熱門論文
最新論文
基層黨政機關涉密信息管理研究 ——以河北省Q縣為例
發布時間:2023-07-17 15:34
摘 要 III
Abstract IV
緒論 1
(一)研究背景和意義 1
1.研究背景 1
2.研究意義 2
(二)國內外研究綜述 2
1.國內研究綜述 2
2.國外研究綜述 3
(三)研究方法 4
1.文獻法 4
2.調查法 5
3.對比分析法 5
4.案例分析法 5
(四)研究內容和創新點 5
1.研究內容 5
2.創新點 5
一、相關概念和基本問題 7
(一)相關概念的界定 7
1.涉密信息 7
2.保密工作 8
(二)涉密信息管理的一般原則 8
1.以人為本 8
2.依法管理 8
3.分層管理 9
4.風險管理 9
二、 Q縣涉密信息管理的概況和風險隱患 10
(一) Q縣涉密信息管理的整體情況 10
(二) Q縣涉密信息管理的問題和風險隱患 10
1.組織結構不合理 10
2•硬件設備運維不周 11
3.應用技術較落后 12
4.思想認識不到位 13
三、 影響Q縣涉密信息管理的因素 15
(一)工作環境的因素 15
1•國際上竊密活動猖獗 15
2•國內網絡泄密渠道多樣 15
3.本系統業務單一、環境封閉 16
(二)思想認識的因素 16
1•領導重視程度不夠 16
2•個人保密意識淡薄 16
3.依賴思想嚴重 17
(三) 內部管理的因素 17
1•規章制度不健全 17
2•監督檢查不規范 17
3•教育培訓不到位 18
(四) 技術保障的因素 18
1•核心技術依賴 18
2•操作系統漏洞 19
3•應用軟件漏洞 19
四、 美國涉密信息管理的經驗 20
(一)美國涉密信息管理的做法 20
(二)美國涉密信息管理的經驗 21
1.規章制度完善 21
2.保密技術發達 22
3.經費開支充足 23
4.機構職責清晰 23
5.打擊信息安全犯罪 24
五、完善基層黨政機關涉密信息管理的對策建議 25
(一)加強宣傳引導,提升意識水平 25
1.領導高度重視 25
2.加強宣傳教育 25
(二)健全體制機制,加強日常管理 26
1.監督檢查機制 26
2.風險評估機制 26
3.泄密預警機制 27
4.應急管理機制 27
5.工作問責機制 27
6.全程管理機制 28
(三)加強組織建設,人員選強任優 30
1.選拔優秀領導 30
2.建設過硬隊伍 30
3.保障機構職能 31
4.加強部門間協調 31
(四)保障資金投入,提升硬件設施 32
1.加強屏蔽和防護水平 32
2.建設安全保密傳輸網絡 32
3.配備安全保密檢測工具 32
(五)加強自主創新,提升技術水平 33
1.加強設備自主研發 33
2.加強相關理論研究 33
3.提升技術防范能力 34
結 論 35
參考文獻 36
后 記(含致謝) 39
緒論
(一)研究背景和意義
1.研究背景
根據2017年底的官方統計數據顯示,我國的網民數量已占全國總人口的一半以上, 高達7.72億,并且每年都有所增長。①我國有龐大的網民群體,近幾年在烏鎮召開的世 界互聯網大會也在昭示著中國已經是互聯網大國。日益加快的信息化步伐,使網絡滲透 到政治、經濟、社會生活的方方面面,網絡空間被形象地稱為繼陸、海、空、天之后的 第五空間。
在黨政機關,日常的公文處理、便民的政務服務都需要現代化的電子辦公設備,尤 其是習近平提出領導干部要善于走“網上群眾路線”后,上傳下達、傾聽民意也離不開 網絡。據國辦信息公開辦的統計結果,截至今年6月1日,全國正在運行的政府網站有 22206家,②一般都設置有領導活動、信息公開、政務服務等板塊。有的部門還開設了自 己的微信公眾號和新浪微博,相對于門戶網站,其用語更加輕松活潑;有的部門還有自 己研發的便民APP。除了政府機關對外的政務服務平臺,河北省各縣還有自己的0A網, 不同重要系統也有自己的業務專網……
信息化給我們帶來便捷高效的同時,也帶來了信息安全風險。 2017年初,包括全球 四大會計師事務所之一的Deloitte (德勤)、加拿大電信巨頭貝爾公司等在內的多家國 際知名企業內部敏感信息泄露③;2017年3月,美國中央情報機關被闖入,“最高機密” 泄露;2017年5月,一款名為“WannaCry”的蠕蟲勒索軟件襲擊全球網絡,致使中國部 分Windows操作系統用戶遭受感染,應用系統和數據庫文件被加密勒索……這些信息安 全事件層出不窮,病毒傳播、漏洞威脅呈上升趨勢,危害日趨嚴重。面對信息安全風險, 我國政府沒有掉以輕心, 2017年6月1日我國網絡安全領域首部法律——《中華人民共 和國網絡安全法》正式施行。搭建一個安全的互聯網生態,我們還有很多事情需要去做, 人才的培養、技術的升級、觀念的更新等等。尤其是在基層黨政機關,我們每天都在接 觸涉密信息,我們的辦公設備有沒有安全隱患,我們的辦公人員有沒有做到嚴守機密,
①中國互聯網絡信息中心.中國互聯網絡發展狀況統計報告[R].北京:201 &
②國務院辦公廳政府信息與政務公開辦公室.全國政府網站數量三年精簡七成[N].人民日報,2018-8-7(11).
③騰訊.2017年度互聯網安全報告[R].深圳:2018.
我們的風險防控系統是否安全,這些都是值得我們去深思和反省的。
2.研究意義
目前而言,學者們對涉密信息管理的研究不少,但是針對基層黨政機關層面的還比 較欠缺,本文精準聚焦、著眼基層黨政機關,綜合運用公共管理學、法學、通信管理技 術和傳播學等基本理論對基層政府涉密信息管理所存在的問題、成因及對策措施進行論 述,力求闡釋涉密信息管理具有多因性、綜合性、動態化的特點,試圖構建一個新形勢 下涉密信息管理的理論框架,進一步豐富涉密信息管理理論,為今后學者們的研究提供 真實的案例材料。
從應用價值的角度來講,本文通過分析河北省Q縣涉密信息管理存在的問題并探究 原因,希望建立一個加強基層黨政機關涉密信息管理的長效機制,幫助相關工作人員做 到嚴守機密,切切實實保障黨和國家的涉密信息安全,確保黨中央的政令安全暢通,進 而維護國家安全和根本利益。
(二)國內外研究綜述
1.國內研究綜述
與國外相比較而言,中國學者對涉密信息管理的研究起步較晚。直到20世紀90年 代初,隨著電子化辦公方式的普及和失泄密事件的頻發,國內學者對網絡攻防、加密解 密、身份識別等技術的研究開始增多。
法律方面,《憲法》《刑法》中有部分條款提及國家機關工作人員要保守國家秘密, 1988年通過了專門針對保密的《中華人民共和國保守國家秘密法》。規章制度方面,2009 年通過了《計算機信息系統保密管理暫行規定》, 2014年通過了《國家秘密定密管理暫 行規定》。更多的關于涉密信息管理的論述則出現在保密的相關教材和論文中。
教材中代表作有趙戰生、杜虹、呂述望主編的《信息安全保密教程》①、叢友貴的 《信息安全保密概論》②、楊永川和李冬靜編著的《信息安全》③等。這些教材對信息化 與信息安全保密的形勢、概念、技術、管理和人才的知識結構和技能等方面作了全面深 入的介紹。不但詳細敘述了國際上信息安全保障的新技術、新標準、新情況,還系統地 介紹了我國信息安全保密工作的政策、法規、標準和工作要求等內容,為從事信息安全
①趙戰生•信息安全保密教程[M].合肥:中國科技大學出版社,2006.
②叢友貴.信息安全保密概論[M].北京:金城出版社,2001.
③楊永川,李冬靜•信息安全[M].北京:清華大學出版社,2007.
保密的相關人員提供了權威性讀本。另外,還有一些主要探討專業技術的書籍,如王宇、 閻慧編著的《信息安全保密技術》①,從不同的層面系統地介紹了涉密信息管理的相關 技術。
相關論文方面,綜觀近年來的研究,重點集中在兩方面:一方面是研究如何進一步 完善制度、確保制度得到有效的貫徹落實、嚴格落實制度來確保涉密信息的安全保管。 如龍方欽的《基層黨政機關信息安全保密管理問題研究》②通過分析基層黨政機關信息 安全保密管理所面臨的環境,論證了失泄密的風險和原因,并結合國外信息安全保密管 理的實踐經驗,提出了對策建議。劉椰斐的《公共部門信息保密安全管理問題與對策》 ③一文闡述了信息保密安全管理中存在的問題,并分析了影響信息保密管理的原因,進 而研究探討解決信息保密安全管理的對策。黃勇強的《新形勢下黨政機關網絡信息安全 保密面臨的風險及對策措施》④一文就黨政機關存在的泄密風險進行分析并提出降低泄 密風險的對策措施。一些機構在這方面也有眾多科研項目,例如國家保密局的《涉密人 員管理制度研究》、國家保密科技測評中心資質審查部的《涉密信息系統集成資質保密 標準》系列解讀等。另一方面是探索通過先進的技術手段來加強涉密信息管理。例如張 培晶指出二維碼技術的應用可以實現涉密環境、涉密人員、涉密物品和涉密信息的實時 多方位管理。⑤丁京的《淺談保密工作管理信息系統的框架設計》⑥一文針對保密工作管 理信息系統的框架進行研究,并以Exce 1作為支持平臺,對保密制度、數碼介質、保密 機構、涉密會議、要害部門和涉密通信設備管理進行分析,并完成了模塊分析、設計工 作,為保密工作信息管理系統的實現和投入使用奠定了良好基礎。
綜上,可以發現專家和學者們的理論研究,為我國涉密信息管理理論體系的構建奠 定了一定的基礎,但也有待補充和完善。尤其是著眼縣級黨政機關涉密信息管理的相關 文獻還為之不多,無論從技術方面還是行政管理方面,尚沒有全面可行的研究成果。
2.國外研究綜述
目前,世界各國以及一些國際協會組織和國際標準組織都在致力于信息安全的研究 工作,尤其是美國等信息技術發達的西方國家在這方面起步較早,其研究與監管工作始
①王宇,閻慧.信息安全保密技術[M].北京:國防工業出版社,2010.
②龍方欽.基層黨政機關信息安全保密管理問題研究[D].長沙:湖南大學,2012.
③劉椰斐.公共部門信息保密安全管理問題與對策[D].蘇州:蘇州大學,2010.
④黃勇強.新形勢下黨政機關網絡信息安全保密面臨的風險及對策措施J].保密科學技術,2013(10):59-61.
⑤陳天平.黨政機關紙質涉密公文管理問題及對策研究[D].合肥:安徽大學,2015.
