政府門戶網站失泄密分析及對策

楊德保

摘 要：本文分析了目前政府門戶網站信息公開導致的失泄密原因和保密漏洞等安全隱患，并提出了相應的安全對策。

關鍵詞：門戶網站；信息公開；失密；泄密；保密；物理隔離；邏輯隔離

1 引言

近年來我國政府部門信息化建設取得了長足的發展，各級政府相繼建成了自己的門戶網站，行政許可事項多數上網。據工業和信息化部統計數據，中央部委政府網站的普及率達到96.1%，省市政府網站普及率達到100%，地市級政府網站普及率達到99.1%。“鼠標輕輕一點，信息就在眼前”的格局已悄然出現。政府門戶網站由于其信息公開發布及時、輻射范圍廣泛、獲取便捷、信息完整等，深受百姓的廣泛認同，受到良好的社會服務效果，必將繼續成為政府信息公開的主導方式。與此同時，在政府信息公開為民服務工作中，違反有關保密審查規定和信息安全制度，從而導致信息失密和泄密的問題時有發生，并且呈上升趨勢，產生了不良的社會后果。本文結合自己長期從事信息安全和保密工作的切身體會，介紹了政府門戶網站結構，分析了政府信息公開中的失密和泄密問題，并提出了相應的安全保密對策。

2 失泄密隱患

總的來說，政府信息公開導致失泄密的隱患主要是保密審查制度在一些地方和部門存在職責不清，責任不明的問題，信息公開與保密審查脫節的現象比較嚴重。有的地方和部門甚至把信息公開當作是為了更新或充實網站內容的需要等。具體來說，主要有以下幾個方面問題。

2.1 沒有嚴格執行保密審查程序

⑴少數單位和部門在信息公開時沒有保密審查導致信息失泄密。有些單位或部門為充實和更新網站內容，直接從文印室批量拷貝有關文件，不進行秘級分類，也不遵守先審查后發布的正規流程，而是邊發布邊審查，致使大量涉密文件刊登在網站上，造成信息的失泄密。有的政府部門利用互聯網站辦公，不經保密審查，直接將工作動態、請示報告等涉密文件刊登在網站上，造成失泄密。還有少數政府部門為了豐富門戶網站內容，將內部使用的匯編文件，集中在網站上發布，導致匯編文件中含有的涉密文件泄露。

⑵轉載其他單位文件或內部刊物資料時不經保密審查造成失泄密。如某政府部門網站為了擴大網站信息量，通過網絡下載工具從其他網站上下載了大量文件資料，不經領導和相關人員進行保密審查，致使其中含有的涉密文件刊登在政府門戶網站上，造成失泄密。再如某政府部門網站，將涉密刊物上刊登的有關文件，不經保密審查，直接在網站上予以發布，造成失泄密。

2.2 保密審查存在漏洞

⑴只審查文件首頁有無密級標識不審查文件全文。如某政府部門網站信息管理員在刊登信息時，只審查文件首頁有無國家秘密標識，致使一份在第二頁標識國家秘密的文件被刊登在網站上，造成泄密。

⑵只審查文件正文不審查附件。如某政府部門網站信息管理員在刊登信息時，僅對文件正文進行了審查，沒有發現文件附件屬于涉密內容，而把正文連同附件一并刊登在網站上，造成泄密。

⑶只審查文件出處不審查文件內容。如某政府部門網站信息管理員將該部門需要信息公開的文件在政府網站上進行公開時，認為文件沒有標密，便可以公開。但由于在匯編業務文件時，存在違規收錄涉密文件的情況，致使有關涉密文件被刊登在網站上，造成泄密。

2.3 涉密文件資料管理存在漏洞

⑴少數政府部門在與連接互聯網的OA系統上處理涉密信息。如某政府部門有關人員錯誤認為連接互聯網時采取防火墻、密碼登錄等方式可以避免公眾瀏覽內部網絡，而在OA系統中刊登大量涉密信息，結果OA系統防護被攻破，造成涉密的待信息公開文件早已泄露。

⑵是少數政府部門擅自向網站制作單位提供涉密信息。如某政府部門在開發部門網站時，未經保密審查，將本單位一些涉密的工作簡報提供給網站制作公司用于網站調試，該公司在調試過程中將有關簡報直接刊登在網站上造成泄密。

2.4 信息公開有關人員缺乏保密意識

目前政府機關工作人員基本上是人手一臺計算機，由于大部分人員未經系統的計算機和網絡專業培訓，對信息化條件下保密管理知識嚴重匱乏，計算機網絡信息保密防范能力低下。主要表現如下：

⑴是少數政府網站信息管理員缺乏保密意識。如某政府網站信息管理員為了增加信息公開數量，擅自刪除涉密文件的國家秘密標識，并刊登在網站上，造成泄密。再如某政府網站信息管理員對Excel表格不熟悉，沒有看到首頁上的國家秘密標識，又不向其他同志求教，擅自將文件刊登在網站上，造成泄密。

⑵少數政府部門信息公開保密審查人員缺乏保密意識。如某政府部門信息公開保密審查人員告知網站信息管理員，除會議紀要、請示報告不能發布在網站上，其他都能公開，結果網站信息管理員將數份涉密文件及領導涉密講話公開發布在門戶網站上，造成泄密。

⑶政府部門工作人員缺乏網絡信息化基本知識，造成過失泄密。目前有部分黨政機關工作人員對信息技術、網絡技術、計算機技術接觸不多，對高新技術條件下的保密形勢認識較浮淺，沒有從思想上形成主動防御的意識，并且防范能力和電子政務保密要求也有很大的距離，因而造成了失泄密。

2.5 網絡信息系統管理漏洞

⑴網絡安全漏洞。目前政府部門內部一般建有政務內網、政務專網、政務外網、門戶網。政務內網是涉密的機關辦公業務網絡，與國際互聯網物理隔離，在滿足工作需求的前提下，覆蓋范圍盡可能少；政務專網是非涉密內部辦公網，主要用于機關非涉密公文、信息的傳遞和業務流轉，它與外網之間不是通過傳統的防火墻來隔離，而是通過網閘隔離，具有較高的安全性；政務外網是政府對外服務的業務專網，與國際互聯網通過防火墻邏輯隔離，主要用于機關發布政府公開信息，受理、反饋等；政府門戶網是各級政府機關面向社會開展服務的電子政務窗口，推進政務公開，擴大服務范圍和對外宣傳，開展政府與公眾的溝通和交流，是政府信息服務的樞紐和接受社會監督的窗口，與國際互聯網邏輯隔離，其主要作用是對外發布政務信息。有少數政府機關沒有嚴格按照要求進行網絡隔離，這就帶來了嚴重的網絡信息安全漏洞。

⑵涉密機管理漏洞。根據保密法涉密機必須與互聯網進行嚴格理隔離。許多單位涉密機也加有隔離卡，但是為了工作方便，不是采用切電重啟轉換，而是采用系統休眠或其它方式進行切換，其實這只是電子隔離，并非是物理隔離；還有些工作人員下班不關機，導致計算機長期開機；或者關機沒有切斷插座電源的不良習慣等，黑客完全可以通過遠程啟動登錄進入你的計算機，極有可能造成大量信息的非法竊取，這些都給信息泄密帶來極大的安全隱患。

⑶網站制作、改版更新的善后善后工作處理不到位。目前政府部門的門戶網站的制作、改版更新等多數是采用服務外包的形式，只注重開始，不注重善后工作的處理。往往在開始階段抓的比較緊，制作過程中多數采用是邊調試邊使用的方式。不少政府部門在網站制作或更新改版任務完成后，沒有關及時閉協作單位人員的入口，這就為網站信息的非法篡改、刪除等提供了方便之門。

3 政府機關門戶網站信息安全保密對策

針對上述問題，為確保政府門戶網站信息安全，一要加強網站自身管理；二要抓好信息公開中的保密審查，具體應從以下幾個方面著手。

3.1 建立門戶網站網絡信息保密管理長效機制

“三分技術，七分管理”。各級機關門戶網站要建立健全安全保密管理機構和保密管理長效機制，配備專職專業的網站網絡信息安全保密管理人員。與有關涉密人員和協作單位簽訂保密責任書，嚴格管理信息發布人員權限。人員管理中，涉密人員、臨時聘用人員和服務外包人員是重中之重。經常性地開展安全保密形勢教育，宣傳和貫徹保密法規政策，增強安全保密意識。同時業務部門要利用各種渠道對保密管理人員進行保密法規、國家保密標準專業知識的培訓，增強其安全保密管理能力，提高安全保密業務工作水平。同時，要建立完善自查自糾機制，提高自查能力，以查促管，及時發現和解決失泄密隱患。

3.2 是在保密審查主體方面，要堅持“誰公開、誰負責、誰審核”的原則，嚴格落實保密審核責任制

政府網站由于業務多，信息公開數量大、情況復雜等特點，應當堅持誰提供公開的信息，就由誰負責對該信息進行保密審查，并對公開的信息不涉密負責的原則。要嚴格上網信息和保密審查制度的記錄，并建立詳細的登記臺帳，明確責任到人頭，確保涉密信息不上網。

3.3 是嚴格落實“涉密不上網，上網不涉密”的規定

堅持涉密信息網絡與外網物理隔離；在與互聯網連接的物理設備上，不存儲、處理、傳遞涉密信息；

3.4 是加強有效監督

加強對上網信息的保密檢查，發現涉密信息及時采取糾正措施，查清泄密渠道和原因。

3.5 嚴格落實保密審查責任

要嚴格按照《政府信息公開條例》規定的政府信息發布保密審查機制的責任追究，對有關網站信息公開中失泄密事件責任人作出嚴肅處理，以起到警示作用，產生一人受處分，大多數人受教育的效果，以遏制政府網站信息公開泄密的高發勢頭。

4 結語

政府門戶網站信息安全保密是一項長期性的工作，保密工作必須實施全程管理，對任何細節的放松都有可能導致前功盡棄。要做到這一點，就必須不斷完善和細化保密審查工作制度、工作程序、工作規范和工作要求，嚴格遵守保密審查制度。我們要站在國家安全的高度，牢固樹立保密就是保自己，涉密就要掉腦袋的保密觀。堅決克服那種認為政務公開，無密可保；以及將信息公開與信息保密完全對立起來錯誤觀念。要根據國家信息化領導小組提出的“堅持積極防御，綜合防范”的方針，既要毫不動搖地倡導政府信息的充分公開，同時也要確保政府信息的安全保密。保密審查就是一道安全閥，猶如只有安全閥最好的車才能跑得最快、最穩，只有將秘密信息保住守好，信息公開才能健康平穩推進。

[參考文獻]

[1]吳世忠，等，編著.信息安全技術.機械工業出版社.2014.

[2]本社，著.中華人民共和國保守國家秘密法.金城出版社.2012.

[3]王宇，閻慧，編著.信息安全保密技術.國防工業出版社.2010.

[4]本社，著.計算機及辦公自動化設備管理保密須知.金城出版社.2012.

[5]青平，蔣若莘，著.信息安全保密問題與應對.金城出版社.2013.

[6]本社，著.泄密就在身邊.金城出版社.2012.

[7]本書編寫組，編.黨政機關工作人員保密須知.金城出版社.2009.