智能互聯時代信息化保密安全工作問題與對策

文/上海市計量測試技術研究院 唐松 張一帆 謝若龑

在智能互聯的新時代，人們享受著信息化和智能化給工作帶來方便、高效和快捷的同時，不得不面對互聯網成為間諜組織等機構收集重要價值情報途徑的問題，這給信息化安全管理，特別是信息化保密安全管理帶來了前所未有的困難和挑戰。本文基于當前智能互聯時代的背景，結合本單位的工作實際，分析了信息化保密安全工作所面臨的問題挑戰，并提出了相應的解決對策。

一、信息化保密安全工作的現狀及存在的問題

（一）信息化保密安全工作的現狀。在智能互聯的時代背景下，信息化保密安全工作的內容和任務正發生著巨大而深刻的變化，各種信息化系統及應用如雨后春筍般涌現出來，信息系統的數據量和復雜度成倍增加，與之相適應的軟硬件不斷更替變遷，種種變化對信息化保密安全工作提出了越來越高的技術和管理要求，傳統以人防為主的信息化保密安全管理方式現已演變到了人防、物防加技防高度融合并舉的模式。

（二）信息化保密安全工作存在的問題。1.人、機、物高度互聯的問題。隨著智能穿戴和移動通信設備的普及，人與機、人與物以及機與物的關系正向著廣泛互聯、高度融合的趨勢發展。與此同時，在大數據和5G技術的影響下，越來越多的個人隱私和工作數據被存儲、共享在互聯設備以及云端，這不僅會使得泄密的渠道拓寬、影響變廣，更會造成“無意識泄密”。不久前由于智能運動手表流行，美軍基地信息等軍事機密因為美軍士兵使用具有GPS定位的智能手表的相關數據被攻破而被曝光，這種“無意識泄密”案例發生后，很多國家立刻采取行動，禁止軍人使用相關智能穿戴設備。隨著智能穿戴設備的錄音、拍照、通話、無線傳輸和GPS定位等功能不斷豐富，這些功能強大的智能穿戴設備給保密工作帶來不小的隱患，這些智能穿戴設備一旦連接互聯網，就可能成為嚴重的泄密隱患，如果這些設備被敵特分子所利用，那么很可能成為竊取國家秘密的直接武器。2.多網絡類型客戶端共存使用的問題。在信息化管理逐漸細化的形勢下，許多企事業單位為實現更規范、高效和安全的管理，常會對網絡進行“內網”和“外網”的劃分，事業單位可能還存在“政務網”，在“內網”“外網”和“政務網”等多種網絡類型的客戶端共存的形勢下，一機多用或者多網私自互聯等問題都會帶來很大的泄密安全隱患。其中特別是政務網客戶端的使用，因其作為存儲和處理公務文件資料的重要工具，所帶來的失泄密安全風險問題值得關注。3.網絡安全技術防范措施不足問題。習近平總書記指出：“沒有信息化就沒有現代化，沒有網絡安全就沒有國家安全。”在當前我國網絡安全環境相對復雜、嚴峻的形勢下，一方面對于外部利用網絡木馬、病毒等網絡攻擊行為竊取國家秘密的風險依然不容忽視；另一方面，內部由于上網行為不規范、技術手段有漏洞以及監管系統不健全等問題，也給信息化保密安全工作帶來很大挑戰。4.信息化保密安全檢查困難的問題。由于保密工作的特殊性，信息化保密安全檢查必須做到重點突出、覆蓋全面，所以對于非密信息設備和存儲設備的保密安全檢查同樣不容忽視。然而，由于涉密設備少、涉密崗位少，相應的參與保密工作的人員也很少，面對上千臺的信息設備和存儲設備信息化保密安全檢查，人員缺口巨大、檢查任務艱巨的問題顯而易見。5.信息化保密安全意識有待加強的問題。建立較強保密安全意識需要持續不斷加強保密安全教育，對于剛剛加入涉密行業的企事業單位來說，保密安全教育有待加強。同時，對于涉密業務和涉密人員均十分有限的較大企事業單位來說，很多平時與涉密業務無關的人員，很容易存在自己“無秘需保”的錯誤認識，很多有保密意識的人員也同樣會存在前述的“無意識泄密”風險。

二、信息化保密安全工作改進的對策

（一）積極應對新技術新挑戰完善管理要求。信息技術的變革日新月異，從事信息化保密安全管理決不可故步自封，面對新技術、新挑戰唯有積極應對，及時完善管理要求，才能及時消除泄密隱患。針對智能制造、大數據以及云平臺等新技術，必須時刻“警惕智新科技背后的眼睛”，積極組織開展保密安全調研討論，并及時針對新設備、新科技建立符合單位實際的信息化保密安全管理要求，從思想上和制度上建立全體員工“泄密”的防火墻。

（二）切實做好多網絡類型的安全運行。在多網絡類型終端共存的情況下，為嚴防一機多用和多網互聯所帶來的泄密隱患，需做好以下方面：一是技術層面。利用防火墻和相關網絡安全管理軟件嚴格實行不同網絡間的邏輯隔離，嚴格執行客戶端的IP與MAC地址綁定策略，嚴格禁止一機多網卡接入等情況。二是管理層面。積極利用信息化手段，將相關管理制度規定，以單位對內門戶公告、對內職工學習平臺以及員工移動辦公平臺等多渠道進行宣貫培訓。通過“科技+制度”真正實現保密安全管理融入日常業務工作。

（三）努力筑牢網絡安全技術保護屏障。網絡安全的保密管理，必須緊密結合工作實際和現實技術手段，找準風險點、筑牢保護屏。首先，利用企業級的安全防病毒系統，實現單位全網絡的病毒庫的及時升級與定期查殺。其次，針對信息設備的管理，可以利用技術手段實現實名制上網以及上網行為監控，同時針對移動存儲設備，可以在單位內建立白名單庫并動態管理，白名單內存儲設備可以限定使用范圍具體至某臺指定終端，從而實現移動存儲設備的最小化使用原則。最后，積極防外的同時，內部風險不容忽視。例如，針對辦公郵件，可以建立工作郵件網關保密安全關鍵字攔截告警機制，以封堵郵件泄密的重要出口。

（四）著力提升信息化保密安全檢查實效。緊跟信息化保密安全建設新形勢、新要求，每年依勢制定年度信息化保密安全檢查方案。建章立制為先，落地生根為重。為真正讓方案穩落地，讓檢查見實效，充分結合單位工作實際，積極探索實施“突出重點，分類檢查”的保密安全檢查。通過采用自查、監督抽查和專項檢查等多種檢查相結合的方式，突出對重點部位、重點人員和重點設備的保密安全檢查，實現保密檢查有的放矢，檢查范圍全面覆蓋，切實解決檢查任務重、檢查范圍廣與檢查人員少的突出矛盾，真正讓信息化保密安全檢查有力、有效。

（五）扎實推進信息化保密安全教育培訓。“沒有比保密意識更重要的保密手段”，可見持續不斷地推進保密“兩識”教育至關重要。首先，對于從事涉密業務的信息化工作人員，必須持證上崗，且定期參加理論知識和安全技術培訓。其次，從事涉密業務的普通人員，具有較強保密意識和保密技能同樣重要，在定期參加培訓學習的同時，也應適時接受測試考核，確保學有所獲、學有所用。最后，針對普通員工，通過經常性開展泄密警示教育，讓其樹立“100-1=0”的保密安全意識。

三、總結

在智能互聯的時代背景下，信息化保密安全工作正面臨著系統體量大、技術要求高和日常任務重等種種挑戰，這不僅需要不斷完善管理制度建設，更需要持續加強信息化安全技術保障。本文正是基于當前的時代背景，結合工作實際，針對信息化保密安全管理中存在的問題和挑戰，從管理要求到技術支持再到檢查、教育等方面提出一些建議和對策，為切實做好保守國家秘密提供參考和啟發。