⑥丁京.淺談保密工作管理信息系統的框架設計J].中國管理信息化,2018(4). 終走在各國前列。在涉密信息管理方面,國外研究主要集中在如下三個方面:一是通過 各種手段強化對相關涉密人員的考察和監管;二是采用先進的保密技術,例如各種防火 墻、視頻監控、防竊密技術等手段;三是在定密方面有嚴格的定密官制度。
在涉密信息管理領域,國外的研究主要經歷了三個階段:首先是在技術層面實現信 息安全保密的階段,主要集中于1940年之后的40年間。信息理論的創始人Shannon于 1949 年發表了《保密通信的信息理論》,第一次從信息論的角度分析涉密信息管理, 他強調要確保通信的安全必須采用技術上的保護措施進行加密。之后由于這方面研究的 特殊性,鮮少有人研究出新的成果,直到1976年Diffe和Hellman合作的《密碼學的 新方向》一文提出了公開密鑰密碼體制后,涉密信息的通信問題才被更多學者重視并加 以研究。這一階段以美國學者的研究為主,強調通過技術手段,進而提高安全防范能力、 應急處理能力以及系統遭重創后的迅速修復能力。
20世紀70年代末到90年代,隨著信息化的發展和計算機技術的興起,發達國家官 方對涉密信息管理加以重視,多措并舉的綜合手段逐漸應用于信息安全保密工作。1977 年美國國家標準局公布了《國家數據加密標準》(DES)。20世紀90年代,美國人Manuel Castells在《網絡社會的崛起》一書中以其社會學家的背景,站在更宏觀和人文的角度 闡釋了信息安全保障的相關概念。美國國家安全局在他的啟發下制定了《信息保障技術 框架》,指出從戰略角度考慮涉密信息在技術、人員和操作三個方面進行全方位防護。
20世紀90年代末至今,涉密信息管理中人的因素被加以重視。美國信息安全專家 Whitman E.Michael和Mattord J.Herbert在《信息安全原理》一書中提出了人在涉密 信息管理中的重要地位,他們指出技術手段是十分薄弱的,為了保護已有的信息系統和 通信網絡,必須選拔和培養一批具有豐富經驗的信息安全專業技術人員。該書還綜合政 治學、計算機科學、信息通信等多學科的知識,為解決系統漏洞,確保信息安全規范化、 長效化提供了跨學科的解決方案。由此可見,國外對于涉密信息管理的研究已經從技術 性研究階段過渡到綜合管理的研究階段,強調多措并舉,并且其在相關制度設計上更為 細致和嚴謹,有值得我國借鑒之處。
(三)研究方法
1.文獻法
本文以網絡為技術平臺開展學術研究,檢索了中國知網、萬方、維普等數據庫,在 參考大量著作、期刊論文、碩博論文的同時,也從網上了解和掌握了可觀的文獻資料。 主要包括:一是涉及政府保密工作的法律法規、規章制度;二是涉及信息安全方面的專 著書籍;三是涉密信息管理理論研究中的前沿理論成果,如最新的期刊文獻和會議文獻 等。
2.調查法
涉密信息管理是黨政機關一項操作性很強的日常性工作,結合本人的工作實踐經 驗,通過在河北省一些縣級黨政機關進行實地調查、與相關涉密人員進行訪談等方式搜 集材料,對本文所研究問題的出路具有很強的指導意義。
3.對比分析法
本文通過對美國在涉密信息管理方面的先進做法,從立法、政策、管理、技術和運 行機制等各方面進行理論與實踐上的比較分析,尋求國外經驗對我國基層黨政機關涉密 信息管理的啟示。
4.案例分析法
選用河北省Q縣作為研究對象,對Q縣的涉密信息管理進行剖析,進而從身邊典型 的案例中總結出我國基層涉密信息管理工作所面臨的現狀及風險隱患。從具體到抽象, 認識規律、總結規律,提出能夠進一步加強基層涉密信息管理工作的對策。
(四)研究內容和創新點
1.研究內容
本文以“基層黨政機關涉密信息管理研究”為題,結合公共管理學、計算機技術、 信息安全、保密法等理論,以河北省Q縣為例,通過身邊真實的案例,分析出基層黨政 機關涉密信息管理工作環境、人員思想認識、硬件設備保障、技術支撐等方面存在的問 題,并對比美國的先進做法和經驗,提出在思想認識、制度建設、組織建設、資金投入、 科學技術方面加以改進。
2.創新點
本文綜合運用公共管理學、法學、通信管理技術和傳播學等基本理論,力求闡釋涉 密信息管理是一個多方位、多因素、綜合的、系統的動態管理過程。以往的研究主要是 綜合性的概述,亦或是從技術、制度等單一層面分析涉密信息管理,并且大部分缺乏一 手資料,偏重于理論性的研究。因此,本文創新之處在于精準聚焦、著眼基層黨政機關, 重點論述基層黨政機關涉密信息管理方面的問題,同時結合自身工作經驗,從實際出發 提出建設性對策。
一、相關概念和基本問題
(一)相關概念的界定
1.涉密信息
信息論奠基人香農(Shannon)認為“信息是用來消除隨機不確定性的東西”①。我 這里所講的涉密信息是和對外公開相對而言的,是指某些人或者某個組織在一定范圍內 和一定時間中,為了保護自身的利益和安全,對一些重要事項加以保護、限制、隱蔽, 從而不為外界客體所知曉。進一步具體而言,《中華人民共和國保守國家秘密法》中將 黨政機關的涉密信息定義為“關系國家安全和利益,依照法定程序確定,在一定時間內 只限一定范圍的人員知悉的事項。”②從存儲形式上來看,基層黨政機關的涉密信息有 實物性質的紙質版的文稿、光盤等,也有存儲于電子政務內網、外網以及相關門戶網站 上的電子版信息,對各種存儲介質的涉密信息都要進行保密。從涉及的內容來看,主要 是涉及國家安全和利益的事項,具體包括國防軍事、外事外交、社會經濟發展、科學技 術等很多領域的秘密事項。
基層黨政機關的涉密信息有如下幾個特征:一是關系國家的安全和利益。基層黨政 機關的涉密信息不同于商業秘密和個人隱私,商業秘密雖然也是被少數群體內部所知 曉,但是其泄露只會造成某個單位或企業的局部的安全和利益,不會對整個國家的安全 和利益造成危害;個人隱私更是只關乎個人的名譽、利益,其危及范圍更小。基層黨政 機關的涉密信息承載著與國家安全和利益息息相關的內容,一旦泄露,對國家的安全、 社會的穩定,都會有不小的沖擊。③二是具有法定性。基層黨政機關的涉密信息是依據 一定的法律程序進行確立的。具體而言,具有管理權限的單位,根據國家的明文規定, 對某個事項定密后,該事項將被有關法律認可和保護,如果發生泄露,相關工作人員會 被追究法律責任。簡單而言,就是要做到權限法定、依據法定、內容法定、標志法定。 ④三是具有時效性。基層黨政機關的涉密信息都有時限要求,在一定的時間范圍內被一 定范圍的工作人員所知曉。一般而言,其保密的時間長短是依據涉密的程度而言的,涉 密程度越高、內容越重要,保密的期限就越長。依據我國2010年修訂的《中華人民共
①Shannon .A Mathematical Theory of Communication.In:Bell.System Technical.Journal.1948.
②《中華人民共和國保守國家秘密法》, 2010年4月29日第十一屆全國人民代表大會常務委員會第十四次會議修訂.
③許曉昕.政府信息公開背景下的我國保密工作研究[D].濟南:山東師范大學,2017.
④國家保密局編寫組.中華人民共和國保守國家秘密法釋義[M].北京:金城出版社,2010,25. 和國保守國家秘密法》的規定,基層黨政機關的涉密信息分為“秘密”、“機密”、“絕 密”三個級別。除另有規定的外,秘密級保密期限小于10年,機密級小于20年,絕密 級小于30年。
2.保密工作
保密工作就是為了防止涉密信息泄漏或者被竊取,針對涉密信息而進行的一系列 組織、管理、協調、維護等職能活動,主要是通過法律手段、行政手段、技術手段和 經濟手段等方式,進一步約束和規范相關組織和人員的涉密行為,使其活動符合保密 的要求。①保密工作是個全方位的動態管理過程,從某一個事項被確定為涉密信息開 始,到該事項被解除密級為止,它包括了相關的立法、宣傳、教育培訓、建章立制, 開發和使用安全保密技術,進行安全風險評估,對泄密事件進行追查問責以及進行相 關學術研究等各方面的活動。
(二)涉密信息管理的一般原則
1.以人為本
管理學的理論認為,人是管理的核心,是最關鍵的環節,一切的管理活動都要堅持 以人為本的原則,尊重人的權利,充分調動人的主觀能動性,力求實現人的全面發展。 具體到基層黨政機關涉密信息管理工作中,主要表現為以下幾方面:就管理對象而言, 對基層黨政機關涉密人員要充分重視,要認識到他們是進行一切涉密活動的主體,僅僅 依靠技術和設備是遠遠不夠的,再先進的技術和設備也會需要人去開發研制,需要人去 操作使用,應當從多個角度對涉密信息進行安全管理。就管理主體而言,要提高基層黨 政機關涉密信息領導者的綜合能力和素質,尤其是在信息公開和計算機技術飛速發展的 新形勢下,領導者需要高瞻遠矚,對自己嚴格要求;就管理方式而言,應當發揮涉密人 員的主觀能動性,充分調動工作的積極性,保障基本權益的同時,適當注重人性化的管 理,關心愛護涉密信息工作人員的成長。②
2.依法管理
涉密信息管理工作具有法定性,也要做到有法可依、執法必嚴、違法必究。具體到 基層黨政機關涉密信息管理工作而言,主要體現在兩方面:一是要嚴格執法,明確保密 管理機構的職責和涉密人員的職責,并且嚴格按照《中華人民共和國保守國家秘密法》
①航空工業部保密委員會,北京市國家保密工作局編.保密工作問答[M].北京:航空工業出版社,1988,56.
