《办公室信息化条件下保密管理工作的难点和重点.doc》由会员分享,可在线阅读,更多相关《办公室信息化条件下保密管理工作的难点和重点.doc(14页珍藏版)》请在金锄头文库上搜索。
1、办公室信息化条件下保密管理工作的难点和重点信息化条件下保密管理工作的难点和重点 范宁 2008年5月 按照会议的安排,下面就如何做好信息化条件下集团公司保密工作的有关问题,与大家一起学习交流。 一、信息化条件下保密工作面临的严峻挑战 信息化促进了工业化、现代化,促进了集团公司的发展和综合性国际能源公司的建设。同时,也给集团公司的信息安全带来了严峻挑战,给保密工作提出了新的更高的要求。最为令人担忧的就是我们的生产指挥和经营管理等关键性基础设施在“信息化之后,愈来愈严重地依赖以计算机网络通信技术为支撑的庞大而脆弱的信息系统,一旦信息系统出现问题,必将导致严重的后果。与此相应,以信息系统为对象的竞争
2、、犯罪、窃密以及信息战愈演愈烈,信息和信息系统的安全假设剑悬头顶,直接危及企业乃至国家安全和利益。当前,保密工作面临的形势严峻,又有时代的特点,主要浮现以下几个方面的变化: 一是信息秘密的储存和传输方式发生重大变化。存储电子化,传输网络化,介质多样化,载体数码化,隐于无形,复制方便,传递迅捷,涉密渠道显然增多;计算机、复印机、多功能一体机、移动存储介质、无线局域网、手机等,也都成为重要的泄密隐患。 二是窃密方式和技术手段发生重大变化。在应用刺探、窃取和收买等传统窃密方式的同时,现在间谍卫星侦照、计算机网络入侵、办公自动化设备内置窃密程序等窃密渠道和方法快速发展,无孔不入,危害日益加大;窃密手段
3、更具高技术性,空间技术、电子技术、信息技术、网络技术被广泛用于窃密活动,使得窃密手段向高智能、多功能、超微型、善隐蔽的方向发展,新的高技术窃密手段不断涌现。据国家保密局统计,20032007年全国泄密案件中,计算机、网络和移动存储介质泄密案件所占比例呈逐年上升趋势,从最初的不到20%,提升到60%以上。 三是窃密主体和目标发生重大变化。窃密主体更具多元性,除传统的情报机构外,以新闻媒体、商务机构、咨询公司、跨国组织、学术团体等为掩护的窃密活动显然增多,特别是境外非政府组织在我境内迅速增加,活动领域和范围不断 扩展,为谋取商业利益所进行的情报活动十分活跃;与以往境内外敌对势力关注并大肆窃取、刺探
4、、搜集我政治、经济、军事、外交等方面情报不同,由于能源的重要性日益突显,特别是石油天然气管理部门及石油企业和研究单位,集中了大量涉及国家能源核心秘密的信息,已经成为国际谍报战、经济战等各种窃密活动的重点目标。从近年来发生的窃密案件看,境外情报机构窃密活动的目标,直指我国石油安全战略、勘探成果及规划布暑,直指我国先进钻探技术、油气管道和油气田地面工程建设,直指我集团公司总部机关、重点科研单位和保密要害部门部位等。 如:我勘探开发重点研究项目、重大研究成果等,被非法提供给境外机构,国家安全局、国家保密局等部门立案侦察,有关人员被拘审;某探井数据库资料被非法出售,涉及3.9万余口探井基础资料数据,被
5、国家有关部门立案侦察,而且列为重案,涉案人员可能受到重判;某油田研究院涉密计算机违规连接互联网,造成该油田勘探战略研究及“十一五规划布暑等300余份涉密文件资料被非法入侵下载外泄,被国家安全部门截获并立案调查,经鉴定,近60%为仍在保密期限内的重要商业秘密,有关人员受到严正查处;总部机关某计算机因被U盘植入木马病毒,造成上千页文件资料打包自动向互联网发送,内容涉及仍在保密期内的国家级重点科研项目、某气田地面工程现状及工作布暑等,被国家安全机关责令要求协查;某在京单位在网站上违规上载中央文件作为宣扬活动的报道,也被国家保密局通报协查;某油田野外作业队违规利用搜狐公用电子邮箱传送标密井口数据,被地
6、方安全局查获追究。仅2007年,集团公司保密办接到国家保密局、国家安全局等部门截获的涉及我集团公司商业秘密电子文档资料数量累计高达6.23G,包涵5000余个文件,约11000余页。事实证实,我集团公司作为国有重要骨干企业和国内最大的石油天然气生产供应企业,已成为国内外各方关注的焦点,处于保密与窃密斗争的前沿,保密工作面临的形势和任务非常艰巨。 二、信息化保密工作面临的主要难点问题 由此可见,信息化在促进生产力发展和社会进步的同时,保密工作的领域、对象、环境等都随之发生了重大变化,也促生了许多矛盾和难题。通过2008年3月份展开的计算机及移动存储介质专项保密检查的状况可以看出,目前集团公司在计
7、算机及移动存储介质的保密管理方面存在着许多隐患、漏洞和不够。这次保密专项检查是依据中共中央保密委员会关于展开中央和国家机关计算机及移动存储介质保密检查的通知要求,由集团公司保密委员会组织进行的一次全面自查,检查范围覆盖总部26个部门、5个专业公司、3个直属单位和5个在京保密重点单位,在自检的基础上,集团公司保密办还组织对总部13个保密要害部 门部位和7个在京保密重点单位进行了复查抽检。本次保密检查共涉及39个局级单位,377个处室,4950余人;这次检查采用一边展开检查,一边梳理思路,以便完善措施,一边健全制度的做法,取得了很好的效果。一是成功应用国家保密局指定的涉密信息检查、上网痕迹检查和移
8、动介质读取记录检查工具等软件;二是摸清了涉密计算机及移动存储介质的底数;三是查出了计算机及移动存储介质管理中存在的问题。这次保密检查,查出计算机及移动存储介质存在的特别问题,涉及规章制度、管理手段、网络体系、信息系统等软件和硬件各方面的问题23个,涉密计算机及移动存储介质未按国家有关规定使用问题尤为特别。据初步统计,目前总部和保密重点单位共有涉密计算机1530台,存储涉密信息移动介质611个,真正执行物理隔离或没有上网记录的计算机17台,能够确认没有在非涉密机上使用的有13个,分别占1.1%和2.1%,这还不包括非涉密计算机及移动存储介质处理、存储涉密信息,可见问题的严重性。 归纳起来,目前集
9、团公司保密工作主要面临以下6个方面的难点问题: 第一,保密意识仍待提升,保密素养难适应。干部职工中仍然存在着保密意识松懈和对保密重要性熟悉不够,甚至认为无密可保的现象。究其原因,并非各部门、各单位对保密工作不重视,而是有些干部职工大道理明白,小问题不注意,认为保密与我无关,该怎么做也不清楚,没有熟悉到作为企业也有密可保,特别是国有大型能源企业,更是有要密要保;也没有熟悉到保密就在身边,发生泄密事件看似偶然,但是违规行为和泄密隐患的存在对引发泄密事件来讲具有必定性;更没有熟悉到由于防范意识弱、防范能力低而容易造成泄密的危害性。同时,我们的保密管理和宣扬教育模式也与目前的形势不适应,没有充分调动干
10、部员工的积极性,没有树立起涉密人员既是保密管理的对象,更是从事保密工作的主体观念,使保密管理工作长期处于被动、难以被人理解的状况,这些都是目前影响集团公司保密管理工作水平提升的问题所在。 第二,规章制度制修滞后,信息保密难规范。随着集团公司企业化的不断完善和国际化的不断深入,尤其是股份公司作为上市公司,资本市场信息的公开化要求,对外交流与合作的日益频繁,传统的封闭环境已被打破,保密管理体制、工作机制和规章制度已经严重不相适应,尤其是集团公司现有保密管理规章制度,脱胎于党政机关的管理模式,一方面比较原则,针对性、有用性和操作性不够强;一方面制修订工作滞后,没能跟上信息化条件下保密工作状况的变化和
11、要求,还存在“空白点。如对计算机及移动存储介质保密管理尚无专门的规章制度可循;大批使用的数字复印机和集打印、复印、 、扫描于一身的多功能一体机,还没有明确的保密管理措施;还有一些重要环节上,如对涉密人员流动的 管理,尤其是对海外项目及涉密人员的保密管理,也出现了死角。保密工作规章制度的覆盖面和指导性、操作性不够,导致人难管,密难保,成为制约业务和管理部门保密工作顺利展开的又一大难题。 第三,定密标准尚待完善,是密非密难把握。在日常工作中,涉密信息系统安全等级保护的定级、保密要害部门部位和保密重点单位确实认、涉密岗位和涉密人员的分级确定,以及文件材料定密、密级鉴定和风险评估等项工作,都缺乏科学依
12、据和统一标准,随意定密、随意标密,密级一定永远不变、不按所定密级管密;什么信息能上网,什么信息不能上网,什么信息必需在物理隔离的涉密机中处理;哪些属于国密、哪些属于商密、哪些又属于工作秘密,又是属于哪个级别,级别定高了怕增加工作难度和管理成本,定低了又怕增加泄密风险,等等,结果导致目前乱定密、乱标密,乱上网、乱发邮,乱印文、乱发文,乱发言、乱报道的现象。这些问题一直疑惑着业务部门和管理部门,成为制约集团公司保密管理工作制度化、规范化、科学化的一个关键问题。 第四,电脑介质尚未分类,涉密信息难掌控。目前,集团公司没有采用强制区分涉密与非涉密计算机及移动存储介质的保密管理措施,非涉密设备处理涉密信
13、息,涉密设备与互联网连接,涉密与非涉密介质混合交叉使用等现象比较普遍,而且也没有执行涉密移动介质统一审批、登记、编号和标识管理,更没有对其使用执行严格管理,随意携带外出、出差、出国,基本处于失控状态。尤其是OA 系统等涉密信息系统及日常使用的绝大多数计算机,依托于中国石油广域网,而该网是按非涉密网建设的,与互联网连接采用逻辑隔离防火墙技术措施,近年来已发生过因木马病毒或网络攻击造成总部涉密信息外泄的状况,成为目前集团公司保密管理重大隐患和难题。 涉密便携计算机也基本处于失控状态,购置时无保密部门审批备案,使用时无管理控制措施,不少处理存储涉密信息的便携计算机都安装了无线网卡,还常常使用 、网卡
14、上网,而且随意携带出入公共场所、出差、出国,随时带密上网查询资料、传输信息,有的在旅途中、飞机上还使用便携计算机编写、查看涉密信息。如何更好地对其进行保密管理,特别是对出差、出国、上网等制定出具有可操作性的使用防护措施,尚无章可循,也是目前集团公司保密管理中的重点和难点之一。 第五,信息基础设施薄弱,涉密信息难传递。集团公司尚未建设物理隔离办公专网及涉密信息加密传输专用通道。目前,无论集团公司OA系统是按照普密级、股份公司OA是按照商密级建设的,但由于系统均依托于中国石油广域网,没有与互联网执行物理隔离,因此在个人计算机中拟写的文稿在上载到OA系统 进行加密传输之前,以及从OA系统脱密后阅览文
15、件,都有可能受到外来攻击而造成泄密。目前规定OA系统不能传输涉及国家秘密和公司“油商密的公文,而可传输公司“油商密和“油商密级涉密公文的现行做法,也是迫不得已,承当着较大的泄密风险。此外,日常工作中大量的涉及国家秘密、公司商业秘密的信息,除其中部分公文可通过OA系统传输外,总部与所属企事业单位之间的大量涉密信息,只能利用广域网电子邮件系统进行传输,现在集团公司对各单位及海外发送涉密文件资料等信息,主要是依靠密码 机。在目前电子数据量特别大的状况下, 方式已不适应。特别是在海外,电子邮件作为主要的信息传输方式,也成为重大泄密源。假设严格执行“上网不涉密原则,则致使一些重要、紧急的涉密信息没有传输
16、途径,难以快速安全地传递到所属企事业单位或海外项目,成为提升办公效率,保证信息安全保密的一个瓶颈。 第六,重点单位各具特点,矛盾特别难解决。管道建设和运行管理单位、科研和规划研究院、海外勘探开发等重点保密单位存在的具有各自业务特点的保密管理问题,缺乏针对性的保密管理规定和相应措施。如油气管道建设从项目前期研究、选线踏勘、规划可研、初步制定,到招标采购、施工投产、运行管理、维护检测等众多环节,涉及油气资源数据、大比例地形图、地理坐标数据、管道运行参数、建设投资规模、价格等众多重要信息,而由于油气管道项目工程大,往往是多家组成联合体展开工作,参加油气管道建设的队伍从制定、施工、EPC、监理、采购到运营单位多达上百家,分布在全国各地,而且还有外国公司参加,各个环节的保密管理问题十分特别。尤其是大量的重要涉密信息都是通过电子邮件传输,而且一些参建单位又不在中国石油内部局域网的环境中,只得通过公共信息
