密數據。這一理論論述開始于通信保密,并 由此使密碼學進入了科學化的軌道。第二階段是對計算機技術進行保密的研究,20 世紀 80 年代,美國的一些學者認為信息安全保密應在被動防御的基礎上,提高安全預警力、主動探 測能力、侵入事件的反應力和系統的恢復力。第三階段為網絡技術保密研究,出現了 ISO 15408、IEE2328 等一系列安全評估標準,密碼技術和訪問技術研究也得到了廣泛的關注。[[切注釋湯祖軍.淺析計算機網絡安全的風險及防范技術J].江蘇科技信息,2014,(10): 24-28]
基于諸多因素制約,針對國外保密管理工作的相關文獻能夠檢索到的多數為保密法規的 制定。1922 年,英國政府頒布了官方的保密法,1989 年修訂了該法案,對國家的核心機密范 圍作了縮小,同時對相關違法行為的處理方式進行調整,并將英國國家的涉密信息分為四個 級別:絕密,機密,秘密和有限保護。 [ 戴鵬.從國家發展戰略看信息化建設[N],學習時報,2014.4.7(5).]其對于國內保密法的修訂有著較為重要的借鑒作用。 國家秘密在法國被稱之為“國防機密”且值得一提的是,其國家秘密中有針對性公民“專知 信息”的內容。[ 宋繼偉.政府“敏感信息”管理機制芻議一一美國經驗借鑒J].情報雜志,2018年8月.]針對國外保密管理方面的相關文獻能夠檢索到美國及俄羅斯的部分文獻。 基于美政府對于國家秘密的重視程度較高,其所建立的保密管理體系亦相對完善,被稱為“三 大支柱”體系。其一為定密、保密體系;其二為針對從事國家秘密管理工作相關人員條件的 確定;其三為國家秘密泄露所做出的相關懲處。[網杜友文,美國信息安全政策及其對我國的啟示J];情報探索;2009年01期]美國于 1966 年頒布《信息自由法》,其中 針對保密信息及能夠公開的信息做出相關規定。俄羅斯基于《保密法》,針對國家秘密相繼 密集出臺了逾百種相關文件,其中囊括諸如總統令、政府指令等在內的諸多方式,籍此使得 國家秘密的安全性有了較大程度的完善及提升。[W張榮忠;美國信息技術標準對公共安全的支撐J];世界標準信息;2008年10期]
在網絡安全方面,美政府出臺《網絡空間國際戰略》和《網絡空間行動戰略》,文獻指 出網絡空間的安全性、穩定性對于國家社會穩定和科技經濟發展有著極為重要的意義及影響, 因此確保其安全性,是國家安全工作的重要部分。[陰張莉,黃日涵.美國網絡安全組織架構探析J].江南社會學院學報,2014.16(02):18-21.]俄羅斯學者針對國家網絡安全編寫的《俄 羅斯聯邦信息安全學說》,其中闡明了信息安全對于國家網絡安全的重要意義,以及網絡空 間信息安全存在的漏洞和應對措施。無論是英政府、亦或是法政府及澳政府,均認為健全的 網絡安全環境,能夠最大限度確保國家社會發展及國家政府相關活動的順利實施。英國倫敦 國際戰略研究所在一篇報告中稱,“未來的戰爭將以大規模網絡攻擊而非傳統的發射導彈為 開端”。網絡信息安全防護成為事關國家穩定、經濟發展、軍事強弱和文化復興的戰略性工 作。在國家安全方面,美政府提出“自由、民主、人權”,同時展開了“阿拉伯之春”等顏 色革命行動,對諸如敘利亞等國家的政治安全造成了毀滅性打擊,也曾就人權問題等炒作我 國社會事件,參與退伍軍人等特殊群體的相關問題。[王寧.地緣政治與顏色革命J].江南社會學院學報.2016.12(01):9-16.]
就國家安全和信息安全及涉密信息管理而言,盡管能夠檢索的國外相關文獻資料有限, 然而綜觀此類文獻,發達國家涉密信息管理均朝著更為精準有效的方向邁進,一方面確保國 家秘密及國家利益不受損失,另一方面力求在戰略布局上獲得更多話語權主動權。
綜上所述,無論是國內外相關文獻資料,亦或是研究成果,均對總體國家安全觀和涉密 信息管理進行了研究和闡釋,為進一步加強我國政府涉密信息管理工作,提供了研究思路和 研究方向。
1.6創新與不足之處
創新之處:本文在總體國家安全觀視角下,將政府涉密信息管理作為信息安全管理的重 要組成部分進行探究,同時又以一線工作人員的角度,結合日常工作所見所聞所思所感,闡 述政府涉密信息管理的現狀、存在的問題及其中的原因,并進一步提出相應的對策建議,大 處著眼小處著手,力求為全市乃至更高級別行政管理部門的涉密信息管理工作提供參考。
不足之處:由于本人的知識層面與科研水平不足,一方面,對國外相關領域研究現狀的 探尋比較單薄,尤其對國外政府現行涉密信息管理體系找到的系統性資料不足,另一方面, 在專業技術革新層面所能提出的對策建議較為淺顯。希望可以在以后的研究中繼續彌補和豐 富。此外,本文的實用性也需要進一步論證與實踐。
第二章 相關概念與理論依據
信息安全是總體國家安全觀中包含的十一種安全之一。涉密信息是一種高價值的信息資 源,經鑒定和保存已成為國家核心資產,直接與國家安全有關。本章主要整理了總體國家安 全觀的概念和政府涉密信息管理的有關概念,以及兩者之間的邏輯聯系。同時,對總體國家 安全觀視角下,加強政府涉密信息管理的實際意義進行了論述和說明。
2.1總體國家安全觀相關概念
2.1.1總體國家安全觀的內容 總體國家安全觀包括政治安全、國土安全、軍事安全、經濟安全、文化安全、社會安全、 科技安全、信息安全、生態安全、資源安全、核安全十一個方面。 [陰中共中央黨史和文獻研究院.習近平關于總體國家安全觀論述摘編[M].中央文獻岀版社.2017.3:46-53]
2.1.2總體國家安全觀的內涵 習近平總書記指出,堅持總體國家安全觀,必須以人民安全為宗旨,以政治安全為根本, 以經濟安全為基礎,以軍事、文化、社會安全為保障,以促進國際安全為依托,走出一條中 國特色國家安全道路。貫徹落實總體國家安全觀,必須既重視外部安全,又重視內部安全, 對內求發展、求變革、求穩定、建設平安中國,對外求和平、求合作、求共贏、建設和諧世 界;既重視國土安全,又重視國民安全,堅持以民為本、以人為本,真正夯實國家安全的群 眾基礎;既重視傳統安全,又重視非傳統安全,構建集政治安全、國土安全、軍事安全、經 濟安全、文化安全、社會安全、科技安全、信息安全、生態安全、資源安全、核安全等于一 體的國家安全體系。 [刪 《總體國家安全觀干部讀本》編委會.總體國家安全觀干部讀本[M].人民岀版社.2016.4:73-76]
2.2政府涉密信息管理的內容、相關概念與特性
2.2.1政府涉密信息管理的內容 從工作目的劃分。政府涉密信息管理工作的內容包括兩個方面:一是預防涉密信息被泄 漏、被竊取。即制定保密法律制度、實施保密管理措施、采取保密技術防護,形成保護涉密 信息的綜合防護體系,防止涉密信息從內部泄露和被外部竊取。二是打擊懲治竊密泄密行為。 即對發生的竊密泄密事件、案件按規定程序組織查處,采取補救措施,追究行為人的責任, 針對竊密泄密行為發生的原因,查找漏洞,消除隱患,改進防范措施,防止竊密泄密行為再 次發生。
從涉密信息的運行過程來劃分。政府的涉密信息管理工作包括:圍繞政府涉密信息的制 造、傳輸、使用、儲存和銷毀全過程所展開的所有保護性行為,以及采取的所有保護性措施。 具體內容包括確定涉密信息,保護和使用涉密信息,管理和保存涉密信息,解除并銷毀涉密 信息。
2.2.2政府涉密信息管理的相關概念
政府涉密信息分為兩種,一種是國家秘密,另一種是工作秘密。隨著信息化的普及和大 數據的應用,一定數量和規模的工作秘密,在被分析、整理后,可能會轉變成為關系國家安 全和利益的國家秘密,因此本文所研究的政府涉密信息既包含國家秘密也包含工作秘密。[何劍波,政府信息公開視域下的國家秘密保護制度研究J],2017.]
