軍工企業保密風險評估及應對措施分析

文/劉哲 王藝歆，中國核電工程有限公司

根據軍工企業的保密管理體系現狀，以失泄密隱患辨識為基礎，以風險預控為核心，以管控人員不安全行為為重點，以切斷失泄密事件發生的因果鏈條為手段，筆者所在軍工企業開展了保密風險及應對措施分析工作，以期給其他軍工企業開展保密隱患整治工作提供參考。

1 保密隱患分析

通過公開報道、調研分析、保密檢查、日常工作梳理，目前軍工企業普遍存在的高風險失泄密隱患包括：

1.1 A1類：單位產生/機要渠道傳遞的電子/紙質標密文件

1）員工個人非法（手機）拍照，導致擴散到互聯網；2）員工個人非法復制/傳真，導致擴散到互聯網。

1.2 A2類：單位產生的含有敏感信息的電子/紙質非密文件

1）密網非密輸出（故意/無意）用于個人使用，擴散到非密網內（電子），或者不安全情況下銷毀/丟失（紙質）；2）在定密分解不清晰或者尚未分解情況下，非密辦公網非密生成（無意），擴散到非密網內。

1.3 A3類：公司產生的含有敏感信息的非密新聞宣傳文件

含有敏感信息的非密新聞宣傳文件，未經審查，擴散到互聯網主頁、微信公眾號、期刊報紙。

1.4 A4類：外來非密壓縮包夾雜標密文件

1）第三方傳遞夾雜標密文件的非密RAR壓縮包，導致員工互聯網郵箱和非密網電腦同時“感染”。2）第三方將夾雜標密文件的非密RAR壓縮包，通過非密光盤形式發送過來，員工電腦光驅讀取，導致員工非密網電腦被“感染”。

2 全面風險的預控應對分析

2.1 源頭的管控

2.1.1 針對定密分解沒有或者分解不清晰，導致出現含敏感信息非密文件的風險：

根本原因分析：逐級密級分解不細致。

應對建議：切實落實定密審批做到一事一審、一件一審，針對公文類文件，在發文流程中加入定密審批環節；針對設計類文件，在定密分解審批表中將密級確定細化至文件級。

2.1.2 針對定密分解準確，依然出現含敏感信息非密文件的風險

根本原因分析：審計存在把關不嚴，違規降密輸出，“避免”相對繁瑣的閉環登記管理；因沒有全文審計手段，無法實施獨立第三方審計，對部門及員工缺少監查力度。

應對建議：一是“連坐式”責任追究，同時追究個人及審批人責任；二是建立獨立第三方審計制度，月度審計及時糾偏。

2.1.3 針對含敏感信息新聞宣傳的風險

2.1.3.1 出現含敏感信息新聞宣傳的風險：

根本原因分析：審計存在把關不嚴，發布到互聯網主頁、微信公眾號、期刊報紙

應對建議：嚴格執行公司新聞宣傳保密制度。

2.1.4 針對外來非密RAR壓縮包夾雜標密文件的風險

根本原因分析：

1)接口人未能逐一文件審查，RAR壓縮包整個在協同內網分發；2)因沒有RAR壓縮包審計手段，無法實施獨立第三方審計，對員工缺少監查力度；

應對建議：

1)借鑒“首問責任制”建立“首位接收人責任制”，在例行檢查或抽查中發現的非密RAR壓縮包夾雜標密文件情況，將追本溯源，一并追究第一位接收文件責任人的責任。2)購置RAR內容審計軟件，建立獨立第三方審計制度，月度審計及時糾偏；

2.1.5 針對歷史遺留違規的電子文件的風險

根本原因分析：電子文檔系統、理正公函及備忘錄系統等存在大量“沉睡”電子文件，缺少非密網的自動搜尋審計軟件，無法及時發現并采取對應措施。

應對建議：1)基于非密協同網實際情況，購置適宜的全文審計軟件，建立獨立的自動審計制度，周末或者晚上自動搜尋審計及時糾偏；2)鼓勵全員發現涉嫌的圖片、掃描件、CAD圖紙等類型文件。

2.2 網絡渠道泄密隱患的管控

2.2.1 根本原因分析1：未嚴格執行兩人進出規定，導致無監督下的個人不規范行為；

應對建議1：嚴格執行信息系統保密管理規定，計算機三員盡量使用堡壘機進行系統維護，避免直接接觸服務器；確有必要時，須嚴格執行兩人同時進出。

2.2.2 根本原因分析2：入侵者（內部員工或者訪客）刑事犯罪；

應對建議2：除無人期間的紅外報警，增加有人值守期間的緊急呼救裝置。

2.3 非網絡渠道泄密隱患的管控

2.3.1 針對載體查無下落導致泄密隱患的管控

根本原因分析：人員未嚴格執行載體管理制度。

應對建議：強化載體“全生命周期”管理，對載體八個環節嚴格把控、閉環管理，依據“最小化”、“安全可控”原則實施載體制作、復制、收發、保存、銷毀“五集中”。

2.3.2 針對信息被手機拍照導致泄密隱患的管控

2.3.2.1 根本原因分析1：載體知悉人員擅自擴大了知悉或者未妥善保管載體，讓可疑人員有可趁之機。

應對建議1：

1)載體的傳遞分發，必須按照規定進行或者經授權人審批；2)全員加強日常保密教育，及時相互提醒妥善保管紙質的載體。

2.3.2.2 根本原因分析2：未嚴格執行陪同機制，導致無監督下的手機擅自帶入；工作區，保密意識淡薄導致手機擅自帶入。

應對建議2：

1)嚴格執行全程陪同；2)加強日常保密教育，及時相互提醒，杜絕手機擅自帶入。

2.3.3 針對信息被非法復制/傳真導致泄密隱患的管控

2.3.3.1 根本原因分析1：載體知悉人員擅自擴大了知悉或者未妥善保管載體，讓可疑人員有可趁之機。

應對建議1：1)載體的傳遞分發，必須按照規定進行或者經授權人審批；2)全員加強日常保密教育，及時相互提醒妥善保管紙質載體。

2.3.3.2 根本原因分析2：保密意識淡薄，未嚴格執行復印審批、傳真登記制度，導致無監督下的擅自非法復制/傳真。

應對建議2：

1)嚴格執行復印審批、傳真登記制度；2)加強日常保密教育，及時相互提醒，杜絕擅自非法復制/傳真。

2.3.4 針對信息被設備自動竊取導致泄密隱患的管控

2.3.4.1 根本原因分析1：設備啟用檢查不到位

應對建議1：嚴格執行設備啟用制度，做好檢查。

2.3.4.2 根本原因分析2：保密意識淡薄，未嚴格執行規定，擅自互聯互通。

應對建議2：

1)加強保密教育，以及必要的事先檢查；2)加強設備使用后的審計糾偏。