楊德保

摘 要：本文分析了目前政府門戶網(wǎng)站信息公開導(dǎo)致的失泄密原因和保密漏洞等安全隱患，并提出了相應(yīng)的安全對策。

關(guān)鍵詞：門戶網(wǎng)站；信息公開；失密；泄密；保密；物理隔離；邏輯隔離

1 引言

近年來我國政府部門信息化建設(shè)取得了長足的發(fā)展，各級政府相繼建成了自己的門戶網(wǎng)站，行政許可事項(xiàng)多數(shù)上網(wǎng)。據(jù)工業(yè)和信息化部統(tǒng)計數(shù)據(jù)，中央部委政府網(wǎng)站的普及率達(dá)到96.1%，省市政府網(wǎng)站普及率達(dá)到100%，地市級政府網(wǎng)站普及率達(dá)到99.1%?！笆髽?biāo)輕輕一點(diǎn)，信息就在眼前”的格局已悄然出現(xiàn)。政府門戶網(wǎng)站由于其信息公開發(fā)布及時、輻射范圍廣泛、獲取便捷、信息完整等，深受百姓的廣泛認(rèn)同，受到良好的社會服務(wù)效果，必將繼續(xù)成為政府信息公開的主導(dǎo)方式。與此同時，在政府信息公開為民服務(wù)工作中，違反有關(guān)保密審查規(guī)定和信息安全制度，從而導(dǎo)致信息失密和泄密的問題時有發(fā)生，并且呈上升趨勢，產(chǎn)生了不良的社會后果。本文結(jié)合自己長期從事信息安全和保密工作的切身體會，介紹了政府門戶網(wǎng)站結(jié)構(gòu)，分析了政府信息公開中的失密和泄密問題，并提出了相應(yīng)的安全保密對策。

2 失泄密隱患

總的來說，政府信息公開導(dǎo)致失泄密的隱患主要是保密審查制度在一些地方和部門存在職責(zé)不清，責(zé)任不明的問題，信息公開與保密審查脫節(jié)的現(xiàn)象比較嚴(yán)重。有的地方和部門甚至把信息公開當(dāng)作是為了更新或充實(shí)網(wǎng)站內(nèi)容的需要等。具體來說，主要有以下幾個方面問題。

2.1 沒有嚴(yán)格執(zhí)行保密審查程序

⑴少數(shù)單位和部門在信息公開時沒有保密審查導(dǎo)致信息失泄密。有些單位或部門為充實(shí)和更新網(wǎng)站內(nèi)容，直接從文印室批量拷貝有關(guān)文件，不進(jìn)行秘級分類，也不遵守先審查后發(fā)布的正規(guī)流程，而是邊發(fā)布邊審查，致使大量涉密文件刊登在網(wǎng)站上，造成信息的失泄密。有的政府部門利用互聯(lián)網(wǎng)站辦公，不經(jīng)保密審查，直接將工作動態(tài)、請示報告等涉密文件刊登在網(wǎng)站上，造成失泄密。還有少數(shù)政府部門為了豐富門戶網(wǎng)站內(nèi)容，將內(nèi)部使用的匯編文件，集中在網(wǎng)站上發(fā)布，導(dǎo)致匯編文件中含有的涉密文件泄露。

⑵轉(zhuǎn)載其他單位文件或內(nèi)部刊物資料時不經(jīng)保密審查造成失泄密。如某政府部門網(wǎng)站為了擴(kuò)大網(wǎng)站信息量，通過網(wǎng)絡(luò)下載工具從其他網(wǎng)站上下載了大量文件資料，不經(jīng)領(lǐng)導(dǎo)和相關(guān)人員進(jìn)行保密審查，致使其中含有的涉密文件刊登在政府門戶網(wǎng)站上，造成失泄密。再如某政府部門網(wǎng)站，將涉密刊物上刊登的有關(guān)文件，不經(jīng)保密審查，直接在網(wǎng)站上予以發(fā)布，造成失泄密。

2.2 保密審查存在漏洞

⑴只審查文件首頁有無密級標(biāo)識不審查文件全文。如某政府部門網(wǎng)站信息管理員在刊登信息時，只審查文件首頁有無國家秘密標(biāo)識，致使一份在第二頁標(biāo)識國家秘密的文件被刊登在網(wǎng)站上，造成泄密。

⑵只審查文件正文不審查附件。如某政府部門網(wǎng)站信息管理員在刊登信息時，僅對文件正文進(jìn)行了審查，沒有發(fā)現(xiàn)文件附件屬于涉密內(nèi)容，而把正文連同附件一并刊登在網(wǎng)站上，造成泄密。

⑶只審查文件出處不審查文件內(nèi)容。如某政府部門網(wǎng)站信息管理員將該部門需要信息公開的文件在政府網(wǎng)站上進(jìn)行公開時，認(rèn)為文件沒有標(biāo)密，便可以公開。但由于在匯編業(yè)務(wù)文件時，存在違規(guī)收錄涉密文件的情況，致使有關(guān)涉密文件被刊登在網(wǎng)站上，造成泄密。

2.3 涉密文件資料管理存在漏洞

⑴少數(shù)政府部門在與連接互聯(lián)網(wǎng)的OA系統(tǒng)上處理涉密信息。如某政府部門有關(guān)人員錯誤認(rèn)為連接互聯(lián)網(wǎng)時采取防火墻、密碼登錄等方式可以避免公眾瀏覽內(nèi)部網(wǎng)絡(luò)，而在OA系統(tǒng)中刊登大量涉密信息，結(jié)果OA系統(tǒng)防護(hù)被攻破，造成涉密的待信息公開文件早已泄露。

⑵是少數(shù)政府部門擅自向網(wǎng)站制作單位提供涉密信息。如某政府部門在開發(fā)部門網(wǎng)站時，未經(jīng)保密審查，將本單位一些涉密的工作簡報提供給網(wǎng)站制作公司用于網(wǎng)站調(diào)試，該公司在調(diào)試過程中將有關(guān)簡報直接刊登在網(wǎng)站上造成泄密。

2.4 信息公開有關(guān)人員缺乏保密意識

目前政府機(jī)關(guān)工作人員基本上是人手一臺計算機(jī)，由于大部分人員未經(jīng)系統(tǒng)的計算機(jī)和網(wǎng)絡(luò)專業(yè)培訓(xùn)，對信息化條件下保密管理知識嚴(yán)重匱乏，計算機(jī)網(wǎng)絡(luò)信息保密防范能力低下。主要表現(xiàn)如下：

⑴是少數(shù)政府網(wǎng)站信息管理員缺乏保密意識。如某政府網(wǎng)站信息管理員為了增加信息公開數(shù)量，擅自刪除涉密文件的國家秘密標(biāo)識，并刊登在網(wǎng)站上，造成泄密。再如某政府網(wǎng)站信息管理員對Excel表格不熟悉，沒有看到首頁上的國家秘密標(biāo)識，又不向其他同志求教，擅自將文件刊登在網(wǎng)站上，造成泄密。

⑵少數(shù)政府部門信息公開保密審查人員缺乏保密意識。如某政府部門信息公開保密審查人員告知網(wǎng)站信息管理員，除會議紀(jì)要、請示報告不能發(fā)布在網(wǎng)站上，其他都能公開，結(jié)果網(wǎng)站信息管理員將數(shù)份涉密文件及領(lǐng)導(dǎo)涉密講話公開發(fā)布在門戶網(wǎng)站上，造成泄密。

⑶政府部門工作人員缺乏網(wǎng)絡(luò)信息化基本知識，造成過失泄密。目前有部分黨政機(jī)關(guān)工作人員對信息技術(shù)、網(wǎng)絡(luò)技術(shù)、計算機(jī)技術(shù)接觸不多，對高新技術(shù)條件下的保密形勢認(rèn)識較浮淺，沒有從思想上形成主動防御的意識，并且防范能力和電子政務(wù)保密要求也有很大的距離，因而造成了失泄密。

2.5 網(wǎng)絡(luò)信息系統(tǒng)管理漏洞

⑴網(wǎng)絡(luò)安全漏洞。目前政府部門內(nèi)部一般建有政務(wù)內(nèi)網(wǎng)、政務(wù)專網(wǎng)、政務(wù)外網(wǎng)、門戶網(wǎng)。政務(wù)內(nèi)網(wǎng)是涉密的機(jī)關(guān)辦公業(yè)務(wù)網(wǎng)絡(luò)，與國際互聯(lián)網(wǎng)物理隔離，在滿足工作需求的前提下，覆蓋范圍盡可能少；政務(wù)專網(wǎng)是非涉密內(nèi)部辦公網(wǎng)，主要用于機(jī)關(guān)非涉密公文、信息的傳遞和業(yè)務(wù)流轉(zhuǎn)，它與外網(wǎng)之間不是通過傳統(tǒng)的防火墻來隔離，而是通過網(wǎng)閘隔離，具有較高的安全性；政務(wù)外網(wǎng)是政府對外服務(wù)的業(yè)務(wù)專網(wǎng)，與國際互聯(lián)網(wǎng)通過防火墻邏輯隔離，主要用于機(jī)關(guān)發(fā)布政府公開信息，受理、反饋等；政府門戶網(wǎng)是各級政府機(jī)關(guān)面向社會開展服務(wù)的電子政務(wù)窗口，推進(jìn)政務(wù)公開，擴(kuò)大服務(wù)范圍和對外宣傳，開展政府與公眾的溝通和交流，是政府信息服務(wù)的樞紐和接受社會監(jiān)督的窗口，與國際互聯(lián)網(wǎng)邏輯隔離，其主要作用是對外發(fā)布政務(wù)信息。有少數(shù)政府機(jī)關(guān)沒有嚴(yán)格按照要求進(jìn)行網(wǎng)絡(luò)隔離，這就帶來了嚴(yán)重的網(wǎng)絡(luò)信息安全漏洞。

⑵涉密機(jī)管理漏洞。根據(jù)保密法涉密機(jī)必須與互聯(lián)網(wǎng)進(jìn)行嚴(yán)格理隔離。許多單位涉密機(jī)也加有隔離卡，但是為了工作方便，不是采用切電重啟轉(zhuǎn)換，而是采用系統(tǒng)休眠或其它方式進(jìn)行切換，其實(shí)這只是電子隔離，并非是物理隔離；還有些工作人員下班不關(guān)機(jī)，導(dǎo)致計算機(jī)長期開機(jī)；或者關(guān)機(jī)沒有切斷插座電源的不良習(xí)慣等，黑客完全可以通過遠(yuǎn)程啟動登錄進(jìn)入你的計算機(jī)，極有可能造成大量信息的非法竊取，這些都給信息泄密帶來極大的安全隱患。

⑶網(wǎng)站制作、改版更新的善后善后工作處理不到位。目前政府部門的門戶網(wǎng)站的制作、改版更新等多數(shù)是采用服務(wù)外包的形式，只注重開始，不注重善后工作的處理。往往在開始階段抓的比較緊，制作過程中多數(shù)采用是邊調(diào)試邊使用的方式。不少政府部門在網(wǎng)站制作或更新改版任務(wù)完成后，沒有關(guān)及時閉協(xié)作單位人員的入口，這就為網(wǎng)站信息的非法篡改、刪除等提供了方便之門。

3 政府機(jī)關(guān)門戶網(wǎng)站信息安全保密對策

針對上述問題，為確保政府門戶網(wǎng)站信息安全，一要加強(qiáng)網(wǎng)站自身管理；二要抓好信息公開中的保密審查，具體應(yīng)從以下幾個方面著手。

3.1 建立門戶網(wǎng)站網(wǎng)絡(luò)信息保密管理長效機(jī)制

“三分技術(shù)，七分管理”。各級機(jī)關(guān)門戶網(wǎng)站要建立健全安全保密管理機(jī)構(gòu)和保密管理長效機(jī)制，配備專職專業(yè)的網(wǎng)站網(wǎng)絡(luò)信息安全保密管理人員。與有關(guān)涉密人員和協(xié)作單位簽訂保密責(zé)任書，嚴(yán)格管理信息發(fā)布人員權(quán)限。人員管理中，涉密人員、臨時聘用人員和服務(wù)外包人員是重中之重。經(jīng)常性地開展安全保密形勢教育，宣傳和貫徹保密法規(guī)政策，增強(qiáng)安全保密意識。同時業(yè)務(wù)部門要利用各種渠道對保密管理人員進(jìn)行保密法規(guī)、國家保密標(biāo)準(zhǔn)專業(yè)知識的培訓(xùn)，增強(qiáng)其安全保密管理能力，提高安全保密業(yè)務(wù)工作水平。同時，要建立完善自查自糾機(jī)制，提高自查能力，以查促管，及時發(fā)現(xiàn)和解決失泄密隱患。

3.2 是在保密審查主體方面，要堅持“誰公開、誰負(fù)責(zé)、誰審核”的原則，嚴(yán)格落實(shí)保密審核責(zé)任制

政府網(wǎng)站由于業(yè)務(wù)多，信息公開數(shù)量大、情況復(fù)雜等特點(diǎn)，應(yīng)當(dāng)堅持誰提供公開的信息，就由誰負(fù)責(zé)對該信息進(jìn)行保密審查，并對公開的信息不涉密負(fù)責(zé)的原則。要嚴(yán)格上網(wǎng)信息和保密審查制度的記錄，并建立詳細(xì)的登記臺帳，明確責(zé)任到人頭，確保涉密信息不上網(wǎng)。

3.3 是嚴(yán)格落實(shí)“涉密不上網(wǎng)，上網(wǎng)不涉密”的規(guī)定

堅持涉密信息網(wǎng)絡(luò)與外網(wǎng)物理隔離；在與互聯(lián)網(wǎng)連接的物理設(shè)備上，不存儲、處理、傳遞涉密信息；

3.4 是加強(qiáng)有效監(jiān)督

加強(qiáng)對上網(wǎng)信息的保密檢查，發(fā)現(xiàn)涉密信息及時采取糾正措施，查清泄密渠道和原因。

3.5 嚴(yán)格落實(shí)保密審查責(zé)任

要嚴(yán)格按照《政府信息公開條例》規(guī)定的政府信息發(fā)布保密審查機(jī)制的責(zé)任追究，對有關(guān)網(wǎng)站信息公開中失泄密事件責(zé)任人作出嚴(yán)肅處理，以起到警示作用，產(chǎn)生一人受處分，大多數(shù)人受教育的效果，以遏制政府網(wǎng)站信息公開泄密的高發(fā)勢頭。

4 結(jié)語

政府門戶網(wǎng)站信息安全保密是一項(xiàng)長期性的工作，保密工作必須實(shí)施全程管理，對任何細(xì)節(jié)的放松都有可能導(dǎo)致前功盡棄。要做到這一點(diǎn)，就必須不斷完善和細(xì)化保密審查工作制度、工作程序、工作規(guī)范和工作要求，嚴(yán)格遵守保密審查制度。我們要站在國家安全的高度，牢固樹立保密就是保自己，涉密就要掉腦袋的保密觀。堅決克服那種認(rèn)為政務(wù)公開，無密可保；以及將信息公開與信息保密完全對立起來錯誤觀念。要根據(jù)國家信息化領(lǐng)導(dǎo)小組提出的“堅持積極防御，綜合防范”的方針，既要毫不動搖地倡導(dǎo)政府信息的充分公開，同時也要確保政府信息的安全保密。保密審查就是一道安全閥，猶如只有安全閥最好的車才能跑得最快、最穩(wěn)，只有將秘密信息保住守好，信息公開才能健康平穩(wěn)推進(jìn)。

[參考文獻(xiàn)]

[1]吳世忠，等，編著.信息安全技術(shù).機(jī)械工業(yè)出版社.2014.

[2]本社，著.中華人民共和國保守國家秘密法.金城出版社.2012.

[3]王宇，閻慧，編著.信息安全保密技術(shù).國防工業(yè)出版社.2010.

[4]本社，著.計算機(jī)及辦公自動化設(shè)備管理保密須知.金城出版社.2012.

[5]青平，蔣若莘，著.信息安全保密問題與應(yīng)對.金城出版社.2013.

[6]本社，著.泄密就在身邊.金城出版社.2012.

[7]本書編寫組，編.黨政機(jī)關(guān)工作人員保密須知.金城出版社.2009.