國家秘密:《中華人民共和國保守國家秘密法》對國家秘密做出了明確規定,國家秘密 是關系國家安全和利益,依照法定程序確定,在一定時間內只限一定范圍的人員知悉的事項。 國家秘密的三個特征:關系國家的安全和利益;依照法定程序確定;在一定時間內只限一定 范圍的人員知悉。
工作秘密:國家工作部門或工作人員所擁有的、不能擅自公開的、以機關、單位為主體 的那一部分事項。(1)除國家秘密以外的,在公務活動中不得公開擴散的事項;(2)一旦 泄露會給本機關、單位的工作帶來被動和損害。
涉密載體:《中共中央保密委員會辦公室、國家保密局關于國家秘密載體保密管理的規 定》(自 2001年 1月 1 日起實施)第一章第二條規定:“利用紙質媒介、磁帶以及光盤等物 品將國家秘密以不同的形式例如音頻、圖像、數字、文字等形式存儲的設備就可認定為國家 秘密載體”。進入新世紀的20 年以來,互聯網技術的快速發展促進了國家秘密的信息存儲體 系更加多樣化,國家秘密載體被定義為能夠存儲秘密信息的一切設備。
密級:依據我國2010 年修訂的《中華人民共和國保守國家秘密法》的規定,涉密信息分 為“秘密”、“機密”、“絕密”三個級別。除另有規定的外,秘密級保密期限小于 10年, 機密級小于 20年,絕密級小于 30年。
2.2.3政府涉密信息管理的特性
一是關乎國家的安全及利益。政府的涉密信息與國家息息相關,一旦出現泄密,就會對 國家安全以及社會穩定造成非常嚴重的不良影響。二是具有法定性。政府涉密信息的確立是 根據一定的法律程序而形成的。具體而言,是那些根據國家明文規定并具有管理權限的單位, 對某件事進行定密,這件事就會受到國家相關法律的認可及保護。三是具有時效性。涉密信 息都有一定的時效性,在一定的時間內會被一小部分相關的工作人員所知道。一般情況下, 涉密的程度越高,內容越重要,保密的時間也就越長。
2.3系統管理理論下總體國家安全觀與政府涉密信息管理的關系
系統管理理論(Application of System Management Theory),是指為了更系統化地解決管理 中存在的問題,將一般系統理論應用到組織管理中,從而運用綜合性系統性的研究方法去考 察組織結構以及管理職能等。為了使政府涉密信息管理工作在總體國家安全觀下能夠更好的 進行,需要利用系統管理理論來分析政府涉密信息管理工作中的各構成要素,并使其能夠在 各層次的管理中形成完美的系統組合。
一方面,政府涉密信息安全是總體國家安全觀的重要組成部分。自 20 世紀 90 年代起, 我國就積極推動信息化建設,各行各業和多項活動的信息技術使用越來愈普遍,從而形成了 大量數字化的信息資源。這些信息資源目前仍然呈現在社會各界的視野之中,它們被社會各 界視為一種"生產力",也是全球基礎戰略資源的一種,它們對全球經濟機制的生產、流通、 分配和消費,以及其社會生活的方式產生了逐漸的影響。[創沈昌祥,關于加強信息安全保障體系的思考J].信息安全與通信保密,2012(12):11-14]在數字時代的大環境下,信息安 全已經成為信息資源管理領域內最受關注的議題。在總體國家安全觀中,信息安全是被納入 總體國家安全觀的十一種安全之一,和國土安全、政治安全、軍事安全等并列,是總體國家 安全觀的重要組成部分,政府涉密信息安全是總體國家安全觀中信息安全的重要組成部分。
另一方面,總體國家安全觀對政府涉密信息管理具有指導作用。2015 年 7 月 1 日,總體 國家安全觀被正式寫入新修訂的《中華人民共和國國家安全法》。2017 年 9 月 18 日召開的 黨的十九大報告當中明確指岀,總體國家安全觀是我國新時代所堅持的基本戰略之一,是我 國邁向現代化強國所必須遵守的國家安全工作指南。總體國家安全觀要求我們要用更加全面 的觀點去看待社會發展以及國民經濟建設中的相關風險問題,傳統安全與非傳統安全要做到 兩者兼顧,不僅僅要解決那些顯現岀來的安全問題,對于隱藏的安全風險問題也要及時防范 和解決。政府涉密信息管理工作十分復雜,而總體國家安全觀可以為其提供思想以及理論方 面的指導,也能將其提升到國家信息安全的戰略高度,從而更加科學和全面地做好政府涉密 信息管理工作。
第三章 政府涉密信息管理面臨的形勢及現狀——以 M 市為例
M 市屬于東部沿海省份,市內有高等級涉密單位、部隊和軍工企業等。由于地理位置、 文化傳統的原因,也常有全國范圍的大型會議在此召開。M市歷來是境外間諜情報機構關注 的重要城市,針對我市重點領域、重點部位、重點人員的策反、滲透活動時有發生。以 M 市 政府涉密信息管理為例,既可以以點帶面分析當前政府涉密信息管理工作面臨的形勢,也可 以具體分析政府日常運行中的涉密信息管理存在的問題和風險點, 3.1涉密信息管理面臨的形勢 3.1.1竊密與反竊密的斗爭日趨激烈
改革開放以來,我國經濟、社會發展迅速,取得了舉世矚目的成就,成為世界第二大經 濟體,綜合國力和國際地位顯著提高。但這樣的發展是美國等西方國家和敵對勢力不想看到 的,“中國威脅論”等論調此起彼伏,以美國為首的西方國家對我們采取了全面遏制,貿易 戰、科技戰,利用我國內群體事件攻擊我國政治制度等事件時有發生。大國較量,信息安全 越來越成為博弈的焦點。境外情報機構加緊我對實施“陸、海、空、天、網”全方位、立體 式、多維度的信息監控和情報竊取,竊密活動無孔不入,手段花樣層出不窮,令人防不勝防。 近些年,針對我國黨政機關、科研機構、涉密單位及其工作人員的竊密活動越來越多,境外 敵對勢力還通過互聯網等方式,對我國一些保密意識不強,理想信念不堅定的工作人員進行 拉攏、策反,通過金錢收買或威逼利誘等手段,讓他們從事間諜活動,給我國家安全和涉密 信息安全帶來極大的威脅。
根據最近幾年查處的竊密案件看,竊密形勢有以下幾個特點。一是對我實施竊密活動的 主體增多,不但有其他國家的間諜情報機構,還有敵對勢力、跨國公司、非政府組織等機構。 二是竊密的目標增多,不僅有黨政機關、國防科研單位、中高級領導干部,還包括從事科研 項目的社會組織、高等院校等。三是竊密的手段增多,不僅有通過傳統手段收買、策反、滲 透等手段獲取的人力情報,還有通過密碼破譯、截取信號等手段獲取的通訊情報,此外,現 在還大量采用網絡攻擊等手段,在保密檢查中發現了為數不少的被境外攻擊、遠程控制的手 機、計算機。四是竊密技術日新月異,帶來更多未知的挑戰。處于對國家安全和信息安全的 考慮,各國都在大力研究各種新的竊密技術,增加我國反竊密工作的難度。如計算機的顯示 器、顯卡、視頻線纜、電源線等部件,在工作過程中,會不可避免地產生聲、光、電磁信號 泄露發射,這種泄露發射會攜帶視頻數據,使用專業設備可進行接收,并還原出原始信息。 國外學者和研究機構對竊密技術的研究從未停止,更多技術還處于保密階段,給我國涉密信 息管理帶來更多未知的挑戰。
3.1.2傳統風險和非傳統風險疊加