②龍方欽•基層黨政機關信息安全保密管理問題研究[D].長沙:湖南大學,2012. 等相關法律法規進行工作;二是要嚴格落實執法措施,相關執法工作要做到有理有據, 有獎有懲,對泄密人員要嚴厲追究法律責任。
3.分層管理
分層管理的精髓在于能夠精細化管理,進而實現優化管理,提高工作效率。在基層 黨政機關涉密信息管理上主要體現在如下兩方面:一是對涉密信息進行分級管理,秘密、 機密、絕密,依據不同的密級進行使用、存檔和相關的處理;二是對不同密級的涉密信 息存儲、處理系統加以不同強度的防護措施。比如,對計算機系統實行分級保護,機密 級網絡比秘密級網絡的安防更加嚴格,投入更大。通過有的放矢地實施安全保密防護, 也可以避免不必要的資源浪費。三是對涉密人員進行分層管理,分為一般涉密人員、重 要涉密人員、核心涉密人員三個層次,依據涉密程度不同,對其工作要求、考核辦法也 有所差別。
4.風險管理
涉密信息的風險管理是涉密信息安全管理過程中的重要一環,也是防患未然的最有 效措施。涉密信息風險管理主要包括風險評估和風險控制。在每年的上半年和下半年分 別有兩次風險評估,首先縣級涉密部門會根據涉密信息安全風險評估工作評分表進行自 評,然后接受上級管理部門的風險評估,之后再依據上級提出的整改要求進行整改。如 果發現有如下之一的問題,視為特別重大風險:一是涉密信息管理人員在崗人數過少; 二是涉密信息管理部門丟失、損毀密碼、密碼機和涉密信息等嚴重失泄密事件;三是涉 密信息管理人員嚴重違反法律法規和黨紀;四是涉密通信終端安裝無關硬件與軟件。在 涉密信息安全管理過程中,對風險控制的措施主要體現在如下兩方面:一是加強對涉密 人員的教育培訓,在上任前要通過政審、心理測評、筆試、面試等方式選拔出身體素質、 政治素養、知識水平、思想品德都合格的人員,通過專業的上崗培訓才能就任,之后還 要不定期地開展安全保密教育;另一方面,隨著社會經濟的發展,要不斷豐富和完善相 關的規章制度,上級部門要定期對所管理部門開展保密檢查及風險評估。
Q縣涉密信息管理的概況和風險隱患
(一) Q縣涉密信息管理的整體情況
Q 縣地處京津冀腹地,由于是平原地區,所以除鄉鎮的辦公場所較分散外,其余縣 級黨政機關辦公場所相對比較集中,不少單位身處鬧市區,車流、人流較多,每天來黨 政機關辦事、信訪的人群較多,辦理傳輸的信息量也不少。Q縣的涉密信息管理工作一 直由黨的縣級保密委員會統一領導,具有很強的政治色彩。2010 年修訂后的保密法生效 后,根據第五條的規定,“縣級以上地方各級保密行政部門主管本行政區域的保密工作” ①,這使得地方的管理權限得以加強,各黨政機關在接受上級機關管理的同時,必須接 受地方保密行政管理部門的管理。在涉密信息管理對象上,該縣以對“物”和“場所” 的管理為主,對“人”主要是一種信任管理,有失標準化和技術化。
涉密信息的管理主要是由各單位各部門負責,保密管理部門主要負責指導、監督檢 查以及出現泄密事件的處理。由于Q縣在河北省算是經濟比較發達的縣,整體辦公的信 息化水平比較高,基本人手一臺電腦,撰寫、傳輸一些涉密信息都離不開計算機和互聯 網。目前 Q 縣有35 家擁有涉密領域計算機終端的單位,以檢察院 47臺為最多,其余大 部分單位只有 1臺。在網絡使用方面,除互聯網外,黨委辦、政府辦、組織部有自己的 電子政務內網,其他單位是使用業務專網。在涉密信息計算機終端維護方面,大部分單 位沒有專門的涉密設備維護人員。在涉密信息的處理方面,除黨委辦有7 名具有涉密資 格的涉密人員外,其他單位基本是誰起草涉密文件誰負責。在涉密載體使用方面,黨委 辦在2018年6月給每個科室配備了涉密U盤用于傳輸涉密文檔,但其他單位尚未配備。
(二) Q 縣涉密信息管理的問題和風險隱患
1.組織結構不合理
(1)機構設置不匹配
Q縣黨政機關的涉密信息管理工作要求主要由專門的保密部門承擔,但實際基本是 由每個單位自己來管理。地方的保密部門一個機構,兩塊牌子,即保密委員會辦公室、 保密局,一般下設在黨委辦公室,所以一定程度限制了它的職權,在黨委辦屬于比較弱 勢的機構。早在 1997 年,下發的《關于解決全省市縣(區)保密工作中的幾個具體問
①《中華人民共和國保守國家秘密法》,2010年4月29日第十一屆全國人民代表大會常務委員會第十四次會議修訂. 10
題的通知》中就明確提出“各縣(市區)在縣委辦公室內設置保密機構,按科級對待”, 近兩年又要求配備正副兩名局長,同時設有總工程師和專門的監督員等職位,但是由于 它是縣委辦公室的內設機構,沒有自己獨立的編制,所以專業人才進不來,領導職數的 配備也受到限制,使得它只是副科級單位。雖配備了一個局長,但對同級各單位的監督 檢查較少,往往各單位依靠“自覺”去進行涉密信息管理。
(2)人員結構不合理
想要干好工作,就要有一個強大的隊伍。但是事實上,Q縣的隊伍建設并不理想, 人員結構不合理,主要表現在如下幾個方面:一是人員流動性大。由于是基層,待遇不 好,上升空間不大,所以留不住年輕人。很多單位缺人,但是即使招了年輕人,等這個 人剛熟悉了業務又考走或辭職了,人手不夠的情況普遍存在。很多單位沒有專職的涉密 信息管理人員,有時候還派個司機或門衛取送涉密文件。二是老齡化嚴重。尤其是保密 局更是編制少、人員少、老齡化嚴重,沒有一個年輕人,都是 45 歲以上的工作人員, 面對飛速發展的信息化社會和紛繁的涉密信息管理工作,常規的工作尚且勉強完成,更 別說開展戰略性和創新性工作了。三是專業化水平低。在基層保密行政管理部門基本上 其工作人員都不是科班出身,很多是入職后進行了為期一周或半月的短期培訓就上崗, 對于涉密信息管理方面的專業知識掌握得不充分,能力水平較弱。有些單位遇到一些計 算機的小故障也無法獨自解決,需要從社會上找專業維修人員。
2.硬件設備運維不周
(1) 設備配備不充足
在基礎設施的建設方面,基層黨政機關嚴重落后。首先很多單位的辦公場所就存在 安全隱患,Q縣某涉密部門有一段時間防盜門壞了,由于各種原因不能及時更換,就靠 一個單薄的木頭門支撐著,上級要求的煙霧報警、溫濕度感應、紅外線監控、指紋防盜 門遲遲也沒有落實,安全隱患可想而知。某傳輸辦理涉密信息的機構,電腦配備也不充 足,應當有一主一備兩臺傳輸辦理涉密信息的電腦,但是實際只有一臺,一旦這臺電腦 發生故障,涉密信息的傳輸辦理將受到影響,嚴重影響信息的及時高效上傳下達。基層 單位好多都沒有配備碎紙機,被廢棄的印有涉密信息的紙介質很多直接就扔到垃圾桶, 這樣很容易被一些別有用心的人利用。
(2) 設備使用不規范
涉密信息以文字、圖像、聲音等各種方式呈現于紙介質、磁介質和光盤等涉密載體
上,尤其是隨著計算機互聯網技術的應用和普及,涉密信息載體也更加廣泛,U盤、移 動硬盤、光盤、臺式電腦、筆記本電腦都有泄密的風險,并且像打印機、傳真機等信息 設備在工作中也會產生電磁泄露發射,將涉密信息以電磁波的形式泄漏到傳導線路上, 進而通過接收泄露發射信號進行相應處理,就有可能被不法分子成功竊取涉密信息。這 種竊密方式風險小且不容易被發覺,更應引起我們的注意。現代化辦公經常需要用電腦 起草和處理文稿,有些單位的工作人員將涉密信息在能連接外網的電腦上進行處理,有 的工作人員將移動硬盤或U盤在不同電腦上使用,甚至將工作帶回家……這些行為都是 應當嚴厲禁止的。根據保密委的明文規定,涉密載體不能接入外網和非涉密的電腦,只 能接入與其密級相匹配的涉密電腦。還有的單位工作人員為了簡化工作,將涉密設備密 級往低處確定,應當是機密級的設備,給定密成秘密級;應當是涉密的設備,當做非涉 密設備使用。在跟某涉密信息傳輸辦理單位的工作人員訪談中了解到,他們載有涉密信 息應急通信設備的專車也沒有專用,常年被領導或別的科室借用。有時需要攜帶涉密設 備或載體外出,審批手續比較繁瑣,工作人員為了能隨意取用、歸還設備,就沒有將涉 密設備定密,涉密載體也沒有得到實時監控,殊不知有很大的安全隱患。
(3)維護管理不周全 基層單位的工作人員對電子產品并不是很熟悉,對設備疏于維護或使用不當,就會 造成設備的故障。尤其是一些涉密部門,技術人員面對一些設備的故障也不能自己解決, 有時需要去外面找專業的維修人員或者聯系廠商對計算機、打印機等設備進行維護修 理。由于這種情況并不經常出現,所以在這方面的安全管理措施也不是很完善,對從外 面請來的維修人員沒有進行安全審查和信息登記,有些涉密設備未經專業處理或沒有專 人監督就被帶出去維修,甚至有的即使被專人監督,由于其工作人員不懂技術,也不能 做到有效的監督。涉密介質報廢了沒有經過合理的處理也有可能泄密,某單位將淘汰的 舊電腦不做專門的技術處理,就遺棄到垃圾場或是直接賣給回收舊家電的,這樣隨意流 入社會,很容易造成泄密。還有的工作人員認為與其當廢品不如自己拿回家用,殊不知 例如顯示器、主機、通信線路等這類電子設備產生的電磁波在向外輻射的過程中,會把 計算機中處理過或存儲過的信息通過輻射或傳導的方式帶到自由空間,這也有可能釀就 泄密事件。
3.應用技術較落后
首先,信息的傳辦效率低。黨政機關的涉密信息也屬于公文,需要保密的同時,也
12
要進行傳輸辦理,很多緊急的事項還需要高效及時地傳達。在實際的工作中,不少單位 雖然基本上每個人都配備了計算機,也有辦公內網0A系統,但是這個系統只能傳輸一 些內部明電,對于秘密甚至機密級的涉密信息還是不能通過0A系統傳輸。有些信息不 能通過安全的電子政務內網進行傳輸,一些單位需要專門派人去專門的涉密信息傳輸辦 理部門送取涉密信息,這些涉密信息必須是紙質版,又必須有專人專車去傳送。之前就 發生過某工作人員取到涉密信息文件后沒有立即回單位,臨時外出辦個人私事,結果文 件丟失的情況,可見涉密信息的傳輸辦理也有風險。
其次,技術防范能力弱。基層涉密信息管理的技術落后,很多技術和設備是由國外 引進的,尤其是芯片、系統安全、安全協議的應用等方面基本依賴于進口,加之病毒和 木馬的廣泛傳播,這使得涉密信息安全岌岌可危。與此同時,很多單位對安全的投入不 足,對于各類電磁輻射的泄露,既沒有干擾措施,也沒有低輻射產品。例如防火墻、保 密網管和身份驗證系統等安全保密系統,有些單位是出于沒有財力,有些單位是出于沒 有這方面的意識,在信息設備核心技術受制于人的情況下,很容易造成惡劣的影響。①
再次,科技創新水平低。一方面基層黨政機關的工作較為事務性,另一方面基層的 權限也容易受到限制,所以涉密信息管理主要是照著上級要求的去執行,要求什么就落 實什么,加上人才的匱乏,這使得基層黨政機關的涉密信息管理工作科技創新水平低, 在技術上和規章制度的建立上都缺乏獨創性和針對性。
4.思想認識不到位
基層黨政機關相當一部分工作人員到了 40 歲以后就面臨職業“天花板”,覺得上 升空間不大了,工作態度相對就沒有那么積極,對涉密信息的管理難免掉以輕心。也有 一部分年輕人一心向往大城市,迫切地尋求出路,在工作上也不那么用心。有時候下班 后,尤其是節假日,一些涉密信息的傳輸辦理有延誤的情況,一些部門的工作人員不及 時地領取涉密信息文件,使整個公文的辦理效率低下。還有些工作人員粗心大意,閱辦 涉密文件時候遺漏或者私自擴大傳閱范圍。
有些工作人員對保密知識了解不充分、保密意識欠缺,覺得身處和平年代,竊密事 件都是諜戰片里演的,不會在現實生活中存在,天真地認為存在自己計算機里的文件不 會被盜。他們對涉密信息或設備不重視,不經意地把不該說的、不該傳的,說了出去、 傳了出去,主要有以下四種情況:一是有些涉密人員隨意用辦公電腦瀏覽網頁、上網聊
①武建良.云南省黨政機關國家秘密信息安全危機管理研究[D].昆明:云南大學,2013.
