論企業電子文件的安全保密管理

文/陜西凌云電器集團有限公司 薛蕾

隨著企業辦公自動化建設的迅速發展，信息技術推進了現代企業科研技術的飛躍發展，企業科研開發、辦公業務的載體和閱讀方式發生了革命性變化，產生大量的電子文件，而且其數量急劇增長，通過計算機系統傳輸處理的電子文件，已逐漸成為企業科研開發、辦公業務的主要處理方式。遠程虛擬共享逐漸取代了實地翻閱，信息技術大大拓展，提高了企業辦公效率，但也給企業國家秘密和商業秘密的安全帶來諸多新情況、新問題。如何對這些企業的固有財富進行有效管理、長期保存和高效利用？這就需要我們針對電子文件的特點規律，采取行之有效的管理措施，確保電子文件的安全保密，才能最大限度發揮電子文件的使用效能，為企業高速發展提供有力保障。

一、集中存儲，科學防范，營造安全保密管理環境

電子文件依托計算機網絡系統，計算機網絡系統具有開發性、分散性的特點，給電子文件的安全保密管理工作帶來很大的局限性。為此，電子文件的存儲必須采取有效措施，提高計算機網絡系統的安全系數，為電子文件的傳輸、處理、使用、歸檔等方面提供可靠的安全環境。

（一）改變電子文件的存儲方式。電子文件的存儲工作是在計算機、多媒體、數據庫等技術不斷改進，電子文件的收集、存儲、傳輸和利用日益趨向電子化、數字化的基礎上建立起來的。目前現代企業產生的電子文件存儲方式還是以單機分散存儲為主，每個終端都存有電子文件。這種存儲方式方便、快捷，但在安全保密方面存在很大的隱患。舉例來說，設計師A設計出的圖紙A11以電子文件的形式存在A的計算機A12里，設計師B需要審核設計師A設計出的圖紙A11，圖紙A11就以郵件的形式發送到設計師B的計算機B12中。年底圖紙歸檔時，設計師A在A12的計算機里找不到圖紙A11，設計師B因為誤操作造成郵件清空，圖紙A11就遺失了。就目前而言，企業在每一臺計算機的保密防范上不可能都采取科學完善的技術防范措施，實施嚴絲合縫的安全保密管理，一旦出現問題，不僅設計師A的計算機存儲的電子文件無法保證安全，設計師B的計算機也要受到損失。而且還有可能使其所在的局域網上所有的計算機都受到攻擊和破壞，存儲電子文件的安全則難以保證。無盤工作站儲存是當下電子文件儲存方式改革后使用最多的存貯方式，局域網內所有終端不配置硬盤，電子文件以及處理電子文件所需的應用軟件全部存貯在服務器中，這種存貯方式，無論計算機網絡受到何種攻擊，只要服務器不出問題，就能確保電子文件安全保密。

（二）完善計算機系統防護措施。電子文件依托計算機網絡系統，網絡系統防護是企業一項集技術和管理于一體的系統工程，實施“隔離、身份認證、能力”的原則。“隔離”是指企業局域網必須與互聯網實行物理隔離，禁止與國際互聯網進行直接或間接的物理鏈接，切實做到“涉密計算機不上網，上網計算機不涉密”的原則。“身份認證”是指個人計算機開機登錄系統認證和屏幕保護系統認證，通過兩次密碼認證確認用戶是否有登錄本機的權限。“能力”指的是病毒防控監視能力、預警監測能力和應急處置能力，這三種能力都是針對計算機網絡系統和服務器終端的，有效實施系統防毒、殺毒，對整個系統進行全面掃描和監測，阻止惡意病毒攻擊和木馬植入，阻斷非法網絡侵入。

（三）從源頭消除設備隱患。當前企業網絡系統建設發展參差不齊，整體防護能力較弱，在很大程度上制約了企業電子文件的安全保密管理工作。為確保電子文件的數據不因意外或惡意原因遭到破壞、更改、泄露、竊取，我們必須堅持立足企業、著眼發展、突出重點、定期檢查的方針，把企業的科研發展生產與網絡防護應用結合起來，努力提高企業自主防護能力。對電子文件的修改或刪除以及修改或刪除的原因操作者都應該實時監控，由監測設備或軟件記錄，并長期保存；通過軟件或信息化設備對電子文件的訪問權限進行實時控制，實施不同密級的人使用不同密級的信息化設備，區分用戶對網絡系統的操縱權限，明確用戶的安全級別和身份標識。

二、實事求是，從嚴管理，創新安全保密管理機制

電子文件的多樣性、易更改性、不穩定性等特點，在收集、歸檔、使用和管理上存在很多問題，例如，電子文件的類型不易控制，信息化設備的系統不同，產生的電子文件的版本就不同，在使用過程中就容易出現系統不兼容現象；電子文件的知悉范圍不易控制，不同密級的信息化設備對電子文件的使用無法控制，知悉范圍容易擴大等。為了解決企業這些問題，必須嚴抓電子文件管理流程，采取有效管控措施，建立一個既方便工作又安全保密的管理機制。

（一）嚴格控制電子文件的產生數量。電子文件的使用是企業科研生產發展的趨勢，但是電子文件數量過多，不僅增加企業對電子文件安全保密管理的難度，也會給企業網絡系統運行成本和管理帶來影響。企業要建立健全電子文件使用的管理規范，從擬制、審批、使用、復制、刪除等環節都要明確規定，對復制和使用電子文件的用戶，領導要嚴格把關，履行審批程序，做到定期檢查、定期清理、及時歸檔，科學有效地管理電子文件。

（二）嚴格控制電子文件的使用權限。電子文件的方便快捷、資源共享等特點在企業實現自動化辦公中發揮著重要因素，但是從企業安全保密的角度出發，網絡中的電子文件不是所有用戶都可以隨意使用的，需要對網絡用戶進行有效的權限控制。以工作需要為標準、以崗位職責為基準，不同的涉密人員采取不同的密碼登錄方式，有效控制信息的知悉范圍，與電子文件內容無關的用戶不得訪問使用。

（三）嚴格控制電子文件的傳輸流程。電子文件的傳輸除了同等密級的信息化設備之間進行郵件傳遞外，還可以通過光盤、U盤、移動硬盤等進行傳遞，傳遞的方式多樣性和隨機性給電子文件傳輸的安全保密帶來隱患。加強網絡傳輸流程控制，技術部門定期對網絡傳輸設備進行檢測，建立規范的操作程序，設立電子文件的傳輸建立日志，對不同密級電子文件采用不同的傳輸方式，嚴格掌控“電子文件從哪兒來，到哪兒去，使用人是誰”的安全保密原則。

三、加強領導，齊抓管理，強化安全保密管理責任

任何單位和個人對電子文件安全保密管理工作都責無旁貸，我們必須堅持把統一思想、強化責任作為重要工作來抓，形成領導重視、部門支持、層層監管、做事有依據、工作認真負責的良好局面，為電子文件安全保密管理工作打造一個暢通高效的管理體制。

（一）加強安全保障。把電子文件安全保密管理工作納入單位日常工作體系中，領導定期組織開展保密知識宣傳教育，把電子文件安全保密作為保密工作的重要環節來抓，使“保密工作無小事”建立在每個人的腦海之中，增強保密意識，遵守規章制度。加強人員管理，選用高素質、專業性的技術人才，為電子文件的安全保密管理工作提供有力保障；加強日常宣傳工作，增強高科技知識的理論學習，把保密教育與保密技術和日常工作緊密結合起來，將保密知識融入日常工作之中。

（二）強化監督檢查。電子文件安全保密管理工作應堅持依法從嚴治理，采用技術手段對電子文件的起草、管理、使用、歸檔、存儲、銷毀等過程實施全面監管，確保各項規章制度的落實。各級領導實施定期保密檢查，發現問題，及時改正，消除隱患。各級簽訂保密工作責任書，把執行電子文件保密工作責任制的情況納入日常工作考核的內容中，嚴格遵循“業務工作誰主管，保密工作誰負責”的保密工作重要原則。