隨著信息化、數字化的發展,涉密信息管理的領域從政府向社會、向市場拓展。以前保 密管理主要針對政府內部,現在涵蓋了資質企業、科研單位、軍工單位、高等院校等諸多領 域,以保密檢查為例,在針對收購站開展的保密檢查中,就曾經發現了政府涉密文件,所以, 現在政府涉密信息管理的領域涵蓋的范圍越來越廣。政府涉密管理的對象也從過去的紙介質 發展到磁介質、光介質、數字化介質等。管理方式也應管理對象的變化而變化,過去管好紙 介質主要靠“三鐵一器”,鐵門、鐵窗、鐵柜子、監控器,現在信息化背景下,需要人防、 物防、技防多措并舉全面加強,新形勢下涉密信息管理面臨轉型升級的問題。在近幾年查處 的泄密案件中,有的涉及文件多達成百上千份,以前只有紙介質的時候,一份文件遺失了, 往往在年度歸檔工作或保密檢查中比較容易發現,現在一個 U 盤就可以在短時間內拷貝上千 份文件,且不容易被及時發現,增加了涉密信息管理的難度。
3.1.3信息化、數字化帶來新挑戰
我國的信息化建設取得了顯著成就,《2019 年中國網絡發展狀況統計報告》顯示,國內 網民數量截至 19 年底已有 6.88 億,占據國內人口數量的 50.3%,其中手機網絡用戶為 6.3 億。 作為網絡大國,網絡的發展一方面給人們的生活方式帶來了巨大的改變,另一方面,基于網 絡傳播的速度、規模和影響,一旦發生泄密事件,傳播速度更快,傳播范圍更廣,不可控性 增強,是對涉密信息應急管理方面的極大挑戰。與此同時,大數據、云計算等新技術、新模 式在一定程度上給涉密信息管理帶來了新挑戰,還有新的網絡攻擊技術,也讓竊密行為更加 隱蔽,更難以追蹤定位。
3.1.4 自主防護能力不足
由于基礎環境差、缺少核心技術,以及對新技術的普及應用不力等原因導致目前政府涉 密信息管理的自主防護和風險發現能力不足。目前世界上共有 13 臺根服務器,其中 10 個在 美國,2 個在歐洲,1 個在日本,我國只有 3 個鏡像根服務器,這種情況很難發生根本性的改 變,這意味著我國境內的域名數據始終匯總在境外,是信息安全的極大隱患。近年來發生的 棱鏡計劃、維基解密等一系列事件也證實了一些國家利用其網絡信息化優勢監聽全球、竊取 其他國家涉密信息等行為。近幾年,隨著國家對涉密信息管理的重視程度不斷提高,我國在 對保密技術的研發方面也取得很大的進步,有很多科技成果,但目前對現有的一些科技產品、 防護產品的普及利用不夠充分,如先進的密碼技術、綠波電源插座、系統防火墻等在政府涉 密信息管理體系中的應用和普及還不夠廣泛,這也是除基礎環境外,另一個導致我國政府涉 密信息管理的自主防護能力不足的重要原因。
3.1.5重要領域缺乏核心技術
政府部門的日常辦公和涉密信息管理工作都離不開各種辦公自動化設備和與之配套的操 作系統、軟件等。由于技術差異,國外的進口設備具有更好的性能優勢,目前國內政府機構 的網絡信息設備,甚至涉密機構的網絡設備,都有相當一部分是使用了國外的技術。雖然采 購和使用之前,都要經過批準和檢查,但辦公設備特別是網絡設備的核心技術仍然受制于人, 這對我國的涉密信息管理造成了極大的安全隱患。我國政府內部使用的計算機的操作系統主 要是美國微軟公司的 Windows 操作系統。目前,一些國家已經開始采取措施,自主開發操作 系統以摒棄對Windows操作系統的依賴。如俄羅斯軍方投資重金用于研發自己的硬件和軟件, 已建立一個基于 Linux 的操作系統,美國也出于對信息安全的考慮,試圖用其他操作系統取 代Windows,我國在這方面的研究和技術發展還相對滯后。
3.2M 市涉密信息管理現狀
3.2.1M 市涉密單位、涉密人員管理現狀
M 市目前共有涉密單位 62 個,除黨政機關、軍隊、高等院校、科研單位外,還有涉密載 體復制資質單位、涉密集成資質單位、軍工保密資質單位,涉及領域眾多,其中,由于 M 市 為部隊駐地,給部隊配套的涉密軍工企業相對較多。
M 市目前對涉密人員實行分類管理和動態管理。依據國家相關規定, M 市涉密人員分為 核心涉密人員、重要涉密人員、一般涉密人員三個等級。具體界定過程是由各涉密單位的有 關部門根據本部門承擔工作任務人員的實際涉密情況,提出初審名單,部門負責人審核確定 后,報送單位保密工作領導小組審批并存檔備案。涉密人員實際工作崗位、工作任務、職責 范圍發生變化后,及時根據變化情況調整涉密等級。在涉密人員資格審查方面,除了重要涉 密人員、核心涉密人員由本單位開展政治審查外,一般涉密人員大多是本人去派出所開具無 犯罪記錄證明。在涉密人員保密教育和管理方面,除了對涉密人員進行經常性的保密教育, 還要求對涉密人員遵守保密制度和紀律以及接受保密教育的情況進行定期考核,但歷次保密 檢查中都發現有涉密單位未組織定期考核或組織不及時。
M市涉密信息管理工作作為保密工作的一部分,管理機構為M市保密行政管理部門。M 市、縣兩級都設有黨委保密委員會,保密委員會下設保密委員會辦公室,具體承擔保密委員 會的日常工作。
3.2.2M 市涉密信息管理法規制度現狀
M 市涉密信息管理有關的法律制度,絕大部分是在實施國家及所在省出臺的保密法、保 密方針及政策,并結合M市的實際情況,制定了相應的實施及工作細則。M市獨立發布的與 涉密信息管理、保密方面有關的規范性文件很少,目前筆者確切了解到的只有《M市保守工 作秘密規定》。M市保密行政管理部門結合工作實際情況制定了保密制度,制度內容涉及網 絡安全管理、信息系統使用規范、涉密載體使用規范等。就單獨一項工作而言,涉密信息管 理工作可參考的法律法規標準雖然不能說很完善,但還是很是比較多的,在《憲法》、《刑 法》、《保密法》、《公務員法》、《海關法》等法律中都有相關內容的體現,《保密違法 違規行為處分建議辦法》為涉密信息管理中的違法違規行為的處分提供了對可對號入座的具 體參考,此外,涉密網絡、涉密計算機、涉密場所也都有具體的國家保密防護標準。具體到 M市各個政府部門和機關單位,也都有相關的保密規章制度。但每一項工作有每一項工作的 特點,每一個單位有每一個單位的情況,保密法規制度一定程度上存在大而化之,千篇一律 的問題,還需要著眼于具體工作,進一步的完善和細化,進行全面的梳理,針對工作的風險 點,用相應的制度進行規范。
3.2.3M 市保密工作人員現狀
M市、縣兩級保密行政管理部門的人員因受編制數量限制,人員數量一直相對穩定,在 年齡結構上,隨著保密工作的不斷受到重視,越來越多的年輕干部開始從事保密工作,專業 從事保密工作的人員平均年齡在不斷下降,年齡結構得到了一定優化,目前年輕干部和年齡 較大干部占比較大,尤其是縣級保密行政管理部門整體工作能力、工作活力不足。從專業知 識結構方面看,M市、縣兩級保密部門有計算機、法律專業人員,但沒有與保密工作緊密相 關的保密管理、信息安全、網絡通信專業的人員,人員知識結構呈現專業化程度不足的特點。 目前,M市各機關單位從事保密工作的保密干部存在專職少、兼職多的現狀,各單位會傾向 選擇計算機相關專業的年輕同志或本職工作相對輕松年齡相對偏大的同志擔任保密干部。
3.2.4M 市保密宣傳教育工作現狀