天、論壇跟帖,甚至以吹噓自己是涉密人員而“自豪”。二是有些工作人員輕視制度, 對規章制度和標語警告視若無睹。例如進入涉密辦公區域,沒有把手機存放于專用柜, 還隨意打電話、發信息。三是有些工作人員不知道任何電子產品都能產生電磁波,處理 這類涉密信息的電子產品產生的電磁波很容易造成泄密。四是有些工作人員不知道涉密 信息存儲介質上的數據有可能被還原,認為格式化了就萬事大吉了,其實很可能被專業 技術人員再恢復數據。①
在基層黨政機關還存在故意賣密的風險。故意賣密算是情節比較嚴重的,是明知故 犯、鋌而走險。主要是由于利益的驅使,利用信息換取金錢,一些意志不堅定的涉密信 息工作者在面對這種誘惑的時候可能就淪陷了。在山東某縣有過類似事例,涉密人員陳 某由于炒股賠錢較多,家中老人又得了重病,正所謂屋漏偏逢連陰雨,竟主動找到臺灣 的間諜李某,將單位中的涉密信息賣給李某,給國家的安全和利益造成極大的損失。被 間諜策反的對象主要有三類:一是涉密信息檔案管理人員;二是涉密設備的技術操作人 員;三是負責涉密設備維護的外部人員。其中,以前兩類內部工作人員為主。Q縣有些 重要敏感部門和重要涉密人員,都掌握著較高密級的信息,很可能成為境外間諜策反和 竊密的活動對象,做好防范應對工作也是一個重要課題。
①薛彥云.新形勢下信息安全保密管理工作研究[D].呼和浩特:內蒙古大學,2013.
14
三、影響Q縣涉密信息管理的因素
(一)工作環境的因素
1.國際上竊密活動猖獗
隨著我國綜合國力的提升,國際地位和國際影響力也大幅提升,西方一些敵對勢力 認為我國的飛速發展對他們造成了威脅,想方設法限制我國的發展,甚至通過一些不光 明正大的手段竊取我國的涉密信息,這極大威脅到我國的國家利益和整體安全。在調研 時,就翻閱到一個類似案件的通報,某涉密人員不辨明身份就隨意在微信上添加一美女 網友,這個網友聊天言語間總是套取涉密人員所掌握的國家機密,并慫恿涉密人員通過 賣密發財,該涉密人員為了和網友“談戀愛”最終泄密,事后經查該網友系境外間諜。 這不僅僅是Q縣的個例,在別的省份的一些縣區也存在這一情況,一般境外敵對勢力主 要通過如下三種方式竊取涉密信息:一是情報機關收集情報。很多情況下,情報人員不 需要進入目標計算機,而是通過接受其網絡有線或無線通信線路的通信信號和輻射信 號,經過技術處理就可以識別并整理出有用信息。二是國外間諜非法竊取秘密。很多境 外情報機關都有專門的網絡間諜部門,他們主要通過攻擊黨政機關、國防科研機構和一 些軍工企業的網絡,進而竊取涉密信息。三是拉攏策反黨政機關工作人員。有些間諜機 構在網上尋找有黨政機關背景的網民,通過“感情培養”或威逼利誘等方式拉攏策反相 關工作人員。①
2.國內網絡泄密渠道多樣
在對Q縣涉密人員進行走訪時,從一位資深機要員那里了解到令人擔心的情況,早 在上世紀電腦還沒有普及時,由于只有極個別政府部門配有電腦和打印機,該部門居然 “公物私用”,為了賺點兒小錢,專門面向社會經營打印和傳真的生意。有一次發現尚 未簽批公布的文件被提前傳給某利益集團,造成極大不良影響,至此該部門才“金盆洗 手”。雖然這是Q縣多年前的往事,但是現在想想還是挺讓人后怕的。隨著互聯網技術 的飛速發展,傳統竊密方式大大落后,網絡竊密活動的成本和風險降低了,成功率提升 了,這使得網絡竊密活動成為我國涉密信息失泄密的主要形式,網絡也成為我國涉密信 息管理的主戰場。現在泄密渠道正在逐漸多樣化,不僅僅是計算機,移動硬盤、U盤、
①劉椰斐.公共部門信息保密安全管理問題與對策[D].蘇州:蘇州大學,2010. 打印機、網線等都有可能是泄密的渠道。還有“黑客”(即非法的網絡入侵者)的攻擊 也是泄密的主要渠道,他們通過一些專業的軟件,專門尋找有安全漏洞的網絡系統,采 取發送攻擊郵件、口令攻擊、地址欺騙、嗅探攻擊等技術手段,非法侵入目標計算機網 絡系統或者數據庫系統,竊取涉密信息。
3.本系統業務單一、環境封閉
由于涉密信息管理工作的環境比較封閉,業務也比較單一,所以在很多單位都不受 重視。比如黨委辦某涉密信息傳輸辦理機構,工作人員常年 24 小時值班,與其他科室 人員接觸較少,封閉的環境一方面造成該部門工作人員的創新思維受到局限,另一方面 由于對外宣傳得少,也造成其他部門工作人員對涉密信息管理工作的忽略。單一的業務, 使得部門長期受忽視,工作只要不出事就好,不求做得多么杰出,這在全國都是比較普 遍的現象。
(二)思想認識的因素
1.領導重視程度不夠
基層黨政機關涉密信息管理工作是影響基層信息安全很重要的因素,但是在實際工 作中,有些領導的安全保密理念存在誤區。有些領導喜歡把工作重點放在經濟建設、信 息公開上,存在“口頭說著重要、工作起來次要、忙碌起來不要”的普遍現象。例如縣 委辦公室下設的國家保密局工作人員人手不夠,即使有編制指標也總是給幾個核心科 室,導致縣級保密行政管理部門有名無實。又如有些涉密信息只能由縣處級以上領導干 部閱示,但是有些干部就要摘抄甚至還想復印一份拿走,這對涉密信息管理也造成了威 脅。還有的領導干部為了拉攏關系,喜歡把一些涉密信息當做“小道消息”傳給其余領 導,這也嚴重影響了涉密信息的安全。領導對涉密信息管理的忽視,直接導致該項工作 在人員、財務、裝備上難以得到全力支持,進而影響工作實效。
2.個人保密意識淡薄
相關工作人員的保密意識淡薄,歸根到底是由于對涉密信息管理的重視程度不夠。 不少涉密人員對涉密信息管理存在誤解,認為身處和平年代,就無密可保,對自己每天 看到的涉密信息并沒有提起重視,總是覺得這些信息都是很平常的文字。但是他們不知 道自己在明處,敵人在暗處,敵對勢力和不法分子很可能通過各種高科技的隱蔽手段對 基層黨政機關涉密信息進行竊取。要克服這種麻痹思想,就要創造人人支持、人人關心 保密工作的良好氛圍。
3.依賴思想嚴重
基層涉密信息管理工作需要創新的比較少,大部分工作是去具體地落實上級的指 示。保密行政管理部門沒有很好地履行職能,只會被動地接受上級交代的各項任務。“規 定動作”做了但也做不好,更別提“自選動作”了。大部分基層單位缺乏理論聯系實際 的精細化、創新性的思考,對工作的認識也缺乏戰略性的規劃和思路,使得自身的工作 長期處于“提線木偶”的狀態,提一下就動一下,不提就紋絲不動,這在復雜的信息化 新形勢下毫無戰斗力可言。①
(三)內部管理的因素
1.規章制度不健全
一是缺乏有效的考核和獎懲機制。涉密信息管理缺乏可量化的標準,定性的標準比 較多,這就造成很多事情都是“自己看著辦”,工作開展起來往往是一團和氣。在Q縣 實際工作中,對于涉密信息管理成績突出的單位和個人,缺乏相應的表彰和獎勵;對于 工作落實不到位的單位和個人,由于沒有相應的執法權,甚至真的出了事,也沒有具體 可操作的責任追究,這就造成工作可好可壞。二是在定密和解密上制度不健全。長期以 來,工作人員對涉密信息確定密級的依據多數是靠自己的主觀理解和過往的工作經驗, 在定密上也是缺乏可量化的一些標準。同時,一些綜合文字部門對于正在撰寫的涉密信 息資料,也沒有規定要不要事先定密或是加以保管,往往工作人員為了方便操作,“高 密低定”,成文后才定密。在解密方面制度也不夠健全,雖然說明了到解密期限可以公 開,但是在公開的平臺、方式和負責人員等方面還是有制度不完善的地方。三是對涉密 人員的分類管理有名無實,沒有貫穿始終。雖然有明確的涉密人員分類管理制度,但僅 僅作出了一些原則性規定,對涉密人員資格審查、上崗培訓、履職監督、出境管理等并 沒有做出詳細的有區別的規范。在Q縣,由于組織部門人員有限,很多人的職責都有交 叉,并沒有對涉密人員施行很好的分類管理,混同于一般的干部人事管理。
2.監督檢查不規范
Q縣的保密行政管理部門在監督檢查方面疏于履職,往往上級有要求了,才去各個
①趙冉.新形勢下我國政府保密工作研究[D].南京:南京大學,2014.
單位檢查,工作的主動性欠佳。并且檢查的程序也不夠嚴格,有的工作人員礙于面子, 怕得罪人,拉不下臉。即使檢查出了問題,也不按照規定處罰,往往是把保密檢查當做 例行公事,走走形式。這種“雷聲大、雨點小”或“干打雷、不下雨”的檢查還會使保 密監督檢查的重要性降低,使得被檢查的工作人員也不把涉密信息管理當回事,起不到 應有的實效。
3.教育培訓不到位
知識大爆炸的時代來臨,一天不學習就有可能落后,涉密信息管理知識更是茍日新、 日日新、又日新。面對不斷更新換代的大量知識,如果不把自己打造成一塊蓄電池不斷 地學習,就有可能造成對相關知識技能掌握不熟練,進而影響涉密信息管理的正常工作。 Q縣在涉密信息管理培訓教育方面,不少單位并沒有對此加以重視。一是培訓知識面較 窄,主要是技術方面的培訓,內容也過于陳舊。二是培訓方式單一,沒有區分開對不同 涉密人員的不同培訓方式。三是培訓沒有持續性、連貫性,對某個知識或業務的培訓點 到為止,缺乏長期、持久的規劃和培訓方案,隨機性較大。不少單位年初報了培訓計劃, 但是由于經費或者工作及人員安排等問題,最終并沒有落實到位。
(四)技術保障的因素
1.核心技術依賴
我國在網絡通信的核心技術上的沒有控制權,再加之涉密信息管理的防范技術準入 門檻高、科技含量高、國家管控嚴,所以很多核心的技術我們都無法自我掌控,和美國 等西方發達國家相比差距較大。例如 CPU 技術長期受到發達國家壟斷,芯片技術也是 嚴重依賴國外,缺乏強大的涉密信息管理和技術改造能力。早年我國發現,從美國進口 的某專用密鑰芯片存在后門,這意味著美國可以隨時地啟動這個后門進入密鑰芯片所部 署的中方網絡。目前Q縣計算機使用的CPU芯片,大部分仍然是采用美國INTEL公司 的產品,尚無法完全擺脫美國對我國的信息控制,這對基層黨政機關涉密信息管理造成 了持續的負面影響。①還有我國的網絡資源的分配控制權也受美國控制,由于互聯網前 身DRAPA是由美國國防部創建的,其推廣也是由美國主導的,所以互聯網通信流量被 美國一些關鍵網絡節點間接控制著,我國黨政機關尚存大量之前引進的思科等國外網絡 廠商的產品,受技術所限沒有完全替換為國內自主研發的產品,這對基層黨政機關涉密 信息管理也構成了威脅。
2.操作系統漏洞
Q縣的黨政機關辦公活動用計算機撰寫、編輯涉密信息已經很普及了,但是我們電 腦的操作系統絕大多數還采用美國微軟公司的產品,用著 Windows 系列的操作系統, 并且還用著其自帶的IE瀏覽器上互聯網。拿我所在的單位來說,共有32臺辦公電腦, 全部都是裝的 Windows 操作系統。由于該操作系統是美國微軟公司研發的產品,一定 程度上意味著我們的涉密信息管理被人扼制著。之前的 Windows98 被發現在用戶通過 互聯網注冊產品時,系統會自動收集大量的信息向微軟公司發送。即使使用別的操作系 統,也無法避免市面流行的各種操作系統共同的一個弊端,就是他們都無法判斷正在運 行的程序是否對系統有害,也無法自動禁止各類病毒的入侵,更不能判斷其程序有沒有 被篡改。這種操作系統的開放性,也給不法分子提供了便利條件。同時,大部分操作系 統的刪除操作并沒有徹底地將文件清除,如果以為對涉密信息只是進行簡單的刪除操作 就以為萬事大吉了,將會對我們的工作帶來極大的泄密隱患。
3.應用軟件漏洞
機關工作少不了撰寫文稿、繪制表格,一款功能強大的文檔編輯軟件不可缺少。根 據我的統計,Q縣黨委辦公室32臺辦公電腦全部安裝了 Ofice軟件,其中有7臺電腦 還同時裝有WPS軟件。微軟Office系列的軟件基本是Q縣黨政機關辦公的標配,尤其 是一些年齡大的工作人員用慣了 Office,較難接受其他文檔編輯軟件。相比國產免費的 WPS軟件而言,由于買Office正版軟件的費用高,使得相當一部分工作人員用著舊版 或盜版的軟件,在用這類軟件編輯文檔或是表格時就有可能被捆綁的惡意軟件攻擊,并 且還可能被別有用心的人通過隱蔽的后門或接口攻擊。①不僅是文檔編輯軟件,安裝的 防病毒軟件、防火墻軟件等防護措施也不能百分百進行防護,加之如果不能及時進行軟 件升級,就有可能給不法分子以可乘之機。
四、美國涉密信息管理的經驗
(一)美國涉密信息管理的做法
美國的政府大致分為聯邦、州、縣、市這四個層次,其中市一級的政府算是比較基 層的。由于信息化水平較為發達,美國基層政府的信息化建設也比較先進,互聯網辦公 比較普遍,上下級之間、部門之間、地區之間、民眾與政府之間的信息交流比較多,除 非法律規定不能公開的,非涉密信息大部分會共享。美國雖然沒有專門的保密法,卻有 較為完整的涉密信息管理法律體系。對于涉密信息,有專門的法律法規進行規范,基層 政府都要遵循。第一個層次是憲法規定的,各院有權保留本院的會議記錄,并不時地對 外公布,但有需要保密的那部分除外。由此可知,信息公開是基本原則,不公開是例外。 第二個法律層面,美國有比較完備的涉密信息安全法律體系,包括《國家安全法》《信 息自由法》《涉密案件程序法》《間諜法》《原子能法》等,并且根據國內外形勢的變 化不斷修訂。①第三個法規層面,主要是歷任總統頒布的相關總統令等。例如2010年奧 巴馬總統簽署第13549號總統行政命令,用于保護州、市鎮、部落和私領域實體的國家 秘密安全。②
在運行機制及機構方面,美國建立了一個龐大而有序的管理機構,用意在于將國家 涉密信息管理的相關法律及政策加以落實。其中專門負責涉密信息安全的主管機構是信 息安全監督辦公室(IS00),其職權由總統的行政命令確定,不受其他部門的限制和干 擾。行政管理與預算局(OMB)負責制定政府部門有關信息系統安全的標準、指導方針 和政策等,國防部下屬的國家安全局(NSA)負責涉密信息的安全工作,包括安全規劃、 安全運行和風險評估等工作。為了加強涉密信息的管理,美國有專門的信息管理機構, 并且一般常務市長會負責涉密信息管理工作。
在政策方面,美國的涉密信息管理工作隨著風云變幻的世界格局和歷任總統人選的 更替而不斷進行改變。克林頓在任時,美國經濟發展迅速,政府大力改革保密程序,提 高工作的透明度;布什上臺后,受911事件的影響,加緊了對涉密信息的管理;奧巴馬 上任后,重新實施積極開放的保密政策,努力打造透明政府;特朗普上任后,重新加強 了對涉密信息管理,尤其是對相關人員的權限進行了降級。白宮的保密等級和我國一樣,
①孫寶云,趙冬.論美國保密制度的特點及對中國的啟示[J].理論與改革,2011(4):24-29.
②彭志.美國涉密人員安全許可制度簡介[J].保密工作,2015(7):44-45.
分為“絕密”“機密”和“秘密”三個密級,特朗普使多名白宮官員失去絕密級許可, 降為機密級。特朗普上任初期,由于白宮內部工作人員違反規定,曾數次向媒體披露白 宮的內情。他下令其幕僚簽署“保密”協議,如若未經授權泄露“機密”信息,每違反 一次協議,需向聯邦政府上繳高額罰款。同時,他還加大對信息公開的限制,對于決策 的加密次數也有所增加。
(二)美國涉密信息管理的經驗
縱觀美國在涉密信息管理方面的做法,對于我國基層黨政機關做好涉密信息管理工 作有很多啟迪,他們的先進經驗主要有如下幾點:
1.規章制度完善
涉密信息管理無非是“物”和“人”兩個方面,美國是典型的以“控人”為主的國 家,其對“人”的分類管理貫穿始終,并且注重對涉密人員合法權益的保護。泄密無非 外部入侵或內部泄密,其中內部人員的泄密行為是很難防范且影響極大的,所以在涉密 人員的資格審查方面,美國會根據工作崗位和職責的不同,分別進行適宜性審查和安全 性審查,適宜性審查的對象主要是在物理上接近涉密信息載體但是無法直接接觸涉密信 息內容的人,主要是考查個人的品行、性格等方面;安全性審查的對象是能夠直接接觸 到涉密信息的人員,并且其審查內容更廣泛,還要考慮被審查人的各種社會關系、社會 背景等。①在整個調查過程中,要求填寫多達20頁的問卷,不僅會和考察對象進行會談, 還會與其親屬、鄰居等會談,甚至會使用測謊儀器,其繁瑣程度和持續數月之久的長戰 線雖然被一些涉密人員所詬病,但是確實也體現出了美國在人員審查方面的認真和嚴密 程度。尤其在發生了維基解密事件之后,美國更是進一步完善了對于涉密人員的審查制 度。
為了強化涉密信息管理的規范性與權威性,提高規章制度的執行力,美國較早就建 立了一套比較完整的涉密信息管理制度,有如下幾方面的規章制度亟待我國借鑒:定密、 涉密信息的保護、追究泄密事件責任人的法律責任以及到期解密。在定密方面,其定密 制度規定只有定密官有權對涉密信息進行定密,其他人不能隨意地定密。定密官又分為 原始定密官和派生定密官,以原始定密官為主。②奧巴馬任期還發布了《初始定密權》 總統令,明確規定了擁有絕密初始定密權的部門和官員只有 20 個。在涉密信息的保護
①孫琦.國外涉密人員資格審查制度介紹[J]. 2012(2):35-37.
②楊志鵬.加強大理州黨政機關計算機網絡信息安全保密管理對策研究[D].昆明:云南大學,2010. 方面,美國對涉密信息安全危機的事前監控與預警、事中控制與處理、事后恢復與防護 等全階段都納入了法制軌道。在追責方面,美國也通過成立專門機構,制定相關規定, 使網絡泄密犯罪調查工作更加規范化,案件偵破率大大提高,相關責任人的處罰也有依 有據。在解密方面,因為涉密信息的管理并不是產生、定密、傳輸就終結了,還有一個 關鍵的環節就是解密,相比而言,我國在這方面做得就不太到位。如果應當及時解密的 信息沒有解密,那么勢必影響受保護的涉密信息安全,美國對解密和定密給予同樣的重 視度,每年對需要解密的信息都會及時解密公開。同時,美國還注重在政策戰略上的指 導,先后出臺了《網絡空間國家戰略》《網絡空間行動戰略》等涉及網絡信息安全的政 策,從戰略全局對涉密信息安全進行謀劃。
2.保密技術發達
科技是一把雙刃劍,給我們帶來辦公便利和高效的同時,也大大增加了失泄密的風 險,這就需要加強自主防護技術的開發。作為科技強國,世界上第一臺計算機就出現在 美國,美國的保密技術可以說是十分發達。隨著科技水平的不斷提升,密碼設備的研發 理念也在不斷轉變,從最初的微電子式、嵌入式到多級密碼系統、受控密碼項目、可編 程密碼系統,每一次的產品更新換代都是為適應不同的環境需求。①
政府方面,美國國土安全局通過先進技術對各類論壇進行實時監控,同時聯邦調查 局還建立了 15 個“區域性計算機取證實驗室”,用于追蹤各類泄密行為。美國的涉密 信息管理不僅僅是政府參與,民間企業更是起著舉足輕重的作用。各大互聯網公司不斷 增加用于網絡信息安全的技術投入與研究,開發了先進的防火墻、路由器、安全服務器 和用戶認證產品等。2006年 4月,美國信息安全委員會發布了《聯邦網絡空間安全及信 息保護研究與發展計劃》,明確了其技術優先研究領域及重點投入領域。②目前美國在 一些如操作系統、芯片等關鍵技術上也有極大優勢,一方面供自己使用,例如其基層政 府機關會適當地與這些互聯網企業進行合作,通過政府采購其信息安全產品,來提升本 部門的涉密信息安全水平。另一方面還會向其他國家進行產品出口,一定程度上加強了 美國對其他國家的密碼控制能力。除了知名的互聯網企業,美國知名的高校基本都設有 信息安全的專業并且配有實驗室,如佐治亞理工網絡技術與信息安全實驗室(CTISL)、
①袁方,吳耿昭.美國密碼管理政策及啟示[J].保密科學技術,2017(8):50.
②龍方欽基層黨政機關信息安全保密管理問題研究[叨.長沙:湖南大學,2012. 卡耐基梅隆大學的網絡安全實驗室(Cylab)、約翰霍普金斯大學信息安全研究所等,①這 使得美國在保密技術方面有雄厚的實力,也極大地推動了美國信息產品的本土化。
3.經費開支充足
美國的政府和企業都對涉密信息管理進行資金支持,隨著對涉密信息安全的重視, 其政府投入基本每年都以 10%以上的速度增長。從 2000 年開始,美國政府要求國會每 年增加 20 億美元用于提高涉密信息管理水平。其經費開支主要分為六個方面:信息安 全、人員安全、物理安全、安全管理與計劃、職業教育與培訓和特殊項目,其中又以信 息安全為最大的開支項目。NSF (美國國家科學基金)也加大對信息安全研究的支持力 度,僅僅“網絡軍團服務獎學金”這一項,在 2014 年發布的財年新增經費總額中就達 到1967萬美元。②在人員安全方面,美國為了保證數量龐大的人員隊伍安全,每年要花 費 11.9億美元左右用于人員的安全審查、入職調查、機構核查、裁定、再任調查和測謊 等活動。③同時,各級政府部門一般都設置了專業的網絡技術保障部門和技術人員,負 責本單位計算機和網絡應用的日常維護。
在人才引進的投入方面,美國政府還在大學設有專項獎學金,對于在信息安全領域 表現突出的本科生獎金高達 2萬美金,碩博研究生更是能高達 3萬美金,并且還會對其 提供其他生活補助及便利的實習機會,這對于培養和選拔卓越的畢業生進入政府涉密信 息管理的重要崗位有極大作用。由于人的主觀能動性和不可控性,在發生了斯諾登事件 后,美國對于在職人員的培訓經費也大幅度提高。其培訓方式不僅是在教室里照本宣科, 美國還會進行實戰演練,尤其是和盟國一起的跨國聯合演練更是需要花費巨額經費去購 置設備以及組織工作。正所謂巧婦難為無米之炊,從美國的經驗來看,要做好涉密信息 管理工作,充足的保密經費是基礎。
4.機構職責清晰
美國有職責較為清晰的政府管理機構來執行涉密信息管理工作,主要有部際安全定 密復議委員會、國家安全通訊和信息系統安全委員會、信息安全監督局、國防貿易控制 辦公室、工業與安全局、原子能監督委員會等部門,這些機構統一領導、各司其職,職 能有明顯的側重方面,沒有出現職能重復的現象。還賦予基層部門可以根據本單位的需
①林東岱,劉峰.美國信息安全保密體系初探J].保密科學技術,2012(9).
②韓臻,黎琳,何永忠.美國信息安全教育和人才培養措施借鑒J].保密科學技術,2014(7):4-9.
③孫寶云.美國保密經費的管理J].保密工作,2014(3):55.
要決定接觸涉密信息人數的權力,由于接觸涉密信息的人越多其泄密的風險就越大,所 以有個原則是要將人數控制在最小范圍內。同時,特朗普上任后,先后對涉密通信網絡 和涉密信息管理體制進行了大刀闊斧的改革,成立了新的協調機構用于加強部際之間和 基層各相關部門的交流合作,各部門之間的配合也很默契。比如伊利諾依州的山伯格市 政府, 上至市長下至職員都很重視工作上的協調合作,將信息進行集成,并定期開會溝 通工作。
5.打擊信息安全犯罪
網絡空間的自由不能凌駕于法律和道德之上,更不能成為信息過度自由下的犧牲 品。盜取國家涉密信息的犯罪行為日益猖獗,引起了各國政府的高度關注,預防和打擊 信息安全犯罪也被提上了議事日程。2010 年6 月起,美國國土安全部門對網上論壇、 博客等進行實時的監控,多個知名媒體和熱門博客均在監控名單中。同時還在全美建立 了 15 個計算機取證實驗室,用于追蹤各類信息安全犯罪行為,包括傳播電腦病毒、安 插惡意軟件、黑客入侵、盜取網絡身份等。通過這些監控和追蹤行為,美國對涉及信息 安全的犯罪調查工作更加規范化,案件的偵破率也得到了有效的提高。①美軍的某位情 報分析員,曾經因為泄漏涉密信息被判“間諜罪”,面臨100年以上的監禁。嚴重威脅 到國家利益和安全的泄密行為,如果被判處“通敵罪”,更有可能面臨死刑。隨著國際 形勢的風云變幻,與別國間關系的緊張,美國對于伊朗、俄羅斯等國黑客的竊密活動也 提起了公訴并加大了打擊力度。
①龍方欽基層黨政機關信息安全保密管理問題研究[D].長沙:湖南大學,2012.
24
五、完善基層黨政機關涉密信息管理的對策建議
(一)加強宣傳引導,提升意識水平
1.領導高度重視
管理學的理論認為,人是實施管理的主體,一切管理活動都要以做好人的工作為前 提。在基層黨政機關中,領導是管理的關鍵。他們掌握著對人、財、事的分配權和處置 權,只有提高領導對于涉密信息管理工作的重視程度,才能奠定開展此項工作的組織保 障、經費保障和硬件保障。雖然現在是信息時代和和平時期,但是改革開放不代表就要 把所有信息都公之于眾,信息公開和涉密信息管理不是對立的也不是對等的,要充分認 識到兩者的辯證統一關系,切實轉變領導對這項工作的觀念。同時還要認識到涉密信息 管理不僅僅是保密部門和分管領導的事,也不能等著出了事再重視,各級領導特別是一 把手都應當加以重視,認識到其政治性,堅持黨管涉密信息。
2.加強宣傳教育
管理學中存在一個普遍的說法,一流的管理靠文化,二流的管理靠制度和技術,三 流的管理靠運氣。由此可知,涉密信息管理也需要文化建設,需要加強宣傳教育。①首 先,從宣傳對象來說,應當“點面結合”。面對日益復雜的國際環境和日益多元化的社 會思想,在策劃宣傳方案時候既要突出領導干部、涉密人員和保密干部這些重點人群, 還要考慮到廣大的公務員和人民群眾,把涉密信息管理工作普及到黨政機關的每個成 員,切切實實讓更多的人在思想認識上緊跟時代潮流,從內心深處摒棄僥幸心理和從眾 心理,了解和承認涉密信息管理工作的嚴峻形勢和極端重要性。其次,從宣傳內容而言, 要做到“知行結合”。要開展形勢教育、警示教育、法制教育和科普教育,使其從主觀 意識的“知道”向行動上的“做到”轉變。通過形勢教育,使基層黨政機關的工作人員 充分認識保密和竊密斗爭的嚴峻性,增強涉密信息管理的責任感和使命感。通過警示教 育,讓工作者們熟知失泄密案件的慘痛代價和深刻教訓,進而提高遵紀守法的自覺性。 通過法制教育,使每名基層工作人員都能學法、懂法、守法、用法。通過科普教育,讓
①丁移粟,王宇.加強涉密人員管理的理論和方法J].保密科學技術,2012(9):45-49. 每名機關工作人員既有計算機基本操作技能,也有安全保密意識和防泄密技能。再次, 從宣傳方法上,應當講求“新老結合”。在傳統的宣傳方式基礎上要有所創新,更新理 念、創新方法,提升涉密信息管理宣傳的實效性。
(二)健全體制機制,加強日常管理
1.監督檢查機制
涉密信息管理能否取得實效,監督檢查很重要。通過日常性的監督檢查,可以及時 發現泄密的風險隱患,進而從源頭堵住泄密的漏洞。一是要有一支專門負責涉密信息檢 查的督察員隊伍。賦予他們一定的權限和職責,并且要明確只有被授權的機構和個人才 能進行涉密信息檢查,非授權機構或個人不得擅自進行相關檢查。同時,基層黨政機關 在組織涉密信息檢查時,可以從信息中心、通信部門等有關單位選取專業人員組成技術 專家組,為檢查提供技術支持。還可以從工商局、紀檢委、公安局、檢察院等部門借調 工作人員組成執法專家組,進而依法追查泄密事件、追責相關人員。二是要將監督檢查 工作常態化。根據實際工作需要制定重難點工作檢查方案,以保密行政管理部門為主體 的全方位無死角的保密檢查網絡,同時建立部門自查、各縣互查、上級突查的機制。①
2.風險評估機制
涉密信息管理風險評估就是從風險管理的角度,對涉密信息管理所涉及的人為或自 然的威脅進行分析,提出有針對性的整改措施,進而防范和化解風險,保障涉密信息管 理安全有效。基層涉密機構一年進行兩次風險評估,具體評估涉密信息管理人員、相關 硬件設備以及單位的電子政務網絡、業務信息系統、基礎數據庫等涉密信息系統。開展 的形式包括自評和他評。自評就是單位對本單位涉密信息管理系統進行風險評估,是自 我監督、自查自糾的方式。他評主要是上級管理部門或保密行政管理部門對其進行考察, 更具有權威性和可信性。②各單位對自評容易忽視,所以要加強自評,每個月進行一次 大的自評查擺問題。風險評估完畢,要進行風險判斷,依據量化表進行打分,如果分數 較低就應當通報批評并及時進行整改。③但是對評估結果不夠重視,上次評估需要整改 的項目下次又不達標,所以上級部門應當加強事后的跟蹤以及日常的抽查,使各單位加 以重視、提高警惕。
①陳愛強,陸燁.細微之處見精神一一無錫市黨政機關保密檢查工作紀實J].保密工作,2009:23-24.
②劉椰斐.公共部門信息保密安全管理問題與對策[D].蘇州:蘇州大學,2010.
③馬朝斌,杜虹.信息安全風險評估的探索與實踐[C].中國計算機學會信息保密專業委員會2005年學術年會.2005.
3.泄密預警機制
首先,每個基層黨政機關都要有相應的應急預案。在組織領導、協作單位等方面落 實到位,對不同組成部門的職責要加以明確分工,對應急事件的處理過程和方式方法也 要加以明確,切實做好失泄密事件防范和化解的組織保障。其次,要健全預警體系。網 信辦可協調基層黨政機關籌建網絡監控中心,還可請公安部門的網警以及一些互聯網運 營機構進行協作,進而建立健全失泄密預警體系。現在還有一些相關的報警程序,對網 絡可以實行 24 小時監控,從而做到第一時間發現危機、第一時間化解危機。最后,還 要注意經常組織對抗演練。只有通過實戰演習,才能檢驗出涉密信息管理的水平高低和 風險大小,基層黨政機關各單位之間可以進行對抗演習,有計劃有組織地開展竊密和反 竊密對抗活動,進而發現疏漏和薄弱環節,研究相應的整改方案。
4.應急管理機制
墨菲定律認為“只要是人,就會犯錯”。一旦發生失泄密事件,應當第一時間啟動 涉密信息應急管理機制,把損失控制在最小的范圍內。首先,要組建職責明晰的應急指 揮小組,具體負責所在轄區范圍的涉密信息安全事件。由于網絡的跨地域性,泄密事件 也會涉及多個省市多個部門,依照往常傳統的條塊分割方式不能及時有效地處理,這就 需要具有統一協調垂直管理的部門在最短時間整合一支專業團隊。由保密工作領導小組 組長擔任應急指揮小組組長,同時由宣傳部、政法委、機要局、公安局、工信局等相關 機構人員擔任應急小組成員。還要明確應對泄密事件中工作職責的劃分,主要領導要把 握調查方向,監督過程,協調相關部門;一般人員則是要落實工作、及時匯報進展。其 次,要有可量化的危機等級評價標準,依據失泄密的內容重要程度、傳播范圍大小等信 息確定等級劃分,進而分級對待不同失泄密事件。再次,要制定應急預案。失泄密事件 的報告、應急指揮小組的確定、追查失泄密事件的源頭、研究相應的措施、事中輿情的 控制、事后加強防護措施等方面都要有明確的處理預案和應對措施。
5.工作問責機制
本著“違法必究”的原則,對于失泄密事件也要加大行政執法力度、加強責任追究, 確保能夠起到警示作用。一是要嚴格責任追究。要依照《保密法》規定,對嚴重違反保 密規定的涉事人員和涉事單位給予處分。如若發現其行為構成犯罪,更應當按規定移送 至法院、紀檢委進行處理。二是要落實處分監督。新的《保密法》規定,機關、單位對
違反保密規定的人員不依法給予處分的,保密行政管理部門應當建議糾正,對于拒不糾 正的,應提請其上級機關或監察機關對該機關、單位負責人依法予以處理。保密行政管 理部門應當用好處分監督權,維護《保密法》的嚴肅性。①三是要落實領導問責。對于 重大失泄密事件,不能僅僅對相關涉事人員追究責任,還要對直管領導和主管領導進行 問責。對于不認真履職或工作失職的領導干部,保密委員會聯合組織、紀檢、人事等部 門進行追責,依據情節輕重,采取誡勉談話、通報批評、責令整改、黨紀政紀處分等方 式。最后,我們還要明白工作責任制的核心在于約束,要堅持正面教育和責任追究相結 合,獎勵與處罰相結合,力求做到有理有據、寬嚴適度。
6.全程管理機制
(1)涉密人員的全程管理 涉密信息的管理工作,不管是設備還是信息本身都是由人來完成的,所以對人員的 全程管理顯得極為重要。
一是對于尚未任職的涉密人員要進行任用審查和分類管理。一旦確定為待錄用人 員,要堅持先審查后任用原則,進行嚴格規范的政審。審查以思想政治為主,確保把涉 密信息交給政治上思想上可靠的人來管理。按照涉密程度,可以將涉密人員分為一般涉 密人員、重要涉密人員和核心涉密人員。按照涉密人員工作的領域來看,主要集中在政 治、軍事、經濟、科技和外交這五個領域。對于不同等級的涉密人員,要制定相應的規 范,采取復合式的分類標準和差別化的管理方式,在審查標準和程序、保密承諾內容、 教育培訓內容與頻率、考核與監督標準、保密補償標準與形式等方面都要區分對待。
二是要持證上崗并簽訂保密協議。對剛任用的涉密信息管理人員要進行崗前培訓, 學習相關的業務技能、規章制度和信息技術,取得相應的涉密崗位資質證書,才能從事 相應工作。還要建立重大事項報告制度,對于婚姻等重大事項要向組織報告。同時要簽 訂保密承諾書,使其對自己的職責和義務做到心中有數。
三是要進行崗位輪換和監管分離。崗位輪換的目的是為了消除涉密信息管理人員對 該工作“難進也難出”、“一崗定終身”的顧慮,能夠安心履職盡責。監管分離主要是 從管理方法和技術手段上實現使用權和監督權的分離,即知悉涉密信息的人受到監督, 監督者不知悉涉密信息。
①劉椰斐.公共部門信息保密安全管理問題與對策[D].蘇州:蘇州大學,2010.
28
四是出境管理和脫密管理方面也有嚴格要求。涉密信息管理人員一般情況是不允許 出境的,特殊情況需出境要履行嚴格的審批手續。即使離開了涉密崗位,也要實行脫密 期管理制度,依據對涉密信息的不同知悉程度來具體確定脫密期的長短。
(2) 涉密載體的全程管理
涉密載體主要是指存有涉密信息的各類光盤、U盤、硬盤、軟盤、磁帶等介質。涉 密載體的全稱管理分為使用前管理、使用中管理和使用后管理。在涉密載體投入使用前, 要把握好自主可控的原則,不能采用向社會公開招投標的方式購買,應當選用指定的經 過安全檢查的涉密存儲設備,最好是國產的,并進行統一登記,明確密級、定人管理。 涉密載體投入使用期間,要存放在安全保密場所,絕密級載體更應當專柜專放。遵循“誰 使用、誰負責”的原則,每天要由專人對涉密載體進行清點、登記、維護。同時對于因 工作需要攜帶外出的,要執行嚴格的審批手續,并由專人隨專車運送。在涉密載體使用 過程中,因人員調整等原因導致負責人變動的,要及時辦理移交手續。涉密載體不能正 常工作,超期服役或有不可修復的故障時,不能自行處理或隨意丟棄,以防信息泄露。 對于淘汰的涉密載體應登記并經主管領導簽批后,在監銷人員的監督下清理數據,再通 過化學或物理的方式徹底銷毀。
(3) 涉密信息的全程管理
一是起草涉密信息時,要注意嚴格保密,在涉密計算機上生成文稿,并且禁止將涉 密計算機連接互聯網。承辦人依據相關規定確定密級,然后交單位保密部門審核,并交 由主管領導批準。二是在涉密信息傳輸辦理過程中,必須通過保密渠道收發傳閱,一般 基層黨政機關都是通過機要傳輸,注意專人專車取閱,不得私自擴大傳閱范圍。三是涉 密信息的存檔管理方面,應當由專人登記,并存放于專柜中。對于已存檔的涉密信息, 相關單位需要再次查閱或借閱的,要嚴格進行登記,執行借用手續。四是在涉密信息的 發布方面,對于需要公開的信息要進行嚴格審查,確保不能有涉密信息出現在網絡上。 同時要嚴格執行“誰上網,誰負責”、“誰審批,誰負責”原則,公開的信息要實行責 任制和責任追究制度,擬發布的信息需經過單位保密責任人同意并經主管領導批準,登 記備案才能公布。五是實行涉密信息解密管理。對于保密期限已滿的涉密信息可以自行 解密。尚在保密期內的涉密信息,發文機關確定對國家安全和利益無害的情況下可以報 保密行政管理部門審核同意后解密。
(三)加強組織建設,人員選強任優
1.選拔優秀領導
領導是一個團隊的主心骨,選拔任用優秀的領導干部能夠真正地為保密工作掌舵領 航,促進涉密信息管理的規范化、確保涉密信息管理的安全性。“千軍易得,一將難求”, 要將重視涉密信息管理、有相關知識背景、有領導能力且作風優良的領導干部充實到涉 密信息管理工作中。“一把手”作為各縣級黨政機關涉密信息管理的首要負責人,任用 后保密委員會應當與各單位的“一把手”簽訂正式的保密承諾書,確保他們能認真履職。
2.建設過硬隊伍
(1) 提升業務技能
涉密信息管理離不開相關人員的操作,尤其是信息安全方面的人才是基層黨政機關 所急需的。由于是基層,很多單位在招錄工作人員時為了能夠招到人,不得不把條件降 低或不考慮專業限制,這就導致基層單位在計算機技術、信息安全、通信工程等方面的 復合型人才緊缺,因此我們要注重充實基層力量,一方面科學設定工作崗位,積極引進 各類涉密信息管理人才。現在國家保密技術研究所和一些高校聯合開設了信息安全、保 密學等課程,并培養相應專業的研究生。 2008年,國家保密局和南京大學共建了國家保 密學院,進一步充實和加強涉密信息管理的人才隊伍。另一方面要對現有涉密信息管理 人員進行全方位的業務培訓和技能提升,如密碼通信網絡和電子政務內網有關知識、信 息系統安全保密體系建設、竊密與反竊密技術、網絡安全知識等。主要采取短期集中培 訓和年度水平考核的方式加強學習,在培訓的方式方法上也可以加以創新,例如報告會、 講座、知識競賽、技術演示等方式。同時,可以將信息安全水平與提職加薪等一定程度 關聯起來,從而引導和督促工作人員自覺提升相關技能。我們要逐步建立起包括通識普 及教育、專業學歷教育和職業專家相結合教育體系,使各類用戶都能掌握相應的知識。
(2) 加強作風建設
一是要通過開展創優評先活動,大力宣傳忠誠、敬業、風險的精神,讓每名涉密信 息管理人員能夠受到感染,牢固樹立涉密信息管理不僅關系“大家”更關系“小家”安 危的理念,增強緊迫感、責任感、使命感。二是要提升思想政治素質,堅定正確的政治 方向,樹立正確的人生觀和價值觀,能夠正確判斷形勢和把握大局,達到政治思想和業 務的高度融合、相得益彰。三是要加強紀律素質的培養,通過加強對相關工作人員政治 紀律、組織紀律和保密紀律的培養,增強工作的責任意識,培養嚴謹細致、自覺遵紀守 法的工作習慣。
(3)關愛干部成長
著名的俄羅斯巴蒂克案,主要講述的是涉密人員的出境限制及補償的問題,這也映 射出涉密人員的義務與權益的關系。保密學有個觀點就是從物理上將涉密信息進行隔 離,然而涉密人員不像物質性的涉密載體,他們是活生生、有血有肉、有思想有情感的 “活的涉密載體”,存在著諸多的不可控因素,因而我們對涉密人員有很多嚴格要求和 特殊限制是無可厚非的,嚴守機密是每個涉密信息管理人員的義務和職責。但是同時, 我們也不能忘了去維護涉密人員的權益,適當地給予補償,不能讓涉密人員流血流汗又 流淚。一方面,應當注重對其進行耐心細致的思想政治工作,關心愛護涉密信息管理人 員,多談心多交流,增強他們對自身工作的認同感和榮譽感;另一方面使其在權益上也 要獲得保障,保障對本單位提出批評建議的權利,享有申訴和控告的權利,在生活及物 質待遇等方面也應當給予適度的甚至優厚的保障。對于長期任勞任怨在涉密信息管理崗 位工作成績突出的干部,要優先提拔重用,激發起內生動力。
3.保障機構職能
由于一些歷史原因,我國的保密工作在 1966年開始中斷了 10年左右,不同級別的 保密機構遭到嚴重破壞,直到 1978 年才得以恢復。但是在基層,保密行政管理部門一 直沒有理順管理關系,有些人員配備不足,并且多是和別的部門聯合辦公;在機構級別 上,在縣級應當明確保密行政管理部門和機要局為正科級實職機構;在機構性質上,雖 然各基層保密行政管理部門與黨委保密委員會辦公室合署辦公,兩塊牌子一套人馬,都 隸屬于黨委辦公室,但是不能因此就削弱其職能,應當加強頂層設計,逐步理順關系、 優化資源配置,進而合理地設置機構,保障機構在涉密信息管理方面的職能。①
4.加強部門間協調
涉密信息管理工作不僅僅是保密行政管理部門的事,單槍匹馬是做不好的,更需要 相關職能部門的配合,擰成一股繩,形成合力。涉密人員的待遇問題需要與財政部門溝 通協調,按照有關法規政策加以落實。績效考核的問題需要和組織部、人力資源與社會 保障等部門溝通,不能做好做壞、干多干少一個樣,要落實獎勵政策和懲戒措施。發現
①龍方欽.基層黨政機關信息安全保密管理問題研究[D].長沙:湖南大學,2012.
泄密案件時,需要公安、政法、檢察院、紀檢部門建立聯合查處工作機制。電子政務內 網機房建設的問題需要和工信部、聯通、電信協作,他們的專業技術人員能夠提供技術 保障。還有從機要局取送涉密文件,用專人專車等要求,也要和每個單位協調好,讓各 個單位配合工作。
(四)保障資金投入,提升硬件設施
1.加強屏蔽和防護水平
一是要建設能高效保密的電磁屏蔽室。通過將產生電磁輻射的涉密設備包圍起來, 確保良好接地,進而可以有效地防止計算機產生的電磁波向外界空間的傳播。在基層黨 政機關重要的涉密辦公場所,需要建造屏蔽效果達到 60db 以上的屏蔽室。二是要配置 視頻干擾儀。在涉密終端的顯示器等視頻設備上安裝視頻干擾儀,利用加密擾亂計算機 所產生的電磁輻射,從而使真實的涉密信息不會被不法分子所獲取。三是要配置低輻射 的涉密設備。選用低輻射的打印機、傳真機和筆記本電腦,同時為了把電磁輻射降到最 低,對集成電路、連接線、顯示器等配件也要進行抗輻射操作。四是要配置安全的路由 器。普通的路由器沒有數據加密功能,這增加了聯網失泄密的風險,基層黨政機關要購 置帶有防火墻功能和數據加密等功能的安全路由器。①
2.建設安全保密傳輸網絡
隨著信息化公開的大趨勢,基層黨政機關在政務網站建設方面也有了一定成績,但 是在電子政務內網建設方面進度卻差不少。在實際工作中,不少涉密信息還依靠機要系 統人對人的傳遞,在傳遞的過程中會將涉密文件帶離涉密辦公場所,所以無形中增加了 失泄密的風險,這就需要涉密電子政務內網的建設。但是由于電子政務內網需要按照涉 密網絡進行規劃和籌建,不少地方遇到了技術或資金的瓶頸遲遲沒有開工;有的地方匆 匆忙忙建設好了,但是由于質量不達標,很多工作業務照常無法在政務內網上完成,成 了空擺設,反而浪費了國家資源,所以需要在上級和保密部門的技術指導下,建立起達 到安全保密標準的電子政務內網。同時,還要在內外網連接的節點處配置保密網關,通 過采用密級控制和網關證技術的方式,來確保內部網絡信息的安全。
3.配備安全保密檢測工具 安全保密檢測工具可以通過對計算機的運行環境、使用記錄、失泄密風險點和涉密
①薛彥云.新形勢下信息安全保密管理工作研究[D].呼和浩特:內蒙古大學,2013.
32
部門的辦公場所進行技術檢查,進而發現失泄密的問題,從而排除風險、消除隱患。同 時,還可以對失泄密案件進行技術取證。隨著泄密風險的隱蔽性增強和涉密信息管理任 務的加重,相關的檢查和執法工作難度也增加了,傳統的依靠人看看環境、翻翻文件的 檢查方式顯然不可取了,這就需要輔之以先進的檢測工具。對重要的涉密部門和場所可 以進行防針孔竊密、防竊聽等檢查,對涉密計算機可以進行違規外聯、U盤互叉、文件 操作和系統環境的檢查。①
(五)加強自主創新,提升技術水平
1.加強設備自主研發
我國很多核心技術和設備依賴國外進口,這無疑是讓“小偷為金庫站崗”,對我國 涉密信息管理存在極大的威脅,鑒于此,信息安全技術與設備的自主化、國產化是提高 我國信息安全水平的必要方式。一方面,要采用經過權威機構認證的自主可控的密碼算 法,另一方面要將自主可控的密碼技術和密碼設備廣泛應用于涉密信息管理的各個環 節。美國涉密信息管理的技術和設備發達,與其政府支持大批的科研人員和高新技術企 業有關,例如美國在涉密采購方面,除了遵循公平、最佳價值和社會公正的原則外,還 遵循發展原則,即通過制定采購本國產品的政策,促進本國相關產業的發展,進而提高 產業的國家競爭力和國家整體經濟實力。②我國在設備自主研發上也要學習美國等發達 國家的先進做法,尤其是調動企業在設備自主研發方面的積極性,給予相應的優惠政策 和扶持。
2.加強相關理論研究
理論與實踐是相輔相成的,理論由實踐而來又指導實踐,涉密信息管理涉及計算機、 法律、通信工程等眾多學科,如果沒有正確理論的指導,工作就可能陷入盲目之中。加 強理論研究,首先要把握規律性。規律是客觀存在的,是不以人的主觀意志而轉移的, 涉密信息管理工作有最小化、全程化、法制化、精準化、自主化這幾個特性,只有從基 層工作出發,結合實際,探索出符合自己的方式才能管理好涉密信息。其次,理論研究 要緊跟時代的發展。信息時代知識更新快,促使涉密信息管理工作的對象、范圍、環境、 方法等都要有所改變。例如之前主要是紙質化辦公,現在逐步發展到無紙化辦公、無人
①龍方欽.基層黨政機關信息安全保密管理問題研究[D].長沙:湖南大學,2012.
②楊斯楠.談美國涉密采購制度J].中國政府采購,2016(10):74-76.
辦公,這些改變給我們帶來便利的同時也帶來了新的挑戰和問題,這就需要我們用超前 的眼光看問題,緊跟時代潮流,做好應對新形勢挑戰的準備。最后,理論研究要有創造 性。唯創新者強,唯創新者贏。改革開放的潮流伴隨著人們思維方式的轉變,也改變著 我們的工作實踐,如果我們不創新,就有可能犯經驗主義的錯誤,就有可能被西方國家 的科技所壟斷,進而拖了工作的后腿,所以創新是勢在必行的。但我們也要知道創新不 是盲目跟風,更不是憑空想象,是建立在對涉密信息管理規律的指導下和對實際情況的 充分把握下而進行的。①
3.提升技術防范能力
一是要提升網絡技術防護能力。對涉密信息管理人員要嚴格執行身份鑒別,如通過 磁卡、口令、指紋等方式,根據涉密級別劃分不同的訪問權限。為了防止非法入侵者以 管理員的身份竊密,要將涉密信息注上特殊調用口令,并通過數字簽名的方式保護各級 文件目錄,防止違規瀏覽、復制、修改、刪除等操作。二是要提升存儲介質技術防護水 平。目前主要有三個方式進行存儲介質的保護,消磁、防拷貝和加密。還有針對U盤互 插的現象,推廣使用單向導入技術的“涉密計算機及移動存儲介質保密管理系統”(簡 稱“三合一”),通過在受控制的電腦主機上安裝管理程序和部署控制器,對受控制的 電腦主機的 UBS 移動存儲介質進行授權,進而封堵信息外泄的渠道。通過“三合一” 保密安全管理系統可以達到數據單向導入、非法外聯監控和移動存儲介質的管理。②三 是物理隔離和單向數據交換。通過在主板上加裝一個隔離卡和硬盤,分別在兩個硬盤上 裝兩個系統,涉密信息和上網操作分別在不同硬盤,計算機相當于變成了兩臺,當一個 硬盤工作時,另一個硬盤就斷電,從而達到安全保密的目標。③
①龍方欽.基層黨政機關信息安全保密管理問題研究[D].長沙:湖南大學,2012.
②薛彥云.新形勢下信息安全保密管理工作研究[D].呼和浩特:內蒙古大學,2013.
③楊志鵬.加強大理州黨政機關計算機網絡信息安全保密管理對策研究[D].昆明:云南大學,2010. 34
在復雜多變的新形勢下,涉密信息管理也在不斷發展、不斷創新,其管理對象更 加多元化、管理內容更加復雜化、管理方式更加專業化和現代化。而基層黨政機關在這 方面還比較薄弱,不管在實際工作中還是在學術研究方面,仍有不少值得研究的地方。 本文通過對基層涉密信息管理的研究,找到了問題的根源,分析了原因,并學習美國在 規章制度、經費開支、保密技術和機構職能方面的先進經驗,從而總結出我國基層黨政 機關在涉密信息管理上必須從思想建設、制度建設、組織建設、資金投入、科學技術這 六個方面進行謀劃。
本文力求闡釋涉密信息管理是一個多方位、多因素、綜合的、系統的動態管理過程, 從多角度提出涉密信息管理的提升對策。在思想建設上,領導要高度重視,并加強對整 體工作人員的宣傳教育。在制度建設上,要建立監督檢查機制、風險評估機制、泄密預 警機制、應急管理機制、工作問責機制和全程管理機制。在組織建設上,要選拔優秀領 導、建設過硬隊伍、保障機構職能、加強部門間協調。在資金投入方面,要加強屏蔽和 防護水平、建設安全保密傳輸網絡、配備安全保密檢測工具。在科學技術方面,要加強 設備自主研發和相關理論研究,提升技術防范能力。
本文雖然對基層黨政機關涉密信息管理作了初步的研究,但是由于本人的水平有 限、經驗不足、可供參考的文獻不多,加之身為涉密人員不便公布一些更加詳實、定量 的數據,文章難免有疏漏和不盡完善的地方,我會在今后的學習和實際工作中繼續思考、 繼續總結、繼續改進,希望能夠為現在和今后我國基層黨政機關涉密信息管理提供一些 有益的幫助。
參考文獻
[1]中國互聯網絡信息中心•中國互聯網絡發展狀況統計報告[R].北京:2018.
[2]騰訊.2017年度互聯網安全報告[R].深圳:2018.
[3]《中華人民共和國保守國家秘密法》,2010年4月29日第十一屆全國人民代表大會 常務委員會第十四次會議修訂.
[4]馬朝斌,杜虹•信息安全風險評估的探索與實踐[C].中國計算機學會信息保密專業委 員會2005年學術年會.2005.
[5]楊永川,李冬靜•信息安全[M].北京:清華大學出版社,2007.
[6]叢友貴•信息安全保密概論[M].北京:金城出版社,2001.
[7]趙戰生•信息安全保密教程[M].合肥:中國科技大學出版社,2006.
[8]王宇,閻慧•信息安全保密技術[M].北京:國防工業出版社,2010.
[9]國家保密局編寫組•中華人民共和國保守國家秘密法釋義[M].北京:金城出版社, 2010,25.
[10]龍方欽•基層黨政機關信息安全保密管理問題研究[D].長沙:湖南大學,2012.
[11]劉椰斐•公共部門信息保密安全管理問題與對策[D].蘇州:蘇州大學,2010.
[12]薛彥云•新形勢下信息安全保密管理工作研究[D].呼和浩特:內蒙古大學,2013.
[13]楊志鵬•加強大理州黨政機關計算機網絡信息安全保密管理對策研究[D].昆明:云 南大學, 2010.
[14]許曉昕•政府信息公開背景下的我國保密工作研究[D].濟南:山東師范大學,2017.
[15]趙冉•新形勢下我國政府保密工作研究[D].南京:南京大學,2014.
[16]王綠韻•我國政府部門涉密信息安全管理問題探究[D].貴陽:貴州大學,2016.
[17]武建良•云南省黨政機關國家秘密信息安全危機管理研究[D].昆明:云南大 學,2013.
[18]楊志鵬•加強大理州黨政機關計算機網絡信息安全保密管理對策研究[D].昆明:云 南大學, 2010.
[19]陳天平•黨政機關紙質涉密公文管理問題及對策研究[D].合肥:安徽大學.2015.
[20]彭志•美國涉密人員安全許可制度簡介[J].保密工作,2015(7):44-45.
[21]丁京•淺談保密工作管理信息系統的框架設計[J].中國管理信息化,2018(4).
[22]黃勇強•新形勢下黨政機關網絡信息安全保密面臨的風險及對策措施[J].保密科學 技術,2013(10):59-61.
[23]陳愛強,陸燁•細微之處見精神一一無錫市黨政機關保密檢查工作紀實[J].保密工 作,2009:23-24.
[24]孫寶云,趙冬•論美國保密制度的特點及對中國的啟示[J].理論與改革,2011
(4):24-29.
[25]張健•解讀美國信息安全政策文件《涉密信息泄漏應對指南》[J].信息網絡安全, 2010(4):9-11.
[26]韓臻,黎琳,何永忠•美國信息安全教育和人才培養措施借鑒[J].保密科學技術, 2014(7):4-9.
[27]楊斯楠•談美國涉密采購制度[J].中國政府采購,2016(10):74-76.
[28]孫寶云•美國保密經費的管理[J].保密工作,2014(3):55.
[29]劉妍宏•政府電子信息安全問題芻議[J].行政與法,2016(10):81-86.
[30]葛子貴•完善保密工作責任制的幾個問題[J].保密科學技術,2016(3):62-63.
[31]郎一輪•市級政府辦公部門保密工作的再認識[J].秘書,2003(9):21-22.
[32]董明玉,王燕飛•涉密信息保密管理體系優化[J].信息安全與通信保密, 2014(10):76-78.
[33]國家保密局政策法規司•涉密人員管理制度研究[J].保密工作,2014(6).
[34]國家保密局指導管理司•涉密人員的在崗管理[J].保密工作,2015(10).
[35]融燕,侯思齊•加強新時期信息安全人才素質的培養[J].北京電子科技學院學報, 2008,16(3):10-12.
[36]河北省保密局•河北縣級保密行政管理部門機構隊伍建設調查報告[J].保密工作, 2015(4).
[37]歐錦峰•廣東:黨政領導成為保密工作“領航人” [J].保密工作,2014(6).
[38]馮寧•“涉密人員保密管理”系列研討之二涉密人員的復合式分類標準[J].保密工 作,2014(2).
[39]孫琦•國外涉密人員資格審查制度介紹[J].2012(2):35-37.
[40]林東岱,劉峰.美國信息安全保密體系初探[J].保密科學技術,2012(9).
[41]袁方,吳耿昭.美國密碼管理政策及啟示[J].保密科學技術,2017(8):50.
[42]國務院辦公廳政府信息與政務公開辦公室•全國政府網站數量三年精簡七成[N]. 人民日報,2018-8-7(11).
[43]Shannon .A Mathematical Theory of Communication.In:Bell.System
Technical.Journal.1948.
上一篇:基于ASP. NET的中小學教務信息管理系統的設計與實現
下一篇:沒有了
相關標簽:
