黃金艷

摘要：隨著信息化快速的發(fā)展，保密與竊密的斗爭日趨尖銳、激烈，對(duì)網(wǎng)絡(luò)安全提出嚴(yán)峻的課題。針對(duì)新的網(wǎng)絡(luò)泄密和企業(yè)計(jì)算機(jī)網(wǎng)絡(luò)泄密的特點(diǎn)，提出防范措施，保護(hù)企業(yè)安全和利益。

關(guān)鍵詞：網(wǎng)絡(luò)；信息；安全；防范

隨著改革開放的不斷深入和市場經(jīng)濟(jì)的逐步發(fā)展完善，伴隨信息產(chǎn)業(yè)的發(fā)展，企業(yè)還存在著對(duì)網(wǎng)絡(luò)安全認(rèn)識(shí)不到位、警惕性不高、法律意識(shí)談薄等現(xiàn)象，要使企業(yè)在參與市場競爭中不因失泄密而蒙受損失，就必須做好企業(yè)新形勢下網(wǎng)絡(luò)泄密的有效防范。

一、網(wǎng)絡(luò)泄密的特點(diǎn)

網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不因偶然的或者惡意的原因而遭受到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運(yùn)行，網(wǎng)絡(luò)服務(wù)不中斷。從網(wǎng)絡(luò)信息系統(tǒng)的安全指標(biāo)的角度來說，就是對(duì)信息的可用性、完整性和保密性的保護(hù)，更確切地說，是對(duì)網(wǎng)絡(luò)資源的保密性（Confidentiality）、完整性（Integrity）和可用性（Availabifity）的保護(hù)（簡稱CIA三要素）。

基于網(wǎng)絡(luò)泄密事件的危害性和高發(fā)性，規(guī)范計(jì)算機(jī)網(wǎng)絡(luò)的保密管理，防范網(wǎng)絡(luò)泄密行為，已成為世界各國保密管理的重點(diǎn)。我國修訂后的保密法從事前、事中、事后三個(gè)階段制定了對(duì)涉密信息系統(tǒng)全過程的保密管理制度，這是對(duì)我國保密工作實(shí)踐經(jīng)驗(yàn)的總結(jié)。在這里主要針對(duì)網(wǎng)絡(luò)信息的互聯(lián)性、海量性、聚合性，以及與現(xiàn)實(shí)的關(guān)聯(lián)性來分析如何防范網(wǎng)絡(luò)泄密。

二、新時(shí)期網(wǎng)絡(luò)泄密的防范措施

（一）涉密計(jì)算機(jī)信息系統(tǒng)的物理隔離

隨著國際國內(nèi)形勢發(fā)生重大而深刻的變化，保密工作面臨著許多新情況、新問題。中國石油集團(tuán)公司對(duì)于使用中油郵箱及網(wǎng)盤等網(wǎng)絡(luò)方式傳遞涉密信息情況，通過采用技術(shù)手段進(jìn)行常態(tài)化監(jiān)測，發(fā)現(xiàn)煉化企業(yè)多家通過中油油箱及網(wǎng)盤傳遞敏感信息，內(nèi)容有企業(yè)生產(chǎn)技術(shù)開發(fā)、企業(yè)工程初步設(shè)計(jì)、生產(chǎn)技術(shù)月報(bào)、生產(chǎn)銷售庫存月報(bào)、公司綜合作業(yè)計(jì)劃、主要財(cái)務(wù)指標(biāo)月報(bào)表、裝置可行性研究報(bào)告等，還存在定密錯(cuò)誤，有的標(biāo)成秘密、機(jī)密等。涉密人員的保密素質(zhì)則是國家秘密安全的最重要的保障，大到國家秘密安全，小到企業(yè)商業(yè)秘密安全。

保密工作存在諸多風(fēng)險(xiǎn)，以中油集團(tuán)的撫順石化公司為例，剖析其網(wǎng)絡(luò)風(fēng)險(xiǎn)不難看出，企業(yè)互聯(lián)網(wǎng)基礎(chǔ)資源受制于人，加之秘密載體日益數(shù)字化、網(wǎng)絡(luò)化，在信息化快速推進(jìn)的情況下，網(wǎng)絡(luò)泄密風(fēng)險(xiǎn)空前加大；保密重點(diǎn)單位商業(yè)秘密業(yè)務(wù)多，一旦泄漏將對(duì)企業(yè)利益造成不可挽回的重大損失；員工文化程度高，網(wǎng)絡(luò)知識(shí)面廣，思想又十分活躍，人人都是計(jì)算機(jī)高手，他們喜歡網(wǎng)上跟帖，發(fā)表言論等，存在泄密的風(fēng)險(xiǎn)。

此外，還應(yīng)該認(rèn)識(shí)到，物理隔離也不是將涉密系統(tǒng)絕對(duì)封閉。信息必須使用才能有價(jià)值，必須共享才能價(jià)值最大化，國家秘密也不例外。只不過基于國家秘密知悉范圍有限的特性，國家秘密的使用必須限制在一定的范圍內(nèi)，并且只能采用限定的方法。因此，必須保證涉密人員的可靠忠誠、遵紀(jì)守法，進(jìn)一步完善與落實(shí)涉密人員資格審查和管理制度，同時(shí)必須確保網(wǎng)絡(luò)信息使用方法的安全性，加強(qiáng)對(duì)信息傳輸技術(shù)設(shè)備的權(quán)威認(rèn)證。

（二）對(duì)涉密人員個(gè)人網(wǎng)絡(luò)行為進(jìn)行管控

網(wǎng)絡(luò)為人們提供了太多的信息處理平臺(tái)和工具，F(xiàn)acebook、MSN、QQ、Blog、Twitter（微博）等，社交網(wǎng)絡(luò)正在以驚人的速度逐步形成，它已經(jīng)成為人們豐富生活、展示自我、互聯(lián)溝通、甚至參政問政的重要渠道。為了防止涉密人員在從事個(gè)人網(wǎng)絡(luò)行為時(shí)有意或無意的泄密，應(yīng)該對(duì)于涉密人員在涉密期尤其是對(duì)涉密工作時(shí)間段內(nèi)的個(gè)人網(wǎng)絡(luò)等行為進(jìn)行嚴(yán)格的管控。

企業(yè)的個(gè)人網(wǎng)絡(luò)管控可采用的措施很多，主要是禁止涉密人員在互聯(lián)網(wǎng)計(jì)算機(jī)及與之相連的軟盤、u盤、光盤、移動(dòng)硬盤等移動(dòng)存儲(chǔ)介質(zhì)上存儲(chǔ)、處理國家秘密和內(nèi)部敏感信息；禁止涉密人員在互聯(lián)網(wǎng)網(wǎng)盤和云盤中存儲(chǔ)國家秘密和內(nèi)部敏感信息；禁止涉密人員使用互聯(lián)網(wǎng)電子郵箱收發(fā)國家秘密和內(nèi)部敏感信息；禁止涉密人員在及時(shí)通信、微信、微博、論壇等互聯(lián)網(wǎng)應(yīng)用中發(fā)布國家秘密和內(nèi)部敏感信息；涉密人員發(fā)現(xiàn)受到不明郵件攻擊等異?，F(xiàn)象，可重新安裝操作系統(tǒng)，并迅速向保密部門報(bào)告。此外，在平常工作中也要明確區(qū)分工作用和個(gè)人用的u盤和計(jì)算機(jī)，堅(jiān)決杜絕混用，若工作中接觸涉密電子文件，要及時(shí)清理，該歸檔的要及時(shí)歸檔，該銷毀的要急時(shí)銷毀。

（三）對(duì)涉密資料和涉密載體的過程監(jiān)控

近年來，隨著保密科技防護(hù)能力的不斷增強(qiáng)，計(jì)算機(jī)及網(wǎng)絡(luò)失泄密趨勢得到了有效遏制。與之相悖，由于保密管理不到位導(dǎo)致涉密載體丟失被盜的情況卻多有發(fā)生，值得深思。很多案例進(jìn)行梳理后發(fā)現(xiàn)，主要是少數(shù)涉密人員保密意識(shí)淡薄、思想麻痹，造成了泄密惡果。

涉密載體丟失被盜案件情節(jié)看似簡單，造成的危害卻不容小覷。個(gè)人認(rèn)為，最關(guān)鍵的是要從“人”這個(gè)根本入手，更要在走“心”上下功夫。即所謂“心不防，防不勝防，心在防，防上加防”，就是這個(gè)道理。

提高警惕，讓案例宣傳入腦。涉密人員警惕性不高是其疏忽大意，導(dǎo)致涉密載體丟失被盜的重要原因。例如：2015年2月，匯豐銀行大量秘密銀行賬戶文件被曝光，涉及約3萬個(gè)賬戶，這些賬戶總計(jì)持有約1200億美元資產(chǎn)，堪稱史上最大規(guī)模銀行泄密。8月，英國電信運(yùn)營商CarphoneWarehouse在黑客入侵事件中，包含加密信用卡數(shù)據(jù)的約240萬在線用戶的個(gè)人信息遭到黑客入侵。這240萬用戶的個(gè)人數(shù)據(jù)包括姓名、地址、出生日期和銀行卡細(xì)節(jié)……都有可能遭到黑客訪問，其中多達(dá)9萬名客戶的加密信用卡數(shù)據(jù)可能也遭到黑客入侵。因此，要廣泛深入地進(jìn)行宣教，通過大量案例的展示讓涉密人員了解在工作生活中容易發(fā)生涉密載體丟失被盜的各種情形以及危害后果，強(qiáng)化保密意識(shí)，平?？嚲o弦，關(guān)鍵時(shí)刻咬住勁。

普及法規(guī)，讓保密制度入心。造成涉密載體丟失被盜的另一個(gè)重要原因就是涉密人員不學(xué)法、不懂法，不掌握有關(guān)涉密載體保存管理的規(guī)定，或?qū)@些規(guī)定一知半解，理解上有所偏差。不出問題時(shí)誰也不去學(xué)、不去想，等到文件丟失后才想起制度，被盜了才大呼后悔。因此，涉密人員必須認(rèn)真學(xué)習(xí)保密法規(guī)，用制度規(guī)范程序、行為、責(zé)任，做到自警、自重、自律，切實(shí)提高保密管理工作的水平和能力。

保密要害部門、部位和涉密崗位是保密管理的重點(diǎn)，涉密資料和涉密載體是保密管理的主要對(duì)象，要強(qiáng)化工作責(zé)任，制定具體措施，抓細(xì)節(jié)，堵漏洞，重防范。涉密資料要按照“誰主管、誰負(fù)責(zé)”的要求，確定涉密資料的密級(jí)和負(fù)責(zé)人，建立嚴(yán)格審批程序；技術(shù)管理書籍、圖表、會(huì)議資料等要充分利用事業(yè)部內(nèi)現(xiàn)有設(shè)備進(jìn)行編印，原則上不準(zhǔn)外印，必須送外編印的，由“單位主管領(lǐng)導(dǎo)一保密委員會(huì)辦公室一事業(yè)部主管領(lǐng)導(dǎo)”三級(jí)審批程序，并簽訂技術(shù)服務(wù)保密協(xié)議，加強(qiáng)監(jiān)控和痕跡化管理。要加強(qiáng)涉密載體管理，重點(diǎn)抓好涉密筆記本電腦、移動(dòng)存儲(chǔ)介質(zhì)，辦公自動(dòng)化設(shè)備和手機(jī)使用的保密管理。要繼續(xù)加強(qiáng)對(duì)涉密載體和涉密資料的銷毀管理，銷毀要建立臺(tái)賬，完善制度，確保涉密載體和涉密資料在銷毀環(huán)節(jié)中不出問題。重要部位的員工上崗前要在政治上、思想上、作風(fēng)上進(jìn)行嚴(yán)格的審查，確?？煽?、可信、可用。并對(duì)上崗、在崗、離崗各環(huán)節(jié)都要實(shí)行嚴(yán)格的監(jiān)督，發(fā)現(xiàn)不適合繼續(xù)在涉密崗位工作的，要堅(jiān)決調(diào)離。離崗時(shí)要移交所有涉密載體，進(jìn)行脫密處理。

隨著信息化進(jìn)程的深入和互聯(lián)網(wǎng)的迅速發(fā)展，信息安全顯得日益重要，要加強(qiáng)信息系統(tǒng)安全研究和管理，使之納入有序化、規(guī)范化、法制化的軌道上。在互聯(lián)網(wǎng)這個(gè)虛擬的世界里，如同現(xiàn)實(shí)世界一樣，沒有絕對(duì)自由，如果網(wǎng)絡(luò)失去規(guī)則，那么自由也就無從說起，這一點(diǎn)已經(jīng)被無數(shù)的事實(shí)所證明。網(wǎng)絡(luò)安全從我做起，時(shí)不我待，刻不容緩。