M市目前開展的保密宣傳教育分為兩部分,一部分是由M市保密局牽頭組織的,另一部 分是由涉密單位系統內部組織的,如高度涉密的 M 市國家安全局參加的保密培訓多為本省安 全廳或安全部通過視頻會議在其系統內部召開。當前M市保密宣傳教育工作主要按照分類別、 分行業、分重點的原則,分別制定宣傳教育計劃,定期組織全市涉密人員和保密干部參加培 訓,同時也有針對一般政府工作人員和廣大市民的保密宣傳教育活動,覆蓋面相對較廣。主 題涉及提高管理意識、警示案件分析教育、保密法律法規普及、竊密新技術科普等方面,基 本涵蓋了涉密信息管理工作的方方面面。保密宣傳教育開展方式包括廣場宣傳、組織培訓班、 去涉密單位舉行講座等方式。保密課程大多是在前一年的基礎上刪減一些舊內容、增加一些 新內容,在前沿性、創新性和趣味性方面略顯不足。
3.2.5M 市保密監督檢查情況現狀
由于各個單位對保密工作負有主體責任,現在的保密管理、保密檢查主要還是依靠各個 單位自己依據《機關、單位保密自查自評標準》里的具體類目,對各單位保密工作領導責任 制落實情況、保密制度建設情況、涉密人員管理情況、國家秘密載體管理情況、信息系統和 信息設備保密管理情況等十四個大類、五十九個小項的具體內容進行自評評分。除各單位定 期開展的保密自查自評外,保密行政管理部門每年會針對轄區內的涉密單位組織多次保密檢 查,包括專項檢查和隨機抽查,對存在問題的單位提出整改要求并點名通報。 2019 年針對全 市范圍的保密檢查總體合格率達到 86%,較 2013 年 62%的總體合格率有了較大幅度的提升。 從查處的問題和存在的漏洞來看,互聯網、辦公局域網、政務公開等涉及網絡管理的領域出 現的泄密隱患和違規行為由 2013 年的 55.7%逐步提升到 2018 年的 78.3%。
3.2.6M 市涉密信息安全隱患及典型案例
從近幾年查處案件的情況看,目前泄密案件呈現四個特點:一是故意出賣國家秘密的案 件增多,二是新技術產品和通信工具相關的泄密案件明顯增多,三是網絡泄密案件明顯增多, 四是過失泄密案件明顯增多。
M 市涉密信息安全隱患主要有以下幾個方面:政府門戶網站發布涉密文件造成失泄密; 微信、 QQ 等即時通訊平臺轉發涉密信息造成失泄密;個人電子郵箱、網盤存儲涉密信息造 成失泄密;辦公電腦連接不可靠無線網絡造成失泄密;涉密文件、檔案保管不善造成失泄密; 工作人員被境外勢力利用或策反,主動泄露涉密信息;涉密設備違規接入互聯網造成失泄密; 涉密人員資格審查不嚴造成失泄密。
案例一:2017 年,某縣國土資源局按照上級的要求,組織縣有關專項資金網站公布相關 文件,局辦事處工作人員劉某負責收集有關資料,在搜集材料的過程中,劉某擅自到文印室 掃描一份機密文件,并在沒有履行公開信息保密審查程序的情況下,將掃描文件上傳到網絡 造成泄密。
案例二:相關檢查中發現多起通過微信發送涉密文件的違規行為,有時候領導出差在外 地,工作人員收到需呈領導閱批的涉密文件時,將文件拍照后通過微信發送給領導,帶來極 大的涉密信息安全隱患。
案例三:2015 年,某網盤中發現有一份秘密文件存儲在網盤中,經查處后,系政法委工 作人員李某為了方便,將有關文件上傳到網盤中,并設置共享,造成泄密。
案例四:2017年,在網絡上發現有關M市的大量涉密測繪信息,經查,系李某在出差入 住酒店時,誤連了酒店的公共WIFI,導致筆記本電腦里的涉密文件被竊,造成失泄密事故。
案例五:M市某涉密人員將多份涉密文件帶回家處理,該涉密人員母親為邪教組織成員, 將文件竊取后,文件幾經流轉被境外媒體獲取并加以利用。
第四章 涉密信息管理存在的突出問題及原因分析 近年來,涉密信息管理工作越來越得到黨和國家的高度重視,總體國家安全觀為涉密信 息管理工作賦予了新的時代使命,相關資金、政策保障為涉密信息管理工作提供了有利的發 展環境,市場經濟的活躍為涉密信息管理工作提供了更多元化的技術支持和人才支持。在這 樣的發展機遇下,我國涉密信息管理工作取得了長足的發展,但也在這樣的發展機遇下,我 國涉密信息管理取得了長足的發展,但也依然存在一些不容忽視的問題。
4.1涉密信息管理存在的突出問題
4.1.1涉密信息管理法規制度不健全 法律法規層面,我國目前形成了基本的保密法律法規框架,但在具體實施過程中發現不 夠完備,存在著不足之處。一方面,涉密單位、涉密人員、涉密信息覆蓋的行業、領域眾多, 現在的法律法規雖然數量可觀,但在具體內容上不夠細致,存在大而化之的問題,在具體操 作中,一些問題找不到準確對應的法律依據。另一方面,隨著涉密信息管理技術的進步和竊 密技術的發展,一些新的安全問題不斷產生,對新問題的解決往往不能從現行法律體制中找 到適用的法律法規,體現出法規制度的前瞻性不足。此外,現有的法規制度很多是“結果論”, 違法違規行為造成嚴重后果了,才予以追求,但涉密信息管理更需要從“過程論”的角度對 失泄密風險隱患予以杜絕。
規章制度層面,存在針對性、可操作性不強的問題。有些單位的涉密信息管理制度存在 大而化之、千篇一律的問題,沒有著眼自己單位的實際情況全面梳理管理過程中的重點和風 險點,沒做到用完善的規章制度管人管事。
4.1.2定密、解密不規范 定密工作是涉密信息管理工作的源頭性、基礎性工作,當前定密工作存在以下幾個問題: 一是定密程序不嚴格,很多單位部門在定密過程中,沒有嚴格執行審核審批程序,影響定密 的嚴謹性。二是定密主體不適格,《保密法》對不同級別機關單位的定密權做出了詳細規定, 實際工作中,有些縣一級單位不具備定機密級的權力,但很多文件習慣定位機密,甚至會議 通知為了引起重視,也定上密級,不符合相關規定。三是秘密標識不規范,國家對秘密標識 的規定包括密級、保密期限、標識、編號,但在保密檢查中,發現存在未張貼標識或標識內 容不完善的情況。四是沒有做到派生定密,有些單位在對上級下發的密級文件在執行過程中 存在不定密或密級低于原文件的密級,不符合派生定密的相關要求。
與定密相對應的是解密工作,一方面長期以來存在“重定密、輕解密”,“只定密、不 解密”,“一定終身”的情況,既妨礙信息的利用,同時浪費涉密信息管理資源。另一方面, 存在解密后不做任何處理就公開的情況,按照規定,解密后仍然需要在公開之前做一些技術 處理,如把文件號、密級、敏感信息等去除,而且要經過法定的程序進行處理。 4.1.3工作人員失泄密問題
權威統計顯示,近年來半數以上的失泄密案件發生在黨政機關內部,與涉密工作人員主 動泄密或過失泄密有關。目前,針對涉密人員的任用審查存在審查不嚴的情況,大部分涉密 人員的任用審查只需要去派出所開具無犯罪記錄證明,而缺乏對其親屬和好友的審查,近幾 年查處的多起案件都有泄密者親友參與其中的影子。在主動泄密方面,由于人力情報在準確 性和可靠性方面要高于技術情報,因此其他國家的情報機構始終通過各種渠道和手段在我國 內部培植代理人,讓他們發揮橋梁作用或直接從事竊密活動。黨政機關涉密工作人員因為直 接接觸國家秘密,且涉密級別高,成為其他情報機構重點拉攏的對象,有一些理想信息不牢 固的涉密工作人員被拉攏后,大量泄露國家秘密,對國家安全造成極大的損害。在過失泄密 方面,由于泄密工作人員保密意識、常識、技能缺乏,無意間造成涉密信息的泄露,比如在 公開場合談論涉密信息;公開網絡傳輸、儲存涉密信息;涉密磁介質違規接入互聯網絡等; 將涉密載體違規帶出辦公場所造成遺失等。
4.1.4網絡泄密問題突出
近幾年,網絡泄密成為保密檢查中最為突出的問題,主要集中在內網泄密、公網傳密泄 密、政務公開等方面。內網泄密方面,為了提高工作效率,很多單位積極開展辦公局域網建 設,也稱為內網,內網不是涉密的,按規定不能處理涉密的信息,但在日常工作中,由于對 非涉密網絡的定性不明或心存僥幸,在辦公局域網內存儲、處理和傳輸涉密信息時,會存在 涉密信息泄露的安全隱患。公網傳密泄密方面,以美國為首的西方國家組成“五眼聯盟”,一 直對全球實施全方位的信號情報搜集。據《美國全球監聽行動紀錄》披露,美國每天搜集全 球各地近 50 億條移動電話記錄,騰訊聊天軟件和中國移動的飛信等都在其監控范圍之內。在 這種“透明”的通信網絡環境之下,互聯網、手機通信網絡、固定電話通訊以及無線和有線通 訊都不能保證信息的傳遞安全。機關單位及其工作人員在傳遞涉密信息時,不使用加密網絡 和設備,就會帶來涉密信息安全隱患。政務公開泄密方面,隨著信息化進程不斷加速,政府 網站也逐漸成為公開信息的重要途徑,部分機構、單位,在信息公開的過程中,未進行保密 審查或不嚴格進行保密檢查,違反了信息公開的程序而導致了涉密信息的泄露。此外,互聯 網上信息浩繁,某份文件被多家互聯網站刊載且未標密,并不意味著這份文件就一定不涉密, 如果該份文件是被他人違規上傳的國家秘密,轉載行為會導致涉密信息擴散范圍更廣,造成 “二次泄密”。
4.1.5自動化辦公設備存在安全隱患
自動化辦公設備包括計算機、復印機、掃描儀、數據存儲設備等。在網絡竊密頻繁發生 的今天,各機關、單位已能做到將計算機區分為涉密計算機和非涉密計算機,但涉密計算機 所處的物理環境的安全性往往容易被忽視,有些機關、單位的涉密計算機被放置在多人共用 的辦公室,或則大門敞開、無人值守的打印室,或者閑置在既無人辦公也無人管理的儲物間、 資料室,結果輕則非授權人員可以擅自接觸涉密計算機,閱讀、竊取其中儲存的涉密信息, 重則導致涉密計算機被盜、遺失,泄密風險隱患十分嚴重。另外,計算機標識不清也是泄密 隱患,機關、單位采購的計算機從外觀上看相似度很高,在未張貼標識的情況下,涉密計算 機和非涉密計算機難以直觀區分,因此,在實際工作中,由于有關責任人員疏忽大意,或是 工作交接不到位等原因,導致涉密計算機誤被當作非涉密機被插入網線違規外聯的情況也時 有發生。非涉密計算機、存儲設備缺乏信息安全保密防護措施,如果用來存儲、處理涉密信 息,無法對涉密信息提供有效的控制和保護,且非涉密設備往往連接互聯網,可能感染計算 機病毒,或被植入竊密程序,泄密風險極大。目前,已有規定不允許非涉密設備連接涉密設 備,工作人員如需在兩種設備間傳輸工作素材,需通過“擺渡機”進行操作,但是保密檢查 過程中多次發現,有工作人員為了減少所謂“擺渡”的麻煩,直接將工作素材傳輸到未經許 可的互聯網計算機中處理,這樣的操作容易被植入木馬等竊密程序,使涉密信息系統受到遠 程控制,帶來涉密信息泄露的安全隱患。計算機不及時更新病毒防火墻和殺毒軟件會導致不 能及時在第一時間發現電腦病毒,帶來安全隱患。
此外,在設備維修方面也存在一些問題。很多機關、單位工作任務比較繁重,涉密計算 機如果在關鍵時候出現故障,工作人員往往第一反應就是要盡快修好,有時候不通過定點維 修單位,而是通過別的渠道維修。這其中有諸多泄密隱患,一是故障硬盤、打印機等都有記 憶存儲功能,外送維修可能導致泄密信息被復制或丟失。二是維修中告知、監督不到位,維 修過程中,涉密計算機有可能會被連接到互聯網引起泄密或病毒植入。三是維修人員本身存 在一定的泄密隱患。
4.1.6政府會議、活動存在泄密隱患
舉辦涉及國家秘密內容的會議或者其他活動,往往涉及大量國家秘密,并且還涉及會議 或者活動的場所選擇,參加人員范圍的控制,有關設備、文件、資料的使用和管理,事項的 傳達范圍及對外宣傳口徑等工作,環節多、對象雜,稍有不慎,會議、活動涉及的秘密信息 就會在有關環節經由有關對象泄露,嚴重影響政府涉密信息的管理工作。
一些會議、活動場所往往安裝了一定數量的智能攝像頭,進行遠程監控和偵測報警。近 年來,眾多智能攝像頭爆出安全隱患,黑客可以輕松攻破智能攝像頭,非法控制智能攝像頭, 使安全監控變成了秘密直播。如果涉密會議、活動選在裝有智能攝像頭的場所,一旦智能攝 像頭為黑客所控制,就極有可能導致涉密會議、活動場景、聲音等外泄。此外,隨著科學技 術的發展,針孔攝像頭、微型竊聽器等竊聽、竊照器材朝著微型化、智能化、廉價化發展, 容易獲取、攜帶、安裝和長期隱藏。一旦被竊密者安裝或放置在涉密會議、活動場所,或者 保密要害部門,將嚴重威脅涉密信息安全。涉密會議、活動涉及人員范圍較廣,既有舉辦單 位人員、參加人員,也有服務人員。舉辦單位往往重視對本單位工作人員的保密教育和提醒, 但有可能忽視會議、活動承辦單位有關服務保障人員,如會場服務員、資料印刷和運送人員、 安保人員、車輛駕駛人員等的保密管理。這些人員在涉密會議、活動舉辦過程中,能夠接觸 到會議方案、材料,以及參會人員姓名、職務等。他們一旦被收買、策反,或故意竊取、留 存會議材料,拍攝活動內容,也將嚴重威脅涉密信息的安全。
4.1.7保密技術不夠先進
保密技術對涉密信息管理有著至關重要的支撐作用,目前我國的保密技術不能完全適應 新形勢下保密工作的需求,主要體現在以下幾個方面;一是與發達國家相比,在密碼技術、 頻閉與干擾技術、隔離技術、身份認證技術等方面存在差距,有些核心技術甚至存在代際差 距。二是保密技術設備應用不夠廣泛,目前我國核心涉密部門配備了部分保密設備技術,但 在一般機關單位,由于重視程度、資金投入、技術保障等方面的問題,對先進保密技術應用 較少。三是風險發現能力弱,目前我國對網絡信息安全領域的新技術、新理論、新技術所開 展的系統性研究還不夠,檢測、發現、防范、處置網絡信息安全問題的能力不能適應新形勢 的需要。
4.1.8保密檢查有待進一步加強
保密檢查是及時發現問題、糾正問題、完善管理系統的重要方式,也是涉密信息管理的 重要環節。目前,保密行政管理部門開展保密檢查主要存在檢查執法的力量和力度不夠的問 題,具體表現在以下幾個方面;一是技術力量不足,技術手段相對落后,隨著木馬病毒、手 機竊密和大數據盜密等新式竊密方法的出現,保密檢查仍停留在較低技術水平的檢測方式, 如關鍵詞、磁介質接入等,難以滿足當前保密的需要。二是保密檢查人才力量不足,保密檢 查是一項專業、技術性極強的工作,目前地市級保密行政管理部門專業人才配備不足,這種 情況在縣一級更為普遍、突出。三是保密檢查查處力度不足,存在例行公事、走過場的情況, 查出問題以后,往往存在說情的情況,不能真正通過保密檢查找出漏洞,監督整改。
各個單位根據《機關、單位保密自查自評標準》開展的自查自評工作,也存在例行公事、 走過場的情況,大部分單位的自查自評結果都在90分以上,但保密行政管理部門一去檢查, 就出現各類問題。一方面,各個單位缺乏專業技術和專業人才,有些問題光靠人力檢查難以 發現,必須依靠技術手段。另一方面各個單位的保密干部大多是兼職,存在年齡偏小或偏大 的兩級分化情況,反應出部分單位領導對保密工作的重視程度不足。
