王勇 郭東華

[摘 要] 本文從信息安全保密管理工作的基本概念著手，就國內(nèi)信息安全保密管理工作的形勢以及具體的保密管理原則與措施進(jìn)行了論述與說明，旨在為信息安全保密管理工作的強(qiáng)化提供一些參考。

[關(guān)鍵詞] 新形勢 信息安全 保密管理

中圖分類號(hào)：G203 文獻(xiàn)標(biāo)志碼：A

定密工作是信息安全保密管理工作的基礎(chǔ)環(huán)節(jié)。按照機(jī)密的性質(zhì)差異，可將其劃分為國家機(jī)密、商業(yè)機(jī)密、工作機(jī)密與個(gè)人隱私等類型。不同性質(zhì)、不同等級(jí)的機(jī)密，對(duì)保密管理工作的標(biāo)準(zhǔn)要求也各不相同。本文論述了信息安全保密管理工作的基本概念，介紹了機(jī)密泄密的途徑，最終提出切實(shí)可行的信息安全保密管理措施。

一、信息安全保密管理工作的基本概念

確保信息安全，是維護(hù)國家利益、企事業(yè)單位利益以及個(gè)人利益的必要前提。為加強(qiáng)信息安全保密管理工作落實(shí)效果，必須通過隱秘、偽裝等多樣化方式對(duì)信息進(jìn)行保護(hù)，以此保障國家利益、企事業(yè)單位利益與個(gè)人利益。為確保信息安全保密管理工作的正常運(yùn)轉(zhuǎn)，需組織一系列技術(shù)服務(wù)工作與管理工作，采取合法化、合理化的技術(shù)手段與經(jīng)濟(jì)手段，約束與規(guī)范信息知情者的行為，避免信息知情者對(duì)外泄露機(jī)密。簡單來說，信息安全保密管理工作就是在信息被判定為機(jī)密信息的情況下，對(duì)信息實(shí)行全方位、動(dòng)態(tài)化管理，限定知情人數(shù)[1]。

二、國內(nèi)信息安全保密管理工作形勢

（一）獲取機(jī)密更加便捷

如今，機(jī)密信息的存儲(chǔ)與調(diào)配越來越依賴于互聯(lián)網(wǎng)與信息系統(tǒng)。除聲、光、電、磁等存載媒介形式以外，網(wǎng)絡(luò)化、數(shù)字化與集成化存儲(chǔ)也逐步成為主流存載體形式。機(jī)密文件處理逐步由人工干預(yù)模式向計(jì)算機(jī)信息系統(tǒng)處理模式過渡轉(zhuǎn)變，同時(shí)，傳輸方式也逐步由人工傳遞模式向計(jì)算機(jī)信息系統(tǒng)與遠(yuǎn)程通信系統(tǒng)傳輸模式過渡轉(zhuǎn)變。在科技時(shí)代背景下，獲取機(jī)密信息的渠道與手段越來越多樣化，且傳播范圍越來越廣、傳播速度越來越快。

（二）保密風(fēng)險(xiǎn)系數(shù)提升

由于機(jī)密信息的存儲(chǔ)、處理與傳輸對(duì)互聯(lián)網(wǎng)與計(jì)算機(jī)信息系統(tǒng)的依賴程度較高，而互聯(lián)網(wǎng)具有開放性、共享性特征，增大了機(jī)密信息的保密風(fēng)險(xiǎn)系數(shù)。一旦計(jì)算機(jī)信息系統(tǒng)遭到惡意入侵或攻擊，極有可能導(dǎo)致整個(gè)系統(tǒng)崩盤，機(jī)密信息被竊取，造成巨大的經(jīng)濟(jì)損失[2]。

（三）國內(nèi)機(jī)密信息安全保密管理工作形勢嚴(yán)峻

隨著我國綜合實(shí)力的增強(qiáng)，機(jī)密信息數(shù)量與日俱增，同時(shí)也成為國外情報(bào)人員竊密的重點(diǎn)目標(biāo)?，F(xiàn)階段，境外敵對(duì)勢力與境內(nèi)反黨組織聯(lián)合對(duì)國家機(jī)密信息展開監(jiān)控，這不僅對(duì)國家利益與人民利益造成了極大的威脅，也會(huì)直接擾亂國際關(guān)系。此外，隨著我國社會(huì)主義市場經(jīng)濟(jì)的繁榮發(fā)展，與外商貿(mào)往來日趨頻繁，這給敵對(duì)情報(bào)組織的大規(guī)模竊密活動(dòng)提供了可乘之機(jī)，加大了機(jī)密信息安全保密管理工作的難度。

三、機(jī)密信息泄密途徑

以國家電網(wǎng)為例，在日常工作中，采取計(jì)算機(jī)內(nèi)外網(wǎng)隔離的方式，可基本保證計(jì)算機(jī)內(nèi)網(wǎng)的安全性。即便如此，仍無法完全保證計(jì)算機(jī)內(nèi)網(wǎng)不會(huì)遭到黑客或病毒的侵襲。同時(shí)，其他信息設(shè)備也極有可能成為機(jī)密信息安全保密管理工作的隱患。

打印機(jī)、復(fù)印機(jī)與傳真一體機(jī)都或多或少存在泄密隱患。首先，多功能一體機(jī)既連接涉密計(jì)算機(jī)，又連接市話網(wǎng)，這就為機(jī)密信息的泄露提供了渠道；其次，復(fù)印機(jī)的泄密隱患也相對(duì)較大。由于復(fù)印機(jī)的數(shù)字化程度較高，在現(xiàn)場維修時(shí)，維修技術(shù)人員需要使用自配計(jì)算機(jī)與故障機(jī)進(jìn)行連接，若復(fù)印機(jī)涉及未處理的機(jī)密信息，極有可能通過維修途徑泄露；再次，移動(dòng)存儲(chǔ)介質(zhì)的泄密隱患。移動(dòng)存儲(chǔ)介質(zhì)具有存儲(chǔ)量大、適用范圍廣、操作便利等特征，受到廣大辦公人員的高度推崇。但移動(dòng)存儲(chǔ)介質(zhì)也是極易被忽視的機(jī)密信息泄露源；最后，涉密人員的泄密隱患。在國有企業(yè)、私有企業(yè)與小規(guī)模組織等工作中，“無密可保”的思想普遍存在。部分從事機(jī)密信息安全保密管理工作的員工責(zé)任意識(shí)與安全防范意識(shí)淡薄，存在極大的信息泄露隱患。且對(duì)相關(guān)法律法規(guī)的一知半解，未能認(rèn)知維護(hù)機(jī)密信息安全的重要性。

四、信息安全保密管理原則與措施

在新形勢背景下，進(jìn)一步明確信息安全保密管理工作的基本原則，優(yōu)化機(jī)密信息安全保密管理措施顯得尤為重要。具體內(nèi)容如下。

（一）管理原則

各涉密單位、團(tuán)體組織與部門必須嚴(yán)格執(zhí)行《保密法》，在此基礎(chǔ)上，根據(jù)機(jī)密信息等級(jí)，限定知情人數(shù)。換言之，機(jī)密信息等級(jí)越高，限定知情人數(shù)就越少。與此同時(shí)，嚴(yán)格審查涉密人員，以免國家機(jī)密、企業(yè)機(jī)密與組織機(jī)密被惡意竊取。在機(jī)密信息安全保密管理中，要建立健全的規(guī)章制度，加大對(duì)涉密人員的培訓(xùn)力度，完善各項(xiàng)預(yù)防措施，降低發(fā)生機(jī)密信息泄露的風(fēng)險(xiǎn)系數(shù)。最后，秉承與時(shí)俱進(jìn)的基本原則，引入先進(jìn)的管理理念與管理技術(shù)，提升保密工作水平[3]。

（二）管理措施

1.建立健全的規(guī)章制度

根據(jù)不同的涉密主體與涉密環(huán)節(jié)，建立對(duì)應(yīng)的規(guī)章制度。主要包括涉密人員管理制度、涉密計(jì)算機(jī)信息系統(tǒng)管理制度與涉密輔助設(shè)備管理制度三類。其中，創(chuàng)建涉密人員管理制度應(yīng)從如下幾方面著手：對(duì)涉密人員進(jìn)行等級(jí)劃分與集中管理；加大對(duì)涉密人員的監(jiān)督與審查力度；與涉密人員簽訂保密協(xié)議與法律合同；定期組織涉密人員技能培訓(xùn)與職業(yè)素質(zhì)教育活動(dòng)；嚴(yán)格限制涉密人員跨領(lǐng)域活動(dòng)；在約束與規(guī)范涉密人員行為的基礎(chǔ)上，保障涉密人員的根本權(quán)益。

創(chuàng)建涉密計(jì)算機(jī)信息系統(tǒng)管理制度，應(yīng)從如下幾方面著手：對(duì)涉密網(wǎng)絡(luò)與非涉密網(wǎng)絡(luò)實(shí)行獨(dú)立管理；加強(qiáng)涉密信息傳輸終端與渠道管理；嚴(yán)格管理涉密網(wǎng)絡(luò)環(huán)境與涉密傳輸設(shè)備。

2.加大宣傳教育投入力度

從目標(biāo)對(duì)象層面來說，要將領(lǐng)導(dǎo)干部、涉密人員、行政人員、文秘人員與技術(shù)人員等列為宣傳教育重點(diǎn)目標(biāo)對(duì)象；從內(nèi)容層面來說，需加強(qiáng)保密法律法規(guī)教育、保密知識(shí)教育與保密技術(shù)教育，利用內(nèi)網(wǎng)、外部局域網(wǎng)、宣傳欄與多媒體等多元化媒介形式，擴(kuò)大宣傳教育覆蓋面，增強(qiáng)宣傳教育影響力[4]。

3.優(yōu)化防控技術(shù)手段

介質(zhì)安全管理：計(jì)算機(jī)信息系統(tǒng)包含的存儲(chǔ)介質(zhì)數(shù)量大，種類豐富，應(yīng)用率較高。然而，這些存儲(chǔ)介質(zhì)極易遭受病毒侵襲，導(dǎo)致整個(gè)計(jì)算機(jī)信息系統(tǒng)崩盤。以U盤為例，其憑借存儲(chǔ)容量大，無格式限制，且線下交互便利等優(yōu)勢，受到廣大員工的高度推崇，但其病毒防御能力較差，極易造成信息泄露。為此，就有必要做好存儲(chǔ)介質(zhì)安全檢測工作，將信息泄露風(fēng)險(xiǎn)降到最低水平。

身份認(rèn)證與訪問控制：身份認(rèn)證是計(jì)算機(jī)信息系統(tǒng)對(duì)申請(qǐng)?jiān)L問用戶身份進(jìn)行審核的過程，具體來說，用戶在提出系統(tǒng)訪問請(qǐng)求后，應(yīng)核查用戶身份，快速判定用戶是否具備訪問權(quán)限。身份認(rèn)證方式包括口令認(rèn)證、驗(yàn)證碼認(rèn)證、指紋認(rèn)證與虹膜認(rèn)證等。

傳輸加密技術(shù)與存儲(chǔ)加密技術(shù)：首先，根據(jù)工作環(huán)境差異，傳輸加密技術(shù)主要?jiǎng)澐譃榫€路加密技術(shù)和脫線加密技術(shù)兩類。其中，線路加密技術(shù)具有一定的局限性，不考慮網(wǎng)絡(luò)連接端口的加密處理，單純注重網(wǎng)絡(luò)連接導(dǎo)線的加密處理。而脫線加密技術(shù)是對(duì)整個(gè)數(shù)據(jù)傳輸過程實(shí)行管理，且非配套的網(wǎng)絡(luò)連接端口不具備解密功能。這充分保障了機(jī)密信息的安全性。

4.加強(qiáng)對(duì)涉密人員的培訓(xùn)

組建一支高水平、高素質(zhì)的加密工作隊(duì)伍，是加強(qiáng)信息安全保密管理工作落實(shí)效果的先決條件。涉密人員必須是“可靠、可信、可控、可用”的，既要懂保密、會(huì)保密、善保密，還應(yīng)客觀應(yīng)對(duì)復(fù)雜的主體市場環(huán)境的誘惑，具備良好的信息安全防御能力。各國有企業(yè)、私有企業(yè)與團(tuán)體組織，應(yīng)定期組織培訓(xùn)活動(dòng)，增強(qiáng)涉密人員的責(zé)任意識(shí)與安全防范意識(shí)，提升涉密人員的信息技術(shù)水平，強(qiáng)化其職業(yè)道德素養(yǎng)。

五、結(jié)語

在新形勢背景下，信息安全保密管理工作尤為重要。大力落實(shí)該項(xiàng)工作，從宏觀角度來說，涉及國家安全防控工作以及國有企業(yè)經(jīng)濟(jì)貿(mào)易的運(yùn)轉(zhuǎn)；從狹義角度來說，該管理與個(gè)人企業(yè)、團(tuán)體組織的經(jīng)營發(fā)展以及個(gè)人隱私息息相關(guān)，因而應(yīng)該受到重視與應(yīng)用。

參考文獻(xiàn)：

[1]孫鈴.淺談新形勢下信息安全保密管理工作[J].現(xiàn)代國企研究，2018（2）.

[2]邢琪.淺談新形勢下信息安全保密管理工作[J].軍民兩用技術(shù)與產(chǎn)品，2018（22）.

[3]郭翠芳.信息化條件下保密管理工作的難點(diǎn)和對(duì)策[J].現(xiàn)代經(jīng)濟(jì)信息，2019（15）.

[4]金路.基于云計(jì)算下計(jì)算機(jī)信息安全與保密分析[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2019（5）.