4.2涉密信息管理存在問題的原因分析
4.2.1法規制度建設滯后、不完善 從保密法規體系建設的角度來看,我國與涉密信息安全有關的法規制度制定比較滯后, 體系不夠完善,這種情況很難為涉密信息安全管理提供可靠的法律基礎和執行基礎。一方面 信息安全與保密法規銜接不暢,當前很多保密法規都是在已有法律的基礎上進行修改,修改 的范圍有限,而當前信息化飛速發展,新的信息安全問題不斷出現,現有保密法規不能完全 解決這些新問題。二是法律制度相對滯后,許多制度都是在嚴重失泄密事件發生后,才重新 制定和修改的,這反映出現有制度缺乏對風險的前瞻性研判。
4.2.2工作責任制落實不力
保密工作責任制是由保密工作的特點決定的,體現了憲法關于一切國家機關“實行工作 責任制”的基本要求,是做好當前形勢下涉密信息管理工作的重要抓手。在工作責任制中, 領導干部工作責任制尤其重要。當前,涉密信息管理中存在的很多問題都可以歸咎于工作責 任落實不力,如定密不規范、保密干部不作為、單位涉密信息管理觀念淡薄紀律松懈等。 4.2.3 涉密信息管理機制不順暢
政府的涉密信息管理工作要求主要由專門的保密部門承擔,但在實際工作中,基本是由 每個單位自己來管理。地方的保密部門一個機構,兩塊牌子,即保密委員會辦公室、保密局, 一般下設在黨委辦公室,所以一定程度限制了它的職權,在黨委辦屬于比較弱勢的機構,同 時由于包括涉密信息管理在內的保密工作不屬于政府績效考核的指標,因此涉密信息管理往 往不作為一項重要工作明確工作責任制,責任不能明確落實到領導和工作人員個人,使得涉 密信息管理工作得不到足夠重視和人力、物力的保障。
4.2.4涉密工作人員保密意識不強或受經濟利益驅使
相關工作人員的保密意識淡薄,對涉密信息管理的重視程度不夠。一方面,不少涉密人 員對涉密信息管理存在誤解,認為身處和平年代,就無密可保,對自己每天看到的涉密信息 并沒有提起重視,總是覺得這些信息都是很平常的文字。但是他們不知道自己在明處,敵人 在暗處,敵對勢力和不法分子很可能通過各種高科技的隱蔽手段對基層黨政機關涉密信息進 行竊取。另一方面,有涉密人員對涉密信息管理存在僥幸虛心理,如有的涉密人員明知涉密 信息管理要求和流程,但出于惰性和僥幸心理,不按規定辦事,有的涉密人員或將涉密信息 作為新鮮的談資,覺得只告訴某些人不會為更大范圍知曉而造成泄密。
20 世紀以來,互聯網迅速發展,并不斷普及,滲入到生活的方方面面。與此同時,境外 間諜情報機關也開始利用互聯網向境內滲透,他們憑借捏造的報社主編、訪問學者、高端領 域研究員等虛擬身份,在互聯網上廣泛撒網以物色到可以利用的境內人員。近幾年,境外間 諜情報機關“網絡勾聯”十分活躍,政府作為管理國內大小事務的機關,工作人員或多或少 掌握一些國家秘密,這些人員本就是境外間諜情報機關開展策反活動的目標,而當這些涉密 人員對自身現狀不滿、受到利益誘惑的時候,泄密的隱患就大大增加。
4.2.5保密技術相對落后
隨著信息化的發展,涉密信息管理已經從過去主要依靠人防,向人防、物防、技防多措 并舉的方向發展,技術支撐發揮的作用越來越重要。近些年,隨著我國科學技術的不斷發展, 與涉密信息管理緊密相關的國產操作系統、涉密管理系統、云計算、數據傳輸技術等已取得 了重大突破,但現有的科技成果轉化成技術產品的進程較緩慢,導致這些先進技術在大范圍 的推廣應用受到限制。此外,目前機關單位使用的計算機操作系統、應用軟件、通信技術有 些還是國外的技術,我們還無法實現完全的自主掌控,導致我們在核心技術上長期受制于人。
4.2.6教育培訓不到位
一些過失泄密事件顯示相關人員并非不想做好涉密信息管理工作,而是互聯網、大數據 時代,信息管理技術和互聯網攻防技術更新換代很快,在當前技術條件下,他們缺乏相應的 保密意識和保密技能,對新技術的泄密風險掌握不夠透徹,這也直接體現了目前政府對于涉 密信息管理的培訓相對滯后。一是培訓的技術相對老舊,大都是僅供學習,但已經被時代所 淘汰的技術,而且知識面較窄,不能培養全面人才。二是培訓單一,就像大雜燴,不能夠做 到細分不同類型的工作人員分開進行不同的培訓。三是培訓不能常態化,有的單位只有入職 培訓,而沒有后續的相關培訓。而且相關政府部門對工作人員培訓不夠重視,有不少單位認 識到這一點而且向上級提出過申請,但終究是因為缺少經費、場地或是一些其他的必要條件 而沒能開展。
第五章 總體國家安全觀視角下加強政府涉密信息管理的對策建議
新形勢下,國家安全是全方位、立體化與多維度的總體國家安全。政府涉密信息管理工 作應放置在總體國家安全中綜合考量。筆者依據總體國家安全觀與工作實踐,對 M 市政府涉 密信息管理工作進行研究,提出了對市級政府日常涉密信息管理工作中存在問題的具體對策, 但筆者認為,對 M 市政府涉密信息管理工作的研究不應該僅僅停留在市級政府運行層面,更 應該以實際問題為導向,從管理需求出發,在更高層面進行頂層設計和優化,以達到推動政 府涉密信息管理、維護國家安全的目的。
5.1加強組織領導
5.1.1落實領導干部責任制
保密工作領導干部的責任制是中央關于加強各級領導干部的保密工作管理職責和加強中 央關于保密工作的基本要求,是保密法及實施條例的中心部分。相關政府領導干部的工作責 任實際上具有雙重含義,首先領導干部是整個機關單位重要涉密人員,要落實自身的保密職 責,其次,政府領導干部對政府保密工作有一定的領導職責,應當履行自身所在行政部門的 保密管理工作以及領導監管職責,真正把黨中央對于保密方面工作的指示貫徹實處,進而保 證涉密信息的安全和穩定。強化涉密信息管理工作領導干部責任制,是提升領導干部涉密信 息管理意識的直接方式,領導干部重視涉密信息管理,整個單位才會在運行在重視涉密信息 管理,涉密信息管理工作也更能得到人力、財力上的支持。
5.1.2完善機構人員建設
按照國家秘密分布規律和當前形勢下保密工作轉型的需要,對保密機構進行適當的調整, 重視重點地區、重點領域、重點部門的保密需求,加強核心涉密部門的保密工作力量。明確 保密部門的主體地位,進一步提高保密行政管理部門工作的獨立性和權威性。對于部分地區, 特別是基層保密機構人員編制少、人員配置不足的情況,需要及時規范機構設置,充實人員 編制。
5.2完善法制體系
5.2.1完善法律法規
涉密信息管理工作應堅持依法管理,在法律、法規框架下制定針對不同政府部門的工作 規范和流程。當今,隨著信息科技的迅速進步發展,信息電子技術也日新月異,給信息安全 和涉密信息管理不斷帶來新挑戰,新型涉密信息泄露事件找不到準確對應的法律依據予以制 裁的問題越來越突出。因此,我們有必要持續關注并完善與信息安全、保密相關的法律制度, 使其更完整,更系統,更具有可執行性。
5.2.2健全保密制度
根據保密法及其實施條例,完善涉密信息管理制度,如涉密網絡制度、定密管理制度、 案件查辦制度、涉外活動管理等。加強國家保密法規配套標準的建設,加快保密基礎制度的 建設,出臺相關保密技術防護、保密檢測評估等的國家標準。
5.2.3完善工作細則
政府不同部門工作職責不同,除了共同遵守的法律法規、國家制度,還應在此框架下, 確立適合各部門的涉密信息管理工作細則,并在指導性法律法規、政策出現變化時,及時調 整工作細則,確保工作細則的針對性、時效性和有效性。
5.3強化機制建設
5.3.1完善監督檢查機制
一方面,政府各部門要要定期進行自查自評工作。要保證每一次的自查自評工作都要在 高標準、嚴要求、立典范、抓典型的要求下進行,政府相關工作人員也要將自查自評工作納 入到日常的工作當中,以此來保證政府對于涉密信息是嚴格管理的。另一方面,完善監督檢 查機制。強化保密行政部門的權限和職責,對各機關、單位開展涉密信息管理工作檢查,將 監督檢查工作常態化,并根據實際工作需要制定重點、難點工作檢查方案。形成以檢查促完 善的局面,被檢查單位不抵觸,能以正確心態面對和糾正檢查中出現的問題,檢查單位不存 在礙于情面,不能指出檢查中存在問題的情況。
5.3.2完善風險機制
從風險管理的角度,對涉密信息管理所涉及的認為或自然的威脅進行分析,提出有針對 性的整改措施,進而防范和化解涉密信息管理過程中的風險點,保障涉密信息管理安全有效。 涉密機關、單位定期對涉密信息系統、辦公設備、數據庫、電子政務內網、政府門戶網站等 開展風險評估。開展風險評估的方式主要有自評和他評兩種。
5.3.3完善應急管理機制
雖然涉密信息管理越來越得到重視,但失、泄密事件仍時有發生。對于失、泄密事件, 應當第一時間啟動涉密信息應急管理機制,把失、泄密影響控制在最小范圍內。一是組建應 急指揮小組,具體負責所在轄區的涉密信息安全事件。二是建立可量化的危機等級評價標準,
根據失、泄密內容的重要程度、擴散范圍等劃分危機等級。
5.4 提高管理意識和管理能力
5.4.1 開展保密宣傳
涉密信息管理不僅需要涉密崗位工作人員提高保密意識,政府每一位工作人員都應切實 提高保密意識。目前,很多公職人員手握重要信息數據而不自知,認為自己經手的數據和業 務只是碎片化的信息,而不認為這些信息數據會涉及到涉密信息安全,更不認為這些信息會 關乎國家安全,然而很多基礎信息,被二次加工和處理后,都有可能變成針對我國某一特殊 情況的群像信息,被有心之人加以利用。開展保密意識和保密常識教育,可以在很大程度上 扭轉這一現象,政府相關部門應把這種“兩識”教育列為政府的基礎性工作定期開展,為涉 密信息管理工作創造良好的人文環境。
除了針對政府工作人員的保密教育活動,針對全社會范圍的保密教育也必不可少。近年 來,境外情報機關針對我開展的竊密活動中,有些是直接針對涉密人員的,還有一些是針對 涉密人員的身邊人如他們的家人、朋友。政府可以通過文化周活動宣傳、線上網絡平臺等方 式,開展面向社會的保密文化建設,在全社會范圍內創造人人會保密的良好氛圍。
5.4.2開展專業化業務培訓
對涉密信息管理工作人員實施系統完整的專業化業務培訓,例如密碼通信網絡以及電子 政務內網的相關知識、信息系統安全穩定保密工作體系的筑建、竊密和反竊密技術、網絡安 全基本知識等,提高前沿技術、理念普及率。邀請保密專家和頂尖學者參與業務培訓,講解 最前沿的保密技術和保密設備,用先進的知識為涉密信息管理工作賦能。進行有關案例的全 面展示與分析,普及涉密信息管理的流程、工作規范和風險點,擴大工作人員涉密信息管理 的知識面,提升管理能力和應急事件處理能力。
5.4.3強化基層人才建設
部分基層單位在錄用工作人員時,為了達到招人目的,則把條件逐漸降低或不被專業因 素所限制,這會直接造成基層單位在計算機技術水平、信息安全穩定、通訊工程等方面的綜 合型人才出現緊缺,所以我們應當重視并增強基層力量。一方面能夠科學合理地設置相關工 作崗位,積極引進各個相關領域的涉密信息管理人才。另一方面,針對市級、鄉鎮一級涉密 信息管理崗位的配備和人才的選用受到諸多現實條件制約的情況,可以采用定向委培的方式, 使基層涉密信息管理工作人員有機會系統學習涉密信息管理。目前,國家保密技術研究所以 及一些政府部門共同合作開創了信息安全、保密學等科學課程,國家保密局協同南京大學創 建了國家保密學院,這些課程資源應有針對性地向地方、基層傾斜。
5.5關注重點領域管理
5.5.1定密管理
在定密工作中,要堅持最小化、精細化的原則,遵守定密權限、對照定密依據、嚴格定 密程序,確保國家秘密的確定、變更和解除及時準確。一是嚴格按照法律規定定密。定密權 限應當由法律限定,定密授權需要把握“業務為主,便利工作”的基本原色。一旦違反定密 權限隨意定密,就會影響到定密的專業性、準確性,導致該定的不定,不該定的亂定,高密 低定,低密高定,造成定密工作的混亂,進而影響涉密信息管理工作。二是落實定密責任制 度。定密責任人制度是 2010 年《保密法》新增加的內容,規定機關、單位負責人及其指定的 人員為定密責任人,負責本機關、本單位的國際秘密確定、變更和廢除工作。定密責任人要 在工作中,依據有關保密事項范圍,對負責具體事項的承辦人提出的定密意見進行認真審核 把關。
5.5.2涉密載體管理
隨著涉密信息化和涉密網絡化的逐步到來,國家秘密機關存在的信息形態和載體運作管 理方式也開始發生了很大的發展變化,涉密信息載體從原以紙質為介質的信息形式逐漸發展 演變成聲、光、電和磁等各種信息形式,涉密信息載體的運作形式也開始有很大的發展變化。 尤其是光盤、U盤等載體存儲容量大、復制速度快,對涉密載體的管理是涉密信息管理的重 中之重。一是涉密載體應指定專人負責保管,除保管人外,其他人借用需按規定進行登記。 二是涉密載體應盡可能只在本機關、單位內部使用,如果外部傳遞,一定要主義傳遞途徑穩 妥安全。三是涉密載體在閱讀、使用時應注意環境安全,防止涉密載體丟失,不被不應知悉 者獲取。四是涉密載體如需停用,需經專業部門進行消密處理。
5.5.3涉密人員管理
涉密人員管理歷來是涉密信息管理工作的重點。《保密法》明確了涉密人員的定義,并 制定了涉密人員崗前、在崗、出國(境)、脫密期等一些列管理制度。對涉密人員的管理, 可以從以下幾方面進行強化。一是科學確定,嚴格遵循規定的標準和程序,確定涉密職位和 涉密工作人員的涉密等級,在涉密職位調整時,及時對涉密工作人員涉密等級進行調整。二 是嚴格檢查,按照統一審查標準和程序,對擬就任涉密工作人員進行審查,嚴把涉密工作人 員入口關,對已就職的涉密工作人員進行定期復審,對核心涉密人員,也應審查其家庭成員 的情況。三是對涉密者實行全程監管,對涉密人員進行全過程管理。綜合利用教育培訓、簽 署承諾書等手段,嚴格就職、在崗、離崗保密管理,確保各環節之間的管理無縫對接。對涉 密人員管理還應考慮對涉密人員的權益的保障,由于工作過程中接觸國家秘密信息的工作人 員,在工作崗位上甚至是離職之后承擔了較多的風險和責任,因此國家應當對這部分工作人 員在待遇和工作條件方面提供一些特殊保障。
5.5.4涉密辦公自動化設備管理
隨著新技術的發展和應用,辦公自動化設備的含義越來越廣泛,涉密辦公自動化設備在 供應鏈、生產制造、物流運輸過程中,存在被惡意設置后門、嵌入病毒、安裝竊密裝置等風 險。加強涉密辦公自動化設備管理,應從以下幾個方面著手。一是制定可選購設備名錄,機 關、單位按需從可選設備名錄中選擇購買。二是涉密自動化辦公設備在投入使用前,要進行 專門的保密技術檢測,并拆除無線聯網功能硬件模塊。三是嚴禁涉密辦公自動化設備接入互 聯網使用。四是涉密辦公自動化設備使用專用的插座和線路。五是淘汰、報廢的打印機、復 印機、掃描儀等涉密辦公自動化設備,要嚴格履行清點、登記手續,并送交保密行政管理部 門指定機構銷毀。
5.5.5涉密計算機、互聯網管理
一是涉密信息系統終端要確保所處的物理環境安全,放置在相對安全、獨立、可控的位 置,做好標識,并指定專人管理和使用。二是嚴格區分涉密計算機和非涉密計算機,兩種設 備分別配備涉密存儲設備和非涉密存儲設備,不交叉使用,涉密計算機不得連接互聯網。三 是非涉密辦公內網不能視作涉密信息系統存儲、處理、傳輸涉密信息。四是涉密設備盡量在 單位內部維修,與維修人員簽署保密協議,并需要有工作人員在旁監督。五是涉密信息系統 打印、刻錄輸出信息應做好嚴格的審批和審查管理。六是在政府網站發布信息前,需經過保 密審核。七是不通過公開網絡傳遞涉密信息。八是防火墻、殺毒軟件及時更新。八是涉密載 體的購買、運用、維護、銷毀等各大有關步驟都應當加大管理力度,防止泄密狀況出現。
5.5.6政府會議、活動涉密信息管理策略
加強政府會議、活動涉密信息管理,主要有以下兩個方面。一方面,使用符合國家保密 規定和標準的場所、設施、設備。涉密會議、活動應盡量選擇相對獨立、安全可控的場所舉 辦,提前進行保密技術檢測,及時發現隱蔽、偽裝的竊聽、竊照裝置,關閉會場內部智能設 備和與會人員隨身攜帶的智能通訊設備。另一方面,加強對涉密會議、活動相關人員的保密 教育、提醒和監督,主辦單位應當對參加人員提出具體保密要求,明確保密責任,降低泄密 風險。會議、活動如有新聞報道和政務公開的需求,對其中的涉密信息,應當按照有關規定 程序報批,并向采編人員申明,對未批準公開的涉密信息做好保密。
5.6加快保密技術研發
5.6.1提高對保密科研的重視程度
一方面,加大保密科研工作的投入,特別是在政府涉密信息系統的開發、建設和維護等 方面的投入,大力促進保密科研工作的發展,為保密技術的研究提供資金支持和政策支持, 盡快研發出適應當前保密工作需要的先進技術。另一方面,積極推動保密科研向技術產業聚 集的方向發展,打造保密技術創新示范區,打造保密科研領域龍頭企業,在產品認證、展品 交易、政府采購等方面完善保密技術產品產業鏈條。
5.6.2構建保密科研體系
將保密領域的相關科學研究體系有效地構建起來,實現國內不同部門及機構之間的合作, 形成一個具有中國特色的先進的保密領域科研工作局面,設置針對此領域的一系列國家級和 地區級重點項目,通過需求來對創新研究進行有效的引領。促進各種配套設備的研制及應用, 全面實現保密裝備的自主生產化,并且做好后續的維護工作。
5.6.3加快國產化替代進程
在過去很長的一個時間里,國外的敵對勢力通過各種技術來竊取我國的秘密,所以需要 通過各類硬件及技術的研發來進行反制,包括辦公設備、保密檢查、防護裝備以及測評等所 需的裝備,將具有我國自主知識產權的相關產品研發出來并且推廣,以實現我國的安全保密 工作目標。目前我國的黨政部門以及企事業單位主要還是采用美國微軟公司開發的操作系統。 它有比較多的泄密后門隱患存在,并且已有較多的相關泄密事件出現。所以,有必要進一步 做好我國核心性應用軟件、工業控制體系以及源代碼操作系統等的研究及開發,將泄密后門 牢牢地堵住。
參考文獻
[1]張海波.中國總體國家安全觀下的安全治理與應急管理J].中國行政管理,2019.
[2]龍方欽;基層黨政機關信息安全保密管理問題研究[D];湖南大學;2012年7
[3]宋繼偉.總體國家安全觀下的"敏感信息"管理機制芻議——美國經驗借鑒[J].情報雜志, 2018, 37(08):111-117.
[4]姚斌.總體國家安全觀視角下個人信息保護機制研究[J].保密科學技術,2019.
⑸劉躍進,劉思偲.總體信息安全觀下的國家信息安全保障[J].新疆警察學院學報,2018, 38(01):28-33.
[6]沈逸.關于計算機網絡信息安全及防護策略探究[J].保密工作,2016.
[7]張繼虎.堅持總體國家安全觀打贏新時代保密戰[J].保密工作,2019(5).
[8]孫瑞英,馬海群.總體國家安全觀視域下中國特色的國家情報工作安全體系構建研究[J]. 情報資料工作, 2019, 40(001):33-43.
[9]張海波.中國總體國家安全觀下的安全治理與應急管理[J].中國行政管理,2016, 000(004):126-132.
[10]張家年, 馬費成. 總體國家安全觀視角下新時代情報工作的新內涵、新挑戰、新機遇和新 功效[J].情報理論與實踐,2018, 041(007):1-6.
[11]李安曜,嚴奇峰.國家安全與個人隱私-數位時代的政府監控爭議[J].中原企管評論,2016, 14(2):1-17.
[12]湯祖軍.淺析計算機網絡安全的風險及防范技術J].江蘇科技信息,2014,(10): 24-28
[13]戴鵬.從國家發展戰略看信息化建設[N],學習時報,2014.4.7(5).
[14]宋繼偉.政府“敏感信息”管理機制芻議一一美國經驗借鑒J].情報雜志,2018年8月.
[15]杜友文.美國信息安全政策及其對我國的啟示[J];情報探索;2009年01期
[16]張榮忠.美國信息技術標準對公共安全的支撐[J]泄界標準信息;2008年10期
[17]張莉,黃日涵.美國網絡安全組織架構探析[J].江南社會學院學報,2014.16(02):18-21.
[18]王寧.地緣政治與顏色革命[J].江南社會學院學報.2016.12(01):9-16.
[19]中共中央黨史和文獻研究院.習近平關于總體國家安全觀論述摘編[M].中央文獻出版 社.2017.3:46-53
[20]《總體國家安全觀干部讀本》編委會.總體國家安全觀干部讀本[M].人民出版 社.2016.4:73-76
[21]曹海峰. 落實總體國家安全觀推進新時代公共安全體系建設——中國應急管理創新論壇 (2017)綜述[J].行政管理改革,2018, 000(002):60-63.
[22]張海波.中國總體國家安全觀下的安全治理與應急管理J].中國行政管理,2016,
No.370(04):128-134.
[23]何劍波.政府信息公開視域下的國家秘密保護制度研究[J],2017.
[24]沈昌祥.關于加強信息安全保障體系的思考[J].信息安全與通信保密,2012(12):11-14
[25]本書編寫組.鏡鑒——保密警示教育案例集[M].金城出版社;2020,5.
[26]本書編寫組.保密提醒100條,金城出版社[M];2020,4.
下一篇:沒有了
相關標簽:
